Connexion VPN impossible avec Livebox S ou 7 Fibre.

sinbad21 a dit:
Ok, mais 1194 c'est le port utilisé par OpenVPN, c'est ultra classique, je ne vois pas Orange bloquer ça.

Port 1194 (tcp/udp)

Port 1194 tcp/udp information, assignments, application use and known security risks.
www.speedguide.net www.speedguide.net
Cliquez pour agrandir...
J'ai une Livebox S (enfin, une Livebox qui fonctionne bien dans une GTL) et je me connecte à mon entreprise par Open VPN, en utilisant le port 1194. Ça fonctionne très bien.
 
1/ "une Livebox qui fonctionne bien dans une GTL" : Tu peux expliciter stp ?

2/ Peux tu nous décrire en détail comment tu te connecte à ton entreprise via OpenVPN stp ? (paramétrage, etc...)

3/ Comme expliqué plus haut, au niveau d'Orange fibre, le verrouillage des VPN se fait par examen des données qui transitent, pas par l'ouverture d'un port. En ADSL avec une Livebox, pas besoin d'ouverture de port pour utiliser un VPN, idem en Fibre avec S ou 7. C'est le passage d'une Livebox 4 ADSL à une S/7 fibre qui a tout changé avec des serveurs VPN "normaux".

4/ Quand tu parle du port 1194, il s'agit d'ouverture de ce port dans le pare-feu ou d'une règle de routage NAT/PAT ?
 
inazuma12 a dit:
4/ Quand tu parle du port 1194, il s'agit d'ouverture de ce port dans le pare-feu ou d'une règle de routage NAT/PAT ?
Cliquez pour agrandir...
Quand on passe dans un VPN, il n'y a rien à faire dans la table NAT/PAT de la Box.
Cette table sert uniquement pour les connexions entrantes.
Pour un VPN, l'établissement est fait par le Client VPN (toi), et là, c'est une connexion sortante.

inazuma12 a dit:
3/ Comme expliqué plus haut, au niveau d'Orange fibre, le verrouillage des VPN se fait par examen des données qui transitent, pas par l'ouverture d'un port. En ADSL avec une Livebox, pas besoin d'ouverture de port pour utiliser un VPN, idem en Fibre avec S ou 7. C'est le passage d'une Livebox 4 ADSL à une S/7 fibre qui a tout changé avec des serveurs VPN "normaux".
Cliquez pour agrandir...
Oui, le port 1194 est officielement assigné aux VPN s'appuyant sur OpenVPN, et bien sûr, les FAI ne le bloque pas, mais le FAI sait que le flux passe dans un VPN.
Si il constate en plus un flux saturant unidirectionnel, là, il sait que c'est du streaming (ou un gros transfert de fichiers), et là, à mon avis, il ne va pas bloquer le traffic en filtrant le port 1194, mais les adresses IP de la plage (référencée) utilisée par le serveur VPN.

À mon avis, en ADSL, tu n'avais pas de pbs, c'est parce que, tout simplement, c'était pas gênant pour l'opérateur, ta liaison étant autour de 10 Mbps. Avec, la fibre, tu passes au Gbps (100 fois plus), et là, après observation du trafic (flux saturant, structure des paquets, port 1194), si en plus tu es sur un raccordement fibre partagé (FTTH), et pas dédié (FTTO), l'opérateur peux filtrer.
Pour moi, ce n'est pas au niveau de la box qu'il le fait, mais dans l'équipement qui gère ta liaison d'accès.
Et, il le sait très bien... :face_with_rolling_eyes:
 
Dernière édition:
  • J’aime
Réactions: sinbad21
Bonjour,

"Quand on passe dans un VPN, il n'y a rien à faire dans la table NAT/PAT de la Box." Je posais la question à SirDeck qui parle du port 1194 dans sa config.

En ce qui concerne le débit, ton raisonnement est plus que probable. Et c'est là que l'utilisation d'un obfuscated server prend toute son utilité.
 
inazuma12 a dit:
1/ "une Livebox qui fonctionne bien dans une GTL" : Tu peux expliciter stp ?

2/ Peux tu nous décrire en détail comment tu te connecte à ton entreprise via OpenVPN stp ? (paramétrage, etc...)

