Distinguer deux réseaux locaux pour accès NAS distant

[lightman77]

Bonjour,

 

Bataillant depuis quelques temps et n'ayant pas pu trouver de réponses ici (malgré un super tuto de Fenrir) ou ailleurs sur le net, je me résout à ouvrir ce sujet que je soumets à votre sagacité.

 

J'ai un réseau hétérogène Mac / PC / iOS construit autour d'une Freebox derrière lequel j'ai mis un NAS Synology DS418j, fixé en 192.168.0.29 (DHCP avec bail fixe), parce que pourquoi pas.

 

Pour les accès distants, j'ai mis en place un serveur Open VPN AES 256 sur le NAS et mes appareils (via Tunnelblick sur Mac, app OpenVPN sur iPhone), à travers la Freebox.

Dans le certicat VPNConfig.ovpn se trouve l'IP externe de ma Freebox avec le port.

 

• 1er cas : accès local. Le NAS monte dans le Finder (en AFP ou SMB) ou bien via adresse 192.168.0.29 et tout va bien. OK.

 

• 2e cas : accès distant (hôtel ou au milieu de nulle part). A la connexion, TunnelBlick attaque l'adresse externe de ma Freebox qui se contente de faire passerelle et de rediriger le flux (TCP & UDP). Ça aussi ça fonctionne. Le trafic est bien routé.

 

• 3e cas : accès distant de chez quelqu'un qui a un réseau local similaire au mien. Là, ça ne marche plus.

La connexion VPN par TunnelBlick se fait bien, mais ensuite il faut monter les volumes du NAS. Finder menu Aller/Se connecter au serveur… "afp://192.168.0.29"… Marche pô !

Pendant un temps ça marchotait mais sans être très stable et sans que je comprenne vraiment pourquoi d'ailleurs.

Si je mets un iPhone en partage WIFI entre les deux ça fonctionne puisqu'on revient au cas 2.

 

Ce que j'imagine : l'ordi va chercher l'IP 29 sur le réseau local et ne va pas la trouver évidemment, puisqu'il faudrait qu'il la cherche sur le réseau "local" distant, celui qui est joignable à travers le VPN.

Cocher dans Tunnelblick "Router tout le traffic IPv4 à travers le VPN" ne semble pas être une bonne idée car ça rentrait invisible tous les appareils du réseau local dont les adresses IP sont identiques au réseau vu à travers le VPN. Enfin c'est ce que je pense.

 

Alors qu'est-ce que je fais mal ?

 

Note : L'idéal que je vise est que les appareils de mon réseau local personnel (qui est distant quand je ne suis pas chez moi) soit vu comme le réseau local, joint au réseau sur lequel je me trouve et dont je ne maîtrise pas la config, avec les volumes apparaissants automatiquement dans le Finder, à gauche de chaque fenêtre comme quand je suis chez moi, sans passer par Aller/Se connecter au serveur. Est-ce seulement possible ?

 

[.Shad.]

Tu veux dire que ton réseau local et celui depuis lequel tu te connectes sont tous les deux sur la même plage ?
Si c'est ça il suffit simplement de changer ton masque, de manière générale on évite de rester sur du 192.168.0.x et 192.168.1.x, c'est utilisé partout.

Par exemple 192.168.100.x ou 10.x.x.x, tu seras beaucoup moins embêté.

[lightman77]

Ça c'est de la réponse rapide !

Oui, puisque ce sont deux réseaux Freebox que j'ai mis en place moi-même, donc très similaires, pour toutes les plages internes en tout cas. Pour monter mon serveur NAS si partage de connexion 3G, je monte le serveur 192.168.0.29 même si je ne suis pas chez moi. Il me semble que c'est le but d'un VPN de "se croire" sur son réseau local. Ce n'est peut-être pas la bonne méthode du reste. C'est vrai que j'accède à mon NAS qui est là où j'arrive puisque c'est le serveur VPN mais pas à mon imprimante. Mais je m'égare…

Alors le masquage IP est peut-être la piste mais je ne maîtrise pas super bien. Tu le mets où le masque, sur quel appareil ? Sur le serveur VPN ? Le routeur ? Le poste client dans TunnelBlick ? Ça a quel effet ? Ça va translater les IP du réseau que je joins ?

Edit : si je me souviens de mes vieux cours, il faut faire un & bit à bit entre l'IP et le masque. => 192.168.0.029 & 192.168.100.000 = 192.168.000.029 (non c'est pas ça) !?

Modifié le 13 janvier 2022 par lightman77

[Jeff777]

il y a 27 minutes, lightman77 a dit :

mais pas à mon imprimante.

Bonjour, Tu as ajouté ton imprimante en imprimante réseau ? (panneau de config/périphériques externes/ imprimante)

[.Shad.]

