Jai deux interfaces réseau : une en connexion directe avec mon FAI, lautre en connexion VPN (OpenVPN / vpntunnel.se).
Jaimerai :
Que par défaut tout trafic doit transiter par linterface VPN
Que je choisisse consciemment si une application doit passer par laccès direct de mon FAI
Typiquement, jaimerai que Firefox transite par linterface réseau de mon FAI, alors que uTorrent transite obligatoirement par le VPN (et jamais par mon FAI).
Je ne mis connais pas trop en réseau, je dois lavouer. Jai donc étais étonné que ma « simple » demande soit si compliquée.
La dernière fois j’ai eu un espoir, sous Windows 7 nativement avec le Firewall on arrive à faire ça: http://omploader.org/vM2VsNQ.jpg
Seulement… étrangement ils appellent indument des “interfaces” qui n’en sont pas (plutôt des “type de réseau”)
Quel est la bonne pratique selon vous?
Merci davance,
Bonne journée
Edité le 01/02/2010 à 19:06
bon, ce que tu veux faire n’est pas aussi évident qu’il n’y parait.
un pc est en réseau grace a une adresse ip et des tables de routage.
le fait que ta connection soit détournée pour utiliser une passerelle par défaut a travers un vpn déjà ca dépasse ma compréhention du réseau
ton pc a une passerlle par défaut pour acceder au net et pour que ton vpn s’établisse par le net, mais pourtant la nouvelle paserelle par défaut après avoir établit la connection vpn est derrière le vpn et la connection vpn ne se coupe pas
bref moi pas tout comprendre mais passons.
j’avais lu une manip sur un forum(ubuntu), quelqu’un voulais utiliser une connection internet pour le surf et une autre connection pour telecharger en torrent.
la manip consistais a créer une deuxieme table de routage, marquer les paquets en provenant du logiciel en question et de leur dire s’utiliser la deuxieme table de routage.
Je pense que cette methode serait adaptable a ton cas de figure mais sous windows je sais pas si c’est réalisable (j’en doute).
alors j’ai repensé à un post sur ce forum d’un utilisateur qui voulais jouer en réseau a un jeu a travers le vpn mais l’application ne prenais pas en compte son vpn.
je lui avais parlé de la solution que j’avais lu et lui il m’as sortit un logiciel qui forcais un programme a utiliser une interface réseau!
En voyant ton post j’ai fouiné sur le net et j’ai remis la main dessus:
ForceBindIP forum.jeux-reseau.fr…
logiquement tu devrai pouvoir adapter ce soft a ton cas précis en disant à firefow d’utiliser uniquement la carte réseau local et pas une autre.
boss50
hahaha… ta solution a le merite d’etre original… mais ca sent la bidouille foireuse a plein nez, mais t’es bien le seul a qui j’en ai parle qui me propose une solution qui tiens presque la route, mais elle n’est franchement pas élégante
Je vais la tester… haha j en rigole d’avance
Pour les table de routage:
c’est sans doute trop bas niveau (firefox attaque des ip public et utorrent aussi… impossible de discerner les route specifique), la commande route marche si tu veux discocier les interface en fonction de certaine range d’IP, typiquement les ip prive attaque l’interface VPN le reste c’est l’interface directe
Pour linux:
En effet il existe une solution, avec IPTABLE (patche je crois) on peut attribuer une application a une interface
En ce qui concerne le fonctionnement du VPN:
la plupart des application qui veulent se connecter a internet, font une demande sur l’interface logique 0.0.0.0, ce qui revient a demander a Windows : donne moi la première interface qui réponde (ou par défaut…)
boss50
incroyable… ca marche ton truc… sous win7 64bit / firefox 32 bit
j’ai des doute sur la portabilite sur une app x64 (mais why not)
pfff… incroyable ca fait 4 jours que je cherche, bon la solution est franchement pas très élégante, mais elle a le mérite de marcher, je te dois une fier chandelle!!!
la manip consistait a créer carrément une deuxieme table de routage!
il faisait une commande pour marquer les paquets en provenance d’une appli ou d’un port je sais pu et une autre commande qui disait genre si paquet marqué >> deuxieme table de routage.
il pouvait donc dissocier ainsi les routes par paquets en plus du range ip.
mais c’étais sous linux et oui avec iptables… donc pas bon
oui, si le pc n’est pas sur le meme reseau que l’ip a joindre et qu’il n’as pas de route statique il envoie ca à sa route par défaut
Le VPN se connecte via l’interface directe a un moment donnée (je ne sais pas comment on voit ca… ), je crois que par défaut Windows fait tout transiter par le VPN, donc voila…
Comme je l’ai dis l’interface logique 0.0.0.0 peut etre prise par plusieurs interface, celle qui repond la plus vite (ou qui est privilegie) passe d’abord, le piege c’est que si le VPN est down… je crois que windows switch direct sur la prochaine interface (celle du FAI) et la HADOPI et c’est le drame
Tu m’as trop aide ! tu peux pas savoir a quel point, et tu va en aider plus d’un je crois
Pour la ptite histoire… je commençais a être deseperer, j’étais près a acheter 4 Go de ram pour monter une machine virtuelle pour simplement gérer 2 interfaces… donc je te dois un verre :), le pire c est j’ai cherche en anglais sur google US… pff je m’en veux de pas avoir trouve
boss50
Je reviens vers toi afin de poser la question inverse :
Comment empêcher une application dutiliser une interface (typiquement je veux quuTorrent nutilise jamais directement linterface de mon FAI) ?
