Comment bloquer l'access à internet si je n'suis pas connecté à un VPN

Comment bloquer l'access à internet si je n'suis pas connecté à un VPN - Réseaux - Réseaux grand public / SoHo

Marsh Posté le 19-09-2008 à 04:11:36    

Bonjour.
Voici ma configuration réseau : PC sous winxp sp2 pro >>> modem/routeur >>> internet.
Je possède un access à un VPN (à Relakks.com), au quel je me connect via PPTP.
 
Je voudrai configurer windows pour ne pas autoriser de connexion à internet (et ainsi interdire l'access au net à des clients IRC, ou à firefox par exemple) si je ne suis pas connecté au VPN.
 
En gros, le fait d'être connecté au VPN me sert à augmenter ma confidentialité et je voudrai éviter que mes applications aillent par incident sur internet sans cette sécurisation (par exemple lors d'une désynchronisation de ligne ADSL et que les applications se reconnectent plus vite que le VPN)
.
Est ce possible ?
 
Merci :)


Message édité par mlomlomlo le 20-09-2008 à 13:54:22
Reply

Marsh Posté le 19-09-2008 à 04:11:36   

Reply

Marsh Posté le 20-09-2008 à 13:42:30    

uh?

Reply

Marsh Posté le 21-09-2008 à 01:41:33    

Selon ce qu'est ton modem/routeur, tu as peut-être des fonctions de filtrage dessus.
 
Sinon, j'ai plusieurs idées pour effectuer un tel blocage ...

Reply

Marsh Posté le 21-09-2008 à 03:17:04    

J'ai un WAG54Gs qui est exempt de tels filtrages.
 
Quelles sont tes idées pour effectuer un tel blocage ? :)

Reply

Marsh Posté le 21-09-2008 à 13:21:36    

Alors rapide description des différentes pistes:
 
A/
- Tu récupères l'adresse IP de ta passerelle VPN (tu la notes sur un post-it :) )
- Tu configures ton interface réseau à la main. Tu met juste une adresse IP, masque de sous réseau et passerelle par défaut. (pas de DNS)
- Tu configure ton client VPN pour se connecter à l'IP notée sur le post-it.
--> quand tu n'est pas connecté au VPN la résolution de noms ne marchera donc pas. C'est pas un réel blocage, mais c'est déjà pas mal.
 
B/ Firewall logiciel.
- Avec un produit comme ZoneAlarme, TPFW, tu peux créer les règles permettant d'interdire tout trafic sortant sauf : le DNS ET l'accès à ta passerelle VPN.  (ça peut marcher avec les firewall de certains antivirus... mais je n'en utilise pas, alors je peux pas te dire...).
Liens :  
- (page sur le Firewall de Windows) http://www.commentcamarche.net/faq [...] windows-xp
- (télécharger un Firewall ) http://www.commentcamarche.net/tel [...] 8-firewall .
A une époque lointaine, j'utilisais 'Sygate Personal Firewall', qui est tout léger et qui fait son boulot. Il y a un lien sur la page ci-dessus.
 
C/
- Linux .. :)
 
D/
- Routeur firewall, qui te permettra de créer le même genre de règles que le firewall soft.
 
E/
- Si t'es bricoleur, Hack du Wag54Gs avec OpenWRT (distrib linux pour ce genre de matos, permettant d'ajouter pas mal de fonctions). Je ne sais pas si c'est possible avec ce modèle.
 
Voilà ... :)
 
Juste comme ça si c'est pas indiscret... c'est juste par philosophie que tu passe par Relakks, ou t'as de bonnes raisons ?

Reply

Marsh Posté le 21-09-2008 à 14:50:47    

Hello :)
Merci pour cette réponse super détaillée.
 
A/Si je configure mon interface réseau à la main, en ne mettant pas de DNS dans la fenêtre de configuration TCP/IP, je ne peux pas me connecter au VPN puisque l'access au net n'est plus possible. C'est dommage parce que cette solution m'avait l'air alléchante.
 
B/J'ai installé Zone Alarm pour voir.
Voici le panneau des règles :
http://img88.imageshack.us/img88/7594/uo0004on7.jpg
Sais tu si je dois mettre l'ip de Relakks dans Source ou Destination pour n'autoriser que du traffic utilisant cette dernière, ou encore prendre le probléme en sens inverse et interdire tout flux à destination (ou provenant?) de mon ip.
 
