La Fibre
Fournisseurs d'accès à Internet mobile et 5G/4G fixe => 5G/4G Free Mobile => 
Box 4G Free Mobile => Discussion démarrée par: Rohibosloco le 16 février 2024 à 17:09:46
-
Bonjour a tous,
Je vais avoir une coupure de mon réseau cuivré quelque temps en raison de travaux dans ma rue. J'ai lu qu'il était difficile de se connecter à un réseau connecté à internet par un routeur 4G, je suis donc à la recherche d'idées.
J'ai actuellement chez moi la configuration réseau suivante : Box internet FREE -> Firewall PFSense -> Réseau local de PC
Pour m'y connecter à distance, je passe par un VPN qui se connecte au firewall et me donne ainsi accès au réseau local.
Je vais donc devoir changer ma configuration dans quelques semaines par la suivante : Routeur SIM 4G FREE -> Firewall PFSense -> Réseau local de PC
Mais il s'agit d'une connexion internet mobile, donc la connexion vpn par le port 1102 que j'ai actuellement ne marchera pas à cause du CG NAT.
Pour le problème d'adresse IP qui peut changer, je pensais passer par un dns dynamique sur mon firewall pour gérer ca, mais j'ai lu sur ces posts que ce ne serait pas le seul problème :
https://lafibre.info/freemobile-box/routeur-4g-et-ligne-free-mobile/1080/
https://lafibre.info/freemobile-box/cg-nat-la-box-4g-a-telle-les-memes-problemes-quune-ligne-mobile/
J'ai des connaissances de base en informatique, je n'ai pas peur de trifouiller mais je vois autant de réponses que de personnes qui répondent à ces posts pour le moment (a base de tunnel L2/L3, VPS, ...) donc je suis un peu dans le flou sur mes possibilités. Je vois surtout beaucoup de personnes qui veulent se faire plaisir sur les installations, alors que je cherche quelque chose d'assez robuste et aussi simple que possible (sans payer un rein).
Est-ce que vous avez des idées de solutions qui fonctionnent de manière stable, qui ne nécessitent pas d'envoyer ses propres satellites dans l'espace ? J'ai un réseau local connecté avec un routeur 4G et une carte sim dedans, comment y accéder depuis l'extérieur ? J'ai des vieux PC dans le réseau local qui peuvent être utilisés si besoin, je cherche une solution qui me couterait au maximum 5-10€ en plus du forfait par mois si c'est possible.
Je vous remercie d'avance et je vous souhaite une bonne journée,
Rohibosloco
-
Plusieurs possibilités:
1) Louer un VPS et faire un tunnel entre ton PFSense et le VPS.
2) Remplacer le routeur SIM 4G Free par l'offre box 4G de Bouygues, la seule offre 4G à ma connaissance qui fournit une IPv4 full stack accessible de l'extérieur.
3) Voir avec une offre commerciale de VPN qui permet d'avoir des ports ouverts (Port forward) ou un accès à distance et que tu peux installer sur ton PFSense.
-
Si l'objectif c'est juste de pouvoir te connecter à un serveur chez toi depuis l'extérieur avec un VPN, Tailscale peut faire l'affaire.
Le PC chez toi sera accessible même derrière un CG-NAT et ce depuis toutes les autres machines de ton réseau tailscale (il existe des clients sur tous les principaux OS y compris Android/iOS)
Et ce serveur peut même router ton LAN sur ton réseau tailscale
-
Je vais avoir une coupure de mon réseau cuivré quelque temps en raison de travaux dans ma rue. J'ai lu qu'il était difficile de se connecter à un réseau connecté à internet par un routeur 4G, je suis donc à la recherche d'idées.
Salut,
Tu peux essayer un VPN P2P (Zerotier ou Tailscale), la connexion étant établie en sortie elle arrive à peu près à traverser le CGNAT. J'utilise Zerotier entre plusieurs réseaux dont un en 5G Free et ça fonctionne bien.
-
Merci pour ces réponses, je vais creuser ces propositions.
Je vais regarder du côté de la box bouygues, ca peut être une solution intéressante, et très facile à mettre en place.
Pour les VPN P2P, la configuration sur le pfsense est possible donc je suis entrain de me renseigner.
Par contre je vois un point pouvant être bloquant : Sur mon réseau local, je stocke mes fichiers sur un NAS, les attributions d'accès aux dossiers varient en fonction des machines pour éviter les problèmes de sécurité, en P2P je n'aurai donc accès qu'aux dossiers qui sont des lecteurs réseau de la machine sur laquelle je me connecte et non tous ceux dont la machine avec laquelle je me connecte à normalement accès.
J'ai fait quelques recherches sur la solution à base de VPS, je n'ai pas trouvé de bon guide ou retours d'expérience donc ca m'a l'air un peu tendu.
Le meilleur résultat que j'ai trouvé est ici : https://forums.lawrencesystems.com/t/using-a-vps-as-an-openvpn-jump-server-to-access-lan-behind-pfsense/1634/13 (je retrouve cette première image sur plusieurs posts différents). Si vous avez trouvé des procédures un peu plus détaillées je suis preneur.
-
Par contre je vois un point pouvant être bloquant : Sur mon réseau local, je stocke mes fichiers sur un NAS, les attributions d'accès aux dossiers varient en fonction des machines pour éviter les problèmes de sécurité, en P2P je n'aurai donc accès qu'aux dossiers qui sont des lecteurs réseau de la machine sur laquelle je me connecte et non tous ceux dont la machine avec laquelle je me connecte à normalement accès.
Tu fais comment actuellement avec ton VPN ? Tu n'as pas la même problématique ?
-
Mon réseau est organisé de cette manière :
BOX INTERNET -> PFSENSE -> SUBNET 192.168.1.X -> Des PC sur ce réseau
-> SUBNET 192.168.2.X -> Des bibliothèques de données
-> SUBNET 192.168.3.X -> Des données pour le stockage sur NAS
-> SUBNET 192.168.4.X -> De la domotique
Quand je me connecte au PFSENSE avec le VPN, il m'attribue une IP locale 192.168.1.X, il gère tout mon réseau local.
Il gère l'attribution des IP donc vu que je suis sur le réseau local, il me suffit d'avoir des lecteurs réseaux 192.168.3.1, 192.168.3.2, ... pour accéder à mes données.
Le bureau à distance sur les machines 192.168.1.X marche aussi très bien vu que je suis sur le réseau local.
-
Quand je me connecte au PFSENSE avec le VPN, il m'attribue une IP locale 192.168.1.X, il gère tout mon réseau local.
Avec Zerotier tu peux configurer un subnet supplémentaire (192.168.10.X par exemple) sur lequel sera vue ta machine distante, toujours avec la même IP, ensuite à toi de gérer le routage sur pfsence et les autorisations sur le NAS. Je l'ai fait sur un serveur-routeur linux, je suppose que pfsence le peut aussi.
-
Salut !
Pour exposer un port de ton équipement en étant sur une connexion 4G, une solution simple et souvent sous-estimée est la mise en place d'un tunnel SSH inversé (reverse SSH). Cette technique est particulièrement efficace si tu as seulement quelques ports à exposer. Le principe est de créer un tunnel entre ton équipement et un serveur VPS (Virtual Private Server), ce qui te permet d'accéder à ton équipement depuis l'extérieur sans avoir à configurer le NAT ou ouvrir des ports sur un routeur, ce qui est souvent impossible ou très compliqué avec une connexion 4G.
Tu peux trouver des offres de VPS à environ 20€ par an, offrant à la fois des adresses IPv4 et IPv6, ce qui est largement suffisant pour ce type d'usage. L'avantage de cette méthode est qu'elle ne nécessite pas de configuration complexe du réseau et offre une bonne sécurité, car tu peux limiter les accès via SSH et utiliser des clés pour une authentification sécurisée.
En résumé, en établissant un tunnel reverse SSH à partir de ton équipement vers un VPS, tu pourras accéder à tes services depuis l'extérieur en utilisant l'adresse IP du VPS. C'est une solution élégante, sécurisée, et peu coûteuse pour contourner les limitations d'une connexion 4G.
Je vais te donner un exemple de configuration pour exposer le port 80 de ton équipement local (le "client") sur Internet via un serveur VPS (le "serveur"), en utilisant autossh pour maintenir le tunnel SSH inversé. L'utilisation de autossh permet de garder le tunnel actif de manière fiable, même en cas de déconnexion ou de redémarrage.
