Sujet Précédent Sujet Suivant

Accéder équipement via un vpn

Fermé
Alain0522 Messages postés 34 Date d'inscription mercredi 18 mai 2022 Statut Membre Dernière intervention 29 août 2023 - 17 janv. 2023 à 09:05
Alain0522 Messages postés 34 Date d'inscription mercredi 18 mai 2022 Statut Membre Dernière intervention 29 août 2023 - 12 févr. 2023 à 15:23

Bonjour, Je fais appelle à vous car je souhaite accéder à un équipement depuis l'extérieur. Je souhaiterais donc mettre en place une liaison VPN avec wireguard?. Je précise que je possède une simple box qui ne propose aucun service VPN intégré. Je ne dispose que de deux pc portable fonctionnant sous windows sur lequel sont installé le logiciel Wireguard. L'un des pc sera utilisé depuis l'extérieur, tandis que l'autre reste à l'intérieur du réseau local. Le pc portable au sein du réseau local est un poste classique, utilisée pour des opérations classiques quotidiennes (navigation internet, bureautique...) L'équipement sur lequel je veux avoir accès a une autre adresse IP sur mon réseau local et est accessible via une page internet (c'est une page d'administration de l'équipement) Je sais mettre en place la connexion VPN entre le PC 1 et le PC 2. Ce que je n'arrive pas à faire : comment accéder à l'interface d'administration de l'équipement en question. Pouvez-vous m'aider ? Cordialement

A voir également:

7 réponses

Réponse 1 / 7
avion-f16 Messages postés 19244 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 17 avril 2024 4 496
17 janv. 2023 à 21:28

Bonjour,

C'est tout simplement une question de routage, il faut t'assurer que la table de routage du client VPN (le laptop que tu prends à l'extérieur) route bien l'IP cible via le serveur VPN.

Je suppose que :

  • tu utilises le VPN "proprement", donc en "split tunnel" (routage sélectif).
    ---
  • Le PC 1 c'est celui qui reste chez toi
  • Le réseau local côté PC 1 est 192.168.1.0/24 avec 192.168.1.1 comme passerelle
  • Le PC 1 prend l'IP 192.168.1.2 au sein de son réseau local
    ---
  • Le PC 2 c'est celui que tu embarques en-dehors
  • Le réseau local côté PC 2 est 192.168.0.0/24 avec 192.168.0.1 comme passerelle
  • Le PC 2 prend l'IP 192.168.0.2 au sein de son réseau local
    ---
  • La plage IP du VPN est 10.8.0.0/24
  • Le PC 1 prend l'IP 10.8.0.1 au sein du VPN
  • Le PC 2 prend l'IP 10.8.0.2 au sein du VPN

Ça fait beaucoup de supposition mais sans plus d'informations de ta part...

En split tunnel, le PC 2 (extérieur) a probablement déjà sa table de routage comme suit :

  • 192.168.0.0/24 via son interface réseau physique
  • 10.8.0.0/24 via l'interface réseau virtuelle
  • default via 192.168.1.1

Il suffit alors d'ajouter une route :

  • 192.168.1.0/24 via 10.8.0.1

Côté PC 1 (chez toi), il faut autoriser le transfert de paquets (forward) depuis l'interface virtuelle vers l'interface physique et vice versa..

Ensuite, je suppose que le réseau 10.8.0.0/24 est méconnu au niveau de la passerelle 192.168.1.1.

Solution propre : ajouter une route statique "10.8.0.0/24 via 192.168.1.2" sur la passerelle 192.168.1.1.
Solution à éviter : activer un masquerading sur PC 1 afin que tout le traffic sortant via l'interface physique apparaisse comme venant de 192.168.1.2.

