Connexion distante

De GCE Electronics
Aller à la navigation Aller à la recherche

Présentation

Connexion distante

ConnexionDistante.png
Nom Connexion distante
Famille Réseau
Wiki créé le 13/12/2017
Wiki mis à jour le 14/12/2017


Se connecter à distance sur son réseau n'est pas chose facile. En fonction du fournisseur internet et également de la configuration du réseau local, plusieurs possibilités sont offertes.

Bien sûr, il est possible d'avoir un PC allumé H24, sur lequel un logiciel de prise de main à distance sera installé,

Mais nous verrons ici les méthodes par redirection de port et le VPN sur des réseaux domestiques. Les réseaux complexes d'entreprise ne seront pas abordés.

Pré-requis

Pour se connecter depuis l'extérieur sur son réseau domestique, il est impératif de connaitre son adresse publique. Cette adresse est communiquée par le Fournisseur d'Accès Internet (FAI). Selon les abonnements, celle-ci peut être soit fixe, soit dynamique. Le cas d'une IP fixe est le plus simple, car elle est fournie par le FAI pour toute la durée de l'abonnement. Par contre, l'IP dynamique pose des soucis : la durée d'un bail DHCP chez nos FAI est souvent de 24h, cela signifie que notre adresse publique est susceptible de changer toutes les 24h. Il est donc impossible, depuis l'extérieur, de se connecter chez soi, sans aller auparavant relever l'adresse actuelle de notre box. Pour cela, il faudra soit se rendre sur le site internet du FAI et consulter le compte abonné, ou encore lancer une application sur le smartphone qui nous communiquera l'IP de notre Box (application généralement fournie par le FAI. exemple : freebox compagnon) Heureusement, il existe des services (DynDNS ou DDNS) qui permettent d'attribuer un nom de domaine constant sur une adresse dynamique. Dans le navigateur, il suffit de se connecter avec le nom du domaine, plus besoin de relever l'adresse de la box.

Cas de l'adresse IP Publique fixe

Relevez votre adresse IP publique sur la console d'administration de votre compte FAI ou sur votre Box.

Si vous ne trouvez pas votre adresse IP, vous pouvez vous rendre sur un site comme www.mon-ip.com qui vous l'affichera.

Cas de l'adresse IP Publique dynamique

Les services DynDNS externes

Certains FAI ne fournissent pas des adresses IP fixes à leurs clients. Si vous êtes dans ce cas votre adresse IP est donc dynamique, elle change régulièrement. Pour vous permettre d'accéder à distance à votre réseau et donc à votre IPX800, il faut installer un service DDNS sur votre Box Adsl ou votre IPX800. Le DynDNS permet de profiter d'une redirection depuis un nom de domaine personnalisé vers l'adresse IP de votre box.

DynDNS, DtDNS, statdns, No-IP, gnudip

Voici quelques fournisseurs de noms de domaines dynamiques

  Pour ouvrir un compte : 
  Pour ouvrir un compte : 
  Pour ouvrir un compte :
  rendez vous sur cette page et créez un nom de domaine gratuit
  
  Pour ouvrir un compte :
   rendez vous sur cette page et créez un nom de domaine gratuit
  
  le serveur :
  GnuDIP TCP Server: gnudip.dynu.com
  GnuDIP TCP Port: 3495
  

Attention :

  lors de l'utilisation des services de domaines dynamiques, il est souvent recommandé par les fournisseurs d'utiliser leurs serveurs DNS dans vos paramètres réseau.
  Dans ce cas, je vous conseille de paramétrer le DNS de votre FAI en tant que DNS primaire et secondaire (si possible), et d'ajuter un DNS du fournisseur DDNS en dernier.

L'IPX800 en client DynDNS

Après avoir créé un compte auprès de l'un des fournisseurs de nom de domaine dynamique, renseignez l'IPX800. Allez dans le menu Réseau, puis DNS Dynamique

Paramétrage DNS

Renseignez les champs suivants :

  • le service DDNS,
  • le nom d'utilisateur de votre compte DDNS,
  • le mot de passe de votre compte DDNS,
  • le nom host configuré dans le compte DDNS.