C/Sous linux il y a tant de choses que tu peux faire, et tant d'autres choses que tu ne peux pas faire...
 
D/Dans mon routeur firewall, tu ne peux QUE bloquer des contenus web que par ports, mots clefs et adresses web.
 
E/Oué non, mon modem routeur marche très bien, fait des uptimes monstres et débite du 3.7mo/s en wifi g. Pas envie de trafiquer tout ça =)
 
Et puis bah Relakks, c'est parce que c'est une solution simple de préserver sa vie privée, sa sécurité sur le net, et de garder un débit correct.
Voilà ^^
 
Merci d'avance pour ta réponse


Message édité par mlomlomlo le 23-09-2008 à 18:27:37
Reply

Marsh Posté le 21-09-2008 à 20:00:50    

Pour la solution A/, il faut utililiser l'adresse IP pour te connecter. Si tu as mis les bonnes info en adresse IP, masque et passerelle, ça marche. Essaye : http://74.125.39.103 : tu arrives bien sur google.
 
Sinon, pour la config de Zone alarme, d'après ce que je vois là (ca doit faire au moins 5 ans que je n'ai pas utilisé ce soft.. je connais pas les subtilités de l'interface)  il faut que tu crée :
 
Une 1ere règle qui autorise le miniumu
Action = autoriser
Source = ton poste
Destinations = Adresse IP du serveur DNS +  Nom de la passerelle VPN.
Protocole = tous
Temps = tous
 
Et une 2nd règle qui interdit tout.
Action = interdire
Source = tout
Destination = tout
Protocole = tout
temps = tout
 
(la 1ere règle doit prévaloir sur la seconde).

Reply

Marsh Posté le 23-09-2008 à 13:12:38    

Alors alors alors :p
Déjà désolé pour la réponse tardive, beaucoup de travail en ce moment, et merci pour ton aide précieuse :)
 
Pour ce qui est de la solution A, voici ma configuration TCP/IP avec l'adresse IP de Relakks :
http://img37.picoodle.com/img/img37/3/9/23/f_paramconm_7fab8e3.jpg
Avec ceci il n'y a plus de connexion à internet, donc impossible de se connecter au VPN.
 
Solution B:
Voici la règle d'autorisation pour relakks, j'ai mis l'hôte pptp.relakks.com car il comporte plusieurs IP :
http://img217.imageshack.us/img217/2723/relakksjn8.jpg
 
En règle numéro 2, le blocage :
http://img217.imageshack.us/img217/4607/blocagesc4.jpg
 
Si je met cette règle de blocage, la connexion à internet se coupe, la connexion au VPN aussi, et impossible de se reconnecter au VPN tant que la règle de  blocage est de rigueur.
Avec ceci il n'y a plus de connexion à internet, donc impossible de se connecter au VPN.
 
Je crois qu'il n'y a définitivement pas de réponses à mon probléme.. tu n'crois pas ? :p


Message édité par mlomlomlo le 23-09-2008 à 18:27:51
Reply

Marsh Posté le 23-09-2008 à 18:48:29    

Pour le phun, je vais installer Zone Alarm sur une machine ce soir, juste pour voir :).
 
Je te tiens au jus.

Reply

Marsh Posté le 23-09-2008 à 18:51:31    

Oulàlà...  :heink:   Kes t'es allé me faire pour le A/ ??! (l'image à mis longtemps à charger, c'est pour ça que j'ai pas réagi dessuite :).
 
Tu peux me filer la sortie de la commande ipconfig  de ta machine, quand c'est configuré normalement ?

Reply

Marsh Posté le 23-09-2008 à 18:51:31   

Reply

Marsh Posté le 23-09-2008 à 19:30:27    

Tiens voilà, j'ai fait avec et sans la connexion au VPN.
http://goa.bz.free.fr/ipconfig2.jpg
 
Les adresses ip sous réseau (169....) sont fait exprès, on m'a dit que c'était mieu que de laisser celles par défaut. :p

Reply

Marsh Posté le 23-09-2008 à 22:28:32    

Donc, pour le A/
 
Fait cette config (sur ton interface "Carte Ethernet Connexion au réseau local" )
 
http://jua.free.fr/forums/HWFR/reseau_mlomlomlo.png
 
 
Et pour te connecter à Relakks, met "83.233.182.2" à la place de pptp.relakks.com comme adresse de la passerelle VPN.

