Atteindre une IP locale via VPN
Résolu/Fermé
tmartin
Messages postés
155
Date d'inscription
lundi 26 juillet 2010
Statut
Membre
Dernière intervention
4 novembre 2023
-
28 mai 2022 à 09:06
brupala Messages postés 110583 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 2 décembre 2024 - 15 juil. 2022 à 18:01
brupala Messages postés 110583 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 2 décembre 2024 - 15 juil. 2022 à 18:01
5 réponses
avion-f16
Messages postés
19249
Date d'inscription
dimanche 17 février 2008
Statut
Contributeur
Dernière intervention
15 juin 2024
4 505
28 mai 2022 à 12:43
28 mai 2022 à 12:43
Bonjour,
> suite aux mise à jour des navigateurs qui n'autorisent plus d'exception pour certificat manquant/invalide
Les navigateurs permettent toujours HTTP, et aussi les exceptions sur les certificats en HTTPS. Ça sera probablement toujours le cas car les entreprises gèrent leurs propres certificats ou leur propre CA pour les services internes, il faut donc un moyen de les autoriser dans le navigateur. Ça serait mal vu de vouloir imposer une liste établie de CA publique.
Mais c'est vrai que le bouton est mieux dissimuler, il faut développer les détails lorsque l'alerte s'affiche pour le trouver.
> sauf que les IP locales restent celles de l'ordinateur appelant.
C'est le problème des réseaux privés non-uniques (overlapping) comme 192.168.1.0/24.
Raison de plus de considérer l'IPv6 avec ses adresses locales uniques (fdxx).
Si tu regardes la table de routage de ton ordinateur, une fois connecté au VPN, tu comprendras immédiatement ce qu'il se passe. Le routage vers 192.168.1.0/24 continue de se faire par le réseau physique (interfaces RJ-45 ou WiFi) car ton ordinateur doit pouvoir joindre la box locale (192.168.1.1) afin de l'utiliser comme passerelle pour accéder au serveur VPN via Internet.
La solution simple : modifier le réseau utilisé d'un côté (local) ou de l'autre afin de ne plus avoir cette superposition des réseaux.
La solution bidouille : Au lieu de taper 192.168.1.1 dans ton navigateur, tu tapes 192.168.99.1 (par exemple, évitons de prendre un autre réseau populaire). Ton ordinateur le routera via le VPN. Côté serveur VPN, tu peux faire un mappage entre 192.168.99.x et 192.168.1.x. Le mapping doit se faire dans les deux sens : VPN -> LAN (côté serveur VPN) et LAN (côté VPN) -> VPN.
https://www.frozentux.net/iptables-tutorial/iptables-tutorial.html#NETMAPTARGET
> suite aux mise à jour des navigateurs qui n'autorisent plus d'exception pour certificat manquant/invalide
Les navigateurs permettent toujours HTTP, et aussi les exceptions sur les certificats en HTTPS. Ça sera probablement toujours le cas car les entreprises gèrent leurs propres certificats ou leur propre CA pour les services internes, il faut donc un moyen de les autoriser dans le navigateur. Ça serait mal vu de vouloir imposer une liste établie de CA publique.
Mais c'est vrai que le bouton est mieux dissimuler, il faut développer les détails lorsque l'alerte s'affiche pour le trouver.
> sauf que les IP locales restent celles de l'ordinateur appelant.
C'est le problème des réseaux privés non-uniques (overlapping) comme 192.168.1.0/24.
Raison de plus de considérer l'IPv6 avec ses adresses locales uniques (fdxx).
Si tu regardes la table de routage de ton ordinateur, une fois connecté au VPN, tu comprendras immédiatement ce qu'il se passe. Le routage vers 192.168.1.0/24 continue de se faire par le réseau physique (interfaces RJ-45 ou WiFi) car ton ordinateur doit pouvoir joindre la box locale (192.168.1.1) afin de l'utiliser comme passerelle pour accéder au serveur VPN via Internet.
La solution simple : modifier le réseau utilisé d'un côté (local) ou de l'autre afin de ne plus avoir cette superposition des réseaux.
