Récupérer les informations

Dans un premier temps, j'espère que vous avez bien flashé votre routeur avec le firmware DD-WRT correspondant à votre routeur !

Récupérer les informations dont on à besoin. Vous allez pouvoir obtenir une somme assez importante de fichiers avec le fournisseur pour une configuration linux. En fait, vous utilisez les mêmes clés en permanence et les fichiers de configuration diffèrent sur un point; les serveurs ! Et c'est tout.

Prenez connaissance des différents serveurs et vous verrez que, notamment, la ta.key ne semble appelée sur aucune d'entre elles.

Le fichier configuration

Voici ce que vous donne AceVPN :

client
dev tun
proto udp
hand-window 30
remote-random

remote SERVEUR 443         #NL    - Test server
remote SERVEUR 443        #NL
remote SERVEUR 443    #NL

resolv-retry infinite
nobind
persist-key
persist-tun

ca /etc/openvpn/acevpn-ca.crt
cert /etc/openvpn/acevpn-user.crt
key /etc/openvpn/acevpn-user.key

ns-cert-type server
reneg-sec 0
comp-lzo
verb 3 
mute 5

#Save Username and Password
#Enter your username and password in acevpn-pass.txt file
#auth-user-pass /etc/openvpn/acevpn-pass

#Openvpn prompts to enter username and password
auth-user-pass

route-delay 2

#If you are having speed issues enable mssfix and tun-mtu
#mssfix 1300
#tun-mtu 1500
#tun-mtu-extra 32

#route 192.168.3.0 255.255.255.0

En l'état, ce script ne fonctionnera pas, il faut y apporter des changements :

client
dev tun
proto udp
hand-window 30
remote-random
remote SERVEUR 443         #NL
remote SERVEUR 443        #NL
remote SERVEUR 443 #NL - Test server
resolv-retry infinite
nobind
persist-key
persist-tun
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
ns-cert-type server
reneg-sec 0
comp-lzo
verb 3
mute 5
keepalive 10 60
auth-user-pass /tmp/openvpn/dh.pem
route-delay 2
#mssfix 1300
#tun-mtu 1500
#tun-mtu-extra 32
#optionnel
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
#route 192.168.3.0 255.255.255.0

J'ai directement ajouté le push des DNS de Google. Cette option n'est pas forcément nécessaire ! Donc n'hésitez pas à tester avec et sans. Pour le reste, je n'ai que donné le chemin où les différentes clés vont se trouver et aussi où le mot de passe et le login seront.

Votre fichier de configuration est maintenant prêt !

Le routeur

Rendez-vous dans Services > VPN

Activez OPenVPN Daemon avec Wan Up en Start Type

Dans Ca Cert, copiez acevpn-ca.crt
Dans Public Client Cert, copiez acevpn-user.crt
Dans Private Client Key, copiez acevpn-user.key

Dans DH PEM, inscrivez sur la première ligne votre login Acevpn puis appuyez sur Entrer pour taper sur la seconde votre mot de passe Acevpn

Sauvegardez le tout !

Maintenant, rendez-vous dans Administration > Commands (Shell en français). Copiez ceci:

iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -I INPUT -i tun0 -j REJECT
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Cliquez sur Save Firewall (sauvegarder le Pare-Feu)

Maintenant, allez dans Administration > Management (Gestion) et redémarrez le routeur

Attendez environ 1 minute

Allez sur http://www.monip.org et vous devriez avoir changé d'IP

Astuces

Afin de mieux protéger vos clés, vous pouvez modifier le Script au démarrage de la façon suivante (certains build du firmware n'apprécient pas):

sleep 30
killall openvpn
sleep 10
chmod 600 /tmp/openvpn/cert.pem
chmod 600 /tmp/openvpn/key.pem
sleep 5
/usr/sbin/openvpn --config /tmp/openvpn/openvpn.conf &

(vous pouvez en rajouter un pour le dh.pem également)

Merci à Mugen de nous avoir confié son compte pour que nous puissions faire ce guide !

L'application nécessite un iphone jailbreaké. Elle est également d'une extrême simplicité dans son utilisation. Voici donc un petit tuto pour l'utiliser.

Tout d'abord rendez-vous dans Cydia > Gérer > Sources > Modifier > Ajouter une source > http://cydia.guizmovpn.com

Maintenant, vous n'avez plu qu'à rechercher GuizmoVPN et à l'installer.

Allez sur votre PC, récupérer l'ensemble des informations de votre VPN et mettez les dans un même répertoire. Si vous avez un identifiant et un mot de passe, créer un document pass.txt et noter sur une ligne votre identifiant et sur la seconde votre mot de passe.

Ouvrez ensuite votre fichier de configuration OpenVPN et à la ligne auth-user-pass ajouter pass.txt pour faire : auth-user-pass pass.txt

Notez que ceci n'est pas obligatoire, ça dérange juste moins après.

Une fois cela fait, compresser vos clés et votre fichier de configuration dans un fichier zip.

Connectez votre Iphone a votre réseau wifi puis ouvrez GuizmOVPN. Allez dans Settings et ouvrez le Web server

Sur votre PC, connectez-vous à l'IP qui s'affiche au port, sur l'image ci-dessus cela nous donne : http://192.168.0.102:2095 par exemple

Donnez votre fichiez fraichement zippé tout à l'heure et pensez à ferme le Web Server sur le Iphone. Faites cela pour autant de configuration que vous le voulez (par exemple séparer les serveurs, les fournisseurs, etc.)

Vous n'avez plus qu'à vous connecter ! Notez ici que si vous n'avez pas entré de pass.txt, une fenêtre s'ouvrira (ou si vous ne l'avez pas fait correctement)

Ensuite, vous pouvez vérifier facilement que vous passez bien par le VPN en regardant en haut à droite de votre écran

A partir de l'écran d'accueil, appuyer sur la touche Menu pour faire apparaître des options supplémentaires.