@lightman77 Soit je n'ai pas compris ton problème, soit tu te compliques la vie pour rien.
Si ton réseau local est en 192.168.0.x et le réseau distant aussi, tu t'exposes nécessairement à des problèmes de routage.
Donc par exemple 192.168.100.0/24 (de 192.168.100.1 à 192.168.100.254) sur ton réseau local et 192.168.110.0/24 (de 192.168.110.1 à 192.168.110.254) pour ton réseau client. Les plages ne se chevauchent pas, et OpenVPN s'occupera de créer les routes nécessaires à ton client pour atteindre ton NAS et les périphériques de ton réseau local.

Assure-toi d'avoir coché la case autorisant l'accès au serveur LAN, pour que ton NAS ne soit pas seul accessible, mais aussi ton imprimante et tout autre périphérique dont tu aurais besoin.

[lightman77]

Le 13/01/2022 à 11:07, Jeff777 a dit :

Bonjour, Tu as ajouté ton imprimante en imprimante réseau ? (panneau de config/périphériques externes/ imprimante)

Info : mon imprimante est en IP 99.

Je n'ai pas de panneau de config sur mon ordi. Tu as mal lu mon post toi.

Le 13/01/2022 à 11:30, .Shad. a dit :

@lightman77 
Si ton réseau local est en 192.168.0.x et le réseau distant aussi, tu t'exposes nécessairement à des problèmes de routage.
Donc par exemple 192.168.100.0/24 (de 192.168.100.1 à 192.168.100.254) sur ton réseau local et 192.168.110.0/24 (de 192.168.110.1 à 192.168.110.254) pour ton réseau client. Les plages ne se chevauchent pas, et OpenVPN s'occupera de créer les routes nécessaires à ton client pour atteindre ton NAS et les périphériques de ton réseau local.

Assure-toi d'avoir coché la case autorisant l'accès au serveur LAN, pour que ton NAS ne soit pas seul accessible, mais aussi ton imprimante et tout autre périphérique dont tu aurais besoin.

Bon, d'après ce que tu dis, la passerelle qu'est le NAS ne ferait pas NAT. C'est dommage je pensais que ce serait le cas. Ce ne serait pas possible de faire une translation d'adresse au niveau du serveur VPN ? Attention, comme j'ai posé le VPN sur mon NAS (à travers la Freebox), cette dernière est en monde Routeur et PAS en mode Bridge. Pour anecdote, j'ai aussi tenté le VPN sur la Freebox mais je n'arrivais à rien d'intéressant. Bref.

Pour en revenir au sujet, tous les réseaux construits autour d'une Freebox sont en IP locales 192.168.x.x. Si je te comprends bien, il n'y a aucun moyen avec les réglages par défaut d'accéder à un réseau Freebox depuis chez quelqu'un qui a une Freebox !? Bon, soit. Tu vois j'ai des lacunes en réseaux. Etant donné que je me déplace chez plusieurs personnes de mon entourage qui ont des Freebox, ça signifie que je n'ai d'autre choix que de changer de plage IP chez moi. C'est bien ça ? Comme j'ai un réseau complexe qui tourne depuis 15 ans, je préférerais attendre des confirmations avant de tout modifier. J'ai un peu peur de tout déstabiliser aussi. Enfin…

Ensuite, tu me confirmes que les deux réseaux seront joints automatiquement une fois le VPN actif ? Le NAS fera passerelle ?

Merci pour le rappel sur l'accès au LAN à valider. Je l'ai fait du coup. Merci de ton aide.

 

Question subsidiaire : existe-t-il une syntaxe pour empiler des IP et accéder à un poste en particulier derrière un routeur ? Du genre afp://10.123.456.789/192.168.x.x ? Toutes mes tentatives ont échouées.

Modifié le 16 janvier 2022 par lightman77

[Mic13710]

Il y a 2 heures, lightman77 a dit :

Si je te comprends bien, il n'y a aucun moyen avec les réglages par défaut d'accéder à un réseau Freebox depuis chez quelqu'un qui a une Freebox !?

Toutes les freebox ont effectivement un dhcp par défaut en 192.168.0.0/24. Mais rien n'empêche (et je le conseille vivement) de changer cette plage pour justement éviter le genre de problème que vous rencontrez. En effet, si deux équipements ont la même adresse sur chacun des réseaux, il sera impossible de joindre l'équipement distant car l'adresse pourra être résolue localement. En changeant la plage, ce problème n'existe plus (ou alors il faudrait être peu chanceux pour se retrouver avec des plages identiques).

Ainsi, au lieu d'utiliser la plage par défaut, vous pouvez très bien utiliser par exemple la plage 192.168.140.0/24. ou tout autre valeur entre 2 et 254. C'est très simple à faire sur une Freebox. Attention toutefois de bien vérifier avant de modifier le réglage que tous les équipements du réseau sont tous en DHCP (surtout le NAS) et non pas avec une IP en dur sinon ces équipements seront inaccessibles après le changement !

[lightman77]

Il y a 2 heures, Mic13710 a dit :

Attention toutefois de bien vérifier avant de modifier le réglage que tous les équipements du réseau sont tous en DHCP. C'est très simple à faire sur une Freebox.

Merci de ta confirmation. Oui j'ai fait les choses proprement : toutes les adresses sont fixes mais fixées par le serveur DHCP. Mais très simple euh… Serveur DHCP OK c'est facile, ne pas oublier le mappage des ports aussi, mais ensuite il faut reconfigurer tous les softs, notamment les app DS Syno qui attaquent des IP locales fixes, peut-être re-générer les certificats (on verra), refaire les étiquettes sur les machines, mettre à jour les documents que je tiens à jour sur la topologie de mon réseau, et le pire (le pire ! ) : tous les hyperliens des fichiers Excel seront cassés bouh 😭 Non ce n'est pas anodin.

 

Bon quand même je continue de me demander, en langage très root s'il est possible d'associer un NAT au serveur VPN du NAS pour bridger deux LAN qui ont des plages identiques, dans le but de translater les adresses pour qu'elles soient vues de l'extérieur comme 192.168.100.x par exemple. Ce serait une solution très élégante si elle existe, non ?

P.S. : je viens de voir dans la doc Syno que le serveur VPN ne gérait pas le mode bridge pour les connexions site à site. Peut-être que la réponse est là !?

Modifié le 16 janvier 2022 par lightman77

[.Shad.]

Il y a 3 heures, lightman77 a dit :

Merci de ta confirmation. Oui j'ai fait les choses proprement : toutes les adresses sont fixes mais fixées par le serveur DHCP. Mais très simple euh… Serveur DHCP OK c'est facile, ne pas oublier le mappage des ports aussi, mais ensuite il faut reconfigurer tous les softs, notamment les app DS Syno qui attaquent des IP locales fixes, peut-être re-générer les certificats (on verra), refaire les étiquettes sur les machines, mettre à jour les documents que je tiens à jour sur la topologie de mon réseau, et le pire (le pire ! ) : tous les hyperliens des fichiers Excel seront cassés bouh 😭 Non ce n'est pas anodin.

Normalement, tu fais en sorte d'utiliser des noms d'hôte voire des FQDN pour accéder à tes périphériques, avec un résolveur local qui te permet d'avoir les mêmes adresses en interne et externe, simplement ça pointe soit sur ton IP publique ou une IP locale suivant l'origine de la requête.
Même si tu changes ta plage DHCP, dans ce cas-là tu as juste à modifier ton serveur DNS local.
Et peut-être deux/trois autres endroits où on peut juste entrer une IP et pas un nom d'hôte, mais c'est très limité.

[lightman77]

Il y a 14 heures, .Shad. a dit :

tu fais en sorte d'utiliser des noms d'hôte voire des FQDN pour accéder à tes périphériques, avec un résolveur local

Là par contre, on se heurte à mes limites. Question DNS je sais que mon réseau est perfectible car les DNS sont très confus pour moi pour l'instant. Je vais changer les IP dès que je peux, tester, et je reviendrai poster ici pour donner des nouvelles.

Pour l'heure il faut que je m'occupe de mon MacBook Pro dont l'un des deux disques durs internes (oui j'en ai 2) a lâché. Il faut que je le démonte, remplace par un 2 To et restaure à partir de l'image CCC qui est sur le NAS. A bientôt…

[lightman77]

J'avais promis de revenir pour clore ce sujet. Malgré le temps qui a passé, je le fais.

Après de nombreuses difficultés, le changement d'adresses sur mon LAN a été fait et la situation à peu près stabilisée (tous les clients doivent être mis à jour). Effectivement, la jointure des deux réseaux Freebox est maintenant fonctionnelle et stable.

Tout n'est pas résolu mais je procède par étapes pour ne pas partir dans tous les sens. Grace à vous, je monte en compétences et j'ouvrirai d'autres sujets prochainement.

Conseil pour tous ceux qui passeraient par là : vous n'obtiendrez pas d'aide de Free pour ces questions-là. C'est la consigne en interne. Donc, dans FreeboxOS, ne changez pas directement la plage DHCP dans Paramètres/DHCP au risque d'avoir un message d'incohérence de plage. Il faut en réalité changer l'IP du serveur Freebox dans Paramètres/Mode Réseau. Et tout le reste suis automatiquement. Voilà.

En plus, j'ai été fibré dans l'intervalle, ce qui donne toute sa dimension à l'accès à distance chez moi.

Merci à tous.

[MilesTEG1]

Bonsoir,

je viens juste vous dire que le protocole afp n’est plus supporté par Apple… ni mis à jour etc…

il est préférable de passer par smb qui fonctionne aussi sur macOS.

pour le reste du soucis, @.Shad.a déjà donné une solution qu’il faudrait essayer 😊

[alan.dub]

Pour rappel, SMB fonctionne très mal avec les app native Apple comme Pages, Numbers, Keynote and Co (message d’erreur à chaque tentative de sauvegarde).

Perso, à ce jour, j’utilise toujours AFP pour cette raison 🙁