Jaimerai une solution native à Windows 7 si possible.
Je sais que Comodo firewall permet de faire ça (il a la notion dinterface réseau), mais ça membête dutiliser un tel FW pour faire simplement ça
On peut aussi utiliser l’observateur d’evenement et faire un Taskkill sur utorrent sur un evenement specifique (mais c’est gore et pas super efficace)
Jai un router Linksys WRT54GS (sous Tomato firmware), je pense quil devrait suffire (fermer les ports quutilise le P2P
) -> pour le moment selon moi c’est la meilleurs solution
donc au final tu va spécifier a firefox d’utiliser ton FAI grace a Forcebindip + interdire a utorrent d’utiliser la connection du FAI grace au pare feu windows ?
Je pensais a un truc, tu as un wrt54 donc un os linux dedans, tu as le firmware d’origine ?
Perso j’aurai tenté ca:
1 flasher le le routeur avec le firmware dd-wrt (qui contient openvpn)
2configurer le routeur comme client openvpn (jusque la rien de bien sorcier)
3 utiliser iptable pour rediriger le flux web sur l’interface wan (de la facon dont je parlais, marquer les paquets etc…)
Comme ca quelque soit le pc connecté au wrt54 wifi ou fil il aura la meme conf que ton pc
Enfin je dit ca parce que j’aime bien bidouiller mon routeur et ces aspects techniques du réseau m’intéressent mais ca ne t’es pas indispensable.
et pour le point 3 je n’ai jamais testé, j’avais juste suivi un thread pour qui cette opération avais fonctionné.
Mais je testerai bien voir si j’y arrive
Il est gratuit ton fournisseur de vpn ?
Edité le 02/02/2010 à 12:04
j’utilise vpntunnel.se à moins de 5 euros par mois (27euros/6mois), je ne connais pas de gratuit sous openvpn, mais peut etre qu’il en existe
J’utilise tomato firmware, je ne sais pas si il fournit cette option de VPN, dd-wrt buggé à l’epoque sur mon gs v1.1.
( EDIT: tomatovpn.keithmoyer.com… ) //visiblement y a un fork
En effet c’est une solution possible, mais qui est difficile à maintenir pour quelqu’un comme moi.
Je ne sais pas trop ce que je vais faire pour intedire le utorrent/FAI, faut que je test
Edité le 02/02/2010 à 13:50
Donc ton idée c'est de rediriger les ports P2P vers l'interface VPN du router ?
lol bein j’ai retrouvé une partie du thread que j’avais copié pour l’avoir de coté au cas ou !
vu que j’étais pas un As d’iptables à l’époque (toujours pas d’ailleur) j’avais copié ca:
de quoi te donner une piste
mais je serai toi je commencerai par flasher mon wrt54 en firmware dd-wrt, établir la connection vpn puis faire un “man iptables” sur google, et demander du renfort sur des forums accès réseau/linux. J’aime bien le form dd-wrt pour ca.
Hier soir j’ai testé avec tomatovpn.keithmoyer.com, j’ai mis un peu de temps à comprendre que la gestion utilisateur / mot de passe d’openVPN n’était pas encore implémenté dans la version du firmware!
Mais j’avais mal lu le billet de la release:
"This is just a bug fix release, so there are no new features included. Look forward to user/pass authorization in the next release… "
Donc j’attends avec impatience la prochaine release!
Edité le 03/02/2010 à 11:05
client
port 1194
dev tap
proto udp
; Cert
ca …\keys\ca.crt
ns-cert-type server
cipher BF-CBC
;Host
remote miranda.vpntunnel.se
resolv-retry infinite
;auth
auth-user-pass
persist-key
persist-tun
comp-lzo
verb 2
En theorie c’est franchement mauvais niveau sécurité d’avoir un login / mdp sur OpenVpn, vaut mieux une archi TLS avec un certificat et une clé client, mais bon, dans mon cas jmen fiche un peu
tiens bein pour ton routeur c’est pas aussi simple que le mien…(wrt54gl)
pour moi c’étais simple je n’avais pas de version VINT…
En fait toi c’est différent, ne prends pas n’importe quoi!
Selon le processeur et chip de ton routeur le firmware sera le type VINT ou pas.
De toute facon tu commencera toujours par flasher en mini(VINT ou pas) puis la version vpn(VINT ou pas).