Entrer ici, les informations relatives au VPN, puis valider. Le nom d'utilisateur et le mot de passe seront demandés lors de la première connexion.

L'icône de notifications dans la barre de tâches vous confirme que le VPN est bien connecté, ainsi que le statut "Connected" à côté du nom du VPN.

Tout d'abord, téléchargez PowerPost ici. Décompressez le dans un répertoire de votre choix et lancez le.

Allez sur là où il y a mon rond pour configurer la setup. Entrez vos paramètres de serveur usenet et laisser le paramètre de bande passante à 0 si vous désirez laisser le logiciel utiliser tout ce qu'il peut. Par contre oubliez le SSL pour cette configuration.

Si vous voulez poster sur newsgroup en SSL, voici la méthode:

Récupérez stunnel ici et installez le. Allez dans le répertoire où il s'est installé. Par exemple pour moi C:\Program Files (x86)\stunnel et ouvrez stunnel.conf et faites les modifications suivantes :

-------------------------------------------------------------------
; Sample stunnel configuration file by Michal Trojnara 2002-2006
; Some options used here may not be adequate for your particular configuration

; Certificate/key is needed in server mode and optional in client mode
; The default certificate is provided only for testing and should not
; be used in a production environment
cert = stunnel.pem
;key = stunnel.pem

; Some performance tunings
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1

; Workaround for Eudora bug
;options = DONT_INSERT_EMPTY_FRAGMENTS

; Authentication stuff
;verify = 2
; Don't forget to c_rehash CApath
;CApath = certs
; It's often easier to use CAfile
;CAfile = certs.pem
; Don't forget to c_rehash CRLpath
;CRLpath = crls
; Alternatively you can use CRLfile
;CRLfile = crls.pem

; Some debugging stuff useful for troubleshooting
;debug = 7
;output = stunnel.log

; Use it for client mode
client = yes

; Service-level configuration

[pop3s]
accept  = 995
connect = 110

[imaps]
accept  = 993
connect = 143

[ssmtp]
accept  = 465
connect = 25

;[https]
;accept  = 443
;connect = 80
;TIMEOUTclose = 0

[nntp]
accept = 119
connect = ADDRESSE SERVEUR NEWSGROUP SANS SSL

; vim:ft=dosini
-------------------------------------------------------------------

Vous enlevez le ; devant client=yes et vous rajouter [nntp] et les 2 lignes. Maintenant dans Powerpost, au lieu de mettre l'adresse dde votre newsgroup vous mettez 127.0.0.1, le port 119, votre login et pass usenet et vous voilà prêt à envoyez vos fichiers en ssl mais n'oubliez pas de lancer stunnel sinon vous n'irez pas très loin.

Ajoutez les fichiers que vous voulez expédier dans l'univers tout entier :

Vous allez voir ça après avoir sélectionner votre fichier :

Vous n'êtes pas obligé de changer quoique ce soit... Je vous laisse le soin de tester, jouer avec, découvrir ! Allez dans l'onglet newsgroup à côté et cliquer sur add...

Là forcément, vous vous dites : mais où c'est que je poste je connais rien ?

Ben voyons, je t'ai donné tous les outils pour ça:

http://binsearch.info/groups.php
http://www.bintube.com/newsgroups/

Il en existe beaucoup d'autres. Quand vous télécharger un fichier, regardez dans quel groupe il se trouvait ! C'est la meilleure solution, vous allez voir ensuite que ces groupes sont en général superactifs.

bon si tout se passe bien :

Et vous faites ca :

Voilà... Vous avez posté sur un newsgroup !

Bon, lancez l'installer maintenant. Ici, vous allez voir différentes options. Si vous ne désirez pas le lancer au démarrage, ne cochez pas "Run at Startup" mais faites bien attention de cocher "NZB file association".

Maintenant ouvrez Internet Explorer ou Firefox à l'adresse suivante : http://localhost:8080/sabnzbd/ et vous devriez voir cela:

Vu comme ça, c'est un peu austère mais nous allons le configurer. Allez dans Config tout d'abord

Ici, vous configurez le port de connexion. Ainsi si vous désirez le port 45666, mettez le et votre adresse de connexion sera alors http://localhost:45666/sabnzbd/

Vous pouvez également par exemple mettre un login et un pass de connexion., chose bien utile si vous désirez un accès possible en remote.

Dans dossier, si vous désirez changer l'endroit ou vos fichiers iront, écrivez le chemin complet, par exemple:

D:\sabnzbd\incomplet et D:\sabnzbd\complet

Sinon il ne prendras votre chemin en compte et mettra tout sur C: en créant lui-même les répertoires.

Dans le menu Option maintenant, il n'y a rien à changer

Ici, c'est le nerf de la guerre, le menu ultime ! Celui ou vous rentrez votre serveur. Je vous conseille vivement d'utiliser le serveur SSL dont le port est très souvent 563 et d'utiliser le serveur de votre continent quand celui-ci est disponible. Augmentez également le nombre de connexions pour télécharger plus vite. 4 à 6 connexions c'est souvent suffisant.

Bon... Vous êtes maintenant prêt pour partir en guerre !

Mais comment allez-vous télécharger avec tout ce bouzin ? En fait, rien de plus simple, vous allez utiliser des moteurs de recherches qui vont générer des fichiers nzb ce qui vous permettra de télécharger ensuite les fameux binaires que vous désirez.

