Désactivation du VPN Client mais serveur plus disponible

jef · August 2, 2020, 8:24am

Modèle de message (français)

Mon serveur YunoHost

Matériel: Brique Internet avec VPN
Version de YunoHost: 3.7.0.12
J’ai accès à mon serveur : En SSH | Par la webadmin
Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : non

Description du problème

J’essaie d’avoir mon VPN Client désactivé.
J"essaie d’avoir mon serveur Yunohost accessible.
Mais serveur non joignable…

Raison ?

laisser ma brique dans un endroit et partir avec un ordinateur portable en utilisant le VPN de mon association directement à partir de l’ordinateur portable.

Pourquoi ?

pouvoir me connecter sur des réseaux partagés (WiFi d’un café, ou même le réseau FreeWiFi) et pouvoir utiliser mon VPN client associatif à partir de l’ordinateur portable (au lieu de l’avoir à partir de la Brique).

Conséquence ?

je rencontre une difficulté : si je désactive mon VPN Client de l’interface cliente Yunohost, mes services en ligne ne sont plus accessibles.
Mon adresse en [xxx].nohost.me n’est plus joignable et c’est la même chose en essayant de pinger directement l’IP du serveur : injoignable. Du coup mes services sont down le temps que le VPN Client est désactivé.

Pourquoi ? N’est-il pas possible de désactiver le client VPN de la brique internet tout en ayant les services qui continuent à fonctionner ?

D’avance merci pour vos retours / explications

rodinux · August 2, 2020, 10:33am

Je pense que tu dois t’adresser à ton fournisseur d’adresse VPN en premier lieu.

Voici ce que je pense avoir compris (en espérant ne pas dire de bêtises):

Ta brique internet permet d’associer les adresses IP de ton VPN au nom de domaine de ton serveur. Tu as donc comme un Reverse DNS configuré ce qui permet n’importe où aux résolveurs DNS de retrouver le serveur.

Si tu désactives le client VPN, tes services en lignes ne seront plus accessibles, mais elles peuvent l’être au début que en réseau local avec les adresses IPs de la box à laquelle elle est connectée (il faut trouver cette adresse IP locale, en branchant un écran à la brique par exemple ?) et sans le nom de domaine associé tout de suite car les résolveurs DNS ne connaissent pas cette adresse… ( dans ce cas il est possible d’éditer sur ton ordinateur le fichier /etc/hosts pour temporairement lier l’adresse IP du serveur au nom de domaine: https://yunohost.org/#/dns_local_network )
Déjà dans un premier temps tu dois pouvoir accéder au serveur localement.

Ensuite, il faudra ouvrir les ports de la box pour y accéder de l’extérieur:
https://yunohost.org/#/isp_box_config

Puis aussi surtout, il faudrait que ton fournisseur d’adresse VPN (FDN j’imagine) enlèves d’abord le Reverse DNS configuré avec ton nom de domaine en s’adressant à eux…
https://yunohost.org/#/dns_config
Et attendre que l’information se propage pour les DNS…

Si tu le peux aussi ensuite, obtenir un Reverse DNS du FAI de la box à laquelle est connectée la brique (ça ne marche pas toujours super bien non plus, surtout pour les mails, l’idéal est quand même être derrière un VPN…)

Est-ce que j’ai répondu à tes questionnements ?

Aleks · August 2, 2020, 11:32am

Tes services continuent de fonctionner même si ton VPN est désactivé …

Ce qu’il se passe, c’est qu’un VPN c’est (pour schematiser brutalement) comme un tunnel spatiotemporel qui fait que quand tu postes dans une boite au lettre au 47 rue des maronniers. ça apparait en fait dans une boite au lettre au 29 rue du platane.

Forćement si tu désactives le VPN, ça n’a plus lieu et tu ne reçois plus de courrier et tu as l’impression de ne plus pouvoir contacter ton serveur …

jef · August 2, 2020, 12:37pm

Si j’ai bien compris, il existe dans la brique un Reverse DNS qui permet d’informer que mon nom de domaine [domaine].nohost.me pointe à l’adresse du routeur auquel est rattaché la brique, correct ?

Oui, cela est le cas. J’y accède en modifiant le fichier /etc/hosts avec :
10.0.242.1 [domaine].nohost.me

Je ne suis pas sûr d’avoir tout compris sur le lien. En effet, au niveau du router je dois indiquer le transfer de port mais en destination je dois mettre ma brique internet, correct ?

(la configuration est-elle ok ?)

La box demande l’adresse IPv6 destinataire, comment connaitre cette adresse ? Si c’est l’adresse publique que nous devons indiquer, l’IP v4 est du style 80.67.x.x.
Si c’est bien cette adresse “publique” qu’il faut indiquer, j’ai pû retrouver la correspondance IPv6 sous https://[domaine].nohost.me/yunohost/admin/#/tools/monitor et ‘Network’ au niveau de la ligne tun0.

Où dois-je plutôt indiquer l’adresse IPv6 correspondante sur la ligne wlan0 ? (en IPv4 c’est : 10.0.242.1)

Enfin, j’ai remarqué que sur la box le service UPnP :

semble activé
UPnP1005×602 17.4 KB
mais pas sur la brique…
brique_firewal585×541 14.7 KB

(si j’ai bien compris).