La solution bidouille : Au lieu de taper 192.168.1.1 dans ton navigateur, tu tapes 192.168.99.1 (par exemple, évitons de prendre un autre réseau populaire). Ton ordinateur le routera via le VPN. Côté serveur VPN, tu peux faire un mappage entre 192.168.99.x et 192.168.1.x. Le mapping doit se faire dans les deux sens : VPN -> LAN (côté serveur VPN) et LAN (côté VPN) -> VPN.
https://www.frozentux.net/iptables-tutorial/iptables-tutorial.html#NETMAPTARGET
brupala
Messages postés
110583
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
2 décembre 2024
13 841
28 mai 2022 à 13:54
28 mai 2022 à 13:54
Salut,
sinon, les adresses ipv6, c'est bien aussi ...
sinon, les adresses ipv6, c'est bien aussi ...
brucine
Messages postés
18025
Date d'inscription
lundi 22 février 2021
Statut
Membre
Dernière intervention
2 décembre 2024
2 649
28 mai 2022 à 10:18
28 mai 2022 à 10:18
Bonjour,
Historiquement, il suffisait de saisir http:\\monadresseIPWAN en s'aidant au besoin d'un redirecteur d'IP en cas d'adresse IP dynamique pour accéder plus volontiers et sauf paramétrage un peu compliqué directement à la page d'administration de la Box au lieu du poste local qu'on voulait atteindre.
Cela a été considéré comme une faille, et il n'y a plus moyen à ma connaissance (sauf par application My Livebox sur un dispositif mobile qui vérifie les identifiants du compte Orange) d'y accéder si l'IP appelante ne fait pas partie du réseau local, ce qui est le cas lors de l'utilisation d'un VPN.
Le plan B est la prise de contrôle de l'ordinateur cible par Anydesk, Teamviewer ou équivalent, tout se passant alors comme si on était physiquement devant cet ordinateur; on m'argumentera que cela n'est pas possible si la Livebox est en panne, mais dans ce dernier cas de figure, on ne pourra pas non plus accéder à son interface d'administration.
Historiquement, il suffisait de saisir http:\\monadresseIPWAN en s'aidant au besoin d'un redirecteur d'IP en cas d'adresse IP dynamique pour accéder plus volontiers et sauf paramétrage un peu compliqué directement à la page d'administration de la Box au lieu du poste local qu'on voulait atteindre.
Cela a été considéré comme une faille, et il n'y a plus moyen à ma connaissance (sauf par application My Livebox sur un dispositif mobile qui vérifie les identifiants du compte Orange) d'y accéder si l'IP appelante ne fait pas partie du réseau local, ce qui est le cas lors de l'utilisation d'un VPN.
Le plan B est la prise de contrôle de l'ordinateur cible par Anydesk, Teamviewer ou équivalent, tout se passant alors comme si on était physiquement devant cet ordinateur; on m'argumentera que cela n'est pas possible si la Livebox est en panne, mais dans ce dernier cas de figure, on ne pourra pas non plus accéder à son interface d'administration.
tmartin
Messages postés
155
Date d'inscription
lundi 26 juillet 2010
Statut
Membre
Dernière intervention
4 novembre 2023
51
Modifié le 28 mai 2022 à 13:44
Modifié le 28 mai 2022 à 13:44
@brucine
teamviewer te bloque sans arrêt au prétexte que tu serais un pro et ne fais rien avec leur procédure de réclamation (j'avais essayé plusieurs fois et fini par désinstaller) - les autres que je connais, comme simplement le bureau windows à distance ou ce dont se sert le staf de mon logiciel pro lors de maintenance, necessitent d'être devant la machine pour activation à la demande. Mais si tu as un équivalent aussi souple que teamviewer (avec une surveillance donc) et qui ne coute pas un abo onéreux annuel pour l'utiliser juste quelques fois / an ... je suis preneur.
@avion-f16
Je , nous (dans tous les forums vu, surtout les forums Orange avec le staf qui en a remis une couche); serions très honoré que tu nous donnes la méthode du bouton ou de la commande cachée pour indiquer une exception à Chrome ou Firefox par exemple, pour l'instant le message était "ils l'ont supprimé"
J'y suis quand même resté des heures a mettre des exceptions la ou on me le proposait, ou invalider le contrôle du certificat, strictement aucune conséquence et toujours ce message, informatif uniquement, de refus d'accès.
(oui je vois ce que c'est ce "continuer quand même", mais ça ne concerne pas ce genre de cas de figure - ça apparait d'ailleurs sur quasi tous les sites qu'on essaye d'atteindre avec Chrome sous Seven... d'un vieux portable que j'ai laissé dans ma RS, bref, parce que la avec une vieille trapanelle de bureau sous Seven, ça ne me le fait pas ???)
Bon, avec mon portable, et au boulot, je sous sous W10 avec les navigateurs dans leurs dernières versions et ça coince
Orange, ou plutôt la Livebox, puisqu'avec un TP Link, ça passe, ne permet l'administration distante qu'en https, avec un N° de port dédié ... du moins jusqu'à maintenant ou le certificat Orange est déclaré invalide ou déclaré manquant (sous Chrome / Firefox ou inversement je sais plus)
Je vais regarder ton astuce de mapping, merci
J'ai retrouvé aussi un firefox portable ESR qui m'avait servi à configurer une IPCam sous Java ... vais essayer aussi, quand je ne serais plus chez moi, donc après ce WE, du boulot.
teamviewer te bloque sans arrêt au prétexte que tu serais un pro et ne fais rien avec leur procédure de réclamation (j'avais essayé plusieurs fois et fini par désinstaller) - les autres que je connais, comme simplement le bureau windows à distance ou ce dont se sert le staf de mon logiciel pro lors de maintenance, necessitent d'être devant la machine pour activation à la demande. Mais si tu as un équivalent aussi souple que teamviewer (avec une surveillance donc) et qui ne coute pas un abo onéreux annuel pour l'utiliser juste quelques fois / an ... je suis preneur.
@avion-f16
Je , nous (dans tous les forums vu, surtout les forums Orange avec le staf qui en a remis une couche); serions très honoré que tu nous donnes la méthode du bouton ou de la commande cachée pour indiquer une exception à Chrome ou Firefox par exemple, pour l'instant le message était "ils l'ont supprimé"
J'y suis quand même resté des heures a mettre des exceptions la ou on me le proposait, ou invalider le contrôle du certificat, strictement aucune conséquence et toujours ce message, informatif uniquement, de refus d'accès.
(oui je vois ce que c'est ce "continuer quand même", mais ça ne concerne pas ce genre de cas de figure - ça apparait d'ailleurs sur quasi tous les sites qu'on essaye d'atteindre avec Chrome sous Seven... d'un vieux portable que j'ai laissé dans ma RS, bref, parce que la avec une vieille trapanelle de bureau sous Seven, ça ne me le fait pas ???)
Bon, avec mon portable, et au boulot, je sous sous W10 avec les navigateurs dans leurs dernières versions et ça coince
Orange, ou plutôt la Livebox, puisqu'avec un TP Link, ça passe, ne permet l'administration distante qu'en https, avec un N° de port dédié ... du moins jusqu'à maintenant ou le certificat Orange est déclaré invalide ou déclaré manquant (sous Chrome / Firefox ou inversement je sais plus)
Je vais regarder ton astuce de mapping, merci
J'ai retrouvé aussi un firefox portable ESR qui m'avait servi à configurer une IPCam sous Java ... vais essayer aussi, quand je ne serais plus chez moi, donc après ce WE, du boulot.
brucine
Messages postés
18025
Date d'inscription
lundi 22 février 2021
Statut
Membre
Dernière intervention
2 décembre 2024
2 649
28 mai 2022 à 15:36
28 mai 2022 à 15:36
Tous les logiciels de prise de contrôle à distance (enfin presque) facturent pour une utilisation commerciale sinon que Teamviewer considère souvent que c'est le cas même quand ce n'est pas vrai.
Anydesk ne fait pas exception à la règle mais je n'en ai jamais vu la facturation malgré une utilisation pro, et il est tout à fait capable de travailler en mode silencieux une fois le poste cible paramétré lors de la première connexion, et gratuitement.
J'ai lu du bien de Ammyy, je ne l'ai jamais utilisé.
Les différentes moutures de VNC sont bien sûr gratuites, mais réservent parfois de mauvaises surprises derrière certaines Box, en tout cas je n'ai jamais pu en avoir raison derrière une Livebox Pro.
Anydesk ne fait pas exception à la règle mais je n'en ai jamais vu la facturation malgré une utilisation pro, et il est tout à fait capable de travailler en mode silencieux une fois le poste cible paramétré lors de la première connexion, et gratuitement.
J'ai lu du bien de Ammyy, je ne l'ai jamais utilisé.
Les différentes moutures de VNC sont bien sûr gratuites, mais réservent parfois de mauvaises surprises derrière certaines Box, en tout cas je n'ai jamais pu en avoir raison derrière une Livebox Pro.
avion-f16
Messages postés
19249
Date d'inscription
dimanche 17 février 2008
Statut
Contributeur
Dernière intervention
15 juin 2024
4 505
28 mai 2022 à 20:42
28 mai 2022 à 20:42
Le bouton permettant l'exception de sécurité doit être masqué si le site utilise HSTS :
https://datatracker.ietf.org/doc/html/rfc6797#section-12.1
Il y a plusieurs façons de s'y prendre pour accéder malgré tout au site :
- Demande au navigateur de tout oublier concernant le site. Le prochain accès devrait permettre d'ajouter l'exception.
- Capturer le certificat via un autre moyen et l'ajouter dans le navigateur (via la gestionnaire des certificats)
https://datatracker.ietf.org/doc/html/rfc6797#section-12.1
Il y a plusieurs façons de s'y prendre pour accéder malgré tout au site :
- Demande au navigateur de tout oublier concernant le site. Le prochain accès devrait permettre d'ajouter l'exception.
- Capturer le certificat via un autre moyen et l'ajouter dans le navigateur (via la gestionnaire des certificats)
tmartin
Messages postés
155
Date d'inscription
lundi 26 juillet 2010
Statut
Membre
Dernière intervention
4 novembre 2023
51
>
avion-f16
Messages postés
19249
Date d'inscription
dimanche 17 février 2008
Statut
Contributeur
Dernière intervention
15 juin 2024
Modifié le 29 mai 2022 à 07:21
Modifié le 29 mai 2022 à 07:21
?????
Je ne vois aucun moyen de masquer quoique ce soit, non plus que de virer les cookies et autres caches change la donne (d'ailleurs utiliser un autre navigateur ne donne pas plus de résultats), encore moins de capturer un certificat déclaré invalide ou inexistant selon les navigateurs ! Le problème vient d'Orange qui oblige à l'https sans plus en offrir le moyen, et les navigateurs à jour qui ne permettent plus de passer outre :
dans la RFC dont vous avez mis le lien, je lis d'ailleurs que justement, l'utilisateur n'a plus aucun recours !
Avez vous essayé d'atteindre une page de connexion livebox ? (avec un navigateur à jour)
De toute façon, de mon avis personnel, c'est un faux sentiment de sécurité, donc sérieusement contre productif : on ne peut pas s'atteindre soi même au prétexte de sécurité (?) mais on peut se faire arnaquer tranquillement sur un site français, avec un numéro de portable français qui usurpe un commerçant français jusqu'au N° SIRET (mais que fait la police); un exemple ? "cycles stock" qui usurpe "cycles volt", ou pour rester dans le vélo électrique, puisque ce sont des arnaques à coup de milliers d'euros, "velo market" qui usurpe "mon vélo électrique"... les sites frauduleux sont légions et sont tous en https avec certificat valide.
Puisque je vous tiens, je ne vois pas comment rediriger une IP locale vers une autre : je sais déclarer un N° de port pour rediriger vers une IP locale, avec ou non redirection d'un N° de port vers un autre... mais je ne vois pas où rediriger une IP locale vers une autre ? (histoire d'essayer cet adressage en 99.x)
Merci
Je ne vois aucun moyen de masquer quoique ce soit, non plus que de virer les cookies et autres caches change la donne (d'ailleurs utiliser un autre navigateur ne donne pas plus de résultats), encore moins de capturer un certificat déclaré invalide ou inexistant selon les navigateurs ! Le problème vient d'Orange qui oblige à l'https sans plus en offrir le moyen, et les navigateurs à jour qui ne permettent plus de passer outre :
dans la RFC dont vous avez mis le lien, je lis d'ailleurs que justement, l'utilisateur n'a plus aucun recours !
Avez vous essayé d'atteindre une page de connexion livebox ? (avec un navigateur à jour)
De toute façon, de mon avis personnel, c'est un faux sentiment de sécurité, donc sérieusement contre productif : on ne peut pas s'atteindre soi même au prétexte de sécurité (?) mais on peut se faire arnaquer tranquillement sur un site français, avec un numéro de portable français qui usurpe un commerçant français jusqu'au N° SIRET (mais que fait la police); un exemple ? "cycles stock" qui usurpe "cycles volt", ou pour rester dans le vélo électrique, puisque ce sont des arnaques à coup de milliers d'euros, "velo market" qui usurpe "mon vélo électrique"... les sites frauduleux sont légions et sont tous en https avec certificat valide.
Puisque je vous tiens, je ne vois pas comment rediriger une IP locale vers une autre : je sais déclarer un N° de port pour rediriger vers une IP locale, avec ou non redirection d'un N° de port vers un autre... mais je ne vois pas où rediriger une IP locale vers une autre ? (histoire d'essayer cet adressage en 99.x)
Merci
avion-f16
Messages postés
19249
Date d'inscription
dimanche 17 février 2008
Statut
Contributeur
Dernière intervention
15 juin 2024
4 505
>
tmartin
Messages postés
155
Date d'inscription
lundi 26 juillet 2010
Statut
Membre
Dernière intervention
4 novembre 2023
Modifié le 29 mai 2022 à 13:41
Modifié le 29 mai 2022 à 13:41
N'hésite pas à partager l'adresse d'accès à l'administration à distance, jusqu'à maintenant, aucune alerte sur le certificat ne m'a jamais empêché d'accéder à un service. Il s'agit seulement de l'adresse IP publique de ta box (et le port), adresse connue des sites que tu visites (et le port peut être trouvé par scan), ce n'est pas un risque de sécurité de la partager. Si tu préfères, tu peux me l'envoyer par message privé.
Pour capturer le certificat, ça peut se faire avec openssl.
Par exemple :
Concernant le mappage, c'est plutôt au niveau du serveur VPN que ça doit se faire et non au niveau de la box. Il est possible (même probable) que la fonction ne soit pas disponible sur Synology. Mais avec un OpenVPN sur Linux, c'est possible via iptables
Pour capturer le certificat, ça peut se faire avec openssl.
Par exemple :
openssl s_client -showcerts -servername forums.commentcamarche.net -connect forums.commentcamarche.net:443 </dev/null 2>/dev/null
Concernant le mappage, c'est plutôt au niveau du serveur VPN que ça doit se faire et non au niveau de la box. Il est possible (même probable) que la fonction ne soit pas disponible sur Synology. Mais avec un OpenVPN sur Linux, c'est possible via iptables
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Imagine43
Messages postés
270
Date d'inscription
jeudi 5 juin 2014
Statut
Membre
Dernière intervention
23 juin 2024
54
Modifié le 15 juil. 2022 à 14:40
Modifié le 15 juil. 2022 à 14:40
Hello,
Si tu utilises le paquet Synology "VPN Server" et que tu as paramétré un VPN OpenVPN :
Il suffit de cocher la case, re-exporter ta config et la reinstaller sur ton appareil distant.
Tuto : ICI
brupala
Messages postés
110583
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
2 décembre 2024
13 841
15 juil. 2022 à 18:01
15 juil. 2022 à 18:01
Salut,
Dans ce cas, il faut aussi que le serveur NAS sache aussi faire du routage.
Et comme expliqué plus haut, si le réseau ip du lan client est le même que celui du serveur, le routage est impossible, sauf à configurer du routage statique sur une adresse ip seule, genre
route add 192.168.1.1 masq 255.255.255.255 vers serveur vpn.