J'ai fait une supposition qui n'est pas toujours vraie : le réseau local côté PC 1 et PC 2 n'est pas le même. Si tu es dans le cas où les deux réseaux locaux superposent leurs plages IPs, il faut bidouiller un peu plus.
2
Réponse 2 / 7
Alain0522 Messages postés 34 Date d'inscription mercredi 18 mai 2022 Statut Membre Dernière intervention 29 août 2023 1
7 févr. 2023 à 08:52

Bonjour, 

@avion-f16 StatutContributeur : Est-ce que ton 2) correspond à l'étape que j'ai effectuée en disant : "J'ai réalisé le transfert de port sur l'interface d'administration de la box.".

En effet, dans l'interface d'adminitration de ma box > réseau v4 > NAT, j'avais effectué la redirection suivante :

port_externe | UDP | adresse ip de PC_int | port interne (wireguard PC_int est configuré pour écouté sur ce port)

Toutefois, ce matin, pous une raison que j'ignore, c'est "tombé" en marche. Peut-être qu'en redémarrant wireguard, des paramètres bloqué ont été pris en compte.

A savoir que j'ai réussi à accéder à l'interface d'administration de mon équipement sur l'adresse 192.168.1.20.

En revanche, impossible d'accéder à l'interface d'administration de la box (192.168.1.1). Peut-être que cela rejoint ce qu'à écrit @brucine StatutMembre un peut plus haut dans ce post ?

Comment fait la box pour savoir que je viens de l'extérieur, puisque je passe par un vpn et que j'atteri à l'intérieur du réseau ?

Cordialement
1
brucine Messages postés 14238 Date d'inscription lundi 22 février 2021 Statut Membre Dernière intervention 19 avril 2024 1 798
7 févr. 2023 à 09:38

Bonjour,

L'accès à la page d'administration en réseau local s'y active ou pas selon les modèles dans cette page pour le réseau local.

Voir par exemple ici une discussion à ce propos concernant les box SFR: elles sont codées pour ne pas accepter une connexion à partir d'une adresse IP qui n'est pas dans le réseau local (et ce qui bien sûr n'inclut pas la prise de contrôle à distance d'un des postes en réseau local à partir duquel on fait ce qu'on veut).

Je ne sais pas dans quelle mesure un VPN est capable de "tromper l'ennemi" en se faisant passer pour une adresse locale, je suppose aussi que, dans un certain nombre de circonstances, la maintenance de l'opérateur a les moyens de prendre la main sur cette page, je n'en sais rien, et dans l'affirmative je ne sais pas par quel biais.

https://la-communaute.sfr.fr/t5/installation-et-param%C3%A9trage/acc%C3%A8s-au-param%C3%A9trage-de-la-box-par-le-198-168-1-1/td-p/2352442
 

0
Réponse 3 / 7
madmyke Messages postés 52789 Date d'inscription dimanche 20 janvier 2008 Statut Modérateur Dernière intervention 19 avril 2024 12 042
17 janv. 2023 à 14:21

Bonjour
Un vpn établi une connexion chiffrée entre un point A et un point B. Le vpn ne permet rien de plus.

Si vous voulez atteindre la page de gestion du device sur votre LAN en passant par le vpn, ce qui est déjà fait, il faut je pense faire le plus simple, à partir du PC A, avoir le controle sur la machine B à la maison en remote et de là vous pourrez exactement faire ce que vous voulez, lancer le navigateur sur B etc, tout en gardant la partie "sécurisée".

Bàv
 
0
Réponse 4 / 7
Alain0522 Messages postés 34 Date d'inscription mercredi 18 mai 2022 Statut Membre Dernière intervention 29 août 2023 1
6 févr. 2023 à 09:36

Bonjour à tous, et merci de vos retours.

Veuillez m'excuser pour le retard de ma réponse, je n'ai pas pu me replonger sur ce problème avant ce week-end.

tu utilises le VPN "proprement", donc en "split tunnel" (routage sélectif).

Désolé, je ne sais pas ce qu'est le "routage sélectif" ou "split tunnel". Je suis plutôt novice en la matière.

