Auteur Sujet: Tunnel GRE derrière Freebox (Lu 8856 fois)

Douks · « **le:** 29 octobre 2020 à 10:39:23 »

Bonjour à tous !

J'ai récemment tenté de monter un tunnel GRE entre une Dedibox et ma Freebox, le bût étant de ne publier que l'IP de ma Dediboite qui bénéficie d'un "anti DDOS". J'ai suivi à la lettre le tuto rédigé par Hetzner (en adaptant les IP publiques évidemment).

J'arrive à créer mes tunnels de chaque côtés, mais le ping ne passe pas et leur état est "UNKNOWN". Les deux machines se ping bien via leur IP publique.

Le serveur derrière ma Freebox est en DMZ et aucune règle iptables (oui je sais), la Dedibox à quelques règles basiques (tout interdire sauf ce qui est établi puis autoriser 80, IMAP, ...) auxquelles j'ai essayé d'ajouter un peu tout ce qui m'est tombé sous la main (port PPTP, forward vers le tunnel, ...).

Ma question est donc la suivante : est-ce que la Freebox doit obligatoirement être en mode bridge pour que le tunnel puisse passer ? Si j'ai bien compris, GRE étant sur la couche 3, le fait que l'autre bout de mon tunnel passe via une DMZ n'est pas bon (couche 4 ?)

EDIT: Je précise quand même que mes compétences en réseau restent basiques, au cas ou

lechercheur123 · « **Réponse #1 le:** 29 octobre 2020 à 13:52:06 »

Bonjour,

Je ne suis pas un expert Freebox, mais ça "pourrait" marcher avec la DMZ.

Mais avant d'aller plus loin, il y a deux points à vérifier (que tu ne mentionnes pas dans to n message) :
- Pour iptables côté Dédibox, il faut autoriser le protocole gre (soit en INPUT, soit en FORWARDING je ne sais plus)
- Tu dois avoir une IPv4 "full-stack" du côté de ta Freebox (à demander sur l'espace client de Free il me semble)

Une autre solution serait de monter un tunnel GRE6, et non GRE (GRE sur IPv6 et non sur IPv4)

Douks · « **Réponse #2 le:** 29 octobre 2020 à 14:09:50 »

Citation de: lechercheur123 le 29 octobre 2020 à 13:52:06

Bonjour,

Je ne suis pas un expert Freebox, mais ça "pourrait" marcher avec la DMZ.

Mais avant d'aller plus loin, il y a deux points à vérifier (que tu ne mentionnes pas dans to n message) :
- Pour iptables côté Dédibox, il faut autoriser le protocole gre (soit en INPUT, soit en FORWARDING je ne sais plus)
- Tu dois avoir une IPv4 "full-stack" du côté de ta Freebox (à demander sur l'espace client de Free il me semble)

Une autre solution serait de monter un tunnel GRE6, et non GRE (GRE sur IPv6 et non sur IPv4)

De mémoire j'avais quelque chose de semblable dans ma conf iptables : -A INPUT -p gre -j ACCEPT
j'ai aussi testé en autorisant 1723 en in/out. J'ai épuré la conf au minimum syndical, j'avais quelques trucs en lien avec un vieux serveur OpenVPN.
Je vais essayer en vidant toute la conf et en mettant tout en ACCEPT temporairement, mais j'y crois pas.

J'ai bien une IP fullstack

Merci pour ton aide

lechercheur123 · « **Réponse #3 le:** 29 octobre 2020 à 14:23:00 »

Ce que tu peux faire alors, c'est lancer un tcpdump sur ton serveur derrière la Freebox, pour voir si tu vois arriver les keep-alive depuis ton dédié. ça doit ressembler à quelque chose comme ça :

Code: [Sélectionner]

tcpdump -i any proto 47
Tu peux faire pareil du côté de la dédibox aussi

Si tu ne vois rien arriver côté Freebox, c'est que les paquets GRE sont jetés par ta Freebox (ou par Free). Pour ma part, chez Bouygues, c'est le cas

kgersen · « **Réponse #4 le:** 29 octobre 2020 à 15:18:49 »

GRE n'a rien a voir avec le port 1723. Ce n'est pas au même niveau dans les couches réseaux.

GRE se situe au même niveau que TCP et UDP: ce sont des protocoles Internet ( https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml )
TCP = 6
UDP = 17
GRE = 47

En IPv4 les box partagent leur l'IPv4 public en utilisant du NAT sur TCP ou UDP. Pour GRE il faut explicitement que la box supporte cela et en général l'établissement initial ne fonctionne que dans un sens (du lan vers l'extérieur, car en entrée la box ne sait pas vers qui finir le tunnel GRE, a moins de définir une IP lan DMZ).

en principe la Freebox supporte cela mais en IPv4 full stack.

sinon tu peux faire ton tunnel avec Wireguard qui lui fonctionne sur UDP. C'est simple a configurer voir tres simple en utilisant tailscale.com

Douks · « **Réponse #5 le:** 29 octobre 2020 à 15:45:50 »

Citation de: kgersen le 29 octobre 2020 à 15:18:49

GRE n'a rien a voir avec le port 1723. Ce n'est pas au même niveau dans les couches réseaux.

