Paramétrage VPN sur routeur GL.iNet (Flint3)

[Ficus]

Bonjour,
J'ai besoin d'aide sur le paramétrage de mon routeur.
Je ne suis pas spécialiste réseau mais pas complètement néophyte, j'ai déjà vu nombre de vidéo / tuto mais je bloque.

Mon installation:
Routeur Flint3 (OS d'origine, pas OpenWRT) derrière une Livebox S, dans une DMZ. (j'ai aussi testé en ouvrant le port 51820 sur la Livebox)
J’ai paramétré un serveur WireGard (par DDNS), en 10.1.0.1
Je n’ai pas encore activé ADGuard Home, pour limiter les pb
Le client c’est mon smartphone, l’appli WG est bien configurée (via QR code)
Mon client se connecte. J’ai accès à internet, avec l’IP de la maison, j’ai mes mails ou encore WhatsApp fonctionne aussi. (débit variable, ça peut bien fonctionner et parfois je laisse le VPN activé 30min, et quand je reprends le smartphone, ça ne répond plus....)

Par contre impossible d’accéder à HA, ni par Companion, ni par une page du navigateur.
J’ai remis mon HA sans ssl, j’accède en local en http.
Impossible aussi d’accéder au NAS, d’ailleurs je ne vois plus comment paramétrer le bazar.

Quand je lis qu’avec un tunnel VPN on accède « comme si on était en wifi à la maison »…j’ai raté quoi ?
Quel autre réglage faut il ajouter pour que ça passe ?
Dans le tuto Cachem de MilesTEG, on vois une image avec un routage NAT mais les ports sont flouté. Quelle serait la règle de routage SVP ?

Merci de votre aide

 

[MilesTEG]

Salut
Je suis passé à côté de ton sujet @Ficus
Je te réponds en détails demain, si j’ai encore de l’électricité demain

Mais en attendant , si tu passes par ici d’ici la, donne moi la version du FW GL que tu as lis.

Les redirections de ports que j’avais sur le Flint2 étaient (et sont toujours) le port 443 vers mon reverse proxy, le port 6690 pour la Synchronisation Synology Drive, et un port pour le serveur vpn WireGuard sur mon Home Assistant.

Il faut aussi que tu me dises comment tu as configuré le serveur WG.

 

[Ficus]

Bonjour,
je suis en v4.8.3

Le paramétrage est basique, il n'y a pas beaucoup d'options



Seules options:


Mon clients


HA et NAS sont dans le LAN en 192.168.10.xx
Je ne comprends pas qu'il faille ouvrir un port sur le routeur GL.
Est-ce que ça ressemblerait à ça ?

 

[MilesTEG]

@Ficus Je vois potentiellement un problème : l'IPv6 côté LAN.
Ne met rien dans le champ idoine :


Pour ajouter de la sécurité, active les clés privée/publique :


Coté configuration du client :

1. Entre manuellement 0.0.0.0/0 pour forcer l'IPv4 et ne pas prendre en compte l'IPv6.
2. Là j'ai mis mon serveur AdGuard Home, mais si tu n'as pas de serveur DNS local, laisse vide, ou met un DNS connu (Quad9 etc...)
3. Active le Preshared Key , ça ajoute un peu de sécurité en plus.

Retente avec ces réglages, ça devrait fonctionner.
Ps : ton routeur est-il derrière une box opérateur ?
Si oui il faut le piéger dans sa DMZ.

 

[Ficus]

Bonjour, merci pour ton aide
Oui je suis derrière une Livebox S et j'ai bien mis le routeur GL (IP fixe) dans une DMZ

coté serveur:
J'ai retiré l'IP v6
J'ai déjà une paire de clé (créé par défaut)

Coté client:
j'ai déjà 0.0.0.0/0, et j'ai retiré la suite en ::/0
j'ai retiré l'adresse serveur DNS local
L'option d'une clé pré-partagé (Preshared Key) n'est pas dispo. sur Android, ça m'a l'air plus complexe...a rentrer à la main ?!...même si ça a l'air sympa pour l'instant c'est vide.

