Aller au contenu

Serveur Open VPN avec une freebox en IPv6 - Connexion impossible ?


declencher

Messages recommandés

Bonjour la communauté !

Ayant 2 NAS, j'ai réinitialisé mon ancien DS212 pour le transformer en NAS de backup distant. Jusque là rien d'anormal 🙂

J'ai configuré DSM, Hyperbackup, et VPN Server en local. Mon NAS maître a pu se connecter au NAS "distant" et la sauvegarde fonctionne bien, en local.

Je suis donc passé à l'étape suivante : installer le NAS "distant" à 400 km de chez moi dans un bunker sécurisé (chez ma soeur dans la cave 😂).

Le routeur distant est une freebox revolution en IPv6 :

  • J'ai pu constater que le NAS était bien connecté à la freebox,
  • J'ai pu attribuer au NAS une IP locale fixe,
  • J'ai ouvert le port 1194 sur le protocole UDP (pour toutes les sources, puis uniquement mon IPv4 pour tester), j'ai redémarré la box.
  • Chez moi, dans le fichier .ovpn, sur la ligne "remote REMOTE_ADRESS 1194", j'ai saisi l'ipv6 de la box distante.

Je n'ai jamais réussi à monter le VPN entre les 2 NAS, et sur le NAS distant, le journal des connexions n'indique aucune tentative.

Auriez-vous une idée pour me dépanner ou m'aider à investiguer ? Il y a peut être une syntaxe à répéter pour la ligne remote du fichier ovpn quand on cible une adresse IPv6 ? À moins que ce ne soit incompatible...

 

Edit 1 :

Je pense avoir trouvé mon erreur : en IP v6, l'ouverture de port est inutile, et l'IPv6 du NAS est accessible depuis le net par défaut. Je pense donc devoir de nouveau tester de la manière suivante :

  • Activer le protocole IPv6 du NAS pour qu'il ait une IP attribuée,
  • Activer le firewall de la freebox revolution,
  • Modifier les règles du firewall du NAS pour interdire toutes les connexions sauf celle en UDP sur le port 1194.

ça vous semble correct ou j'oublie quelque chose ? Je ne pourrais pas tester avant quelques jours...

Modifié par declencher
Lien vers le commentaire
Partager sur d’autres sites

 

Bonjour,

 

Il y a 2 heures, declencher a dit :

j'ai saisi l'ipv6 de la box distante.

Première question : pourquoi vouloir utiliser OpenVPN en IPV6. Ce n'est pas parce que tu as activé l'IPV6 sur ta Freebox que tu ne peux pas utiliser l'IPV4. Heureusement car il y a encore des tas de sites accessibles qu'en IPV4.

De tout façon l'IPV6 de Free se sert de l'IPV4 pour exister.

Donc utilise déjà ton IPV4 ça fonctionnera mieux.

Maintenant si tu veux absolument utiliser l'IPV6 : est-ce que le pare-feu IPV6 de la Freebox est activé. Celui-ci bloque pas mal de requête et je ne suis pas certain qu'il laisse passer celles vers le port 1194.

Il y a 2 heures, declencher a dit :

en IP v6, l'ouverture de port est inutile

oui si tu n'utilises pas un pare-feu IPV6, mais là c'est peu-recommandé car tout passe. Il faut un routeur avec un vrai pare-feu IPV6 paramétrable (pas celui de la Freebox).

Par contre il est inutile de rediriger le port de la Freebox vers le NAS car une adresse IPV6 propre à un équipement (et non à un réseau comme l'IPV4) redirige directement sur l'équipement.

 

 

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 9 minutes, Jeff777 a dit :

Donc utilise déjà ton IPV4 ça fonctionnera mieux.

Salut,

Merci pour ta réponse. Comment récupérer l'IP publique de la box ? Je suis passé par le site mon-ip.com, et il ne m'indique qu'une IPv6. Par ailleurs, j'ai lu sur internet que free ne laisse plus la possibilité de refuser une IPv6 comme c'était le cas au début. J'en ai déduit que la box n'avait pas d'IPv4 et que la translation d'IPv4/IPv6 était faite par les équipements réseaux de Free...

Qu'en penses tu ?

 

Edit 1 :

Apparemment, la box a les 2 IP. Je regarde et confirme dès que possible. Si ça se trouve, c'est l'unique élément qui me manqué... Une IP v4 publique...

Modifié par declencher
Lien vers le commentaire
Partager sur d’autres sites

N

il y a 16 minutes, declencher a dit :

J'en ai déduit que la box n'avait pas d'IPv4

Non ta box à toujours l'IPV4.  Elle a IPV4 ET IPV6

il y a 16 minutes, declencher a dit :

free ne laisse plus la possibilité de refuser une IPv6

Ah oui. J'avais oublié 😉

il y a 16 minutes, declencher a dit :

Comment récupérer l'IP publique de la box ?

Ce n'est pas l'IPV6 de ta box qu'il te faut mais celui de ton nas qui héberge OpenVPN.

Tu peux trouver cette adresse sur ton nas dans panneau de config/centre d'info/réseau  tu prends l'adresse IPV6 publique (celle sans le fe80 en premier terme),  sans le /64 et tu la colles dans la config openVPN à la place de l'IPV4 (en gardant le port 1194).

Je viens de faire l'essai et ça fonctionne au moins en local.

Et si tu parles de l'IPV4 publique de ta box c'est comme tu as fait mais c'est l'IP de tout ton réseau Local (donc en particulier aussi celui de ton nas)

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Pour compléter le message de @Jeff777, tu peux simplement utiliser le DDNS gratuit de Synology sur ton DS212. Ca te permettra d'utiliser une URL à la place d'une IP dans ton fichier OVPN, et cette URL pointera sur l'IPv4 de ta box (et donc de ton NAS) et sur l'IPv6 de ton NAS spécifiquement.

Tout est très dépendant des possibilités de configuration du pare-feu IPv6 de la box distante.
Si tu as moyen d'ajouter une règle pour ton NAS qui autorise le trafic en IPv6 sur le port 6681 (merci à @Jeff7776281, c'est bon.

Si tu es limité à devoir accepter ou refuser toute connexion IPv6 entrante, il est préférable d'utiliser l'IPv4 publique (si fixe) ou un DDNS ne renvoyant qu'une IPv4 pour éviter tout problème de connectivité.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

Salut,

Finalement, j'ai récupéré l'IPv4 et elle fonctionne au poil. J'ai tout de même activé le firewall IPv6 de la box car non activé par défaut, et j'ai contrôlé la bonne désactivation de l'IPv6 sur le NAS.

Je n'ai pas à ouvrir le port hyperbackup car il n'est activé que via le VPN. Donc un seul port d'ouvert, celui du VPN 😉

Merci les gars pour vos lumières !

Lien vers le commentaire
Partager sur d’autres sites

Plus ça va, moins je comprends cette obsession de réduire le nombre d'attaques.
Ce qui est important c'est d'avoir une bonne porte blindée à sa maison, pas qu'elle soit cachée derrière des haies d'arbre, parce que oui, l'attaquant a un GPS, donc la deuxième option ne sert à rien.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.