3/ Comme expliqué plus haut, au niveau d'Orange fibre, le verrouillage des VPN se fait par examen des données qui transitent, pas par l'ouverture d'un port. En ADSL avec une Livebox, pas besoin d'ouverture de port pour utiliser un VPN, idem en Fibre avec S ou 7. C'est le passage d'une Livebox 4 ADSL à une S/7 fibre qui a tout changé avec des serveurs VPN "normaux".

4/ Quand tu parle du port 1194, il s'agit d'ouverture de ce port dans le pare-feu ou d'une règle de routage NAT/PAT ?
Cliquez pour agrandir...
GTL : Gaine Technique du Logement. La norme électrique impose le déploiement de l'Ethernet dans le neuf depuis 2002. Depuis 2016, la norme impose un espace spécifique pour la Gateway. Sur les Livebox précédentes (sauf la 5, mais elle était très grosse et passait difficilement dans les GTL), ici la 6, l'interface d'utilisation n'est pas accessible.
_MG_7672.jpg


La S est conçue à la fois pour une pièce de vie et pour la GTL.
_MG_0128-Modifier.jpg


Pour me connecter à l'entreprise (extranet), j'utilise un token, une carte à puce dans une clef usb, qui contient mes certificats public et privée de la PKI groupe. Pour que la puce soit reconnue, j'ai installé SafeNet de Thales. Pour établir et gérer la connexion, j'utilise Viscosity (plus simple que via le terminal). C'est là dedans qu'il y a la configuration (adresses ip des serveurs OpenVpn ; Port 1194 ; l'adresse du tokeN PKCS11, etc.). On est dans une structure PKI entreprise. Avec le télétravail qui explose, les opérateurs doivent permettre ce genre de chose.

Donc pour le port 1194, c'est entre l'UNIX (viscosity ne fait que lancer et lire des commandes) et le serveur OpenVPN.
 
Bonjour et merci de ta réponse.

Pour ce qui et de la GTL, j'avais bien compris mais je ne voyais pas le rapport avec les problèmes de connexion avec VPN.

Au sujet du VPN justement, je me connectais il y a bien longtemps à mon entreprise pour l'astreinte via Citrix, environnement à partir du quel j'avais accès aux ordinateurs (grands systèmes IBM ou Amdhal) du bureau. Ta solution est très spécifique et n'a pas grand chose à voir avec la connexion de Monsieur Toutlemonde via un VPN :smirk:

Dans le même genre, un ingénieur IBM rattaché à ma boite se connectait via un minitel, inutile de te dire la tête de la sécurité quand il a été découvert.

Ton entreprise te donne un environnement sur lequel tu n'as pas la main.
 
  • J’aime
Réactions: SirDeck
On est effectivement dans une solution entreprise. Et moi, je me connecte sur une machine projet sur un réseau spécifique. Seules les machines ayant un certificat machine maison (placé dans la puce T2 sur les mac) peuvent se connecter au réseau principal, y compris sur site en Ethernet.
La solution que j'utilise est déjà bien intégrée. La sim est reconnue par le mac. Il demande de la jumelée. Si je fais ça, je peux l'utiliser pour déverrouiller la session. Je ne le fais pas, car c'est lourd de saisir un grand mot de passe plutôt que de poser un doigt sur le lecteur d'empreinte digitale.
 
c'est marrant, au boulot on utilise des Yubikey, mais comme ça me saoule, je préfère utiliser le code PIN Windows Hello de 20 caractères :D
 

Sujets similaires

omni
VPN fonctionne en partage de connexion mais pas en wifi box
Réponses
8
Affichages
1K
FAI et réseau Mac
omni
omni
inazuma12
Box SFR Fibre et Mac
Réponses
19
Affichages
3K
FAI et réseau Mac
inazuma12
inazuma12
N
Problème d'accès à la majorité des sites internet (mais pas tous)
Réponses
6
Affichages
8K
FAI et réseau Mac
ungars
U
D
Switch Netgear non reconnu par 4Gbox Bouygues
Réponses
20
Affichages
5K
FAI et réseau Mac
Membre supprimé 1137488
M
zaytunprod
MacBook Air High Sierra 10.13 Zoom.us.app Connexion réseau impossible
Réponses
1
Affichages
2K
Mac
Nicolarts
Nicolarts
Haut Bas