Configuration d'un VPN

pinatl · Juillet 4, 2024, 6:01

Bonjour

J’essaye de creer un VPN sur entre un Pc et un routeur 4G avec une carte sim orange. Lorsque je configure mon VPN, j’ai un message d’erreur sur mon routeur disant que le routeur a detecté que mon adresse ip n’est pas publique. De plus lorsque je crée mon fichier de configuration l’adresse mise dans le endpoint est 10.0… alors que si je regarde mon ip avec what is my ip j’ai 92.184… (sans compter qu’elle est sans doute dynamique )
Quelqu’un a une explication?

gaeldu63 · Juillet 4, 2024, 8:18

le mieux serai de voir ça en direct

alex · Juillet 6, 2024, 10:25

J’ai pas de réponse spécifique, mais j’ai découvert à mon grand désespoir que les opérateurs faisaient un peu du bricolage…

En théorie, en IP v6, ce genre de problème ne devrait pas exister, sauf qu’en fait, les opérateurs font du ‹ CGNAT › , et gros de la mutualisation de connexion, et de l’IP dynamique, même en v6 !

C’est un véritable carnage, sur mon dongle 3G je suis comme sur un LAN avec impossibilité de router un port entrant, et en fibre, en IPV4 c’est pareil, et en ipV6 mon IP change dès que la box éternue.

Ça devient dur d’être un geek ! (Là, j’ai vraiment d’autres chats à fouetter, donc je ne m’en suis pas occupé plus)

Potentiellement, si tu as un serveur¹ donc tu peux gérer la partie réseau et avec une vraie connexion statique QQpart, tu peux peut-être faire un tunnel vers ce serveur qui servirait de relais ?

¹ : par exemple un raspi derrière une box orange pro pourrait peut-être faire ça, en utilisant des ports un peu au pif.

gaeldu63 · Juillet 7, 2024, 5:16

J ai même abandonné car si tu n as pas un abonnement spécial (pro) avec leur solution ils brident les VPN .
J ai passer des heures avec le SAV qui a abandonné ne comprenant pas pourquoi.

C était en 2016

On peut re testé si tu veux

Alf · Juillet 7, 2024, 7:51

Pas moyen de passer en IP public fixe sur la box ?

pinatl · Juillet 7, 2024, 7:54

Vu que c’est pour la mairie, et que nous sommes sensés avoir un abonnement pro chez orange, je vais déjà essayer en premier de faire intégrer cette carte Sim dans le contrat pro, ce qui n’est pas le cas pour le moment, puis j’essayerai d’avoir une IP fixe. a partir de la , si j y arrive, je reprendrai le sujet. Mais avoir le service client orange même avec un abonnement pro, ca tient des 12 travaux d’Astérix voire même pire. Je ne comprends pas comment ils ont encore des clients avec les prix qu’ils pratiquent et le service client qu’ils proposent. Mais la mairie, c’est historiquement Orange, et certains ne veulent pas changer.

Perso, je suis chez free, j’ai demandé une IP fixe, c’était gratuit et ca marche.

Par contre j’aimerais vérifier auprès de vous un truc que je ne comprends pas vraiment. Il semblerait que les operateurs peuvent fournir des adresses IP publiques fixes qui sont accessibles de l’extérieur , c’est ce que j’ai chez free, mais aussi, si on ne demande rien, des adresses dynamiques qui ne sont pas publiques et non accessibles. Est ce que je suis entrain de dire a du sens pour vous?

Et tout ca c’est pour pouvoir avoir accès au serveur Web de la CTA (climatisation/chauffage) de notre espace culturel.

voici ce que me dit chatgpt : rappel mon @ est 92.184… je ne suis pas dans le range non routable.

Est ce que les isp fournissent des IP non publiques ?

…

Oui, certains fournisseurs d’accès à Internet (FAI) peuvent attribuer des adresses IP non publiques à leurs clients. Une adresse IP non publique, aussi appelée adresse IP privée, est utilisée à l’intérieur d’un réseau local (LAN) et n’est pas routée sur l’Internet public. Les adresses IP privées sont définies par les plages suivantes, selon la norme IPv4 :

10.0.0.0 à 10.255.255.255
172.16.0.0 à 172.31.255.255
192.168.0.0 à 192.168.255.255

Les FAI attribuent souvent des adresses IP privées aux clients qui se connectent via des connexions partagées, comme dans les réseaux mobiles, les réseaux NAT (Network Address Translation) et certains abonnements résidentiels où plusieurs utilisateurs partagent une même adresse IP publique.