Voici quelques moteurs:

http://binsearch.info/ : ici dans "Maximum age of post" mettez un truc comme 365 jours ou Show all si vous recherchez quelque chose de vieux puis lancer votre rechercher

http://www.nzbindex.nl/ : de base configuré en "any age"

http://www.bintube.com/ : de base configuré en "show all"

http://nzbmatrix.com/ : vous devez être enregistré

Bon faisons un test, maintenant que votre sabnzbd est prêt à l'emploi :

Nous allons rechercher le terme HADOPI !

Là, voilà ce que vous allez avoir:

Explication :

File Age : depuis le temps que le fichier a été posté
% : le pourcentage effectué (100% = complet, le reste n'a aucun intérêt)
Size: la taille (ici faites gaffe, ça grouille de virus... un truc de 128ko en est 1 à 200% surtout quand il est à 100%)

Ce qui nous intéresse c'est le nzb, vous allez donc cocher le fichier que vous voulez puis cliquer sur "Download NZB". Maintenant vous pouvez l'ouvrir avec NZB File directement (Sabnzbd) ou alors le télécharger puis cliquer dessus ou encore le télécharger puis l'ouvrir à partir de l'accueil de sabnzbd dans "Ajouter un fichier"

Sur cette image vous voyez le menu "File d'attente" où vous pouvez aller voir ce qui se télécharge. Une fois terminé, il atterit dans historique.

Maintenant il faut laisser le logiciel travailler... Dans certains cas, le téléchargement se déroule mal et le logiciel vous en averti. Notez qu'il va décompresser pour vous les .rar/.zip et faire une vérification des fichiers. Sabnzbd vous évite de vous plonger dans les fichiers PAR puisqu'il se chargera lui-même de tout.

Notez que dans le menu connexion, vous pourrez suivre la progression du téléchargement, voir les logs lors de la décompression de vos téléchargements, etc.

Je vous ai expliqué ici que la méthode conventionnelle de téléchargement car il y a en effet la possibilité d'utiliser les flux RSS via certains sites pour télécharger automatiquement via le sous-menu RSS dans Configuration. Vous pouvez en gros, chercher tout bêtement via google "RSS nzb" et vous trouverez votre bonheur et comprendrez rapidement comment ça fonctionne ! Au pire, je pourrai toujours faire un tuto spécifique !

A- Vérifier la compatibilité du routeur

Dans un premier temps, vous allez pouvoir aller voir par vous-même si votre routeur est compatible avec ce firmware maison en allant consulter la base de données.

Tapez les 3 premières lettre de votre routeur. Par exemple pour un WRT300, tapez WRT ou pour un DIR-300, tapez DIR. Vous allez voir apparaître la liste des routeurs compatibles. En pagaille, on y trouve une masse importante de WRT54G, GS,  WRT150N, WRT160N, DIR-300, DIR-301, DIR-600, etc... Lorsqu'il y a un "yes" vert c'est que le DD-WRT existe et lorsque il y a un "no" c'est qu'il n'existe pas (simple hein ?).  Lorsqu'un "wip" se trouve à côté, c'est Work in Progress, donc la création du firmware est en cours.

Lorsque vous voyez une version genre B1 ou 1.1 à côté du modèle de routeur, c'est assez simple, retournez votre routeur pour vérifier vous devriez y trouver une étiquette descriptive. Sinon, les D-Link par exemple affichent la version de l'appareil directement dans le panneau d'administration en haut à droite :

Si vous voulez choisir un routeur pour tenter l'expérience je recommande fortement un routeur puissant avec au moins 32Mo de RAM et si possible un processeur à plus de 300 Mhz ! Ceci joue un rôle d'importance, surtout lorsqu'on s'intéresse à OpenVPN.

En effet, afin de décrypter les données avec une clé 1024bits par exemple, sur un WRT54G, vous ne dépasserez jamais les 300Ko/s à cause des limitations matérielles du routeur. De plus, quand on a un espace plus important, on peut caser beaucoup plus d'options dans le firmware et ainsi, ne pas se limiter à un choix par défaut.

B- Flasher le routeur

Il existe 3 grandes techniques que je vais exposer de manière générale. Celle par interface web, celle par hard reset 30/30/30 et celle par tftp. Suivant le modèle, il faut se renseigner. Certains modèles ont leur propre wiki alors que d'autres n'ont que le forum. Par exemple, pour le WRT300N 1.1 et le DIR-825, nous utilisons la technique du hard reset alors que le WRT150N utilise l'interface web. Dans tous les cas, il est IMPÉRATIF d'être connecté à son routeur via un câble RJ-45 et surtout pas être en wireless.

A- Flash par interface web

C'est ici la méthode la plus simple. Il suffit de vous rendre dans l'interface admin de votre routeur, aller dans le menu firmware et lui donner le dd-wrt correspondant à votre routeur. Pensez à toujours préférer les images "mega" ou "openvpn" plutôt que mini. Vous attendez quelques minutes et votre routeur devrait se flasher correctement. Si vous ne savez pas quelle méthode utiliser, celle-ci est sans danger car en fait, soit votre routeur est flashé, soit vous avez directement un message d'erreur pour vous dire que l'image n'est pas correcte, tout simplement.

B- Flash hard reset 30/30/30

Ici lorsque la manipulation est réussie, la led du routeur clignote lentement. N'utilisez QUE Internet Explorer pour le flash et surtout pas Firefox, Chrome, Safari ou Opera, ça risque fortement de ne pas fonctionner.

