Choisir quelles applications ne doivent pas utiliser le VPN

Bonjour à tous,

J’ai deux interfaces réseau : une en connexion directe avec mon FAI, l’autre en connexion VPN (OpenVPN / vpntunnel.se).

J’aimerai :

  • Que par défaut tout trafic doit transiter par l’interface VPN
  • Que je choisisse consciemment si une application doit passer par l’accès direct de mon FAI
    Typiquement, j’aimerai que Firefox transite par l’interface réseau de mon FAI, alors que uTorrent transite obligatoirement par le VPN (et jamais par mon FAI).

Je ne mis connais pas trop en réseau, je dois l’avouer. J’ai donc étais étonné que ma « simple » demande soit si compliquée.

La dernière fois j’ai eu un espoir, sous Windows 7 nativement avec le Firewall on arrive à faire ça:
http://omploader.org/vM2VsNQ.jpg

Seulement… étrangement ils appellent indument des “interfaces” qui n’en sont pas (plutôt des “type de réseau”)

Quel est la bonne pratique selon vous?

Merci d’avance,
Bonne journée
Edité le 01/02/2010 à 19:06

haa ca y est j’ai retrouvé :stuck_out_tongue:

bon, ce que tu veux faire n’est pas aussi évident qu’il n’y parait.

un pc est en réseau grace a une adresse ip et des tables de routage.

le fait que ta connection soit détournée pour utiliser une passerelle par défaut a travers un vpn déjà ca dépasse ma compréhention du réseau
ton pc a une passerlle par défaut pour acceder au net et pour que ton vpn s’établisse par le net, mais pourtant la nouvelle paserelle par défaut après avoir établit la connection vpn est derrière le vpn et la connection vpn ne se coupe pas
:confused:

bref moi pas tout comprendre mais passons.
j’avais lu une manip sur un forum(ubuntu), quelqu’un voulais utiliser une connection internet pour le surf et une autre connection pour telecharger en torrent.
la manip consistais a créer une deuxieme table de routage, marquer les paquets en provenant du logiciel en question et de leur dire s’utiliser la deuxieme table de routage.
Je pense que cette methode serait adaptable a ton cas de figure mais sous windows je sais pas si c’est réalisable (j’en doute).

alors j’ai repensé à un post sur ce forum d’un utilisateur qui voulais jouer en réseau a un jeu a travers le vpn mais l’application ne prenais pas en compte son vpn.
je lui avais parlé de la solution que j’avais lu et lui il m’as sortit un logiciel qui forcais un programme a utiliser une interface réseau!

En voyant ton post j’ai fouiné sur le net et j’ai remis la main dessus:
ForceBindIP
forum.jeux-reseau.fr…
logiquement tu devrai pouvoir adapter ce soft a ton cas précis en disant à firefow d’utiliser uniquement la carte réseau local et pas une autre.

tu as de quoi t’amuser ^^

en esperant t’avoir aidé :slight_smile:

boss50
hahaha… ta solution a le merite d’etre original… mais ca sent la bidouille foireuse a plein nez, mais t’es bien le seul a qui j’en ai parle qui me propose une solution qui tiens presque la route, mais elle n’est franchement pas élégante :confused:

Je vais la tester… haha j en rigole d’avance

Pour les table de routage:
c’est sans doute trop bas niveau (firefox attaque des ip public et utorrent aussi… impossible de discerner les route specifique), la commande route marche si tu veux discocier les interface en fonction de certaine range d’IP, typiquement les ip prive attaque l’interface VPN le reste c’est l’interface directe

Pour linux:
En effet il existe une solution, avec IPTABLE (patche je crois) on peut attribuer une application a une interface

En ce qui concerne le fonctionnement du VPN:
la plupart des application qui veulent se connecter a internet, font une demande sur l’interface logique 0.0.0.0, ce qui revient a demander a Windows : donne moi la première interface qui réponde (ou par défaut…)

boss50
incroyable… ca marche ton truc… sous win7 64bit / firefox 32 bit

j’ai des doute sur la portabilite sur une app x64 (mais why not)

pfff… incroyable ca fait 4 jours que je cherche, bon la solution est franchement pas très élégante, mais elle a le mérite de marcher, je te dois une fier chandelle!!!

je te remercie

la manip consistait a créer carrément une deuxieme table de routage!
il faisait une commande pour marquer les paquets en provenance d’une appli ou d’un port je sais pu et une autre commande qui disait genre si paquet marqué >> deuxieme table de routage.
il pouvait donc dissocier ainsi les routes par paquets en plus du range ip.

mais c’étais sous linux et oui avec iptables… donc pas bon :frowning:

oui, si le pc n’est pas sur le meme reseau que l’ip a joindre et qu’il n’as pas de route statique il envoie ca à sa route par défaut

route print 
IPv4 Table de routage
===========================================================================
Itinéraires actifs :
Destination réseau    Masque réseau  Adr. passerelle   Adr. interface  Métrique
          0.0.0.0                       0.0.0.0                192.168.5.1     192.168.5.14      20

mais comment le vpn fait pour détourner la route par défaut sans se déconnecter lui meme du net ??


content que ca fonctionne j'ai galéré a retrouver le soft ^^

je vais me le mettre de coté d’ailleur :smiley:

je ne mis connais pas trop en reseau:
voila l’output de la commande route print:

IPv4 Table de routage

Itinéraires actifs :
Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.102 10
0.0.0.0 128.0.0.0 80.67.15.1 80.67.XX.XXX 30

Le VPN se connecte via l’interface directe a un moment donnée (je ne sais pas comment on voit ca… ), je crois que par défaut Windows fait tout transiter par le VPN, donc voila…
Comme je l’ai dis l’interface logique 0.0.0.0 peut etre prise par plusieurs interface, celle qui repond la plus vite (ou qui est privilegie) passe d’abord, le piege c’est que si le VPN est down… je crois que windows switch direct sur la prochaine interface (celle du FAI) et la HADOPI et c’est le drame :slight_smile:

Tu m’as trop aide ! tu peux pas savoir a quel point, et tu va en aider plus d’un je crois :slight_smile:

Pour la ptite histoire… je commençais a être deseperer, j’étais près a acheter 4 Go de ram pour monter une machine virtuelle pour simplement gérer 2 interfaces… donc je te dois un verre :), le pire c est j’ai cherche en anglais sur google US… pff je m’en veux de pas avoir trouve

Bonne soirée
Edité le 01/02/2010 à 20:54

boss50
Je reviens vers toi afin de poser la question inverse :
Comment empêcher une application d’utiliser une interface (typiquement je veux qu’uTorrent n’utilise jamais directement l’interface de mon FAI) ?

J’aimerai une solution native à Windows 7 si possible.

Je sais que Comodo firewall permet de faire ça (il a la notion d’interface réseau), mais ça m’embête d’utiliser un tel FW pour faire simplement ça

On peut aussi utiliser l’observateur d’evenement et faire un Taskkill sur utorrent sur un evenement specifique (mais c’est gore et pas super efficace)

J’ai un router Linksys WRT54GS (sous Tomato firmware), je pense qu’il devrait suffire (fermer les ports qu’utilise le P2P
) -> pour le moment selon moi c’est la meilleurs solution

Quel est ton avis sur le sujet ?

Bonne journée à toi
Edité le 02/02/2010 à 10:12

hum sinon en natif en Firewall dans windows y a ca pour une interface
http://omploader.org/vM2Zibw/filtrage%20port%20natif%20windows.JPG

Edit:
“le filtrage TCP/IP vous permet de controler le type de trafic TC/IP qui atteint votre ordinateur sous Windows.”

je suis allé trop vite en besogne
Edité le 02/02/2010 à 11:29

donc au final tu va spécifier a firefox d’utiliser ton FAI grace a Forcebindip + interdire a utorrent d’utiliser la connection du FAI grace au pare feu windows ?

Je pensais a un truc, tu as un wrt54 donc un os linux dedans, tu as le firmware d’origine ?

