Auteur Sujet: Firefox Private Network  (Lu 637 fois)

0 Membres et 1 Invité sur ce sujet

hwti

  • Client SFR fibre FTTH
  • *
  • Messages: 838
  • Chambly (60)
Firefox Private Network
« le: 11 septembre 2019 à 03:07:57 »
https://blog.mozilla.org/blog/2019/09/10/firefoxs-test-pilot-program-returns-with-firefox-private-network-beta/

Firefox propose en test, officiellement uniquement aux USA, une extension qui chiffre tout le trafic en le faisant passer par un proxy Cloudflare.

En passant par un proxy web, on peut contourner le test de localisation sur https://private-network.firefox.com/dist/secure-proxy.xpi et installer l'extension.
Elle se connecte en TCP sur 162.159.192.20 (Cloudflare FranceIX) sur le port 2486.

Citer
curl -v -k https://162.159.192.20:2486
...
> GET / HTTP/2
> Host: 162.159.192.20:2486
> User-Agent: curl/7.58.0
> Accept: */*
>
...
< HTTP/2 404
< cf-warp-error: 1
< content-type: text/plain; charset=utf-8
< content-length: 3
< date: Wed, 11 Sep 2019 00:54:17 GMT
<

Il s'agit probablement d'un proxy HTTP (mais impossible de l'utiliser tel quel, il y a probablement une identification d'une manière ou d'une autre), et le "cf-warp-error" suggère un lien avec le "VPN" Cloudflare Warp, annoncé le 01/04 mais toujours pas lancé, et qui lui est censé utiliser le protocole Wireguard en UDP.

On ressort à FranceIX, avec un support IPv6  :D
    Connectivité IPv4 (via requête DNS) OK : IPv4 publique = 8.40.31.149
    Connectivité IPv4 (via IPv4 littérale) OK : IPv4 publique = 8.40.31.155
    Connectivité IPv6 (via requête DNS) OK : IPv6 publique = 2a09:bac0:19::828:1f8a
    La version du protocole IP utilisée par défaut est IPv6

Les serveurs doivent être très peu utilisés, mais je suis impressionné côté test de débit :

Je ne sais pas pourquoi nPerf pense que l'opérateur est Level 3, puisqu'il identifie bien que les IP appartiennent à AS13335 (Cloudflare).

speedtest.net indique aussi Level 3  :o
Côté download, même si c'est légèrement moins bon que nPerf, ça fonctionne toujours.
En revanche, le test d'upload peut soit fonctionner normalement, soit donner des débits beaucoup plus bas, soit même bloquer tout en continuant de consommer du CPU.
Il y a quelques soucis avec les WebSockets on dirait : "Firefox ne peut établir de connexion avec le serveur à l’adresse wss://massy.testdebit.info:8080/ws".
« Modifié: 11 septembre 2019 à 03:31:14 par hwti »

kazyor

  • Expert SFR
  • Expert
  • *
  • Messages: 567
  • Lyon 7ème (69)
Firefox Private Network
« Réponse #1 le: 11 septembre 2019 à 12:03:25 »
Impossible de le configurer en casacade avec un autre proxy déjà existant.
EDIT : ok en utilisant Proxifier

Le FDQN utilisé : firefox.factor11.cloudflareclient.com.

hwti

  • Client SFR fibre FTTH
  • *
  • Messages: 838
  • Chambly (60)
Firefox Private Network
« Réponse #2 le: 11 septembre 2019 à 14:01:38 »
Le FDQN utilisé : firefox.factor11.cloudflareclient.com.
Ah, je n'avais vu que le "*.factor11.cloudflareclient.com" dans le certificat.

Avec le FQDN (donc le SNI), la réponse est légèrement différente :
curl -v https://firefox.factor11.cloudflareclient.com:2486
...
> GET / HTTP/2
> Host: firefox.factor11.cloudflareclient.com:2486
> User-Agent: curl/7.61.1
> Accept: */*
>
...
< HTTP/2 407
< cf-warp-error: 1
< proxy-authenticate: Bearer realm="Cloudflare Warp for Firefox"
< content-type: text/plain; charset=utf-8
< content-length: 3
< date: Wed, 11 Sep 2019 11:55:33 GMT
<
Donc :
 - 404 => 407 (Proxy Authentication Required)
 - proxy-authenticate: Bearer realm="Cloudflare Warp for Firefox"
Il s'agit donc bien d'un proxy http (TLSv1.3, HTTP/2, TLS_AES_128_GCM_SHA256), avec authentification.
« Modifié: 11 septembre 2019 à 14:22:38 par hwti »

vivien

  • Administrateur
  • *
  • Messages: 32 511
    • Twitter LaFibre.info
Firefox Private Network
« Réponse #3 le: 11 septembre 2019 à 15:42:59 »
Le VPN est gratuit aujourd'hui pour les tests, mais il sera payant à terme.

Cela devrait faire partie du "Firefox Premium" annoncé il y a quelques mois, des services payant intégrés au navigateur de Mozilla et annoncés pour fin 2019.

