Qu'est-ce qu'un VPN et pourquoi voudrais-je faire cela?
Il existe une multitude de raisons pour lesquelles vous pouvez utiliser un VPN pour acheminer votre trafic Internet vers un emplacement autre que celui où vous utilisez réellement Internet. Avant d’explorer comment configurer votre routeur pour qu’il utilise un réseau VPN, expliquons en détail ce qu’est un VPN et pourquoi ils sont utilisés (avec des liens utiles vers des articles précédents de How-To Geek sur le sujet pour une lecture plus approfondie).
Qu'est-ce qu'un VPN?
Un VPN est un réseau privé virtuel. Cela vous permet essentiellement d’utiliser votre ordinateur comme si vous étiez sur un réseau autre que le vôtre. Par exemple, disons que vous et votre ami Steve aimez vraiment jouer àCommand and Conquer, un jeu PC populaire des années 1990. Command and Conquer Vous ne pouvez jouer en multijoueur que si vous êtes sur le même réseau que votre ami, mais vous ne pouvez pas jouer sur Internet, comme avec des jeux plus modernes. Cependant, vous et Steve pourriez configurer un réseau virtuel entre vos deux maisons de sorte que, quelle que soit votre distance géographique, les ordinateurs se traitent comme s’ils se trouvaient sur le même réseau.
Plus sérieusement, il s'agit de la même technique utilisée par les entreprises pour que les ordinateurs portables de leurs employés puissent accéder aux ressources locales (telles que les partages de fichiers, etc.), même lorsque l'employé et son ordinateur portable se trouvent à des centaines de kilomètres. Tous les ordinateurs portables sont connectés au réseau de l'entreprise via un réseau privé virtuel (VPN). Ils apparaissent donc tous (et fonctionnent comme si) comme s'ils étaient locaux.
Alors qu’il était historiquement le principal cas d’utilisation des VPN, les utilisateurs s’adressent maintenant aux VPN pour protéger leur vie privée. Non seulement un VPN vous connectera à un réseau distant, mais de bons protocoles VPN le feront via un tunnel hautement crypté, de sorte que tout votre trafic est masqué et protégé. Lorsque vous utilisez un tel tunnel, vous vous protégez contre un large éventail d'éléments, y compris les risques de sécurité inhérents à l'utilisation d'un point d'accès public Wi-Fi, votre FAI surveillant ou limitant votre connexion, ou la surveillance et la censure gouvernementales.
Pourquoi configurer mon VPN au niveau du routeur?
Vous pouvez désormais exécuter votre VPN directement à partir de votre ordinateur, mais également à partir de votre routeur, afin que tous les ordinateurs de votre réseau passent par le tunnel sécurisé à tout moment. C’est beaucoup plus complet, et bien que cela demande un peu plus de travail au départ, cela signifie que vous n’aurez jamais à vous soucier de démarrer votre VPN lorsque vous souhaitez renforcer la sécurité.
S'agissant d'éviter la censure, l'espionnage ou la connexion d'une personne de votre domicile à un service attirant l'attention des autorités locales, cela signifie également que même si une personne est connectée à votre réseau domestique et qu'elle oublie d'utiliser une connexion sécurisée, ce n'est pas le cas. leur recherche et leur activité passeront toujours par le VPN (et vers un pays moins dangereux). Pour ce qui est d’éviter le blocage géographique, cela signifie que tous les appareils, même ceux qui ne prennent pas en charge les serveurs proxy ou les services VPN, auront toujours accès à Internet comme s’ils se trouvaient sur un site distant. Cela signifie que même si votre clé de diffusion ou votre téléviseur intelligent n’a pas la possibilité d’activer un VPN, cela n’a aucune importance, car tout le réseau est relié au VPN à un point où tout le trafic passe.
En bref, si vous avez besoin de la sécurité d'un trafic crypté sur l'ensemble du réseau ou de la commodité d'acheminer tous vos appareils vers un autre pays (pour que tout le monde puisse utiliser Netflix malgré son indisponibilité dans votre pays d'origine), il n'y a pas de meilleur moyen de lutter contre la problème que de configurer un accès VPN sur tout le réseau au niveau du routeur.