Perso j’aurai tenté ca:
1 flasher le le routeur avec le firmware dd-wrt (qui contient openvpn)
2configurer le routeur comme client openvpn (jusque la rien de bien sorcier)
3 utiliser iptable pour rediriger le flux web sur l’interface wan (de la facon dont je parlais, marquer les paquets etc…)

Comme ca quelque soit le pc connecté au wrt54 wifi ou fil il aura la meme conf que ton pc :slight_smile:
Enfin je dit ca parce que j’aime bien bidouiller mon routeur et ces aspects techniques du réseau m’intéressent mais ca ne t’es pas indispensable.
et pour le point 3 je n’ai jamais testé, j’avais juste suivi un thread pour qui cette opération avais fonctionné.
Mais je testerai bien voir si j’y arrive :slight_smile:

Il est gratuit ton fournisseur de vpn ?
Edité le 02/02/2010 à 12:04

j’utilise vpntunnel.se à moins de 5 euros par mois (27euros/6mois), je ne connais pas de gratuit sous openvpn, mais peut etre qu’il en existe

J’utilise tomato firmware, je ne sais pas si il fournit cette option de VPN, dd-wrt buggé à l’epoque sur mon gs v1.1.
( EDIT: tomatovpn.keithmoyer.com… ) //visiblement y a un fork

En effet c’est une solution possible, mais qui est difficile à maintenir pour quelqu’un comme moi.

Je ne sais pas trop ce que je vais faire pour intedire le utorrent/FAI, faut que je test
Edité le 02/02/2010 à 13:50


Donc ton idée c'est de rediriger les ports P2P vers l'interface VPN du router ?

cpoa con non plus…

voilà, ou l’inverse tout passe par le vpn sauf le web qui sort sur ton fai.

difficile a maintenanir je pense pas, tu veux dire difficile a mettre en place?

une fois en place bein c’est comme ca ca bouge plus, tout les pc connectés sur ton wrt54 feront pareil vu que c’est le routeur qui décide.

j’utilise openvpn sur mon wrt54gl sans problèmes.

En effet ca me semble une solution élégante…

Je testerais ce soir ou demain

merci
Edité le 02/02/2010 à 14:43

lol bein j’ai retrouvé une partie du thread que j’avais copié pour l’avoir de coté au cas ou !

vu que j’étais pas un As d’iptables à l’époque (toujours pas d’ailleur) j’avais copié ca:

de quoi te donner une piste :wink:
mais je serai toi je commencerai par flasher mon wrt54 en firmware dd-wrt, établir la connection vpn puis faire un “man iptables” sur google, et demander du renfort sur des forums accès réseau/linux. J’aime bien le form dd-wrt pour ca.

tiens nous au jus :wink:

boss50

Héhé,

Hier soir j’ai testé avec tomatovpn.keithmoyer.com, j’ai mis un peu de temps à comprendre que la gestion utilisateur / mot de passe d’openVPN n’était pas encore implémenté dans la version du firmware!

Mais j’avais mal lu le billet de la release:
"This is just a bug fix release, so there are no new features included. Look forward to user/pass authorization in the next release… "

Donc j’attends avec impatience la prochaine release!
Edité le 03/02/2010 à 11:05

ah… bein en fait je savais meme pas qu’openvpn avait une gestion de nom d’utilisateur et mot de passe… :smiley:

avec openvpn j’ai juste testé la liaison client serveur avec clé statique et en mode disons pki avec des certificats pour chaque clients.

tu pourrai m’envoyer la conf de ton client openvpn pour voir comment c’est fait? en grisant les infos confidentielles

Je regarderai si mon firmware le supporte.

client
port 1194
dev tap
proto udp
; Cert
ca …\keys\ca.crt
ns-cert-type server
cipher BF-CBC
;Host
remote miranda.vpntunnel.se
resolv-retry infinite
;auth
auth-user-pass
persist-key
persist-tun

comp-lzo
verb 2


En theorie c’est franchement mauvais niveau sécurité d’avoir un login / mdp sur OpenVpn, vaut mieux une archi TLS avec un certificat et une clé client, mais bon, dans mon cas jmen fiche un peu :slight_smile:

apparament c’est ok pour openvpn sur dd-wrt.

