VPN, Turris Omnia et sécurité …

Après quelques avertissements pendant que je télécharge mes séries sur Internet, j’ai décidé de mettre en place une solution me permettant de profiter de Sheldon et Leonard sans risquer d’amende où autre désagrément.

J’ai pris un abonnement à FastestVPN, ça fait le job même si c’est pas démentiel. L’avantage est que l’accès à vie était à 39$ au moment où j’ai souscrit.

Maintenant, il reste à configurer ça sur le Turris. Bien entendu, le firmware du Turris supporte déjà transmission-daemon et openvpn en tant que client ou serveur.

Mais je suis partisan de laisser le routeur router. Donc j’ai installé un container LXC dessus, hébergé sur un disque dur de 1To raccordé en USB au routeur.

Une fois le container déployé, je lui donne une adresse IP fixe sur mon réseau, et j’installe les paquets nécessaires :

apt install transmission transmission-daemon openvpn wget tcpdump nfs-common ssh iptables iptables-persistent dnsutils inetutils-ping

(comme vous pouvez le constater, le template LXC pour Debian est un peu léger en outils préinstallés, ce qui me convient très bien)

Le paquet nfs-common est là pour gérer un éventuel montage NFS si vous souhaitez stocker les fichiers téléchargés en dehors du container. Ici, je ne m’en sers pas.

Les paquets iptables et iptables-persistent sont là pour une bonne raison : une connexion VPN PEUT tomber et vous exposer.

Aussi, les quelques règles suivantes permettent de s’assurer que SEUL le trafic vers le VPN est autorisé à sortir de votre réseau :

iptables -A INPUT -i eth0 -s 192.168.10.0/24 -j ACCEPT
iptables -A INPUT -i tun0 -j ACCEPT iptables -A OUTPUT -o eth0 -p udp –destination-port 4443 -j ACCEPT
iptables -A OUTPUT -o eth0 -d 192.168.10.0/24 -m state –state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -j DROP
iptables -A OUTPUT -o tun0 -j ACCEPT

Deux choses concernant ce script :

L’adresse IP de mon container Debian est dans le sous réseau 192.168.10.0/24

Le port udp/4443 est celui FastestVPN mais là encore, tout dépend de votre fournisseur

Une fois que vous aurez exécuté ces quelques commandes, TESTEZ ! gardez vous un accès console sur la machine, ces règles fonctionnent pour moi mais je ne garantis pas que ça fonctionnera pour vous.

Tapez ensuite la commande iptables-save pour sauvegarder les règles et les rendre persistantes au redémarrage.


Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *