La Fibre
Télécom => Réseau => 
VPN => Discussion démarrée par: aka80 le 05 mai 2021 à 12:45:18
-
Bonjour,
depuis deux semaines, je galère avec la configuration de Openvpn, installé sur une VM debian, sur ma Freebox Delta.
J'ai réussi à tout mettre en place grâce au Tuto YouTube accessible avec le lien ci-dessous:
https://www.youtube.com/watch?v=MIuHwPy_UTs&t=1115s
Tout a parfaitement fonctionné, et le vpn fonctionne. Mais j'ai un gros problème de fuite DNS et IPV6
Pour corriger ça, j'ai essayé de pousser les DNS google depuis le serveur DNS du vpn, sur les clients qui vont s'y connecter.
J'ai modifier le fichier ".client.conf, avec:
push "redirect-gateway def1 bypass-dhcp", avec l'installation au préalable de "openvpn-systemd-resolved"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
script-security 2
up /etc/openvpn/update-systemd-resolved
down /etc/openvpn/update-systemd-resolved
down-pre
dhcp-option DOMAIN-ROUTE .
J'ai aussi essayé de désactiver l'IPV6 dans /etc/sysctl.conf, mais ça n'a pas l'air de marcher
le "Push DNS ne fonctionne pas non plus. impossible d'avoir les DNS gobée sur les clients
Sur mon pc c'est le DNS fd0f:ee:b0::1 de la freebox, et l'ipv6 actif, au lieu des DNS du VPN.
Comment faire pour que le Push DNS fonctionne, et pouvoir empêcher les fuite DNS et ipv6?
Merci à vous
-
Je n'ai pas 20 minutes a perdre pour regarder la vidéo du coup comment le serveur VPN est déclaré dans les postes client ?
Si le but est d'éviter d'installer un client VPN sur chaque poste du LAN , il faut remplacer la Freebox au niveau passerelle par défaut et serveur DNS.
Si y'a besoin d'un client VPN sur chaque poste, y'a pas trop besoin d'un serveur VPN dans la box...
-
Je n'ai pas 20 minutes a perdre pour regarder la vidéo du coup comment le serveur VPN est déclaré dans les postes client ?
Si le but est d'éviter d'installer un client VPN sur chaque poste du LAN , il faut remplacer la Freebox au niveau passerelle par défaut et serveur DNS.
Si y'a besoin d'un client VPN sur chaque poste, y'a pas trop besoin d'un serveur VPN dans la box...
Bonjour @kgersen
En fait j'ai créé une VM sous debian depuis la Freebox Delta, et j'y est installé Openvpn.
Ensuite dans Openvpn, j'ai connecté un client à mon vpn provider PrivateVpn, avec le fichier .ovpn
Ensuite j'ai copié le fichier en client.conf avec le contenu suivant:
remote fr-par.pvdata.host 443 tcp-client
nobind
dev tun
# Options
remote-cert-tls server
client
comp-lzo
persist-key
auth-nocache
keepalive 10 120
persist-tun
verb 3
# Crypto
cipher AES-128-GCM
auth SHA256
auth-user-pass /etc/openvpn/.authvpn
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
script-security 2
up /etc/openvpn/update-systemd-resolved
down /etc/openvpn/update-systemd-resolved
down-pre
dhcp-option DOMAIN-ROUTE .
# Cert
<ca>
-----BEGIN CERTIFICATE-----
L'ip de la VM sert comme routeur sur les postes que je veux connecter au VPN.
Cela fonctionne très bien, mais problème c'est les fuites DNS et l'ipv6 que je n'arrive pas à résoudre. J'ai essayé avec "Push dns" mais ça ne fonctionne pas. Le VPN n'arrive pas à pousser les dns reseignés (ici ceux de google), et à chaque fois, c'est celui de la Freebox qui est déployé, ainsi que l"ipv6 qui n'est pas bloqué. Pourtant je l'ai demandé dans /etc/sysctl.conf
-
L'ip de la VM sert comme routeur sur les postes que je veux connecter au VPN.
c'est fait comment ca ?
Si c'est manuellement dans chaque poste il faut aussi changer les DNS des postes et pas permettre au DNS IPv6 de se configurer.
exemple en laissant vide:
(https://i.imgur.com/L5AWWnk.png)
si on laisse 'obtenir les adresses des serveurs DNS automatiquement' alors les postes prendront l'IPv6 de la freebox comme serveur DNS (fd0f:ee:b0::1) et c'est ca qui coince.
tes "push ..." ne servent pas pour les postes car le serveur vpn n'est pas serveur DHCP (IPv4) ni serveur de RA (IPv6). C'est toujours la Freebox qui a ces 2 rôles.
-
non avec le serveur DNS de Openvpn, il est possible de choisir des DNS perso à pousser sur les postes qui vont se connecter au Vpn.
-
non avec le serveur DNS de Openvpn, il est possible de choisir des DNS perso à pousser sur les postes qui vont se connecter au Vpn.
y'a pas 'poussage' sur les postes car les postes n'ont pas de client OpenVPN. Ils ne se 'connectent pas ' (au sens OpenVPN) au serveur VPN. C'est juste la passerelle par défaut qui est changée.
Pour pousser une configuration DNS sur un poste cela se fait par DHCP en IPv4 et RA/SLAAC en IPv6 (ou DHCPv6).Dans les 2 cas c'est fait par la Freebox.
-
y'a pas 'poussage' sur les postes car les postes n'ont pas de client OpenVPN. Ils ne se 'connectent pas ' (au sens OpenVPN) au serveur VPN. C'est juste la passerelle par défaut qui est changée.
Oui mais là c'est subtil, il faut avoir mis le nez dedans pour comprendre en réalité ce que tu veux dire et entends par là.
-
Son explication me parait pourtant tout à fait claire.
Enfin, j'imagine que mon interprétation est biaisée puisque je fais (presque) la même chose.
-
Oui mais là c'est subtil, il faut avoir mis le nez dedans pour comprendre en réalité ce que tu veux dire et entends par là.
C'est plutôt le tuto qui est foireux car ne fonctionne pas avec IPv6 alors que c'est pour Freebox qui ont toutes IPv6 activées...
Apres comme indiqué au début je n'ai pas 20 minutes a perdre a regarder le tuto du coup c'est peut-être expliqué dedans qu'il faut couper IPv6 sur les postes.
-
J'aime bien le tutoriel qui fait un SpeedTest en IPv6 (le serveur d'Orange Paris est répond en IPv6, donc le test est fait en IPv6 si le client a de l'IPv6) pour montrer les performances du VPN ;)
Si j'ai bien compris, seul le trafic IPv4 passe par le VPN.
-
y'a pas 'poussage' sur les postes car les postes n'ont pas de client OpenVPN. Ils ne se 'connectent pas ' (au sens OpenVPN) au serveur VPN. C'est juste la passerelle par défaut qui est changée.
Pour pousser une configuration DNS sur un poste cela se fait par DHCP en IPv4 et RA/SLAAC en IPv6 (ou DHCPv6).Dans les 2 cas c'est fait par la Freebox.
Oui exact, vous avez tout à fait raison. Effectivement je me sers de l'ip de la VM comme passerelle, et ainsi profiter du vpn.
Ce à quoi j'ai penser, pour arriver à ce que je veux faire, c'est installer un Serveur DHCP sur la VM debian, et m'en servir pour mon réseau. Ce qui aura comme conséquence, de couper le DHCP de la Freebox. Qu'en pensez-vous?
-
C'est plutôt le tuto qui est foireux car ne fonctionne pas avec IPv6 alors que c'est pour Freebox qui ont toutes IPv6 activées...
Apres comme indiqué au début je n'ai pas 20 minutes a perdre a regarder le tuto du coup c'est peut-être expliqué dedans qu'il faut couper IPv6 sur les postes.
Non il n'a pas du tout évoqué le cas de l'IPV6 sur la Freebox. Ce qu'il il a bien préciser qu'il faut remplacer les DNS manuellement par ceux de notre vpn provider.
Et tu as parfaitement raison de le préciser le cas de l'IPV6 de la Freebox.
-
Il n'évoque pas IPv6, mais sur la vidéo, on voit bien son IPv6 (2a01:e0a:347:1570::/64) sur son PC de test qui appartient au réseau de Free.
Après ce qui est trompeur, c'est que SpeedTest affiche l'IPv4 publique, même quand il fait le test en IPv6.
Je n'ai aucun doute sur le fait que le test de débit n'a pas utilisé le VPN.
-
Il n'évoque pas IPv6, mais sur la vidéo, on voit bien son IPv6 (2a01:e0a:347:1570::/64) sur son PC de test qui appartient au réseau de Free.
Après ce qui est trompeur, c'est que SpeedTest affiche l'IPv4 publique, même quand il fait le test en IPv6.
Je n'ai aucun doute sur le fait que le test de débit n'a pas utilisé le VPN.
oui tu as raison, on voit bien son ipv6, et c'est là le problème. Beaucoup parlent de protection VPN sans évoquer les fuites DNS et ipv6 leak.
-
Oui exact, vous avez tout à fait raison. Effectivement je me sers de l'ip de la VM comme passerelle, et ainsi profiter du vpn.
Ce à quoi j'ai penser, pour arriver à ce que je veux faire, c'est installer un Serveur DHCP sur la VM debian, et m'en servir pour mon réseau. Ce qui aura comme conséquence, de couper le DHCP de la Freebox. Qu'en pensez-vous?
Ce n'est pas si simple car les postes se configurent aussi une IPv6 via RA et dans cette RA la freebox pousse une configuration DNS IPv6 aussi.
un PC se configure ses IPs, ses DNS et ses routes comme suit:
DHCP: donne une IPv4, la configuration DNS en IPv4 et la route par défaut pour IPv4 (gateway).
RA: donne une IPv6 (voir plusieurs), la configuration DNS en IPv6 et la route par défaut pour IPv6
Si un PC a une configuration DNS en IPv4 et en IPv6 et si IPv6 est actif c'est toujours la configuration DNS IPv6 qui va être utilisé du coup ca fuitera encore via la Freebox.
Pour changer la configuration DNS IPv4, on peut le faire directement sur la Freebox (suffit de pas mettre la Freebox comme "Serveur DNS 1". Pas la peine donc de déplacer le serveur DHCP de la Freebox a la VM. Mais si on met le serveur VPN comme serveur DNS il faut gérer cela dessus avec les problèmes que ca pose pour les postes qui ne veulent pas utiliser le VPN.
De toute façon ca ne résout que la partie IPv4 : il faut aussi donc changer les RA: couper ceux de la Freebox et les activer sur la VM et bien configurer le tout (dans l'interface de la Delta il faut désactiver IPv6 et envoyer le premier préfixe vers la VM en mettant sa link-local comme "Next Hop"et ensuite configurer un serveur RA (radvd) sur la VM qui s'annonce elle même en DNS IPv6 (ou au pire pas d'annonce DNS IPv6).
En gros la VM va remplacer les fonctions de base de la Freebox.
Ca devient vite complexe au point qu'il est plus simple de juste couper IPv6 sur les postes qui veulent sortir par le VPN...ou de juste mettre un client vpn sur chaque poste.
Sauf si on veut que toutes les machines du LAN y compris les objets connectés, assistants, le wifi, etc sortent toutes par le VPN la c'est plus simple mais c'est un cas extrême de faire cela.
-
Bon les gars je reviens vers vous, car les choses ont évolué.
En fait hier je me suis dit, tient si je prenais un autre VPN provider que celui avec qui je faisait mes tests pour voir. Je me suis du coup tourné vers ExpressVPN, avec un essai gratuit de 7 jours.
Et figurez vous bien, avec ExpressVPN, j'ai installé et configure Openvpn de manière classique, en me servant de l'ip du serveur comme passerelle pour profiter du vpn sur une macbook ou autre périphérique du réseau. J"ai dans les réglages de la carte réseau, juste renseigné comme routeur, l'ip du serveur sur lequel Openvpn est installé et configuré, puis en DNS manuel, ceux de Cloudflare.
et là miracle, pas de fuite DNS, ni ipv6.
Par contre avec PrivateVPN ou CyberGhost, je me retrouve avec une fuite ipv6.
Je pense m'orienter sur ExpressVPN, et puis ce sera tout.
-
Bonjour aka80 et bonjour à tous !
J'aimerais bien réussir à configurer le même type de routage sur ma Freebox Delta. J'ai regardé il y a plusieurs mois un tuto vidéo (aujourd'hui effacé) qui décrivait une procédure pour installer une Debian sur une VM dans la Freebox Delta afin de faire transiter le traffic internet via une connexion VPN.
Après quelques mois d'utilisation, est-ce que cette configuration fonctionne de façon satisfaisante pour vous ?
Avez-vous réglé les soucis de fuite dns en ipv6 en changeant simplement de service VPN ?
De mémoire (j'ai regardé ce tuto il y a 8-10 mois), le tuto proposait une approche de type:
- configuration d'une VM Debian, avec ip statique
- activation du mode dmz vers l'ip statique de la VM
- connexion de la VM au service VPN (comme un client, et non en installant un serveur)
- création des table de routage et paramétrages des dns
Je pense à une telle solution parce qu'idéalement, j'aimerais éviter d'avoir à configurer un VPN sur chacun des appareils de ma famille. (ordi/téléphones/boitier TV/etc.).
J'aimerais idéalement pouvoir avoir 2 sous-réseaux : l'un avec VPN sur une ip française pour la vie de tous les jour sur l'ensemble de nos appareils et l'autre avec une ip éventuellement non française pour Netflix & Cie.
J'essaie de faire le tour des nombreuses questions que cela pose : quid du firewall, de la sécurité générale de ma freebox, des services éventuellement désactivés sur la freebox (téléphone, player TVfree, NAS Freebox, etc.)
J'ai oublié / je ne connais pas encore l'ensemble des paramètres réseau (passerelle, modification du fichier host de la VM, NAT, DNS, ipv4 et ipV6) que je devrais définir pour mettre en place une telle solution. Je trouve par contre que les possibilités liées à l'hérgement de petites VM dans la Freebox Delta sont très intéressantes.
Une distribution Debian offre vraiment de nombreux services (serveur vpn, serveur dns, pi-hole/adGuardHome, serveur cloud perso avec next cloud)
Étonnamment, je trouve très peu de tutos pour des configurations "un peu avancées" des freebox sur le web ?
Finalement, est-ce qu'il voudrait mieux conseiller un petit serveur dédié branché sur la freebox (ceci dit pas différent d'une VM, hormis pour une solution plus puissante côté proc.), ou même carrément un routeur physique placé derrière la box et qui offrirait ce type de service de façon quasi plug&play ?
Merci beaucoup par avance pour tout retour !