[édité le 30/7/2021 pour rajouter un 3e volet]
Le souci ?
Ici dans l’immeuble l’accès Internet est mis à disposition par le propriétaire, donc nous avons 2 ports RJ45 dans l’appartement et une antenne WiFi à proximité de la porte d’entrée qui donne sur le salon. Donc je suis directement sur le réseau local, qui me semble d’ailleurs configuré “à plat” donc je pense que chaque voisin peut voir les équipements de tout le monde en 192.168.1.0/24. Vu le résultat à rallonge de “arp -a” en ligne de commande sur Windows, j’ai assez peu de doutes sur le sujet. Pas génial. Donc je branche mon NAS sur un autre réseau dont j’ai le contrôle : derrière le “parefeu” MX64.
Outre le souci de vie privée, il y a aussi le fait que je ne peux pas accéder à mon NAS à distance. L’adresse IP publique est utilisée par le propriétaire pour accéder aux caméras de vidéosurveillance.
J’ai trouvé un contournement en demandant une adresse IP publique fixe pour mon NAS à un fournisseur de VPN. Ca fonctionne bien… quand ça fonctionne, et après une journée ou deux en général ça ne fonctionne plus.
Ce que j’utilisais jusqu’à présent : Meraki
J’ai depuis fin 2019 une petite série Meraki offerte gracieusement par Cisco en Suisse suite à la formation Meraki CMNA avec :
- MX67, “security appliance” et pour les petits malins faites gaffe, ce n’est pas vraiment un parefeu, de par ses limitations – je l’ai appris douloureusement, comme les meilleures leçons de la vie qu’on retient justement très bien. Faudra que j’écrive un billet à ce sujet.
- MR33 – antenne Wifi
- MS-120-8LP switch avec PoE (dont un port que j’utilise en PoE pour alimenter le Wifi MR33)
Très utile de les utiliser à la maison pour savoir de quoi on parle face à un client. Ils m’ont été offerts avec 3 ans de licence.
Problème de tunnel VPN
Le souci de tunnel VPN de mon NAS pour le rendre accessible à distance pourrait être :
- soit dû au Meraki. Cet article décrit assez fidèlement le comportement constaté chez moi, même s’il s’agit d’un VPN depuis le NAS à travers le Meraki, et non un tunnel entre un Meraki et une tierce partie.
- soit dû à du “packet mangling” chez le fournisseur d’accès, VNPT.
- Merci à Raphaël d’ailleurs de m’avoir fait découvrir ce terme (le jour où tu créeras enfin ton blog, je pourrai envoyer un lien vers chez toi pour qu’on s’instruise tous).
La nouvelle boîboîte “iKuai”
Donc je suis allé sur Lazada, un mélange vietnamien entre cdiscount et wish. J’y ai trouvé, en tapant “pfSense”, ce modèle pour environ 217.- CHF : livré le lendemain !
pfSense, basé sur FreeBSD, serait le meilleur parefeu open source, alors pourquoi pas l’essayer ?
Mon idée est de voir si avec un autre parefeu le souci de VPN s’envole et me permet à nouveau d’utiliser toutes les fonctions de mon NAS depuis le smartphone :
- DS Note pour prise de notes stockées sur le NAS, donc volume illimité
- DS Photo pour sauvegarder des photos directement chez moi
- DS Get pour lancer des téléchargements sur mon NAS à domicile depuis mon smartphone en déplacement
Voici donc ce que j’ai reçu du jour au lendemain après commande sur lazada (comme quoi les colis passent à travers le confinement, et c’est très bien) :
Au final ça ressemble à un hérisson :
Oui, mais chinois
Et maintenant le gag : c’est peut-être un hérisson, mais chinois en tout cas. Il est venu préinstallé avec une interface web chinoise “iKuai”. Pas très utile pour moi, sachant que je n’ai pas réussi à repérer les idéogrammes pour changer de langue en me baladant partout dans l’interface. La version anglaise de cette interface semble n’avoir pas été mise à jour dans les 4 dernières années après recherche sur Internet.
Et côté affichage HDMI de la ligne de commande, c’est pas vraiment évident :
Rions un peu
Alors j’ai utilisé la fameuse application “Microsoft Translator” qui permet de superposer la traduction directement sur une image. Je n’ai pas été déçu 🙂 qui dirait que c’est censé parler d’un équipement réseau ?
A cette étape j’ai donc décidé de laisser tomber l’interface iKuai, et d’installer le parefeu open source pfSense qui m’a été recommandé (oui par toi encore, Raphaël, et d’ailleurs merci). La suite bientôt.