Il existe de nombreuses solutions VPN pour sécuriser votre connexion Internet. En général, les fournisseurs VPN proposent un abonnement d’environ 10 €/mois comprenant 2 à 5 connexions simultanées avec une application dédiée pour ordinateur et mobile (IPVanish, HydeMyAss, VyprVPN, etc.).
La plupart de ces fournisseurs VPN proposent aussi une connexion cliente OpenVPN directement depuis un routeur flashé avec le firmware DD-WRT ou Tomato afin de sécuriser l’ensemble du trafic Internet de votre domicile ou de votre petite entreprise.
Vous profitez ainsi d’une protection totale pour tous les appareils connectés sur votre réseau local (filaire et Wifi), d’une nouvelle adresse IP et de toutes les autres fonctionnalités offertes par le VPN sans avoir à installer une quelconque application sur vos équipements (serveurs, ordinateurs, tablettes, smartphones, consoles de jeux, etc.).
C’est ce type d’installation qui m’a particulièrement intéressé. Toutefois mon expérience chez IPVanish sur la base d’un routeur DD-WRT ne m’a pas satisfait (voir ce guide IPVanish).
En effet, j’ai rencontré les difficultés suivantes :
- Fonctionnement aléatoire du client OpenVPN sur le routeur : j’ai dû tester de nombreuses versions DD-WRT sans succès
- Complexité du mode commande en ligne pour créer des routages, des exceptions ou des règles de firewall dédiées
Je suis donc parti à la recherche d’une solution simple et complète et j’ai alors découvert Astrill et son applet pour routeur DD-WRT.
Routeur DD-WRT
Pour bénéficier de l’applet OpenVPN Astrill, la première étape consiste à flasher son routeur avec le firmware DD-WRT.
Vérifiez sur le site DD-WRT si votre routeur est compatible.
S’il ne l’est pas, vous avez la possibilité d’acheter un routeur sur le Web ou de commander un routeur déjà flashé chez flashrouters.com. Mais il vous en coutera alors 2 fois plus cher.
Si votre routeur est compatible, suivez le guide d’installation DD-WRT, par exemple pour un routeur Netgear WNDR3700 V3.
Téléchargez et installez la dernière version logicielle en recherchant votre routeur dans la base de données DD-WRT, lien Router Database, par exemple le routeur Netgear 3700 V3 :
Cliquez sur le lien Other downloads, 2014, puis choisissez le dernier firmware, broadcom_K26 dans le cas du routeur Netgear WNDR3700 V3. Puis un firmware mini pour le premier flashage et un firmware mega pour les mises à jour :
Une fois que votre routeur a été flashé et mis à jour, connectez-vous au routeur et dans le menu Services, onglet Services, activez DSNMasq.
Si vous utilisez un serveur sur votre réseau accessible depuis Internet par un nom de domaine, configurez les options en indiquant la correspondance entre le sous-domaine (par exemple cloud.monsite.com) et l’adresse IP locale du serveur (192.168.X.X).
Ce qui vous permettra de contacter votre serveur sur votre réseau local par son nom de domaine et non par son adresse IP :
Dans Sécurité, onglet Intercommunication VPN, activez les interconnexions VPN en fonction des protocoles VPN que vous souhaitez utiliser. Si vous utilisez uniquement OpenVPN, vous pouvez tout désactiver :
Applet OpenVPN Astrill
Il vous faut tout d’abord ouvrir un compte chez Astrill puis commander les fonctionnalités suivantes :
- Le pare-feu NAT
- Le pare-feu NAT d’Astrill empêche les hôtes externes de créer des connexions indésirables vers votre réseau
- La fonctionnalité pare-feu NAT du VPN Astrill comporte un filtre de paquets qui bloque les connexions tierces vers votre système protégé par Astrill. Ce filtre empêche le trafic Internet corrompu ou néfaste d’atteindre votre système. Un tel trafic peut être par exemple utilisé pour exploiter un bug dans un logiciel afin de prendre le contrôle de votre machine à distance
- ProAddon
- Pour répondre au filtrage instauré par certains pays comme la Chine, Astrill a développé de nouveaux protocoles OpenVPN qui ne sont pas détectables : StealthVPN et RouterPro VPN
- StealthVPN est utilisé par le client Astrill sur les ordinateurs (Windows, Mac, Linux) et RouterPro VPN est utilisé sur les routeurs (DD-WRT, Tomato)
- Bien que les protocoles StealthVPN et RouterPro VPN ont été initialement conçus pour les utilisateurs en Chine, tout le monde peut les utiliser afin de prévenir tout filtrage intempestif de la part de votre FAI
- Les nouveaux protocoles StealthVPN et RouterPro VPN ont été conçus pour rendre vraiment difficile une détection et un blocage d’un flux VPN. Le nouveau protocole possède deux couches de cryptage pour une meilleure sécurité
eval `wget -q -O - http://www.astrill.com/ddwrt/install/YOUR_EMAIL/YOUR_PASSWORD`
Où YOUR_EMAIL et YOUR_PASSWORD sont les informations de votre compte Astrill.
Puis cliquez sur le bouton Exécutez la commande :
Une fois la commande exécutée, la section Démarrage est complétée par une nouvelle commande qui s’exécutera à chaque relance du routeur :
Vous voilà connecté au VPN d’Astrill :
Paramétrage de l’Applet OpenVPN Astrill
Dans le menu Etat, My Page, onglet VPN, vous pouvez entièrement paramétrer votre VPN :
- Server : choisissez dans la liste déroulante le pays d’accueil du serveur VPN. Pour une meilleure vitesse, il est conseillé de choisir un serveur situé dans son pays. Les serveurs marqués par une * permettent l’utilisation des applications P2P
- Protocol : vous avez le choix entre OpenVPN ou RouterPro VPN et entre le protocole UDP ou TCP (voir les explications dans le chapitre précédent). Selon Astrill, le choix RouterPro VPN + protocole UDP est la garantie d’une meilleure vitesse et d’une meilleure sécurité
- Port : choisissez Auto pour RouterPro VPN ou les ports 80 (HTTP), 443 (HTTPS), 53 (DNS) pour OpenVPN
- Encryption : Blowfish 128 bits par défaut, AES 128 bits ou encore AES 256 bits
- Enable Accelerator : cochez la case pour accélérer la vitesse du VPN, notamment pour les tablettes
- Block Internet if VPN drops : cochez la case pour bloquer l’accès à Internet si le tunnel VPN n’est plus opérationnel
- Start Automatically : cochez la case pour démarrer automatiquement l’applet OpenVPN Astrill lors d’une relance du routeur
Dans l’onglet Site Filter, vous pouvez soit :
- Sécuriser l’ensemble des sites Internet
- Sécuriser uniquement les sites que vous indiquerez. Ils utiliseront alors le tunnel VPN Astrill et tous les autres sites la route de votre FAI non sécurisée
- Exclure du VPN des sites Internet ou des sous-réseaux comme par exemple l’ensemble du réseau 192.168.X.X (192.168.0.0/16) afin de communiquer normalement avec les éventuels sous-réseaux présents sur le LAN
- Sécuriser uniquement les sites Internet internationaux
Dans l’onglet Device Filter, vous pouvez soit :
- Sécuriser l’ensemble des équipements
- Sécuriser uniquement les équipements sélectionnés. Ils utiliseront alors le tunnel VPN Astrill et tous les autres la route de votre FAI non sécurisée
- Exclure du VPN les équipements sélectionnés
Cette option est utile si vous hébergez un serveur ou un NAS Synology sur lequel vous avez ouvert des services externes comme par exemple :
Dans l’onglet WiFi Filter, vous pouvez soit :
- Sécuriser l’ensemble des réseaux Wifi déclarés sur votre routeur
- Sécuriser uniquement les réseaux Wifi sélectionnés. Ils utiliseront alors le tunnel VPN Astrill et tous les autres la route de votre FAI non sécurisée
- Exclure du VPN les réseaux Wifi sélectionnés
Vous pouvez donc activer le VPN pour tous les réseaux Wifi ou seulement pour ceux sélectionnés.
Cela vous donne une plus grande souplesse pour choisir les équipements qui seront routés sur le VPN ou routés directement chez votre FAI par simple changement de réseau Wifi sur le terminal sans avoir à utiliser Device Filter sur le routeur et une reconnexion VPN.
Ce filtre prime sur les règles définies dans Device Filter :
Dans l’onglet Port foward, vous pouvez déclarer un équipement en DMZ pour la redirection de port. Cette option est utile pour les applications P2P.
Il faut aussi l’activer sur la page d’administration de votre compte Astrill, le port étant fixé par le fournisseur VPN :
Dans l’onglet Exceptions, vous pouvez définir des exceptions qui peuvent être routées soit par votre FAI soit par le VPN Astrill. Elles priment sur les règles définies dans Site Filter de Device Filter.
Par exemple, vous pouvez définir le port 25 (utilisé pour le courrier électronique) pour contourner le VPN : réglez le port de destination à 25 et choisissez ISP.
Dans l’onglet DNS, choisissez le DNS qui sera utilisé par le VPN :
- DNS Astrill
- DNS Google
- OpenDNS
- Norton DNS
- DNS Advantage
- Level3 DNS
- Default DNS
Astrill recommande d’utiliser les serveurs DNS Astrill car ils fournissent la meilleure performance pour la meilleure sécurité.
Si vous sélectionnez le Default DNS, les serveurs DNS configurés sur votre routeur seront utilisés. Si vous ne les avez pas configurés, c’est les serveurs DNS fournis par votre FAI qui seront utilisés. Ce qui n’est pas recommandé pour des raisons de confidentialité et de performance du VPN.
Un mauvais choix de serveurs DNS peut ralentir le VPN, en particulier pour certains sites de streaming vidéo.
A noter que, si les serveurs DNS du routeur sont utilisés, vos équipements doivent utiliser le service DHCP du routeur.
Dans l’onglet About, vous pouvez :
- Cliquez sur le bouton Check for updates pour vérifier s’il y a une mise à jour de l’applet et l’installer
- Cliquez sur Reinstall si vous souhaitez réinstaller l’applet
- Cliquez sur Uninstall si vous souhaitez la désinstaller
Lorsque le paramétrage est terminé, vous pouvez revenir sur l’onglet VPN, sauvegarder la configuration en cliquant sur le bouton Save puis connectez-vous au VPN Astrill en cliquant sur le bouton Connect (le statut passe alors à Connected) :
Conclusion
L’applet OpenVPN d’Astrill apporte une grande souplesse dans le paramétrage d’un client OpenVPN sur un routeur DD-WRT et un niveau fonctionnel important et très intéressant, notamment pour ceux qui souhaitent exclure du VPN des équipements sans avoir à paramétrer en ligne de commande des routes complexes.
Astrill possède un support réactif que j’ai déjà pu tester suite à un dysfonctionnement du protocole RouterPro VPN lors d’une montée de version. En moins de 2 jours, Astrill avait livré la correction.
J’aurai aimé pouvoir inclure mes serveurs dans le VPN mais le port forwarding sur le site Web d’Astrill ne permet de paramétrer qu’un port ce qui n’est pas suffisant vu le grand nombre de ports que j’utilise. Et l’adresse IP privée proposée par Astrill ne lève pas cette contrainte (je l’ai testé).
Les tarifs sont les suivants :
- le VPN Astrill pour ~70 $/an
- le NAT pour 60 $/an
- ProAddon pour 60 $/an (StealthVPN + RouterPro VPN + 2 appareils connectés simultanément)
- Soit un total annuel de ~190 $
L’offre reste perfectible mais elle est d’un niveau assez élevé au regard de la concurrence et aussi d’une très bonne qualité d’ensemble.
Droit d’auteur de l’image à la une : tungphoto / 123RF Banque d’images