Accueil > Constructeur, Matériel, Réseau > Freebox Révolution & VPN

Freebox Révolution & VPN

28/01/2014 Categories: Constructeur, Matériel, Réseau Tags: , , ,

source: médiasoft technologies

2011 a vu l’arrivée de la Freebox Révolution.

Révolution pour les uns, mais régression pour certains.

Explications : bon nombre d’utilisateurs plus ou moins aguerris ou professionnels utilisaient la Freebox V5 en mode bridge en y raccordant un vrai routeur de façon à disposer de certaines fonctionnalités évoluées (Firewall, VPN, redirections de ports, etc.).

Or, sur la nouvelle Freebox (v6), il est devenu impossible de passer en mode bridge, celle-ci étant prévue pour fonctionner en mode routeur. De plus, comme chacun le sait (ou pas), les FAI n’aiment pas les modems standard, leur box est leur cheval de bataille, pour ne pas dire ouvertement leur cheval de Troie pilotable à souhait au niveau d’une QOS qui ne profite pas nécessairement au consommateur.

Certains objecteront, non sans raison, qu’un professionnel ferait mieux de souscrire une abonnement chez un fournisseur adapté, Nerim par exemple (c’est ce que je fais du reste), mais il ne faut pas perdre de vue que bon nombre de professionnels exercent à domicile et sont en droit d’attendre une offre qui satisfasse aussi bien leur besoins professionnels que leurs loisirs.

Free a promis de réactiver le mode bridge,

ils le feront peut-être s’il s’agit d’un simple problème technique, peut-être pas si la question est politique.

En attendant il faut trouver une solution technique afin de faire fonctionner nos routeurs. C’est assez simple en incluant un subnet intermédiaire, un peu moins pour les liens VPN permanents de routeur à routeur. Et là je dois avouer que j’ai lu tout et n’importe quoi en parcourant les forums techniques qui sont surtout ceux de l’apanage du troll ! Le pire c’est que l’assistance Free renvoie directement au forums pour ce genre de problématique…

Utiliser un routeur interne n’est pas utile pour un usage simple, la Freebox étant un routeur correct avec les fonctions de base.

Pour le mettre en œuvre, Il suffit de rediriger le trafic de la Freebox vers le routeur. Pour faire simple, il existe sur la Freebox une notion de DMZ que l’on peut utiliser à ces fins, il suffira de rentrer l’IP WAN du routeur en tant que DMZ.

Bien sûr, on prendra soin de relier un des ports LAN de la Freebox au port WAN du routeur en utilisant par exemple les adresses suivantes. Si on veut être cohérent, le Wi-Fi sera désactivé sur la Freebox et activé sur le routeur ou un point d’accès connecté au LAN du routeur.

Freebox          Routeur (port WAN)     Routeur (port LAN)
 IP             192.168.1.254    192.168.1.1            192.168.10.254
Passerelle                      192.168.1.254

Je ne détaille pas trop. Si vous estimez avoir besoin d’un routeur supplémentaire, vous aurez compris et intégré la manip sans mes explications. Par contre, là où ça se corse, c’est si l’on veut maintenir des liens VPN de routeur à routeur, en IPSec par exemple (je ne parle pas d’un client VPN que l’on exécuterait sur un poste de travail, mais bien de VPN LAN to LAN).

Ces VPN utilisent généralement l’adresse IP publique pour se connecter les uns aux autres au titre de l’identification, ensuite on configure une clé au niveau du cryptage. Sauf que privé de son mode bridge, notre beau routeur ne voit plus les adresses publiques et les VPN sont incapables de se parler. J’ai lu beaucoup d’âneries sur ce sujet, allant du complot de Free vis-à-vis des professionnels à des incohérences techniques qui m’ont beaucoup fait rire. Les plus timorés se contentent d’affirmer qu’il est impossible d’établir un VPN à cause du subnet intermédiaire imposé par la superposition de deux routeurs (la Freebox et le routeur VPN qui ne transporterait pas le GRE).

En fait, il n’en est rien. Ce subnet n’empêche en rien le trafic VPN de transiter puisqu’on a pris soin de rediriger tout le trafic vers le routeur, le seul hic étant que le routeur n’a plus de la visibilité directe de l’IP publique. Il ne pourra donc pas être « serveur » VPN en l’état. Par contre rien ne l’empêche d’initier l’établissement du lien VPN en utilisant une méthode alternative de reconnaissance. Les routeurs LinkSys (Cisco Low Cost) sur lesquels j’ai fait mes tests proposent à cet effet d’utiliser un nom de domaine ou une adresse e-mail afin de se reconnaitre. En fait à ce stade un simple mot suffit pour appairer le lien, la sécurité étant ensuite assurée par les échanges de clés au niveau IPSec.

image

Il y a tout de même un inconvénient à utiliser cette méthode. Outre le fait que ce n’est pas très propre (au sens IP), cette solution ne pourra être mise en place que d’un seul côté (quoique cela reste à creuser). De toutes façons ce n’est pas très gênant en ce sens que le site central est généralement équipé d’une ligne sDSL et ne repose pas sur un abonnement grand public. Et pour que la liaison soit permanente, il suffit de cocher la bonne case dans la config…

Ce mode de fonctionnement n’empêche en rien le fonctionnement du module FreePlayer de la Freebox, si tant est que l’on prenne soin de le relier sur un des ports LAN de la Freebox et non du routeur… Et bon film !

Print Friendly, PDF & Email

Related Post

Les commentaires sont fermés.