Bonjour à tous,

Petite PME tout récemment passée chez FreePro pour pouvoir bénéficier de l'accès VPN promis au réseau local, ben... on y arrive pas.

But: se connecter à distance en VPN à notre serveur (192.168.1.20), machine windows 11 pro sur laquel il y a du partage de fichiers et un serveur PDM + licences CAO.

Après avoir suivi la procédure free, par connexion VPN à distance:
 - j'accède au NAS de la freebox (mais ça je m'en fous).
 - le trafic internet est bien redirigé vers la freebox pro.
 - mais impossible d'accéder au réseau local (et à fortiori au serveur).

On a essayé sans succès ce que j'ai pu trouver dans ce forum:
 - désactiver les firewalls
 - réseau en mode privé
 - désactivation IPv6

On est assez décontenancés par le fait que l'accès VPN se fasse sur un subnet (192.168.2.x) différent du réseau local (192.168.1.x). On se demande comment ça peut communiquer.

On a donc essayé de brancher une 2ème carte réseau du serveur, forcée sur 192.168.2.200, à la freebox: ça a marché... 10 minutes, puis ça a tout planté sur le serveur. Donc retour en arrière.

Y-a-t-il quelque chose que l'on ne comprend pas?
 - le VPN freebox pro n'est-il fait que pour permettre l'accès au NAS?
 - y-a-t-il dans la freebox pro un routage automatique de 192.168.2.x vers 192.168.1.x qui ne marcherai pas pour une quelconque raison? (interférence avec du re-routage de ports fait par ailleurs?)
 - y-a-t-il des subtilités de configuration du serveur / poste client à connaître pour faire marcher ça?
 - le fait que le serveur ne soit pas en Windows Server mais en Win11 empêche-t-il l'accès VPN?

Merci par avance pour vos avis! (y compris un avis qui nous suggérerais une solution complètement différente).

Charles

Après avoir suivi la procédure free, par connexion VPN à distance:
 - j'accède au NAS de la freebox (mais ça je m'en fous).
 - le trafic internet est bien redirigé vers la freebox pro.
 - mais impossible d'accéder au réseau local (et à fortiori au serveur).

On est assez décontenancés par le fait que l'accès VPN se fasse sur un subnet (192.168.2.x) différent du réseau local (192.168.1.x). On se demande comment ça peut communiquer.

Est-ce que les clients sous VPN ont bien 192.168.1.0/24 dans leur table de routage, avec 192.168.2.<freebox> comme gateway ?

Merci!

Au besoin, Windows 11 pro peut être serveur openvpn lui-meme, il faudra ouvrir les bons ports dans la freebox.

Plus simple, il y a wireguard qu'on peut utiliser a la place d'openvpn (il y a des tutos facilement trouvables).

encore plus simple, https://tailscale.com .

On est mécaniciens. Passer direct par OpenVPN dans windows ou monter un lien wireguard, c'est probablement au-dessus de nos compétences. On y arriverait peut-être, mais au bout de combien de temps? Et avec le risque de faire de grosses boulettes côté sécurité.

Je connaissais pas Tailscape, ça a l'air véritablement facile. En grattant on a aussi trouvé Zerotier & Netmaker. Maintenant faut faire le choix  . On va certainement tenter Netmaker, et se rabattre sur Tailscape si on y arrive pas.

Est-ce que les clients sous VPN ont bien 192.168.1.0/24 dans leur table de routage, avec 192.168.2.<freebox> comme gateway ?

Heu... ben justement si faut aller mettre les mains là-dedans, on sort clairement de notre zone de confort. On va oublier le VPN "freebox" pour le moment s'il faut aller dans ce genre de trucs.

tailscale gere automatiquement l'ouverture des ports des 2 cotés donc y'a rien à faire coté réseau.

Tailscape va ouvrir les ports pour nous dans les routeur?  ou veux-tu dire que Tailscape va aller chercher des ports déjà ouverts?

La Freebox Pro v2 va t'elle régler tout les problèmes de cette offre pour baraque à frites ?

Bah finalement même si on a pas le VPN "Freebox" qui marche, au moins on a une connexion rapide.

Merci encore, je vous tiens au jus quand on a une solution qui marche...

Charles

oui ils utilisent la technique du "nat traversal" (stun, ice) qui permet en udp de traverser un firewall/routeur sans ouvrir de port avant.
les détails (très techniques) sont la: https://tailscale.com/blog/how-nat-traversal-works/
Par exemple 2 PC derriere chacun une box FAI grand public vont pouvoir créer un tunnel entre eux sans rien configurer dans les box.

Très instructif, merci!

Dernière question qui me turlupine: une fois tailscale installé, le "reste" du réseau reste inchangé?

C'est à dire:
 - côté client (chez moi), j'aurais toujours accès à mon réseau local & internet à travers ma box?
 - côté serveur (au boulot), il restera accessible à tout le monde en local comme d'hab?
 
J'imagine que oui...

Charles

Très instructif, merci!

Dernière question qui me turlupine: une fois tailscale installé, le "reste" du réseau reste inchangé?

C'est à dire:
 - côté client (chez moi), j'aurais toujours accès à mon réseau local & internet à travers ma box?
 - côté serveur (au boulot), il restera accessible à tout le monde en local comme d'hab?
 
J'imagine que oui...

Charles

Oui ça rajoute juste une plage d'ip privées (en 100.x.x.x) qui permet aux machines de se joindre entre elles.

Finalement bascule sur Tailscale, plus mature, stable et rapide que netmaker. Vraiment plug and play, je recommande.

Charly