1. Pressez le bouton reset durant 30 secondes, la led devrait clignoter

2. Débranchez le routeur mais tenez toujours le bouton reset durant 30 secondes

3. Allumez le routeur tout en restant presser le bouton reset 30 secondes encore, ça devrait flasher lentement

4. Configurez votre PC avec l'IP statique 192.168.0.2 (en fait 192.168.0.X ou X est supérieur à 1 puisque le 1 est réservé au routeur) pour votre PC (les DNS n'ont aucune importance)

5. Ouvrez votre navigateur sur 192.168.0.1 et flashez avec le firmware DD-WRT

6. Vous allez voir la barre de progression avancer et le routeur rebootera seul

7. Si une fois l'update du firmware le routeur semble bloquer, éteignez votre routeur (attendez quand même 3-4 minutes)

Cette technique est l'une des plus utilisées actuellement. Elle est simple et efficace et il en existe quelques variantes (10/10/10 ou 15/15/15) ainsi que des alternatives dont voici 2 exemples:

De nombreux routeurs ne nécessitent pas de hard reset aussi long. Par exemple, sur un DIR-825, éteindre le routeur, pressez le bouton reset et rallumer le routeur une 15aine de secondes tout en gardant une pression sur le bouton reset suffit et vous passez à l'étape 4 directement.

Il existe une alternative pour les routeurs difficile. Flashez via l'interface web votre routeur en OpenWRT (vérifiez bien qu'il existe pour le modèle de votre routeur). Une fois cela terminé, éteignez votre routeur et pressez le bouton reset. Gardez la pression jusqu'à 30 secondes en rallumant le routeur et vous devriez pouvoir le flasher en DD-WRT en passant à l'étape 4 (cela fonctionne par exemple une fois encore sur DIR-825 récalcitrant). Vous pouvez également refaire toute la manipulation de 1 à 7, cela fonctionne assurément.

Notez que parmi tous les routeurs qui supportent le flash en hard reset, il existe une exception : le routeur Asus RT-N16. Celui-ci est le plus simple ! Pour le flasher suivez la procédure suivante :

Préalable : allez sur le site de Asus (Wireless > AP/Router > RT-N16) afin de récupérer le "RT-N16 Utility", vous aurez besoin de l'un des logiciels, donc installez le package.

1- Éteignez votre routeur et laissez le branché par RJ-45

2- Appuyez sur le bouton reset 10 secondes

3- Rallumez votre routeur tout en laissant le bouton reset pressé

4- Attendez encore 10 secondes

5- La diode bleue devrait clignoter (dans certains cas, elle s'éteint carrément)

6-Ouvrez l'outil firmware restoration et donnez lui le Firmware du RT-16 récupéré chez DD-WRT

7-Flashez !

C- flash par tftp

Tout d'abord, pour un utilisateur linux, rendez-vous sur le wiki de DD-WRT afin d'utiliser atftp. Sous Mac OSX, vous devriez avoir la ligne de commande tftp. Pour les Windoziens, suivez le guide (les routeurs Asus doivent suivre ce guide)

Téléchargez tftp puis:

Dans Server, entrez celle de votre routeur. Laissez Password vide et dans File, la version du firmware qui va être flashé. Quant à la dernière ligne, mettez un nombre entre 10 et 99 afin d'être sur qu'il soit flashé. C'est une méthode extrêmement simple et efficace. Il est conseillé de reset les paramètres du routeur en paramètres usine. Dans votre interface admin vous devriez trouver un "reset to factory default". Vous pouvez aussi tout simplement presser le bouton reset à l'arrière de votre routeur quelques secondes.

Maintenant connectons-nous à l'IP 192.168.1.1 pour accéder aux options DD-WRT. Notez que je n'examinerai pas les différents menus, amusez-vous avez, le wireless et la connexion sont simples à configurer comme sur tout routeur "normal". :

Note: le DIR-825 B1 pose énormément de difficultés et n'est absolument pas stable en OpenVPN. Notez égaement que d'un routeur à l'autre les résultats peuvent différer, que passer derrière une box peut poser divers problèmes, etc.

Préambule

Tous les tests ont été effectués à partir de DIR-825* de D-Link ou de WRT300N de Linksys et s'appliquent à tous les routeurs compatibles DD-WRT. Le DD-WRT est un firmware pour routeur basé sur un noyau linux et offrant de multiples possibilités telles que VPN, SSH, Telnet, VLan, repeater, etc. inclus nativement ! En gros, vous décuplez la puissance de votre appareil pour rien.

Ce sujet requiert un minimum de connaissances. Si vous savez déjà jouer un peu dans votre routeur (le configurer un minimum) il n'y aura aucun problème. L'IP de base d'un DD-WRT est 192.168.1.1 pour accéder à l'interface admin. Faites vos configurations initiales après le flash (DHCP ou PPPOE par exemple) qui sont identiques à ce que vous utilisez actuellement.

De plus, rien ne vous empêche de brancher le routeur à un  routeur principal  et de créer un 2ème réseau en branchant le routeur DD-WRT dans l'un des RJ-45 disponible puis d'y connecter vos PC, vous serez derrière le VPN également (les tests ont été effectués ainsi). N'oubliez pas de configurer également vos connexions sans fil une fois tout terminé car le wireless est activé par défaut !

Ainsi, ce tuto se veut très général et vous sera utilise si vous ne trouvez pas votre bonheur dans la section Firmware DD-WRT de VPN Addict. L'objectif est de vous offrir les bases afin que vous puissiez résoudre des problèmes de base liés à votre configuration routeur. Si vous avez la moindre question, n'hésitez pas

I- Configurer OpenVPN

Ici, il existe 2 méthodes (en fait 3 mais une est assez inefficace et échoue trop souvent) suivant le type de VPN que vous avez. Tout d'abord, nous allons voir les OpenVPN sans mot de passe et ceux avec login et mot de passe. On se retrouve donc à l'adresse 192.168.1.1. Vous allez commencer par vous créer un login et pass administrateur !

