VPN sur NAS en plus d'un VPN sur routeur de box : conseillé, inutile, déconseillé ou aberrant ?

[Dr Jerry]

Bonjour à vous,

Après avoir suivi l'excellent tutoriel de .Shad. sur la sécurisation du NAS, j'ai configuré un VPN WireGuard sur le routeur de ma box internet pour sécuriser mon réseau local. Deux raisons à ce choix de WireGard: la facilité puisqu'il est déjà intégré à la box avec un paramétrage simple à mettre en place et parce que sauf erreur de ma part, il semble être le meilleur compromis sécurité/débits.

Pour moi, le VPN sur la box suffisait à sécuriser tout ce qui était derrière lui sur le réseau local, mais j'ai lu qu'il était possible d'installer un second VPN sur chaque pc du réseau local et que ce second VPN pouvait emprunter le tunnel de WireGuard sans s'en préoccuper. L'article précisait que cela "doublait" la sécurité de la connexion, mais les raisons techniques n'étaient pas très accessibles pour le béotien que je suis. Le seul avantage qui paraissait vraiment acquis était la possibilité de ne plus afficher sa véritable adresse IP publique si on passait par l'offre d'un opérateur VPN (type NordVPN ou ExpressVPN).

Sachant qu'il est également possible d'activer un VPN sur le NAS, alors me vient une question de candide : est-il conseillé, inutile, déconseillé, impossible (voire aberrant) de configurer un second VPN sur le NAS derrière le routeur de la box?

Si c'est possible, quels sont les avantages et les inconvénients ? Et quelles sont les précautions à prendre éventuellement ? Tous les VPN sont-ils compatibles ou y a -t-il des associations qui coincent ?

Merci d'avance pour vos lumières.

 

[Mic13710]

il y a 4 minutes, Dr Jerry a dit :

le VPN sur la box suffisait à sécuriser tout ce qui était derrière lui sur le réseau local

Oui, inutile d'en rajouter.

il y a 5 minutes, Dr Jerry a dit :

j'ai lu qu'il était possible d'installer un second VPN sur chaque pc du réseau local et que ce second VPN pouvait emprunter le tunnel de WireGuard sans s'en préoccuper

Je pense qu'il y a confusion. Le VPN Wireguard sur votre box vous permet d'accéder à votre réseau local à partir du net. Là vous parlez d'un serveur VPN externe qui offre des services d'anonymat (qui n'engagent que celui qui y croit). Cette connexion n'a aucun rapport avec wireguard puisqu'elle s'établit entre un client (PC ici) et un serveur externe cad, à partir de votre réseau vers le net. Ce tunnel n'emprunte pas le tunnel wireguard qui lui fonctionne dans l'autre sens.

il y a 10 minutes, Dr Jerry a dit :

est-il conseillé, inutile, déconseillé, impossible (voire aberrant) de configurer un second VPN sur le NAS derrière le routeur de la box?

Vous pouvez très bien activer le serveur VPN du NAS pour servir de lien secondaire en cas de problème sur Wireguard (service de la box hs, perte de la clé ou autre..) Dans ce cas, vous pouvez passer par le serveur du NAS soit en OpenVPN, soit en L2TP/IPSec. Il n'y a malheureusement pas de Wireguard sur le serveur du NAS.

A titre perso, j'ai wireguard sur mon routeur depuis peu de temps, que j'utilise quasi en permanence sur mon PC et mon smartphone ainsi que pour une liaison site à site, mais j'ai conservé le serveur du NAS comme solution de replis si wireguard dysfonctionne.

[Dr Jerry]

Merci pour la réponse Mic13710,

Si je dois configurer un VPN sur le NAS, OpenVPN aura probablement ma préférence. S'il n'y a pas péril en la demeure, je regarderai cela plus tard. Je découvre les problématiques réseaux et sécurité, sujet vaste, complexe et ô combien passionnant. Je mesure cependant à quel point il me reste du pain sur la planche pour en comprendre toutes les subtilités.

 

[.Shad.]

Hello @Dr Jerry,

J'ajouterais que l'avantage d'avoir Wireguard sur le routeur, si l'implémentation est suffisamment bien faite, est que tu peux vraiment contrôler l'accès à tous les périphériques de tes réseaux locaux (tu peux en avoir plusieurs, réseau local, guest, IoT, etc...). Le seul défaut que je trouve à Wireguard est le manque de processus d'authentification, à dessein car les développeurs considèrent que c'est à un niveau supérieur que ça doit être réalisé (données biométriques, PIN, mot de passe, etc...). C'est un choix assumé de leur part, soit, en tout cas le soft est effectivement le meilleur compromis.

Concernant le tutoriel de sécurisation, n'hésite pas à personnaliser tes règles de pare-feu pour l'interface LAN de ton NAS, de base je propose d'autoriser toute la plage 10.0.0.0/8 (équivalent à 10.0.0.0/255.0.0.0), mais si mettons tu utilisais des IP de 10.13.13.1 à 10.13.13.254 pour ton serveur Wireguard, tu peux réduire la plage à 10.13.13.0/24 par exemple (10.13.13.0/255.255.255.0).