Configurer pare-feu ESET contre deconnexions VPN

TUTORIEL VPN: Comment configurer le pare-feu de la suite ESET SMART SECURITY (version 7) pour que les règles de filtrage changent automatiquement en cas de connexion/déconnexion à un VPN ?

Introduction

Lorsque l’on se connecte à un VPN, on a souvent (entre autres) comme objectif d’améliorer le respect de sa vie privée, ou bien de sécuriser la transmission d’informations professionnelles (couvertes par exemple par le secret professionnel, ou bien constituant des secrets économiques, techniques, etc.).

Il est donc nécessaire, pour ne pas compromettre la sécurité des données protégées circulant dans le tunnel chiffré que constitue un VPN, qu’une procédure automatisée existe pour bloquer certains processus au cas où surviendrait une interruption accidentelle de la connexion VPN, ce qui peut se produire régulièrement (panne du serveur distant, dysfonctionnement local, etc.).

C’est pourquoi plusieurs VPN proposent déjà des programmes (souvent appelés, en bon français, « connection Guard », ou « IP Guard »…).

Mais tous les VPN n’en proposent pas, et d’autres bloquent tout le trafic quand l’on pourrait souhaiter une interruption plus sélective, par programmes.

Certains pare-feux permettent d’obtenir un résultat plus fin, c’est notamment le cas de celui que j’utilise, en l’occurrence le pare-feu de la suite de sécurité ESET SMART SECURITY (version 7).

Les réglages décrits dans ce tuto restent les mêmes pour la v-8 de « ESET Smart Security », sortie depuis.

Vu les difficultés que j’ai eu à trouver cette solution, et la satisfaction qu’elle me donne à présent à l’usage – et même si elle n’est valable que pour le pare-feu de ESET (mais il existe sûrement d’autres pare-feux capables de fournir de telles fonctions) –, j’ai décidé de faire un tutoriel pour tous ceux qui utilisent cette même suite de protection.

Principe 

L’on va utiliser deux fonctions du pare-feu de la suite d’ ESET : la possibilité de définir des zones de sécurité ; et la possibilité de créer différents profils.

ESET permet en effet de créer des profils utilisateurs variés, avec chacun un corps de règles spécifiques définies par l’utilisateur : cela permet de changer d’un seul coup le mode de filtrage (en changeant simplement de profil, sans avoir à changer une à une toutes les règles à chaque fois) ; ce changement peut se faire de manière manuelle, mais aussi de manière automatique, en paramétrant le logiciel pour qu’il repère un changement dans la connexion : exactement ce que l’on veut quand on perd une connexion VPN !

La protection ainsi obtenue est très fonctionnelle et très puissante, car vous pouvez paramétrer le pare-feu de manière fine pour bloquer tous les programmes que vous ne souhaitez pas voir tourner via VPN, ou au contraire autoriser tous ceux que vous souhaitez voir tournez uniquement via VPN.
Et vous pouvez modifier ces règles quand vous voulez, et également créer de nouveaux profils pour d’autres serveurs VPN, si vous aimez passer par des serveurs différents selon les besoins (par exemple des serveurs dans des pays différents), ou si vous aimez changer de fournisseur VPN – le tout sans dépendre d’un logiciel client qui varie d’un fournisseur à l’autre, et parfois n’existe même pas.

J’ai décomposé la procédure de configuration en 6 étapes:

1) Commencer par se connecter au serveur VPN de son choix :

Il faut être déjà connecté, afin que le pare-feu puisse détecter (à l’étape 3) directement les paramètres pertinents de connexion pour lesquels il devra activer le profil.

2) Aller dans les paramètres avancés de ESET SMART SECURITY :

Ouvrir le panneau principal (d’accueil) de la suite de sécurité ; aller dans l’onglet « Configuration » (dans la fenêtre de gauche), puis cliquer sur « Réseau » (dans la fenêtre de droite), puis en bas de la nouvelle fenêtre de droite cliquer sur « Configuration avancée du pare-feu personnel ».

Eset Config réseau

Eset config réseau avancée

Une nouvelle fenêtre « Configuration avancée » s’affiche, en vous plaçant directement à la page « Réseau / pare-feu personnel ».

C’est sur cette page que se trouve, en bas à droite, la partie « Profils utilisateurs pare-feu », où l’on pourra tout à l’heure (à l’étape 4) définir le profil spécial que l’on veut voir s’activer automatiquement avec notre connexion VPN (et surtout se désactiver tout seul quand cette connexion est perdue).

Eset config réseau avancée profils

Mais il y a une étape préalable à accomplir : définir la « zone de sécurité » contenant les paramètres de la connexion à votre serveur VPN.

3) Définir une « zone de sécurité » associée à votre connexion VPN :

3-a) Dans l’arborescence présente à gauche de la fenêtre « Configuration avancée » que l’on vient d’ouvrir, repérer « pare-feu personnel » (dans la catégorie « Réseau »), et cliquer sur le « + » qui le précède pour développer le menu ; puis sélectionner « Règles et zones ».

Eset Règles et zones

3-b) Dans la partie « Éditeur de zones et de règles » (au milieu de la partie droite de la fenêtre), cliquer sur le bouton « Configuration… ».

Une grande fenêtre « Configuration des zones et des règles » s’affiche. Elle comporte deux onglets (en haut) : « Règles » et « Zones ».

Cliquer sur l’onglet « Zones ».

Eset Config Zones

En bas à gauche de la fenêtre, se trouvent trois boutons (« Nouveau », « Modifier », et « Supprimer ») : cliquer sur « Nouveau » pour définir une nouvelle zone.

Une nouvelle fenêtre plus petite s’ouvre, intitulée « Paramètre des groupes ». Elle comporte deux onglets : « Paramètre des groupes » (oui, encore) et « Authentification de zone ».

Eset Paramètres des groupes

3-c) Dans l’onglet « Paramètre des groupes », rubrique « Adresse distante », saisir un nom pour la zone (par exemple : « Mon VPN », ou « VPN-machin serveur-truc » : l’important est que ce nom vous rappelle ensuite de quoi il s’agit, surtout si vous envisagez de répéter plus tard l’opération pour d’autres VPN, ou d’autres serveurs du même VPN).

Dans la partie « Description », ajouter le cas échéant une description complémentaire (pas obligatoire).

3-d) Cliquer maintenant sur l’onglet « Authentification de zone ».

Eset Authentification de zone

Cocher la case en haut de l’onglet (case commençant par « Les adresses IP/sous-réseaux dans la zone deviendront valides après une authentification réussie dans le réseau »).

Au centre, laisser cocher la case « Ajouter adresses/sous-réseaux à la zone de confiance ».

Cocher la case « Passer au profil portant le même nom automatiquement (un nouveau profil sera créé) » : cette option constitue une forme de raccourci, qui vous permettra de sauter l’étape 4-a décrite ci-après.

En bas, sélectionner l’option « Par configuration de réseau locale ».

3-e) Puis cliquer sur le bouton « Configuration… »

Une nouvelle fenêtre s’ouvre, intitulée « Authentification par configuration de réseau locale ».

Eset Authentification par configuration de réseau locale

C’est là qu’il faut rentrer les éléments qui permettront au pare-feu d’identifier spécifiquement votre connexion au serveur du VPN (différentes adresses IP).

Cette étape aurait pu être un calvaire pour les non-techniciens (dont je suis), obligés d’essayer de découvrir les bonnes adresses pertinentes à saisir (elles sont spécifiques au serveur choisi de votre VPN)… mais heureusement, ESET a eu la TRÈS (oui, TRÈS TRÈS) bonne idée de prévoir un bouton sélectionnant à votre place directement tous les éléments de la connexion.

C’est pour cette étape qu’il est essentiel d’être déjà connecté à votre VPN, et plus précisément à celui de ses serveurs qui vous intéresse.

Il faut donc simplement cliquer sur ce bouton, qui s’intitule : « Renseigner avec les paramètres de connexion sélectionnés ».

Magiquement (!), toutes les informations pertinentes sont saisies, récupérées par le pare-feu à partir de la connexion au serveur VPN qui est active !

Si vous voulez que votre pare-feu soit configuré pour plusieurs serveurs différents de votre VPN, il faudra refaire l’opération à chaque fois en définissant autant de profils… (appel : si quelqu’un connaît une autre solutions plus simple, pour les adeptes du changement régulier de serveurs, je suis preneur, il y en a sûrement une, même si je n’ai pas eu le temps de la rechercher).

3-f) Il faut maintenant penser à valider une par une chacune des fenêtres successivement ouvertes (c’est bête à dire, mais on oublie facilement une validation ou une autre sur les quatre à ce stade, et l’on se demande après pourquoi ça ne marche pas !)

Eset validation config

Cliquer donc sur « OK », et vous revenez à la fenêtre « Paramètres des groupes ».

Cliquer encore sur « OK », et vous revenez à la grande fenêtre « Configuration des zones et des règles », onglet « Zones ».

Cliquer encore sur « OK » (en bas à droite) et vous revenez à l’onglet « Configuration avancée ».

Cliquer une dernière fois sur « OK » (en bas à droite).

Ça y est, votre zone spécifique à la connexion à votre serveur VPN est créée !

4) Créer votre « profil » spécifique au serveur VPN choisi, et créer un « profil » par défaut :

Il vous faudra deux profils (au moins) : celui actif quand vous serez connecté à votre VPN (profil VPN), et celui dit « par défaut » qui s’activera automatiquement à la place du profil VPN quand la connexion VPN n’est pas active.

4-a) Profil spécifique au serveur VPN :

Si, à l’étape 3-d ci-dessus, vous avez coché la case « Passer au profil portant le même nom automatiquement (un nouveau profil sera créé) », un nouveau profil a été automatiquement créé, associé à votre connexion en cours au serveur VPN choisi, et portant le même nom que celui choisi en étape 3-c pour la nouvelle « zone » définie. –> Dans ce cas, vous pouvez passez directement à l’étape 4-b.

Il se peut cependant que vous ayez envie (peu importe votre raison) que votre « profil VPN» pour la connexion au VPN ne porte pas le même nom que la « zone » créée à l’étape 3.

Dans ce cas, ne cochez pas la case « Passer au profil portant le même nom automatiquement (un nouveau profil sera créé) » à l’étape 3-d ci-dessus, mais à la place, une fois l’étape 3 entièrement terminée, retournez dans la fenêtre « Configuration avancée » de ESET SMART SECURITY 7 (la fenêtre atteinte à l’étape 2).

Dans la partie « Profils utilisateur pare-feu » se trouve une liste déroulante de tous les profils existants. Si vous n’en avez encore défini aucun, il y a simplement dans cette liste la mention « Aucun profil ».

Eset Config profil

C’est ici que vous pouvez activer manuellement les profils existants, ou tout simplement vérifier le profil en cours (c’est celui qui est affiché quand vous arrivez sur cette fenêtre).

Pour définir le nouveau profil propre à votre connexion VPN, cliquer sur le bouton « Profils… ».

Une fenêtre s’ouvre où vous pouvez ajouter un profil (ainsi d’ailleurs que modifier ou supprimer les profils existants : il faut juste que le profil concerné ne soit pas celui actuellement activé ; si c’est le cas, activez un autre profil avant).

Eset Profils pare-feu

Cliquer sur « Ajouter ». Une fenêtre « Paramètres du profil » s’ouvre.

Eset Paramètres profil

Donner un nom à votre profil (qui peut être le même que celui donné à la zone définie à l’étape 3-c, mais aussi un autre si vous préférez).

Il faut choisir ensuite entre trois options :

  • « ne pas changer automatiquement » : le profil ne pourra alors être activé que manuellement ; ce n’est bien sûr pas ce que nous souhaitons ici ;
  • « profil par défaut » : le profil s’activera par défaut si les conditions définies pour l’activation automatique d’autres profils ne sont pas réunies. Un seul profil peut bénéficier de cette option : c’est celui que nous définirons à l’étape 4-b ci-après, c’est-à-dire celui sur lequel basculera automatiquement votre pare-feu si la connexion à votre VPN est perdue.
  • « si cette zone est authentifiée : » : cette option est celle qu’il nous faut pour le profil associé au serveur VPN. Sélectionnez donc cette troisième option.

Un menu déroulant s’active en dessous : c’est la liste de toutes les zones déjà définies dans le pare-feu.

Cliquer sur la petite flèche à droite pour dérouler toute la liste : il faut sélectionner la ligne qui correspond à votre serveur VPN, c’est-à-dire celle portant le nom défini à l’étape 3-c.

Eset profil zone vpn

Cliquer maintenant une « OK » une première fois pour revenir à « Profils pare-feu ».

Cliquer une seconde fois sur « OK » pour revenir à la fenêtre « Configuration avancée ».

Cliquer une dernière fois sur « OK ».

Votre profil propre à la connexion via votre serveur VPN préféré est enfin prêt !

4-b) Création du profil par défaut :

Le profil créé en 4-a (ou en 3-d de manière automatique) est celui qui contiendra les règles d’autorisation de connexion des programmes spécifiques pour les moments où vous serez connecté au serveur VPN ; le reste du temps, le pare-feu basculera automatiquement vers « Aucun profil », ou bien vers un profil par défaut si vous en avez défini un.

Or il est plus sûr d’en définir un, plutôt que de laisser « Aucun profil » s’activer (car quand on définit des règles valables pour « Aucun profil », elles s’appliquent à tous les profils, et j’ai rencontré des problèmes pour bien les distinguer des règles propres au VPN ; on n’a pas ce problème en définissant un profil par défaut).

Suivez la même procédure de création de profil qu’indiqué à l’étape 4-a, mais en donnant bien sûr à ce nouveau profil un autre nom (par exemple : « Par défaut »), et en cochant cette fois, dans la fenêtre « Paramètres du profil », l’option n°2 : « profil par défaut »

eset profil Par défaut

(Nota : cette option n°2 n’est cochable que si aucun autre profil par défaut n’existe déjà, puisque, fort logiquement, il ne peut y en avoir qu’un).

Cliquez sur « OK » trois fois de suite comme en 4-a.

Le profil par défaut est créé.

Il vous reste maintenant à paramétrer selon vos souhaits les règles du profil VPN, et les règles (nécessairement différentes : c’est tout l’intérêt) du profil par défaut.

Mais avant, un petit test de bon fonctionnement s’impose.

5) Test du bon basculement entre les profils :

Parvenu à cette étape, vous avez donc deux profils disponibles (au moins) dans la fenêtre « Configuration avancée » (accessible comme indiquée à l’ étape 2) : celui associé à votre « zone de sécurité » de serveur VPN créée à l’étape 3 ; et celui « par défaut ».

Il faut vérifier que le basculement automatique se fait bien entre les deux.

Il vous suffit pour cela de vous déconnecter volontairement de votre serveur VPN : en principe, une notification de votre pare-feu devrait s’afficher pendant quelques secondes (en général en bas à droite de l’écran) vous indiquant que le profil vient de changer au profit du profil par défaut.

Eset modif pare-feu

Reconnectez-vous au serveur VPN : si tout va bien, vous aurez une nouvelle notification du pare-feu indiquant que vous avez à nouveau basculé vers votre profil VPN.

Eset modif pare-feu VPN

Si vous ne voyez pas ces notifications :

  • il est possible que vous ayez désactivé les notifications du pare-feu (dans ce cas, il change bien de profil, mais ne vous le dit pas automatiquement), ou que vous ayez désactivé les notifications quand une application est en plein écran (dans ce cas les notifications apparaîtrons avec retard, au moment où vous quitterez le plein écran) ; vous pouvez modifier ces options d’affichage des notifications à partir de la fenêtre « Configuration avancée », rubrique « Interface utilisateur », sous-rubrique « Alertes et notifications » ;
  • vous pouvez aussi aller vérifier manuellement que le profil activé a bien changé, en allant comme indiqué à l’étape 2  à la fenêtre « Configuration avancée » rubrique « Réseau », sous-rubrique « Pare-feu personnel » : le profil indiqué en arrivant sur cette fenêtre est celui en cours.

Si le basculement de profil ne se fait pas automatiquement à la connexion/déconnexion du serveur VPN :

  • soit vous ne vous êtes pas reconnecté au même serveur parmi ceux que proposent votre VPN (car comme dit plus haut, la configuration se fait par serveur) ;
  • soit une erreur a été faite à l’une des étapes précédentes, et il faut les reprendre.

Si le basculement se fait bien, il ne vous reste qu’à configurer les règles des deux profils, celui lié au VPN, et celui par défaut.

6) Paramétrer les règles qui vous conviennent pour le profil VPN et le profil par défaut :

Tout l’intérêt est bien sûr de définir, programme par programme, des règles différentes dans les deux cas.

Pour cela, il faut retourner dans la fenêtre « Configuration des zones et des règles » (cf. étape 3-b), mais cette fois rester dans l’onglet « Règles ».

Eset Config zones règles

Nota: il existe deux modes d’affichage possibles des règles déjà définies pour le pare-feu : « Arborescence des applications » et « Vue détaillée ». À vous d’apprécier laquelle vous trouvez la plus pratique (on bascule de l’une à l’autre en cliquant sur la ligne en haut, sous la barre des onglets).

Avertissement: les règles que vous définissez et/ou modifiez ici sont celles d’autorisation d’accès ou d’interdiction de tous vos différents programmes à internet ; il ne faut donc modifier les autorisations que pour les programmes que vous connaissez et maîtrisez (autoriser un programme inconnu peut être dangereux, et inversement, interdire l’accès à certain programmes peut provoquer des gênes, par exemple si vous bloquez des programmes systèmes indispensables au fonctionnement de votre connexion).

Un point important ici, pour ne pas vous arrachez les cheveux de ne pas voir s’afficher les bonnes règles que vous aurez créées : veuillez prêter attention à la ligne en haut à droite, intitulée : « Afficher les règles utilisées dans le profil : » suivie d’un nom de profil (celui en cours, normalement). Cela signifie que vous ne voyez pour le moment que les règles définies pour le profil ici indiqué ; cliquez sur la petite flèche à droite et sélectionnez « tout » dans le menu déroulant, pour que s’affichent les règles de tous les profils, et pas d’un seul.

Eset profil tout

Pour comprendre le fonctionnement de ces règles, la manière de les définir, et leur intérêt à ce stade, nous allons créer par exemple deux règles différentes :

  • une pour le profil VPN autorisant, par exemple, un client « bitTorrent » à se connecter,
  • une autre pour le profil par défaut interdisant à ce même logiciel toute connexion.

6-a) Exemple : règle d’autorisation pour « bitTorrent » dans le profil VPN :

Dans l’onglet de configuration des règles où nous sommes toujours, cliquez sur « nouveau » (en bas à gauche). Une fenêtre « Nouvelle règle » s’affiche.

Sélectionnez l’onglet « Local », puis dans la partie « Application » cliquez sur « Parcourir ».

Eset nouvelle règle

Un explorateur de fichiers s’ouvre : parcourez les dossiers jusqu’à trouver le fichier de lancement du programme pour lequel vous souhaitez créer la règle. Dans notre cas, ce sera par exemple « bitTorrent.exe » (le nom varie bien sûr selon votre logiciel bitTorrent). Si vous ne connaissez pas son chemin d’accès sur votre ordinateur, allez sur votre bureau (ou sur le raccourci d’où vous lancez d’habitude le programme, par exemple dans le menu « Démarrer »), faite « clic-droit », « propriétés », et le chemin d’accès au fichier de lancement s’affichera dans la ligne « cible » de la fenêtre apparaissant alors.

Une fois le fichier exécutable du programme sélectionné, cliquez sur « ouvrir », et vous revenez alors à l’onglet « Local », avec cette fois le programme concerné sélectionné dans la ligne « Application ».

Eset règle bitorrent

Revenez à l’onglet « Général », donnez un nom à la règle créée (par exemple : « BitTorrent-VPN »).

Eset règle bitorrent VPN

À la ligne « Direction », sélectionnez « Les deux » (les communications seront autorisées en entrée comme en sortie).

À la ligne « Action », sélectionnez « Autoriser » (vous pouvez aussi sélectionner « Demander » : dans ce cas, une fenêtre vous sollicitera à chaque tentative d’accès du programme au net, mais cela bloquera le programme si personne n’est là à ce moment pour cliquer sur « OK ») ;

À la ligne « protocole », laissez « TCP & UDP » (sauf si vous êtes sûr de n’avoir besoin que de l’un ou de l’autre).

À la ligne « Profil », sélectionner le nom de votre profil VPN créé en étape 3 ou 4. Ne sélectionnez surtout pas « Pour chaque » (cela généraliserait la règle à tous les profils alors que justement nous la voulons ici spécifique à un seul).

Cliquez sur « OK » : une nouvelle règle est apparue dans la liste.

Eset profil bitorrent vpn

Selon le mode d’affichage choisie, le contenu de cette règle est résumé dans la ligne elle-même, ou dans une petite fenêtre en bas de l’écran si cette ligne est sélectionnée (il vous faudra en principe développer les règles liées à votre application, ici « bitTorrent », en cliquant sur le petit « + » en tête de ligne). Notez bien que cette règle est clairement mentionnée, dans un cas comme dans l’autre, comme spécifique à votre profil VPN.

6-b) Suite de l’exemple : règle d’interdiction pour bitTorrent dans le profil par défaut :

À présent, nous allons définir la même règle pour le profil par défaut, sauf qu’il s’agira cette fois d’une interdiction d’accès au net, et plus d’une autorisation.

Cliquer sur la ligne de la règle créée en 6-a. Faites « clic-droit » et sélectionnez « Créer » puis « Règle similaire ».

On se retrouve dans une fenêtre « Modifier la règle », avec les paramètres de la règle créée en 6-a (comme cela, pas besoin de recommencer la sélection du programme sur l’onglet « Local »).

Eset modifier bitorrent règle

Dans l’onglet « Général » :

  • Changer le nom (par exemple : « BitTorrent par défaut »).
  • Garder comme « Direction » : « les deux »,
  • Basculer la ligne « Action » sur : « Refuser ».
  • Sur la ligne « Profil », sélectionnez le nom du profil par défaut.

Cliquez sur « OK ».

Vous revenez à la liste des règles, et une ligne nouvelle est apparue, spécifique au profil par défaut pour le programme bitTorrent, la ligne spécifique au profil VPN étant toujours là, en principe juste au-dessus.

Eset profil bitorrent par défaut

Conclusion

Votre pare-feu sait désormais qu’il doit autoriser bitTorrent quand vous êtes connecté à votre serveur VPN (et que donc le profil VPN est activé), et le bloquer si cette connexion se perd (car cela entraîne le basculement vers le profil par défaut, qui applique donc votre nouvelle règle d’interdiction).

Important: n’oubliez surtout pas, pour achever cette opération de création des règles, de cliquer sur « OK » en bas à droite de la fenêtre « Configuration des zones et des règles » (autrement dit, ne la quittez pas en cliquant sur la flèche rouge en haut à droite, sans quoi vos règles ne seront pas mémorisées, et il faudra les refaire…).

Désormais, votre pare-feu ESET basculera automatiquement du profil VPN au profil par défaut selon l’état de votre connexion, et appliquera pour tous les programmes les règles que vous aurez définies.

Vous pouvez ainsi le paramétrer pour bloquer tous les programmes que vous ne souhaitez pas voir tourner via VPN, ou au contraire que vous souhaitez voir tournez uniquement via VPN.

Vous n’avez qu’à faire quelques essais de connexion / déconnexion au VPN pour vous assurer que les programmes sont bien bloqués / activés au gré des changements de profils, et selon vos règles.

Il ne vous reste qu’à définir vos règles personnelles selon vos souhaits.

J’espère que tout a été clair et utile !

 

Les 5 dernières publications de Mahi

Share

6 Commentaires sur “Configurer pare-feu ESET contre deconnexions VPN”

LAISSER UN COMMENTAIRE

  1. Cartha dit :

    « Apple beurk ! » lol, bien résumé !

    Pour Airvpn, je précise que le débit tombant à zéro toutes les 10 minutes ne se produit que si j’active la fonction « Network Lock » : le reste du temps, la connexion a un bon débit, régulier, et stable, même sur longue durée.

    Quand on active « Network Lock » sous GNU/Linux (je n’ai pas essayé sous Windows, vu que mon pare-feu d’ESET, objet du tuto, fait alors le boulot ^^), cela réinitialise les règles du pare-feu de GNU-Linux (Netfilter) et les remplace par des règles définies par Airvpn. En principe, à l’arrêt de « Network Lock », le logiciel est censé remettre les règles du pare-feu comme elles étaient avant, mais dans mon cas (distribution GNU/Linux : Mageia 4), il les met à la place en blocage complet (« Drop » partout), si bien que je dois passer par l’interface de gestion du pare-feu de Mageia (qui malheureusement reste assez basique, très loin du détail de réglages possibles du pare-feu de ESET) pour rétablir les choses. Ce dernier point n’est cependant pas très gênant, contrairement au débit tombant à zéro toutes les 10 min, qui m’empêche finalement d’utiliser la fonction (et m’oblige à revenir sous Windows, avec ESET, quand je veux rester connecter longtemps sans être à proximité de mon ordi).

  2. Mahi dit :

    Merci Cartha pour ce retour

    Certains VPN me font aussi le coup de baisser de débit avant de remonter !!! Proxy.SH a été coutumier du fait.

    Autrement il y Perfect-Privacy qui a fonction de déconnexion sur 3 niveaux dans son logiciel client. Perfect-Privacy est cher (Plus de 15 €/mensuel) mais j’ avais bien aimé son IP Guard basé sur des règles de Firewall. Ils ont aussi une version linux de ce logiciel mais je l’ avais pas testé ! idiot !

    N.B: Apple beurk !

  3. Cartha dit :

    @Mullvader

    Merci, et de rien pour le tuto ^^

    Je précise en passant que les réglages décrits dans ce tuto restent les mêmes pour la v-8 de « ESET Smart Security », sortie depuis.

    Je ne suis pas client chez Mullvad (j’utilise AirVPN), je ne peux donc pas comparer la solution pare-feu avec la leur, mais je peux souligner les avantages de la solution pare-feu exposée dans ce tuto :

    – elle reste valable quel que soit le VPN utilisé, la seule contrainte étant de définir un nouveau profil pour chaque serveur VPN utilisé… ou de changer les paramètres de son profil préféré pour renseigner ceux du nouveau serveur VPN choisi, ce qui peut se faire automatiquement, comme expliqué au point « 3-e » du tuto ;

    – elle permet de paramétrer autant de profils que l’on veut, donc autant de « groupe de règles » différents pour chaque serveur VPN, et l’ordinateur en change ensuite automatiquement, sans que l’on ait rien à faire, au gré des connexions ou déconnexions volontaires ou accidentelles (précieux surtout dans les cas accidentels, évidemment ; pratiques dans les autres cas) ;

    – elle permet (énorme avantage) de paramétrer les règles programme par programme (autoriser celui-là, interdire tel autre…) et de faire des combinaisons d’autorisations différentes dans chaque profil ;

    – pour chaque programme, les règles peuvent être encore plus affinées : autoriser tous les ports ou seulement ceux choisis ; autoriser seulement en TCP, ou seulement en UDP, ou en TCP et UDP ; autoriser seulement en entrant, ou seulement en sortant, ou les deux ; etc.

    – tout cela se règle en mode graphique, de manière très simple, et sans avoir besoin de vastes connaissances en réseaux (je ne connais personnellement quasi-rien à l’ingénierie réseau) ;

    – j’ajoute que cette suite (« ESET Smart Security » comprend un antivirus, appelé NOD32, un anti-vol pas mal fait pour les portables, et bien sûr le pare-feu, qui seul nous intéresse ici, mais qui n’est disponible que dans la suite, et pas séparément) est très légère et discrète en consommation système : c’est même sur ce seul critère que je l’avais adopté il y a plusieurs années (jamais déçu depuis à cet égard), après de très mauvaises expériences avec les mastodontes (à l’époque en tout cas) Norton, PC Cillin, ou même Kaspersky ou Zone Alarm.

    En regard de ces avantages, les inconvénients sont les suivants :

    – cette solution ne marche que pour Windows, pas pour GNU/Linux (l’antivirus NOD32 existe bien en version GNU/Linux, mais pas le pare-feu, hélas !) ; je n’ai pas vérifié pour Mac (je suis allergique à Apple, désolé…) ;

    – il faut un peu de temps pour bien en maîtriser la configuration (mais c’est pareil avec tous les pare-feux ; et ce n’est rien, mais alors RIEN, par rapport à des solutions plus techniques comme IpTables sous GNU/Linux ; et puis les tutos sont là pour ça !) ;

    – le plus gros inconvénient est que c’est payant, là c’est certain. Le prix n’est pas caché, il faut suivre les liens vers les revendeurs agréés : 50 euros TTC pour l’acquisition initiale (1 poste, 1 an), mais le renouvellement ensuite est moins cher (35 euros TTC par an, pour une licence 1 poste ; c’est moins cher aussi si l’on renouvelle pour 3 ans, évidemment ; si l’on veut renouveler vers une licence 2 postes, par exemple un PC de bureau et un portable, c’est 41 euros pour un an) ; vu l’importance de la sécurité, j’ai fait depuis longtemps le choix de cet investissement ; mais cela dépend ensuite des choix (et budget, et priorités) de chacun.

    Une précision : la solution exposée dans ce tuto permet de bloquer la connexion (ou juste certains programmes) en cas de perte accidentelle du VPN ; elle n’a aucune incidence sur les éventuelles fuites DNS, qui relèvent d’autres paramètres.

    P.S. : tant que je parle de ce sujet, et de l’absence de bon pare-feu en mode graphique « presque Michu-compatible » sous GNU/Linux (!), je suis preneur si quelqu’un connait une solution pour paramétrer FACILEMENT le pare-feu natif sous GNU/Linux afin qu’il coupe de même la connexion automatiquement si le VPN se déco tout seul : j’ai essayé de le faire moi-même avec IPTables, mais j’ai renoncé : j’ai eu l’impression qu’il faudrait que je passe six mois à me former entièrement à l’ingénierie-réseau pour simplement commencer à comprendre quelles règles il faut définir, et dans quel ordre, avant de commencer à rentrer la moindre ligne de commande (car avant de « commander » à la machine, il faut savoir le détail technique de ce que l’on veut qu’elle fasse !).

    À noter que AirVPN, très bon techniquement en effet, propose bien une fonction appelée « Network Lock » (dans son logiciel client, qui fonctionne sous plusieurs distributions GNU/Linux), mais elle n’est pas très satisfaisante : quand je l’active, la connexion se coupe bien si le VPN se déco… mais parallèlement le débit de la connexion tombe toutes les 10 minutes à zéro pendant quelques secondes avant de repartir, ce qui perturbe beaucoup de choses ; je n’ai pas encore compris pourquoi…

  4. Mahi dit :

    @ Mullvader

    La protection d’ IP de Mullvad semble bien fonctionné car il n’ y a pas de retours négatifs. je sais que chez Private internet access ou PureVPN il peut arriver des disfionnements suivant les PC sous Windows et le protocole (openvpn chez purevpn)

    La protection d’ IP se fait de deus manières: soit par coupure du (des) logiciels(s) ou par des règles de firewalls. Pour Mullavd je ne sais sur quel principe fonctionne le logiciel de connexion.

    En règle général il faut préférer les règles de firewall, c’est d’ ailleurs ce que préconise Perfect-Privacy et Airvpn qui sont deux VPN très bon techniquement.

    La solution ESET n’ est pas l’ unique solution firewall qui existe. En effet le logiciel est à 50€, ce qui est très cher. Sous windows il existe ceci: http://www.vpnblog.net/pare-feu-windows-contre-deconnexions-vpn/

  5. Mullvader dit :

    J’ai oublié de signaler qu’il existe une extension pour Firefox qui coupe le WEBRTC : c’est Happy Bonobo : Disable web RTC (1.0.2); c’est un simple bouton on/off qui se place dans la barre de navigation.

  6. Mullvader dit :

    Bonjour,

    Pour Mullvad, il existe une fonction « Empêcher les fuites DNS » et une autre « Bloquer internet lors de l’échec de la connexion ».
    Sont-elles plus/moins/aussi efficaces que la solution que vous proposez – qui est payante si j’en crois de le site d’Eset – qui n’affiche pas ses tarifs… de peur de faire fuir le client ?!

    Une réponse détaillée serait bienvenue.

    Merci pour ce magnifique tuto : on en voit peu d’aussi soigné