[Tuto] : Freebox + DD-Wrt = Serveur VPN personnel

autourdesam · Hobbit de L'Univers Inscrit le: 30 Déc 2012 Messages: 37

Dans le tutoriel ci-dessous, j'explique comment configurer la Freebox afin de se servir d'un routeur sous DD-Wrt pour disposer d'un serveur VPN à son domicile , fonction qui malheureusement fait cruellement défaut à nos Freebox de mon point de vue.

https://sam.Web.free.fr/blog/?p=1751
_________________
Autour de ... Sam : https://sam.Web.free.fr/blog
Freebox V6 + Routeur Linksys sous DD-WRT
Page dédiée Freebox : https://sam.Web.free.fr/blog/?tag=Freebox
Twitter : https://Twitter.com/Autour_de_Sam

totuo2002 · Geek de L'Univers Inscrit le: 09 Déc 2009 Messages: 1970

heu je viens d'en lire un bout, et je pense que le mot pare feu n'est pas adapté, les Freebox n'ont pas de parefeu, c'est juste que la redirection de port ne se fait pas quand on est en routeur.
un firewall est là pour bloquer les paquets
un routeur est un aiguillage à paquets.

Une petite question via la console mafreebox.fr on peut passer en mode bridge, en est il de même pour repasser en routeur ou faut il passer par l'interface voir redémarrer la box en mode usine ?

kmf31 · Geek de L'Univers Inscrit le: 13 Mai 2007 Messages: 1023

Tout routeur NAT bloque par default les pacquets non-sollicites entrants et cela est la toute 1ere (et aussi la plus importante) fonctionnalite de tout pare feu. Dans ce sens (le mode routeur de) la Freebox est bel et bien (au moins) un pare feu simple.

Apres ce que les bons pares feu peuvent faire en plus c'est aussi de bloquer, limiter le traffique sortant, c.-a-d. venant des logiciels qui tournent sur le(s) propre(s) PC. En Windows ca fait effectivement partie des pares feu soft usuels mais c'est aussi base sur l'hypothese que le PC est déjà bouffe par des virus, chevaux de troi ou des vers (hypothese bien justifie dans de nombreux cas, notamment a une epoque avec des PC Windows XP non-mis a jour et non-proteges par un autre pare feu ou routeur et qui se faisaient bouffer en 10-20 minutes apres connexion a Internet, mais déjà un routeur comme la Freebox protege contre une telle infection directe et naive).

En Linux je me permets de ne pas filtrer la direction sortante et jusqu'ici apres de tres nombreuses annees cela ne m'a jamais pose un probleme. Par contre quand il s'agit d'ouvrir (ou de rediriger) de ports, comme pour SSH, j'utilise la config iptables en Linux (le "parefeu" en Linux) pour limiter les IPs qui peuvent se connecter a mon serveur (SSH) et cela la Freebox ne peut pas non plus faire. Elle peut seulement ouvrir (rediriger) ou fermer (ne pas rediriger) le port SSH tout court etc. mais elle l'ouvrir pour telle IP et le fermer pour les autres IP.

Je connais cette "discussion de semantique" si oui ou on la Freebox est un pare feu depuis des annees car sur tout forum ca revient tot ou tard. Honnetement avec toutes les conn*** qui sont dit tous les jours dans les forums (notamment avec les unites de debit entre "mega" tout court, Mo/s, Mb/s ou Mb etc. qui sont incorrectement melanges de maniere quelconque ou des gens qui regulierement confondent "degroupage partiel" et "non-degroupe" etc.) je pense on peut bien admettre que le mode routeur de la Freebox est bien un pare feu simple car dans les faits c'est le cas. Si on commence a "refuter" ca il faut aussi faire l'effort d'expliquer la subtilite des choses dites ci-dessus (filtrage direction sortante, filtrage par IP ce qui n'est d'ailleurs pas non plus facile ou parfois meme pas possible avec les fameux "pares feu" soft en Windows !). Si on est penailleur pour les details de semantique q'on le soit aussi pour l'ensemble et qu'on n'omet pas a expliquer pourquoi.
Enfin c'est mon avis.

totuo2002 · Geek de L'Univers Inscrit le: 09 Déc 2009 Messages: 1970

OK si tu veux pour petit pare-feu, de toute façon c'est un éternel débat, c'est pour ça que je posais la seconde question, car en interne tu n'as aucun pare feu tout passe, si un pirate s'incruste sur ton Wifi ben il a tous les ports grands ouverts.
et qui sait si ce n'est pas possible ou sera pas possible en CPL d'un appart a l'autre si le disjoncteur est mal filtré.
De plus la box elle a tous les ports ouverts donc elle même pourrait subir une attaque.

autourdesam · Hobbit de L'Univers Inscrit le: 30 Déc 2012 Messages: 37

totuo2002 · Geek de L'Univers Inscrit le: 09 Déc 2009 Messages: 1970

OK de toute façon ton site est quand même bien fait, j'ai essayé quelques tests en rapports avec celui-ci : https://sam.Web.free.fr/blog/?p=155

Comme tu as l'air assez calé j'ai peut être une question bête.
comment se fait il qu'on puisse avoir accès en ftp au serveur en interne et pas depuis l'extérieur ?
voici mes tests :
si on ouvre le port 21 (par defaut) vers un ftp serveur mis sur un PC, on a aucun problème a y accéder depuis l'extérieur.
si on essaye d'acceder au serveur via un ftp en interne en rentrant l'adresse IP du serveur interne pas de problème non plus.
Du coup je me disais qu'en ouvrant le port 21 sur l'adresse IP interne du serveur (192.168.0.254) ça passerai de l'extérieur mais c'est hélas bel et bien bloqué, je me demande comment.

Fuli · Chevalier de L'Univers Inscrit le: 13 Oct 2008 Messages: 493

Bonjour,

J'aimerai bien connaitre les détails pour comprendre pourquoi laisser la Freebox v6 en mode routeur ?
N'ayant pas de v6 mais envisageant de changer un de ces jours, j'aimerai savoir quels sont les services qui deviennent inaccessibles (facilement) une fois la v6 en bridge.
_________________
Un verre, ça va. Trois verres, ça va, ça va, ça va.

autourdesam · Hobbit de L'Univers Inscrit le: 30 Déc 2012 Messages: 37

autourdesam · Hobbit de L'Univers Inscrit le: 30 Déc 2012 Messages: 37

Fuli · Chevalier de L'Univers Inscrit le: 13 Oct 2008 Messages: 493