Pas de changement, j'ai accès à internet je peux lancer une vidéo YT par exemple, mais pas d'accès à HA.

Serveur WG sur GL


Client (Android)


Pour info mon HA

 

[MilesTEG]

Tu tentes d'accéder à HA comment ? via son adresse IP ou bien via un nom de domaine ?
Si c'est via ndd, as-tu un reverse proxy ? Si oui, montre voir le .conf.

 

[Ficus]

J'ai mis une image de Companion, via l'IP
J'ai aussi testé depuis le navigateur Chrome sur le smartphone, avec http://192.168.xx.xx:8123
ça marche comme ça dans le LAN sur le PC mais jamais au travers le VPN
Vraiment il doit y avoir un truc qui m'échappe. Je crois que je vais essayer un VPN sous OpenVPN, qd les enfants me laisserons du temps ;-)

 

[Ficus]

EDIT: idem avec un serveur openVPN
Je suis connecté à la maison, je surfe sur internet, je regarde des vidéos, j'envoie et je reçois des mails.

 

[MilesTEG]

Tente le changement de plage d’adresse IP pour ton VPN
Essaye 10.0.5.0/24

Edit : ton HA il est sur quelle machine ? Il y a un pare-feu ?

 

[Ficus]

Je suis passé en 10.0.5.0/24. C'est exactement le même résultat

HA est sur un Rpi5
Le NAS est un Syno DS218play, avec le dernier DSM à jour (7.3.2-86009). Pas de Reverse-Proxy pour le moment,...au plus simple.
Le NAS à son pare-feu mais une règle autorise le 10.0.0.0/255.0.0.0

Le NAS c'est comme HA, c'est comme si ma connexion VPN était très limitée sur le LAN (enfin je ne suis pas spécialiste)

 

[MilesTEG]

Je suis passé en 10.0.5.0/24. C'est exactement le même résultat

HA est sur un Rpi5
Le NAS est un Syno DS218play, avec le dernier DSM à jour (7.3.2-86009). Pas de Reverse-Proxy pour le moment,...au plus simple.
Le NAS à son pare-feu mais une règle autorise le 10.0.0.0/255.0.0.0

Le NAS c'est comme HA, c'est comme si ma connexion VPN était très limitée sur le LAN (enfin je ne suis pas spécialiste)

C’est vraiment étrange comme souci…
Sur papier tout devrait fonctionner vu que c’est plus ou moins comme chez moi.

Décoche l’option « Allow Remote Access the LAN Subnet ».
Sauvegarde. Arrête puis redémarre le serveur von.

Ps : tu testes bien avec un client en dehors de ton LAN (par exemple avec ton smartphone en 4/5G) ?

Si jamais ça déconne encore , redémarre le routeur.

Si ça déconne encore … contacte le support. Sur un canal privé du Discord GL.iNet j’ai vu un gars qui avait un problème similaire.

 

[Ficus]

ça me rassure plus ou moins.
La situation que tu me décris correspond à l'idée que je me fait d'un serveur VPN, ça devrait rester "simple" normalement.

Perso j'ai beau régler sous tous les angles je ne comprends pas.
J'ai coché, décoché, arrêté/redémarré les serveurs (WG comme Open VPN)...Redémarrer le routeur, mais rien à faire pour l'accès au LAN.
Je précise que je désactive bien de wifi pour passer en 4G pendant les tests VPN. Encore une fois, internet fonctionne, mais pas le reste...

Dans cette page "sécurité" mon réglage est il correcte ?



Je pense faire un hard reset du Flint3, mais en plus de ça il n'y a pas de sauvegarde de la conf. dans l'OS !!?
C'est bizarre je trouve. Faut se refaire tous les adressages et le fine-tuning à la main.

