Vpn Et Infra S

[kkaron]

Bonjour messieurs,

Après avoir lu vos différents postes sur l'activation et les dangers du client VPN sur Synology, je voulais soumettre aux personnes ayant un bon niveau en réseau (parce que je me sens très légé là dessus) le schéma de mon réseau pour voir si cela vous semble OK comme mise en pratique ou si j'ai raté quelque chose surtout au niveau sécurité.

En fait, mon but était de réaliser un sous réseau (dans mon réseau principal) via routeur dd-wrt paramètré pour faire du VPN (VPNTunnel) et ainsi isolé un peu ce sous réseau.

Voici le schéma correspondant à mon Infra :

Le problème c'est que je ne suis pas certain que mon sous-réseau soit bien "isolé" car lorsque je suis connecté dessus, j'arrive à naviguer sur le net sans problème et je peut également atteindre mon DSM en tappant son IP dans un navigateur (mais heureusement le service de fichier MAC ne monte pas les disques )... Bref, j'ai l'impression de pouvoir me balader dans mon réseau principal sans problème.

Pensez vous que ce cloisonnement est inutile et qu'il y ait le même risque qu'en activant le VPN du Synology ?

Comment puis-je améliorer cela ?

Par avance, merci de votre aide.

[Sp@r0]

Si tu n'a rien fait de spécial dans ton DD-WRT le fonctionnement que tu décrit est parfaitement normal !!!!!

Par commodité je vais qualifier de R1 le réseaux 192.168.1.0/24 et de R2 le réseau 192.168.2.0/24,

Déjà R2 n'est pas un sous réseaux de R1, ce sont 2 réseaux différents mais le Routeur DD-WRT fait du NAT vers le réseaux R1 -> c'est le comportement par défaut (ex192.168.1.0/24 est un sous réseau de 192.168.0.0/16

Le fait que R2 est accès a internet est normal pour monter le VPN, si tu ne veut pas que R2 puisse accéder au machine de R1 il faut rajouter une régle dans le firewall pour cela

Tu pourrais aussi rajouter une route statique dans la freebox pour que R1 puisse faire du NAT vers N2 (mais il faut aussi rajouter une régle autorisant cela dans le firewall du DDWRT)

Le soucis des VPNs c'est : est ce que le Firewall s'applique aussi a ces interfaces virtuelles cela dépend du logiciel qui gére le VPN ainsi que du firewall => si c'est mal fait c'est nul en terme de sécurité

[kkaron]

Merci Sp@r0 pour ta réponse.

En fait, je ne veux pas activé de fonctionnalité sur ma Freebox car j'ai un ami qui avait contacté l'assistance Free et le service technique lui avait demandé pourquoi il avait autant de machine chez lui donc merci la confidentialité...

En fait, pour iptables, j'ai un peu peur de faire des conneries car j'ai déjà ajouté ces règles prises sur le net pour le VPN :

iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -I INPUT -i tun0 -j REJECT
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Le top serai d'ajouter une règle pour pouvoir bloquer l'accès de R2 à toutes les machines de R1 sauf le routeur (pour le net)...

Mais comme je ne maitrise pas trop, la raison me dicte de ne pas aller bcp plus loin.

Si non c'est assez sympa de pouvoir basculer avec mon MacBook d'une IP externe Free vers une IP externe Suédoise en fonction du routeur WiFi que je sélectionne.

En plus, contrairement au VPN Syno, la connexion du routeur DDWRT est coupée lorsque je suis déconnecté du serveur VPN.

En tout cas, merci.