Sujet: Accéder au webif de façon sécurisée via une Freebox Révolution (serveur VPN)

[MiKe]

Je vais vous présenter une fonction forte utile implantée dans la Freebox Révolution : le serveur VPN !

Mais qu'est ce qu'un VPN ? VPN veut dire Virtual Private Network en anglais (Réseau privé virtuel en français). Le but pour nous, sera donc d’accéder de façon sécurisée à l'interface web (le webif) de notre démodulateur pour programmer des enregistrements, etc....sans avoir à ouvrir de ports sur la Freebox !

Pour plus d'information sur le VPN, direction wikipédia :

  http://fr.wikipedia.org/wiki/R%C3%A9seau_priv%C3%A9_virtuel

Passons aux choses sérieuses maintenant. Premièrement, il faut se connecter à l'interface web de la Freebox Révolution. Pour cela, prenez votre navigateur internet, puis tapez 192.168.1.1, vous arrivez sur cette page :





Puis icône Paramètres, mode avancé puis Server VPN :





Puis Ajouter un nouvel utilisateur :







Cliquez sur Sauvegarder :





Allez ensuite sur l'onglet PPTP, cochez la case et sélectionnez le chiffrement puis cliquez sur OK :





Voila, la partie configuration de la Freebox Révolution est terminée ! Je vais me connecter via mon smartphone (donc en réseau 3G) à mon démodulateur, et plus particulièrement à son interface web. Pour cela, allez dans les paramètres, puis suivez les screenshots suivants pour configurer le client VPN (mon smartphone, un Nexus 5 sous Android 4.4) :













Il y a tout de même une contrainte, à savoir que vous êtes dépendant de la qualité de votre connexion ADSL et de celle du réseau mobile !





Enjoy !

[Dirac]

Bravo Mike,
 ton exposé semble clair et je vais tenter de le mettre en pratique dans les jours qui viennent.
Ensuite et ensuite seulement, je tenterai de comprendre en quoi ta solution intègre les propos de kill/pr2 ou en diffère..
http://www.doume59.net/forum/index.php?topic=6776.msg52854#msg52854
Merci encore pour ce travail
dirac

[MiKe]

Salut Dirac,

La Freebox Révolution propose en natif une solution sécurisée (SSH) pour accéder à son réseau local depuis l'extérieur, il n'y a rien à ajouter de plus comme équipement en tête de pont comme le disait Kill-9 

[pr2]

La solution de Mike est très bien et réponds effectivement à ce dont on avait discuté dans l'autre fil de discussion.

[killminusnine]

Bonjour à tous,

La solution proposée par Mike est même plus appropriée que celle que j'évoquais avec du tunneling SSH dans la mesure où il s'agit d'un vrai VPN capable de gérer de l'ICMP, du TCP et surtout de l'UDP.

Dans le cas du tunneling SSH, on ne manipule que du TCP. C'est pratique pour accéder à une interface web, comme le WebIf (pour modifier ses timers, ou zieutter les screenshots, par exemple), mais impossible de manipuler les flux media si l'on souhaite mater la télé au bureau. En effet, dans le cas de nos boites à rêves, conformément à ce qui est prôné par l'état de l'art, le streaming video s'effectue avec des flux UDP. Je ne rentrerai pas dans les détails des raisons de ce choix, mais en gros, dans les flux médias, le temps réel interdit toute réémission d'un paquet perdu car on en a plus besoin au moment où il serait réémis. On lui préfère la correction applicative par les codecs (distorsion du son ou perte de la qualité de l'image) ou simplement omissions d'images ou de sons (lags) à un mécanisme de réémissions intrinsèque au TCP, conçu pour une obligation de résultat, là où l'UDP n'est soumis qu'à une obligation de moyen.

En revanche, ce qui titille ma paranoïa est le choix du VPN proposé par la Freebox (je n'ai pas de Freebox, donc, je ne sais pas si elle en propose plusieurs). En effet, il est préférable d'opter pour du L2TP/IPSec ou de l'OpenVPN, plutôt que pour le couple PPTP/MPPE (MPPE signifiant "Microsoft Point-to-Point Encryption"). Le MPPE étant propriétaire et réputé faillible, a en outre été implémenté par reverse engineering sur la plupart des clients libres, ce qui entraîne inexorablement des vulnérabilités d'implémentation et surtout, il est couplé au mécanisme d'authentification qu'est Microsoft MS-CHAP, qui est "réputé" pour ses failles :

http://www.insinuator.net/2013/08/vulnerabilities-attack-vectors-of-vpns-pt-1/

Rien que la conclusion sur PPTP/MPPE de cet article fait réfléchir :

Issues with the MPPE protocol can’t really be fixed

Traduction :

Les problèmes avec le protocole MPPE ne peuvent pas vraiment être corrigés

... mais encore une fois, c'est la paranoïa qui m'anime car avec un VPN, quel qu'il soit, on n'est quand même infiniment plus en sécurité que sans !  

[MiKe]

La Freebox propose du PPTP et de l'OpenVPN routé ou bridgé. J'ai essayé les deux, mais sous windows 8 je n'arrive pas à être identifié, il y a un bug que j'essaye d'éradiquer.

A suivre 

[killminusnine]

Ah, ok, je comprends mieux ! 

[MiKe]

Bon j'ai enfin réussi à me connecter en mode Brige sous OpenVPN pour Windows 8 64 bits !

Je ferai un petit tuto prochainement