Tu me conseil lequel?

Mini-Build required for inital flashing via TFTP dd-wrt.v24_mini_wrt54gs.bin 2009-10-10 2,95 MB
Mini-Build required for inital flashing via WEB dd-wrt.v24_mini_generic.bin 2009-10-10 2,95 MB
VINTAGE : mega dd-wrt.v24-13064_VINT_mega.bin 2009-11-13 5,78 MB
VINTAGE : micro-plus dd-wrt.v24-13064_VINT_micro-plus.bin 2009-11-13 1,76 MB
VINTAGE : micro dd-wrt.v24-13064_VINT_micro.bin 2009-11-13 1,66 MB
VINTAGE : mini dd-wrt.v24-13064_VINT_mini.bin 2009-11-13 2,81 MB
VINTAGE : mini_usb_ftp dd-wrt.v24-13064_VINT_mini_usb_ftp.bin 2009-11-13 3,13 MB
VINTAGE : openvpn dd-wrt.v24-13064_VINT_openvpn.bin 2009-11-13 3,48 MB
VINTAGE : openvpn_jffs_small dd-wrt.v24-13064_VINT_openvpn_jffs_small.bin 2009-11-13 3,11 MB
VINTAGE : standard dd-wrt.v24-13064_VINT_std.bin 2009-11-13 3,59 MB
VINTAGE : std nokaid nohotspot nostor dd-wrt.v24-13064_VINT_std-nokaid_nohotspot_nostor.bin 2009-11-13 2,87 MB
VINTAGE : std nokaid usb dd-wrt.v24-13064_VINT_std-nokaid_usb.bin 2009-11-13 3,59 MB
VINTAGE : std nokaid dd-wrt.v24-13064_VINT_std-nokaid.bin 2009-11-13 3,47 MB
VINTAGE : voip dd-wrt.v24-13064_VINT_voip.bin 2009-11-13 3,62 MB
Mega Generic dd-wrt.v24_mega_generic.bin 2009-10-10 7,35 MB
Micro Generic dd-wrt.v24_micro_generic.bin 2009-10-10 1,68 MB
Micro Generic dd-wrt.v24_micro_olsrd_generic.bin 2009-10-10 1,66 MB
Mini Generic dd-wrt.v24_mini_generic.bin 2009-10-10 2,95 MB
Xbox no-kaid Generic dd-wrt.v24_nokaid_generic.bin 2009-10-10 3,51 MB
Standard Generic dd-wrt.v24_std_generic.bin 2009-10-10 3,54 MB
Standard Generic dd-wrt.v24_usb_generic.bin 2009-10-10 3,21 MB
VoIP Generic dd-wrt.v24_voip_generic.bin 2009-10-10 3,57 MB
VPN Generic dd-wrt.v24_vpn_generic.bin 2009-10-10 3,57 MB

J’utilise rien de spécial à part augmenter la puissance de mon wifi
Edité le 03/02/2010 à 16:12

tiens bein pour ton routeur c’est pas aussi simple que le mien…(wrt54gl)

pour moi c’étais simple je n’avais pas de version VINT…

En fait toi c’est différent, ne prends pas n’importe quoi!

Selon le processeur et chip de ton routeur le firmware sera le type VINT ou pas.
De toute facon tu commencera toujours par flasher en mini(VINT ou pas) puis la version vpn(VINT ou pas).

Suit les instructions ici
www.dd-wrt.com…

Lis attentivement et suis les liens.

Ou envoie moi le résultat de la commande
nvram get wl0_corerev

je regarderai pour toi.

++

oula… c’est donc pour ca que j’ai tjs lutte avec ce firmware…

j’ai un wrt54gs v1.1

nvram get wl0_corerev

7


je peux commencer directement avec : VPN Generic dd-wrt.v24_vpn_generic.bin 2009-10-10 3,57 MB ?