All posts by jerom74

Protéger son réseau des vulnérabilités de l’IOT

Préambule

Avec la prise de conscience de tout un chacun d’être une cible potentielle de tous les escrocs 3.0 de la planète, le niveau de sécurisation de nos PC a relativement augmenté. Les éditeurs logiciel jouent aussi leur rôle dans cette amélioration. Grâce à une meilleur conception des défenses systèmes, aux pré-installations d’antivirus et de firewall ainsi qu’aux patchs correctifs délivrés automatiquement et du moment que l’on respecte les règles élémentaires en matière de sécurité, nos machines désormais moins faciles à infecter. Mais qu’en est-il des objets connectés qui sont présents sur notre réseau et sur lesquels nous ne pouvons pas intervenir pour en renforcer la sécurisation? Sans possibilité de pouvoir intervenir sur ces équipements comme nous pouvons le faire pour nos PC, que nous reste-t-il comme solution pour protéger son réseau des vulnérabilités de l’IOT?

Malheureusement, les prises de conscience ainsi que les différents outils et processus mis en place pour garantir la sécurisation de nos machines personnelles n’ont pas été pas été généralisés aux autres équipements. Fréquemment, faute d’appliquer des correctifs logiciels qui bien souvent n’existent même pas, les objets connectés sont des passoires. Pour les hackers l’IOT est le nouveau sésame qui ouvre grandes les portes des réseaux privés. Caméras, smart TV, enceintes connectées, pour n’en citer que quelques uns, se multiplient dans nos maisons. Une prolifération qui augmente le risque de voir son réseau domestique être victime d’une attaque ayant pour origine les nombreuses vulnérabilités présentes dans ces équipements.

Après avoir agit pour mieux sécuriser chacune de nos machines personnelles, il devient urgent de protéger son réseau des vulnérabilités de l’IOT. A cette fin, je préconise 2 mesures. Tout d’abord, l’isolation des objets connectés avec la création d’un réseau dédié à l’IOT. Ensuite, l’ajout d’un firewall réseau qui assurera l’étanchéité entre le LAN dédié à l’IOT et le reste du réseau domestique.

Les équipements nécessaires

Isoler son réseau IOT requiert la création de 2 réseaux physiquement séparés. Ces 2 réseaux auront chacun leurs propres équipements Wifi, câbles Ethernet et prises CPL. La question qui vient à l’esprit c’est pourquoi une séparation physique couteuse quand on pourrait séparer logiquement avec des VLAns? Ce que je peux répondre c’est qu’avec les routeurs “prosumers” il est très difficile de router de façon sure et isolée des vlans de bout en bout via du wifi. Certes certains équipements professionnels Cisco assurent brillamment cette fonctionnalité mais…sans les performances Wifi de dingue des matériels prosumers.

La séparation des réseaux est une défense nécessaire mais puisque chacun est connecté à internet, elle n’est pas suffisante. C’est là qu’entre en action le firewall réseau. Son rôle sera de contrôler les connexions réseau vers et depuis internet tout autant que les quelques rares flux que l’on aura autorisés à circuler entre les 2 réseaux.

Aujourd’hui les firewalls jouent bien d’autres rôles que celui du portier qui laisse entrer ou sortir les flux, ils agrègent au sein d’une application unifiée différentes fonctions de sécurisation du réseau (IDS, IPS, Ad blocker, filtrage web, antivirus réseau,…). Ces solutions intégrées de protection du réseau se regroupent sous le nom d’UTM, Unified Threat Management. Après quelques essais d’UTM sur des machines virtuelles, j’ai arrêté mon choix sur la solution pfSense. Essentiellement parce qu’en sus de sa gratuité, pfSense est un des seuls à pouvoir gérer des clients OpenVPN. Ce qui est indispensable si l’on veut “tuneller” son flux internet jusque chez un fournisseur de service d’anonymisation.

Comme je voulais que ma solution UTM joue le rôle de routeur, de serveur DHCP, de client Open VPN et assure différents autres services de protection (IDS, blocker, …), il me fallait trouver l’équipement hardware adéquat. C’est à dire une machine quad core (les instruction AES-NI étant un plus), avec au moins 8Go de RAM et disposant de 4 ports réseau Gigabit. Le choix fut assez rapide, seul le constructeur Protectli offre à la vente ce genre de petite merveille de poche.

Le détail des équipements

Pour le réseau IOT, dit réseau bleu :

  • 1 routeur Asus RT-AC86U en mode routeur
  • 1 routeur Asus RT-AC86U en mode répéteur mesh

Pour le réseau HOME, dit réseau rouge :

  • 1 routeur Asus RT-AC86U en mode routeur
  • 1 routeur Asus RT-AC68U en mode répéteur mesh

Pour l’Appliance firewall pfSense :

  • Un mini PC Protectli Firewall Appliance (Quad Core Celeron,AES-Ni,8Gb Ram,120Go, 4xIntel Ports Gigabit)

La vue réseau

Isolation des équipements IOT sur un réseau dédié

Comme le montre cette vue, j’ai scindé mon réseau domestique en 2 réseaux séparés.

Un réseau rouge (1.1.0.0/16 – SSID WIFI-HOME) sur lequel on trouve les équipements contenant les données sensibles à protéger (PC, NAS, Smartphone). La tête de réseau est constitué par un routeur Wifi configuré en mode AP et connecté au port LAN du firewall. Ce routeur est relayé par un nœud mesh wifi. Situé dans une autre pièce le nœud mesh sert de point d’accès à un PC. Un NAS est attaché à l’AP principale. Ce NAS est accessible par toutes les machines du réseau rouge. Il sert de backup et de serveur multimédia.

Un réseau bleu (1.2.0.0/16 – SSID WIFI-IOT) sur lequel on trouve les équipements potentiellement vulnérables et qui ne contiennent aucune données sensibles (TV, Caméra, Enceinte connectée, …). La tête de ce réseau est constitué par un routeur Wifi configuré en mode AP et connecté au port OPT1 du firewall. Ce routeur est relayé par un nœud mesh wifi. Situé dans une autre pièce le nœud mesh sert de point d’accès à un ensemble d’équipements multimédia. Une règle firewall autorise les équipements du réseau bleu à pouvoir établir une connexion sur le port du serveur multimédia qui est localisé dans le réseau rouge.

Le wifi de la box ADSL a été laissé actif. C’est un troisième réseau (192.168.1.0/24) qui sert de wifi guest. Les invités disposent ainsi d’une possibilité d’accès internet sans pour autant accéder aux 2 réseaux privés.

Vous aurez pu noter l’existence d’une exception à l’isolation des équipements IOT. En effet un imprimante est présente sur le réseau rouge alors qu’idéalement elle devrait être sur le réseau bleu. La raison c’est que les capacités de connectivité de cette imprimante sont limitées. Elle est incapable de fonctionner correctement avec des clients situés dans une autre zone réseau que la sienne. J’ai donc dû me résoudre à intégrer cette imprimante au sein du réseau rouge mais tout en ajoutant des règles firewall strictes qui bloquent toute connexion vers le LAN dont elle serait à l’origine.

Installation de pfSense

Le firewall pfSense est à installer sur le mini pc protectli. Si un OS était installé sur le mini pc il sera remplacé par celui de pfSense . L’installeur est à télécharger ici https://www.pfsense.org/download/ .

Le plus simple consiste à réaliser l’installation depuis une clé USB en connectant le mini pc à un écran et à un clavier le temps de réaliser l’installation initiale. Dès que l’interface wan aura été configurée via la console, le firewall sera alors accessible depuis le réseau. La suite de la configuration pourra se faire en remote en utilisant l’interface Web.

De très bon tutoriaux existent sur le sujet, comme ceux disponibles sur le site Protectli https://protectli.com/kb/how-to-install-pfsense-ce-2-4-on-the-vault-2/

Configuration des routeurs

Isoler son réseau IOT demande 2 ensembles de routeurs. Chaque ensemble comprend un routeur Wifi configuré en mode Access Point et un ou plusieurs routeurs relais configurés en mode mesh. Chacun des deux routeurs principaux est à relier physiquement via un câble dans un des ports du firewall pfSense. Les routeurs relais sont à disposer dans votre maison au gré de vos besoins. Ces routeurs mesh servent à la fois de répéteurs et de points d’accès aux équipements dépourvus de Wifi. On configurera le premier ensemble pour émettre le Wifi sur le SSID WIFI-HOME, ce sera votre réseau domestique. Le second pour émettre sur le SSID WIFI-IOT, ce sera votre réseau IOT.

Connexions du mini-pc firewall

Pour le firewall, vous aurez pris le soin d’acheter un mini pc disposant d’au moins 3 ports réseau. En général les ports des appliances firewall sont dénommés WAN, LAN, OPT1, OPT2, etc..

Le port WAN du firewall est à connecter à un port RJ 45 de votre box internet.
Le port LAN du firewall est à connecter au port WAN du routeur Wifi principal HOME.
Le port OPT1 du firewall est à connecter au port WAN du routeur Wifi principal IOT.

Création des interfaces du firewall pfSense

Pour les 3 connexions physiques, vous devez définir dans pfSense 3 interfaces correspondantes . Les interfaces se configurent et se crées depuis le menu Interfaces. Par défaut pfSense aura déjà créé les interfaces Wan et Lan, il vous reste néanmoins à les configurer selon vos besoins.

L’interface WAN : Cette interface doit avoir une adresse IP conforme au réseau de votre box internet, par exemple 192.168.1.30 si l’adresse de votre box est 192.168.1.1. Dans la page configuration pfsense, vous pouvez choisir de donner une adresse statique ou demander une adresse dynamique qui sera allouée par le DHCP de votre box internet.

General Configuration
– Enable                  : ✓
– Description        : WAN
– IP V4                     : DHCP
– IP V6                     : None
– Mac Address        : laisser la valeur par défaut
– MTU                      : vide
– MSS                       : vide
– Speed and Duplex : Default
DHCP Client Configuration 
– laisser vide
Reserved Networks
– Block private networks : ✓
– Block bogons networks : ✓

L’interface LAN :
General Configuration
– Enable                  : ✓
– Description        : LAN
– IP V4                     : Static IPv4
– IP V6                     : None
– Mac Address        : laisser la valeur par défaut
– MTU                      : vide
– MSS                       : vide
– Speed and Duplex : Default

Static IPv4 Configuration 
– IPv4 Address : 10.1.1.100 / 16

Reserved Networks
– Block private networks : ✓
– Block bogons networks : ✓

L’interface IOTLAN (OPT1):
Dans pfSense les interfaces logiques qui correspondent aux ports physiques, WAN, LAN, OPT1, OPT2 … ont pour identifiants respectifs igb0, igb1, igb2, igb3
L’interface logique igb1 qui correspond au port OPT1 n’existe pas par défaut, vous devez la créer.

