{"id":232,"date":"2014-12-06T22:54:33","date_gmt":"2014-12-06T22:54:33","guid":{"rendered":"http:\/\/tex.fr\/?p=232"},"modified":"2014-12-06T22:54:33","modified_gmt":"2014-12-06T22:54:33","slug":"vpn-anonyme-avec-le-client-openvpn-merlin","status":"publish","type":"post","link":"https:\/\/tex.fr\/index.php\/2014\/12\/06\/vpn-anonyme-avec-le-client-openvpn-merlin\/","title":{"rendered":"VPN Anonyme avec le Client OpenVPN Merlin"},"content":{"rendered":"

Un Tunnel VPN, quel int\u00e9r\u00eat?<\/a>
\n• Le client VPN Asuswrt-merlin<\/a>
\n• Configuration pour le service VyprVPN de golden frog<\/a>
\nParam\u00e9trage additionnel du DNS (Configuration avanc\u00e9e optionnelle<\/a><\/span> <\/span><\/p>\n

Un VPN anonyme, quel int\u00e9r\u00eat?<\/h3>\n

Que vous soyez pr\u00e9occup\u00e9 par la protection de votre priv\u00e9e ou par la s\u00e9curisation de vos connexions internet, alors forc\u00e9ment vous avez au moins entendu parler de la notion de de tunnel vpn ou de vpn s\u00e9curis\u00e9 anonyme.\u00a0 Un r\u00e9seau vpn s\u00e9curis\u00e9 anonyme c’est tout d’abord, comme l’indique son acronyme anglais, un r\u00e9seau priv\u00e9 virtuel, c’est \u00e0 dire un r\u00e9seau priv\u00e9 qui bien que rout\u00e9 \u00e0 travers internet relie 2 sites distants comme s’ils \u00e9taient connect\u00e9s localement. Ainsi lorsque vous vous connectez au vpn, vous \u00e9tablissez sur internet entre vous et le serveur distant une sorte de tunnel dans lequel va passer le trafic de ce r\u00e9seau local. Le vpn est dit s\u00e9curis\u00e9 quand le tunnel encrypte le trafic qui y transite, rendant le flux qui s’\u00e9coule entre vous et le serveur vpn distant impossible \u00e0 lire ou \u00e0 journaliser, m\u00eame pour votre FAI. Quand au caract\u00e8re anonyme, il provient du fait que pour sortir de ce r\u00e9seau priv\u00e9, et donc “surfer sur internet”, vous allez emprunter une passerelle situ\u00e9e au del\u00e0 du serveur vpn distant, ce qui au bout du compte vous donne une nouvelle adresse IP externe diff\u00e9rente de celle allou\u00e9e par votre FAI. Pour \u00eatre encore plus pr\u00e9cis, la passerelle respecte son caract\u00e8re d’anonymat si d’une part elle ne relaie pas votre vraie adresse IP dans les headers HTTP (telle\u00a0 que par exemple\u00a0 REMOTE_ADDR<\/em><\/span>) et si la politique du fournisseur du service vpn est de ne garder aucun log de vos connexions.<\/p>\n

En passant par les services d’un r\u00e9seau vpn s\u00e9curis\u00e9 anonyme d’un prestataire ne gardant pas de logs de connexions, d’une part on prot\u00e8ge le caract\u00e8re priv\u00e9 de ses connexions, votre FAI est dans l’impossibilit\u00e9 de tracer ou de connaitre le contenu de vos connexions, et d’autre part \u00e0 l’autre bout de la connexion on se rend “IP-anonyme” aupr\u00e8s de tout site internet auquel on acc\u00e8de. J’utilise le n\u00e9ologisme IP-Anonyme, pour bien montrer qu’un site ne pourra par remonter vers vous connaissant l’adresse IP de votre connexion VPN mais qu’il pourra vous identifier par d’autres moyens si vous n’avez pas \u00e9t\u00e9 prudent, par exemple par l’interm\u00e9diaire d’un cookie que le site vous aura laiss\u00e9 lors d’une pr\u00e9c\u00e9dente connexion non s\u00e9curis\u00e9e (c’est pourquoi je conseille vivement d’opter pour la politique de nettoyage des cookies \u00e0 la fermeture du browser).<\/p>\n

Maintenant la question traditionnelle qui suit\u00a0 cette pr\u00e9sentation est de savoir pourquoi devrait-on rendre anonyme et s\u00e9curiser sa connexion quand on a rien \u00e0 se reprocher? Alors \u00e0 moi de renverser la question en demandant pourquoi la loi oblige un FAI \u00e0 conserver les connexions de tous les citoyens si la loi n’a rien \u00e0 reprocher aux citoyens? Et d’ailleurs, qui est certain que l’exploitation des journaux de connexions n’\u00e9voluera pas du jour au lendemain vers une exploitation autre que celle de la justice. Vous \u00eates vous pos\u00e9 la question de savoir o\u00f9 sont stock\u00e9s ces rel\u00e9v\u00e9s, qui y a acc\u00e8s, est-ce que leur exploitation est encadr\u00e9e, restreinte et surveill\u00e9e? Qui peut \u00eatre certain que ces logs ne seront pas gard\u00e9s ad vitam<\/em>, puis vendus (ou vol\u00e9es) pour devenir des sources de big data? Que direz vous si dans dix ans demandant un pr\u00eat \u00e0 votre banque celle-ci vous r\u00e9torque que vous surfez un peu trop sur les sites de poker en ligne? Que savez vous de l’avenir pour \u00eatre s\u00fbr que nous allons vers une soci\u00e9t\u00e9 qui respecte de plus en plus les libert\u00e9s individuelles; je crains fort que nous soyons engag\u00e9 dans un chemin contraire. Alors oui, m\u00eame si vous n’\u00eates pas un adepte du P2P qui veut \u00e9chapper \u00e0 HADOPI, m\u00eame si vous n’\u00eates pas un cyber-hacktiviste\u00a0 d\u00e9sirant ne pas laisser de trace de ses actions, m\u00eame si vous n’avez rien \u00e0 vous reprocher dans vos activit\u00e9s sur internet, anonymiser ses connexions c’est investir dans une police d’assurance pour un futur plus serein. Et pour finir m\u00eame si vous avez foi en l’avenir du respect des libert\u00e9s, utiliser une connexion vpn anonyme c’est aussi se pr\u00e9server contre un certains nombre d’attaques qui peuvent \u00eatre lanc\u00e9es lorsque au hasard d’une connexion sur un site louche ou compromis, votre IP tombe entre les mains de mauvaises personnes; en utilisant l’IP de votre service VPN les pirates ne pourront pas remonter jusqu’\u00e0 vous. Et rappelez vous que vous n’\u00eates pas le seul \u00e0 surfer \u00e0 la maison, non je ne parle pas de votre conjoint ni de vos enfants mais de tous les appareils connect\u00e9s qui \u00e9tablissent bon nombre de connexions (mise \u00e0 jour, envois de stats,…), sans que vous en soyez totalement conscient. Passer par une adresse ip anonyme c’est se pr\u00e9munir contre un certain nombre d’attaques si le site auquel il se connecte est compromis ou investi par une personne malveillante.
\n <\/span><\/p>\n

Le client OpenVpn Merlin<\/h3>\n

L’int\u00e9r\u00eat d’installer un client vpn sur son routeur c’est bien entendu pouvoir partager un seul et unique compte vpn entre tous les appareils connect\u00e9s de son r\u00e9seau. C’est aussi se passer de l’installation de clients vpn sur ses machines, ce qui en plus d’\u00eatre invasif et fastidieux, ralenti bien souvent la machine et n’est pas toujours possible (vous avez une option vpn sur votre cube canal+ ?).<\/p>\n

Qui dit client vpn sur routeur asus, dit Asuswrt-merlin, alors si ce n’est pas encore fait, vous installez merlin, vous avez tout \u00e0 gagner \u00e0 le faire, vous trouverez plus de d\u00e9tail dans cet article<\/a>. Il est important de savoir que le client open vpn Merlin est bas\u00e9 sur le client vpn du firmware Tomato<\/em>; ainsi si votre prestataire vpn ne pr\u00e9voit aucun support pour les routeurs asus merlin vous avez la possibilit\u00e9 de vous rabattre sur une \u00e9ventuelle section d\u00e9di\u00e9e aux routeurs Tomato<\/em> qui constitue une excellente base de d\u00e9part pour mettre au point sa configuration.<\/p>\n

Dans cet article, j’ignorerai les modes PPTP\/L2TP\u00a0pr\u00e9sent dans le firmware Merlin pour ne d\u00e9crire que le seul client openvpn; en terme de s\u00e9curit\u00e9 la comparaison est sans piti\u00e9 ;-), quand on a \u00e0 disposition un client open vpn, on utilise ce protocole.<\/p>\n

Acc\u00e8s au param\u00e9trage et utilisation<\/em><\/span>
\nPour acc\u00e9der \u00e0 la page de configuration du client openvpn, depuis l’interface d’administration web du routeur on clique dans l’entr\u00e9e “VPN” du menu de gauche puis sur l’onglet “OpenVpn Client”.\u00a0 On arrive alors une page organis\u00e9e en trois sections :<\/p>\n