Serveur VPN Freebox - Page 1

Question aux possesseurs de Freebox : est-ce que vous avez déjà utilisé la fonction serveur VPN ? Si oui, est-ce que c'est censé fonctionner si on se connecte au VPN depuis le réseau interne de la Freebox ?

Ici je n'arrive à rien : quel que soit le client VPN utilisé (OpenVPN ou celui intégré à Windows) et quel que soit le protocole de connexion, la connexion échoue systématiquement au bout d'un timeout. Avec Wireshark, je vois que la réponse à la tentative de connexion est un paquet ICMP "Destination unreachable (Port unreachable)".

Malheureusement je n'ai pas de moyen simple de tester depuis une autre adresse IP :
- j'ai pas de forfait data
- j'ai pas de serveur dédié chez un hébergeur
- apparemment, accéder à un VPN via Tor est compliqué, faute de support des paquets UDP
- il est trop tard pour aller sonner chez les voisins pour leur demander le code de leur connexion Wifi

Est-ce que c'est normal, ou c'est moi qui suis une quiche ?

Bon, j'ai fini par me rappeler qu'il y avait quand même quelques Mo de connexion 3G dans mon forfait, je me suis arraché les cheveux pour configurer la connexion sur le téléphone, puis pour arriver à partager la connexion via Bluetooth avec le PC (mon téléphone n'a pas de Wifi), mais au final c'était bien un problème de réseau : si j'utilise une autre IP, la connexion avec le serveur OpenVPN réussit.

Maintenant il reste à rester un autre petit problème : une fois que le VPN est connecté, je n'arrive à charger aucune page web

Jamais testé la config VPN de la Freebox.

Perso j'utilise(utilisai) le serveur pour ça. Pour l'utilité que j'en ai aujourd'hui, un tunneling avec le serveur SSH me suffit.


PS : si jamais (je dis ça comme ça hein, je ne sais pas DU TOUT quel est ton téléphone) tu as des pbs de stabilité de la connexion en BT, l'infrarouge marche très bien et l'usb aussi pour le partage de connexion.

Zerosquare (./1) :
Si oui, est-ce que c'est censé fonctionner si on se connecte au VPN depuis le réseau interne de la Freebox ?

J'avais tenté un temps, mais sans succès. Finalement c'est mon NAS qui me sert pour le VPN. Je crois que ça se télescope avec la notion d'adresse déclarée pour la DMZ si tu en as une.
Le fait de pouvoir s'y connecter depuis le réseau interne dépend de plusieurs facteurs, donc je ne saurais te répondre (le VPN de notre boulot n'est pas accessible depuis l'intérieur pour éviter que ça ne fragilise la sécurité entre VLAN supposés hermétiques, par exemple, mais aussi parce que certains utilisateurs ne comprendraient pas ce qu'ils font [déjà que...]). Par contre, l'OpenVPN sur mon NAS peut être utilisé sans souci depuis mon réseau interne domestique (il faut, bien évidemment, que la classe d'adresses privées soit différente entre le réseau interne et le VPN pour que la passerelle sache acheminer les paquets).

j'ai mis mon serveur vpn sur un dédié du coup pas de souci d'adresse interne/externe

squalyl (./5) :
j'ai mis mon serveur vpn sur un dédié du coup pas de souci d'adresse interne/externe

Ben... si, quand-même ?
Ah, je réalise que je me suis mal exprimé, en fait.
Il faut que
- L'adresse attribuée par le VPN ne soit pas dans la classe du réseau privé dans lequel se trouve le client afin de permettre un routage correct
- L'adresse attribuée par le VPN ne soit pas dans la classe soit différente du réseau privé de destination
- La classe du réseau de destination soit différente de la classe du réseau dans lequel se trouve le client

Typiquement, si tu as 192.168.1.255 pour le réseau interne dans lequel se trouve ton client, il faut que ton adresse attribuée par le VPN soit issue d'une autre classe (mettons en 10.255.255.255 ou whatever), mais aussi que ton réseau de destination soit dans une troisième classe (192.168.2.255, par exemple).
Sinon, tu risques d'avoir les problèmes suivants :
- Que ton VPN attribue une adresse IP au client qui soit déjà présente sur le réseau source ou sur le réseau de destination (et/ou qu'il y ait des confusions dans les tables de routage)
- Que ton client ne soit pas capable de savoir par où passer pour aller vers une destination si les classes sont les mêmes (par exemple, dans mon premier paramétrage, au boulot j'avais du 192.168.1.255 et à ma maison aussi, du coup lorsque je voulais joindre 192.1.168.1, c'était le gros bordel pour lui).