N'hésitez pas à regardez dans le menu si votre VPN a déjà son tuto !

A- OpenVPN sans login/pass

C'est notamment le cas de XangoVPN.

Dans un premier temps, décompressez le fichier que vous donnera votre fournisseur VPN ou téléchargez les 3 clés qu'il vous envoie. Vous devriez avoir un .ovpn, un .key, un ca.crt et un .crt. Ouvrez le .ovpn avec notepad. Il devrait ressembler à cela :

client
dev tun #ou tap 
proto tcp  #ou udp suivant le protocole
remote IP.SERVEUR PORT #en général 1194 pour le port
resolv-retry infinite
nobind
persist-key
persist-tun

ca ca.crt  #votre ca.crt
cert cert.crt #votre cert.crt
key key.key #votre key.key
comp-lzo #la compression est activée
verb 1
route-method exe 
route-delay 2

Comme vous pouvez le constater, tout est décrit afin que nous puissions configurer notre routeur correctement. Rendez-vous maintenant dans l'interface Admin du routeur puis dans Services > VPN

1. Activez OpenVPN Client

2. Server IP/Name : mettez-y l'ip de votre VPN

3. Port : le port du VPN

4. Ne touchez pas les 4 paramètres suivants SAUF si vous avez une configuration différente avec votre VPN

5. Use LZO : ici oui

6. Tunnel protocole : ici TCP (je vous le dis tout de suite, UDP c'est mieux !)

7. Tunnel Device : TAP ou TUN, ici TUN

8. Public server key : copiez l'intégralité de votre ca.crt

9. Public client key : copiez l'intégralité de votre cert.crt

10. Private Client key : copiez l'intégralité de votre key.key

11. Cliquez sur Apply Settings puis Save

12. Allez dans le menu Administration en haut

13. Appuyez sur Reboot Router et attendez une 30aine de secondes

14. Rendez-vous sur http://monip.org tout devrait fonctionner

B-OpenVPN avec un login/pass

C'est la méthode que nous retiendrons pour de nombreux fournisseurs VPN comme Arethusa, Cryptocloud (avec quelques modifs de paramètres), VPNTunnel.se, etc. Il existe ici 2 variantes. La première est simple et convient à ceux n'ayant que une clé (ca.crt) ainsi qu'un login et un pass. La seconde convient à tout type de configuration de 1 à 4 clés !

B-1 Méthode rapide avec 1 clé ca.crt

1- Aller dans Services > VPN

2- Activer VPN Daemon

3- Start Type Wan Up

4- Copier votre ca.crt dans "Certification du serveur public"

5- Dans "Clef du Client Privée" inscrivez sur 2 lignes votre login et votre pass

6- Copier votre vpn.ovpn (votre fichier de configuration) dans "OpenVPN Config"

7- à la ligne ca xxxx.crt mettez ca ca /tmp/openvpn/ca.crt

8- Ajoutez ou modifiez la ligne auth-user-pass en indiquant auth-user-pass /tmp/openvpn/key.pem

9- Vous pouvez tentez de modifier votre fichier config avec des fonctions présentes sur cette page ou vous inspirez des scripts de la méthode B-2

10- Allez Dans Administration > Shell et entrez les lignes suivantes :

iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -I INPUT -i tun0 -j REJECT
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Faites Sauvegarder le Pare-Feu

11- Allez dans Administration > Gestion et redémarrez le routeur

12- Un petit tour sur http://monip.org et vous devriez être sur le VPN

Note:

Cette méthode peut être adaptée en utilisant les autres champs pour les autres clés.

B-2 Méthode avec scripts

Nous allons commencer par activer la partition JFFS2 du routeur afin de pouvoir y mettre nos clés, login et pass. Pour cela allez dans Administration > Gestion > JFFS2 et activez le tout.

Par mesure de sécurité, cliquer aussi sur Activer pour Effacer JFFS2. Enregistrez vos paramètres puis redémarrez le routeur. Vous verrez que le bouton Désactiver au niveau de Effacer JFFS2 est maintenant coché :

Récupérez les différentes informations de votre founisseurs: fichiers configuration, login et pass, certificats (en général, vous n'avez que le ca.crt). Nous sommes prêt à commencer.

Allez dans Administration Shell et suivez à la lettre les indications suivantes :

Voici ci dessous 3 scripts exemples afin de vous montrer les 3 grandes différences de scripts au niveau des clés (on peut en avoir entre 1 et 4 suivant le fournisseur de VPN). Regardez bien votre fichier ovpn et les clés qui accompagnent votre abonnement afin d'adapter l'un de ces exemples.

1. Script pour clé ca.crt (arethusa, vpntunnel.se, etc.):

Entrez le script suivant si vous avez seulement la clé ca.crt:

sleep 30
echo "USERNAME
PASSWORD" > /jffs/user.conf
sleep 10
echo "client
dev tun
proto udp
remote nl.tunsrv.s6n.net 443
resolv-retry infinite
nobind
hand-window 30
persist-key
persist-tun
ca /jffs/ca.crt
ns-cert-type server
cipher AES-256-CBC
comp-lzo
verb 3
keepalive 10 60
reneg-sec 0
auth-user-pass /jffs/user.conf
redirect-gateway def1 bypass-dhcp" > /jffs/config.ovpn
sleep 10
echo "-----BEGIN CERTIFICATE-----
VOTRE CLÉ CA.CRT À L'IDENTIQUE
-----END CERTIFICATE-----" > /jffs/ca.crt

2. Script avec 3 clés ca.crt, cert.crt et key.key:

sleep 30
echo "USERNAME
PASSWORD" > /jffs/user.conf
sleep 10
echo "client
dev tun
proto udp
remote SERVEUR PORT
resolv-retry infinite
nobind
persist-key
persist-tun
ca /jffs/ca.crt
cert /jffs/cert.crt
key /jffs/key.key
ns-cert-type server
cipher AES-256-CBC
comp-lzo
verb 3
auth-user-pass /jffs/user.conf
redirect-gateway def1 bypass-dhcp" > /jffs/config.ovpn
sleep 10
echo "-----BEGIN CERTIFICATE-----
VOTRE CLÉ CA.CRT À L'IDENTIQUE
-----END CERTIFICATE-----" > /jffs/ca.crt
sleep 10
echo "-----BEGIN CERTIFICATE-----
VOTRE CLÉ CERT.CRT À L'IDENTIQUE
-----END CERTIFICATE-----" > /jffs/cert.crt
sleep 10
echo "Contenu de la clé à l'identique" > /jffs/key.key

3. Script pour 4 clés ca.crt, ta.key, cert.crt et key.key :

Entrez le script suivant si vous avez 4 clés:

sleep 30
echo "USERNAME
PASSWORD" > /jffs/user.conf
sleep 10
echo "float
remote SERVEUR PORT
dev tun
persist-key
persist-tun
proto udp
pull
route-method exe
route-delay 2
nobind
tun-mtu 1500
comp-lzo
auth-user-pass /jffs/user.conf
cipher AES-256-CBC
tls-client
client
tls-auth /jffs/ta.key 1
ns-cert-type server
ca /jffs/ca.crt
cert /jffs/cert.crt
key /jffs/key.key
keepalive 10 60
resolv-retry 86400
verb 1" > /jffs/config.ovpn
sleep 10
echo "-----BEGIN CERTIFICATE-----
VOTRE CLÉ CA.CRT À L'IDENTIQUE
-----END CERTIFICATE-----" > /jffs/ca.crt
sleep 10
echo "-----BEGIN CERTIFICATE-----
VOTRE CLÉ CERT.CRT À L'IDENTIQUE
-----END CERTIFICATE-----" > /jffs/cert.crt
sleep 10
echo "-----BEGIN CERTIFICATE-----
VOTRE CLÉ TA.KEY À L'IDENTIQUE
-----END CERTIFICATE-----" > /jffs/ta.key
sleep 10
echo "Contenu de la clé à l'identique" > /jffs/key.key

Note:

1. Copier l'un de ces scripts en respectant les retour à la ligne

2. Remplacez username et password par les vôtres

3. Remplacez serveur port par votre serveur et le port de ce dernier

4. Si vous avez plusieurs serveurs disponibles, mettez remote-random sur une ligne puis dessous remote serveur port pour chaque serveur.

5. echo "client jusqu'au prochain " correspond à votre fichier ovpn. Adaptez cette partie du script. Vous pouvez avoir dev tap au lieu de dev tun ou alors prot tcp au lieu de udp par exemple.

6. le dernier echo "---BEGIN CERTIFICATE--- est pour votre clé ca.crt que vous mettez à l'identique et les autres, si vous en avez servent à créer les autres clés

6. N'oubliez pas que votre script peut être différent et ajouter d'autres paramètres ou bien en enlever, tenez-vous y.

Maintenant que vous avez adapté votre script (ne vous inquiétez pas, c'est la phase la plus difficile), cliquez sur "sauver le démarrage" puis vous devriez voir votre script s'afficher :

Nous allons maintenant créer les règles du firewall afin de ne pas avoir de problèmes lors de nos passages dans le VPN.

Toujours dans le Shell entrez les lignes suivantes :

iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -I INPUT -i tun0 -j REJECT
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Cliquez maintenant sur Sauver le Pare-Feu et vous devriez obtenir ceci :

Note:

Si votre VPN est en tap (dev tap) remplacez les tun0 par tap0

Maintenant, allez dans Administration > Gestion et tout en bas, redémarrez votre routeur. Votre script de démarrage va créer tous les fichiers dont nous avons besoin. Attendez environ 3 à 4  minutes.

Retournez maintenant Dans Administration > Shell puis cliquez sur le bouton Éditer sous Démarrage puis effacez dans la fenêtre et remplacez par ce script :

sleep 30
/usr/sbin/openvpn --config /jffs/config.ovpn --auth-user-pass /jffs/user.conf &

Sauvegardez à nous en cliquant sur Sauver le Démarrage tout en bas, ça vous donne un truc de ce genre là après :

Maintenant, allez dans Services > VPN

Dans Client OpenVPN (en bas), cliquez sur activer et ne remplissez RIEN puis sauvegardez :

Maintenant, retournez dans Administration > Gestion puis cliquez sur redémarrer...

Dans 2 à 3 minutes allez faire un tour sur http://monip.org et tout devrait fonctionner parfaitement, vous devriez être protégé par votre VPN !

II- Configurer PPTP

C'est le plus simple (mais aussi le VPN le moins sécurisé et réputé moins stable). Pour cela, connectez-vous à votre interface admin à l'IP 192.168.1.1 du DD-WRT.

Allez dans Services > VPN puis remplissez les champs avec les différentes informations que vous a donné votre fournisseur (si vous n'avez que IP, login et pass, ne rentrez que cela). Ensuite, allez dans Administration > Gestion puis redémarrer...

Allez faire un tour sur http://monip.org et tout devrait fonctionner parfaitement, vous devriez être protégé par votre VPN !

Note :

Afin de renseigner correctement les différents champs, regardez la configuration Linux disponible chez votre fournisseur VPN, elle donne en général une description plus importante et fournit l'ensemble des données nécessaires.

Pour des raisons de sécurité, préférez TOUJOURS l'OpenVPN au PPTP qui souffre de vulnérabilités diverses.