Reply

Marsh Posté le 23-09-2008 à 23:38:23    

Ca marche super bien merci =)
Mais ça ne bloque pas l'access aux servers irc qui n'ont pas de reverse dns >< (c'est surtout ça qui m'incombe en fait).
 
Je vais donc essayer à nouveau avec la méthode zone alarm.
Si tu y arrive, je serai ravi de savoir comment t'as fait, parce que de mon côté, soit tout passe, soit tout est bloqué.
J'essaye encore :p On verra bien ^^

Reply

Marsh Posté le 23-09-2008 à 23:51:19    

Ca ne bloque en fait ABSOLUMENT RIEN.
 
Il n'y a juste pas de résolution DNS faite quand tu n'est pas connecté au VPN. Tous les clients qui accèdent à une machine par son nom DNS ne peuvent donc pas se connecter. Par contre, si tu as un adresse IP codée en dur dans une config ou dans un prog, ça passe sans problème.
 
"Les serveurs IRC qui n'ont pas de reverse"  :heink: . Pourquoi ça ne bloquerais pas ? Si ta machine ne sais pas résoudre le nom... ça risque pas de se connecter, à moins que ... (voir paragraphe précédent:))  ?  
 
Désolé pour zone alarme, j'ai pas eu le temps ce soir.

Reply

Marsh Posté le 24-09-2008 à 14:59:15    

Non je parle de ceux aux quel je me connect qui n'ont pas d'adresse genre irc.blablabla.com, mais des adresses ip

Reply

Marsh Posté le 24-09-2008 à 18:06:23    

Ah beh oui, forcément ...

Reply

Marsh Posté le 26-09-2008 à 14:30:57    

Rien à faire, j'y arrive pas avec zone alarm, c'est tout ou rien. Et de ton côté ?


Message édité par mlomlomlo le 26-09-2008 à 14:31:18
Reply

Marsh Posté le 26-09-2008 à 17:48:40    

Moi j'arrive pas à trouver 15 minutes pour essayer :)

Reply

Marsh Posté le 24-07-2014 à 12:43:18    

Bonjour,
 
Je sais, je répond à un poste vieux de 2008.
 
Le sujet est resté d'actualité sinon, je ne serai pas tombé sur ce poste.
Je m'en sers de pense bête et si cela peux aider d'autre personnes, tant mieux...
 
La question est : Comment être sur que le trafic ne "fuite" pas sur le web lorsque le VPN est coupé.
 
L'astuce est de configurer le PC sans gtw par défaut.
=> Lorsque des requêtes voudront sortir, elle n'auront pas de porte de sortie.
Si l'on s’arrête la, le VPN lui meme ne saura se connecter.
Il faut donc ajouter une route statique au PC : TARGET (IP ton serveur VPN), mask 255.255.255.255, GW (IP de ton router/modem)
 
Dans le cas ou l'on souhaite avoir une connexion normal (sans vpn), il suffit de remettre l'ip du router dans GW de la carte réseau.
De plus, pas besoin de supprimer la route statique ciblant le VPN.
 
RECAP :
 
ROUTEUR/MODEM : 192.168.1.1/24, pas de conf spéciale.
PC IP : 192.168.1.2/24 ;  
PC GW : aucune IP (pas de porte de sortie par défaut)
PC DNS : 8.8.8.8 (Google DNS, mais inopérant tant que la GW est vide, ne pas mettre l'ip du router)
PC ROUTE: Ajout d'une ROUTE pour le VPN : 83.233.182.2/1 via 192.168.1.1 (ce qui dit au pc par ou trouver le serveur VPN)
 
Si VPN ON,  
- la conf de la carte réseau restera inchangée, (flux web impossible)
- la conf de la connexion VPN ajoutera une "interface" avec une GW dans le meme sous réseau que le VPN (le flux web passera via le VPN)
 
Je n'ai pas eu le temps d'essayer, mais ça devrait marcher.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed