Utiliser un VPN (iPredator ou équivalent) sur un routeur ?

Réseaux & telecom
1

Bonjour, suite à un internet de + en + “localisé”, les publicités deviennent parfois “énervantes”. Je parle surtout de propositions de rencontres de personnes habitants dans votre région. Par exemple les dernières publicités du genre:
[Photo supprimée]
J’ai alors essayé de comprendre comment ces “propositions” (commerciales évidemment…) arrivaient à me localiser.
Et en allant sur ce site (Géolocaliser son IP) , j’ai vu que mon adresse IP ne mène pas simplement à la ville ou je réside mais à 2 rues de chez moi.
En lisant l’excellent article sur le VPN iPredator, j’ai alors pensé m’abonner à un service de ce genre, pas forcement iPredator, et sans avoir besoin d’un service spécialisé “brouillage de pistes / pas de logs / 100% anonyme…” j’aimerai simplement masquer mon adresse postale au premier “rigolo” venu (evidemment ni la police, ni un vrai hacker n’aura de mal à remonter jusqu’à cette adresse, mais je n’ai aucune raison d’en arriver la).
Je n’ai pas qu’un seul ordinateur connecté à internet.
Explications (cliquez sur la vignette pour agrandir):
[Photo supprimée]
J’ai donc un accès internet par SFR (box), que j’amène sur mon routeur (WRT54G) en ayant configuré ma box en DMZ (pas de pare-feu). C’est le lien VERT.
Le routeur me gère un réseau local de 4 PC.
Les 4 PC sont visibles sur le réseau local.
Les PC 1 et 2 sont reliés en ethernet et ont une connexion à internet (lien ROUGE).
Le PC 3 est sur le réseau local (ethernet) mais n’a pas de connexion internet (lien JAUNE)
Le PC 4 lui se connecte au routeur par WIFI, réseau local et internet (lien BLEU)

  • J’aimerai savoir s’il est possible de paramétrer iPrédator ou un autre VPN pour que ce soit directement le routeur qui s’y connecte. Et si oui, comment faire ?
  • 2ème point, le PC 1 utilise une boite email chez mon FAI, donc il me sera impossible d’envoyer mes emails si je me connecte par le VPN. J’aimerai donc utiliser le second port ethernet de mon PC pour le connecter directement à la BOX (avec pare-feu cette fois), et forcer Thunderbird à se connecter par ce port uniquement alors que Firefox ce connecterai sur le routeur (et donc par le VPN).
    Les autres PC utilisant Yahoo (messenger/mail) ou MSN (messenger/hotmail) n’auraient pas de problème à passer par le VPN.
    Pour forcer Firefox et Thundebird à utiliser la bonne carte réseau, j’ai trouvé ce lien qui semble correspondre à mes besoins:
    ForceBindIP
    Je modifierai donc mon réseau de la manière suivante (cliquez pour agrandir):
    [Photo supprimée]
    Toutes les connexions et tous les paramétrages réseau resteraient inchangés.
    Seul le routeur devrait se connecter au VPN, alors que le lien NOIR supplémentaire (internet par FAI + parefeu de la box) m’apporterait le moyen de continuer à utiliser la boite email de mon FAI tout en utilisant le VPN pour le reste de mes utilisations.
    Sur le papier, cela m’a l’air très clair et simple. Il n’y aurait que 2 type de connexion internet (VPN et FAI), ForceBindIP n’aurait qu’à forcer les applications en fonction du paramétrage voulut. Le VPN serait géré de manière matériel (par le routeur) ce qui le rendrait donc totalement invisible pour les PC (tous sous WinXP) et m éviterai de modifier le paramétrage de chaque PC et de m’abonner à un accès VPN par PC.
    Dans la pratique, je ne sais pas comment paramétrer mon routeur pour qu’il s’identifie lui même au VPN.
    J’ai actuellement un firmware modifié (Firmware Version: v4.71.1, Hyperwrt 2.1b1 + Thibor15c) je m’en servait il y a longtemps pour créer un pont réseau en WDS, mais je n’en ai plus l’utilité, donc rien ne me retient sur ce firmware précis.
    Merci de votre aide.
    Topodoco
2

Pouarf, tu m’as donné mal à la tête :smiley:
En toute franchise, je ne sais pas si c’est réalisable ne connaissant pas grand chose de ton routeur. Donc je ne pourrai pas te donner de conseil sur le sujet.

Cela dit :

  • Les pub, tu en auras toujours autant! Même si géographiquement, elle ne sont plus valable. Elle ne vont pas disparaitre…
    Les bloquer depuis le navigateur me semble relativement plus simple :slight_smile:

  • Ton adresse IP n’est pas non plus visible de partout… Et ceux qui s’y intéresse et y ont accès facilement ne sont pas des “rigolo” a qui l’adresse serait utile… Tu peux aussi mettre un logiciel tout simple pour cacher ton IP au démarrage du poste (Un truc genre Hyde Ip)…

Ce que je trouve compliqué, c’est que tu veux faire passer ta LAN sur le VPN. Mais tu veux quand même laisser un PC connecter directement sur ta Box hors du VPN… Même si techniquement cela peut marcher, c’est pas simple ton affaire, surtout pour juste te protéger des “rigolo”, car comme tu l’as précisé, niveau sécurité ce sera pas top :oui:

En tous cas, passer derrière un proxy, ou un bon parfeu me semble plus pratique…
Faut voir le coté positif de mon message, il Up le sujet :wink:

Dvr-X
Edité le 08/04/2010 à 17:27

3

Tu peux faire tout ca. (le WRT54 il est trop fort ce routeur )

Tu peut meme te passer de brancher un cable en direct sur ta box !

ton routeur peut envoyer les connection du port utilisé par ta messagerie en direction de la box, et le reste en direction de son tunnel vpn.

En théorie tu peux le faire.

En pratique je ne l’ai jamais fait.

Si ca te dit on se met la dessus, mais faudra etre patient :stuck_out_tongue:

La premiere etape c’est de connecter ton routeur au vpn et de détourner tout le traffic en direction du tunnel…
donc que sa passerelle par defaut soit le tunnel… sans qu’il oublie que sa vraie passerelle par défaut c’est ta box :pt1cable:

C’est beau le vpn :stuck_out_tongue:

tu as déjà un acces à ipredator ?

4

Vous avez intérêt de détailler, moi aussi je veux suivre :bounce: :wink:

5

@ dr-x => Merci pour ta réponse. Évidemment les publicités ne vont pas disparaitre mais déjà ne plus être localisées. Pour éviter les pubs, j’utilise déjà Firefox (3.6) avec AdBlockPlus (pas encore essayé FlashBlock…). Pour les “rigolos” je pense qu’il est assez simple aujourd’hui d’obtenir une adresse IP sans trop se fatiguer… petit softs comme TCPView permet simplement de voir les IP qui sont connectées à son PC… (ok je peux en faire autant… mais je n’ai pas envie de surveiller tout ce qui passe sur mon ordi en permanence), donc une conversation MSN/Yahoo… permettrai déjà d’avoir l’IP d’une autre personne. Je suppose aussi qu’il en va de même avec tous les nouveaux sites “à la mode” comme chatroulette et compagnie. Autre manière très simple à mon avis… ouvrir l’entête d’un email… l’expéditeur y a laissé son IP. Alors oui, je suis sensé écrire à mes connaissances… mais il suffit d’un virus… ou d’un accusé de réception sur un spam… et hop mon IP est dans la nature… bref j’aime pas ça…