III- Conclusion

Vous voilà maintenant équipé d'un routeur tournant sous Linux avec un VPN qui se connecte automatiquement et protège l'ensemble de votre réseau ! De plus, en cas de déconnexion, il se reconnectera automatiquement. N'hésitez pas à aller vérifier votre IP une fois de temps en temps. Si vous avez la moindre question, n'hésitez pas à utiliser le formulaire de contact ou alors un commentaire afin d'étayer le présent tuto !

N'hésitez pas trop à franchir le pas, ça vaut vraiment le coup surtout que vous pouvez, une fois que vous commencez à maîtriser un peu l'engin, utiliser et activer le SSH par exemple ou encore mettre des routeur en mode repeater à l'étage d'une maison, etc. Vous tenez là un jouet qui vous occupera des heures...

*Le DIR-825 de Linksys s'est montré extrêmement instable durant tous les tests, préférez-lui un routeur Broadcom (Asus RT-N16, WRT300N, etc.)

Récupérer les informations

Contrairement à d'autres fournisseurs, XangoVPN n'utilise que le email pour communiquer les accès au serveur. Il contient un petit fichier zip :

Xango.ovpn
Xango.crt
Xango.key
ca.crt

Il y a donc tout ce qu'il nous faut pour commencer. Pour des raisons de compatibilité, nous verrons 2 techniques différentes. La première semble ne pas fonctionner sur certains routeurs DD-WRT et la deuxième s'inspire des autres tutos pour fonctionner.

Le routeur

Le fichier de configuration

Voici ce que vous donne une configuration type pour XangoVPN

client
dev tun
proto tcp
remote 85.xxx.xxx.xxx 1194
resolv-retry infinite
nobind
persist-key
persist-tun

ca ca.crt
cert Xango.crt
key Xango.key
comp-lzo
verb 1
route-method exe
route-delay 2

Cette configuration, nous ne l'utiliserons pas directement pour la première technique! En fait, le routeur VPN DD-WRT va créer sa propre configuration très proche de celle-ci tout seul et la stocker temporairement. À chaque redémarrage, il va tout simplement la réécrire.

TECHNIQUE 1: Le routeur en mode "VPN CLIENT"

Nous allons donc ici laisser faire le routeur sa propre configuration :

Rendez-vous dans l'interface Admin du routeur puis dans Services > VPN :

1. Activer OpenVPN Client

2. Server IP/Name : mettre l'ip de votre VPN contenue à la ligne remote

3. Port : mettre 1194 (c'est contenu à la ligne remote également)

4. Use LZO : ici oui

5. Tunnel protocole : ici TCP

6. Tunnel Device : ici TUN

7. Certification du Serveur public (Public server key) : copier l'intégralité de votre ca.crt

8. Certification du Client public (Public client key) : copier l'intégralité de votre Xango.crt

9. Clef du Client Privée (Private Client key) : copier l'intégralité de votre Xango.key

10. Cliquer sur " Enregistrer" (Save)

11. Aller Dans Administration > Shell (Command) l et entrer les lignes suivantes :

iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -I INPUT -i tun0 -j REJECT
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

12. Faire Sauvegarder le Pare-Feu (Save Firewall)

13. Aller dans Administration > Gestion (Management en anglais) et redémarrez le routeur

14. Attendre environ 1 minute et aller sur http://monip.org et vous devriez avoir changé d'IP

(Ce tuto a été réalisé sur un routeur Linksys WRT300N version 1.1)

TECHNIQUE 2: Le routeur en mode "VPN DAEMON"

Cette deuxième technique s'appuie entièrement sur le VPN Daemon, la 2nde possibilité utilisée dans la plupart des autres guides.

Rendez-vous dans Services > VPN

Activez OPenVPN Daemon avec Wan Up en Start Type

Dans Ca Cert, copiez ca.crt
Dans Public Client Cert, copiez Xango.crt
Dans Private Client Key, copiez Xango.key

Nous allons modifier maintenant la configuration vue plus haut :

client
dev tun
proto tcp
remote 85.xxx.xxx.xxx 1194
resolv-retry infinite
nobind
persist-key
persist-tun

ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
comp-lzo
verb 1
route-method exe
route-delay 2

Les modifications sont mineures, on fait juste changer le nom des clés ainsi que le chemin d'accès.

N'oubliez pas d'enregistrer le tout. Maintenant, allez dans Administration > Shell (Command) et entrer les lignes suivantes :

iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -I INPUT -i tun0 -j REJECT
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Faire Sauvegarder le Pare-Feu (Save Firewall)

Aller dans Administration > Gestion (Management en anglais) et redémarrez le routeur

Attendre environ 1 minute et aller sur http://monip.org et vous devriez avoir changé d'IP

Récupérer les informations

Tout d'abord connectez vous à votre panneau de configuration et rendez-vous dans sofware. Récupérez le certificat et la configuration Linux.