Attention aussi à un point de détail si tu utilises le VPN pour rendre ta navigation privée : il faut que ton client VPN soit paramétré pour rediriger les requêtes DNS vers le VPN. Sinon c'est le DNS du réseau source qui est utilisé pour la résolution de noms, avec ce que ça peut impliquer comme traces (il existe des outils en ligne pour tester le DNS leaking).

c'est une évidence de routage IP...

bon truc a checker le dns, en effet, merci du rappel

edit: je suis bien en openvpn avec redirect-gateway, et j'indique quad9 comme option DHCP DNS, donc ok pour mon setup

squalyl (./7) :
redirect-gateway

Attention, cette option ne fonctionne pas dans tous les environnements (je ne sais plus si c'est avec un client Windows ou un client Linux, mais dans un des deux cas il faut avoir un script qui modifie le DNS au niveau système ou le faire manuellement).

block-outside-dns ?
https://community.openvpn.net/openvpn/ticket/882

celle la j'ai pas mis... je vais vérifier.
edit: done, infos ici, c'est win10 qui fait chier.

https://forums.openvpn.net/viewtopic.php?t=22039
https://www.dnsleaktest.com/how-to-fix-a-dns-leak.html

tout va bien ici

edit: une solution sure est de mettre une route par défaut pipo (gw inexistante) et d'ajouter manuellement une route spécifique pour le serveur vpn.

Zero: c'est pas dit que le serveur VPN de free donne acces a internet, il peux ne router que vers ton reseau interne (et donc bloquer l'acces vers un reseau externe)

Free "vends" ce service VPN comme quoi ? "Acceder a votre PC a distance" ou "acceder a internet depuis la chine" ?


Et pour ne pas pouvoir l'utiliser en interne, comme ta freebox (hors IPv6) a deux interface (publique: internet, et privé: réseau local) le serveur VPN peux être configuré pour n’écouter que sur le réseau public. Le fait d'etre sur la partie privé peux bloquer l'acces pour differentes raisons dont limitation de comment marche un NAT)

Il est possible que ca marche en IPv6 par contre depuis l'interieur, a moins bien sur que le firewall bloque tout le set d'IP interne.

Merci à tous pour les infos

J'ai finalement acheté une carte SIM 3G prépayée pour faire des tests depuis une IP externe. Après avoir pas mal creusé, j'ai un truc qui marche à moitié : le trafic IPv6 passe bien par le VPN (la connexion 3G ne supporte pas l'IPv6 nativement), par contre le trafic IPv4 s'obstine à passer par la connexion 3G directement. Apparemment le client OpenVPN ne récupère pas d'adresse IPv4 ; l'interface Ethernet virtuelle a une adresse IP en 169.x.x.x (autoconfiguration), et sur la page de la Freebox qui liste les connexions actives, l'adresse IP attribuée au client affiche "0.0.0.0".

J'ai testé plein de trucs comme forcer une adresse statique pour l'interface du VPN, définir les métriques manuellement... mais rien à faire : soit les paquets IPv4 passent hors VPN, soit je n'ai pas de connectivité IPv4 du tout.

Faut que je fasse encore des essais, mais ça me prend la tête cette histoire... Si j'en crois ce que je lis un peu partout, tous les maillons de la chaîne sont capricieux : OpenVPN en lui-même, son implémentation sur la Freebox, et Windows 10.

Nil > merci pour les conseils de routage. J'utilise pas de DMZ.

Godzil > avec Free on peut faire les deux, au choix.

(PS : si quelqu'un retrouve un bout de carton qui prétend que je serais censé être ingénieur en télécoms, je précise que c'est un faux. D'ailleurs ça se voit, aucune vraie école d'ingé n'imprimerait un truc comme ça en Comic Sans )

()

./11 Tu as essayé avec ta carte prépayée d'utiliser PPTP ou L2TP ? Ils sont tous les deux intégrés à Android et à Windows nativement. Tu devrais pouvoir te connecter au VPN depuis le téléphone sans avoir besoin de partager sa connexion avec un ordinateur.

Mon but est d'avoir une connexion sur le PC : c'est ma machine de travail quand je suis en déplacement.

Bon, j'y suis finalement arrivé, mais ça n'a pas été sans mal \o/

J'ai laissé tomber OpenVPN : trop galère. À la place j'ai utilisé le client VPN natif de Windows 10.

Du coup, un mini-tuto pour ceux qui voudraient faire pareil :

- il vous faut une connexion Internet ne passant pas par Free/Free mobile : le VPN n'est accessible ni depuis la Freebox, ni depuis une connexion 3G de Free.