Tout d'abord voici un peu plus d'information sur mon objectif :

Le PC qui sera à l'extérieur sera en mode "itinérance", je me servirai de mon ordiphone (autrement appelé smartphone) comme modem. Il ne sera donc pas derrière une box.

Mon objectif : 

  • me connecter à l'interface d'administration de l'équipement en question qui se trouve sur une ip fixe (192.168.1.20);
  • accéder à l'interface d'administration de ma box (192.168.1.1).

Ce week-end, j'ai installé wireguard sur les deux PC, donc :

PC_ext :

ip dans le tunnel vpn : 10.0.0.10

PC_int :

ip dans le réseau local : 192.168.1.30

ip dans le tunnel vpn :  10.0.0.20

J'ai réalisé le transfert de port sur l'interface d'administration de la box.

Enfin, j'ai suivi ce tuto afin d'activer la redirection d'IP sur PC_int (windows 10) :

Easy Ways to Enable IP Routing on Windows 10: 5 Steps (wikihow.com)

Après la mise en place de cela, j'ai effectué un test : il s'avère qu'une communication semble avoir été établie car wireguard du PC_int a trouvé l'adresse ip de mon ordiphone, alors qu'elle ne lui avait pas été explicitement renseigné (ce qui est logique). De plus, des paquets sont envoyés et reçu sur chacun des PC (PC_int et PC_ext). Je peut le voir, car sur l'interface du logiciel wireguard, il y a une ligne où on voit ces informations en direct.

En revanche, lorsque de rentre l'adresse ip 192.168.1.20 (de l'équipement) ou celui de ma box dans le navigateur du PC_ext, j'ai un message d'erreur comme quoi il n'a pas réussi à trouver la page.

Voilà je suis bloqué ici.

Cordialement
0
brucine Messages postés 14238 Date d'inscription lundi 22 février 2021 Statut Membre Dernière intervention 19 avril 2024 1 798
6 févr. 2023 à 09:43

Bonjour,

Noter que certaines Box interdisent pour des raisons de sécurité l'accès à leur page d'administration depuis l'extérieur.

-1
avion-f16 Messages postés 19244 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 17 avril 2024 4 496
6 févr. 2023 à 20:34

Bonjour,

J'ai effectivement oublié une étape :

Les paquets émis depuis IP_ext vers 192.168.1.20 au travers du tunnel Wireguard prennent comme IP source... 10.0.0.10.

Dès lors, 192.168.1.20 tentera de répondre vers 10.0.0.10 mais il ne connait pas de route vers cette IP, et sa passerelle non plus.

Deux solutions (choisir l'une ou l'autre) :

1) Ajouter une route statique sur la box afin de router 10.0.0.0/24 via 192.168.1.30

2) Activer un NAT (masquerading) afin que tous le trafic sortant de PC_int vers le réseau local (dont 192.168.1.20) prennent 192.168.1.30 comme source. Le chemin inverse est alors possible.

1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
Alain0522 Messages postés 34 Date d'inscription mercredi 18 mai 2022 Statut Membre Dernière intervention 29 août 2023 1
Modifié le 7 févr. 2023 à 10:24

Bonjour, 

@avion-f16 StatutContributeur : Est-ce que ton 2) correspond à l'étape que j'ai effectuée en disant : "J'ai réalisé le transfert de port sur l'interface d'administration de la box.".

En effet, dans l'interface d'adminitration de ma box > réseau v4 > NAT, j'avais effectué la redirection suivante :

port_externe | UDP | adresse ip de PC_int | port interne (wireguard PC_int est configuré pour écouté sur ce port)

Toutefois, ce matin, pous une raison que j'ignore, c'est "tombé" en marche. Peut-être qu'en redémarrant wireguard, des paramètres bloqué ont été pris en compte.

A savoir que j'ai réussi à accéder à l'interface d'administration de mon équipement sur l'adresse 192.168.1.20.