Bon maintenant nous avons tout ce qu'il nous faut et c'est donc l'heure de configurer le routeur

Le fichier de configuration

Voici ce que vous donne une configuration type pour DarknetVPN:

float
client
dev tap
proto udp

; Cert
ca /etc/openvpn/keys/ca.crt
ns-cert-type server
cipher BF-CBC    #Blowfish

;Vpn server

remote-random
remote ADRESSE.SERVEUR PORT
remote ADRESSE.SERVEUR PORT
remote ADRESSE.SERVEUR PORT

;Auth
auth-user-pass #passwd

persist-key
persist-tun

; Logging
comp-lzo
verb 1

Il va nous falloir le modifier très légèrement pour que cela fonctionne:

float
client
dev tap
proto udp

 
ca /tmp/openvpn/ca.crt
ns-cert-type server
cipher BF-CBC

remote-random
remote ADRESSE.SERVEUR PORT
remote ADRESSE.SERVEUR PORT
remote ADRESSE.SERVEUR PORT

auth-user-pass /tmp/openvpn/key.pem

persist-key
persist-tun

comp-lzo
verb 1

Nous n'avons apporté que 2 modifications mineures qui consistent à dire au client VPN où est la clé ca.crt et où se trouve le login/pass disponible que vous avez reçu par email. N'oubliez pas de mettre le serveur de votre choix à la ligne "remote remote ADRESSE.SERVEUR PORT" (en général, 3 fois le même, sur 3 ports différents)

Maintenant, nous sommes prêt à entrer les informations dans le routeur

Le routeur

Nous allons utiliser la technique intitulée B-1 du tutoriel général :

1- Aller dans Services > VPN

2- Activer VPN Daemon

3- Start Type Wan Up

4- Copier la ca.crt dans "Certification du serveur public" (Ca cert en anglais)

5- Dans "Clef du Client Privée" (Private Client Key en anglais) inscrivez sur 2 lignes votre login et votre pass obtenus par email

6- Copier le fichier de configuration modifié dans "OpenVPN Config"

7- Sauvegarder le tout

8- Aller Dans Administration > Shell (Command en anglais) et entrer les lignes suivantes :

iptables -I FORWARD -i br0 -o tap0 -j ACCEPT
iptables -I FORWARD -i tap0 -o br0 -j ACCEPT
iptables -I INPUT -i tap0 -j REJECT
iptables -t nat -A POSTROUTING -o tap0 -j MASQUERADE

9- Faire Sauvegarder le Pare-Feu

10- Aller dans Administration > Gestion (Management en anglais) et redémarrez le routeur

11- Attendre environ 1 minute et aller sur http://monip.org et vous devriez avoir changé d'IP

Astuces

Si vous subissez des déconnexions, ajoutez keepalive 10 60 dans le fichier de configuration

Note: préférez un firmware de type "Generic VPN" que Mega ou Generic quand cela est possible

Note 2: Darknet et Vpntunnel, c'est la même chose et ce sont aussi les mêmes serveurs (contrairement à Cryptocloud et TorrentFreedom qui finalement sont l'association de 2 fermes de serveurs).

Récupérer les informations

Tout d'abord connectez vous à votre panneau de configuration et rendez-vous dans sofware. Récupérez le certificat et la configuration Linux.

Bon maintenant nous avons tout ce qu'il nous faut et c'est donc l'heure de configurer le routeur

Le fichier de configuration

Voici ce que vous donne une configuration type pour VPNTunnel :

float
client
dev tap
proto udp

; Cert
ca /etc/openvpn/keys/ca.crt
ns-cert-type server
cipher BF-CBC    #Blowfish

;Vpn server

remote-random
remote ADRESSE.SERVEUR PORT
remote ADRESSE.SERVEUR PORT
remote ADRESSE.SERVEUR PORT

;Auth
auth-user-pass #passwd

persist-key
persist-tun

; Logging
comp-lzo
verb 1

Il va nous falloir le modifier très légèrement pour que cela fonctionne:

float
client
dev tap
proto udp

 
ca /tmp/openvpn/ca.crt
ns-cert-type server
cipher BF-CBC

remote-random
remote ADRESSE.SERVEUR PORT
remote ADRESSE.SERVEUR PORT
remote ADRESSE.SERVEUR PORT

auth-user-pass /tmp/openvpn/key.pem

persist-key
persist-tun

comp-lzo
verb 1

Nous n'avons apporté que 2 modifications mineures qui consistent à dire au client VPN où est la clé ca.crt et où se trouve le login/pass disponible que vous avez reçu par email. N'oubliez pas de mettre le serveur de votre choix à la ligne "remote remote ADRESSE.SERVEUR PORT" (en général, 3 fois le même, sur 3 ports différents)

Maintenant, nous sommes prêt à entrer les informations dans le routeur

Le routeur

Nous allons utiliser la technique intitulée B-1 du tutoriel général :

1- Aller dans Services > VPN

2- Activer VPN Daemon

3- Start Type Wan Up

4- Copier la ca.crt dans "Certification du serveur public" (Ca cert en anglais)

5- Dans "Clef du Client Privée" (Private Client Key en anglais) inscrivez sur 2 lignes votre login et votre pass obtenus par email

6- Copier le fichier de configuration modifié dans "OpenVPN Config"

7- Sauvegarder le tout

8- Aller Dans Administration > Shell (Command en anglais) l et entrer les lignes suivantes :

iptables -I FORWARD -i br0 -o tap0 -j ACCEPT
iptables -I FORWARD -i tap0 -o br0 -j ACCEPT
iptables -I INPUT -i tap0 -j REJECT
iptables -t nat -A POSTROUTING -o tap0 -j MASQUERADE

9- Faire Sauvegarder le Pare-Feu

10- Aller dans Administration > Gestion (Management en anglais) et redémarrez le routeur

11- Attendre environ 1 minute et aller sur http://monip.org et vous devriez avoir changé d'IP

Astuces

Si vous subissez des déconnexions, ajoutez keepalive 10 60 dans le fichier de configuration

Vérifiez le cour de la couronne suédoise (SEK) par rapport à l'euro afin de voir si vous pouvez grapiller quelques centimes lorsque vous prenez l'abonnement

Note: préférez un firmware de type "Generic VPN" que Mega ou Generic quand cela est possible

Note 2: Vpntunnel et DarknetVPN, c'est la même chose et ce sont aussi les mêmes serveurs (contrairement à Cryptocloud et TorrentFreedom qui finalement sont l'association de 2 fermes de serveurs).