Accueil Problèmes et solutions
routeur4g.fr est financé par ses lecteurs. Quand vous achetez en passant par les liens du site, nous pouvons toucher une commission d’affiliation.

[TUTO] 4G, accès externes (NAS, domotique, ...) et ToIP

MPaladinMPaladin Membre Messages: 11
Modifié (décembre 2019) dans Problèmes et solutions
Bonjour,

Ayant eu pendant quelques mois une installation 4G (puis la fibre est arrivée plus tôt que prévue) et ayant la chance d'être ingénieur informatique réseau et sécurité, j'aimerai vous faire part de mon retour d'expérience par rapport aux problèmes que j'ai pu rencontré.

Pour un poste client classique, l'accès à Internet en 4G ne pose aucun problème, je ne vais donc pas m'attarder sur ce point.
Ce qui pose problème en général c'est :
- les serveurs que l'on héberge et que l'on veut pouvoir accéder de l'extérieur (domotique, nas, photos, caméras, ...)
- la ToIP
à cause du "double NAT" (je ne rentre pas dans le détail, faites une recherche sur le forum)

J'ai la chance d'avoir une machine serveur chez dédié à tous mes services qui m'a servi également à faire mes machines virtuelles pour tous mes besoins.
Il faudra donc un peu adapter ou faire preuve d'imagination et de recherches pour l'adapter à vos besoins.

Pour avoir la chance d'avoir une IP publique fixe qui résoudra tous les problèmes, le mieux est de prendre un VPS entrée de gamme chez OVH, ça fait très l'affaire.
Ensuite il faut monter un VPN entre ce VPS et chez vous.
Pour les barbus, je vous laisse vous amusez de la ligne de commande sur une debian en installant OpenVPN et Netfilter.
Pour les autres, vous pouvez profiter d'une superbe appliance (physique ou virtuelle) qu'est pfSense

Une fois que pfSense est installé sur le VPS, il faut mettre en place la partie Serveur VPN
Je vous laisse lire tout ça pour vous imprégner de l'idée.

Une fois ceci fait, vous avez terminé la 1ère étape, votre accès extérieur, votre sortie de Tunnel.

Pour la suite, ça se passe à la maison.
Si vous voulez être tranquille, vous faites une passerelle VPN pour tout le monde à la maison, sinon, je vous conseille de laisser les postes fixes sur le routeur 4G et le reste via le VPN

En vert, le flux classique 4G pour les postes clients
En noir, le flux d'établissement du tunnel OpenVPN
En bleu, le flux passant via le tunnel VPN et sortant par OVH

Pour le routeur/client VPN interne, plusieurs possibilités.
Soit vous avez un raspberry pi et vous pouvez soit faire le barbu avec raspbian (voir plus haut) soit utiliser OpenWRT et voici quelques liens

Soit vous avez la possibilité de mettre une VM ou une appliance physique avec un pfSense et là l'interface sera beaucoup plus sympa.

Une fois que le tunnel est monter entre les deux pfSense (ou équivalent) le reste n'est plus qu'une question de routage, de NAT et de parefeu.

Pour le routage :
Un paquet qui part d'une machine connaît 2 destinations : les pc qui sont dans le même réseau et la passerelle (si le paquet doit aller dans un autre réseau).
Les systèmes devant passer par le VPN doivent donc avoir le pfSense local en tant que passerelle et non le routeur 4G.
Le pfSense local doit avoir comme passerelle le pfSense distant.
Le pfSense distant doit avoir comme passerelle OVH.
Une fois ceci fait, le flux circulera dans le bon sens pour sortir.

Le parefeu :
Pour établir une règle de parefeu, il faut se mettre à la place du parefeu et regarder ce qui rentre (pas besoin de faire les règles dans les 2 sens).
Bon là sur le pfSense local je vous conseille d'ouvrir tout en provenance du réseau local, d'ouvrir tout en provenance du VPN et juste ce qu'il faut pour l'établissement du VPN (IP VPS OVH en TCP 500 + ASP + EH)
Sur le pfSense distant, ouvrir le minimum pour l'administrer (attention au tentative de piratage, je vous laisse chercher comment bien sécuriser), tout ce qui est en provenance du pfSense local, tout ce qui est en provenance du réseau local, tout en provenance du VPN et juste ce qu'il faut pour l'établissement du VPN (IP VPS OVH en TCP 500 + ASP + EH)

Le NAT :
Quand on passe un routeur, on a 2 possibilités : soit en est NATé, soit non.
Tant qu'on reste dans notre propre réseau, pas besoin d'être NATé (sauf besoin spécifique). Par contre, pour aller sur Internet, c'est obligatoire.
Je vous conseille déjà de désactiver la gestion automatique et passer en manuel.
Ensuite il faut bien comprendre la section NAT et portforwading.
Le NAT sert en général pour sortir.
Le portforwarding plutôt pour rentrer.

Le NAT va donc nous servir pour l'établissement de la ToIP
Le portforwarding pour l'accès à nos serveurs internes

Pour la ToIP, le pfSense local ne va donc pas faire de NAT. Le pfSense distant en fera et la téléphonie devrait donc fonctionner correctement.
Quelques liens pour d'éventuels problèmes rencontrés

Pour le portforwading, il faut se poser la question de que devient la paquet avant et après (IP Source et IP destination) et quelle route va-t-il prendre ?
Il faudra peut-être rajouter des routes statiques dans le pfSense pour atteindre les serveurs internes (je vous laisse chercher)
Il peut aussi être intéressant de mettre en place des package pfSense comme HAProxy, letsEncrypt.

Voilà c'était ma modeste contribution.
Je ne peux pas rentrer plus dans les détails sinon j'écrirai un roman.
Qui plus est, la situation de chacun étant différente, impossible de balayer tous les cas.
En espérant vous avoir éclairé sur le fonctionnement pratique mais ô combien complexe de Routeur 4G + VPN

Réponses

Connectez-vous ou Inscrivez-vous pour répondre.