Clarification fonctionnement d'un VPN

Support Debian
#1

Bonjour,

[Ce que je sais et ce que j’ai fait]
Je crois comprendre comment fonctionne un VPN et j’ai réussi à configurer et à faire fonctionner Openvpn sur ma distribution de debian.

[Ce que je souhaiterais faire]
Je suis derrière un Firewall au bureau et j’aurais souhaité me connecter depuis chez moi sur ma machine Linux. J’ai les droits d’administration pour ma machine Linux, mais je n’ai pas la possibilité de configurer le router à priori (pour faire un port forwarding sur ma machine Linux par exemple).
Y-a-t-il un moyen de faire ça?

Je me disais intuitivement, que ça devait être possible dans la mesure ou je passerais par le port et le serveur qui me donne accès à Internet (via 10.0.0.1:80 par exemple sur le réseau du bureau). Si je me trompe pourriez-vous m’expliquer pourquoi? Si c’est envisageable pourriez-vous m’indiquer la manière dont je dois configurer mon serveur Openvpn?

Je vous remercie par avance,

bou

#2

Je voudrais rajouter qu’à priori je préfèrerais que le serveur soit hébergé du côté du travail plutôt qu’à mon domicile, car la machine à mon travail est à priori en permanence allumée.

Cordialament,

bou

#3

En fait ce qui me chagrine un peu c’est ce quel’on peut lire dans la doc de openvpn:
//********************************************************
Starting up the VPN and testing for initial connectivity
Starting the server

First, make sure the OpenVPN server will be accessible from the internet. That means:

* opening up UDP port 1194 on the firewall (or whatever TCP/UDP port you've configured), or
* setting up a port forward rule to forward UDP port 1194 from the firewall/gateway to the machine running the OpenVPN server.

//********************************************************

Je trouve que le serveur vpn perd un peu de son utilité…

Bou

#4

tu veux te connecter sur une machine de ton réseau depuis l’extérieur (internet). et tu ne voudrait pas que celle ci soit exposée ???
pas de bras, pas de chocolat :smt006

c’est vrai que l’idéal est que le VPN soit géré directement par le routeur/pare-feu directement à l’entrée de ton réseau, celui qui a une adresse ip publique.
(ne pas confondre avec le modem qui fait parfois routeur fourni par les FAI et qui en plus chez free il donne l’heure)

si tu ne peux pas installer un tel équipement, et que tu n’as aucune possibilité d’ouvrir un port ou de faire du port forwarding, tu n’iras pas bien loin.

#5

Bonjour et merci pour ta réponse.

En fait je comprends bien qu’il faut que ma machine soit exposée d’une manière ou d’une autre mais j’aurais voulu que le VPN “passe” de manière transparente à travers le router sans ouvrir de port particulier que celui utilisé pour surfer sur le net d’ordinaire (protocole http? et port standard 80 par exemple).

Est-ce que quelque chose permettrait de faire ça?

Cordialement,

Olivier

#6

salut, tu as demandé à ton admin réseau de ta boite si il aurait pas mis une passerelle pour le ssh par exemple? voir peut être que vous avez déjà un serveur vpn qui tourne…? je pense que si tout ça n’est pas en place et que tu n’as pas la main sur le routeur tu ne pourra pas faire grand chose pour “entrer”…

#7

Il te faut un httptunnel mais dans le principe même, une connexion ne pourra être ouverte qu’à partir du «serveur». En clair tu installes le tunnel de la machine vers chez toi (ça doit donc être allumé) puis tu pars, et de chez toi tu peux continuer à travailler sur ta machine.

Mais

  1. Vérifies bien que ce que tu fais est autorisé par ta boite, parce que ça revient à contourner le parefeu et les contraintes imposées par ta boite

  2. Si il y a un système qui analyse le traffic http à la volée (il y a de tels systèmes qui détectent un trafic inhabituel afin de contrer une attaque de serveur), le tunnel sera détecté. Il vaut mieux dans ce cas passer par le port 443 ou un port ssl.
    Par exemple le port 995 qui est le pop3ssl, souvent ouvert, un traffic crypté n’étonne pas dessus et tu pourras faire un VPN sur ce port si il est accessible plutôt qu’un tunnel. Mais là encore, il te faudra ouvrir la connexion du serveur.

#8

Merci à tous pour vos réponses.

Une dernière question pour finir, en théorie si une entreprise quelle qu’elle soit laisse un accès vers Internet est-il toujours possible via a tunnel approprié de passer outre la firewall (à condition d’avoir tous les droits sur au moins une machine ayant accès au net)?

J’ai trouvé cet httptunnel: nocrew.org/software/httptunnel.html

Est-ce que c’est celui qui est communément utilisé?

Merci encore,

bou

#9

attention, ça dépend de l’entreprise. du règlement intérieur, et de la charte info si il y en a une.

si cette entreprise en question laisse un accès pour ‘surfer’ sur le web, ça peut être très mal vu si un jour on aperçoit que tu te connecte en vpn chez toi.

ok, tu n’es pas à la nasa, mais je serais toi je demanderai quand même…

#10

Pour compléter la réponse précédente:

  • techniquement oui, tu fais passer à peu prét n’importe quoi dans le tunnel HTTP
  • légalement c’est une autre histoire. Ta boite te donne un accés internet pour utiliser un navigateur et consulter des sites, pas pour contourner les protections mises en place
#11

Merci pour ces informations. C’est promis je ne ferai pas de bêtise avec ça. Je suis juste curieux de voir si ça marche.

Bou