Pour cela :
– ouvrez le menu Interface/Interfaces Assignments
– dans la liste Available network ports sélectionnez igb1
– puis cliquez sur + ADD

L’interface OPT1 est alors créée. Pour la configurer cliquez sur le lien OPT1 qui vient d’apparaitre dans la page, puis saisissez :

General Configuration
– Enable                  : ✓
– Description        : IOTLAN
– IP V4                     : Static IPv4
– IP V6                     : None
– Mac Address        : laisser la valeur par défaut
– MTU                      : vide
– MSS                       : vide
– Speed and Duplex : Default

Static IPv4 Configuration 
– IPv4 Address : 10.2.1.100 / 16

Reserved Networks
– Block private networks : ✓
– Block bogons networks : ✓

Règles firewall pour l’accès internet

Les règles par défaut du firewall n’autorisent que les communications au sein d’un même réseau. Ainsi par défaut , les machines et équipements du réseau LAN peuvent communiquer entre eux, tout comme ceux du réseau IOTLAN peuvent le faire entre-eux. Par contre les communications entre les 2 réseaux sont bloquées, ainsi que les accès vers le réseau WAN, c’est à dire vers le réseau internet puisque si vous avez suivi ce tutorial votre port WAN est connecté à votre box internet.

Autoriser sur LAN les connexions sortantes à destination d’internet :

Afin que les équipements et les machines du réseau LAN puissent accéder à internet vous devez ajouter la règle firewall qui autorise les flux à sortir de LAN vers WAN.

Pour ce faire :
Ouvrez la page Firewall/Rules
Cliquez sur LAN

Dans la page Firewall/Rules/LAN qui s’affiche:
Cliquez sur ADD (flèche vers le bas)

Dans la page Firewall/Rules/Edit qui s’affiche, saisissez :

Edit Firewall Rule :

  • Action : Pass
  • Disabled : vide
  • Interface : LAN
  • Adresse Family : IPv4
  • Protocol : Any

Source :
Sélectionnez la valeur LAN net

Destination
laissez les valeurs par défaut (any)

Cliquez sur le bouton Display Advanced, dans la section qui s’affiche :
– Pour le paramètre Gateway sélectionnez Interface WAN
– laissez les valeurs par défaut dans le reste de la section.

Terminez la création de la règle par Save

Au final vous devez obtenir une nouvelle règle assez similaire à celle -ci :

Important : Bien évidemment la règle que nous venons de créer n’autorise que les flux vers internet dont la connexion a été initiée depuis le réseau LAN. Les flux qui seraient initiés depuis internet à destination du LAN restent heureusement totalement bloqués. Dans le cas où vous voudriez autoriser un flux internet entrant à accéder à une machine de votre réseau, il vous faudrait créer une règle firewall de type Redirection de port (Port Forward)

Autoriser sur IOTLAN les connexions sortantes à destination d’internet :

Ouvrez la page Firewall/Rules
Cliquez sur IOTLAN

Dans la page Firewall/Rules/LAN qui s’affiche:
Cliquez sur ADD (flèche vers le bas)

Dans la page Firewall/Rules/Edit qui s’affiche, saisissez :
Edit Firewall Rule :

  • Action : Pass
  • Disabled : vide
  • Interface : IOTLAN
  • Adresse Family : IPv4
  • Protocol : Any

Source :
Sélectionnez la valeur IOTLAN net

Destination
laissez les valeurs par défaut (any)

Cliquez sur le bouton Display Advanced, dans la section qui s’affiche :
– Pour le paramètre Gateway sélectionnez Interface WAN
– laissez les valeurs par défaut dans le reste de la section.

Terminez la création de la règle par Save

Au final vous devez obtenir une nouvelle règle assez similaire à celle -ci :

Configuration du service DHCP

Dernière étape, pour que vos 2 réseaux soient pleinement fonctionnels vous devez configurer le serveur DHCP qui alimentera en adresse IP les machines et équipements de vos 2 réseaux internes.

Configuration du DHCP pour le réseau LAN:
Cliquez dans le menu Services/DHCP Server
Sélectionner la première interface LAN.

Dans la section Général Options,
contentez vous de cochez la case Enable DHCP server on LAN interface
puis d’indiquer un range, comme par exemple :
– From : 10.1.3.100
– To : 10.1.3.254
Laissez vide les options de toutes les sections suivantes.

Pour faciliter la gestion des vos équipements, je vous conseille de déclarer des adresses statiques et en particulier celles de vos routeurs .

Pour cela :

Dans la section Save DHCP Static Mappings for this Interface,
cliquez sur +Add
puis dans le formulaire qui s’ouvre saisissez :

  • Mac Adress : l’adresse mac de votre équipement
  • IP Adress : L’adresse IP choisie pour votre équipement
  • Hostname : un nom de host pour votre équipement
  • Description : la description texte de votre équipement
  • Ignorez les autres champs
  • terminez votre saisie en cliquant le bouton Save

Remarque : certains équipement, tels que les routeurs, disposent de plusieurs adresses mac, une pour le réseau LAN, une pour le Wifi 5Ghz et une autre pour le réseau Wifi 2Ghz. Dans un tel cas il vous faudra déclarer dans la table de mapping statique jusqu’à 3 fois la même adresse IP, une fois pour chacune des 3 adresses mac.

Configuration du DHCP pour le réseau IOTLAN:
Cliquez dans le menu Services/DHCP Server et sélectionner la seconde interface IOTLAN, puis répétez la même opération que précédemment en ajustant simplement le range d’adresses IP à la plage 1.2.0.0/16 utilisée sur ce réseau.

Pour finir

Si vous avez plus ou moins suivi les étapes précédentes pour isoler votre réseau IOT, vos 2 réseaux devraient être pleinement fonctionnels et protégés avec la configuration par défaut du firewall pfSense. Vous pouvez dores et déjà connecter vos PC, smartphones, NAS, tablettes sur le réseau LAN et les objets connectés (smart tv, enceintes, caméra, imprimantes…) sur le réseau IOT. Si vos équipements sont paramétrés pour obtenir automatiquement une adresse IP, le serveur DHCP du firewall pfSense devrait leur en fournir une en conformité de la plage d’adresse du réseau où ils se trouvent.

A noter qu’avec cette configuration initiale, les serveurs DNS utilisés seront ceux de votre fournisseur d’accès internet. En effet, l’interface WAN est paramétrée pour demander une adresse IP auprès le DHCP de votre box internet ainsi que l’adresse IP du serveur DNS à utiliser . Ce serveur DNS se trouve être la box elle-même, box qui en définitive ne fait que transférer les requêtes DNS vers les DNS de votre FAI. Dans un autre article je vous expliquerai comment configurer les 2 réseaux pour que chacun utilise un DNS différent, mais aussi comment utiliser pfSense pour qu’il endosse lui-même le rôle de serveur DNS.

1008 perflib service «BITS» (1/2)

Évènement 1008 Perflib : Service «BITS»

Event ID 1008 Perflib : «Échec de la procédure d’ouverture pour le service « BITS » dans la DLL « C:\Windows\System32\bitsperf.dll ». Les données de performance de ce service ne seront pas disponibles. Le premier mot (DWORD) de la section Données contient le code d’erreur.»

La correction de cette erreur est traitée en 2 parties :
– 1 ère partie  : La reconstruction des compteurs BITS
– 2 ème partie : recherche de la source d’erreur 1008 et correction (bientôt en ligne)

1 ère partie  : Reconstruction des compteurs BITS

Cette erreur m’a donné pas mal de fil à retordre. Je suis parti du fichier perfStringBackup.ini dans lequel j’ai reconstruit l’entrée [PERF_BITS] en veillant que les entrées First Counter, First Help… etc pointaient sur les bonnes chaines dans le fichier; puis j’ai sauvé le tout dans un fichier perfStringNew.ini (pour plus de détail comment reconstruire une entrée dans le fichier perfStringBackup.ini consultez cet article)

Malheureusement, malgré la présence des données de définitions du compteur BITS; le rechargement du fichier perfStringNew.ini (lodctr /r:perfrebuild.ini) n’a pas reconstruit le compteur BITS. Pour s’en convaincre il m’a suffit d’ouvrir le nouveau fichier perfstringBackup.ini produit suite à la reconstruction, l’entrée [PERF_BITS] avait disparu, signifiant l’échec de la reconstruction.

En désespoir de cause j’ai ouvert regedit à l’entrée du compteur : HKLM\SYSTEM\CurrentControlSetServices\BITS\Performance et je l’ai comparé à la même entrée sur une autre machine. J’ai constaté qu’il manquait une la chaîne “PerfMMFilename=Global\MMF_BITS_s” et surtout que l’entrée “Object List” ne pointait pas sur la même valeur que “First Counter”. J’ai donc fait les deux modifications dans le registre et ensuite lancé une  nouvelle fois le chargement des compteurs avec mon fichier modifié (lodctr /r:perfStringNew.ini), cette fois-ci avec succès. Pour m’assurer que les compteurs étaient réellement opérationnels j’ai démarré le service BITS (net start BITS sur une ligne de commande) puis j’ai pu ajouter les compteurs de ce service dans le moniteur de performance et ceci sans générer l’erreur 1008 dans l’observateur d’évènements.

Vérification : ajout des compteurs BITS dans le moniteur de performance

Résumé de la reconstruction des compteurs BITS :

  1. reconstruction de l’entrée PERF_BITS dans une copie du fichier perfStringBackup.ini
  2. correction du registre (cf copie d’écran)
  3. Chargement du fichier modifié  perfStringNew.ini  (lodctr /r:perfStringNew.ini)

regeditbits
correction de l’entrée “service\BITS\Performance\Object List” du registre

Event 2003

Cet article décrit comment corriger la double erreur 1008 et 2003 quand elle survient dans l’observateur d’évènements.

Event ID 2003 : «Les informations de configuration de la bibliothèque de performance “C:\Windows\System32\perfts.dll” pour le service “TermService” ne correspondent pas aux informations de la bibliothèque de performance approuvée stockée dans le registre. Les fonctions de cette bibliothèque ne seront pas traitées comme étant approuvées

Correction

L’erreur survient quand un compteur de performance non déclaré comme fiable tente d’utiliser la bibliothèque de performance. Pour résoudre le problème il faut déclarer le service à l’origine de l’erreur comme étant digne de confiance (dans notre exemple il s’agit du service “TermService” signalé dans l’event 2003). L’ajout du service dans la liste des services de confiance se fait par l’intermédiaire de la commande lodctr /T

Ajout du service TermService à la liste de confiance
C:\Windows\System32>lodctr /T:TermService

&nbpsp;

Note : La plupart des opérations décrites dans cet article doivent être exécutées en mode administrateur, pour savoir comment lancer un fenêtre de commande ou d’autres exécutable en mode administrateur, consulter https://tex.fr/lobservateur-devenements-corriger-erreurs-windows/

Réparation des compteurs de performance

Erreurs de la catégorie perfmon, perflib et counter

Cet article décrit comment corriger les erreurs journalisées dans l’observateur d’évènements liées aux compteurs de performance, telles que :

Event ID 1008 : «Échec de la procédure d’ouverture pour le service «usbhub» dans la DLL « C:\WINDOWS\system32\usbperf.dll ». Les données de performance de ce service ne seront pas disponibles. Le premier mot (DWORD) de la section Données contient le code d’erreur

ou encore

Event ID 3009 : «L’installation des chaînes de compteurs de performances pour le service UGTHRSVC () a échoué. Le premier DWORD de la section Data contient le code d’erreur.»

ou encore

Event ID 2001 : «Impossible de lire la valeur « First Counter » sous la clé usbperf\Performance. Les codes d’état sont renvoyés dans les données.»

ou encore

Event ID 2007: «Impossible de réparer les compteurs de performance pour le service UGTHRSVC. Réinstallez les compteurs de performances en utilisant l’outil LODCTR.»

Reconstruction de tous les compteurs existants

La réparation des compteurs n’est pas très difficile mais peut s’avérer quelque fois fastidieuse. Si votre observateur d’évènements indique que plusieurs compteurs sont endommagés le mieux est de reconstruire tous les compteurs en un seule étape.

L’outil windows dédié au compteurs est l’utilitaire en ligne de commande lodctr.
Sous windows 10 Pour reconstruire les en une seule opération tous les compteurs de performances enregistrés sur le système on invoque lodctr avec l’option /R , une fois dans le répertoire system32 et une autre fois dans le répertoire syswow64. Ensuite on lance une resynchonisation des compteurs de performance avec winmgmt.

reconstruction des compteurs enregistrés
C:\Windows\system32>lodctr /R

C:\Windows\system32>cd C:\Windows\syswow64

C:\Windows\syswow64>lodctr /R

C:\Windows\syswow64>winmgmt.exe /RESYNCPERF

 

Reconstruction unitaire d’un compteur défaillant

Chaque compteur de performance est associé à un service, pour reconstruire un compteur il faut recharger le fichier .ini du service avec l’utilitaire lodctr. Pour le service monService on trouvera le fichier .ini dans le répertoire c:\windows\inf\monService. Tout dépend du message d’erreur qu’on lit dans l’observateur d’évènement, quelque fois le nom du service qui est cité dans le message d’erreur est identique au nom du répertoire , d’autre fois cela peut être un peu compliqué car le nom peut avoir par exemple été traduit en français.

Par exemple dans le cas des erreurs 1008 Perflib: Échec de la procédure d’ouverture pour le service « ESENT » dans la DLL.. le nom du répertoire sera c:\windows\inf\esent.

Prenons le cas du compteur ESENT , ouvrons une fenêtre de commande en mode admin et rendez-vous dans le répertoire \windows\inf\esent

reconstruction d’un compteur
Microsoft Windows [version 10.0.10586]
(c) 2015 Microsoft Corporation. Tous droits réservés.
C:\WINDOWS\system32>cd \Windows\INF\ESENT

C:\Windows\INF\ESENT>dir
Le volume dans le lecteur C n’a pas de nom.
Le numéro de série du volume est 5420-B09C

Répertoire de C:\Windows\INF\ESENT

30/10/2015  20:00    <DIR>          .
30/10/2015  20:00    <DIR>          ..
30/10/2015  08:24    <DIR>          0000
30/10/2015  20:00    <DIR>          040C
30/10/2015  08:17            34 218 esentprf.hxx
1 fichier(s)           34 218 octets
4 Rép(s)  138 081 681 408 octets libres

C:\Windows\INF\ESENT>

 
On se retrouve face à 2 répertoires contenant chacun un fichier esentprf.ini, 0000 contient le fichier en anglais, 040C contient sa version en français (040C est la valeur hexadécimale de la locale windows pour le français, consultez Language Collections pour une liste exhaustive). Pour certain compteur, le répertoire 040C est remplacé par le répertoire 00C.

Dans le cas de notre exemple du compteur ESENT, la reconstruction se fera en rechargeant le fichier 040C\esentprf.ini avec lodctr

reconstruction compteur

C:\Windows\INF\ESENT>lodctr 040c\esentprf.ini

 

Vérification de la reconstruction
Quand lodctr reconstruit le compteur du service “monservice”, il ajoute des informations dans le registre sous la clé HLM\System\CurrentControlSet\Services\monservice\Performance

registreesent
les compteurs du service esent dans le registre

La seconde chose que fait lodctr quand il reconstruit un compteur, c’est d’alimenter les références et les noms des compteurs utilisés par l’analyseur de performances.

performanceesent
les compteurs esent (base de données) dans l’analyseur de performance

Le fichier PerfStringBackup.ini
Quand les 2 opérations, reconstruction du registre et mise à jour de l’analyseur de performance, se sont bien déroulées, lodctr met à jour le fichier c:\windows\System32\PerfStringBackup.ini avec les éléments du compteur. Vous savez que tout s’est bien passé en vérifiant que ce fichier a été mis à jour. Ce fichier peut s’avérer utile si plus tard en cas de nouveau problème vous décidez de reconstruire en une seule opération tous vos compteurs que vous aviez patiemment corrigés, pour cela il vous suffira d’invoquer la commande lodctr /R:perfStringBackup.ini”.

Le fichier perfStringBackup.ini est constitué de 2 parties:
– Une première dans lequel se trouve la référence des 4 clés First/Last counter et First/Last Help pour le compteur su service.

// la référence des compteurs du service ESENT dans le fichier perfStringBackup.ini
....
[PERF_ESENT]
First Counter=2476
First Help=2477
Last Counter=4368
Last Help=4369
.....

– Une seconde partie qui contient la table de référence utilisée par l’analyseur de performance.

// tables des compteurs du service ESENT dans le fichier perfStringBackup.ini
....
2476=Database
2477=Database provides performance statistics for...
2478=Pages Converted/sec
2479=Pages Converted/sec is the number of times...
...
4368=Database Cache Size Unused
4369=Database Cache Size Unused is ...
...

Pour le service ESENT, vous pouvez constater que dans le fichier perfStringBackup.ini la valeur de First Counter, 2476, est celle du premier libellé (2476=Database) et la valeur de Last Help, 4369, est celle du dernier libellé (4369=Database Cache Size Unused is …). Ces lignes vont par paires, la première est le titre du compteur (counter) et celle qui suit son détail (help), ce sont ces titres et détails que vous retrouvez dans la liste des compteurs de l’analyseur de performance.

Résoudre les problèmes de reconstruction
Parfois Lodctr rencontre quelques problèmes pour créer les compteurs, dans ce cas la commande lodctr /Q peut aider à vérifier que le compteur a correctement été ajouté au registre. Les 4 valeurs “First Counter”, “Last Counter”, “First Help”, “Last Help” listées par la commande doivent correspondre à celles présentes dans le registre.

vérification d’un compteur
C:\Windows\INF\ESENT>lodctr /Q:esent
Performance Counter ID Queries [PERFLIB]:
Base Index: 0x00000737 (1847)
Last Counter Text ID: 0x00002B6A (11114)
Last Help Text ID: 0x00002B6B (11115)[ESENT] Performance Counters (Enabled)
DLL Name: %systemroot%\system32\esentprf.dll
Open Procedure: OpenPerformanceData
Collect Procedure: CollectPerformanceData
Close Procedure: ClosePerformanceData
First Counter ID: 0x000009AC (2476)
Last Counter ID: 0x00001110 (4368)
First Help ID: 0x000009AD (2477)
Last Help ID: 0x00001111 (4369)
C:\Windows\INF\ESENT>

 

Quelque fois il arrive que Lodctr reconstruise correctement les 4 clés du registre mais qu’en revanche il ne soit pas capable d’ajouter les compteurs dans l’analyseur de performance. Dans ce cas lodctr ne met pas à jour le fichier PerfStringBackup.ini, cette absence de mise à jour lors de la reconstruction est le signal que quelque chose ne s’est pas correctement passé ou bien qu’une opération supplémentaire est nécessaire.

Par exemple dans le cas d’erreurs concernant les compteurs du service “rassembleur”, il vous faudra vous assurer de mettre à jour les compteurs des 2 services UGatherer et du service UGTHRSVC.

L’absence du fichier en langue anglaise dans le répertoire \Windows\inf\monService\0409 peut également être une source de difficulté. Dans ce cas de figure on peut recopier dans le répertoire 0409 celui présent dans le répertoire 040C puis l’éditer pour remplacer la propriété de langue “00C=French” par “009=English”, ensuite on renouvelle à l’identique l’opération de reconstruction avec lodctr et le fichier présent dans le répertoire 040C.

Avant de retenter une opération de reconstruction qui n’aurait pas abouti correctement, il peut s’avérer parfois utile de supprimer (ou renommer) les 4 clés “First Counter”, “First Help”, “Last Counter”, “Last Help” du registre pour le service concerné.

Si la reconstruction d’un compteur individuel échoue, alors si votre fichier PerfStringBackup.ini est plus ou moins à jour vous pouvez l’utiliser pour recharger l’ensemble des compteurs (lodctr /R:\windows\system32\perfStringBackup.ini”). Attention, tous les compteurs qui ne sont pas présents dans ce fichier se retrouveront dans un état invalide qui nécessitera leur reconstruction individuel. Toutefois avant de démarrer l’opération, il est possible d’ajouter manuellement dans le fichier perfStringBackup.ini les entrées qui manquent. Pour chaque service manquant, vous devez ajouter le bloc [Perf_monservice] et la liste des paires titre/détail (nnnn=… nnnn+1=…) tout en veillant que les valeurs First/Last/Counter/Help du bloc [Perf_MonService] soient en phase avec les indices de la liste des paires titres/détails (cf détail fichier perfStringBackup.ini). Vous pouvez récupérer la liste des paires titre/detail d’un service sur une autre système windows, ou la reconstruire en partant du fichier .ini présent dans le répertoire \windows\inf\Monservice\040C. Vous pouvez également récupérer le fichier perfStringBackup.ini d’une machine de configuration similaire.

Et dans le cas ultime où vous ne réussiriez pas à reconstruire les compteurs d’un service, vous pouvez tout de même supprimer le message d’erreur journalisé périodiquement dans l’observateur d’évènements en désactivant le compteur via la commande lodctr /D:monService (l’option /E:monService sert à le réactiver).

Note : La plupart des opérations décrites dans cet article doivent être exécutées en mode administrateur, pour savoir comment lancer un fenêtre de commande ou d’autres exécutable en mode administrateur, consulter https://tex.fr/lobservateur-devenements-corriger-erreurs-windows/

Le système ne se met plus en veille automatique

Le système ne se met plus en veille automatique

Du jour au lendemain, sans prévenir, votre pc refuse de rentrer en veille automatique.  dans ce cas vous pouvez tenter de reconstruire le fichier hiberfil.sys en exécutant successivement les 2 commandes suivantes :

c:\users\tex>  powercfg /h off
c:\users\tex>  powercfg /h on

Si votre pc rechigne toujours à rentrer en veille, vous pouvez éventuellement repérer les éléments qui interdisent la mise en veille avec la commande powercfg -reauests

C:\WINDOWS\system32> powercfg -requests
DISPLAY :
Aucune.

SYSTEM :
Aucune.

AWAYMODE :
Aucune.

EXÉCUTION :
Aucune.

PERFBOOST :
Aucune.

C:\WINDOWS\system32>

Note : La plupart des opérations décrites dans cette page doivent être exécutées en mode administrateur, pour savoir comment lancer un fenêtre de commande ou d’autres exécutable en mode administrateur, consulter https://tex.fr/lobservateur-devenements-corriger-erreurs-windows/

La correction des erreurs de windows

observateur Si vous ne savez pas ce qu’est l’observateur d’évènements de windows alors il vous reste 3 secondes pour fermer cette page en espérant que le temps effacera de votre mémoire cet accès intempestif . Évidement si vous avez décelé des pannes du système ou des applications windows que vous avez tentez des les corriger alors forcément un jour vous avez ouvert l’observateur d’évènement et découvert avec stupéfaction qu’il y résidait toute une flopée d’icônes rouge vif   qui servaient d’étendard sanglant à une armée d’erreurs.

Si vous  vous êtes sous windows 10, vous pouvez par exemple lancer l’observateur par un appui simultané sur les touches  et X, puis en sélectionnant la 3ème entrée du popup-menu “Observateur d’évènement” ou soit encore en tapant eventvwr.msc depuis la ligne de commande.

Les 3 entrées les plus intéressantes pour la chasse aux erreurs sont respectivement les onglets «journaux Windows/Application»,  «journaux Windows/Système» et «journaux enregistrés/Microsoft-Windows-TwinUI Operational». Bien souvent une même erreur laissera des traces simultanément dans ces 3 journaux, comme dans l’exemple ci-dessous.

3events
Une même erreur loguée dans 3 journaux

La partie la plus utile pour recueillir des informations sur l’erreur se trouve dans le panneau de détail situé sous la liste. Ce panneau se décompose 3 parties. Une partie Titre qui donne l’id de l’évènement, un onglet «Général» qui donne le log textuel de l’erreur et un onglet «Détail» qui apporte une série d’informations techniques sous format XML.

paneau d'information event log
Le panneau de détail

 

L’ID de l’événement qui apparait dans le titre vous permettra de faire des recherches sur internet pour tenter de trouver l’origine de l’erreur. Si comme moi vous avez une version française de windows, il faudra traduire le texte de l’erreur pour augmenter vos chances de d’exhumer d’niternet la bonne information.  Par exemple pour une entrée «Évènement 5973  Échec de l’activation de l’application Microsoft.Messaging_8wekyb3d8bbwe!ppleae38af2e007f4358a809ac99a64a67c1 avec l’erreur : Accès refusé. Pour plus d’informations, voir le journal Microsoft-Windows-TWinUI/Opérationnel.» tentez sur google la recherche suivante «Windows event 5973 access denied  TwinUI»

La correction des erreurs de windows

La plupart du temps sur des sites comme  answers.microsoft.com ou social.technet.microsoft.com les experts vous donnerons comme conseil (en général inutile) d’effectuer les éternelles et mêmes opérations et cela quelque soit l’erreur que vous rencontrez. N’ayez pas peur de lire les commentaires des utilisateurs qui pourront quelque fois vous aiguiller sur la bonne solution.

La ligne de commande

Ces opérations standards par défaut à effectuer avant de passer à plus sérieux c’est d’exécuter sous ligne de commande et en mode administrateur ([sg_popup id=”1″]détail ici[/sg_popup])  les 2 commandes suivantes, l’unes après l’autres puis de rebouter.

c:\users\Tex> sfc /scannow
c:\users\Tex> Dism /Online /Cleanup-Image /RestoreHealth


Windows Powershell

Quelque fois la solution consiste à reinstaller/désinstaller les packages windows. Pour cela vous devrez ouvrir une fenêtre de commande Windows PowerShell en mode admin. Pour ouvir le powerShell, le plus rapide sous windows 10 consiste à presser simultanément et X puis à sur l’option «Windows PowerShell (admin)». En général, l’opération la plus conseillée par les «experts» microsoft consiste en la réinstallation des packages windows via une ligne de commande power shell.

PS c:\Windows\System32> Get-AppXPackage -AllUsers | Foreach {Add-AppxPackage -DisableDevelopmentMode -Register "$($_.InstallLocation)\AppXManifest.xml"}

Réinstallation des packages
Service de composants

Quelque fois la correction consiste à modifier les droits d’accès des composants DCOM Pour cette opération vous devrez lancer le gestionnaire des services de composants: tapez «services de composants» dans le champ de recherche de la barre de commande windows puis cliquer droit pour exécuter en mode administrateur (ou dcomcnfg depuis une ligne de commande).

servicescomposants
Le service de composants DCOM

Editeur du registre

Le plus souvent la correction nécessitera d’opérer des modification dans le registre windows.  La aussi vous devrez lancer l’éditeur du registre en mode administration, tapez «regedit» dans le champ de recherche de la barre de commande windows puis cliquer droit pour exécuter en mode administrateur. Attention, une mauvaise manipulation étant très rapide quand on travaille sur le registre, veuillez avant toute opération créer un point de restauration système ou faite une sauvegarde de votre système avec votre application de backup préférée.

editeurderegistre
L’éditeur de registre

VPN Anonyme avec le Client OpenVPN Merlin

Un Tunnel VPN, quel intérêt?
Le client VPN Asuswrt-merlin
Configuration pour le service VyprVPN de golden frog
Paramétrage additionnel du DNS (Configuration avancée optionnelle 

Un VPN anonyme, quel intérêt?

Que vous soyez préoccupé par la protection de votre privée ou par la sécurisation de vos connexions internet, alors forcément vous avez au moins entendu parler de la notion de de tunnel vpn ou de vpn sécurisé anonyme.  Un réseau vpn sécurisé anonyme c’est tout d’abord, comme l’indique son acronyme anglais, un réseau privé virtuel, c’est à dire un réseau privé qui bien que routé à travers internet relie 2 sites distants comme s’ils étaient connectés localement. Ainsi lorsque vous vous connectez au vpn, vous établissez sur internet entre vous et le serveur distant une sorte de tunnel dans lequel va passer le trafic de ce réseau local. Le vpn est dit sécurisé quand le tunnel encrypte le trafic qui y transite, rendant le flux qui s’écoule entre vous et le serveur vpn distant impossible à lire ou à journaliser, même pour votre FAI. Quand au caractère anonyme, il provient du fait que pour sortir de ce réseau privé, et donc “surfer sur internet”, vous allez emprunter une passerelle située au delà du serveur vpn distant, ce qui au bout du compte vous donne une nouvelle adresse IP externe différente de celle allouée par votre FAI. Pour être encore plus précis, la passerelle respecte son caractère d’anonymat si d’une part elle ne relaie pas votre vraie adresse IP dans les headers HTTP (telle  que par exemple  REMOTE_ADDR) et si la politique du fournisseur du service vpn est de ne garder aucun log de vos connexions.

En passant par les services d’un réseau vpn sécurisé anonyme d’un prestataire ne gardant pas de logs de connexions, d’une part on protège le caractère privé de ses connexions, votre FAI est dans l’impossibilité de tracer ou de connaitre le contenu de vos connexions, et d’autre part à l’autre bout de la connexion on se rend “IP-anonyme” auprès de tout site internet auquel on accède. J’utilise le néologisme IP-Anonyme, pour bien montrer qu’un site ne pourra par remonter vers vous connaissant l’adresse IP de votre connexion VPN mais qu’il pourra vous identifier par d’autres moyens si vous n’avez pas été prudent, par exemple par l’intermédiaire d’un cookie que le site vous aura laissé lors d’une précédente connexion non sécurisée (c’est pourquoi je conseille vivement d’opter pour la politique de nettoyage des cookies à la fermeture du browser).

Maintenant la question traditionnelle qui suit  cette présentation est de savoir pourquoi devrait-on rendre anonyme et sécuriser sa connexion quand on a rien à se reprocher? Alors à moi de renverser la question en demandant pourquoi la loi oblige un FAI à conserver les connexions de tous les citoyens si la loi n’a rien à reprocher aux citoyens? Et d’ailleurs, qui est certain que l’exploitation des journaux de connexions n’évoluera pas du jour au lendemain vers une exploitation autre que celle de la justice. Vous êtes vous posé la question de savoir où sont stockés ces relévés, qui y a accès, est-ce que leur exploitation est encadrée, restreinte et surveillée? Qui peut être certain que ces logs ne seront pas gardés ad vitam, puis vendus (ou volées) pour devenir des sources de big data? Que direz vous si dans dix ans demandant un prêt à votre banque celle-ci vous rétorque que vous surfez un peu trop sur les sites de poker en ligne? Que savez vous de l’avenir pour être sûr que nous allons vers une société qui respecte de plus en plus les libertés individuelles; je crains fort que nous soyons engagé dans un chemin contraire. Alors oui, même si vous n’êtes pas un adepte du P2P qui veut échapper à HADOPI, même si vous n’êtes pas un cyber-hacktiviste  désirant ne pas laisser de trace de ses actions, même si vous n’avez rien à vous reprocher dans vos activités sur internet, anonymiser ses connexions c’est investir dans une police d’assurance pour un futur plus serein. Et pour finir même si vous avez foi en l’avenir du respect des libertés, utiliser une connexion vpn anonyme c’est aussi se préserver contre un certains nombre d’attaques qui peuvent être lancées lorsque au hasard d’une connexion sur un site louche ou compromis, votre IP tombe entre les mains de mauvaises personnes; en utilisant l’IP de votre service VPN les pirates ne pourront pas remonter jusqu’à vous. Et rappelez vous que vous n’êtes pas le seul à surfer à la maison, non je ne parle pas de votre conjoint ni de vos enfants mais de tous les appareils connectés qui établissent bon nombre de connexions (mise à jour, envois de stats,…), sans que vous en soyez totalement conscient. Passer par une adresse ip anonyme c’est se prémunir contre un certain nombre d’attaques si le site auquel il se connecte est compromis ou investi par une personne malveillante.
 

Le client OpenVpn Merlin

L’intérêt d’installer un client vpn sur son routeur c’est bien entendu pouvoir partager un seul et unique compte vpn entre tous les appareils connectés de son réseau. C’est aussi se passer de l’installation de clients vpn sur ses machines, ce qui en plus d’être invasif et fastidieux, ralenti bien souvent la machine et n’est pas toujours possible (vous avez une option vpn sur votre cube canal+ ?).

Qui dit client vpn sur routeur asus, dit Asuswrt-merlin, alors si ce n’est pas encore fait, vous installez merlin, vous avez tout à gagner à le faire, vous trouverez plus de détail dans cet article. Il est important de savoir que le client open vpn Merlin est basé sur le client vpn du firmware Tomato; ainsi si votre prestataire vpn ne prévoit aucun support pour les routeurs asus merlin vous avez la possibilité de vous rabattre sur une éventuelle section dédiée aux routeurs Tomato qui constitue une excellente base de départ pour mettre au point sa configuration.

Dans cet article, j’ignorerai les modes PPTP/L2TP présent dans le firmware Merlin pour ne décrire que le seul client openvpn; en terme de sécurité la comparaison est sans pitié ;-), quand on a à disposition un client open vpn, on utilise ce protocole.

Accès au paramétrage et utilisation
Pour accéder à la page de configuration du client openvpn, depuis l’interface d’administration web du routeur on clique dans l’entrée “VPN” du menu de gauche puis sur l’onglet “OpenVpn Client”.  On arrive alors une page organisée en trois sections :

  • Client control permet le démarrage ou l’arrêt des clients
  • Basic Settings contient les paramètres généraux du compte et de la connexions vpn
  • Advanced Settings contient des paramètres plus spécifiques à OpenVPN
 Section Client control 

Section des paramètre de contrôle du client VPN
Section des paramètre de contrôle du client VPN

Select Client Instance : Le paramètre offre la possibilité de configurer 2 clients. Les fonctionnalités de paramétrages sont identiques sur les 2 clients, l’intérêt ici est de pouvoir basculer manuellement de l’un vers l’autre client au besoin. Par exemple vous pouvez configurer un client avec une adresse en France et un autre avec une adresse aux USA et ensuite commuter de l’un vers l’autre quand le site ou la ressource que vous tentez d’accéder est interdite d’accès pour l’un des deux pays. Pour switcher d’un client à l’autre, mieux vaut auparavant stopper le client actif pour ensuite démarrer le second car techniquement il est possible d’activer les deux clients en même temps (surtout ne me demandez pas ce qu’on obtient quand les 2 clients activés!!).

Service state : Ce bouton affiche l’état du client sélectionné tout faisant office d’interrupteur ON/OFF du service.

Import de fichier opvn  : Avec cette fonctionnalité vous pouvez initialiser le client à partir d’un fichier opvn. Généralement les prestataires de services vpn mettent à disposition ces fichiers pour configurer les clients openvpn plus classiques, windows, mac, android,…   mais ces fichiers peuvent être édités et adaptés à un autre type de client.

 Section Basic Settings 

Paramètres de la connexion vpn
Paramètres de la connexion vpn

Start with WAN : Option de démarrage automatique du client au boot du routeur.

Type d’interface : TUN, TAP. L’option TUN sert à créer le tunnel de données sécurisées au niveau de la couche IP alors que l’option TAP le crée au niveau de la couche ethernet et par conséquent autorise le réseau vpn à véhiculer d’autres protocoles que IP (Net-Bios par exemple).  Pour du surf anonyme via un vpn sélectionnez le mode TUN.

Protocole : UDP,TCP. L’option de choix est UDP car c’est elle qui donne la connexion la plus rapide. Basculez en TCP seulement si vous observez des soucis de connexion.

Serveur adress an port : Ces 2 champs doivent contenir l’adresse et le port d’un serveur vpn parmi ceux que votre fournisseur vpn met à votre disposition. Le champ adresse peut recevoir une adresse ip ou une adresse host. Nous verrons plus loin que l’utilisation d’une adresse host peut être problématique lorsque le service vpn tombe.

Pare-feu : Automatic, External only, Custom. Ce paramètre agit sur les règles d’ouverture du firewall (iptables) au démarrage du client :

  • Automatic, ajoute les règles pour ouvrir les connexions entrantes et sortantes sur le port vpn.
  • External only, ajoute les règles pour ouvrir seulement les connexions sortantes.
  • Custom, ne crée aucune règle. Automatic, est l’option à choisir pour autoriser toutes les activités internet; si vous ne pratiquez que du surf vous pouvez être plus restrictif en optant pour External only.

Authentication …. Authentification HMAC : Cette série de champs paramètrent la couche de sécurité et la méthode d’authentification. Bien que les configurations soient spécifiques à chaque fournisseur de service VPN, elles sont en bien souvent indépendante du client VPN, ce qui veut dire que si votre prestataire ne donne aucun support pour votre routeur Merlin, vous pouvez répliquer ici le paramétrage indiqué pour tout autre client, windows ou linux; etc.

Create NAT on tunnel : Pour le surf anonyme on sélectionnera OUI. L’option NON servant plus spécialement quand on veut “bridger” 2 réseaux à travers un vpn.

Advanced settings

vpn-advancedsettings

Intervalle d’interrogation Fréquence de redémarrage du client. En définissant une valeur autre que 0, le système va planifier une tâche périodique chargée de relancer le client à intervalle régulier.

Redirect Internet traffic : Indique au serveur vpn s’il faut ou non relayer le trafic qui est à destination d’internet. Dans une utilisation du vpn en mode “surf anonyme”, la passerelle distante sert toujours de porte de sortie au trafic internet, le choix retenu n’a donc que peu d’importance. Vous pouvez laisser l’option sur NON.

Accept DNS Configuration : Avec ce paramètre vous configurez la politique d’interrogation des DNS qui va être instaurée dès le démarrage du client.

  • Strict : Interroge en priorité les serveurs DNS du réseau vpn, avec en cas d’échec un repli sur les serveurs DNS du routeur (par défaut ceux configurés dans les champs DNS1 et 2 de la page “réseau étendu”).
  • Exclusive : Interroge seulement les serveurs DNS du réseau vpn
  • Relaxed : Sélectionne parmi les serveurs DNS du réseau vpn ou du routeur celui qui répond le plus rapidement
  • Disabled : Aucun paramétrage de la politique de DNS n’est effectué

Il est très important de prendre conscience qu’en matière d’anonymat les serveurs DNS sont des brèches qui rompent la confidentialité. Vous avez beau surfer anonymement en passant par un vpn, la confidentialité de votre surf tombe dès l’instant où vous laissez les serveurs DNS de votre FAI résoudre les les adresses IP des sites auxquels vous vous connectez. Puisque l’objet du vpn anonyme est d’assurer la confidentialité du surf, la seule option à retenir ici est Exclusive. Avec l’option Exclusive, la résolution des adresses est uniquement assurée par le serveur DNS du réseau VPN, ce qui préserve l’anonymat. Mais attention, les prestataires de VPN anonymes n’incluent pas tous un serveur DNS anonyme dans leurs solutions, assurez-vous de la présence de ce service avant vous engager sur une offre.

Chiffrage : et Compression : sont à configurer conformément aux indications données par votre prestataire.

TLS Renegotiation Time : Le canal de données est sécurisé par un jeu de certificat négocié au démarrage du service. En indiquant ici une durée en secondes vous pouvez paramétrer une renégociation périodique. 0 désactive la renégociation périodique, -1 utilise la valeur par défaut (3600).

Connection retry : La durée d’attente en secondes entre 2 tentatives de connexions.

Verify Server Certificate : Active le contrôle de validité des certificats. Cette option qui nécessite la présence d’un fichier contenant les certificats révoqués n’a pas réellement de sens pour une connexion à un service vpn privé, laissez-là désactivée.

Configuration personnalisée : Cette zone de saisie autorise l’ajout libre de paramètres openvpn additionnels. En pratique la configuration requise par votre prestataire peut comporter des paramètres que vous ne retrouvez pas dans l’interface Web, c’est ici que vous les rajoutez.
 

Configuration pour le service VyprVPN de golden frog

Golden Frog propose un service vpn anonymisé sans log, le respect de l’anonymat est d’autant plus assuré que c’est une société de droit Suisse, pays dans lequel le respect de la vie privée a encore un sens pour le legislateur. A ce propos sachez que les firmes de droit US y compris les fournisseurs vpn sont tenues dans le cadre du patriot act de transmettre sur requête de l’administration américaine les identités et les logs de connexions de leurs utilisateurs, quoi qu’elles en disent elles alimentent forcément des logs. Coté qualité de service Golden frog n’est pas non plus en reste, ses serveurs vpn assurent une bonne stabilité de connexion ce qui est un point essentiel pour une utilisation sur routeur. A l’heure ou je rédige ses lignes, golden frog offre un trial gratuit d’une durée de 3 jours, avant de vous engager vous avez donc le temps de vous assurer que votre routeur est bien compatible avec le service. Vous trouverez plus de détails sur son offre vyprvpn à cette adresse http://www.goldenfrog.com/vyprvpn.

Pour paramétrer votre accès au service VyprVPN de golden frog vous pouvez saisir la configuration suivante :

Type d’interfaceTUN
ProtocoleUDP
Server AddressL’adresse host de l’un des serveurs VyprVPN
Server Port1194
Pare-feuAutomatic
AuthentificationTLS
Certificate Authorityvoir ci-dessous
Username/Password AuthenticationOui
UsernameVotre identifiant golden frog
PasswordVotre mot de passe golden frog
Authentification par nom d’utilisateur / mot de passeOui
Authentification HMACdisabled
Create NAT on tunnelOui
Intervalle d’interrogation0
Redirect Internet trafficNon
Accept DNS ConfigurationStrict
ChiffrageDefault
CompressionAdaptative
TLS Renegotiation Time0
Connection Retry30
Verify Server CertificateNon
Configuration personnaliséetls-client
verb 5
keepalive 5 30

 
Saisie du Certificate Authority :

L’authentification TLS requiert la clé de certificat de type Authority fournit par golden frog. L’ajout de la clé est simple, il faut tout d’abord copier dans le presse papier le certificat (cliquez ici pour l’afficher), puis le coller dans la zone Certificate Autority de l’écran Keys and Certificates. On accède à cet écran en cliquant sur le lien Content modification of Keys & Certificates présent à droite du paramètre Authentification.
Attention de vous assurer de bien inclure les lignes BEGIN CERTIFICATE et END CERTIFCATE ainsi que garder le formatage de la clé en séquence de 64 caractères de long.

Ecran Keys and Certificates
Ecran Keys and Certificates

 
Paramétrage additionnel du DNS (Configuration avancée optionnelle)
Quelque fois alors même que le client openvpn fonctionne, le serveur vpn ne répond plus, dans ce cas le client retente une connexion au serveur vpn. Dans notre configuration comme l’adresse du serveur est un nom de machine (ex : de1.vpn.goldenfrog.com), pour que le client retente la connexion il doit au préalable obtenir l’adresse IP du nom de machine auprès d’un serveur DNS. Or je vous rappelle que pour des raisons de confidentialité nous avons configuré la politique DNS en mode Strict, ce qui signifie que la résolution des noms est exclusivement effectuée par le serveur DNS de golden frog, serveur localisé sur le réseau vpn. Pour résumer la situation, le client qui veut se reconnecter au réseau vpn a besoin du réseau vpn pour obtenir l’adresse IP de connexion; effectivement vous l’avez compris, ça coince :-). Vous me direz, qu’à cela ne tienne, utilisons dans le paramétrage du client l’adresse IP au lieu du nom de machine et le tour est joué. Certes, c’est une solution, mais si c’est là prudence ou la continuité de service qui vous guide alors vous devez vous interroger sur la pérennité d’une adresse IP, si golden frog met à disposition des noms de hosts c’est qu’il est peu probable que leurs adresses ip restent immuables dans le temps. Alors à vous de voir…

Pour résoudre notre problème nous allons faire intervenir le service dnsmasq. DnsMasq est un serveur DNS, c’est en fait le serveur DNS (et DHCP) local au routeur. Quand une requête de résolution DNS est demandée c’est vers ce serveur qu’elle aboutie avant que lui même ne soustraite la requête en la réexpédiant vers un serveur DNS externe, dans notre cas le serveur DNS golden frog du réseau vpn. Cette stratégie de réexpédition est le fruit de notre paramétrage, en ayant choisi de configurer la politique DNS en mode Strict nous n’avons rien fait d’autre qu’indirectement paramétrer Dnsmasq pour qu’il se comporte ainsi.

Ce que nous allons faire pour nous sortir de notre situation de blocage c’est indiquer à Dnsmasq que pour la résolution des noms du domaine vpn.goldenfrog.com, il doit utiliser le DNS habituel (celui du F.A.I) et non plus le dns du réseau VPN. Dnsmasq peut être configuré par ligne de commande ou directement par son fichier de paramètres /tmp/etc/dsnmasq.conf, ainsi exécuter la commande dnsmasq --monoption=unparametre revient à ajouter la ligne monoption=unparametre dans ce fichier. Vous pouvez consulter l’ensemble des commandes sur la page man dédiée à dnsmasq.

Parmi les commandes dnsmasq c’est –server qui va nous aider à débloquer la situation. En effet, grâce à cette commande on peut spécifier l’adresse d’un serveur DNS vers lequel dnsmasq doit s’adresser pour résoudre les adresses concernant un nom de domaine en particuler. Ainsi --server=/undomaine.com/1.2.3.4 indique à dnsmasq qu’il doit s’adresser au serveur dns 1.2.3.4 dès lors qu’il s’agit de résoudre les adresses qui se terminent par undomaine.com et uniquement celles-ci. La solution à notre problème est donc simple, on paramètre dnsmasq pour que les résolutions d’adresses concernant le domaine vpn.goldenfrog.com soient relayées au serveur de notre F.A.I, ou par exemple à un des serveurs DNS public de google (8.8.8.8). Ainsi en rajoutant la commande server=/vpn.goldenfrog.com/8.8.8.8 à la fin du fichier dsnmasq.conf, la résolution des adresses des hosts vpn de golden frog se fera sur un dns externe au réseau vpn, et donc restera possible même quand ce réseau vpn est tombé. En passant par un dns qui ne respecte pas l’anonymat nous avons certes fait une petite entorse à notre politique Strict, mais elle n’est pas très sensible puisque elle se restreint à la résolution des seules adresses du domaine goldenfrog.com.

Vous pouvez ajouter manuellement cette ligne dans le fichier /tmp/etc/dsnmasq.conf, l’ennui c’est qu’elle sera écrasée dès le prochain arrêt relance du routeur. Là encore, la release Merlin vient à notre rescousse en nous offrant la possibilité de compléter automatiquement certains paramétrages au démarrage de tel ou tel service(plus d’info ici). Pour cela il faut d’abord avoir initialisée sur votre routeur la partition JFFS. Si cette partition existe, vous pouvez alors créer un fichier /jffs/configs/dnsmasq.conf.add contenant cette simple commande. A chaque redémarrage, les commandes contenues dans le fichier /jffs/configs/dnsmasq.conf.add seront automatiquement ajoutées à la fin du fichier tmp/etc/dsnmasq.conf.

admin@RT-AC68U:/# cat /jffs/configs/dnsmasq.conf.add
server=/vpn.goldenfrog.com/8.8.8.8

admin@RT-AC68U:/#

Je sais qu’après tout ces efforts, une mauvaise nouvelle serait mal venue, pourtant cette configuration de dnsmasq ne se suffit pas en elle même. Ici le dernier (promis) problème vient de la configuration de la table de routage. Au démarrage du client vpn, la table de routage est configurée pour que tout le trafic à destination d’internet soit envoyé sur le réseau vpn. Et puisqu’il n’existe plus aucune route externe qui ne passe par le réseau vpn, le service dnsmasq est dans l’incapacité de dialoguer avec le serveur dns externe (8.8.8.8) que nous venons de paramétrer. Qu’à cela ne tienne, nous ouvrons spécialement une nouvelle route dédiée à ce serveur dns. La commande est la suivante route add -host 8.8.8.8 netmask 0.0.0.0 gw 192.168.1.1 dev eth0 (192.168.1.1 étant l’adresse locale de votre box internet)

admin@RT-AC68U:/# route add -host 8.8.8.8 netmask 0.0.0.0 gw 192.168.1.1 dev eth0
admin@RT-AC68U:/#

Pour les mêmes raisons qu’évoquées précédemment, nous ajoutons cette ligne de commande dans le shell script /jffs/script/wan-start qui est exécuté par le système au démarrage juste après qu’il ait configuré l’interface wan.

admin@RT-AC68U:/tmp/home/root# cd /jffs/scripts/
admin@RT-AC68U:/jffs/scripts# cat 1>wan-start
#!/bin/sh
route add -host 8.8.8.8 netmask 0.0.0.0 gw 192.168.1.1 dev eth0
^C
admin@RT-AC68U:/jffs/scripts# chmod 700 wan-start
admin@RT-AC68U:/jffs/scripts# ll
-rwx—— 1 admin root 80 Dec 6 22:47 wan-start*
admin@RT-AC68U:/jffs/scripts#

Voilà, votre configuration devrait maintenant être opérationnelle. Alors bon surf anonyme, mais rappelez vous qu’un vpn et une ip anonyme ne font pas pas tout, l’anonymat et la confidentialité dépendent également des autres traces que vous laissez derrière vous (cookies, authentification à des sites, url de tracking dans les mails, chat, informations laissées sur des réseaux sociaux, etc).

Firmware Asuswrt-Merlin

Le beur et l’argent du beur.

Le firmware Asuswrt-Merlin est un firmware non officiel compatible avec la plupart des routeurs personnels de la gamme Asus. Ce firmware est développé par un passionné qui se fait connaître sous le nom de …R.Merlin. L’avantage du firmware Merlin est que contrairement à bien d’autres firmwares de routeurs communautaires il ne vient pas en remplacement mais en extension du firmware officiel. Cela signifie que si vous l’installez alors vous continuez de disposer de toutes les fonctionnalités présentes en standard sur votre routeur, vous gagnez en nouvelles fonctionnalités sans en perdre aucune, le bénéfice est total. Il faut également savoir que son auteur travaille en étroite collaboration avec l’équipe de développement du constructeur et qu’en plus cette dernière réintègre très fréquemment dans le firmware officiel des modules développés dans les releases Asuswrt-Merlin. Réciproquement, Merlin est très réactif et propose une nouvelle version de son firmware propiétaire dès la sortie des nouvelles versions du firmware officiel.  Le firmware, open source, Asuswrt-Merlin est un must, il est un des critères principaux dans le choix définitif de la marque Asus lors de l’acquisition d’un routeur.

Elle est fraîche ma tomate.

Dès l’instant où votre but est de faire passer toutes vos connexions internet via un vpn anonyme, l’acquisition d’un routeur capable de faire tourner un client open vpn est le choix qui s’impose. Pour les routeurs il existe 2 catégories de firmwares communautaires disposant d’un client open vpn embarqué, il s’agit des firmwares  dd-wrt  et tomato. Il existe assez peu de routeurs qui dans leur version officielle propose l’un ou l’autre de ces firmwares.  Par conséquent dans la plupart du temps pour disposer d’un client open vpn sur votre routeur vous devez substituer le firmware officiel par une version dd-wrt ou tomato dédiée à votre routeur, le revers de la médaille est que vous perdez toutes les fonctionnalités propriétaires qui seraient présentes en standard sur votre routeur.  Bonne nouvelle, le firmware Asuswrt-merlin intègre un module client vpn tomato, et comme nous l’avons dit précédemment, cerise sur le gâteau, nous ne perdons aucune des fonctionnalités  offertes par les routeurs Asus.

Menu du jour, grillade.

Le firmware s’installe à la manière d’un upgrade du firmware Asus :
1 – Vous téléchargez le zip de la dernière version qui correspond à votre routeur sur le site de téléchargement officiel RMerlin .
2 – Vous décompressez le zip.
3 – Dans l’interface web d’administration du routeur vous ouvrez l’onglet “mise à jour du microcode” présent dans le menu “Administration“.
4 – Cliquez sur parcourir et pointez sur le fichier “RT-****.trx” que vous venez de décompresser.
5 – Finalement, vous cliquez sur charger pour démarrer la mise à jour.

Comptez 2 à 3 minutes pour l’upgrade. Alors surtout, une chose : RE-LA-XE!  Le routeur Asus RT-AC68U est virtuellement incassable, les autres modèles sont surement conçus de la même étoffe de super héros, mais à vous de vérifier…  Ainsi, si par le plus grand des hasards votre mise à jour venait à échouer, le routeur dispose d’une fonction de restauration qui permet en cas de catastrophe de recharger proprement la version de  firmware que vous voulez (consultez la documentation!). Donc, aucune raison d’hésiter, on se grille une version!

Fromage et dessert.

Le site de R.Merlin se trouve ici vous y trouverez en autre chose les liens vers le le site de téléchargement des firmwares et celui du site wiki qui héberge la documentation.

Outil indispensable dès qu’on veut écrire quelques scripts, voire quelques formulaires web  pour lancer ces scripts, le code source est intégralement disponible sous un projet de la plateforme github. Grace au module de recherche vous pouvez ainsi trouver aisément la source du module d’une fonctionnalité . Par exemple le code source des pages de l’interface web d’administration sont dans le répertoire https://github.com/RMerl/asuswrt-merlin/tree/master/release/src/router/www. En étudiant ces pages vous pouvez trouver quelle commande shell correspond à telle ou telle fonction de l’interface d’administration et ainsi pouvoir la réutiliser dans votre propre script shell. L’autre module intéressant dans ce genre d’exercice est le code du micro serveur web disponible dans ce répertoire   https://github.com/RMerl/asuswrt-merlin/tree/master/release/src/router/httpd

Et pour finir, la communauté des utilisateur du firmware Asuswrt-Merlin dispose d’un forum très actif où R.Merlin et les autre membres se feront un plaisir de répondre à vos éventuelles questions.

Configuration du routeur RT-AC68U derriere une Box ADSL (II/II)

Préambule

Cette page est la seconde partie d’un article décrivant l’installation dans un réseau personnel d’un routeur connecté derrière une box adsl. Dans cette partie je vous indique comment paramétrer le routeur RT-AC68U pour réaliser le réseau personnel dont vous trouverez la description et les schémas ici.

Vous noterez certainement quelques différences entre les captures d’écrans proposées ici et l’interface affichée par votre routeur Asus. La raison est que la le routeur qui sert ici de démonstration tourne sous le firmware Merlin qui bien que non officiel est largement diffusé dans la communauté Asus.  Vous trouverez plus de détails sur le firmware Asuswrt-Merlin dans cet article.

Branchement du RT-AC68U dans sa phase de configuration.

Pour plus de facilité, la configuration du routeur, au moins au début, ne doit pas se faire via sa connexion wifi mais via une connexion câble. Malheureusement par défaut, l’adresse IP du routeur est 192.168.1, c’est à dire la même que notre box adsl. Dans ces conditions on peut difficilement installer le routeur en le connectant sur notre notre réseau actuel. La façon la plus simple consiste alors à connecter de manière isolée  le routeur sur le pc qui va nous servir à le configure.  Pour cela :
1)  on commence par retirer le pc de toute connexion au réseau (on coupe le wifi et/ou on débranche le cable réseau)
2) on met ensuite le pc hors tension
3) On connecte un port Lan du routeur (connecteur jaune, voir photo ci-dessous) au connecteur réseau du pc via un câble réseau
4) On place le routeur sous tension, on attend une trentaine de secondes
5) On met sous tension le PC.

Les ports du routeurs Asusu RT-AC68U
Les ports du routeurs Asusu RT-AC68U (en jaune les ports lan)

Suite à cette opération, le PC devrait avoir reçu une adresse IP  grâce à  la fonction DHCP du routeur et être ainsi en mesure d’atteindre la console web d’administration. Pour le vérifier, depuis un navigateur démarrez l’interface web d’administration à l’adresse http://192.168.1.1

mire login RT-AC68U
mire de connexion du RT-AC68U

Si la mire de de connexion s’affiche, bingo, vous pouvez passez à la suite , sinon si  aucune fenêtre de connexion ne s’affiche, vérifiez que l’adresse ip de votre pc est une adresse de type 192.168.1.x . Pour cela commencez par  ouvrir une invite de commande ( presser simultanément sur les touches Image de la touche Windows et R  ,  entrer cmd puis valider avec ok), ensuite dans la fenêtre de l’invite de commande saisir ipconfig puis exécuter avec la touche entrée.

ipconfig
ipconfig

 Si l’adresse qui est listée n’est pas quelque chose comme 192.168.x,  il est possible que ce soit parce que votre pc n’est pas paramétré pour recevoir automatiquement une adresse IP, il vous faut donc vous même lui affecter une adresse IP compatible ou le configurer pour qu’il fasse appel à la fonction DHCP du routeur. Dans le cas où vous ne savez pas comment on configure sous windows une adresse IP fixe, cette page explique comme faire.

Paramétrage du routeur RT-AC68U

Une fois démarré l’interface web d’administration à l’adresse http://192.168.1.1
vous saisissez le user et le mot de passe qui par défaut sont admin et admin .

A la première connexion au routeur l’interface est en mode wizard. C’est avec ce wizard que nous allons  commencer la configuration.

Écran d’accueil du wizard
Écran d’accueil du wizard

 Dans le cas où ce wizard ne se déclenche pas, le mieux est de réinitialiser le routeur avec ses paramètres d’usine. Dans le menu Administrateur de l’interface web , se trouve l’onglet Restaurer, avant de réinitialiser le routeur n’oubliez pas d’enregistrer ses paramètres actuels avec la fonction  disponible dans cette même page.  En dernier recours, le routeur dispose également d’un bouton de réinitialisation, consulter la documentation.

Passez les 2 écrans d’accueil du wizard en cliquant sur   Aller  jusqu’à afficher la page de saisie du mot de passe.

Configuration du mot de passe du routeur

wizard page 2
wizard page 2, saisie du mot de passe routeur

Choisissez un mot de passe ayant un bon niveau de sécurité. Une fois votre mot de passe saisi, validez sur  Suivant

 Sélection du mode de fonctionnement du routeur

Sélection du mode
Sélection du mode

Sélectionnez le mode routeur bridge sans fil (par défaut), puis validez sur   Suivant

Configuration du type de connexion internet

Sélection du type de connexton
Sélection du type de connexion internet

C’est sur cet écran de sélection du type de connexion internet que les choses intéressantes commencent. Le routeur étant connecté à une box, c’est cette box qui va gérer la connexion internet, par conséquent on peut totalement ignorer les options PPPoE, PPTP, L2TP qui n’ont d’intérêts que lorsque l’accès à internet se fait à travers  un modem connecté au routeur. Reste alors le choix entre Adresse IP Automatique (DHCP), et Adresse IP Statique. Pour un équipement destiné a demeurer présent sur le réseau 24h/24, le meilleur choix est de lui fournir une adresse IP fixe, d’autant que disposer pour un routeur d’une adresse fixe et connue pourra dans bien des cas faciliter les configurations des autres équipements connectés ou de celles de logiciels (pare-feu, ids,..). Par conséquent sélectionnez l’option Adresse IP Statique.puis validez sur   Suivant

Configuration de l’adresse Internet du routeur (adresse wan)

Configuration du réseau
Configuration du réseau

Nous voici maintenant sur l’écran dédié à la configuration de l’adresse IP externe du routeur. Le routeur ayant 2 adresses, une locale à notre réseau personnel et une externe accessible en dehors de notre réseau personnel, c’est cette seconde adresse que nous configurons ici.

Pour rappel notre schéma réseau est le suivant :

Les 2 zones réseaux résultantes de l'installation du routeur
Les 2 zones réseaux résultantes de l’installation du routeur

Bien que cet écran nous demande de configurer une adresse internet, nous lui indiquons ici une adresse IP locale sur la seconde zone de notre réseau privé (la zone bleue sur notre schéma), néanmoins pour le routeur cette seconde zone réseau constituera le monde extérieur, pour le routeur peu importe en définitive que ce soit un réseau local.

Conformément à notre vue réseau, nous configurons l’adresse externe ainsi :

Adresse IP            : 192.168.1.10
Masque de sous réseau : 255.255.255.0
Passerelle par défaut : 192.168.1.1

Serveur DNS : le dns primaire indiqué par votre F.A.I
Serveur DNS : le dns secondaire indiqué par votre F.A.I

Adresse MAC : laisser vide

Si vous ne connaissez pas les adresse DNS de votre fournisseur d’accès internet vous pouvez utiliser les DNS public google, dont les adresses sont respectivement 8.8.8.8 et 8.8.8.4 . Un conseil, pour éviter d’être traqué par google, il faudra remplacer par celles de votre F.A.I à la première occasion.

Vous terminez la saisie de votre configuration internet en cliquant sur  Suivant  

Le routeur n’étant pas encore connecté à internet, le wizard affiche une page d’échec

Écran d’échec de la connexion internet
Écran d’échec de la connexion internet

Vous ignorez cet écran et passez à la configuration du réseau wifi en cliquant sur  Configuration du sans fil   

Configuration du réseau Wifi

Configuration du wifi
Configuration du wifi

Le routeur Asus RT-AC68U possède 2 bandes de fréquences wifi, une à 2.4Ghz et un à 5Ghz. L’avantage de la bande à 2.4Ghz est d’être compatible avec tous les équipements wifi. L’avantage de la bande à 5Ghz est inversement d’être d’une utilisation moins répandue que la bande à 2.4Ghz et donc d’avoir moins de risque d’être perturbé par des appareils calés sur cette fréquences, tels que les téléphones sans fil,  les radio-alarmes, etc.

L’écran de configuration sans fil reprend les paramètres habituels, il est donc sans mystère. Néanmoins je vous conseillerais de choisir un autre nom que ASUS qui est proposé par défaut pour le nommage des SSID, ceci afin d’éviter de donner des renseignements sur le modèle de votre routeur à tout éventuel pirate qui aurait décidé de s’attaquer à votre connexion wifi. Par exemple saisissez :

2.4Ghz
Nom du réseau (SSID) : HomeWifi
Clé réseau           : UneCLEQuiNePeutPas$eDeviner!!

Vous validez votre saisie en cliquant sur Appliquer le wizard se termine alors en affichant un écran qui récapitule votre configuration globale.

Écran final récapitulatif
Écran final récapitulatif

Juste un mot pour dire que sur cet écran on constate une adresse WAN IP à 0.0.0.0, ceci est tout à fait normal puisqu’à cette étape notre routeur n’a pas été encore relié à la box donc à internet (WAN=internet).

On peut alors quitter définitivement le wizard en cliquant sur Suivant ce qui nous redirige sur l’écran principal de la console d’administration du routeur.

Écran principal de la console d'administration
Écran principal de la console d’administration

En résumé, jusqu’ici le wizard nous a permis de configurer l’interface du routeur située sur la zone externe de notre réseau  (partie bleu sur le schéma) ainsi que de saisir les paramètres wifi du routeur. Il reste donc à configurer l’interface du routeur située sur la seconde zone de notre réseau privé (en rouge sur le schéma)  .

Les 2 zones réseaux résultantes de l'installation du routeur
Les 2 zones réseaux résultantes de l’installation du routeur

 

Configuration de l’adresse locale du routeur

Voici désormais venu le temps de donner une adresse à l’interface locale de notre routeur (adresse rouge 192.168.0.1 sur le schéma) ce qui nous permettra immédiatement après cette opération de pouvoir l’intégrer physiquement à sa place dans le réseau final; c’est à dire à le relier à notre box.  On accède à accès à la page de configuration de l’IP locale en cliquant sur l’entrée Réseau Local présente dans le menu de gauche.

Écran paramétrage de l'adresse Locale
Écran paramétrage de l’adresse Locale

Saisissez la configuration suivante :

Nom du périphérique   : ce que bon vous semble
Adresse IP            : 192.168.0.1
Masque de sous-réseau : 255.255.255.0

Puis valider cliquant sur  Appliquer   A partir de cet instant, l’adresse locale de notre routeur qui jusque là était 192.168.1.1 est devenue 192.168.0.1. De ce fait la console web n’est plus accessible depuis votre navigateur, celui-ci devrait afficher une page d’erreur, pas très grave puisque le temps est venu d’éteindre le pc et le routeur. Alors coupez tout!

Connexion du routeur à la box

Puisque le routeur possède maintenant une adresse IP qui ne rentre pas en conflit avec celle de la box nous pouvons sans crainte établir les connexions filaires entre la box et le routeur.

Après avoir éteint sa box et tous les équipements qui y sont reliés (disques durs, nas, etc..) :

1 : vous déconnectez tous les câbles réseaux présents dans les ports LAN de votre box (pour une box sfr PC1, PC2, PC3, voir photo ci-dessous), y compris ceux qui seraient reliés à des prises CPL, et vous les reconnectez aux ports LAN de votre routeur (en jaune sur la photo ci-dessous), s’il en manque … investissez dans un switch  réseau!!

2 : Ensuite vous connecter le port WAN du routeur (en bleu à gauche sur la photo ci-dessous) à l’un des ports LAN de la box .

Les ports du routeurs Asusu RT-AC68U
Les ports du routeurs Asus RT-AC68U

Les ports de la box adsl
Les ports de la box adsl (sfr box)

A la fin de l’opération vous avez une box qui ne possède plus qu’un seul câble réseau, celui relié au port wan du routeur, et un câble téléphonique connecté à la prise ADSL. Le routeur quant à lui doit avoir récupéré toutes les connexions réseaux qui partaient de la box, et en premier lieu le câble réseau qui descend jusqu’à la prise CPL si bien entendu c’est par ce type de connexion que vous propagez votre réseau personnel.

Si votre configuration a été correctement réalisée, à partir de ce moment votre réseau privé est opérationnel, du moins pour tous vos équipements connectés au réseau câblé. Pour les équipement wifi, il faudra au préalable  modifier leur configuration pour qu’ils n’utilisent plus le SSID de la box mais au choix un des 2 SSID (2.4GHZ ou 5GHZ) qui ont été paramétrés sur le routeur dans la phase d’initialisation wizard, ou et cette option a ma préférence, l’un des autres SSID que vous pouvez créer depuis l’interface d’administration (cf paragraphe plus loin).

Maintenant vous pouvez redémarrer vos équipements, en respectant cet ordre  :
– La box (attendez que le voyant de connexion internet soit au vert)
– Le routeur (attendez une trentaine de secondes)
– Les autres équipements

Vérification de la configuration et de la connexion

Si tout s’est bien passé, depuis votre PC lancez un navigateur et démarrez la console d’administration du routeur qui maintenant est à la nouvelle adresse du routeur c’est à dire https://192.168.0.1

L'écran principal, une fois connecté à internet
L’écran principal, une fois connecté à internet

Cette fois le panel WAN IP devrait être actif et indiquer l’adresse 192.168.1.10 que nous avons choisi lors du paramétrage wizard. Dans le panel client, vous devriez voir apparaitre le nombre de vos équipements qui ont requis une adresse IP auprès du routeur (donc au moins votre PC).

Néanmoins, si le panel WAN s’entêtait à ne pas être coopératif en affichant un statut internet déconnecté, vous pouvez vérifier et corriger si besoin la configuration internet du routeur en vous rendant dans l’écran de paramétrage du Réseau étendu accessible en cliquant sur l’option de même nom présente dans me menu de gauche. Votre configuration devrait alors ressembler à quelque chose comme ça :

Écran de paramétrage du réseau étendu (connexion internet)
Écran de paramétrage du réseau étendu (WAN)

Il est important de vérifier que l’adresse IP de la passerelle (=192.168.1.1) est celle de votre box, et que cette adresse appartient bien au même sous-réseau (=192.168.1.x) que l’adresse externe de votre routeur (=192.168.1.10) , si tel n’est pas le cas modifiez cette dernière adresse en la remplaçant par une adresse appartenant au sous-réseau de votre box (une adresse dont les 3 premiers numéros seront identiques à celle de votre box).

Quelques derniers conseils

Firmware Asuswrt-merlin:

Je le répète encore une fois, si ce n’est pas déjà fait, installez le firmware Asuswrt-merlin, il vous apportera directement dans la console d’administration web de nouvelles possibilités en terme de paramétrages fins de votre routeur. Consultez cet article pour plus d’informations.

Désactivation de la bande 5GHZ  (Merlin):

Par défaut le routeur Asus émet 2 réseaux Wifi, 1 sur la bande 2.4 GHZ et un autre sur la bande GHZ. SI vous n’avez pas besoin de la bande 5Ghz, désactivez là.
Avec un routeur patché Merlin la désactivation d’une bande wifi est possible dans l’onglet “Professionnel” accessible depuis le menu “Sans fil”

Désactiver une bande wifi sur le routeur Asus RT-AC68U firmware Merlin
Désactiver une bande wifi sur le routeur Asus RT-AC68U firmware Merlin

Pour couper le Wifi 5GHZ cliquez en haut de la page sur le lien de votre SSID 5GHZ, puis choisissez l’option “Non” comme valeur du paramètre “Activer la radio“, puis Appliquez votre nouveau paramétrage.

Désactivation des SSID des réseaux wifi principaux :

Je vous conseille de ne pas utiliser les 2 réseaux Wifi créés par défaut sur le routeur et en remplacement de configurer des réseaux Wifi invités. L’avantage du réseau wifi invité c’est qu’il peut être paramétré pour interdire l’accès au réseau local. Ainsi un invité se connectant à ce réseau wifi pourra disposer d’un accès internet sans pour autant avoir accès à l’ensemble des machines de votre réseau. Par conséquent, même si ce n’est pas une protection très efficace, vous pouvez désactiver l’émission du SSID de vos réseaux wifi principaux en choisissant  l’option “Oui” du paramètre “Cacher le SSID” dans l’onglet “Général“du menu “Sans fil

Option cacher le SSID
Option cacher le SSID

Désactivation du Wifi pendant la nuit (Merlin)

Que ce soit en terme d’économie, par mesure de sécurité, le firwmare Merlin donne la possibilité de désactiver l’émission du wifi durant la plage horaire souhaitée. Cette option se trouve sur l’onglet “Professionnel” du menu “Sans fil“. Pour faire apparaître les options de plages horaires, choisissez oui pour la valeur du paramètre “Activer le planificateur sans fil

Activation de la plage horaire d'émission du Wifi (Asus Merlin)
Activation de la plage horaire d’émission du Wifi (Asus Merlin)

 

Conclusion

Voilà, j’espère que cet article vous aura donné les clés qui pouvaient vous manquer dans la création d’un réseau personnel sécurisé, dans le paramétrage du routeur Asus, voire si ce n’était pas le cas au départ vous aura incité à vous pencher sérieusement sur cet aspect architectural que la majorité des technophiles laisse au hasard le soin de gérer.

C’est donc tout pour ce qui concerne l’installation du routeur Asus RT-AC68U, je vous laisse découvrir les nombreuses autres options et vous donne rendez-vous pour d’autres articles un peu plus pointus qui aborderont pêle-mêle, l’installation d’un client vpn, ou encore le paramétrage du routeur sous forme de scripts shells.

 

Configuration d’une adresse IP fixe sous windows pour une connexion au routeur 192.168.1.1 (pendant la phase de paramétrage)

Au départ il faut déconnecter du réseau le PC avec lequel on va paramétrer le routeur; pour cela on coupe le wifi ou on débranche le câble réseau. Ensuite on connecte un câble réseau entre son PC et un des 4 ports LAN du routeur (en jaune sur la photo).

Les ports du routeurs Asusu RT-AC68U
Les ports du routeurs Asusu RT-AC68U

Vous ouvrez ensuite votre navigateur préféré et entrez l’url http://192.168.1.1/
Si la mire de login RT-AC68U ne s’affiche pas c’est que la configuration réseau de votre PC doit être modifiée temporairement afin de lui fixer manuellement une adresse IP fixe.

Paramétrage du PC avec une adresse IP fixe :

Tout d’abord cliquer le bouton Démarrer boutondemarrer, puis Panneau de Configuration, ensuite Centre réseau et partage, puis modifier les paramètres de la carte. Dans la fenêtre qui s’ouvre vous repérez l’icône de la connexion câble qui devrait s’appeler quelque chose comme Ethernet Réseau n. Un clique bouton droit sur cet icône, et choisir Propriétés dans le popup qui s’ouvre. On tombe enfin sur la fenêtre de configuration réseau suivante

Fenêtre configuration de la connexion ethernet
Fenêtre configuration de la connexion ethernet

On scrolle, jusqu’à trouver l’entrée Protocole Internet version 4 (TCP/IPv4), sur laquelle on double clique pour faire apparaître la fenêtre de paramétres IP suivante (ouf!) :

Fenêtre de configuration des paramètres IP
Fenêtre de configuration des paramètres IP

On en profite pour noter la configuration actuelle au cas où…
Maintenant nous allons modifier l’adresse IP du PC. Pour cela dans cette fenêtre on clique dans Utiliser l’adresse IP suivante et on entre

Adresse IP : 192.168.100
Masque de sous-réseau : 255.255.255.0
Passerelle par défaut : 192.168.1.1

Serveur DNS préféré : laisser vide
Serveur DNS auxiliaire : laisser vide

Vous devez vous retrouver avec cette configuration :

Paramétrage IP en adresse fixe
Paramétrage IP en adresse fixe

Important, pour valider la modification de l’adresse IP, fermez cette fenêtre et la précédente en validant sur OK.

Pour contrôler la configuration de votre PC, vous pouvez retentez d’accéder à l’url http://192.168.1.1/ , la mire de login devrait apparaître

mire login RT-AC68U
mire de login RT-AC68U

Entrer admin / admin , comme utilisateur et mot de passe; ça y est vous êtes connecté à l’interface d’administration du routeur. BRAVO!