Re: VPN au travers d'une LiveBox

Page principale

Répondre à ce message
Auteur: Olivier Allard-Jacquin
Date:  
À: guilde
Sujet: Re: VPN au travers d'une LiveBox
    Bonsoir,

Le 02/01/2022 à 18:54, Frédéric a écrit :
> Le dimanche 02 janvier 2022, Olivier a écrit :
>
>>     La question est : Mis à part le routeur OpenWRT, qu'est-ce que
>> tu connecte aussi à la livebox ?
>> - si tu ne connectes rien de plus sur la livebox, et que tu n'utilises
>> pas le wifi de la livebox, alors tu n'auras pas de dégradation de la
>> sécurité de ton installation, par rapport à ce que tu avais avant. A
>> supposer que la LiveBox elle-même ne se fasse pas pirater
>> - mais si tu actives le wifi de la livebox, ou si tu branches un
>> équipement directement sur ta box, alors potentiellement ces équipements
>> verrons la patte "externe" du OpenWRT. Et donc, il faudra que les ports
>> "externe" du OpenWRT soit vérouillés

>
> Ah, j'ai mal décris mon installe...
>
> En fait, le routeur ne fait plus du tout office de routeur : c'est
> maintenant une machine comme une autre, sous OpenWrt. Je l'ai conservé
> car il y a dessus un soft domotique maison (c'est une super carte Alix,
> qui ne consomme pas trop).
>
> S'il n'y a que le port VPN visible de l'extérieur (via le NAT de la
> LiveBox), est-ce moins sécurisé qu'avant, ou c'était sa patte externe qui
> était visible de l'extérieur, avec une config de pare-feu qui n'ouvrait
> que le port VPN ?


    OK, donc de ce que je comprends, ton OpenWRT n'a maintenant plus qu'un 
câble réseau qui est connecté directement (ou via un switch) à la LiveBox.


    Donc par ce même câble va venir à la fois:
- dans un sens la connexion NATé du VPN
- et dans l'autre sens, les paquets "hors VPN" qui vont aller sur ton 
réseau.


    Ce n'est pas très habituel comme configuration, et je pense que les 
règles iptables de ton OpenWRT risquent d'être moins simples à configurer.


    Théoriquement, seul le port VPN de ton OpenWRT est accessible depuis 
Internet. Mais se pense que c'est moins sécurisé que auparavant, du fait 
de l'utilisation d'un câble réseau unique (et des règles d'iptables qui 
vont en découler). Même si je n'ai pas d'idée précise de vecteurs 
d'attaques.


    Cordialement,
                            Olivier
-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
        /   / \  / \   \   Web:  http://olivieraj.free.fr/
       /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!