Serveur Open VPN avec une freebox en IPv6 - Connexion impossible ?

[declencher]

Bonjour la communauté !

Ayant 2 NAS, j'ai réinitialisé mon ancien DS212 pour le transformer en NAS de backup distant. Jusque là rien d'anormal 🙂

J'ai configuré DSM, Hyperbackup, et VPN Server en local. Mon NAS maître a pu se connecter au NAS "distant" et la sauvegarde fonctionne bien, en local.

Je suis donc passé à l'étape suivante : installer le NAS "distant" à 400 km de chez moi dans un bunker sécurisé (chez ma soeur dans la cave 😂).

Le routeur distant est une freebox revolution en IPv6 :

• J'ai pu constater que le NAS était bien connecté à la freebox,
• J'ai pu attribuer au NAS une IP locale fixe,
• J'ai ouvert le port 1194 sur le protocole UDP (pour toutes les sources, puis uniquement mon IPv4 pour tester), j'ai redémarré la box.
• Chez moi, dans le fichier .ovpn, sur la ligne "remote REMOTE_ADRESS 1194", j'ai saisi l'ipv6 de la box distante.

Je n'ai jamais réussi à monter le VPN entre les 2 NAS, et sur le NAS distant, le journal des connexions n'indique aucune tentative.

Auriez-vous une idée pour me dépanner ou m'aider à investiguer ? Il y a peut être une syntaxe à répéter pour la ligne remote du fichier ovpn quand on cible une adresse IPv6 ? À moins que ce ne soit incompatible...

 

Edit 1 :

Je pense avoir trouvé mon erreur : en IP v6, l'ouverture de port est inutile, et l'IPv6 du NAS est accessible depuis le net par défaut. Je pense donc devoir de nouveau tester de la manière suivante :

• Activer le protocole IPv6 du NAS pour qu'il ait une IP attribuée,
• Activer le firewall de la freebox revolution,
• Modifier les règles du firewall du NAS pour interdire toutes les connexions sauf celle en UDP sur le port 1194.

ça vous semble correct ou j'oublie quelque chose ? Je ne pourrais pas tester avant quelques jours...

Modifié le 13 septembre 2021 par declencher

[Jeff777]

 

Bonjour,

 

Il y a 2 heures, declencher a dit :

j'ai saisi l'ipv6 de la box distante.

Première question : pourquoi vouloir utiliser OpenVPN en IPV6. Ce n'est pas parce que tu as activé l'IPV6 sur ta Freebox que tu ne peux pas utiliser l'IPV4. Heureusement car il y a encore des tas de sites accessibles qu'en IPV4.

De tout façon l'IPV6 de Free se sert de l'IPV4 pour exister.

Donc utilise déjà ton IPV4 ça fonctionnera mieux.

Maintenant si tu veux absolument utiliser l'IPV6 : est-ce que le pare-feu IPV6 de la Freebox est activé. Celui-ci bloque pas mal de requête et je ne suis pas certain qu'il laisse passer celles vers le port 1194.

Il y a 2 heures, declencher a dit :

en IP v6, l'ouverture de port est inutile

oui si tu n'utilises pas un pare-feu IPV6, mais là c'est peu-recommandé car tout passe. Il faut un routeur avec un vrai pare-feu IPV6 paramétrable (pas celui de la Freebox).

Par contre il est inutile de rediriger le port de la Freebox vers le NAS car une adresse IPV6 propre à un équipement (et non à un réseau comme l'IPV4) redirige directement sur l'équipement.

 

 

 

[declencher]

il y a 9 minutes, Jeff777 a dit :

Donc utilise déjà ton IPV4 ça fonctionnera mieux.

Salut,

Merci pour ta réponse. Comment récupérer l'IP publique de la box ? Je suis passé par le site mon-ip.com, et il ne m'indique qu'une IPv6. Par ailleurs, j'ai lu sur internet que free ne laisse plus la possibilité de refuser une IPv6 comme c'était le cas au début. J'en ai déduit que la box n'avait pas d'IPv4 et que la translation d'IPv4/IPv6 était faite par les équipements réseaux de Free...

Qu'en penses tu ?

 

Edit 1 :

Apparemment, la box a les 2 IP. Je regarde et confirme dès que possible. Si ça se trouve, c'est l'unique élément qui me manqué... Une IP v4 publique...