@ boss50 => Merci aussi pour ta réponse. Actuellement j’ai cette idée en projet. Je pense que c’est faisable, surtout avec ce genre de matériel plutôt débridé, mais je n’ai jamais fait. J’ai déjà exploré quelques fonctions intéressante de ce routeur + firmware “alternatif” mais je ne suis pas du tout “pro” en réseau, ni même en lignes de commandes linux. Pour le moment, je me renseignait sur la faisabilité de la chose. Tu semble bien sur de toi et ça me réconforte :D. J’accepte avec grand plaisir toutes les informations utiles et pertinentes me permettant d’arriver à réaliser ce projet (défit ?). Je n’ai pas d’accès à iPrédator et comme mentionné + haut, je ne suis pas “figé” sur iPrédator. Un autre VPN peut très bien faire l’affaire (problème de paramétrages/compatibilité avec le firmware du routeur… PPTP, OpenVPN ou SSL…). Mon routeur aussi est aujourd’hui sous firmware Firmware Version: v4.71.1, Hyperwrt 2.1b1 + Thibor15c[/url] parce que j’avais mis en place un pont WDS (qui aujourd’hui n’est plus en fonction) mais je peux très bien flasher le routeur avec un autre firmware + adapté. Ma version exacte du routeur est un WRT54GL v1.1 d’après ce lien [url=http://fr.wikipedia.org/wiki/WRT54G]wikipédia (mon numéro de série commence par “CL7B”.
Donc en résumé:

  • merci pour ta réponse rapide et très encourageante
  • je suis ouvert pour toute proposition de changement de firmware pour le WRT54GL v1.1
  • je n’ai pas de VPN actuellement et peut choisir (en restant dans une gamme de prix “correcte”) un VPN facilitant le paramétrage du routeur
  • je suis obligatoirement derrière la BOX (pour la téléphonie), sinon je n’aurais rien contre un modem ethernet… mais pas possible dans ce projet.
  • je ne suis pas un “pro” linux / lignes de commandes (et si possible, j’aimerai rester sur un firmware avec interface graphique)

Quels sont les choix “imposés” par ma demande ?
Quels sont les choix à faire ??
Quel paramétrage me permettrait d’arriver a cette fin ?
Est ce que je devrait changer qqch que je n’ai pas encore prévu ?

Encore merci pour vos réponse !

EDIT:

  • je peux très bien me passer du pont entre la 2eme carte ethernet du PC et la box ainsi que de ForceBindIP si une autre solution propose un résultat équivalent
  • je ne serais pas la ce weekend… désolé pour le retard sur les prochaines réponses.
    Edité le 08/04/2010 à 21:51
6

Probablement faisable… mais pas dans sa version standard… en standard comme 99% des routers grand public il ne fait que du pass-through.
mais je pense qu’avec le DD-WRT il peut très bien le faire to VPN :slight_smile:

7

De quel choix tu parle ?
Le choix du fournisseur de vpn ?
Heu bein moi je ne te répondrai pas ^^
Je ne te préconiserai rien,
Je ne veux pas m’engager à mettre en place un truc,
Je suis dispo à t’aider pour faire ce que tu demande avec ce que tu as.
Je me dédouane de toute responsabilitée :stuck_out_tongue:

Ce que j’avais en tete c’étais d’utiliser “iptables” pour faire passer les paquets par ta connection Box.

Pareil lol je m’engage pas :stuck_out_tongue: J’essaie ^^
J’espere juste que le firmware du routeur acceptera les commandes que je veux lui faire.
Mais je vais tester sur le mien pour voir.

8

Bon bein le wrt54 prends bien les commandes necessaires… Y a plus qu’a tester ^^

9

Tout d’abord, merci Boss50 pour ton aide !

Je ne te demande pas de choisir pour moi, mais plutôt de choix technique que MON “problème” impose.
Je n’ai jamais travaillé avec un VPN et je ne suis pas un pro des lignes de commandes donc IPTable et le reste, je ne connais pas… c’est pour cela que je demande s’il y a des choses qui seront “nécessaires”.
Par exemple, j’ai vu qu’il y a plusieurs systèmes de connexions pour un VPN, est ce que le fait de vouloir utiliser mon routeur pour m’y connecter, m’impose un "type " de VPN ? Si oui, lequel ? (je n’y connais vraiment rien mais je veux bien essayer d’apprendre).

