Sécurisation de base d’une connection openvpn

I – Introduction

Récemment j’ai lu un article qui m’a rappelé qu’en 15 ans il y avait toujours aussi peu de gens qui prenaient à coeur la sécurisation de leur PC et de leurs connections. Autant vous dire que pour un ancien ( oui je suis un vieux con … non non ça fait pas mal 😀 ) c’est dur à avaler.

Dans cet article, l’auteur ( qu’il me pardonne d’avoir oublié son nom ) démontrait avec aisance combien il était facile d’accéder à des ressources partagés ( houla tention là on attaque du langage technique … oui c’est dur je sais ) sur un proxy/vpn mal réglé.

Tout d’abord une petite précision utile. Le vpn existe depuis des lustres sur les ordinateurs. Il servait à l’origine pour sécuriser les liaisons inter-entreprises.

Ce n’est que depuis l’avènement des lois comme l’IPRED en suède ou la Hadopi en France ainsi que les divers censure dans des pays au charme touristique indéniable mais agrémenté d’une dictature féroce ( la Tunisie de Ben Ali, L’Égypte d’Hosni Moubarak, le Libye de Kadhafi ( du temps où notre bien aimé président voulait lui vendre des avions et des centrales nucléaires ), la Chine, l’Iran, que des coins qui rendrais un adorateur de l’uniforme heureux), que son usage a été détourné pour masquer notre Ip d’origine et nous faire changer de juridiction.

On lui a ajouté un proxy permettant ainsi ce changement d’IP.

Pour ceux qui débutent, il faut bien comprendre que tout ne fonctionne pas au top nickel et que ce que vous trouvez sur le marché est récent, et comme pour une voiture qui vient de sortir forcément ça déconne parfois et les premiers clients essuient souvent les plâtres ( pour les plus anciens rappelez vous de l’arrivée de free dans l’ADSL et tout le « bonheur » que ça a été ). Sans compter que certains fournisseur ne prennent pas forcément en compte la sécurité de leurs client ( eh oui tout les fournisseurs de vpn ne sont pas des anges ).

Du coup  il y a un minimum du minimum à respecter en matière de sécurité sur nos machines pour éviter que nos données personnelles que nous partageons sur notre réseau domestique ne se retrouve exposé à la vu de tous les utilisateurs utilisant les VPN ( eux non plus ne sont pas tous des saints ).

Allez trêve de bavardage, rentrons dans le vif du sujet.

II – On sort la clef de 12 et on se met au boulot

Ah là je vois que ça flippe un brin, ça mouille son slip, et ça commence à transpirer … relax c’est pas grand chose à faire.

Let’s Go

1- On commence par accéder aux cartes réseaux ( je vais devoir être général, la façon d’y parvenir variant d’un windows à un autre je vous renvoi à un bon moteur de recherche pour y parvenir ).

C’est là ou se trouvent tout ce qu’il faut pour régler votre carte réseau, wifi, connection pptp et … celui qui nous intéresse. Généralement il se nomme connection au réseau local 2 avec inscrit en dessous TAP – win32 Adapter …

2 – Vous allez dessus, vous cliquez avec le bouton droit et vous demandez les propriétés.

Vous risquez de constater que tout est coché ( relisez l’intro et vous comprendrez pourquoi … c’est un private network … réseau privé … donc pas réglé pour l’usage que nous en faisons ).

3 – vous décochez tous comme sur l’image suivante :

Vous cliquez sur OK et c’est bon. Plus personne du vpn n’aura accès à vos dossiers et imprimante partagés de votre machine.

Vous voyez c’était pas dur.

Bien sur n’oubliez pas d’avoir un antivirus bien à jour et un firewall bien réglé, n’oubliez pas aussi de vous pencher sur les réglages de votre navigateur qui lui aussi peut moucharder ( huuuum mon petit chrome que j’aime que tu m’espionnes et les petits javascripts et autres joyeusetés sympa ) si vous voulez vraiment être sur d’être suffisamment anonyme sur le net.

N’oubliez jamais, la sécurité sur internet ça commence par son PC.

