Selon les instructions officielles, seul L2TP est possible sous Windows :
https://www.swisscom.ch/de/privatkunden/hilfe/internet/vpn-server.html
Avec les appareils Android, iOS et Mac, nous vous recommandons d’utiliser le protocole VPN IKEv2. Seul le protocole VPN L2TP est possible pour Windows. Les box Internet 2, 3 et 4 supportent les deux protocoles, la Internet-Box plus ne supporte que L2TP.
….keep on rockin' 🤘🏼🤘🏼🤘🏼
Supposons que vous essayez d’établir une connexion VPN avec votre ordinateur portable en externe, c’est-à-dire pas dans votre propre réseau, et que ce réseau externe n’a pas la même adresse IP 192.168.1.1 que votre réseau domestique.
Installationen, Netzwerk, Internet, Computertechnik, OS Windows, Apple und Linux.
Avez-vous la possibilité de configurer une connexion VPN sur votre téléphone portable pour voir si cela fonctionne ?
Internet-Box 2, 3 et 4 permettent trois connexions simultanées. Cela nécessite la création de trois utilisateurs VPN. Une seule connexion est autorisée par utilisateur.
Installationen, Netzwerk, Internet, Computertechnik, OS Windows, Apple und Linux.
Vous disposez probablement de la dernière mise à jour sur Windows 11, car il y avait déjà des problèmes avec le VPN.
[https://de.minitool.com/news/microsoft-fixes-windows-update-vpn-problem.html](https://de.minitool.com/news/microsoft-fixes-windows-update-vpn- problème.html)
Installationen, Netzwerk, Internet, Computertechnik, OS Windows, Apple und Linux.
Merci pour le conseil concernant le pare-feu supplémentaire. Je préfère éviter cela si cela fonctionne sans.
J’ai aussi essayé L2TP en vain. Je soupçonne que cela est dû à la combinaison de "Windows 11 avec Internet-Box 2 (IB2).
Est-ce que quelqu’un sait s’il existe un logiciel client VPN qui fonctionne avec l’IB2 ?
Puis-je/dois-je installer une telle application de serveur VPN à la page IB2 ? Est-ce même possible ?
BG Pat
Outre vos problèmes actuels, L2TP est en fait déjà obsolète et n’a plus la meilleure réputation en termes de sécurité, c’est pourquoi il n’est plus pris en charge par les nouvelles versions d’Android.
Les serveurs VPN de pointe destinés à un usage privé sont actuellement Open VPN Server et WireGuard.
Malheureusement, ces deux éléments ne sont pas encore pris en charge par les box Internet Swisscom. Nous ne savons pas s’il y aura autre chose.
La grande majorité des personnes qui utilisent fréquemment des connexions VPN au réseau domestique se sont déjà organisées de manière autonome sans le serveur VPN de la box Internet.
Il existe plusieurs options et concepts pour cela :
- Package VPN sur un NAS, par ex. B. Ouvrir le serveur VPN sur un Synology NAS
- Routeur supplémentaire en cascade avec son propre réseau derrière la box Internet, qui prend déjà en charge les serveurs Open VPN et/ou WireGuard depuis « la maison ».
- Rasperry PI comme mini PC supplémentaire dans le réseau avec le package PIVPN (Open VPN Server et WireGuard) installé dessus
- d’autres appareils supplémentaires dans le réseau, tels que Brume 2 et similaires, dotés de fonctionnalités de serveur VPN préinstallées (Open VPN Server et WireGuard)
Toutes les alternatives au serveur VPN actuel des box Internet sont non seulement plus flexibles dans leur utilisation, mais l’expérience a montré qu’elles fonctionnent également de manière beaucoup plus stable et plus performante.
Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
@Sc00by a écrit :
Pour cela, vous devez rediriger le port 1194 (UDP) de l’IB2 vers le NAS (port forwarding).
Cependant, cette méthode n’est pas très sécurisée……
On peut se demander si cela est « dangereux » – quelle est L’alternative sûre ?
Un serveur VPN côté LAN de la box Internet DOIT être accessible via la redirection de port, vous n’avez donc évidemment pas d’autre option si vous souhaitez utiliser une box Internet comme seul CPE.
….keep on rockin' 🤘🏼🤘🏼🤘🏼
Sur les serveurs Open VPN, le port peut généralement être librement sélectionné et il n’est alors précisément pas recommandé d’utiliser le port par défaut UDP 1194.
Si vous choisissez quelque chose comme UDP 55123, par exemple, vous n’êtes plus dans la zone d’analyse de port standard des robots Internet et, de plus, vous ne pouvez plus dire de l’extérieur à partir du numéro de port qu’il existe spécifiquement un Open Serveur VPN derrière lequel on pourrait alors consciemment « vérifier » d’éventuelles faiblesses dans le protocole de communication utilisé.
Divulguer le moins possible votre propre réseau sur Internet est en fait toujours une bonne idée 🙂
Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
C’est vrai, mes informations concernaient le port standard, qui peut et doit bien sûr être ajusté. Il s’agissait principalement de redirection de port, qui doit être mise en place sur l’IB2.
Bon conseil @Werner
@POGO 1104 de mon point de vue, un vrai pare-feu où je n’ai pas tout le réseau interne ouvert et avec des règles de pare-feu, j’ouvre uniquement les systèmes avec le port correspondant et j’ai une journalisation appropriée. Le blocage de pays est aussi quelque chose dont je ne veux plus me passer, 99,9% des attaques ne viennent pas du CH 🙂
@Sc00by a écrit :
@POGO 1104 De mon point de vue, un vrai pare-feu où je n’ai pas tout le réseau interne ouvert et avec des règles de pare-feu j’ouvre uniquement les systèmes avec le port correspondant et j’ai une journalisation appropriée. Le blocage de pays est aussi quelque chose dont je ne veux plus me passer, 99,9% des attaques ne viennent pas du CH 🙂
Bien sûr, il existe différentes options…
Mais d’une manière ou d’une autre, en tant qu’utilisateur privé, vous devez quitter « l’église du village »…
Chacun comme il peut et veut…
….keep on rockin' 🤘🏼🤘🏼🤘🏼
@Werner a écrit :
Au-delà de vos problèmes actuels, L2TP est effectivement déjà obsolète et n’a plus la meilleure réputation en terme de sécurité
L2TP en combinaison avec IPSEC constitue désormais une solution sécurisée pour un tunnel VPN au niveau OSI Layer 2 s’il est implémenté et configuré correctement.
https://www.elektronik-kompendium.de/sites/net/1410061.htm
https://www.heise.de/background/VPN-Knigge-270796.html?seite=all
L2TP sans IPSEC est une solution de tunnel VPN non sécurisée.
https://www.elektronik-kompendium.de/sites/net/0906131.htm
Si vous souhaitez une solution de tunnel VPN indépendante du fabricant et évolutive sur OSI couche 3, l’utilisation d’IKE version 2 en combinaison avec IPSEC est aujourd’hui appropriée (IKEv2/IPSEC). Aidez-moi avec ceci :
[https://www.lancom-forum.de/fragen-zum-thema-vpn-f14/vpn-via-android-client-t17229.html#p97795](https://www.lancom-forum.de/ questions-sur-le-sujet-vpn-f14/vpn-via-android-client-t17229.html#p97795)
S’il n’y a pas de besoin urgent de transmission de paquets de données à partir des protocoles réseau OSI de couche 2 (par exemple ARP), le problème des solutions de tunnel OSI de couche 2 doit être évité et une solution de tunnel VPN sur OSI de couche 3 doit être mise en œuvre. => Seuls les paquets de données IP sont tunnelisés et transmis par les routeurs.
J’ai lu quelque part que les opérateurs de téléphonie mobile comme Swisscom aiment utiliser L2TP/IPSEC pour connecter les antennes de téléphonie mobile au réseau mobile central via des connexions réseau non sécurisées.
Un argument contre l’utilisation d’OpenVPN ou Wireguard peut être trouvé sur :
[https://www.lancom-forum.de/lancom-feature-wuensche-f22/wireguard-t18159.html#p103229](https://www.lancom-forum.de/lancom-feature-wuensche-f22/ wireguard-t18159.html#p103229)
d’un développeur/programmeur de logiciels. Mais oui, malheureusement la grande majorité des clients privés sont tout simplement dépassés par la configuration d’un tunnel VPN via IKEv2/IPSEC…
StrongSwan peut être utilisé sur le Raspberry Pi. StrongSwan est une solution VPN open source pour IKEv2/IPSEC financée par l’argent des contribuables suisses.
https://de.wikipedia.org/wiki/StrongSwan
Une introduction au sujet « StrongSwan en tant que serveur VPN sur le Raspberry Pi » est fournie :
[https://www.lancom-forum.de/fragen-zur-lancom-systems-routern-und-gateways-f41/vdsl-umzug-glasfarben-neuer-router-t17926.html#p101750] (https://www.lancom-forum.de/fragen-zur-lancom-systems-routern-und-gateways-f41/vdsl-umzug-glasfarben-neuer-router-t17926.html#p101750)
Lors de l’utilisation de StrongSwan, le certificat de machine particulièrement protégé peut être stocké dans un HSM. Voir:
[https://www.lancom-forum.de/fragen-zum-thema-vpn-f14/adv-vpn-client-und-mfa-t20326.html](https://www.lancom-forum.de/ questions-sur-le-sujet-vpn-f14/adv-vpn-client-und-mfa-t20326.html)
BSI TR-02102-3 propose des recommandations de configuration pour l’utilisation d’IKEv2/IPSEC :
BSI TR-02102 propose des recommandations de configuration pour l’utilisation d’un VPN SSL (https://de.wikipedia.org/wiki/SSL-VPN 2). :
[https://openvpn.net/vpn-server-resources/change-encryption-cipher-in-access-server/](https://openvpn.net/vpn-server-resources/change-encryption-cipher-in -serveur d’accès/)
Il doit être clair que chaque point de terminaison VPN doit être entièrement sous son propre contrôle. Un modem câble (ici : Internet Box) n’est JAMAIS entièrement sous le contrôle du privé ou de Geschäftskunden grâce au protocole de configuration à distance TR-069 et aux mises à jour automatiques du firmware du fournisseur de connexion Internet (FAI). Voir:
[https://community.swisscom.ch/t5/Mobile/SIM-SWAP-maximaler-Schutz/m-p/810037#M14267](https://community.swisscom.ch/t5/Mobile/SIM-SWAP-maximaler- Protection/mp/810037#M14267)
https://de.wikipedia.org/wiki/TR-069
Il serait plus judicieux de mettre en œuvre une protection efficace contre les attaques DDoS plutôt que de masquer le port TCP ou UDP utilisé par le serveur VPN. Voir:
- VPN SSL => Protection contre les inondations TCP SYN
https://openvpn.net/blog/vpn-prevent-ddos/
[https://people.netfilter.org/hawk/presentations/devconf2014/iptables-ddos-mitigation\_JesperBrouer.pdf](https://people.netfilter.org/hawk/presentations/devconf2014/iptables-ddos-mitigation_JesperBrouer. pdf)
- IKEv2 => Session Cookie (échange de cookies)
[https://www.heise.de/background/Einfacher-VPN-Tunnelbau-dank-IKEv2-270056.html?seite=all](https://www.heise.de/background/Einfacher-VPN-Tunnelbau- merci-IKEv2-270056.html?page=all)
https://www.lancom-forum.de/viewtopic.php?p=114107
Et oui, avec les produits VPN, toutes les mises à jour de sécurité doivent toujours être installées le plus rapidement possible. Certaines entreprises sont très laxistes quant à l’installation de mises à jour de sécurité avec leurs produits VPN SSL :
[https://www.heise.de/news/Ivanti-und-Fortinet-Lecks-Weiter-viele-Geraete-verwundbar-auch-CISA-betroffen-9651510.html] (https://www.heise.de/news/Ivanti-und-Fortinet-Lecks-Weiter-viele-Geraete-verwundbar-auch-CISA-betroffen-9651510.html)
Ou encore, les produits VPN SSL de nombreux fabricants renommés utilisés par les entreprises et les autorités ne sont tout simplement pas sécurisés « de par leur conception » :
[https://www.heise.de/news/US-regierungsbehoerden-IT-seit-Years-through-chinesische-Angreifer-unterwandert-9624187.html](https://www.heise.de/news/US- L’informatique gouvernementale est infiltrée par des attaquants chinois depuis des années (9624187.html)
Bonjour à tous
Je vous remercie beaucoup pour vos contributions.
Mes connaissances en VPN et réseaux sont encore relativement limitées. En ce moment, je me sens dépassé par la situation.
Je pense que la meilleure solution est de configurer un pare-feu VPN après IB2. Il existe par exemple des produits de Zyxel qui semblent adaptés à cela. Je basculerais alors le pare-feu directement entre l’IB2 et le réseau domestique. Si nécessaire, je pourrais alors activer une connexion VPN depuis mes Road Warriors à l’aide de WireGuard et, par exemple, intégrer le lecteur réseau NAS à l’aide de l’Explorateur Windows 11.
Nous accédons actuellement à l’application de gestion de fichiers NAS de l’extérieur via un navigateur et pouvons télécharger, modifier et télécharger des fichiers en fonction de la situation. C’est toujours fastidieux, mais vous pouvez travailler.
Je clôture donc cet article comme résolu et je me tournerai vers la mise en œuvre de la solution la plus pratique en temps voulu.
Bien cordialement et merci encore à tous.
Tapoter