La Livebox (V2 / V4 / PRO V2) en client DynDNS

Livebox 2 Livebox 4 Livebox Pro V2

Les noms de domaines proposés par les fabricants

Certains fabricants de matériels (NAS, Routeurs, ...) ou FAI (Free, ...) proposent un service DDNS gratuit et permettent donc d'obtenir gratuitement un nom de domaine qui pointe vers votre adresse IP publique. Vérifiez sur votre réseau si l'un de vos dispositifs le permet.

Obtenir un nom de domaine avec un NAS Synology

VPN DDNS Syno2.PNG

Obtenir un nom de domaine avec la freebox V6

La freebox V6 permet de choisir un nom de domaine. Pas besoin de passer par les services cités au dessus.

Allez sur l'interface de votre freebox et ouvrez les paramètres.

Cliquez sur l'option "Nom de domaine"

VPN Domaine fbx.PNG

La redirection de ports

Une première méthode consiste à ouvrir des ports entrant sur le réseau domestique et associer ce port à un matériel du réseau. Ainsi, depuis internet, il devient possible de se connecter à chaque dispositif du réseau (pour lequel une redirection existe)

  http://mon_adresse_publique:le_port_vers_mon_dispositif

Les box ADSL offrent généralement la possibilité de configurer des redirections de ports, ce qui permet de se connecter à des dispositifs locaux depuis l'extérieur.

Prenons le cas de l'IPX800 Son interface Web est joignable par défaut sur le port 80.

Il est donc possible de contacter ce matériel sur son adresse locale http://Adresse_Locale_IPX800:80

(80 étant le port http par défaut, il sera inutile de le préciser.)

Faisons correspondre le port 8080 externe au port 80 de l'adresse locale de notre IPX800

L'IPX800 pourra désormais être contactée depuis l'extérieur, à l'adresse http://Mon_Adresse_publique:8080

Sur la box ADSL, il faudra configurer une règle NAT où le port externe sera redirigé vers l'adresse du dispositif

Redirection sur une freebox V6

VPN NAT freeboxV6 2.png

VPN NAT fbx.png

Exemple avec la Livebox (V2 / V4 / PRO V2)

Pour faire une redirection de port vers un matériel, il convient de rendre son adresse statique.

Pour ce faire, paramétrez le matériel en tant que client DHCP ou bien définissez lui une adresse statique,

ensuite, rendez vous sur l'interface de configuration de la livebox, et ouvrez le panneau "Paramètres avancés" ou "Configuration avancée" en fonction du modèle.

Ouvrez l'onglet DHCP, choisissez le matériel et renseignez une IP statique.

Livebox 2 Livebox 4 Livebox PRO V2

Ensuite, dans la configuration NAT/PAT, créez vos redirections de ports.

Livebox 2 Livebox 4 Livebox PRO V2


Autres box Adsl

Pour les autres box, vous pouvez consulter l'assistance sur le site de votre fournisseur. Les rubriques à rechercher sont :

  • Assigner une adresse statique à mon matériel
  • Créer une règle NAT sur ma box ?

Avantages de la redirection de port

Utilisation très simple. Il suffit de connaître l'adresse IP publique du moment et de se connecter en précisant le port TCP lié au matériel.

Inconvénients de la redirection de port

Il est nécessaire d'ouvrir autant de ports que de matériels à contacter. Il est nécessaire de mettre une politique musclée de mots de passe, paramétrer les FireWalls. Sur internet, il existe plétore d'outils qui scannent les ports ouverts et qui détectent le type de matériel qui se cache derrière. Connaissant les mots de passe par défaut mis en place par le fabricant dudit matériel, le hacker ne manquera pas de tenter de s'y connecter. Il est donc fortement conseillé de changer tous les mots de passe mis en place sur les matériels ayant accès à internet (IPX800, EDRT, Caméras, Box, ...)

Le VPN

Le VPN (Virtual Private Network ou Réseau Privé Virtuel) est un tunnel sécurisé entre 2 dispositifs, au travers d'un réseau (internet)

Les appareils non connectés à ce réseau n'auront pas accès à l'information.