Quel est l’inconvénient?
Bien que les avantages soient nombreux, cela ne signifie pas qu’exécuter un réseau privé virtuel entier n’est pas sans inconvénient. Tout d’abord, l’effet le plus inévitable que tout le monde ressentira: vous perdez une partie de votre bande passante totale au profit de la surcharge liée à l’exécution du tunnel VPN crypté. Les frais généraux représentent généralement environ 10% de votre capacité de bande passante totale, de sorte que votre connexion Internet sera un peu plus lente.
Deuxièmement, si vous utilisez une solution complète et que vous avez besoin d’un accès à des ressources locales, vous risquez de ne pas pouvoir y accéder ou d’avoir un accès plus lent en raison du segment supplémentaire introduit par le VPN. Prenons un exemple simple: imaginons qu'un utilisateur britannique mette en place un VPN afin de pouvoir accéder à des services de streaming exclusivement américains. Bien que la personne se trouve en Grande-Bretagne, son trafic passe par un tunnel menant aux États-Unis. S'ils voulaient accéder à des zones du réseau de la BBC réservées au Royaume-Uni, le site Web de la BBC penserait qu'ils venaient des États-Unis et les refuserait. Même si cela ne les refusait pas, cela introduirait un léger décalage par rapport à l’expérience puisque le serveur enverrait les fichiers de l’océan à l’arrière puis reviendrait par le tunnel VPN plutôt que dans tout le pays.
Cela dit, pour les personnes qui envisagent de sécuriser l'ensemble de leur réseau pour accéder à des services indisponibles sur leur site ou pour éviter des problèmes plus graves tels que la censure ou la surveillance des autorités, le compromis en vaut la peine.
Sélection de votre routeur
Si vous en êtes arrivé là et que vous avez acquiescé tout le temps, «Oui, oui. C'est exactement! Je souhaite sécuriser tout mon réseau et l’acheminer à travers un tunnel VPN! ». Il est temps de passer au sérieux avec une liste d’achats par projet. Ce projet comporte deux éléments principaux: un routeur approprié et un fournisseur de réseau privé virtuel (VPN) approprié, et la sélection des deux comporte des nuances. Commençons par le routeur.
La sélection d'un routeur est la partie la plus délicate du processus.De plus en plus de routeurs supportent les VPNmais seulement en tant que serveur. Vous trouverez des routeurs de Netgear, Linksys, etc. dotés de serveurs VPN intégrés vous permettant de vous connecter à votre réseau domestique lorsque vous êtes absent, mais ils n'offrent aucune assistance pour relier le routeur à un VPN distant (ils peuvent ne pas agir en tant que client).
C’est extrêmement problématique, car tout routeur qui ne peut pas fonctionner en tant que VPNclient ne pouvez pas lier votre réseau domestique au réseau VPN distant. Pour nos besoins, un accès sécurisé de loin à notre réseau domestique ne fait absolument rien pour nous protéger de la surveillance, de la limitation ou du blocage géographique lorsque nous sommes déjà sur notre réseau domestique. En tant que tel, vous avez besoin d’un routeur prenant en charge le mode client VPN, pour prendre un routeur existant et pour flasher un micrologiciel personnalisé, ou pour acheter un routeur pré-flashé auprès d’une société spécialisée dans ce type d’activités.
En plus de vous assurer que votre routeur peut prendre en charge une connexion VPN (via le micrologiciel par défaut ou tiers), vous voudrez également prendre en compte le matériel de traitement du routeur. Oui, vous pouvez exécuter une connexion VPN via un routeur de 10 ans avec le bon micrologiciel, mais cela ne veut pas dire que vous devriez le faire. L'exécution d'un tunnel crypté continu entre votre routeur et le réseau distant n'est pas négligeable, et plus votre routeur est récent / puissant, plus vos performances seront optimales.
Cela dit, voyons ce qu’il faut rechercher dans un bon routeur compatible VPN.