Lorsque vous avez une adresse IP privée, votre trafic Internet passe par un routeur ou un autre dispositif NAT qui traduit votre adresse IP privée en une adresse IP publique avant de transmettre les données sur Internet.

mike · Juillet 7, 2024, 12:00

Oui un fournisseur d’accès à internet peut donner une IP privée. C’est le cas de Free sur mon routeur 4G par exemple qui m’a donné une IP en 10.45.x.x.

Mais quoi qu’il arrive quand on contacte un site sur internet, ça passe par une IP publique à un moment, sinon le site ne pourrait pas répondre. Quand tu vas sur un site comme what is my ip, c’est cette IP publique qu’il indique, celle à laquelle il répond.

Le fonctionnement côté box ou routeur quand on reçoit une IP privée de notre fournisseur d’accès est le même que celui quand on reçoit une IP publique. La box reçoit une IP du fournisseur et elle a elle même un réseau privée interne différent sur lequel elle attribue des IP aux appareils qui se connectent à elle. Quand la box reçoit un paquet du réseau interne et à destination d’internet, elle va le transformer (NAT) pour qu’il apparaisse comme provenant de l’adresse donnée par le fournisseur, avant de l’envoyer au fournisseur. Si elle ne faisait pas ça le fournisseur ne saurait pas à qui renvoyer la réponse, puisque l’adresse originale est sur un réseau privé inconnu du fournisseur.

Quand l’IP du fournisseur est publique, le paquet est envoyé directement au site internet destination et il répond à cette même adresse. Quand le fournisseur donne une adresse IP privée alors il y a une transformation supplémentaire du côté du fournisseur. Il va faire de son côté exactement ce que fait la box : transformer les paquets pour qu’ils apparaissent comme venant d’une adresse IP publique. Elle fait ça juste avant d’envoyer le paquet au site destination, et fait la transformation inverse quand elle reçoit la réponse. Puis la box fait elle aussi la transformation inverse pour envoyer la réponse au bon appareil sur le réseau interne.

Dans ce cas tu n’a aucun contrôle sur l’IP publique utilisée côté fournisseur pour la transformation. Tu peux même très bien avoir 2 IP publiques différentes pour 2 connexions différentes (simultanées ou non). Et une même IP publique peut être utilisée par plusieurs clients du fournisseur. Et tu ne peux pas être contacté directement depuis internet, il faut que ce soit toi qui initie une connexion, pour que le fournisseur fasse une première transformation, pour qu’il sache faire la transformation inverse.

Et il y a encore une 3e possibilité : recevoir du fournisseur une IP publique, mais pas complète. C’est ce que fait Free par défaut pour ses box (on peut demander une IP complète). Dans ce cas t’as bien une adresse IP publique, mais tous les ports ne sont pas envoyés à ta box. Certains ports sont envoyés à d’autres clients du fournisseur, qui ont la même IP publique que toi. C’est un assez bon compromis entre les 2 : ça permet au fournisseur de partager les IP entre plusieurs abonnés, et ça conserve certains avantages d’avoir une IP publique. Par contre on ne peut être contacté directement depuis internet que dans une plage de ports réduite, mais comme peu de gens ont besoin d’être contacté directement depuis internet, ce n’est pas trop un problème.

gaeldu63 · Juillet 7, 2024, 12:20

Peut être une solution :

pinatl · Juillet 7, 2024, 3:17

Pas de box, la salle culturelle est au fin fond des champs, pas d ADSL, et bien sûr pas de fibre mais au moins on peut faire la fête sans déranger personne.

alex · Juillet 7, 2024, 4:14

Dans mon cas, chez SFR ça serait possible en revenant en IPv4, gratuitement, mais personne n’est capable de me dire si on conserve l’IPv6 (et je veux de l’IPv6 aussi)

C’est le fameux CGNAT qu’utiliserait SFR et qui « me donne des cauchemars ».

