VPN et gestion de ports

Caliban · Hobbit de L'Univers Inscrit le: 18 Mai 2016 Messages: 6

Bonjour cher freenaute,

Voilà je tenté une expérience avec un amis qui consiste à utiliser un VPN afin de profiter du fait que j'avais ouvert mes ports. Je m'explique, mon ami est dans l'incapacité d'ouvrir les ports de sa box (car trop de méfiance sur la sécurité). Je lui ai donc proposé de mettre à profit le fait que moi je puisse les ouvrir pour lui en faire profiter. J'avais comme idée que le VPN prendrait mon IP mais aussi ma gestion de ports. Cependant le résultat n'a pas été celui attentu et rien ne s'est produit.
J'aurais donc souhaité savoir si le VPN prennait en compte les ports ouverts.

Merci

Freeboooox · Geek de L'Univers Inscrit le: 15 Nov 2014 Messages: 7912

Bonsoir,

Je dirais que comme il y'a deux routeurs il faut rediriger les ports au niveau des deux routeurs.

Le VPN lui c'est juste un tunnel entre les deux réseaux.

Caliban · Hobbit de L'Univers Inscrit le: 18 Mai 2016 Messages: 6

Merci pour cette réponse, j'essaierai de le convaincre d'ouvrir ses ports mais sinon n'existe t-il pas une autre solution sous v6 pour pouvoir prendre en charge les ports sans avoir la machine physique chez soi ?

Freeboooox · Geek de L'Univers Inscrit le: 15 Nov 2014 Messages: 7912

De rien,

peut être en se connectant au réseau Free Wifi et utiliser le VPN directement sur son PC.

A voir car jamais testé

Si ça marche, niveau sécurité par terrible non plus car le réseau Free Wifi et pas trop sécurisé. Il vaut mieux ouvrir les port sur sa box.

FreeRaleur · Disciple de L'Univers Inscrit le: 15 Jan 2015 Messages: 120

Je ne comprends absolument rien à ce message.

1) Le problème du VPN... mais de quel VPN parle-t-on ?

La V6 offre 4 modes :

- mode PTPP surtout utile pour les clients Microsoft car supporté de façon native et aussi uttile pour d'anciens appareils

Le mode PTPP n'est plus conseillé car un peu vieillot il est préférable d'utliser IKEv2, ou OpenVPN, ce qui requiert l'installation de OpenVPN client sur la machine qui doit se connecter

- mode IPSec IKEv2

- le mode OpenVPN qui se divise en deux sous mode :
=> routé
=> bridgé

En mode bridgé qui à ma connaissance est le seul qui fonctionne avec un client Windows qui fait tourner lui-même le client dédié OpenVPN, le client acquiert une adresse régulière du réseau local le même que celui du Wifi personnel. Pour cela OpenVPN installe une carte réseau virtuelle déonommée TAP, et c'est cette carte réseau qui va acquérir l'adresse locale du réseau distant.

En mode routé : je ne sais pas ça ne marche pas avec les clients Windows (d'après ce que j'ai lu c'est lié à une incompatbilité de notation sur les sous réseau entre Windows et le monde Unix puisque OpenVPN vient du monde Unix) Il faudrait que je fasse des test à partir d'un poste Unix

En PTPP il me semble que le client acquiert une adresse d'un sous réseau caché en 192.168.27.xxx, donc il n'a pas accès direct au réseau local

2) Ma question est : mais que veut faire votre ami exactement (accéder à votre réseau local ?), juste emprunter votre connexion pour sécuriser une connexion Wifi, que voulez vous faire exactement, et c'est quoi ces histoires de ports que votre ami ne voudrait pas ouvrir ? Est-ce à dire que c'est vous qui cherchez à accéder à des ressources réseau chez votre ami ?

Caliban · Hobbit de L'Univers Inscrit le: 18 Mai 2016 Messages: 6

Je vais clarifier un peu ma demande qui je l'avoue n'était pas très détaillé.

J'ai ouvert un VPN à l'aide de ma Freebox v6 en pptp afin que mon ami puisse se connecter avec sa machine et profiter de mon ouverture de port.
Mon ami possède une Freebox v5 et émet quelque réticence car il à des doutes sur failles de sécurité qu'il peut y avoir lors de l'ouverture de certains ports.