Sur la page indiquée YunoHost • index, on peut aussi lancer la commande suivante : sudo yunohost firewall reload
Le résultat est :

~$ sudo yunohost firewall reload
Succès ! Pare-feu rechargé
opened_ports: 
  - 22
  - 25
  - 53
  - 67
  - 80
  - ...
  - ...

Apparemment, la commande a fonctionné ! Mais cela n’a pas (automatiquement) résolu mon problème… mais je dois aussi vérifier avant, avec mon fournisseur associatif, le Reverse DNS configuré avec mon nom de domaine, correct ? (je ne vois pas trop comment cela fonctionne, désolé par avance de mon incompétence là-dessus. J’essaie de comprendre).

Est-il peut-être possible (d’une manière plus simple) d’être derriere le VPN concernant la brique et en même temps d’utiliser le VPN client de mon fournisseur associatif sur un ordinateur portable ?
En faisant cela, cela boguait pas mal car le VPN semblait être activé à 2 endroits. Tout ce que je souhaite avoir c’est mon client VPN associatif activé sur le portable quand je surfe sur internet en utilisant le wifi ouvert d’un café.
Peut-être que mon approche (désactivation du VPN client sur la brique) n’est pas optimale pour pouvoir utiliser le VPN avec un wifi ouvert…

Comme je ne comprends pas tout, j’essaie de suivre mais pas sûr que mes étapes / vérifications soient justes

jef · August 2, 2020, 12:45pm

Ok, donc si j’ai bien compris le VPN client active ou désactive la liaison adresse publique 80.67.x.x à ma brique, correct ?
Je pensais que cela se faisait par le VPN serveur au niveau du fournisseur associatif : liaison entre l’adresse publique 80.67.x.x et ma brique internet cablée sur une box… et qu’ensuite je pouvais décider d’utiliser ou non le VPN client.

Si j’indique l’adresse IP du routeur je pourrai accéder aux services ? Le cas échéant, dois-je demander au fournisseur associatif de lier le domaine [domaine].nohost.me à l’adresse IP du routeur ?

rodinux · August 2, 2020, 12:58pm

En effet, tu ne peux pas activer le VPN si c’est un VPN de la FDN sur deux machines en même temps. Il n’y a que le Hotspot Wifi qui permet de connecter plusieurs machines via la brique…

Pour le reverse dns, il faut écrire aux administrateurs du service FDN qui a du configurer un reverse DNS pour qu’il l’enlèvent à la mano (c’est eux qui ont du faire cette config) si tu ne veux plus de VPN avec ta brique.

Les pare-feu semblent activés sur ta brique, Pour la box, regardes où se trouve l’adresse IP de ta brique et tu peux attribuer une IP fixe pour l’adresse mac de ta connexion ethernet. Tu peux essayer d’activer l’Upnp ou ajouter les baux de redirections de ta box avec son adresse ip:
En ssh pour connaître tes adresses ip:

sudo ifconfig

Il faut aussi vérifier si ta box peut t’attribuer une ip publique fixe !

Ou bien trouver un autre abonnement VPN pour ton/tes ordis et garder ta brique avec son VPN…

jef · August 2, 2020, 2:06pm

Ici on parle d’adresse locale du type : 192.168.x.x, correct ?

Dans les configurations du router, je n’ai pas trouvé cela. J’ai trouvé DHCP mais l’adresse locale de ma brique semble ne pas avoir changer depuis longtemps… je suppose que l’attribution est fixe. Où dois-je désactiver DHCP (ce qui est possible) ?

Cela doit-il être fait sur la brique (semble désactivé) et non pas au niveau de la box (semble activé) ? Suffira-t-il alors de lancer la commande sudo yunohost firewall reload ?

Ce n’est pas clair pour moi, désolé : qu’est-ce qu’un bail de redirection ?

Pour le transfer des ports :

dans Source IP address dois-je indiquer explicitement l’adresse IP publique de la box ?
dans Destination IP address devons-nous indiquer l’adresse IP locale de la brique, correct ?

Oui. Cela reviendrait à avoir 2 services VPN (2 abonnements) ce qui est dommage car j’ai besoin d’utiliser du réseau wifi ouvert que rarement :-/

rodinux · August 3, 2020, 5:11am

L’adresse IP locale est bien celle dont je te parles, sauf à propos de l’IP Publique. L’IP publique est l’adresse qui permet de trouver ta box. Tu peux la trouver ici: http://www.mon-ip.com/
Suivant le FAI tu as une adresse IP publique fixe ou dynamique…
YunoHost • index
Si ton adresse IP publique est dynamique et non pas fixe, il y a une explication ici d’exemple de configuration à faire:
YunoHost • index

DHCP, est un protocole qui change et attribue les adresse IP des machines connectées. Il peut rester activer, mais c’est mieux de ne pas l’avoir pour le serveur, de configurer une IP fixe pour le serveur.

Vu ta capture d’écran ici je laisserai ALL, c’est les connexions extérieures…

Oui

system · August 18, 2020, 5:11am

This topic was automatically closed 15 days after the last reply. New replies are no longer allowed.