Pour que la connexion s’établisse, il y a échange de clés entre le serveur et le client. Ils vont échanger des clés (publique puis privée).

La clé privée servira à décrypter les données.

Il existe beaucoup de sites sur internet qui parlent du VPN, nous n'entrerons pas dans les détails ici.


Freebox V6

Activation du serveur VPN sur une Freebox révolution (V6)

Connectez vous à l'interface d'administration de votre freebox

Entrez dans les paramètres de la Freebox

Ouvrez la configuration du serveur VPN

VPN freeboxV6.png

Créez un utilisateur VPN. Déterminez un mot de passe de niveau élevé. Vous pouvez laisser en adressage dynamique.


VPN user freeboxV6.png

Paramétrez le type de VPN. Ici, nous allons paramétrer un VPN en IPsec_IKEv2 Certains utilisateurs ont testé ce protocole avec

  • iOS 8 : incompatible
  • iOS 9 et 10 : compatible
  • Win 7 + : compatible


VPN IPSEC freeboxV6.png

Cochez la case "Activer"

Renseignez le nom de l'utilisateur et le mot de passe associé, créés ci-dessus.

Le nom du Serveur et l'ID distant devraient être renseignés par défaut.

Relevez les informations ID / utilisateur/mot de passe

C’est terminé pour la configuration du serveur VPN.

Vous pouvez à tout moment voir qui est connecté à votre VPN Freebox dans le menu « Connexions ».

pensez à relever votre adresse IPv4 dans le menu « État de la Freebox », puis « État Internet »

Se connecter avec un appareil Androïd

strongSwan

Se connecter avec un iPhone

Allez dans « Réglages », puis « Général », puis « VPN », et en enfin « Ajouter une configuration VPN… »


Saisissez les informations suivantes :

   desciption : mettre un descriptif en cas de VPN multiple
   serveur : correspond à l’ip publique de votre Freebox
   id. distant : info notée précédemment
   id. local : le nom d’utilisateur
   type : mettre sur aucun
   secret : le mot de passe de votre utilisateur

Se connecter avec un PC sous Windows

A partir de Windows 7, le VPN IKEv2 est natif.

Lancez le "centre Réseau et Partages"

Configurez une nouvelle connexion

VPN Win10 0.PNG

Sélectionnez le type de connexion et faites [Suivant]

VPN Win10 2.PNG

Sélectionnez le mode de Connexion

VPN Win10 3.PNG

Renseignez l'ID distant que vous avez noté précédemment et faites [Suivant]

VPN Win10 4.PNG

Renseignez l'utilisateur et son mot de passe, créés précédemment sur la Freebox

VPN Win10 5.PNG


Livebox Pro V2

Activation du serveur VPN

Connectez vous sur l'interface de configuration de votre livebox. Pour simplifier la connexion à distance, nous utiliserons le logiciel client VPN Orange (SHREW).

Dans les paramètres avancés, activez l'onglet VPN et sélectionnez le serveur IPSEC pour utilisateurs nomades

LiveboxPro2 VPN.PNG LiveboxPro2 VPN2.PNG

Dans la rubrique Groupes, cliquez sur Ajouter.

Dans la fenêtre qui apparaît, saisissez les paramètres. Sélectionnez le logiciel VPN Shrew.

Le champ Clef partagée est un code choisi librement. Il servira lors de l'installation du logiciel Shrew.

LiveboxPro2 VPN3.PNG LiveboxPro2 VPN4.PNG

Activez le groupe et ajoutez un utilisateur

LiveboxPro2 VPN5.PNG

Renseignez le nom de l'utilisateur et créez un mot de passe. Sélectionnez le groupe que vous avez créé précédemment. Activez l'utilisateur et sauvegardez.

Votre Livebox pro est maintenant configurée en tant que serveur VPN. Afin que les utilisateurs distants y aient accès, il est désormais nécessaire d’installer le logiciel VPN Orange sur leurs ordinateurs. Si vous voulez accroître la sécurité de votre réseau, vous pouvez paramétrer votre firewall.