DamienC

  • Client Bbox fibre FTTH
  • *
  • Messages: 1 982
  • Brest (29)
    • Damien CUEFF - Portfolio
Firefox Private Network
« Réponse #4 le: 11 septembre 2019 à 16:04:27 »
Il y aussi le navigateur "Braves" qui propose une navigation "Tor", c'est très pratique et c'est intégré gratuitement au navigateur.

Je crois qu'Opera propose également cela.

Cdt,
DamienC


hwti

  • Client SFR fibre FTTH
  • *
  • Messages: 838
  • Chambly (60)
Firefox Private Network
« Réponse #5 le: 11 septembre 2019 à 19:38:47 »
Le VPN est gratuit aujourd'hui pour les tests, mais il sera payant à terme.

Cela devrait faire partie du "Firefox Premium" annoncé il y a quelques mois, des services payant intégrés au navigateur de Mozilla et annoncés pour fin 2019.
Il s'appuie sur une variante de Cloudflare Warp, qui est censé être gratuit dans sa version de base.

https://blog.cloudflare.com/1111-warp-better-vpn/ n'évoque pas de limites sur Warp (mais en pratique je pense que ça dépendra forcèment du succès, si ça leur coûte trop chez sans leur apporter indirectement des clients côté CDN...).
La version payante Warp+ est censée être plus rapide grâce au routage et "backbone virtuel" Cloudflare, je suppose que ça veut dire que le point de sortie pourrait être dans un datacenter plus proche de la destination.

Mais difficile d'avoir des certitudes sur un service en test, pouvant à terme faire partie d'un nouveau modèle économique, qui s'appuie sur un produit qui est encore en beta privée...

Marco POLO

  • Client Free fibre
  • *
  • Messages: 1 832
  • FTTH 1 Gb/s sur Paris (75)
Firefox Private Network
« Réponse #6 le: 11 septembre 2019 à 22:35:34 »
...Je crois qu'Opera propose également cela...
Je confirme. 

darkmoon

  • Client Orange Fibre
  • *
  • Messages: 138
  • Saint Genis Laval (69)
Firefox Private Network
« Réponse #7 le: 16 septembre 2019 à 14:09:42 »
Ça fonctionne plutôt bien en effet au niveau vitesse.
Impossible de faire un nperf, le test d'upload fait crasher mon FF69 (W10 x64).
Par contre DSL report voit bien un proxy mais les vitesses sont le max de la ligne.

PhilippeMarques

  • Expert
  • *
  • Messages: 177
Firefox Private Network
« Réponse #8 le: 16 septembre 2019 à 16:32:35 »
Firefox s'engage dans une voie commerciale, très liée à Cloudfare ( DoH, VPN )  , ce n'est pas certain que ce soit une bonne chose pour tous.

renaud07

  • Client Orange adsl
  • *
  • Messages: 1 844
Firefox Private Network
« Réponse #9 le: 16 septembre 2019 à 22:59:42 »
Je viens de tester DoH, et j'ai noté un comportement assez intelligent :

J'ai un serveur web sur un site relié par VPN et je veux que mon DNS me renvoie l'ip privée et non la publique puisque je suis "en local". J'ai naïvement pensé : vu que tout passe par cloudflare sera donc l'ip publique. Et si jamais les ports sont fermés sur le routeur, je vais avoir droit à une connexion échouée.

Et bien non ! Firefox remarque que le site ne répond pas et hop, il envoie la requête à mon DNS et le site s'affiche. J'ai refait la même procédure en rouvrant les ports et cette fois je n'ai plus de requête sur mon DNS local signe que c'est bien cloudflare qui est utilisé.

C'est pareil pour les domaines locaux en .lan eux aussi renvoyés sur le DNS. Finalement ça ne va poser problème que pour les domaines de pub que je bloque avec pihole.

Après le fait de tout faire reposer sur CF me gêne également. Vivment qu'il y ai d'autres acteurs, comme FDN (d'ailleurs j'ai vu qu'il travaillent sur le DNS over TLS)

Hugues

  • AS57199 MilkyWan
  • Expert
  • *
  • Messages: 7 399
  • Paris (15ème)
    • Twitter
Firefox Private Network
« Réponse #10 le: 16 septembre 2019 à 23:00:42 »
On va surement implèmenter un DoT et un DoH chez nous aussi :-)

hwti

  • Client SFR fibre FTTH
  • *
  • Messages: 838
  • Chambly (60)
Firefox Private Network
« Réponse #11 le: 16 septembre 2019 à 23:22:29 »
Tant qu'on parle de DoH, quand il est activé FireFox demande le champ ESNI au DNS, et en cas de réponse active l'encrypted SNI sur les serveurs TLSv1.3 en question.
Test: https://www.cloudflare.com/ssl/encrypted-sni/

FireFox ne semble pas demander le champ sur un DNS classique (alors que ce serait possible), donc pas d'encrypted SNI dans ce cas.

De même, rien avec FireFox Private Network : c'est un proxy, le DNS est fait côté serveur.
Donc le SNI sort en clair de Cloudflare. Certes à ce moment le lien avec l'utilisateur est plus difficile à établir, mais les équipements des États ou opérateurs qui font du DPI peuvent récupérer des informations (et potentiellement bloquer la connexion dans certains pays si le site est interdit).

 

Mobile View