Classement

Bonsoir, avant cette soirée de réveillon j'aurai (normalement) une derniére question pour clore cette année 2017 : Je viens de suivre le tuto à la régle, j'ai configuré une connection VPN L2TP/IPSEC, j'arrive sans soucie à me connecter depuis mon smartphone sur le NAS via ma connection 4G seulement (si j'ai bien compris) Fenrir conseil de bloquer la connection au port UDP 1701 afin d'être certain que sa connection est sécurisée et qu'il ne sagit pas d'une simple connection point à point L2TP en clair. Sur le routeur j'ai créé ces deux régles car je ne sais pas quelle IP de destination mettr ? y a t'il un moyen de vérifier que la connection VPN est bien chiffré via IPSEC ? Merci par avance et bonne année à tous :) Regles de Parefeu : Regles de transmission de port :

Je confirme la réponse de @Litsip (surtout l'aspect sécurité illusoire que vendent les fournisseurs de vpn) : exemple : http://www.numerama.com/tech/298268-la-collaboration-decriee-de-purevpn-avec-le-fbi-pose-la-question-de-lanonymat-des-vpn.html Mais s'il n'y avait que ça comme souci avec ces services, ça serait presque acceptable (mis à part l'aspect mensonger). La vérité est bien pire : lorsque tu es connecté en VPN à un serveur, ce serveur (et toutes les personnes qui y ont accès) est aussi connecté à ta machine => il peut y accéder presque aussi facilement que s'il était à coté de toi, sur la même box on peut en limiter les effets à la condition de bien configurer les pare feu de tous les clients du VPN (nas, pc, ...) => personne ne le fait les personnes qui utilisent ces offres VPN le font car leur trafic sera brouillé (pas caché, juste brouillé) pour leur FAI ... mais ils oublient simplement qu'en faisant ça, le FAI ça devient l'hébergeur du VPN, ce dernier verra donc 100% du trafic à titre perso j'ai plus confiance dans mon FAI qui est soumis aux lois françaises (cherche "secret de la correspondance" dans le code pénal) que dans une entreprise étrangère, domiciliée dans je ne sais quel pays (panama pour nordvpn) et qui se rend illégale aux yeux de nombreux pays (au panama les logs ne sont pas obligatoires, mais ils le sont pour la plupart des nœuds de sortie qui sont utilisés, donc soit ils mentent, soient ils sont dans l'illégalité) par contre si on habite dans un pays nettement moins respectueux des droits de l'homme, ces offres VPN peuvent rendre service ... à la condition que l'hébergeur soit vraiment clean et de confiance et que ... (point suivant) ton trafic entre ta machine et le nœud de sortie a beau être chiffré, si tu te connectes (volontairement ou non) à un site, ou même que tu laisses trainer ne serait ce qu'un seul cookie, ou que tu ne laisses passer qu'une seule vérification de mise à jour (windows, mac, android, apple, antivirus, ...), il sera très facile de remonter à ta vraie adresse IP sans parler du fait qu'il est assez simple de savoir que quelqu'un fait, au hasard, du torrent dans un vpn (on ne sait pas quel est le torrent, mais on sait que ça en est) je pourrai en parler longtemps (chine, protection illusoire, financement des mafias, ...), donc je m'arrête là. À ton avis, pourquoi les lanceurs d'alerte utilisent uniquement des VM jetables (qubes) ou des distributions en lecture seule (Tails par exemple), systématiquement via Tor ou I2p ou ... en utilisant des navigateurs spécialement configurés ... mais jamais des solutions VPN ? En complément, l'utilisation des 2 types de VPN (client et serveur) sur le même boitier (ton nas par exemple) n'est pas toujours simple à faire, donc à éviter si possible.

Bonjour, tout d'abord, merci pour ce tuto, il est très clair. Par contre, j'ai un soucis, et je ne comprends vraiment pas d'où cela peut venir. J'ai configuré mon synology en suivant le tuto (OpenVPN, L2TP/IPSec). J'ai bien ouvert les ports sur le syno, et redirigé les bon ports sur mon routeur. J'ai ensuite configuré mon smartphone(android) en L2TP/IPSec, je teste, et ça se connecte. Je vais sur mon-ip.com pour m'assurer que ça fonctionne bien, et paf, non, je ne retrouve pas l'adresse IP externe du synology. Je vais voir sur le syno, je suis bien connecté. Par contre, dans les logs du VPN, il y a environ 10ko de trafic alors que j'ai navigué, ouvert une video youtube pour tester la vitesse. Je configure OpenVPN, et je retrouve les mêmes symptomes. Le tunnel vpn semble s'être bien créé, mais il est inutilisé Quelqu'un aurait une idée d'une piste pour résoudre mon problème ?

Pour la plage d'ip, c'est que tu te trompes de champs, il faut choisir Subnet (sous réseau) et pas IP Range (plage d'ip) Pour les adresses, dans mon tuto j'ai indiqué 192.168.0.0/16 (/16 <=> 255.255.0.0), ça englobe donc les adresses de 192.168.0.0 à 192.168.255.255 Les adresses en 10/8, 172.16/12 et 192.168/16 sont des adresses privées, donc elles ne peuvent pas venir d'Internet =>suis mes recommandations, elles fonctionneront dans 99% des cas, même si tu change de FAI

C'est aussi ce que je recommande Oui et non, ça dépend Oui car : si chaque port (indépendamment du nom de domaine) ne renvoi sur une application différente, tu exposes en direct plus de services aux bot, donc plus de failles potentielles => tu as parfaitement raison Non car : Si les 40 ports attendent aussi un nom de domaine c'est tout aussi sécurisé qu'avec un seul port vis à vis d'un bot. Si la faille est sur le reverse proxy lui-même, ça ne change rien non plus. Il existe plusieurs manières de déterminer les virtualhosts valides derrière une IP (et pas seulement via les DNS). Mais ici on ne parle que dans le cas d'applications WEB, il existe de nombreux autres services sur Internet (rstp, xmpp, smtp, ftp, imap, ssh, ipsec, ...) et ces services ne peuvent généralement pas se partager un port (du moins pas sans intermédiaire type sslh). Les bots ne s'appuient pas sur les numéro de port pour tester telle ou telle faille, mais sur la signature renvoyée par le serveur. Apache, Cherokee, IIS, Nginx, ... écoutent généralement sur les port 80 et 443 (puisqu'il s'agit de serveurs web), mais ils n'ont pas les mêmes failles, donc les bots font évidemment le tri avant de tester tel ou tel exploit. Mais peu importe, ce que je voulais indiquer c'est que n'utiliser qu'un nombre restreint de ports est plus un gain de confort que de sécurité, merci pour le commentaire, on voit que tu as creusé la question

Oui, mais ça sort un peu du cadre du tuto. Le fait qu'un port ou 40 soient ouverts ne change pas grand chose niveau sécurité, par contre niveau confort le reverse proxy est un plus (en entreprise les ports élevés sont souvent bloqués).