Le VPN ou comment se simplifier en sécurité la vie !

Rédaction le 05/12/2018
Mise à jour le 12/01/2019

Nous avons vu la mise en place d’un routeur derrière notre box opérateur. L’une des raisons qui nous a conduit à ce choix est la possibilité entre autre de mettre en place un serveur VPN. Oui, cela existe sur un NAS aussi, on peut même faire une machine virtuelle dédiée à cela.

Encore une fois, adaptez ! Je ne fais que vous livrer ma manière de faire et mes arguments. Pourquoi sur le routeur ? Car en cas de crash matériel d’un NAS ou d’un serveur dédié à ça, vous n’aurez plus la main sur votre architecture.

Ici, j’ai fait le choix de positionner en tête de pont un routeur Asus RT-AC5300 ; mais cela fonctionne aussi avec n’importe quel routeur intégrant la capacité de mettre en place un serveur VPN.

Rendez-vous dans l’onglet VPN de l’interface d’administration de votre routeur (accessible en http://192.168.2.1 si vous avez suivi mon architecture) :

C’est assez facile !

Choisissez un serveur OpenVPN, activez-le et :

  • Choisissez un cryptage 2048 bits,
  • Un accès au réseau local uniquement,
  • Exportez le fichier OVPN de configuration que nous modifierons,
  • Ajouter un utilisateur en tapant son nom et un mot de passe puis en cliquant sur le bouton + (de base vous avez l’administrateur de votre routeur, personnellement il y a un utilisateur pour chaque personne de la maison),
  • Appliquez !

Basculez ensuite sur les détails du serveur VPN de Général en Paramètres Avancés et modifiez :

  • le port du serveur – par défaut 1194, je fais le choix de mettre un port différent par exemple 9999,
  • une authentification TLS,
  • un masque sous-réseau 10.8.0.0. Cela signifie que votre téléphone par exemple qui se connectera au serveur VPN de votre routeur aura une adresse IP en 10.8.0.* qui lui sera attribué. Mémo, pensez à autoriser dans les partages NFS ou SAMBA la plage d’adresses de votre VPN, sinon vous n’aurez aucun accès,
  • là encore appliquez !
Paramétrages avancés du serveur VPN

Éditons notre fichier OVPN qui vous servira de base pour vous connecter depuis vos équipements extérieurs à la maison : ordinateur portable extérieur, téléphone portable pour voir vos caméras ou designs Jeedom, etc.

remote adresseipextérieure 9999
float
nobind
proto udp
dev tun
sndbuf 0
rcvbuf 0
keepalive 15 60
comp-lzo adaptive
auth-user-pass
client
auth SHA1
cipher AES-128-CBC
ns-cert-type server
<ca>

Avant et après votre clé d’authentification les paramètres qui réalisent la configuration de la connexion VPN. Modifiez par exemple l’adresse IP par votre sous-domaine/domaine ou laissez-là si elle est fixe sinon nous aborderons la possibilité de mettre en place un DynDNS pour un sous-domaine & domaine chez OVH par exemple.

Et ? Bein… maintenant, il suffit de télécharger le client OpenVPN sur votre PC portable :

https://openvpn.net/community-downloads/

Téléchargez si vous êtes sous Windows le fichier
Windows installer (NSIS) correspondant et installez-le. Il se peut que vous deviez redémarrer pour prendre en compte la carte TAP relative au VPN.

Placez alors le fichier .OVPN que vous avez modifié dans le répertoire de stockage de configuration :

C:\Program Files\OpenVPN\config

Lancez le programme OpenVPN-GUI (graphic user interface) puis connectez-vous en sélectionnant ce fichier OVPN par “connect”. OpenVPN vous demandera alors l’utilisateur et le mot de passe que vous avez entré dans l’interface de votre routeur.

OpenVPN GUI se connectant à votre réseau

Testez avec un téléphone portable qui partage sa connexion Internet par exemple et connectez-vous sur votre routeur ou sur un équipement de votre installation en 192.168.2.X et magie ! comme si vous étiez à la maison :-).

L’intérêt est de pouvoir faire cela depuis son téléphone portable pour pouvoir administrer des équipements, accéder à des interfaces de gestion, ses caméras, proxmox etc

Installez l’application officielle OpenVPN sur votre smartphone préféré puis :

https://play.google.com/store/apps/details?id=net.openvpn.openvpn

Direction votre playstore puis recherchez l’application officielle d’OpenVPN

Lancez l’application et importez votre profil OVPN précédent :

Sélectionnez votre profil

On se connecte ensuite :

Connexion au VPN effective !

Petit HS : si vous avez prévu un partage NFS ou SAMBA sur votre NAS préféré, pensez à ajouter les adresses IP de votre réseau VPN pour vous permettre d’accéder au point de montage depuis l’extérieur.