Une question encore @MilesTEG, et vraiment merci du temps que tu me consacres !!
Dans ton test Flint2 sur Cachem, tu publies une image qui m'intrigue.
Le 4eme ouverture de port "Wireguard HomeAssistant", il est réglé comment et il sert à quoi du coup ?

 

[MilesTEG]

Perso j'ai beau régler sous tous les angles je ne comprends pas.
J'ai coché, décoché, arrêté/redémarré les serveurs (WG comme Open VPN)...Redémarrer le routeur, mais rien à faire pour l'accès au LAN.
Je précise que je désactive bien de wifi pour passer en 4G pendant les tests VPN. Encore une fois, internet fonctionne, mais pas le reste...

Je comprends que c’est pénible… surtout quand tout semble bien configuré et que ça ne fonctionne pas
Tu as mis quoi comme adresse pour le serveur vpn ? L’adresse du point de terminaison je veux dire.
C’est une adresse IP ? Celle qu’a ta LB sur internet ? Tente aussi un autre port de connexion pour le VPN des fois que…

Petite question : as tu l’ipv6 activé sur ta livebox ? Si oui tente de le désactiver.
Redémarre la livebox aussi des fois que le DMZ déconne (avec les LB on sait jamais lol).

Dans cette page "sécurité" mon réglage est il correcte ?

Cale semble correct oui.
Même si perso je change les ports

Je pense faire un hard reset du Flint3, mais en plus de ça il n'y a pas de sauvegarde de la conf. dans l'OS !!?
C'est bizarre je trouve. Faut se refaire tous les adressages et le fine-tuning à la main.

Pour faire une sauvegarde il faut aller dans LUCI, va dans System -> Advanced Settings

Une question encore @MilesTEG, et vraiment merci du temps que tu me consacres !!
Dans ton test Flint2 sur Cachem, tu publies une image qui m'intrigue.
Le 4eme ouverture de port "Wireguard HomeAssistant", il est réglé comment et il sert à quoi du coup ?

J’ai un autre serveur vpn WireGuard en secours sur mon instance HomeAssistant.
Je m’en servais surtout avant que je n’arrive à configurer le serveur WireGuard sur le routeur (et même à l’époque j’en avais pas encore le flint2).

 

[Ficus]

Tu as mis quoi comme adresse pour le serveur vpn ? L’adresse du point de terminaison je veux dire.

Je passe par DDNS, mais j'ai aussi testé par mon adresse publique, en fait ça aussi j'ai testé plein de variante.
Je n'ai pas d'IPv6 dans la Livebox.

Petite (voir grande) avancée ce soir. Je suis rentré dans LuCI (en fait je n'osai pas car je croyais que ça basculait l'OS en OpenWRT)
Il y a vraiment beaucoup de paramètres plus complexes les uns que les autres. Je me suis baladé.

J'ai trouvé une page intéressante dans Network > Firewall > General Settings
Pourquoi j'ai des regle de parefeu ici et pas dans l'OS GL ?...bref

Selon l'image si dessous j'ai ajouté LAN en face de chaque serveur VPN
Miracle, avec ça j'ai accès à HA et NAS avec OpenVPN !
MAIS pas de changement coté WG. Et pourtant j'ai encore testé plein de variante.
Vraiment c'est tordu. J'ai écrit au support GLiNET, on verra si ça m'aide.

 

[MilesTEG]

Je ne suis plus sur mon ordi, mais voilà ce que j’ai :

 

[MilesTEG]

Je le dis que ce n’est pas normal que tu ais besoin de modifier le pare-feu dans lici, c’est même dangereux

Je supprimerais les modifications faites , supprimerais les configurations de vpn,
Et je ferais un reset complet du routeur.
Si tu as comme moi beaucoup de réservation d’ip dhcp, sauvegarde le fichier /etc/config/dhcp
Tu pourras restaurer tout ce qui concerne les affectations d’ip après le reset d’usine .
Il te faudra accéder au routeur en ssh