Bonjour,
J'ai un nano-ordinateur type "rapsberry PI" que je met chez mon voisin et je voudrais y accéder depuis mon PC derrière ma freebox (En SSH).
Je contrôle entièrement le nano-ordinateur mais je ne peux pas toucher à la box de mon voisin. J'ai mis un VPN Wireguard sur le nano-ordinateur qui pointe sur ma box de mon PC (Linux).
J'ai un domaine pour ma freebox xxx.freeboxos.fr, sur ma freebox, j'ai redirigé le port 51820 UDP sur mon PC qui est allumé. Cependant j'ai l'impression qu'il faudrait aussi que j'ouvre le port 51820 de la box de mon voisin pour que cela fonctionne de manière à ce que mon PC y accède qund il le souhaites…
[Interface]
Address = 10.0.0.1/24
SaveConfig = true
ListenPort = 51820
PrivateKey = XXXX_PRIVATE_KEY_SERVER
[Peer]
PublicKey = XXXX_PUBLIC_KEY_CLIENT
AllowedIPs = 10.0.0.2/32
Endpoint = 192.168.1.202:51820Est-ce que la limite c'est Wireguard qui ne fonctionne pas en mode serveur connecté (C'est du déconnecté c'est sûr) ou est-ce qu'il y a une solution avec une configuration Wireguard plus complexe? Ou sinon, est-ce possible avec OpenVPN par exemple?
Ce que je sais c'est que les VPN d'entreprises marchent bien comme ça. Ca doit donc être possible.
PS: Depuis le nano-ordinateur je n'arrive pas à me connecter à mon PC… sauf s'ils sont dans le même réseau local.
# Wireguard de la box ?
Posté par Olivier Esver (site web personnel) . Évalué à 2.
T'as utilisé le serveur Wireguard de ta box ?
Je viens de tester vite fait, j'arrive de mon réseau local à pinger mon téléphone connecté au VPN Wireguard de ma freebox.
S'il y a un problème, il y a une solution; s'il n'y a pas de solution, c'est qu'il n'y a pas de problème.
[^] # Re: Wireguard de la box ?
Posté par genma (site web personnel) . Évalué à 1.
Le plus simple pour répondre à ta demande est effectivement d'activer le serveur WIREGUARD sur ta Freebox chez toi https://www.clubic.com/antivirus-securite-informatique/vpn/tutoriel-458805-comment-activer-wireguard-sur-votre-freebox.html
Et de connecter le client du Raspberry su la Freebox, via le ficher de configuration fournie quand tu actives et crée un client sur le serveur Wireguard de la Freebox.
Ainsi le Raspberry sera vu comme une machine du réseau local de ta Freebox et tu pourras te connecter en SSH dessus depuis ton PC.
Pas besoin d'ouvrir de port ou de rediriger de ports sur ta box à toi ou celle de ton voisin.
# Mauvais endpoint
Posté par Cyril Brulebois (site web personnel) . Évalué à 5. Dernière modification le 18 septembre 2024 à 15:29.
Aucun besoin de toucher la configuration de la box du voisin a priori.
En revanche, l'endpoint configuré ici, 192.168.1.202:51820, est probablement l'IP de ton PC sur le réseau local de ta box, qui n'est pas visible/accessible depuis le réseau de ton voisin. À la place, il faudrait mettre ton adresse IP publique, ou un nom de domaine, pointant vers ta box.
(Le tout en partant du principe que tu fais tourner WireGuard sur ton PC, puisque tu as redirigé le port UDP de la box vers le PC.)
Debian Consultant @ DEBAMAX
# Demander à garder la connection active
Posté par Adrien Dorsaz (site web personnel, Mastodon) . Évalué à 3. Dernière modification le 18 septembre 2024 à 17:20.
Par défaut, le tunnel Wireguard ne s'active que si du traffic réseau doit être envoyé à travers le tunnel (depuis le client chez ton ami vers le serveur chez toi).