Autorisation des machines du VPN à accéder aux dossiers partagés

L’intérêt ici a été de mettre en place un serveur VPN sur votre installation pour vous permettre d’y accéder depuis l”extérieur simplement et de manière sécurisée puisque les données passent par un tunnel privé virtuel. Nous allons pouvoir donc accéder aisément à nos caméras et autres machines virtuelles sans se prendre la tête !

La conclusion de cet article

Retrouvons-nous pour le prochain article de création de votre première machine virtuelle qui servira à mettre en place le service Apache ! Ainsi, nous pourrons mettre en place un certificat SSL et un accès à Proxmox, notre routeur, Jeedom, etc aisément ! Et maintenant avec notre VPN qu’on soit de l’intérieur ou l’extérieur !

Si vous avez aimé cet article, faites le savoir, partagez-le ! Et n’hésitez pas à me supporter 🙂

Merci à vous !

One thought on “Le VPN ou comment se simplifier en sécurité la vie !

  1. Bonjour, un tuto pour la même chose mais sur une VM dans proxmox ? Avec l’ip en DMZ (Freebox). Je ne suis pas super satisfait de l’option VPN proposée par la Fbox Révolution.

  2. J’ai fais un VPN via OpenVPN acces installé sur une machine virtuelle sur mon nuc.
    Le soucis que j’ai c’est que j’ai bien tout le trafic internet qui passe via ce tunel (mon ip public devient celle de chez moi) mais pas moyen de joindre les machine de mon réseau ayant une IP 192.168.1.x sauf mon routeur qui est en 192.168.1.1

    Aurais-tu une idée ?

    1. A mon avis, c’est côté routeur qu’il faut voir. Depuis l’extérieur, j’ai du passer par mon DNS pour bien gérer cela. Côté intérieur par contre, aucun souci sur mon routeur Asus.

      1. En effet c’est étrange. D’autant que je viens de me rendre compte que j’ai pas le même comportement sur mon téléphone (réseau interne Ok mais internet Ko) que sur mon PC au boulot ( pas de contact avec les machines du réseau mais intenet Ok)…
        Forcément c’est l’inverse qui m’arrangerait. Je pense que au boulots j’ai internet car les dns sont fixés par la config windows par contre j’explique pas pourquoi je ne vois que mon routeur et pas mon pihole par exemple.
        Sur mon téléphone je pense qu’il n’y a pas de dns.

  3. Bonjour,
    nouveau dans le monde la domotique et sur votre site, merci pour cet article.
    En plus, ca aide, j’ai quasiment la même configuration matériel que vous :
    – Livebox,
    – ASUS AC68U + Disque dur sur USB qui sert de “serveur de fichiers”
    – et bientôt un Netgear GSS108E
    – openvpn serveur sur l’ASUS
    Bon OK! Je n’en suis pas à votre niveau. Je n’ai pas la possibilité de laisser mon PC allumé 24/24 et donc de créer un serveur Apache et/ou autre. 🙂

    Puis-je abuser de votre temps en vous posant juste une “petite” question:
    1- avec ma configuration openvpn actuelle Je ne vois QUE le HDD de l’ASUS. Comment faire pour y accéder?
    2- Comment avec openvpn, en fonction des utilisateurs, puisse-je autoriser que l’accés à certains répertoires du HDD en USB de l’ASUS (ou autres PC/répertoires du sur réseau privé lorsque je saurai le faire)?

    Est-ce possible tout ça car je n’est pas trouvé ?

    Par avance merci beaucoup pour votre aide.

    PS:
    J’ai lu votre lien (et d’autres) sur le domaine/sous domaine mais pas de réponse.

    1. Bonjour,

      Il vous faut faire des partages réseau. Sur l’ASUS, votre disque sera accessible de mémoire par l’admin de votre ASUS et des utilisateurs que vous aurez créé dans la partie VPN serveur de votre asus. Dans le principe j’ai trouvé le guide pour un routeur Dlink, je vous laisse chercher pour Asus.
      https://eu.dlink.com/fr/fr/support/faq/routers/mydlink-routers/dir-880l/comment-acceder-au-support-usb-connecte-a-mon-routeur

      Pour votre 2), c’est déjà plus sympa. Il va vous falloir mettre les mains dans le cambouis… mais vous allez vite être limité par l’interface d’Asus. Logique, le routeur reste simple dans son utilisation. Là vous demandez l’équivalent d’un vrai serveur VPN avec plusieurs utilisateurs, droits etc. Bref, un NAS même ultra léger fera mieux le travail. Vous mélangez à ce stade, utilisateurs, droits d’accès réseau, client/serveur VPN. Bref, sincèrement, un NAS ou un NAS”open” maison fera très bien le travail… vous pouvez définir qui a accès à quoi, écriture/lecture etc.

      C’est la raison d’être de ces produits.