GRE se situe au même niveau que TCP et UDP: ce sont des protocoles Internet ( https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml )
TCP = 6
UDP = 17
GRE = 47

En IPv4 les box partagent leur l'IPv4 public en utilisant du NAT sur TCP ou UDP. Pour GRE il faut explicitement que la box supporte cela et en général l'établissement initial ne fonctionne que dans un sens (du lan vers l'extérieur, car en entrée la box ne sait pas vers qui finir le tunnel GRE, a moins de définir une IP lan DMZ).

en principe la Freebox supporte cela mais en IPv4 full stack.

sinon tu peux faire ton tunnel avec Wireguard qui lui fonctionne sur UDP. C'est simple a configurer voir tres simple en utilisant tailscale.com

Je suis bien d'accord pour l'histoire de port et de couche. J'ai juste testé ce qui me tombait sous la main, dont un truc recommandé sur serverfault qui conseillait d'ouvrir ce port.

J'avais déjà testé l'option Wireguard mais je vais devoir réinstaller ma dedibox car c'est un vieux Debian (stretch je crois) et le noyau ne le prends pas en charge visiblement. Mais je m'étais dit que GRE était "mieux" dans le sens ou aucun logiciel n'intervient notamment car tout transit en clair.

kgersen · « **Réponse #6 le:** 29 octobre 2020 à 18:26:35 »

Citation de: Douks le 29 octobre 2020 à 15:45:50

Mais je m'étais dit que GRE était "mieux" dans le sens ou aucun logiciel n'intervient notamment car tout transit en clair.

oui GRE n'est pas chiffré donc en théorie plus rapide que Wireguard. En pratique tout dépendra du débit utile que tu as besoin.

Douks · « **Réponse #7 le:** 04 janvier 2021 à 14:27:39 »

Bonjour par ici 👋

Depuis quelques jours je suis parti de chez Free pour Sosh. Je découvre dans l'administration de leur (vieille) Livebox que je peux NATer un protocole. Je m'empresse donc de tester de NATer GRE vers mon serveur PVE, mais sans succès.

En cherchant de l'aide par ici et par là, je me suis rendu compte de toute façon que Orange ne proposait pas d'IPv4 fixe ni ... d'IPv6 fixe

. C'est un concept à breveter ou ils ne sont pas seuls à faire du v6 dynamique ?

Bref, vu que IP dynamique, byebye GRE.

Je me suis donc penché sur Wireguard. Je fais tout arriver sur mon serveur chez cacaprovider qui forward tout ça dans le tunnel et à première vue le débit est assez bon. J'aurais aimé pouvoir tout faire passer en clair (car ce qui doit être chiffré l'est déjà) pour économiser un peu de ressources mais je m'y ferais.

Je suis assez fainéant dès que c'est pour du perso, alors j'aurais bien aimé avoir un truc graphique pour gérer tout ça.
Je me demandais si ça serait faisable d'utiliser pfSense (par exemple) sur mon dédié en lui déclarant la carte Wireguard comme patte pour le LAN ? Quelqu'un à déjà fait ?

Hugues · « **Réponse #8 le:** 04 janvier 2021 à 16:33:44 »

L2TP, pas chiffré, passe les nat, simple...

Nh3xus · « **Réponse #9 le:** 05 janvier 2021 à 00:06:25 »

Wireguard sur Pfsense / OPNsense c'est une horreur.

C'est un backport d'un truc pensé pour le noyau Linux vers un BSD Hardened...

Perso j'ai arrêté d'essayer de le faire fonctionner avec ce genre de firewall.

J'ai utilisé IPSec à la place.

sf! · « **Réponse #10 le:** 23 mars 2021 à 09:36:09 »

Citation de: Douks le 04 janvier 2021 à 14:27:39

Bonjour par ici 👋

Depuis quelques jours je suis parti de chez Free pour Sosh. Je découvre dans l'administration de leur (vieille) Livebox que je peux NATer un protocole. Je m'empresse donc de tester de NATer GRE vers mon serveur PVE, mais sans succès.

En cherchant de l'aide par ici et par là, je me suis rendu compte de toute façon que Orange ne proposait pas d'IPv4 fixe ni ... d'IPv6 fixe . C'est un concept à breveter ou ils ne sont pas seuls à faire du v6 dynamique ?

Bref, vu que IP dynamique, byebye GRE.

Je me suis donc penché sur Wireguard. Je fais tout arriver sur mon serveur chez cacaprovider qui forward tout ça dans le tunnel et à première vue le débit est assez bon. J'aurais aimé pouvoir tout faire passer en clair (car ce qui doit être chiffré l'est déjà) pour économiser un peu de ressources mais je m'y ferais.

Je suis assez fainéant dès que c'est pour du perso, alors j'aurais bien aimé avoir un truc graphique pour gérer tout ça.
Je me demandais si ça serait faisable d'utiliser pfSense (par exemple) sur mon dédié en lui déclarant la carte Wireguard comme patte pour le LAN ? Quelqu'un à déjà fait ?

Pourquoi ça serait embêtant ?
Avec du dynamic dns, c'est plié...

kgersen · « **Réponse #11 le:** 23 mars 2021 à 16:20:41 »

Citation de: Douks le 04 janvier 2021 à 14:27:39

Je suis assez fainéant dès que c'est pour du perso, alors j'aurais bien aimé avoir un truc graphique pour gérer tout ça.
Je me demandais si ça serait faisable d'utiliser pfSense (par exemple) sur mon dédié en lui déclarant la carte Wireguard comme patte pour le LAN ? Quelqu'un à déjà fait ?

"un truc graphique pour gérer tout ça" c'est pas précis précis...

si c'est que pour le tunnel tu peux utiliser tailscale.com pour gérer cela très facilement.Une maj récente permet de faire un point de sortie ou l'on veut.

sinon utilisé openwrt ou attendre la finalisation de wireguard dans FreeBSD (probablement pour la 13.1 = pas avant quelques mois) donc pour pfsense/opnsense

screens tailscale et openwrt (routeur ubiquiti ER-X passé sous OpenWrt).