Pour ma box, je ne pourrait rien y changer (ou surtout pas envie de la modifier… elle appartient à mon FAI et je n’ai pas envie d’avoir d’ennuis… par contre coté routeur, je peux changer le firmware et les paramètres sans contraintes (dans la limite de la compatibilité de ce dernier avec le firm proposé et mon réseau actuel).

Comme déjà signalé, je m’interroge sur la faisabilité de la chose, ainsi que sur les avantages/inconvénients/limitations… qui en découlera. Je ne te demande pas de me fournir un système tout finit en ayant choisit chaque détails, mais simplement des explications et de l’aide pour le mettre en place moi même.

Merci ! Je suppose que tu as testé sur un routeur WRT54G… je suppose donc aussi que tu en as un et qu’il tourne sous dd-wrt d’après tes commentaires. Je peux mettre dd-wrt en place sans soucis (enfin ça ne me gène pas, techniquement je pense que ça devrait passer aussi… sauf si mon firm refuse de flasher avec un firw différent… mais je ne pense pas). Est ce que cela serait utile ? Mon firm actuel n’était mis que pour une raison simple qui était mon “pont WDS” qui ne sert plus… donc aucun soucis perso pour passer sur un autre firm… dd-wrt me semble même + suivit et peut être sera-t-il même meilleur.

Pour ce qui est du fonctionnement, peux-tu stp m’eclairé un peu sur la manière dont tu imagines faire fonctionner cela ? Faut-il raccorder mes 2 ports ethernet au routeur ? Vais-je utiliser qu’un seul ports et y faire passer les info pour le VPN ainsi que les autres ? Comment choisir si je passe sur VPN ou pas ? Que se passe-t-il si le VPN ne fonctionne pas ? est ce que je serais raccordé à internet sans savoir que je ne passe plus par le VPN ? Serais-je déconnécté d’internet parce que le VPN ne repondra pas ? Si déconnection, est ce que j’aurais la possibilité de juger utilie de passer en “direct” (sans VPN le temps que ce dernier revienne à la normale) ? Toutes ces manip ne me gènerons pas trop (du moment que le VPN ne plante pas 3x/j mais ça seul le VPN sera a remettre en question) par contre mon père et mon frère, eux ne seront pas capable de realiser ce genre de manip… donc serait-il possible de creer des regles ?
Comme par exemple si le VPN est en panne:

  • le PC1 garde la connexion directe à internet pour les logiciels choisit (Thunderbird…) mais les autres passant par le VPN sont déconnecté d’internet jusqu’au retour à la normale ? Et possibilité de “forcer” (de maniere simple et rapide… peut etre un profile dans le routeur… ou un fichier BATCH sur le PC ??) l’accès à internet pour les ligiciels passant habituellement par le VPN ?
  • PC2 et PC4 passent alors directement sur la connexion classique (sans VPN) sans poser de question. Retour sur le VPN dès que ce dernier est à nouveau actif ou si pas possible, dès le prochain redémarrage du PC ?

Qui gèrera le VPN et les choix réseaux ? si possible j’aimerai éviter de modifier les paramètres des 4 PC, mais plutôt gérer cela a partir du routeur (+ facile à remettre en place si remplacement ou ajout d’un pc ou si simplement un PC plante et que je soit obligé de réinitialisé la bécane). Si les paramètres sont gérés par le routeur, est il possible de voir les règles “simplement” ? je n’aimerai pas trop que ces paramètres soient cachés au fond de la ram du routeur et se perdent lors d’une panne de courant ou simplement que certain paramètres deviennent obsolètes et que je ne retrouve plus la manière de les supprimer/modifier/mettre à jour.

Encore merci pour tout !

