Pouvoir accéder depuis l'extérieure à votre réseau statique en SSH depuis le NAS de votre Freevox V6 sur le réseau dynamique


#1

COMMENT CONFIGURER UN VPN AVEC OPENVPN SUR DEBIAN 9 STRETCH AVEC UNE FREEBOX V6

Configurer un accès VPN sur une Freebox Révolution (V6) via OpenVPN. L’objectif et de pouvoir accéder depuis l’extérieure à votre réseau statique en SSH depuis le NAS de votre Freevox V6 sur le réseau dynamique. Ce petit tuto suppose que la configuration de la freebox est correctement effectué, ici en mode routé et ou bridgé.

Une étude montre que la plupart des services de VPN ouverts au public oublient de verrouiller le routage IPv6 sur les machines supportant ce protocole en plus d’IPv4. De quoi laisser fuite du trafic sans protection.

Remarque: l’option tun-ipv6 est ignorée car les systèmes d’exploitation modernes ne nécessitent plus de traitement spécial du tuner IPv6.

Voir: https://test-ipv6.com/ et pour la détection du WebRTC https://ipleak.net/

I/ Configuration additionnelle pour que toutes les interfaces réseau fonctionnent correctement.

1/ IPV4 & IPV6

a/ Dans le VPN de la FREEBOX OpenVPN routé cochez la case: protocoles supportés IPV4.

b/ Vérifier vos DNS dans /etc/resolv.conf (qui sont normalement automatiquement configurés avec la FREEBOX)

L’IP forwarding permet à un système d’exploitation Linux de faire suivre des paquets comme le fait un routeur ou plus généralement de les router au travers d’autres réseaux. L’activation de l’IP forwarding est souvent utilisée lorsque l’on fait de l’écoute réseau (attaque Man in the middle notamment) mais aussi plus simplement lorsque l’on cherche à faire d’une machine Linux un routeur entre plusieurs réseaux.

Le fichier de préchargement / configuration sysctl peut être créé à /etc/sysctl.d/99-sysctl.conf. Les paramètre de 99-sysctl.conf seront remplacer par ceux de sysctl.conf au redémarrage du PC.

c/ Trouvez les lignes suivante, activer L’IP forwarding de IPV4 et d’écommanter et et désactivez celle de IPV6 et commenter:

#nano /etc/sysctl.conf
net.ipv4.ip_forward=1
#net.ipv6.conf.all.forwarding=0

d/ Enfin, appliquez vos modifications:

d1/ Pour charger tous les fichiers de configuration manuellement, exécutez:

#sysctl --system

  • Applying /etc/sysctl.d/99-sysctl.conf …
  • Applying /etc/sysctl.conf …
    net.ipv4.ip_forward = 1
    fs.inotify.max_user_watches = 1048576

d2/ Un seul fichier de paramètres permanent peut également être chargé explicitement avec:

#sysctl -p
net.ipv4.ip_forward = 1
fs.inotify.max_user_watches = 1048576

e/ Redémarrer les serveurs

#systemctl start openvpn.service
#service network-manager restart

f/ Vérification:

#sysctl -a | grep net.ipv4.icmp_echo_ignore_all
net.ipv4.icmp_echo_ignore_all = 0
sysctl: reading key “net.ipv6.conf.all.stable_secret”
sysctl: reading key “net.ipv6.conf.default.stable_secret”
sysctl: reading key “net.ipv6.conf.enp15s0.stable_secret”
sysctl: reading key “net.ipv6.conf.lo.stable_secret”
sysctl: reading key “net.ipv6.conf.wlp14s0.stable_secret”

Ma sortie est:
net.ipv4.icmp_echo_ignore_all = 0

#sysctl -a | grep net.ipv4.ip_forward
net.ipv4.ip_forward = 1
net.ipv4.ip_forward_use_pmtu = 0
sysctl: reading key “net.ipv6.conf.all.stable_secret”
sysctl: reading key “net.ipv6.conf.default.stable_secret”
sysctl: reading key “net.ipv6.conf.enp15s0.stable_secret”
sysctl: reading key “net.ipv6.conf.lo.stable_secret”
sysctl: reading key “net.ipv6.conf.wlp14s0.stable_secret”

Ma sortie est:
net.ipv4.ip_forward = 1

II/ Modification du fichier.ovpn

Voici les deux lignes à ajouter en dessous de « dev tun » :

route-gateway 192.168.0.254
redirect-gateway def1

Effectuer une petite modification du fichier.ovpn télécharger depuis la freebox puis copier dans le répertoire de /etc/openvpn/

#cd /etc/openvpn/
#nano fichier.ovpn

[...]
dev tun0
route-gateway 192.168.0.254
redirect-gateway def1
[...]

Redémarrer votre client openvpn de votre PC

III/ Conclusion

Le PC répond aux requêtes ping, et agit comme un routeur ou une passerelle en IPV4 en transférant des paquets IP.
Voir: https://test-ipv6.com/ et pour la détection du WebRTC https://ipleak.net/