Notre machine est un serveur Dell poweredge 1950 tournant sous Windows serveur 2012 R2 et nous souhaitons hébergé dessus plusieurs serveur (dont des serveurs de jeu).

J'ai émis comme hypothèse qu'un VPN permettrai à mon ami d'avoir des ports ouvert en passant par ma box et non la sienne ses ports, hypothèse qui s'est a priori révélé fausse puisuqe nous n'avons obtenu aucun résultat.

J'espère avoir clarifié mon explication et espère que cela vous permettra de comprendre ma demande

Ps: il a acquit comme adresse "locale" 192.168.27.65

FreeRaleur · Disciple de L'Univers Inscrit le: 15 Jan 2015 Messages: 120

Caliban · Hobbit de L'Univers Inscrit le: 18 Mai 2016 Messages: 6

Effectivement il accède bien a Internet par la serveur.

Il nous suffit donc de changer de protocole et de passer sous OpenVPN et cela devrait fonctionner.

Merci de m'avoir offert votre aide, nous testererons cette méthode dès demain et je vous communiquerai si cela a effectivement fonctionné.

FreeRaleur · Disciple de L'Univers Inscrit le: 15 Jan 2015 Messages: 120

CORRECTION IMPORTANTE :
-----------------------------------------

Je suppose que votre serveur Dell est configuré en passrelle,
En tant que tel vous avez donc dû activer sur le Freebox Server la redirection "DMZ" vers votre serveur Dell

Dans ce cas, veuillez noter que pour les schémas décrits que ce soit en PPTP ou en OpenVPN, votre serveur Dell ne sert sctrictement à rien, tout est géré par la Freebox, l'accès Internet est géré directement par la Freebox sans passer par votre serveur.

Si vous souhaitez que votre ami passe par votre serveur, vous devez oubliez votre Freebox

- l'activation de la redirection DMZ vers votre serveur doit logiquement renvoyer tout le le trafic vers votre serveur, donc aucune autre redirection n'est nécessaire

- il faut installer sur votre serveur Dell un SERVEUR VPN OpenVPN ou IKEv2, évitez le protocol PPTP vieillot

C'est sur le serveur Dell qui faut alors paramétrer un accès VPN, qu'il faut le cas échéant ouvrir un port et "forwarder" les données vers l'adresse IP acquise par l'ordinateur de votre ami pour cela vous devez lui assigner une IP fixe, l'adresse MAC à prendre en compte pour l'assignation automatique d'un bail fixe est l'adresse MAC de l'interface virtuelle TAP installée sur le PC de votre ami ou celle de l'interface virtuelle IKEv2

Si votre serveur Dell est sous Linux/BSD, le serveur OpenVPN est installable

Si votre serveur Dell est sous Windows Server, ce dernier gère sans aucun doute de façon native les serveurs VPN IKEv2, mais aussi SSTP.

Si votre serveur Dell tourne sous une version de Windows non serveur et que le routage est simplement lié à l'activation du partage de connexion Internet.... bon c'est pas bon du tout. vous avez un routeur un peu "branquignole

Il me semble que l'on peut paramétrer une connexion serveur VPN sur une édition personnelle de Windows mais vous aurez un souci niveau firewall pour la fonction de redirection des ports. Il faut pour cela un firewall "corporate" pour passerelle payant et très cher et non personnel. Les firewall personnels n'intègrent plus les fonctions de redirections , c'était le cas au tout début sur certains produits.

A ma connaissance le serveur OpenVPN n'a pas été porté sur Windows, seul le client OpenVPN est disponible.

Caliban · Hobbit de L'Univers Inscrit le: 18 Mai 2016 Messages: 6

Bonsoir, désolé d'avoir mis autant de temps à vous communiquer une réponse mais nous avons eu besoin de temps pour tester toutes les possibilités.

Nous avons donc essayé de passer par OpenVPN qui a été un succès, mon ami apparaissait bien dans la liste des appareils sur mon réseau. Cependant les différentes redirection que j'avais mis en place n'ont pas fonctionné. J'en suis arrivé à la conclusion que le VPN ne permettait pas une ouverture de ports sur une machine n'étant pas réellement sur son réseau local.

J'ai donc réussi a convaincre m'ont amie d'ouvrir ses ports et d'installer un firewall comme vous me l'aviez conseillé plus tôt.

Merci pour vos réponses