10

mdr ca fait beacuoup de question tout ca ^^

alors pour les news, j’ai exploré un peu plus la chose, j’ai trouvé des périodes d’essai de fournisseur vpn
(its hidden et ipjetable.net)
ils utilise des connection pptp sur le meme principe qu’ipredator, et en fait …j’en chie grave mdrrrr
aucun probleme pour connecter des pc windows et linux mais le client pptp du dd-wrt c’est pas la meme histoire :paf:

bref je suis dessus et la je fait un peu du surplace grrr (faut dire que sur la conf des serveurs pptp c’est zero infos et le client pptp dd-wrt je sait pas d’ou ils l’ont sortit mais ca correspond a rien dans le monde linux alors que c’est un linux qui tourne sur dd-wrt)…

je m’arrache un peu les cheveux mais sans ca ce serai pas drole ^^

Je vais essayer de répondre a tes question mais pour l’instant je suis à l’étape 1, on y est pas encore :stuck_out_tongue:

ton dd-wrt va faire tout le boulot, c’est lui qui va voir sur quel port les connections sont dirigées.
chaque application utilise des ports spécifiques.
selon le port utilisé le dd-wrt va diriger les paquets dans le tunnel ou bien vers la box.

non un seul cable ethernet, normal quoi :slight_smile:
c’est le dd-wrt qui s’occupe de tout.

Oui

Dans un premier temps:
Configuration fixée. On définit quels applications (enfin par leurs ports) passeront par le vpn et lesquelles sortiront en direct.
Après on pourra voir si on peut faire plus que rediriger selon le port. Mais la par contre pas sur du tout.A voir après.

très bonne remarque ^^ (tu me rajoute du taff pour après lol)
bein il faut que le dd-wrt arrete son boulot de filtrage et revienne a la normale. (pas bien dur a mettre en place)

pareil c’est du boulot en plus lol oui a la base tu ne serai prevenu de rien
mais encore une fois on peut très bien faire en sorte d’avoir un voyant vert sur le bureau quand ton traffic est protégé et un rouge quand il ne l’est plus mais bon, pour moi c’est secondaire ce n’est pas tellement la partie qui m’intéresse, mais c’est tout a fait faisable.

répondu une question au dessus :slight_smile:

répondu deux questions au dessus.

Bein eux ils n’ont rien a faire. Toi non plus d’ailleur. Le dd-wrt s’occupe de tout ti tocupe di rien.
Mais ont peut très bien appliquer ces règles aux paquets ip ayant pour source l’ip de ton pc uniquement.

repondu 6 questions au dessus :stuck_out_tongue:
un script qui tourne sur le routeur.

Oui ce sera juste des commandes en démarrage du routeur.
tu les supprime quand tu veux depuis la page web tu reboot et adios la conf…

Bref il ya encore du chemin et je suis bloqué à l’étape…1 lol
Jte tiens au jus :stuck_out_tongue:

EDIT: Ah bein étape 1 passée… il fallais mettre mon mot de passe entre guillemets…(deux jours que je captais pas)
Edité le 12/04/2010 à 21:30

11

Voila, encore merci pour tout !

Donc j’ai pensé à passer du point 0 au point 1:

Mettre mon WRT54G en dd-wrt !

mais en allant sur le site dd-wrt, j’y trouve de nombreuses versions rien que pour mon WRT54GL v1.1

saurais-tu me dire lequel je devrait installer ?

le lien

[Photo supprimée]

Bon j’ai vu ici qu’il faut passer par une mini ou micro avant de flasher en VPN ou Standard Ensuite j’ai bon si je mets une VPN ? ou la Standard à l’air + utile ?
Je vais déjà essayer de passer en “Mini-Build required for inital flashing via WEB dd-wrt.v24_mini_generic.bin”, j’espère ne pas le planter… merci pour toutes tes infos et tout tes essais ! Tu es vraiment très sympathique !
A+ pour le passage à l’étape 1 !

12

met la dd-wrt.v24_mini_generic.bin d’abord ensuite passe en VPN Generic dd-wrt.v24_vpn_generic.bin

C’est sur celle la que je suis.
Edité le 13/04/2010 à 15:52

13

bon ça c’est déjà un début… je suis en “Mini-Build required for inital flashing via WEB dd-wrt.v24_mini_generic.bin 2009-10-10 2,95 MB”

[Photo supprimée]

je passe sous VPN tout a l’heure… si pas de complications…

EDIT: “tout à l’heure” est passé ! J’y suis ! WRT54GL v1.1 en Firmware dd-wrt version VPN !

A bientôt pour de nouvelles aventures !

PS: encore merci !

EDIT2: Pour ceux qui pourraient être intéressé, les différences entre les firmware dd-wrt sont visibles ici: http://www.dd-wrt.com/wiki/index.php/What_is_DD-WRT%3F#File_Versions
Edité le 13/04/2010 à 19:48

14

UP ? :paf:

PS: j’ai paramétré les règles d’accès à internet de mon routeur avec ce nouveau firmware !
tout à l’air de bien fonctionner…
comment connecter le routeur au VPN ?
et comment créer les règles pour passer par le VPN pour certaines applications et pas d’autres ?

15

salut,

je suis toujours dessus, j’ai un probleme avec la liaison vpn que je galère à résoudre la…

des fois ca connecte des fois non… et le truc chiant c’est que le routeur ne me genere aucun log venant de l’appli pptp/pppd.

Je continue mes test, je te tien au courant.

pour connecter le routeur au vpn tu as soit l’onglet vpn dans services, soit la configuration du port wan depuis la page de setup.

mais bon, la configuration depuis la page web c’est pas top, tu utilise des parametres pré-choisi alors que le logiciel pptp offre beaucoup plus de fonctions.

moi j’y vais directement en ligne de commande, tu active telnet ou le ssh et tu le configure en ligne de commande.

16

OK, merci pour ton aide !
Pour les paramètres, je préfèrerai rester en “page web” pour une seule raison: c’est “visible” et on peut le créer/modifier/supprimer “simplement”. Je n’ai pas envie de faire une erreur et d’ouvrir qqch qu’il ne fallait pas… ou créer une règle qui va s’oublier au fond du routeur et qu’un jour en voulant changer de fournisseur VPN ou autre je laisses des règles inutiles en place.
Pour tout passer en ligne de commande, je veux bien le faire mais il faudra que tu m’expliques un peu +.
Mais ce qui m’intéresserai surtout c’est de savoir retrouver mes “règles” tapées à la main, comprendre à quoi elles servent, pour pouvoir les modifier, les annuler ou en créer d’autres…

17

tout ce que tu fera en ligne de commande de toute facon perdu apres le reboot du routeur.

c’est pour ca qu’après avoir trouvé la bonne configuration on la colle dans l’interface web pour qu’il la stock en dur et depuis l’interface web tu pourra voir tes regles / les modifier/ les effacer.

mais pour trouver la bonne conf il vaut mieux passer directment par ligne de commande.
tu sais exactement ce que fait ton routeur… liste des processus… log… config réseau etc…

une fois que c’est rodé on met ca en dur pour que ca reste après un reboot.

18

ok merci !
je pensais qu’une ligne de commande était enregistrée au même titre qu’un paramètre sur une page web, sauf qu’on ne la voyait pas parce qu’il n’existe pas de page le permettant…
Donc si je comprends bien les lignes de commandes servent uniquement pour test. Cool !
Merci encore pour ton aide.

19

UP ?

ça bloque à quel niveau ? tu as déjà réussit qqch ? mon ami Google peut peut être m’aider à trouver (une partie de) la solution ?

:hello:

20

oui j’ai bloqué mais je suis toujours dessus, je post sur les forum du monde entier lol

Déjà le probleme avec les fournisseur d’acces gratuit c’est que j’étais deconnecté régulièrement (du a la période d’essai)
donc pas pratique du tout pour mes tests.

Donc comme je suis en liaison pptp avec la maison de ma mere et que cette connection est stable, j’essaie de faire la meme chose (faire passer certains ports sur sa connection internet).

J’ai pas mal avancé, le wrt54gl semble etre a la hauteur j’ai encore quelque truc a voir avant d’etre bloqué ^^

Je te tiens au jus.