Utiliser le TL-WR703N come router VPN

lun, 30/09/2013 - 13:21 -- Remiguel

L'Apple TV2 n'a pas d’option VPN. Une solution consiste à utiliser un routeur qui prend en charge ce service, pour créer ce réseau privé virtuel.
Notre petit routeur à 20 €, ne supporte pas OpenVPN, en raison de ses 4 Mo de mémoire flash, mais supporte le protocole PPTP. Ce protocole n’est pas le plus sûre, mais il est plus rapide grâce à moins d'utilisation CPU pour le cryptage.

 

Shema d'instalation

Mon but ici est de connecter  l'ATV au WR703N via Wifi. Le WR703N sera relié au routeur du domicile via Ethernet, pour avoir accès à Internet. Le WR703N recevra la configuration du VPN.

Configuration des zones du WR703N

Je ne sais pas si mon approche est la plus propre, mais ça fonctionne.  En plus des deux zones existantes, Lan et Wan, j’ai créé une troisième zone que j’ai appelé Vpn. Ces 3 zones ne communiquent pas entre elles. Leurs communications sera réglé par l'interface du pare-feu d’OpenWRT.

La zone Wan aura une interface avec une adresse statique sans DHCP et sera connecté au routeur via un câble Ethernet. La Vpn aura une interface PPTP. La zone Lan aura une interface avec une adresse statique (en option avec une distribution DHCP) et une interface Wifi (pour la communication avec l'ATV).

Installation du paquet pptp

Deux méthodes:
 
Avec Luci
allez dans l'onglet "System", puis "Software".
cliquez sur "Update"

Apres la mise à jours, faire une recherche de
ppp-mod-pptp
Cliquez sur "install"

Vía ssh
Ecrire ces deux lignes en les validant par "enter"
opkg update
opkg install ppp-mod-pptp

Configuration des trois zones et de leurs interfaces

Zone Wan

L'interface WAN est configuré avec une adresse statique, dans la plage de celle du routeur. L'adresse du "gateway" est l'adresse du routeur relié à internet. La distribution DHCP n'est pas nécessaire, on la désactive (Disable).

Allez dans l'onglet "Firewall Setting", et affecter cette interface dans la zone Wan.

 

Dans l'onglet "Physical Settings" vérifier que adaptateur est eth0 et désactiver le pont (bridge) entre interfaces.

 

Zone Vpn

Créer une interface PPTP dans la zone Vpn.
Dans "General Setup" indiquer les paramètres de notre fournisseur VPN. 

 

Allez dans l'onglet "Firewall Setting", pour affecter cette interface dans la zone Vpn.
On peut faire nos essais avec un service gratuit, avant de souscrire à un service VPN payant qui garantira la qualité de la connexion.

 

Si les données et mots de passe sont corrects, vous pouvez voir les transmissions de données RX et TX. Comme le pare-feu n'est pas encore configuré, on a pas encore accès à internet.

Zone Lan

Créer une interface lan statique (avec en option une distribution DHCP). Je l'ai appelé "virt". Comme il s'agit d'un point hors du réseau principal je lui est attribué une adresse différente du routeur principal 192.168.2.1. Le masque de réseau doit être 255.255.255.0
Apres mes tests, j'ai vu qu'il n'est pas nécessaire d'activer la distribution DHCP. On doit dans ce cas attribuer à l'ATV une adresse fixe dans la plage 192.168.2.xxx.
La connexion est depuis plus stable.

 

Dans l'onglet "Physical Settings" activez le pont entre les interfaces "Wifi" et "virt" pour une communication directe.

 

Configurer le Wifi et déclarer que cette interface ce trouve dans la zone Lan.

 

Une fois terminé cliquer sur "Network", on aura quelque chose comme ceci:

Configuration du Firewall

Déclarez dans "General Settings", "Reject" pour Input, Output y Forward (par defaut rien n'entre ni ne sort du routeur, aucune communication n'est permise entre zones).

Maintenant on peut configurer zone par zone:
Nous devons faire en sorte que seulement la zone "Lan" communique avec la zone "Vpn" et la "Vpn" se connectera avec la "Wan". De cette manière, nous nous assurons que tout le trafic de la zone Wifi, passe par le tunnel VPN avant de sortir par le routeur du domicile. Par sécurité, le firewall refuse que toute communication venant de la Wan passe aux autres zones. Le vérifier en faisant un Ping depuis l'interface ethernet. J'ai laissé "input" avec "accept" pour accéder au routeur à partir du port Ethernet.

 

Important, activer Masquerading et MSS clamping. Sans cela, les paquets du routeur du domicile ne parviendraient pas au WR703N.
Dans l'onglet "Traffic Rules" vérifiez que les règles existantes sont correctement déclarés. Le réglage par défaut est fait pour recevoir de la zone Lan et envoyer vers la zone Wan. Les laisser ainsi.

 

On doit ouvrir à la fois pour la zone Lan et la Vpn, le port 53 pour les protocoles TCP, UDP et les ports 67-68 pour le protocole UDP.
Ne pas oublier d'ouvrir le port 1723 pour le protocole PPTP. Je n'ai rien fait pour le protocole GRE.
Enregistrez les modifications et faire un reboot du WR703N.
Si tout va bien tout le trafic en provenance du point Wifi passera par le tunnel VPN. Pour vérifier si cela fonctionne, connectez un PC au Wifi du WR703N et faire une recherche de votre IP, avec un service du type "My IP". Si ce service nous situe, dans le pays dans lequel nous avons loué le service VPN, parfait.
Dans le cas contraire on est bon, pour vérifier notre configuration avec des Pings vers les IP des interfaces du routeur.

Doutes et problèmes sans solution

  • Le WR703N reboot tout seul aléatoirement. L'alimentation doit être de minimum 1A. 
  • Quand j'effectue des modifications depuis LuCI, le routeur reboot pendant la sauvegarde puis se rallume en boucle. En désactivant la distribution DHCP du WR703N et en utilisant la bonne alimentation de 1A, le routeur est plus stable.