Côté Serveur VPS :
- Installation d'autossh (si ce n'est pas déjà fait) sur ton équipement local. Sur un serveur, autossh n'est pas nécessaire puisque tu vas configurer le tunnel depuis le client.
- Configuration de SSH : Assure-toi que le SSH est installé et que le service est actif. Sur la plupart des systèmes basés sur Debian, tu peux vérifier cela avec sudo systemctl status ssh.
- Création d'un utilisateur SSH spécifique (optionnel) : Pour des raisons de sécurité, il peut être judicieux de créer un utilisateur spécifique pour le tunnel SSH.
- Configuration de redirection de port : Aucune configuration spécifique n'est nécessaire sur le serveur pour la redirection de port si tu utilises un tunnel SSH. Le client s'en chargera.
Côté Client (Ton équipement local)
Installation d'autossh :
Sur Ubuntu/Debian : sudo apt-get install autosshSur CentOS : sudo yum install autossh
Génération d'une paire de clés SSH (si tu n'en as pas déjà) pour permettre une connexion sans mot de passe :
ssh-keygen -t rsa -b 2048Appuie sur Entrée pour toutes les questions afin d'utiliser les options par défaut. Cela crée une paire de clés dans le répertoire ~/.ssh.
Copie de la clé publique sur le serveur :
ssh-copy-id ssh_tunnel_user@<IP_DU_SERVEUR>Remplace <IP_DU_SERVEUR> par l'adresse IP de ton serveur VPS.
Création du tunnel SSH inversé avec autossh :
Utilise la commande suivante pour créer un tunnel. Cette commande redirige le port 80 de ton serveur vers le port 80 de ton équipement local.
autossh -M 0 -f -N -T -R 80:localhost:80 ssh_tunnel_user@<IP_DU_SERVEUR> -o ServerAliveInterval=30 -o ServerAliveCountMax=3
-M 0 : désactive le monitoring d'autossh par un port spécifique et utilise à la place les options ServerAliveInterval et ServerAliveCountMax de SSH pour garder la connexion active.
-f : demande à autossh de se mettre en arrière-plan juste avant l'exécution de la commande.
-N : indique à SSH de ne pas exécuter une commande distante.
-T : désactive l'allocation d'un pseudo-terminal.
-R 80:localhost:80 : crée une redirection de port qui écoute sur le port 80 du serveur, et redirige tout trafic vers le port 80 de ton équipement local.
ServerAliveInterval=30 et ServerAliveCountMax=3 : autossh vérifiera que la connexion est active toutes les 30 secondes et essaiera de reconstruire le tunnel 3 fois si nécessaire.
Voila Voila !
-
Merci pour ce détail sur le reverse SSH
Le VPS n'est pas très cher en effet, ca peut être intéressant comme solution.
Mais pour mettre en place un reverse SSH, il faut une machine client, je ne sais pas si un netgate pfsense peut gérer ca, il faut que je regarde.
Ca peut peut être marcher avec une VM sur mon un de mes pc mais je préfère séparer mes services et mes machines spécifiques.
-
Je viens d'essayer avec une box 5G Bouygues Telecom, la box dispose bien d'une IPv4 full stack mais il n'est pas possible de configurer la redirection de ports.
Quand je me connecte avec mon VPN sur l'adresse IP de ma box, je passe par le port 1194 pour se connecter à mon pfsense (port par défaut pour le VPN), mais ca ne marche pas.
Vous auriez une idée de comment faire sans redirection de ports ? Mon pfsense est le seul élément connecté à ma box.
-
Tailscale tous les jours ! pas de port à ouvrir, ça juste marche ! ;D
-
Vous auriez une idée de comment faire sans redirection de ports ? Mon pfsense est le seul élément connecté à ma box.
Zerotier, Tailscale, reverse SSH, seules les solutions sortantes peuvent marcher sans redirection de port
-
Pour le moment, j'ai mis en place tailscale, ce qui a été vraiment très rapide.
Je regarderai du côté des solutions par VPS quand j'aurai le temps, je n'aime pas trop le fait de passer par un service en ligne pour gérer l'accès à mes appareils.
Merci beaucoup pour toutes vos réponses très utiles.