      1. Merci Benjamin,
        Tant pis pour l’accès aux disques d’un pc du réseau local. Pour l’instant, je ne veux pas investir dans plus de matériel. Donc si techniquement pas possible tant pis.

        Pour l’accès par openvpn depuis mon smartphone au HDD de l’ASUS c’est bon: L’utilisateur “Admin” peut voir et accéder à tout le HDD.

        Par contre, créer, par exemple, un utilisateur ayant un un qu’à un seul répertoire du HDD ASUS je n’ai pas trouvé. Même sur votre lien qui explique une configuration d’accés de “local vers local”
        Bon j’espère que je vais trouver une solution.

        Encore merci

        1. Pourquoi ne pas monter un nas avec un ssd simple avec une raspberry ? Le coût est faible si vous avez déjà le disque. Sinon, l’investissement léger dans un nuc ou un nas petit modèle est à penser.

          1. En soi, le HDD sur usb de mon routeur (ASUS derrière livebox) me suffit pour partager à mes fichiers sur mon réseau local.
            D’ailleurs J’y accède sans problème avec le serveur OpenVpn de l’asus.
            Comme dit plus haut, c’est lorsque je suis dehors et que je pourrais vouloir accéder à des fichiers sur un des postes du réseau local que cela pose problème.
            Ton idée est à creuser pour héberger un NAS et faire une configuration se rapprochant de celle de notre hôte … et/ou serveur web (pour le fun).
            Mais là faudra que je me retrousse les manches 🙄😊
            Je ne connais pas les Raspberry (ou autres clones). Pourrait il supporter tout cela (NAS, serveur OpenVpn, Web etc.) ?
            Sous Windows (ma préférence) ou un Linux (Quel Linux -le plus simple- SVP?), système que je ne maîtrise pas 😞.
            Faut voir.
            Encore merci pour tes idées.

            PS:
            Avec tes idées tu fournis l’aspirine? 🤕 😄

          2. Hello,

            Pour ma part je déconseille (peut être à contre courant) toute installation permanente avec une volonté de s’appuyer sur une RPI. Sincèrement c’est mignon pour jouer et point.
            Faire tourner plusieurs services “importants” d’une installation nécessite de se passer d’une SD (qui meurt sous ses cycles de lecture/écriture) et la puissance de feu d’une PI bien qu’intéressante est vite limitée. A contrario, j’adore ce type d’agrégateurs pour s’appuyer sur son antenne BT ou les GPIO !

            L’investissement dans un petit serveur NUC ou un NAS léger n’est pas si coûteux car on oublie de prendre en compte le temps masqué de mise en place d’une solution DIY sur une PI ou autre. Un OMV hébergé en VM, comme un Jeedom et d’une simplicité en maintenance. Un simple i3 ou un atom Jqlqchose est suffisant et surtout bien plus fiable dans le temps.

            Quand je vois ça pour 300€ :
            https://www.dealabs.com/bons-plans/pc-fixe-coyote-ryzen-5-3400g-4x37ghz-ram-8go-3000mhz-240go-ssd-radeon-vega-11-alim-500w-palicompcouk-1976179

            Ou bien ça :
            https://www.dealabs.com/bons-plans/intel-nuc8i5beh-1942752

            Ou alors un J3455 :
            https://www.dealabs.com/bons-plans/intel-nuc-nuc6cays-1934690

            Un ami fait tourner Apache, Jeedom et un OMV sur un J3455 avec 8 Go de RAM…

        2. Bonjour Benjamin
          j’ai regardé tes solutions. Niveau puissance/performance, super très intéressantes les solutions Barbone NUC mais hors de mes finances. Vous voulez que je me fasse tuer par ma “chère et tendre” 😂.
          Il faut que je reste les pieds sur terre sinon c’est sous-terre que je vais être. 🤣

          Je dois faire une pause mais si entre-temps vous avez des idées n’hésitez pas.
          D’ici une 1 ou 2 semaines, Je reviendrai dés que j’aurai à nouveau du temps pour m’occuper de cela.
          Avec des idées plus précises sur l’essentiel et le superflus fonctionnel que je veux mettre en place.

          1. Pardon mais non… je vois autour de moi, les problèmes, le temps que cela peut générer de debug, modification, problème matériel. La RPI reste pour moi un truc mignon pour jouer et pas un truc “fiable” pour une utilisation au quotidien. Je comprends totalement le point financier. Mais entre leboncoin ou du matériel qui a 2/3 ans en terme d’architecture processeur, on peut avoir du matériel pour pas trop cher. Dernier exemple en date, j’ai acquis un esprimo core i5 5e génération/8Go et SSD 250Go (donc 5 ans !) pour 100€ sur leboncoin. Et la puissance de feu est sans commune mesure à côté d’une petite PI, sans parler de sa fiabilité. Bon courage et bonne réflexion. Mais quand la maison sera en carafe, l’effet WAF et madame risquent de faire plus mal qu’autre chose !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *