VPN et interface gestion box devenue inaccessible

[falke]

Bonjour,

j'ai installé un vpn qui se lance à chaque démarrage, en automatique (et résolu les problèmes de fuites DNS , dnscrypt ... )

Ceci dit je n'arrive plus à accèder à ma box bouygues (passerelle) en faisant 192.168.1.254, chose nouvelle (ou que je n'avais pas remarqué avant), l'ip est résolue en https://mabbox.bytel.fr/ et l'adresse est inaccessible.

Je suis étonné pour deux raisons :

1) il me semblait toujours accèder à un serveur sur mon réseau local
2) et si ce n'était pas le cas , je ne vois pas pourquoi je n'accède pas en https alors que ça marche sans problème pour d'autre sites à travers le VPN

je précise que je n'ai aucune règle de filtrage en cours dans iptables (ACCEPT ) pour tout (je compte sur la protection de ma passerelle) mais je ne devrait peut être pas.. Le service openvpn et client.openvpn sont désactivés et la navigation fonctionne et montre ma vrai ip.

Sous MacOs j'accède bien quand je désactive le vpn , sous linux non ??..

Auriez-vous une explication à ça ?

merci

falke



j

[Greg35]

Bonjour,

Peux-tu nous préciser quel VPN tu utilises (perso, payant, openvpn, NordVPN, autre, etc...) et comment tu l'as installé ? (sans informations confidentielles évidemment )

Pour être certain de bien comprendre, quand tu ne peux pas accéder à l'url de ta box, y a-t-il une connexion VPN montée ?

Afin de t'aider, il serait intéressant de nous donner le résultat de ces commandes :

Code : Tout sélectionner

route -en

Code : Tout sélectionner

ifconfig

Ça fait beaucoup de questions et ça permet de mieux comprendre la situation

[falke]

Salut Greg35

oui cela arrive, lorsque j'ai une connection vpn montée.

Sous MacOs (dualboot) ça marche dès que je désactive le vpn (j'imagine que lorsque je veut me connecter pour accéder , le DNS de mon FAI entre en ligne de compte)

Sous Linux , même si je désactive le service dans systemctl ça ne marche pas.
Faut dire que sous linux pour prévenir les fuites de DNS j'ai modifié quelques trucs (dnscrypt) arrêt du service resolvconf ...

voici le retour de la commande demandée.

Code : Tout sélectionner

Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic   MSS Fenêtre irtt Iface
0.0.0.0         10.7.7.1        128.0.0.0       UG        0 0          0 tun0
0.0.0.0         192.168.1.254   0.0.0.0         UG        0 0          0 wlp3s0
10.7.7.0        0.0.0.0         255.255.255.0   U         0 0          0 tun0
128.0.0.0       10.7.7.1        128.0.0.0       UG        0 0          0 tun0
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 wlp3s0
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 wlp3s0
196.244.191.195 192.168.1.254   255.255.255.255 UGH       0 0          0 wlp3s0

merci

[Greg35]

Salut Falke !

D'accord, je comprends mieux. Donc c'est bien uniquement quand le VPN est monté que tu n'as pas accès à l'interface d'admin de la box.
;
Lorsque que tu as fais la commande "route", le VPN était monté à priori.

Est-ce que tu peux passer cette commande lorsque le VPN est monté ?

Code : Tout sélectionner

traceroute --resolve-hostnames -I 192.168.1.254

Il y aura peut-être besoin d'installer le paquet "traceroute" avant...

À tout hasard, dans la config IPv4 de ta connexion VPN, il y a un bouton "Routes...". Est-ce que les cases sont décochées ? Ce sont les cases pour forcer le traffic à passer dans le VPN.

[falke]

salut, ça donne :

Code : Tout sélectionner

$ traceroute --resolve-hostnames -I 192.168.1.254
Bad option `--resolve-hostnames' (argc 1)

sinon ,

À tout hasard, dans la config IPv4 de ta connexion VPN, il y a un bouton "Routes...". Est-ce que les cases sont décochées ? Ce sont les cases pour forcer le traffic à passer dans le VPN.

dans mon fichier de conf vpn (client.conf) aucune mention de route, dans networkmanager aucune case routes non plus , de quelle config IPV4 veux tu parler ?

[Greg35]

En fait les options de routes IP sont visible depuis le bureau Cinnamon --> Connexions réseaux --> sélectionner le réseau VPN concerné --> "petite roue" : Modifier la connexion sélectionnée --> onglet : Paramètres IPv4 --> bouton : Routes...
Voici un screenshot de la fenêtre à laquelle ça amène :


Pour la commande "traceroute", tu peux la relancer sans l'option "--resolve-hotnames" (et toujours VPN connecté )

[falke]

bonjour ,

rebonjour (ou bonne nuit , on semble pas être sur le même fuseau ) ,

alors , sans
vpn :

Code : Tout sélectionner

traceroute -I 192.168.1.254
traceroute to 192.168.1.254 (192.168.1.254), 30 hops max, 60 byte packets
 1  _gateway (192.168.1.254)  4.155 ms  3.893 ms  3.882 ms

et avec :

Code : Tout sélectionner

traceroute -I 192.168.1.254
traceroute to 192.168.1.254 (192.168.1.254), 30 hops max, 60 byte packets
 1  _gateway (192.168.1.254)  5.189 ms  4.931 ms  4.926 ms

En fait, quand le vpn est désactivé , j'ai quand même le DNS fournit par dnscrypt qui "tourne" sous linux, ce qui n'est pas le cas par exple sous MacOs (l'appli graphique surfshark pour MacOs n'a pas de fuite DNS) donc j'utilise soit le DNS du fournisseur vpn (mode vpn ON auquel cas je n'accède pas à la console de gestion de la box ) soit celui de
Bouygues Telecom (mode VPN OFF auquel cas j'accède bien à ma console d'administration)

Je ne comprend pas pourquoi la résolution de l'ip de ma passerelle est indispensable pour accéder à la console, vu qu'on peut y accèder aussi directement par l'ip locale (ou par https://mabbox.bytel.fr/ auquel cas oui la résolution est nécessaire), est - ce une mesure de sécurité instaurée par Bouygues ?

[Greg35]

Ah ok ! Je n'avais pas compris que le problème se présentait uniquement lorsque l'accès se fait via l'url... je croyais que ça ne fonctionnait pas avec l'@IP

Alors une solution toute simple, tu édites ton fichier /etc/hosts et tu ajoutes la correspondance :

Code : Tout sélectionner

192.168.1.254	mabbox.bytel.fr

Normalement ça devrait fonctionner comme ça. Sauf si le service resolv.conf est nécessaire pour l'utilisation du fichier /etc/hosts mais je ne pense pas. À tester

[falke]

Salut Greg35 ,

ça marche ! merci à toi;

Figure toi que j'y avais pensé un moment, et puis je me suis dit , non c'est con.

Il est vrai que pour éviter les DNS de fuiter la solution proposée disait d'arrêter le service systemd-resolved au profit
du systemd-resolved de dnscrypt...

je ne comprends pas ce qui se joue entre les DNS et l'accès à cette console (j'imagine une procédure de sécurité ; les dns étranger ne doivent pas résoudre l'ip de leur console d'administration ,, ?)

je passe en résolu , bien que je ne sois pas certain qu'il s'agisse d'un contournement.

vincent

[Greg35]

Cool ! Content que ça fonctionne

En fait,les opérateurs utilisent une url texte au lieu de l'adresse IP uniquement parce que c'est plus familier et compréhensible pour leurs clients.
Leur box étant normalement l'intermédiaire entre le pc client et le web, elle intercepte la requête DNS pour ce domaine spécifique (bytel.fr : non connu des serveurs DNS publics) et c'est donc la box qui répond directement au pc.
Utilisant un DNS spécifique pour les besoins du VPN, la requête est envoyé à un serveur DNS public qui ne sait pas résoudre ce domaine inconnu d'une part, d'autre part la box ne peut pas intercepter la requête DNS puisqu'elle est encapsulée dans le traffic VPN, donc pour la box c'est juste un paquet IP avec du contenu indéchiffrable qu'elle se contente de faire suivre vers sa destination.
Donc en mettant dans ton /etc/hosts, tu fais la même chose que ce que ferait la box.
Voilà pour l'explication technique.