Dans ce cas-là, quand tu disposes d’un domaine chez un registar, il y a une manière d’avoir une machine derrière ma box qui soit contactable ? (en l’occurence un petit serveur sous debian)
En IPv6, ça fonctionne, mais dès que quelqu’un tousse, la box change d’IP, et je suis bon pour refaire la déclaration et attendre 2 ou 3 que ça propage… un peu pénible !!

Si il y a une astuce du genre, je peux t’offrir un sous domaine @pinatl , genre boutdumonde.toglut.net (Je me garde coinperdu.toglut.net par contre)

gaeldu63 · Juillet 7, 2024, 7:12

@pinatl tu peux amener le routeur 4g et la carte sim mercredi ?

pinatl · Juillet 8, 2024, 12:22

@mike
Merci pour ces expliquations. C’est clair

Vu les expliquations de mike qui correspondent a ce que j’ai vu sur le routeur, je pense qu’il faut d’abord que j’essaye mes tractations avec orange. Souhaitez moi bon courage.

francois · Juillet 8, 2024, 12:50

Yen a déjà un qui a compris ce que tu disais …. Te plains pas

pinatl · Juillet 11, 2024, 5:30

Réponse d orange. Nous n avons pas de carte sim sur laquelle il est possible d avoir une IP publique fixe. Pour ça, il faut une box. 1:30 de téléphone pour arriver à ce résultat.
Quelqu un connait il un opérateur un peu plus performant qu orange?

gaeldu63 · Juillet 11, 2024, 7:27

La solution est de prendre un dynamique dans.
Si ton routeur le support c est ce que je fessais a l époque de l adsl

francois · Juillet 11, 2024, 10:53

Orange = gross merde
Bouygues = Gross voleur
Sfr = Gross incapable
Les autres : pire !

pinatl · Juillet 11, 2024, 11:18

Ouf j ai de la chance, perso je suis chez free

gaeldu63 · Juillet 11, 2024, 4:30

Ils font parti du pire

alex · Juillet 12, 2024, 4:05

Du coup, la seule issue me semble celle-ci.

Si tu es chez Free en box, il me semble que (pour le moment), tu peux avoir une IP fixe.

Dans ce cas-là, ça doit être possible de bricoler un truc.

Coté site isolé, pour ta connexion 3G/4G, le top serait un routeur qui puisse nativement gérer un tunnel, mais je ne sais pas si ça se trouve facilement.
Il y a la solution d’un routeur reflashé sous OpenWRT, ce qui a mon sens est probablement la solution la plus élégante.
(Ubiquity à un routeur 4G, connaissant un peu leur gamme il y a 10 ans, je suppose que ça pourrait aussi faire du tunnel ssh vpn, mais bon, 300 roros :s )

Si les besoins sont simples, tu peux aussi mettre une clé 3G dans un Raspi qui fera office de routeur.

Derrière ta box, pareil.
Dans les réglages de la box, tu devras sans doute à a un moment faire une redirection de ports pour que ce qui rentre en provenance d’Internet aille vers le serveur.

J’ai du mal à formuler tout ça clairement, mais en farfouillant « tunnel ssh » et « VPN » avec le nom de ta distribution préférée, tu devrais trouver des choses.
(J’avoue que je n’ai pas le temps de gratter plus la question)

Note : si tu utilises ta box à la maison pour faire ce pont, il faut potentiellement créer un VPN chez toi pour isoler ton LAN perso de celui qui sera sur le site distant (à moins qu’au contraire ça t’arrange d’avoir un VPN qui rend tout ce petit monde connecté)

pinatl · Juillet 13, 2024, 6:34

J ai effectivement acheté un routeur 4g qui supporte wireguard nativement. Mais j ai une contrainte supplémentaire dans mon CDC, la solution ne doit pas être une usine a gaz car il n y a pas de service informatique a lussat. Je ne resterai pas éternellement au conseil et si c est trop compliqué ce ne sera pas maintenable. Je vais essayer de trouver un opérateur qui propose une option IP fixe Publique sur la carte sim ( chatgpt me dit que ça existe ) a un coût raisonnable, ce qui est moins sur, et si je ne trouve pas, je me contenterai d accéder la CTA a partir du wifi local.