Tu peux ajouter l'option
PersistentKeepalive = 25dans la section[Peer]du fichier de configuration qui se trouve sur ta machine chez ton ami. Cf le wiki de Arch: https://wiki.archlinux.org/title/WireGuard#Unable_to_establish_a_persistent_connection_behind_NAT_/_firewallCette option est à utiliser pour ce cas où le tunnel doit rester actif pour que le serveur puisse contacter le client à tout moment.
Comme ça, tu n'auras pas besoin de créer un tunnel inverse et donc tu ne devrais pas à modifier la configuration de la box de ton ami.
[^] # Re: Demander à garder la connection active
Posté par Adrien Dorsaz (site web personnel, Mastodon) . Évalué à 3. Dernière modification le 18 septembre 2024 à 17:31.
Ca donnerait quelque chose comme ça.
Pour ta machine chez toi:
Attention à bien configurer ta box pour accepter le traffic UDP entrant vers le port 51820 sur la box et à faire rediriger ce traffic sur l'adresse IP et le port que tu as mis dans Endpoint au dessus.
Pour la config du client chez ton ami:
Avec ça ton serveur doit pouvoir faire des ping vers 10.0.0.2 correctement.
# Commentaire supprimé
Posté par Anonyme . Évalué à 1.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Pas certain : plage de ports ?
Posté par Cyril Brulebois (site web personnel) . Évalué à 2.
La box accepterait de mettre en place une redirection depuis un port qui ne serait pas dans la tranche de ports attribuée en cas de CGNAT ?
Debian Consultant @ DEBAMAX
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 1.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Pas certain : plage de ports ?
Posté par Cyril Brulebois (site web personnel) . Évalué à 2.
Dans ce contexte, c'est (souvent) 1 IP = 4 abonné⋅e⋅s, chacun⋅e avec sa tranche de ports.
Si tu es #1, tu as 25, 80, 443, notamment.
Si tu es #4, tu as le port par défaut de WireGuard…
Mon interrogation initiale étant : si tu es #1, #2 ou #3, la Freebox te permet-elle de configurer une redirection depuis le port 51820, qui n'est pas à ta disposition ? Cela me semblerait étrange…
Debian Consultant @ DEBAMAX
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 1.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Pas certain : plage de ports ?
Posté par Cyril Brulebois (site web personnel) . Évalué à 2.
Mettre en place une redirection suppose indiquer un port source (idéalement dans la tranche attribuée) et un port destination…
Debian Consultant @ DEBAMAX
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 1.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Pas certain : plage de ports ?
Posté par dr191 . Évalué à 2. Dernière modification le 19 septembre 2024 à 16:24.
Salut,
Le principe est le suivant:
imaginons un PC derrière une box de FAI ( qui fait donc du NAPT)
Le client cherche à contacter un serveur sur internet.
Il envoie sa demande ( un paquet ) avec son ip ( donc ip privée type 192.168.0.1) et un port ( le client choisi ce port ) vers l'ip sur internet du serveur et le port du service ( ici, c'est en général réglé par une spéc, typiquement 80 ou 443 pour du web ).
Donc dans ce paquet, on a ip et port du client ( la source ), ip et port du serveur ( destination ). Dans le cas derrière la box, la box va faire une translation d'ip et de port: cad, remplacer l'ip privée par celle de la box et un autre port ( ce port est gardé en mémoire ) . Ca permet au retour de la réponse du serveur, à la box de faire l'inverse et d'envoyer le paquet vers le bon client coté lan.
Le principe reste le meme avec un 1/4 d'ivp4, juste que le autre port se limite à 1/4 des 65536 ports normalement disponibles.
Dans le cas du posteur initial, si on veut "ouvrir" un port sur la box, il faut le choisir dans le 1/4 disponible. Dans le cadre d'une connexion vpn, ce n'est pas un problème si c'est par ex 45001. Si c'est pour héberger un serveur web ou email, si on n'a pas le premier 1/4 ( 0-16000), ca devient compliqué ou impossible et alors il faut demander une ipv4 fullstack.
# IPv6 ?
Posté par Mimoza . Évalué à 2.
Si la box de ton voisin a l’IPv6 tu ne devrais pas avoir de soucis pour te connecter directement a ton Rasp …
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.