Première option: recherchez un routeur prenant en charge les clients VPN
Bien que nous fassions de notre mieux pour vous recommander un routeur qui vous évitera d'avoir à fouiller dans les listes de fonctionnalités et la terminologie vous-même, il est préférable de connaître la terminologie à utiliser lors de vos achats pour obtenir exactement le produit dont vous avez besoin..
Le terme le plus important est «client VPN» ou «mode client VPN». Sans exception, vous avez besoin d'un routeur pouvant fonctionner en tant que client VPN. Toute mention de «serveur VPN» ne garantit en rien que l'appareil dispose également d'un mode client et est totalement dépourvue de nos objectifs ici.
Les termes secondaires à connaître qui sont liés à la fonctionnalité VPN, mais ne sont pas directement pertinents, sont des termes identifiant les types de relais VPN. En règle générale, les composants de pare-feu / traduction d'adresses réseau (NAT) des routeurs fonctionnent très mal avec les protocoles VPN tels que PPTP, L2TP et IPsec. De nombreux routeurs ont des termes «PPTP Pass-Through» ou des termes similaires répertoriés dans la catégorie VPN de leurs supports marketing. C’est une fonctionnalité intéressante et tout, mais nous ne voulons aucune sorte de transmission, nous voulons un support client VPN natif.
Malheureusement, il existe très peu de routeurs sur le marché qui incluent un package client VPN. Si vous avez un routeur ASUS, vous avez de la chance avec la plupart des routeurs ASUS récents, de leur RT-AC3200 premium au mode client VPN plus économique, qui prend en charge RT-AC52U (mais pas nécessairement au niveau de cryptage souhaité). à utiliser, alors assurez-vous de lire les petits caractères). Si vous cherchez une solution simple car vous ne voulez pas que ce soit fastidieux (ou inconfortable) de mettre votre routeur à flasher un nouveau micrologiciel, c’est un compromis très raisonnable de choisir un routeur ASUS avec un support bien cuit. dans.
Troisième option: Flash DD-WRT sur votre routeur
Si vous avez déjà un firmware, il existe une troisième option de bricolage, mais légèrement plus complexe. DD-WRT est un micrologiciel tiers destiné à des dizaines de dizaines de routeurs existant depuis des années. L’attrait de DD-WRT réside dans le fait qu’il est gratuit, robuste et qu’il offre une grande polyvalence aux routeurs, grands et petits, y compris souvent en mode client VPN. Nous l’avons utilisée sur le vénérable ancien Linksys WRT54GL, nous avons lancé de nouveaux routeurs phares comme le Netgear R8000 au format DD-WRT, et nous n’avons jamais été mécontents.
Aussi effrayant que de faire clignoter votre routeur avec le nouveau firmware semble à quelqu'un qui ne l’a pas encore fait, nous vous assurons que ce n’est pas aussi effrayant qu’il le semble et que, pendant des années, nous avons clignoté nos propres routeurs, routeurs pour les amis et la famille, etc. 'ai jamais eu un routeur en brique.
Pour savoir si votre routeur (ou celui que vous souhaitez acheter) est compatible DD-WRT, consultez la base de données de routeurs DD-WRT ici. Une fois que vous avez entré le nom de votre routeur, vous trouverez l’entrée, si elle existe, pour le routeur, ainsi que des informations supplémentaires.
La base de données DD-WRT contient des instructions détaillées pour chaque routeur (ainsi que des adaptations spéciales et des étapes pour des microprogrammes spécifiques). Si vous souhaitez obtenir un aperçu général du processus permettant de calmer vos nerfs, lisez notre guide de clignotant un routeur avec DD-WRT ici.
Quatrième option: acheter un routeur pré-flashé
Si vous souhaitez bénéficier de la puissance de DD-WRT mais que vous êtes vraiment mal à l'aise de faire le clignotement de la ROM vous-même, vous avez deux possibilités. Premièrement, la société de stockage et de réseau Buffalo dispose d’une gamme de routeurs qui utilisent en réalité le DD-WRT. Les routeurs de la ligne AirStation sont désormais livrés avec le DD-WRT en tant que micrologiciel «standard», y compris l’AirStation AC 1750.
À moins de faire clignoter votre propre routeur, l’achat d’un routeur Buffalo livré avec DD-WRT est votre meilleur choix et n’annule aucune garantie, car il est livré avec le micrologiciel déjà activé.
L'autre alternative consiste à acheter un routeur qui a été acheté et flashé par un tiers pour le micrologiciel DD-WRT. Comme il est facile de flasher votre propre routeur (et qu’il existe sur le marché des routeurs tels que la AirStation livrée avec DD-WRT), nous ne pouvons pas vraiment approuver cette option; d'autant plus que les entreprises qui fournissent ce service pré-flashé facturent une prime importante. Cela dit, si vous ne vous sentez pas à l'aise de flasher votre propre routeur et que vous souhaitez le laisser aux professionnels, vous pouvez acheter des routeurs pré-flashés chez FlashRouters. (Mais sérieusement, la prime est insensée. Le Netgear Nighthawk R7000, très bien coté, coûte actuellement 165 USD sur Amazon mais 349 USD sur FlashRouters. À ces prix, vous pouvez acheter un routeur de sauvegarde complet tout en conservant votre avantage.)
Sélection de votre VPN
Le meilleur routeur au monde ne vaut rien si vous ne disposez pas du même service VPN pour le connecter. Heureusement pour vous, nous avons un article détaillé consacré au choix d'un bon VPN: Comment choisir le meilleur service VPN pour vos besoins.
Nous vous invitons vivement à lire l'intégralité de ce guide avant de poursuivre, mais nous pensons que vous êtes peut-être de mauvaise humeur. Soulignons rapidement ce qu’il faut rechercher dans un VPN destiné à un routeur domestique, puis soulignons notre recommandation (et le VPN que nous utiliserons pour la partie configuration du didacticiel).
Voici ce que vous recherchez dans un fournisseur VPN destiné à être utilisé sur votre routeur domestique, au-delà des considérations relatives aux VPN: leurs conditions de service doivent permettre l’installation sur un routeur. Ils doivent offrir une bande passante illimitée sans limitation générale ni spécifique au service. Ils doivent proposer plusieurs nœuds de sortie dans le pays dans lequel vous souhaitez apparaître comme si vous étiez originaire (si vous voulez ressembler à ce que vous êtes aux États-Unis, un service VPN spécialisé dans les nœuds de sortie européens ne vous est d'aucune utilité).
À cette fin, notre recommandation dans l'article du meilleur service VPN reste la nôtre: Fournisseur de VPN StrongVPN. C’est le service que nous recommandons, et c’est le service que nous utiliserons spécifiquement dans la section suivante pour configurer un routeur DD-WRT pour l’accès VPN.
Comment configurer StrongVPN sur votre routeur
Il existe deux manières de configurer votre routeur: la méthode automatisée et la méthode manuelle. Configurer votre routeur de manière manuelle n’est pas terriblement compliqué (vous n’écrirez aucun code IPTABLES obscur pour votre routeur à la main ou autre), mais c’est fastidieux et fastidieux. Plutôt que de vous expliquer chaque minute la configuration OpenVPN de StrongVPN sur votre routeur, nous allons plutôt vous guider à travers le script automatisé (et pour ceux qui souhaitent le faire manuellement, nous vous indiquerons leur des guides détaillés étape par étape).
Nous terminerons le didacticiel en utilisant un routeur flash DD-WRT et un service VPN fourni par StrongVPN. Votre routeur doit exécuter la révision DD-WRT 25179 ou supérieure (cette révision a été publiée depuis 2014, vous devez donc mettre à jour ce didacticiel afin de pouvoir effectuer la mise à jour vers une version plus récente) afin de tirer parti de la configuration automatique.
Sauf indication contraire, toutes les étapes suivantes ont lieu dans le panneau de commande administratif du DD-WRT et toutes les instructions telles que «Accéder à l'onglet Configuration» font directement référence au panneau de commande.
