Après quelques heures cramées à comprendre le problème, je me suis rendu compte que mon routeur Netgear Nighthawk R7000 ne supporte que TLS 1.0 pour sa fonctionnalité de VPN.
Cette version de TLS n’étant quasiment plus supporté nulle part, j’aimerais trouver un routeur à peu près similaire (le R7000 me donnait entière satisfaction à part ça) qui supporte la version 1.2 ou 1.3.
Donc on parle ici d’un routeur « familial » pour supporter moins d’une dizaine de devices, mais avec de bonnes perfs.
J’ai l’impression que l’info est en plus assez difficile à trouver pour chaque modèle et qu’il faut se rabattre sur les forum d’utilisateurs (de ce que j’en comprends, les modèles de TP-Link sont encore en 1.0 aussi).
Des idées ?
NB: je ne veux pas installer de firmware alternartif, donc pas de DD-WRT, OpenWRT, Tomato…
C’est quel type de VPN qui est en 1.0 sur ton routeur actuel ?
Tu as juste le routeur chez toi comme périphérique « réseau » ? Tu n’aurais pas un NAS ou autre qui pourrait faire office de serveur VPN plus moderne, du genre OpenVPN/WireGuard voir du meshVPN style Tailscale (c’est du style 5 minutes montre en main à installer sur un Synology par exemple) ?
C’est du OpenVPN.
Mais le client OpenVPN a abandonné TLS 1.0 il y a plusieurs années, donc dans les faits le VPN du routeur est inutilisable sans rester sur un vieux client.
Et je n’ai pas d’autre équipement réseau qui pourrait faire VPN, non.
Mais ça me paraît quand même fou de ne pas pouvoir trouver de routeur avec un support TLS « récent ». (la 1.3 date de 2018, et la 1.2 de 2008 !)
Et ce genre de routeur n’a pas droit à des updates de firmware pour mettre à jour ce genre de trucs ? c’est hallucinant, TLS 1.0 est en effet vraiment vieux - et tout cassé - maintenant Ca va pas m’inciter à acheter du Netgear ça …
Juste par curiosité, quelle est la raison ?
Parce que bien souvent les constructeurs maintiennent assez peu leurs routeurs, et bien souvent le meilleur (le seul ?) moyen de prolonger la durée de vie de celui-ci est de passer par un firmware alternatif.
1- La flemme.
2- Sur ce genre de matériel « critique » je préfère rester sur une utilisation du produit telle qu’elle est prévue par le fabricant.
3- Du peu que j’ai lu sur le sujet, avec les firmwares alternatifs tu as toujours des petits trucs qui déconnent ou fonctionnent moins bien, donc il faut vérifier, être attentif… Moi je veux juste que mon routeur route.
Et OpenVPN (OpenVPN gui ?) sur windows.
J’ai eu des messages d’options deprecated donc j’ai bidouillé le fichier .ovpn mais de mémoire c’était pas le tls mais des options de compression.
J’avais aussi testé le vpn OpenVPN de la Freebox pop et pas de soucis.
Ton routeur est sorti quand ? Peut-être qu’il y a pas trop de maj à ce niveau sur les routeurs un peu « ancien »
Je dirais que les routeurs Ubiquiti utilisent par défaut TLS 1.2 et qu’ils proposent aussi leur propre implémentation VPN « Teleport » ainsi que WirGuard.
Le moins cher est à 85€, tout dépend si tu as besoin de WiFi et autre gestion de switch pour « après », il y a plusieurs modèles dans cette gamme de prix.
Alors pour avoir pas mal utilisé OpenWRT et sur des modèle différents (j’utilise toujours), le risque « des petits trucs qui déconnent » est principalement sur la partie Wifi, le reste fonctionnant normalement et le routeur route .
Effectivement il faut faire l’effort d’analyser si ton modèle est bien compatible et si il n’y pas de risque de surprises.
La faute incombe aux constructeurs de SoC qui fournissent des drivers « closed source », et encore, quand ils en fournissent. D’autres constructeurs jouent plus le jeu, et dans ces cas là ça fonctionne plutôt bien.