- il faut que votre Freebox ait une adresse IPv4 "full stack" (IP non partagée avec d'autres utilisateurs, tous les ports accessibles). Si ce n'est pas le cas, il faut l'activer explicitement dans l'espace abonné de votre compte (ce n'est pas accessible via l'interface de gestion la Freebox) :

La modif prend une trentaine de minutes pour être effective, et il faut redémarrer la Freebox ensuite.

- se connecter à l'interface de gestion de la Freebox.

- double-cliquer sur Paramètres de la Freebox, puis sur l'onglet avancé, puis sur Client VPN :


- sélectionner Utilisateurs dans la liste de gauche et cliquer sur Ajouter un utilisateur. Choisir un login et un mot de passe, et laisser IP dynamique :


- sélectionner IPsec IKEv2 et cocher la case Activer. Si vous n'avez pas déjà un nom de domaine en .freeboxos.fr, vous pourrez en créer un (actif au bout de 24 heures). Cliquer sur OK.


- éventuellement, vous pouvez aussi activer le mode PPTP si le réseau que vous utilisez bloque les ports utilisés par IPsec IKEv2 (attention : la sécurité de PPTP est considérée comme faible). Même principe : cocher Activer, choisir Obligatoire 128 bits dans la liste Mode de chiffrement, puis cliquer sur OK.


- double-cliquer sur l'icône Gestion des ports, puis sur l'onglet Connexions entrantes. Vérifier que les lignes correspondantes au(x) mode(s) VPN que vous avez choisi indiquent bien Oui dans la première colonne. Si ce n'est pas le cas, cliquer sur l'icône à droite, cocher la case Autoriser les connexions entrantes, puis cliquer sur Sauvegarder.


C'est tout pour la Freebox. Côté Windows 10 :

- si vous utilisez le firewall Windows en mode "bloquer les connexions sortantes par défaut", créez des règles pour autoriser les ports utilisés par le VPN (500 et 4500 en mode IPsec IKEv2, 1723 en mode PPTP) ; Windows ne le fait pas automatiquement.

- faire un clic droit sur le bouton Windows de la barre des tâches et cliquer sur Connexions réseau. Dans la liste de gauche, cliquer sur VPN, puis sur Ajouter une connexion VPN.


- choisir Windows (intégré) dans la liste Fournisseur VPN. Saisir l'adresse IP de la Freebox (ou le domaine en .freeboxos.fr), ainsi que le login et le mot de passe que vous avez choisi. Choisir Automatique dans la liste Type de réseau privé virtuel, et Nom d'utilisateur et mot de passe dans Type d'informations de connexion. Cliquer sur Enregistrer.


- cliquer sur Modifier les options d'adaptateur. Faire un clic droit sur l'icône de la connexion VPN et choisir Propriétés. Cliquer sur l'onglet Sécurité. Dans la liste Chiffrement des données, choisir Niveau de chiffrement des données maximal. Cliquer sur OK.


- faire un clic droit sur le bouton Windows de la barre des tâches et cliquer sur Windows PowerShell (admin). Taper la commande suivante : Set-VpnConnection -Name "nom de la connexion VPN" -SplitTunneling 0.
(très important : sans cette étape, la connexion VPN réussira, mais les échanges de données avec Internet ne passeront pas par le VPN)


C'est fini. Vous pouvez maintenant activer ou désactiver le VPN à tout moment en cliquant sur l'icône Connexion de la barre des tâches, puis sur le nom de la connexion VPN. Vérifiez bien avec un site tel que http://www.whatismyip.com/ que le VPN est opérationnel.

ce tuto, merci

Nickel, merci beaucoup !

Pour tout ce qui était vpn à la fin en Chine j'utilisais shadowsock.

Ultra simple à installer sur un petit vos au Japon, ça marchait comme sur des roulettes.

En tout cas, je confirme que le VPN via la Freebox fonctionne depuis la Chine

Bah, si ça peut servir aux autres, ça compense le temps que j'ai mis à galérer dessus ^^

Je complète avec une info importante : non seulement le VPN ne marche pas depuis le réseau internet de la Freebox, mais il ne marche pas non plus... depuis une connexion 3G de chez Free. Aucun problème depuis la 3G d'un autre opérateur, par contre. Si vous trouvez ça débile, vous n'êtes pas le seul

(le mien oui )

Vraiment zarb du coup
Cela dit, je crois qu'avec la 3G Free tu as une adresse en 10.0.0.0 quelque chose, non ? Du coup, c'est peut-être lié à leur façon de router en interne.

ouais je confirme le 10.8.x.x