Forum Linux.général Configuration d'un VPN transparent sur réseau local

Posté par  . Licence CC By‑SA.
Étiquettes :
1
30
mar.
2019

Bonjour,

Je suis à la recherche d'avis sur la faisabilité de la mise en place sur un réseau domestique d'un vpn transparent capable de router toutes les connexions des machines connectés sur ce réseau sans que ces machines n'ai besoin d'une configuration particulière ni d'embarquer un client pour le VPN.

Je suis une quiche en réseau, mais dans mon idée, il suffirait qu'une des machines sur le réseau soit la seule à avoir accès à internet, distribuent des adresses ip via un serveur DHCP aux autres machines du réseau et que le trafic sortant de ces ips soit routée à travers le tunnel du VPN. Seulement je ne trouve pas de documentation sur la manière de mettre ça en place.

De plus, j'aimerais avoir un support de l'ipv6 sur ce réseau, alors un truc qui pourrait être pas mal non plus, serait d'en profiter pour faire un réseau ipv6 only et, pour garder une compatibilité avec ipv4, faire passer les connexions via un NAT64 qui pourrait être installé sur le nœud de sortie du VPN.

Par contre, je ne me rends pas trop compte de comment peut être routé le trafic ipv6 via le vpn, est-il possible d'attribuer aux machines des ipv6 venant du range du serveur de sorti pour permettre aux machines du réseau locale d'être directement accessibles depuis internet mais en passant par le nœud de sortie du VPN ? Je ne sais pas si je suis bien clair, mais savez-vous s'il existe des outils pour faire cela ou si cela est possible directement en configurant les interfaces réseaux ?

Voici un joli schéma ascii qui ne sera peut-être pas beaucoup plus clair:

                    +-------------------+
                    |                   |
                    | - SERVEUR         |
                    |   VPN             |     INTERNET
                    |                   +-----------------+
                    | - NAT64/DNS64     |                 |
                    |                   |                 |
                    +-------------------+                 |
                     PUBLIC IPV4                          |
                     PUBLIC IPV6 RANGE.                   |
                                                          |
                                                          |
                                                          |
                                                          |
                                                          |
                    +  +--------+                         |
                    |  | HOST 1 +--------+        +-------+------+
                    |  |        |        +--------+              |
                    |  +--------+      +----------| ROUTEUR FAI  |
                    |                  |     +----+              |
    PAS D'IPV4      |  +--------+      |     |    +-------+------+
    VPN SERVER IPV6 |  | HOST 2 +------+     |            |
                    |  |        |            |            |
                    |  +--------+            |            |
                    |                        |      +-----+-----+
                    |  +--------+            |      |  CLIENT   |
                    |  | HOST 3 +------------+      |  VPN      |
                    |  |        |                   |           |
                    +  +--------+                   +-----------+
                                                     PUBLIC FAI IPV4
                                                     FAI IPV6 RANGE
  • # simple

    Posté par  . Évalué à 2.

    Tu branches tes hosts sur ton serveurs perso avec dhcpd qui distribue des ipv6.
    Et tu masquerade le range d'ips sur la route du vpn. Voilà.

  • # revoir ton schema, tu y es presque

    Posté par  . Évalué à 2. Dernière modification le 31/03/19 à 21:20.

    tes PCs sur reseau A '192.168.X.Y' -> ton routeur maison (client VPN, 2 cartes reseaux, firewall, dhcp sur le reseauA) -> le reseau B ( 192.168.Z.T) -> ta box FAI

    ensuite tu fais tout sur le "routeur maison"
    qui fournira ce qu'il veut à tes PCs maison (DHCP6 only si tu veux)
    et qui natera les PCs Maison dans le VPN si tu veux

  • # Ton client VPN devient ton routeur

    Posté par  . Évalué à 1. Dernière modification le 01/04/19 à 11:43.

    Salut,

    Ça reprend les propositions des commentaires plus haut : il faut que ton "client VPN" devienne la passerelle des hosts. Voici ton schéma mis à jour :

                   +-------------------+
                   |                   |
                   | - SERVEUR         |
                   |   VPN             |     INTERNET
                   |                   +-----------------+
                   | - NAT64/DNS64     |                 |
                   |                   |                 |
                   +-------------------+                 |
                    PUBLIC IPV4                          |
                    PUBLIC IPV6 RANGE.                   |
                                                         |
                                                         |
                                                         |
                                                         |
                                                         |
                                                         |
                                                 +-------+------+
                                                 |              |
                                                 | ROUTEUR FAI  |
                                                 |              |
                                                 +-------+------+
                                                         |
                                                         |
                     +  +--------+                       |
                     |  | HOST 1 +--------+        +-----+-----+
                     |  |        |        +--------+  CLIENT   |
                     |  +--------+      +----------|  VPN      |
                     |                  |     +----+           |
     PAS D'IPV4      |  +--------+      |     |    +-----------+
     VPN SERVER IPV6 |  | HOST 2 +------+     |     PUBLIC FAI IPV4
                     |  |        |            |     FAI IPV6 RANGE
                     |  +--------+            |
                     |                        |
                     |  +--------+            |
                     |  | HOST 3 +------------+
                     |  |        |
                     +  +--------+
    

    Pour faire ça, tu as plusieurs solutions, mais la plus simple et d'ajouter une carte réseau dans ton client VPN et connecter tes hosts avec un switch.

    Ensuite tu modifies le routage pour que :
    - la route par défaut de tes hosts soient le client VPN ;
    - la route par défaut de ton client VPN soit le serveur VPN. Attention de laisser une route vers ton serveur VPN en passant par le FAI.
    Il faut évidemment activer le routage sur tes machines VPN.

    Si tu veux anonymiser tes hosts internes, le NAT est une bonne idée, sinon en IPv6 ce n'est pas nécessaire.
    Sans NAT, il faudra gérer le routage retour (Internet -> Serveur VPN -> hosts). La façon de faire dépend de ce que le fournisseur de ton serveur VPN te permet de faire avec ton range IPv6.

    • [^] # Re: Ton client VPN devient ton routeur

      Posté par  . Évalué à 2.

      Merci pour la réponse détaillée :)

      J'étais persuadé que la manière dont était cablé les machines sur un routeur n'était pas important et que passer le routeur du fai en mode switch ou en mettant la machine ayant le client vpn en DMZ aurait suffit à faire de cette machine une passerelle tout en profitant du wifi fourni par le routeur du FAI (ce n'aurait juste pas été optimal, obligeant tout le trafic à passer par le même cable RJ45 dans les deux sens). J'avais réussi à faire ce genre de bricolage en faisant des injections arp sur mon réseau il y a longtemps.

      Si ce n'est effectivement pas possible, je pense que je ferai ceci, cela permettra accessoirement d'avoir toujours un accès direct à internet en cas de besoin particulier.

      • [^] # Re: Ton client VPN devient ton routeur

        Posté par  . Évalué à 1.

        Il y a effectivement d'autres façons de faire en sorte que tes hosts passent par ton client VPN sans carte réseau ni switch. Faire en sorte que ce soit leur passerelle est sans doute la plus propre et la plus sure.

        Par contre, faire des injections ARP n'est normalement pas à la portée d'une "quiche en réseau" :-)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.