Allez la prochaine fois je vous montre comment on monte un processeur avec une masse ! 😀

Bon vpn et bon surf

spiritstm

Share

Vpntunnel en rade, les soluces !

Attention: VPNTunnel est un VPN déconseillé par le blog du VPN. L’ article qui suit n’est plus à jour

On vous conseille de choisir Private Internet Access qui est le meilleur des remplaçants de VPNTunnel:

  • NO Logs
  • Logiciel de connexion
  • Petit prix

On voulait faire un petit bilan « problèmes de connexion » qui se posent depuis le 28 Juillet chez VpnTunnel

Comme vous l’ avez sans doute remarqué il est quasi impossible de se servir pleinement de l’ OpenVPN proposé par ce serveur Suédois très réputé et répandu.

Le 28 Juillet la plupart des serveurs étaient down, la nouvelle a fait une trainée de poudre. Nos visiteurs ont doublé ce jour là, rien que pour trouver une solution ou dire leurs mésaventures. On tenait à souligner la maturité et l’ intelligence des utilisateurs de ce VPN. Aucun commentaire agressif, une volonté de dire et d’ aider la communauté (spécial Merci à spiritstm, T411, Fabrice, frankboutc, Dave, Eric L, Mnkop, lorenzo, …) sur l’ article: http://www.vpnblog.net/vpntunnel.se-openvpn-2.0.0/ qui devait annoncer les bonnes nouvelles de VpnTunnel !!!

VpnTunnel communique (peu) sur le sujet via son blog http://blog.vpntunnel.org et via le mail de son support: support@vpntunnel.se. Ne cherchez pas à aller sur le blog ou le site une fois connecté au vpn car cela ne marche plus !

En attendant le retour plein et fonctionnel de VpnTunnel et pourquoi un client V0.2 au top, ils existent quelques solutions pour Windows et Linux

  • Avec le client V0.1

Le serveur US marche. C’est le moins intéressant car si vous avez besoin d’ une IP USA pour surfer il existe d’ autres VPN gratuits qui feront l’ affaire dont le bon (que l’on vient de découvrir) https://www.shieldexchange.com/

Au moment d’ article, les serveurs DK – DE et NL ne fonctionnent pas (chez nous). Pour le SE (Suède) vous mettez Choose random server dans le client et essayer autant de fois de vous connecter. Le (SE04) est OK

Il n’ y a pas de raisons que le serveur Suédois plante mais on vous conseille de bien utiliser le connection guard au cas où !

Si vous avez besoin d’ un VPN suédois (avec logiciel préconfiguré avec connection guard) sur les trois prochains jours le temps que les choses rentrent en ordre, on a toujouts des comptes gratuits chez Privatevpn. Il vous suffit de me les demander sur ce fil.

Note: Le futur V0.2 ne marche qu’ aux USA

  • Avec l’ OpenVPN standard: open-2.1_rc20-install.exe

Vous pouvez aussi passer par le logiciel Openvpn. Dans votre Control Pannel il existe l’ onglet Software où se trouve le Classic client: open-2.1_rc20-install.exe (If you want to use the classic VPN client GUI for Windows ….)

Seul le serveur Suédois fonctionne et du premier coup. Par contre pas de Connection guard. Il existe en logiciel tiers l’ ex-VPNCheck: VPNCheck-Pro pour les plus geeks

Attention: Si vous utiliser les fichiers de configs manuels des serveurs DE – DK et NL ces derniers se connectent mais l’ IP est toujours de votre F.A.I Dans tous les cas vérifiez toujours votre IP après une séquence de connexion complète grâce à un site comme: http://www.mon-ip.com/

On a tout à fait conscience que ce post sera vite dépasser dans quelques jours. Mais on tenait à vous apporter un article dédié à ce problème pour pouvoir échanger et communiquer. VpnTunnel a déjà eu à notre connaissance ce problème (mais moins long) dans le passé. Si vous voulez modifier cet article ou ajouter une info alors contacter nous via notre formulaire http://www.vpnblog.net/formulaire-contact-blog-vpn/ et on éditera au cas où

Share

Exclusivité VPN: Le nouveau client VPNTunnel.Se V 2.0 en test

Attention: VPNTunnel est un VPN déconseillé par le blog du VPN. L’ article qui suit n’est plus à jour

On vous conseille de choisir Private Internet Access qui est le meilleur des remplaçants de VPNTunnel:

  • NO Logs
  • Logiciel de connexion
  • Petit prix

VpnTunnel, leader des VPN Suédois LowCost, va sortir dans les prochains jours son nouveau client OpenVPN intégré en version V 2.0 , un nouveau client OpenVPN qui apporte son petit lot de nouveautés et d’ améliorations. Le prix est toujours le même: 5 €/mois

On remercie VpnTunnel de nous avoir fournit deux comptes pour essayer ce client V 2.0

L’ apparence général a changé

Mais les serveurs sont identiques

Et le Connection guard est toujours présent

Les vrais nouveautés sont dans l’ onglet (Settings)

Outre les options de démarrage, d’ infos utilisateurs sauvegardés on retrouve:

  • Une option proxy
  • Une connexion pour ceux qui sont bloqués par un firewall
  • Une option Change IP (5 et 30 minutes).
  • Additional commandine parameters: c’est l’ option qui nous intéresse le plus. Visiblement des scripts pourront modifiés les commandes du client

Bilan rapide:

On retrouve pour l’ instant deux bugs qui existent déjà dans la version V 1.0: – une application qui lance Internet Explorer ne marche toujours pas ! – Impossible de surfer via FireFox même si le client n’est pas connecté, il faut encore quitter complètement le client

Pour l’ instant l’ OpenClient étant en phase de développement, on a donc pas pu le tester pleinement:

  • Le Connectiong behind a firewall ne laisse le choix qu’ à un serveur US
  • Le proxy ne marche pas

On vous a fait une capture du client d’ HideMyAss pour vous montrer une connexion VPN avec un Proxy. Dans notre cas notre IP d’ origine est celle du proxy: situé en Colombie. La connexion sécurisée se situant en dernier sur les serveurs de VPNtunnel (on reviendra dans un prochain article sur les Proxy)

  • Néanmoins le NetStats est sympa

Vos souhaits (et les nôtres)

C’est le moment de nous donner vos envies, vos options que vous voudriez avoir sur ce client v 2.0. Vpntunnel est le VPN le plus utilisé par les lecteurs du blog, c’est le moment de donner vos idées (que l’ on transmettra bien entendu)

Nos desirata:

  • Un Speed Guide qui calcule les meilleurs Ping et Vitesses
  • Des liens vers les sites de Streaming qui géolocalisent les utilisateurs (Hulu, NetFlix), qui en limitent le nombre (JustinTV), ou Youtube (SmartBoost)
  • Un OpenClient avec traduction (dont Français)
  • Un onglet qui rappelle le PrivacyPolicy/Tos suivant les serveurs
Share

Astrill sur routeur DD-WRT

Lorsque le blog du VPN test un « réseau privé virtuel » 😳 on a toujours une petite appréhension au moment de l’ installation sur notre routeur WNR 3500 L. Et encore cela c’est grandement amélioré depuis l’ année dernière…. foutu script !!!

Astrill nous a plus que surpris, c’est tout simplement l’ installation la plus simple, la plus rapide qui existe en ce moment. La modification apportée à l’ interface du firmware DD-WRT est d’ ailleurs à explorer par les autres fournisseurs de VPN

Il vous suffit de lancer le logiciel OpenVPN d’ Astrill, de cliquer sur l’ onglet Help puis de choisir Switch to expert => DD-WRT Setup

Vous cliquez sur Next

C’est aussi simple que cela !!! Le routeur n’est même pas à rebooter !!! Il vous suffit juste de rentrer votre login et password à l’ adresse locale: 192.168.1.1 pour voire la modification et l’ installation

Le plus intéressant est cette modification (mineure) de l’ interface du routeur avec une  » My Page » où vous pouvez configurer Astrill.

Les options sont simples: liste de serveurs (utiles pour les switchs – il faut néanmoins de déconnecter) – Serveurs où les applications P2P sont autorisés (ne vous fiez pas à cette liste car la France y est inclus !! – Il faut toujours choisir la Hollande ou la Suède) – VPN Mode: permet de faire passer via le VPN les sites internationaux ou tous les sites (même locaux). En fait comme on vous le montrera dans notre test d’ Astrill, ce VPN est particulièrement tourné pour les pays qui censurent internet comme la Chine.

Le seul défaut est l’ absence de connexion guard pour les applications. Le même défaut sera souligné sur l’ application OpenVPN

Pour le reste c’est du tout bon !!!

Share

Comment utiliser les réseaux sans-fil de façon un peu parano !

On vous publie en intégralité l’ article (Comment utiliser les réseaux sans-fil de façon un peu parano !) d’ un nos confrères, le blog eglis, sur l’ utilisation des réseaux sans-fil. On remercie Charles de nous avoir donné l’ autorisation de cette publication. Un article technique mais les lecteurs du blog apprécieront. 😀

Il y a quelques années, quand j’ai acheté mon premier portable, les réseau sans-fil était tout neuf. Personne ne les sécurisait, le wardrivin’ était à la mode dans mon entourage. J’avais même volontairement laissé mon wifi ouvert afin d’espionner mes voisins qui décidaient d’utiliser ma connexion internet. En faisant cela, j’ai réalisé ce qui se passe quand on ne contrôle pas notre dhcp et/ou notre gateway vers internet. C’est à ce moment que j’ai décidé d’encapsuler mes communications dans un tunnel VPN. J’ai essayé plusieurs technologies: IPSEC, CIPE, pptp, des tunnel SSH bidon, mais rien n’était satisfaisant, souvent trop de manipulations à faire à chaque fois qu’on se connecte. J’ai longtemps utilisé CIPE ( Crypto IP Encapsulation ) un logiciel très simple à configurer comparativement à IPSEC mais il comporte encore quelques lacunes. Un jour, apparu, OpenVPN!!

Depuis plusieurs années, j’utilise OpenVPN dès que j’ai besoin d’une solution vpn. Simple, stable, sécuritaire, supportant plusieurs niveau d’authentification, du proxy http, bref rien à dire de plus pour me convaincre. Il y a même des outils hyper simple à utiliser pour faire la gestion des clef SSL.

La première étape est de se configurer un serveur OpenVPN.

Voici mon setup. J’utilise Centos 5.5, mais n’importe quelle version de linux/bsd ferait le travail tout aussi bien. Il se peut que les path des logiciel ne soient pas au même endroit, mais le concept reste le même.

Voici les grande lignes:

* Installer OpenVPN sur le serveur
* Générer les clefs SSL
* Éditer le fichier server.conf
* Paramétrer notre firewall
* Copier certaines clefs vers nos clients ( portable, téléphone cellulaire, etc. )
* Configurer notre client pour se connecter sur notre serveur.
yum install openvpn
cd /etc/openvpn/
cd easy-rsa

### configurer le fichier "vars" et répondre aux questions qui nous sont demandées.

. ./vars
sh clean-all
sh build-ca
sh build-key-server my-srv
sh build-key my-cli1
sh build-key my-cli2
sh build-key my-cli3
sh build-dh
openvpn --genkey --secret ta.key
cp keys/*.crt ../keys/
cp keys/*.key ../keys/

Quant à la configuration du firewall, je n’entrerai pas dans les détails. Brièvement, j’utilise du SNAT étant donné que j’ai une ip fixe ( chez iWeb ), mais si j’étais hébergé à la maison j’utiliserais fort probablement du Masquerade et un Dyndns.

Éditer /etc/sysctl.conf et s’assurer que les lignes suivantes sont présentes:

net.ipv4.ip_forward = 1
net.ipv4.conf.default.rp_filter = 1

# relire notre config et l'appliquer
sysctl -p

iptables -t nat -A POSTROUTING -s 10.18.137.0/255.255.255.0 -o eth0 -j SNAT --to-source 72.55.147.X
iptables -I RH-Firewall-1-INPUT -d 72.55.147.X -p udp -m udp --dport 1194 -j ACCEPT
service iptables save

Ensuite, on peut éditer /etc/sysconfig/iptables ou votre quelconque script de firewall.

Voici mon fichier de configuration

local 72.55.147.X
port 1194
proto udp
dev tun
ca keys/ca.crt
cert keys/serveur.crt
key keys/serveur.key  # This file should be kept secret
dh keys/dh2048.pem
server 10.18.137.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1"
push "dhcp-option DNS 10.18.137.1"   # rediriger son dns sur une machine qu'on contôle!
keepalive 10 120
tls-auth keys/ta.key 0 # This file is secret
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

Ensuite il faut copier nos clef « clients » vers nos ordinateurs portables. Dans mon cas, j’utilise TunnelBlick sur macosx et le client OpenVPN qui vient avec Android.

Pour utiliser OpenVPN sur son cellulaire il faut malheureusement l’avoir préalablement rooté son appareil. Je n’entrerai pas dans ces détails, mais sur ce site ils ont tout expliqué comment faire: http://www.cyanogenmod.com/ Lorsque CyanogenMod-6.0, de préférence, est installé, on va dans le Market, on installe OpenVPN-Installer et OpenVPN-Settings. Ensuite, il faut copier les clefs ca.crt, ta.key, my-cliX.crt. my-cliX.key dans un répertoire qui s’appelle openvpn à la racine de notre carte SD.

Voici le fichier de configuration que j’ai sur mon appareil: Notez qu’il a été créé par OpenVPN-Settings et qu’il est ensuite facilement éditable à partir de notre ordinateur.

client
dev tun
proto udp
remote 72.55.147.X 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert my-cliX.crt
key my-cliX.key
tls-auth ta.key 1
comp-lzo
verb 4

Ceci étant fonctionnel, j’ai tout de même quelques désagréments. Le vpn ne s’accroche pas automatiquement au démarrage du wifi. Si le téléphone tombe en veille ça cause parfois problème lors du réveil. Quand on est dans un environnement où il y a plusieurs bornes ( cégep, université, etc ), il se peut qu’en se déplaçant, et qu’on change de borne, le routing se brise, mais rien de terrible… Off/On du vpn et le tour est joué.

Attention à votre batterie! Elle se vide à vue d’oeil.

On espère que cela va créer des vocations. Merci au blog.eglis !!!

Share

Appli VPN Express pour Iphone

application et jeux iPhone, iPod Touch, iPadSoulignons cette application VPNexpress pour Iphone et Ipad édité par VpnVip.Com (contrairement à ce que le nom pourrait laissé croire il n’ y aucun lien avec le VPN ExpressVPN). Gratuite mais limitée (100 MB au mois) elle vous permettra d’ avoir accès à un vpn avec au choix le protocole PPTP ou L2TP.

L’ inscription est simple après le téléchargement gratuit de l’ appli sur l’ AppStore. Il vous suffit de donner une adresse mail valide et un mot de passe. Sur cette adresse mail VpnVip.Com vous enverra un lien d’ activation: *****ACTIVATION LINK*****

Ce VPN accepte les protocoles PPTP et L2TP. La possibilité du L2TP est intéressante pratique surtout si votre fournisseur de 3G ou de Wifi bride le PPTP.

La configuration est simple: vous pouvez vous aider de ce tuto pptp / Iphone et suivre l’ image ci-dessous:

Le résultat est une IP USA après connexion au vpnindiquée par le symbole VPN

On voulait vous présenter cette petite appli toute simple car elle nous paraît utile et indispensable. utile car elle vous permettra de vous dépanner au cas où. Indispensable car toute connexion Wifi à partir d’ un Smartphone doit être faîte avec un VPN activé

L’ inconvénient est cette limite de 100MB/mois. C’est fou comme cela défile !!!

Share

Test de PrivateVPN.Com

Attention: L’ article qui suit n’est plus à jour – On n’ utilise plus PrivateVPN

On vous conseille de choisir Private Internet Access pour son:

  • NO Logs
  • Logiciel de connexion
  • Petit prix

Un test surprise pour vous lecteurs du blog du VPN. On avait prévu la publication d’ Astrill ce week-end et puis est arrivé en fin de semaine dernière un mail de PrivateVPN, vpn Suédois, nous proposant de tester leur serveur VPN.

Très peu présent en France ce VPN Suédois (contrairement à VPNTunnel et dans une moindre mesure Anonine, Rellaks ou Ipredator) offre un OpenVPN Blowfish 128 bit pour 49 SEk (environ 5 €/mois)

50 Gift codes (3 jours d’ essai gratuit) offerts sur le blog pour essayer Privatvpn

 

Dès le départ deux points nous ont plus:

  • Multiples adresses (Suédoise, Suisse et Hollandaise) dont une aux États-Unis !!!
  • Un client Open  » Maison » avec les fonctions essentielles: connexion, choix des serveurs, connection Guard, liens web vers certains sites de TV Streaming

CREATION du COMPTE: Order Now

Rien de plus simple. Il vous suffit de cliquer sur Order NOW ! sur la page principale de PrivateVPN. Pas d’ infos inutiles à donner. Comme tous les VPN Suédois, les logs ne concernent (sauf sur l’ adresse US: we log IP numbers on the server in the U.S. This is because the laws of the United States.) que les temps de  connexion et les infos se résument à l’ adresse mail donnée: We NEVER produce logs of any data traffic. The only thing we store is your username, password and your e-mail address.

Vous recevez instantanément après paiement (d’ UN mois ou TROIS mois) via la plateforme Suédoise Payson vos informations de connexion et un lien d’ activation. Simple Non !!! Ceux qui profitent d’ un Gift Code (gratuité du service pendant UN jour) n’ ont pas à payer pour recevoir les infos.

Votre compte utilisateur est simple et par onglet: Installation du Client // Un onglet pour payer son abonnement ….

INSTALLATION DU CLIENT: Install the client

Une fois le client téléchargé il suffit de suivre les étapes d’ installation (rien de compliqué). Le logiciel nécessitant net.framework pour fonctionner se propose de le télécharger si il n’est pas présent sur votre ordi. Ne vous inquiétez donc pas si l’ installation est un peu plus longue que pour celle de l’ OpenVPN « maison » de VpnTunnel

Bonne transition pour vous dire que l’ OpenVPN de PrivateVPN ressemble comme deux gouttes d » eaux à celui de son grand concurrent

UTILISATION de PRIVATVPN

Ceux qui ont déjà utilisé le client OpenVPN de VpnTunnel ne seront pas perdu car on retrouve les mêmes fonctions

Informations générales

Choix du pays

Paiement

Settings

Connection Guard

TV

BILAN:

Une option intéressante de PrivateVPN et de charger le client au démarrage de votre ordi et de vous proposer de l’ exécuter en tant qu’ administrateur (pour éviter toutes les erreurs de connexion). L’ adresse Étasunienne n’ est pas blacklisté par JustinTV ce qui est un vrai avantage, de même l’ onglet pour les TV Streaming est génial: Netflix US est présent mais je ne l’ ai jamais essayé pour tout vous dire. Il y a même trois chaînes suédoises mais le Suédois m ‘est étranger. Malgré ma sympathie pour Ikea, les VPN, Stockholm, H&M et ABBA je ne parle pas Suédois

Les fichiers de configuration ne sont disponibles que sous Mac OSX: Privatvpn.Zip . ce qui est dommage car on ne peut donc pas installer privatvpn sur routeur.

J’ ai trouvé le service stable (de toute façon le connexion guard est actif), vitesse bonne sur l’ Usenet ou en Streaming (Les IP sont publiques et partagées mais pendant ces quelques jours de tests on a pas eu de quotas dépassés). Le support avec qui j’ ai eu quelques contacts répondent très rapidement. Une fonctionnalité de support Online est à souligner.

PrivateVPN est un vrai concurrent de VpnTunnel. Très semblable, assez jumeau dans les fonctions. Ce VPN ne demande qu’ à se faire connaître en France. C’est pourquoi PrivateVPN offre 50 Gift codes.

Pour gagner un Gift code (3 journées gratuites d’ utilisation). Il vous suffit de répondre à cet article et d’ écrire un commentaire (mettez un truc en rapport avec la Suède!!!) On vous envoie les codes sur la boite mail donné lors de l’ inscription sur le blog du VPN.

On vous encourage en retour à écrire une review de Privatvpn sur ce même fil de commentaire plus tard

FIN des Gift Codes

Share