Ton modèle ne supporte de toutes façons pas OpenWRT, les drivers pour le SoC Broadcom n’étant pas dispo (cf. ce que je disait dans le paragraphe précédent).
Il semble que DD-WRT soit supporté car ils ont un deal + NDA avec Broadcom.
[Edit] Si je peux me permettre, et si ton routeur le supporte, il vaut mieux privilégier WireGuard à OpenVPN, celui-ci étant beaucoup plus performant sur les SoC anémiques des routeurs.
Ah si tu peux jeter un oeil à la version de ton OpenVPN gui (qui n’est pas la même app que Open VPN Connect, je n’ai pas encore compris pourquoi il y en a 2), ça m’intéresse !
Si c’est la dernière, ça veut dire que ton modèle de routeur supporte un TLS récent.
Oui le R7000 n’est plus tout jeune, mais il reçoit encore des MAJ de firmware. Et puis quand on voit de quand date TLS 1.2 (2008), c’est quand même de l’abus.
Merci, il va falloir que je regarde, je ne connais la marque que de nom. Mon besoin c’est « juste » un routeur assez puissant pour couvrir la maison (pas grosse) et supporter les connectiosn de toute la famille, et un VPN.
Noté, merci
Après dans mon cas c’est juste pour faire du RDP sur mon PC principal depuis un vieux laptop. De ce que j’ai testé, le ça fonctionne déjà bien sur le R7000 avec OpenVPN. Il n’y que ce $%#@ de problème de TLS qui coince.
OpenVPN Connect qui est le client « officiel » et conseillé d’utiliser avec la version commerciale
OpenVPN Community qui est le client open source et recommandé pour les versions non-commerciales
Je n’ai toujours utilisé que le 2e, donc ce que j’écris ci-dessous pourrait ne pas fonctionner avec le 1er.
As-tu essayé d’éditer le fichier profile .ovpn et d’ajouter les options suivantes ? (au moins la première dans un premier temps) tls-version-min 1.0 (default in 2.6.0 and later is « 1.2 ») tls-version-max 1.0
Tu peux aussi ajouter l’option verb 4 afin d’avoir plus de détails dans les logs, mais pas sûr que tu en apprennes beaucoup plus si tu as déjà l’info d’incompatibilité de version tls dans les logs.
Baisser le niveau en TLS 1.0 ne marchera pas sur un client moderne. OpenSSL, qui est généralement la librairie utilisée, a marqué TLS 1.0 comme non sécurisée et refusera la connexion malgré l’option.
J’hallucine que TP-LINK n’ai pas posté de maj pour ça. Je comprends mieux pourquoi les USA veulent les bannir.
Si c’est juste pour du RDP sur un PC installe Tailscale sur les machines que tu veux faire communiquer. C’est gratuit pour moins de 3 user et 100 périphériques, basé sur Wireguard et donc solide, et tu n’as même pas à ouvrir de port du ton routeur.
TP-LINK, Netgear… ça fait des noms connus dans la blacklist.
Je ne connaissais pas Tailscale. En quoi est-ce différent d’un Teamviewer par exemple ?
Là le coeur du problème c’est que c’est pour accéder à mon PC principal, donc avec tout un tas de documents sensibles. Je préfère éviter de passer par une solution tierce avec un login et un passages par des serveurs externes.
(Réponse rapide depuis le tel. J’élabore dans demain au besoin)
Tailscale est une solution de VPN en mesh. Ça permet à chacun des périphériques qui ont le client installé de se parler comme si étant dans le même réseau. Le trafic ne passe pas par chez eux et leur site/compte ne sert qu’à administer la liste de client. Ils ne peuvent pas se connecter chez toi et ça été audité dans tout les sens. Dessous c’est du WireGuard pour le réseau.
Tu installe le client sur ton serveur et ton pc portable, puis tu lance ton rdp/vnc en utilisant le nom de domaine affecté a la machine sur laquelle tu veux te co (zzzz.yyyy.tailscale.net). Ça gère les ouverture réseau avec du STUN ou ipv6
Perso c’est un système en qui j’ai totalement confiance mais je peux comprendre la réticence.
Ca va pas m’inciter à acheter du Netgear ça …