Modifié le 13 septembre 2021 par declencher

[Jeff777]

N

il y a 16 minutes, declencher a dit :

J'en ai déduit que la box n'avait pas d'IPv4

Non ta box à toujours l'IPV4.  Elle a IPV4 ET IPV6

il y a 16 minutes, declencher a dit :

free ne laisse plus la possibilité de refuser une IPv6

Ah oui. J'avais oublié 😉

il y a 16 minutes, declencher a dit :

Comment récupérer l'IP publique de la box ?

Ce n'est pas l'IPV6 de ta box qu'il te faut mais celui de ton nas qui héberge OpenVPN.

Tu peux trouver cette adresse sur ton nas dans panneau de config/centre d'info/réseau  tu prends l'adresse IPV6 publique (celle sans le fe80 en premier terme),  sans le /64 et tu la colles dans la config openVPN à la place de l'IPV4 (en gardant le port 1194).

Je viens de faire l'essai et ça fonctionne au moins en local.

Et si tu parles de l'IPV4 publique de ta box c'est comme tu as fait mais c'est l'IP de tout ton réseau Local (donc en particulier aussi celui de ton nas)

Modifié le 13 septembre 2021 par Jeff777

[.Shad.]

Pour compléter le message de @Jeff777, tu peux simplement utiliser le DDNS gratuit de Synology sur ton DS212. Ca te permettra d'utiliser une URL à la place d'une IP dans ton fichier OVPN, et cette URL pointera sur l'IPv4 de ta box (et donc de ton NAS) et sur l'IPv6 de ton NAS spécifiquement.

Tout est très dépendant des possibilités de configuration du pare-feu IPv6 de la box distante.
Si tu as moyen d'ajouter une règle pour ton NAS qui autorise le trafic en IPv6 sur le port 6681 (merci à @Jeff777) 6281, c'est bon.

Si tu es limité à devoir accepter ou refuser toute connexion IPv6 entrante, il est préférable d'utiliser l'IPv4 publique (si fixe) ou un DDNS ne renvoyant qu'une IPv4 pour éviter tout problème de connectivité.

Modifié le 13 septembre 2021 par .Shad.

[Jeff777]

il y a 38 minutes, declencher a dit :

Je suis passé par le site mon-ip.com

c'est curieux chez moi ce site occasionne un time-out. Essaie https://ipv6-test.com/ il te donnera ton IPV4 publique et d'autres info.

[Jeff777]

il y a 38 minutes, .Shad. a dit :

IPv6 sur le port 6681,

Tu piques ma curiosité. C'est quoi ce port ? 

[.Shad.]

il y a 11 minutes, Jeff777 a dit :

Tu piques ma curiosité. C'est quoi ce port ? 

Erreur de ma part, je voulais dire le port 6281 (pour HyperBackup), je corrige. 😛 

[declencher]

Salut,

Finalement, j'ai récupéré l'IPv4 et elle fonctionne au poil. J'ai tout de même activé le firewall IPv6 de la box car non activé par défaut, et j'ai contrôlé la bonne désactivation de l'IPv6 sur le NAS.

Je n'ai pas à ouvrir le port hyperbackup car il n'est activé que via le VPN. Donc un seul port d'ouvert, celui du VPN 😉

Merci les gars pour vos lumières !

[.Shad.]

Il y a 5 heures, bliz a dit :

j'ai eu des tentative d'acces depuis ce ddns alors qu'il n'était pas référencé ce ddns.

A ma connaissance, les attaques se font surtout sur des blocs d'IP, on ne t'attaque pas sur un domaine, sauf attaque spécifique ciblée.

[Jeff777]

@bliz Comment fais-tu pour avoir ce genre d'info? Je regarde les accès dans le journal de connexion du nas mais c'est beaucoup moins documenté !

[Jeff777]

Merci 😉 Je vais voir

[.Shad.]

Plus ça va, moins je comprends cette obsession de réduire le nombre d'attaques.
Ce qui est important c'est d'avoir une bonne porte blindée à sa maison, pas qu'elle soit cachée derrière des haies d'arbre, parce que oui, l'attaquant a un GPS, donc la deuxième option ne sert à rien.