En revanche, impossible d'accéder à l'interface d'administration de la box (192.168.1.1). Peut-être que cela rejoint ce qu'à écrit @brucine StatutMembre un peu plus haut dans ce post ?

Comment fait la box pour savoir que je viens de l'extérieur, puisque je passe par un vpn et que j'atterri à l'intérieur du réseau ?


Cordialement
0
avion-f16 Messages postés 19244 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 17 avril 2024 4 496
7 févr. 2023 à 20:36

Bonjour,

Non il s'agit de deux choses différents.

Le transfert/redirections de ports configuré au niveau de la box permet de modifier la destination des paquets envoyés vers l'IP publique, vers l'IP locale (c'est donc du DNAT).

Le NAT/masquerade dont je parle concerne le traffic entre le réseau VPN et le réseau local, l'ordinateur PC_int étant un routeur entre ces deux réseaux.

Même si c'est "tombé" en marche, cette règle NAT/masquerade omise dans mon premier message reste nécessaire (à moins de définir une route statique).

Si l'accès à l'équipement fonctionne depuis le PC_ext via le VPN, l'administration de la box devrait aussi fonctionner, il n'y a pas de raison, puisque justement l'accès se fait depuis le LAN de la box. La box ne sait pas que ça vient de l'intérieur, sûrement que la réponse n'atteint pas la cible puisque la source est inconnue (ce dont je parle dans la réponse précédente). Après avoir créé ce NAT/masquerade sur le serveur VPN, il y a de fortes chances que la box soit accessible via le VPN.

0
Réponse 6 / 7
Alain0522 Messages postés 34 Date d'inscription mercredi 18 mai 2022 Statut Membre Dernière intervention 29 août 2023 1
8 févr. 2023 à 20:04

Bonsoir, 

ok, je n'y étais pas du tout.

Je te confirme qu'avec une route statique, ça ne fonctionne pas non plus.

En ce qui concerne le NAT/masquerade, c'est la première fois que j'entends parler de cette chose. 

Après quelques recherche, de ce que j'ai compris, c'est que ça permet à plusieurs périphérique de discuter sous une adresse ip unique à l'image de ce que fait une box (nos appareils vont sur internet avec l'adresse ip de la box).

J'ai lu pas mal de doc dessus.  Je ne parviens pas à saisir où faire la configuration. Sur certains site, ils font cela dans l'os, d'autre dans le parefeu.

Est-ce dans le fichier de configuration de wireguard ?

As-tu un tuto ?

Cordialement
0
avion-f16 Messages postés 19244 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 17 avril 2024 4 496
9 févr. 2023 à 09:51

Bonjour, c'est sur la machine qui fait office de serveur VPN qu'il faut configurer cela. Cette machine fait aussi office de routeur entre le réseau LAN (physique) et le reseau virtuel (VPN). Le but est de faire croire à ton LAN que le trafic provenant des clients VPN vient du serveur VPN.

Wireguard crée une interface virtuelle pour le réseau VPN, mais le routage et le pare-feu reste assuré par l'OS. La configuration du NAT s'effectue exactement comme si tu avais un routeur avec deux interfaces réseau physiques. Il faut donc appliquer une règle de NAT (masquerade) sur le trafic sortant par l'interface physique.

0
Réponse 7 / 7
Alain0522 Messages postés 34 Date d'inscription mercredi 18 mai 2022 Statut Membre Dernière intervention 29 août 2023 1
12 févr. 2023 à 15:23

Bonjour,

Merci de ton retour. Je vais regarder cela.

J'ai l'impressions que sous windows ça ne s'appelle pas NAT / "masquerade"

Je vous tiens au courant.

Encore merci
0

Discussions similaires

torrent sans VPN
lacloc45 -
madmyke -

2 réponses
je veut créer des codes
jonkiller -
Nhhi -

20 réponses