Première étape: sauvegardez votre configuration
Nous sommes sur le point d’apporter des modifications mineures (mais sûres et réversibles) à la configuration de votre routeur. Ce serait un bon moment pour tirer parti de l’outil de sauvegarde de la configuration de votre routeur. Ce n’est pas que vousne peux pas annuler manuellement toutes les modifications que nous sommes sur le point d’apporter, mais quivouloir quand existe-t-il une meilleure alternative?
Vous pouvez trouver l'outil de sauvegarde dans DD-WRT sous Administration> Sauvegarde, comme le montre l'image ci-dessous.
Pour créer une sauvegarde, cliquez simplement sur le gros bouton bleu «Sauvegarder». Votre navigateur téléchargera automatiquement un fichier intitulé nvrambak.bin. Nous vous encourageons à attribuer à la sauvegarde un nom plus facilement reconnaissable, tel que «Sauvegarde pré-VPN du routeur DD-WRT le 14/07/2015 - nvrambak.bin» afin que vous puissiez la localiser facilement ultérieurement.
L’outil de sauvegarde est pratique à deux endroits de ce didacticiel: créer une sauvegarde propre de votre configuration pré-VPN et une sauvegarde de votre configuration de travail post-VPN une fois que vous avez terminé le didacticiel.
Si vous ne souhaitez pas que votre routeur exécute un client VPN et souhaitez revenir à l'état dans lequel se trouvait le routeur avant ce didacticiel, vous pouvez revenir à la même page et utiliser l'outil «Restaurer la configuration» et la sauvegarde. nous venons de créer pour réinitialiser votre routeur à l’état actuel (avant de procéder aux modifications liées au VPN).
Deuxième étape: exécuter le script de configuration
Si vous configurez manuellement votre connexion StrongVPN, il existe des dizaines de paramètres différents à basculer et à configurer.Le système de configuration automatique tire parti du shell de votre routeur pour exécuter un petit script qui modifie tous ces paramètres pour vous. (Pour ceux d'entre vous qui souhaitent configurer manuellement votre connexion, veuillez consulter les didacticiels de configuration avancée pour DD-WRT, disponibles au bas de cette page.)
Pour automatiser le processus, vous devez vous connecter à votre compte StrongVPN et, dans le tableau de bord client, cliquer sur l'entrée «Comptes VPN» dans la barre de navigation.
eval `wget -q -O - https://intranet.strongvpn.com/services/intranet/get_installer/[YourUniqueID]/ddwrt/`
où
[YourUniqueID]
est une longue chaîne alphanumérique. Copiez l'intégralité de la commande dans votre presse-papiers.
Une fois connecté au panneau de contrôle de votre routeur DD-WRT, accédez à Administration> Commandes. Collez la commande dans la boîte «Commandes». Confirmez que le texte correspond et inclut les guillemets simples autour de la commande wget et de l'URL suivante. Cliquez sur "Exécuter les commandes".
À ce stade, le script a correctement modifié tous les paramètres nécessaires. Si vous êtes curieux (ou souhaitez vérifier les modifications), vous pouvez lire le didacticiel de configuration avancée pour les nouvelles versions de DD-WRT ici.
En résumé, le script d’installation a activé le client OpenVPN dans DD-WRT, basculé les nombreux paramètres pour qu’ils fonctionnent avec la configuration de StrongVPN (notamment l’importation de certificats de sécurité et de clés, la modification, la définition de la norme de cryptage et la compression, ainsi que la définition de l’adresse le serveur distant).
Le script ne définit pas deux paramètres correspondant à nos besoins: les serveurs DNS et l’utilisation IPv6. Voyons-les maintenant.
Troisième étape: changer votre DNS
Sauf indication contraire de votre part, votre routeur utilise très probablement les serveurs DNS de votre FAI. Si votre objectif en utilisant le VPN est de protéger vos informations personnelles et de révéler aussi peu de choses de vous à votre fournisseur de services Internet (ou à quiconque surveille votre connexion), vous souhaitez modifier vos serveurs DNS. Si vos demandes DNS sont toujours au mieux adressées à votre serveur ISP, rien ne se passe (vous devez simplement gérer le temps de réponse généralement insuffisant des serveurs DNS fournis par l'ISP). Dans le pire des cas, le serveur DNS peut censurer ce que vous voyez ou un programme malveillant consigner les demandes que vous faites.
Pour éviter ce scénario, nous allons modifier les paramètres DNS dans DD-WRT afin d’utiliser des serveurs DNS publics et volumineux au lieu de ce que notre FAI utilise par défaut. Avant de passer à la configuration (et à nos serveurs DNS recommandés), nous souhaitons souligner le fait que StrongVPN propose un service DNS anonyme (avec zéro enregistrement) à environ 4 dollars par mois, mais nous ne le recommandons pas aussi vivement que nous. recommander leur excellent service VPN.
Ce n’est pas que leurs serveurs DNS soient mauvais (ce n’est pas le cas), c’est que le service DNS totalement anonyme et sans journal est excessif pour la plupart des gens. Un bon fournisseur de VPN associé aux services DNS rapides de Google (qui se livrent à une journalisation très minimale et raisonnable) convient parfaitement à tous ceux qui manquent d’être extrêmement paranoïaques ou qui craignent sérieusement un gouvernement oppressif.
Pour modifier vos serveurs DNS, accédez à Configuration> De base et faites défiler jusqu'à la section «Configuration du réseau».
Google DNS
8.8.8.8
8.8.4.4
OpenDNS
208.67.222.222
208.67.220.220
Level 3 DNS
209.244.0.3
209.244.0.4
Dans notre capture d'écran ci-dessus, vous pouvez voir que nous avons rempli les trois emplacements DNS avec deux serveurs DNS Google et un serveur DNS de niveau 3 (en cas de panne, les serveurs DNS Google sont en panne).
Lorsque vous avez terminé, cliquez sur "Enregistrer" puis sur "Appliquer les paramètres" en bas.
Quatrième étape: désactiver IPv6
IPv6 pourrait être important pour l’avenir général d’Internet en ce sens qu’il garantit que le nombre d’adresses est suffisant pour toutes les personnes et tous les appareils, mais que, du point de vue de la confidentialité, il n’est pas si bon. Les informations IPv6 peuvent contenir l’adresse MAC du périphérique qui se connecte et la plupart des fournisseurs de VPN n’utilisent pas IPv6. Par conséquent, les demandes IPv6 peuvent laisser échapper des informations sur vos activités en ligne.
Alors que IPv6 doit être désactivé par défaut sur votre installation DD-WRT, nous vous encourageons à vérifier qu'il le soit réellement en accédant à Configuration> IPV6.S'il n'est pas déjà désactivé, désactivez-le, puis enregistrez et appliquez vos modifications.
Désactiver le VPN
Bien que vous souhaitiez peut-être laisser votre service VPN 24h / 24, il est en fait très facile de désactiver le service sans avoir à annuler toutes les options de configuration que nous avons modifiées plus haut.
Si vous souhaitez désactiver le VPN de manière permanente ou temporaire, vous pouvez le faire en revenant dans Services> VPN, puis dans la section «Client OpenVPN», en basculant la section «Démarrer le client OpenVPN» sur «Désactiver». Tous vos paramètres seront préservés et vous pourrez revenir à cette section pour réactiver le VPN à tout moment.
Bien que nous ayons dû procéder à des fouilles relativement sérieuses dans les menus de paramètres DD-WRT, le résultat final est un VPN de réseau complet qui sécurise tout notre trafic, les itinéraires dans le monde entier que nous souhaitons envoyer et nous offre une confidentialité considérablement accrue.. Que vous essayiez de regarder Netflix depuis l’Inde ou de garder le gouvernement local à distance en prétendant être du Canada, votre nouveau routeur doté d’un réseau privé virtuel (VPN) vous couvre.
Vous avez une question à propos des VPN, de la confidentialité ou d'autres questions techniques? Envoyez-nous un email à [email protected] et nous ferons de notre mieux pour y répondre.
