La Fibre
Hébergeurs et opérateurs pro / entreprises => Hébergeurs et opérateurs pro / entreprises => 
Free Pro => Discussion démarrée par: charly_chb le 01 décembre 2023 à 15:19:44
-
Bonjour à tous,
Petite PME tout récemment passée chez FreePro pour pouvoir bénéficier de l'accès VPN promis au réseau local, ben... on y arrive pas.
But: se connecter à distance en VPN à notre serveur (192.168.1.20), machine windows 11 pro sur laquel il y a du partage de fichiers et un serveur PDM + licences CAO.
Après avoir suivi la procédure free, par connexion VPN à distance:
- j'accède au NAS de la freebox (mais ça je m'en fous).
- le trafic internet est bien redirigé vers la freebox pro.
- mais impossible d'accéder au réseau local (et à fortiori au serveur).
On a essayé sans succès ce que j'ai pu trouver dans ce forum:
- désactiver les firewalls
- réseau en mode privé
- désactivation IPv6
On est assez décontenancés par le fait que l'accès VPN se fasse sur un subnet (192.168.2.x) différent du réseau local (192.168.1.x). On se demande comment ça peut communiquer.
On a donc essayé de brancher une 2ème carte réseau du serveur, forcée sur 192.168.2.200, à la freebox: ça a marché... 10 minutes, puis ça a tout planté sur le serveur. Donc retour en arrière.
Y-a-t-il quelque chose que l'on ne comprend pas?
- le VPN freebox pro n'est-il fait que pour permettre l'accès au NAS?
- y-a-t-il dans la freebox pro un routage automatique de 192.168.2.x vers 192.168.1.x qui ne marcherai pas pour une quelconque raison? (interférence avec du re-routage de ports fait par ailleurs?)
- y-a-t-il des subtilités de configuration du serveur / poste client à connaître pour faire marcher ça?
- le fait que le serveur ne soit pas en Windows Server mais en Win11 empêche-t-il l'accès VPN?
Merci par avance pour vos avis! (y compris un avis qui nous suggérerais une solution complètement différente).
Charles
-
Au besoin, Windows 11 pro peut être serveur openvpn lui-meme, il faudra ouvrir les bons ports dans la freebox.
Plus simple, il y a wireguard qu'on peut utiliser a la place d'openvpn (il y a des tutos facilement trouvables).
encore plus simple, https://tailscale.com . Il y a une version gratuite jusqu'a 3 utilisateurs mais on peut partager une machine avec des comptes externes donc chaque utilisateur peut se créer un compte tailscale perso (on s'authentifie avec un compte Google, Microsoft, Apple ou un passkey) et ensuite on peut partager (jusqu'a 50 personnes environ). C'est ce qu'on utilise ,c'est simple et efficace.
tailscale gere automatiquement l'ouverture des ports des 2 cotés donc y'a rien à faire coté réseau.
-
Après avoir suivi la procédure free, par connexion VPN à distance:
- j'accède au NAS de la freebox (mais ça je m'en fous).
- le trafic internet est bien redirigé vers la freebox pro.
- mais impossible d'accéder au réseau local (et à fortiori au serveur).
On est assez décontenancés par le fait que l'accès VPN se fasse sur un subnet (192.168.2.x) différent du réseau local (192.168.1.x). On se demande comment ça peut communiquer.
Est-ce que les clients sous VPN ont bien 192.168.1.0/24 dans leur table de routage, avec 192.168.2.<freebox> comme gateway ?
-
La Freebox Pro v2 va t'elle régler tout les problèmes de cette offre pour baraque à frites ?
-
Merci!
Au besoin, Windows 11 pro peut être serveur openvpn lui-meme, il faudra ouvrir les bons ports dans la freebox.
Plus simple, il y a wireguard qu'on peut utiliser a la place d'openvpn (il y a des tutos facilement trouvables).
encore plus simple, https://tailscale.com .
On est mécaniciens. Passer direct par OpenVPN dans windows ou monter un lien wireguard, c'est probablement au-dessus de nos compétences. On y arriverait peut-être, mais au bout de combien de temps? Et avec le risque de faire de grosses boulettes côté sécurité.
Je connaissais pas Tailscape, ça a l'air véritablement facile. En grattant on a aussi trouvé Zerotier & Netmaker. Maintenant faut faire le choix ;). On va certainement tenter Netmaker, et se rabattre sur Tailscape si on y arrive pas.
Est-ce que les clients sous VPN ont bien 192.168.1.0/24 dans leur table de routage, avec 192.168.2.<freebox> comme gateway ?
Heu... ben justement si faut aller mettre les mains là-dedans, on sort clairement de notre zone de confort. On va oublier le VPN "freebox" pour le moment s'il faut aller dans ce genre de trucs.
tailscale gere automatiquement l'ouverture des ports des 2 cotés donc y'a rien à faire coté réseau.
Tailscape va ouvrir les ports pour nous dans les routeur? :( ou veux-tu dire que Tailscape va aller chercher des ports déjà ouverts?
La Freebox Pro v2 va t'elle régler tout les problèmes de cette offre pour baraque à frites ?
Bah finalement même si on a pas le VPN "Freebox" qui marche, au moins on a une connexion rapide.
Merci encore, je vous tiens au jus quand on a une solution qui marche...
Charles
-
Tailscape va ouvrir les ports pour nous dans les routeur? :( ou veux-tu dire que Tailscape va aller chercher des ports déjà ouverts?
oui ils utilisent la technique du "nat traversal" (stun, ice) qui permet en udp de traverser un firewall/routeur sans ouvrir de port avant.
les détails (très techniques) sont la: https://tailscale.com/blog/how-nat-traversal-works/
Par exemple 2 PC derriere chacun une box FAI grand public vont pouvoir créer un tunnel entre eux sans rien configurer dans les box.
-
oui ils utilisent la technique du "nat traversal" (stun, ice) qui permet en udp de traverser un firewall/routeur sans ouvrir de port avant.
les détails (très techniques) sont la: https://tailscale.com/blog/how-nat-traversal-works/
Par exemple 2 PC derriere chacun une box FAI grand public vont pouvoir créer un tunnel entre eux sans rien configurer dans les box.
Très instructif, merci!
Dernière question qui me turlupine: une fois tailscale installé, le "reste" du réseau reste inchangé?
C'est à dire:
- côté client (chez moi), j'aurais toujours accès à mon réseau local & internet à travers ma box?
- côté serveur (au boulot), il restera accessible à tout le monde en local comme d'hab?
J'imagine que oui...
Charles
-
oui ils utilisent la technique du "nat traversal" (stun, ice) qui permet en udp de traverser un firewall/routeur sans ouvrir de port avant.
les détails (très techniques) sont la: https://tailscale.com/blog/how-nat-traversal-works/
ce ne serait pas la technique des grands noms des services de communication (pas des telcos!) pour "percer" le fonctionnement derrière un PF au 80/443 autorisés?
quand on pense à : whatsapp, skype en son temps, teams..
ces trois là utilisent à minima xmpp, sip, modifiés dans leur tambouille, mais tous deux protocoles qui de basent, comme tous les autres protocoles (ftp, ssh, imap..) ont leurs ports attitrés, qui se retrouvent souvent bloqués sur les hotspot...
et là, surprise, ces "applis mobiles" fonctionnent sans aucun blocage (en https?) derrière un PF supposé laisser passer que le https, alors que normalement c'est que pour du web, pas du mail/messagerie/visio..
-
Très instructif, merci!
Dernière question qui me turlupine: une fois tailscale installé, le "reste" du réseau reste inchangé?
C'est à dire:
- côté client (chez moi), j'aurais toujours accès à mon réseau local & internet à travers ma box?
- côté serveur (au boulot), il restera accessible à tout le monde en local comme d'hab?
J'imagine que oui...
Charles
Oui ça rajoute juste une plage d'ip privées (en 100.x.x.x) qui permet aux machines de se joindre entre elles.
-
Test Netmaker concluant!
Bon, ça n'a pas été sans aucun problème quand même.
Côté client (laptop win11 pro), tout bon du premier coup.
Côté serveur (win11 pro aussi):
- connection netclient impossible => désactivation firewall => OK
- réactivation firewall => KO.
- forcer l'adaptateur en private network via regedit => OK
- l'interface est renommée en "netmaker #" automatiquement => ça repasse en "public" => KO
- création d'une rêgle firewall pour autoriser le traffic entrant de l'adresse IP netmaker du client => OK
Donc en gros ça marche, le principal soucis étant de forcer le réseau en "privé" dans windows. Test de la commande powershell "Set-NetConnectionProfile -InterfaceAlias 'netmaker' -NetworkCategory 'Private'" en cours.
On va voir combien de temps ça tient, mais les débits sont très bons...
Charles
-
Finalement bascule sur Tailscale, plus mature, stable et rapide que netmaker. Vraiment plug and play, je recommande.
Charly
-
Le VPN de me freebox pro fonctionne bien, notamment pour accéder à mon nas synology.
De mémoire il faut parfois utiliser l'IP du NAS au lieu de son nom ... j'ai contourné en ajoutant l'entrée dans le fichier hosts.
-
Bonjour à tous,
J'aimerais connaître vos configurations car certains arrivent à le faire fonctionner.
Dans mon cas j'ai un réseau local en 192.168.0.x avec un serveur de fichier sous Windows 10
Le VPN de la Freebox n'autorise pas la connexion sur le même réseau, donc avec le VPN je me connecte avec des adresses par exemple en 192.168.10.x
Comment je peux configurer quelques chose (ou plusieurs ?) pour que le serveur de fichier soit accessible par les connexions en VPN ?
Merci d'avance.
-
Bonjour à tous,
J'aimerais connaître vos configurations car certains arrivent à le faire fonctionner.
Dans mon cas j'ai un réseau local en 192.168.0.x avec un serveur de fichier sous Windows 10
Le VPN de la Freebox n'autorise pas la connexion sur le même réseau, donc avec le VPN je me connecte avec des adresses par exemple en 192.168.10.x
Comment je peux configurer quelques chose (ou plusieurs ?) pour que le serveur de fichier soit accessible par les connexions en VPN ?
Merci d'avance.
Bonjour,
Sans parler de VPN, Le serveur de fichier est-il sur la même plage que la freebox sur le réseau local ?
-
Bonjour,
Oui le serveur de fichier est sur le même sous-réseaux que tous les postes locaux, en 192.168.0.x
Tant que l'on est connecté en local, tout fonctionne parfaitement.
Avant on avait la Freebox mini 4K, le serveur VPN autorisait l'utilisation du même sous-réseau sans problème, et les connexions VPN fonctionnaient très bien pour aller chercher des fichiers sur le serveur.
Depuis la migration à la Free PRO, je n'ai pas réussi à remettre cela en route. Comme c'est une box PRO je ne me suis même pas posé la question 1 seconde. Un peu partout sur internet je vois les gens passer par des solutions tierces, l'idée ne m'intéresse pas trop.
J'ai contacté le support de Free, la réponse est que cela doit fonctionner. Je ne m'y connais pas trop en réseau info, je n'ai jamais réussi à connecter ensemble 2 sous-réseaux sans un matériel spécifique.
-
Donc si je résume :
postes + serveur de fichiers + freebox pro dans le sous-réseau 192.168.0.x
Le serveur vpn est celui de la freebox pro ?
Quand vous vous connecter en vpn depuis une autre connexion internet, votre poste client vpn est en 192.168.0.x avant même de vous connecter au vpn ? (ce qui est tout à fait possible)
Personnellement je me connecte en vpn de chez moi (derrière une fb mini), le serveur vpn est ma freepro au bureau mais j'ai laissé la plage du sous-réseau de la freepro en 192.168.10.x (je me suis abonné au début de l'offre et on ne pouvait pas changer cette plage).
Si j'ai bien compris la situation, vous arrivez à vous connecter mais vous ne pouvez pas atteindre votre serveur de fichiers car le routage réseau ne devine pas qu'il faut sortir par le vpn.
Le poste client est-il sous Windows ?
La solution ultime serait de modifier la plage d'adresses de votre réseau local freebox pro + serveur Windows 10 + postes (ça peut être compliqué selon la taille du réseau).
Si non, on peut peut-être s'en sortir en forçant le routage vers l'adresse IP du serveur de fichier (s'il est le seul concerné par l'accès vpn)
Sous windows, il faut jouer avec la commande "route add" et "route print" pour visualiser les routes.
Je vous guiderai la dessus après vos réponses à mes différentes questions.
-
Bonsoir,
Oui le résumé est bon. Je fais les essais avec le VPN intégré à la Freebox PRO en effet.
Non mon poste client n'est pas en 192.168.0.x avant de me connecter, et d'une manière générale mes postes clients sont toujours en DHCP auto.
J'arrive à me connecter au VPN très facilement, mais le serveur VPN impose une adresse IP dans un autre sous-réseau, par exemple en "192.168.10.x".
J'ai essayé de configurer dans la connexion VPN du PC client une adresse IP manuelle dans le bon sous-réseau, mais cela est sans effet une fois connecté au VPN, je reviens dans le sous-réseau imposé par le serveur VPN de la Freebox.
J'ai essayé de modifier le masque sous-réseau dans la Freebox, mais encore une fois j'obtiens une erreur qui me dit que je ne peux pas mélanger le réseau local et le VPN.
Le problème de base est que le serveur VPN de la Freebox impose un sous-réseau différent, le support technique de Free m'a répondu que cela ne pose aucun souci, mais même sans trop m'y connaître, j'en doute fort...
Je pense au contraire que c'est sans solution en l'état sans passer par un tiers.
-
Il faut s'assurer que le serveur de fichier acceptent les clients qui ont une IP d'un autre sous-réseau que lui-meme.
Ca fait un bail que je fais plus d'admin Windows mais il semble que par défaut un partage Windows server (SMB) n'est accessible que sur le meme /24. Il faut ajouter une regle dans le firewall de la machine serveur pour étendre "file & print sharing" a d'autre /24, celui du vpn dans le cas présent.
Un test est de désactiver temporairement le firewall du serveur pour voir si c'est la cause.
li faut aussi coté config du client vpn s'assurer que tout le trafic passe dans le vpn sinon il ne saura pas joindre le /24 derriere la box (et si on ne veut pas tout le trafic, il faut ajouter une route pour le /24 du serveur smb).
-
Il ne faut pas mettre la plage lan et vpn identique ni qu'elle se chevauche.
ma config est par défaut :
LAN : 192.168.10.0 masque : 255.255.255.0
VPN : 192.168.2.0 masque : 255.255.255.0
Cette config fonctionne et me permet d'accéder aux dossiers partagés par un NAS.
C'est la connexion VPN qui va modifier le routage de Windows afin d'atteindre les bonnes machines derrière la freebox pro.
Pour essayer de t'aider :
- modifier la config de la plage vpn de la freebox
- faire un route print avant de se connecter au vpn
- se connecter au vpn
- faire un nouveau route print
- nous transmettre les captures ou export en texte de 2 routes print