Astuce VPN : Configuration sécurisée sans fuites (leak)

Vos petites astuces, répertoire des tutoriels et astuces
Avatar du membre
yano1966
Messages : 84
Enregistré le : ven. 4 mai 2018 12:42
Localisation : Indre et Loire

Astuce VPN : Configuration sécurisée sans fuites (leak)

Message par yano1966 »

Bonjour,

J'ai vu que la configuration par défaut d'un VPN de qualité (généralement payant) sous Linux, ne protégeait pas forcément des fuites d'infos, Sous les OS majoritairement utilisés (Windows, macOS) les fournisseurs VPN fournissent des applications conviviales pour cela.

Sous Linux, c'est plus technique (2% du parc desktop oblige), voici les 3 fuites majeures qui peuvent annuler l'intérêt de payer pour la confidentialité d'un VPN :

Je pars ici du principe que vous avez une connexion VPN déjà fonctionnelle, et vous propose une méthode pour y palier:

********************
IDENTIFICATION DES PROBLÈMES :

- DNS leak

(Fuite DNS, où celui-ci est communiqué par le navigateur, ça ne donne pas votre IP réelle, mais si vous utilisez le DNS par défaut installé dans votre PC, c'est celui de votre FAI. Ce qui veut dire que votre FAI et votre pays de connexion d'origine apparaissent.)

- WebRTC leak

( WebRTC est utilisé par le navigateur pour des tâches de communication et partage en temps réel sans utiliser d'applications tierces ; il peut donc laisser fuiter votre IP, ce qui est rédhibitoire quant à l’utilisation d'un VPN.)

- Ipv6 leak

(Si votre VPN ne gère pas le protocole ipv6 et ne vous propose pas de DNS en ipv6, celui-ci peut être accessible en clair.)

********************
RÉSOLUTION DES PROBLÈMES :

- DNS leak et ipv6 leak

L'utilisation des DNS de votre fournisseur VPN résout le souci, faire une recherche sur un moteur : DNS "nom de votre fournisseur VPN" vous donnera l'info sur la page en question. Par exemple, chez NordVPN les serveurs DNS (principal et secondaire) sont :

- 103.86.96.100
- 103.86.99.100

- a) Ouvrir le network-manager en cliquant sur l'icône de connexion de la barre des tâches-> paramètres réseau
Dans la fenêtre Réseaux, sélectionner la connexion principale "filaire" ou "wifi" selon ce qui vous concerne.

- b) Cliquer sur la roue des réglages paramètres (en bas à droite de la fenêtre) -> onglet ipv4 -> décocher le 2e bouton "(DNS - Automatique")
et entrer le DNS trouvé sur le net (mon exemple : 103.86.96.30 chez NordVPN), cliquer sur "+" juste en-dessous et ajouter le 2e DNS.

SI LE FOURNISSEUR NE GÈRE PAS L'ipv6:

- c) Cliquer sur l'onglet "ipv6" -> en face du 2e champs "Adresses" mettre sur "Link-Local Only" -> cliquer sur le bouton "appliquer".

SI LE FOURNISSEUR GÈRE L'ipv6:

- d) Cliquer sur l'onglet "ipv6" -> et faire comme dit plus haut pour l'onglet ipv4 mais en entrant les DNS ipv6 fournis par le fournisseur -> "appliquer"

Répéter la manip complète avec vos connexion VPN : - Ouvrir le network-manager en cliquant sur l'icône de connexion de la barre des tâches-> paramètres réseau. Dans la fenêtre Réseaux, sélectionner la connexion suivante...etc.... étapes "a)" jusqu'à - "d)"

- WebRTC leak

Solution pour Firefox :
- Taper dans l'adresse URL de firefox :

Code : Tout sélectionner

about:config
- Valider le message de sécurité -> dans la fenêtre de recherche, entrer :

Code : Tout sélectionner

media.peerconnection.enabled
et lancer la recherche.

- Dans la ligne de résultat, double-cliquer sur la ligne, la fin de ligne doit passer de "true" à "false"

Le p2p avec votre client habituel (Transmission ou autre) fonctionnera toujours, pas d'inquiétude.

*************************

Il vous reste à tester tout ça, par exemple en allant sur cette page (avec et sans VPN pour comparer):

https://ipleak.net/

Si aucune info de connexion réelle ne transparaît vous êtes "clean"...Voilà...Bon surf ! :D
PC Assemblé P55-USB3 - intel i7 870 - 16Go DDR3 1333Mhz - Radeon HD5450 - DD : 250Go - Linux Mint 19.3 Cinnamon 64-bit.
PC assemblé H310M - intel i3 9100F - 16Go DDR4 2400Mhz - GeForce GT 710 - SSD: 240Go + DD 1To + 500Go - Fedora 31 / Linux Mint 19.3 Cinnamon 64-bit.

mpedro
Messages : 1517
Enregistré le : dim. 8 nov. 2015 22:13
Contact :

Re: Astuce VPN : Configuration sécurisée sans fuites (leak)

Message par mpedro »

Ok Merci. L' IPV6 pose aussi des soucis on peut le désactiver.
Stretch 32bits cinnamon/Fedora25/Sarah
Compaq 8510p/MSI GE70/Raspberry Pi2

Avatar du membre
yano1966
Messages : 84
Enregistré le : ven. 4 mai 2018 12:42
Localisation : Indre et Loire

Re: Astuce VPN : Configuration sécurisée sans fuites (leak)

Message par yano1966 »

Salut,
Désactiver l'ipv6 par network-manager grise bien la fenêtre, mais les trakers d'ipv6 la voient quand même. Avec ma méthode (réglage Link-Local Only) elle est réellement désactivée sur le net et bien invisible, j'ai testé sur le lien donné plus haut.
PC Assemblé P55-USB3 - intel i7 870 - 16Go DDR3 1333Mhz - Radeon HD5450 - DD : 250Go - Linux Mint 19.3 Cinnamon 64-bit.
PC assemblé H310M - intel i3 9100F - 16Go DDR4 2400Mhz - GeForce GT 710 - SSD: 240Go + DD 1To + 500Go - Fedora 31 / Linux Mint 19.3 Cinnamon 64-bit.

mpedro
Messages : 1517
Enregistré le : dim. 8 nov. 2015 22:13
Contact :

Re: Astuce VPN : Configuration sécurisée sans fuites (leak)

Message par mpedro »

Ok Merci.
Stretch 32bits cinnamon/Fedora25/Sarah
Compaq 8510p/MSI GE70/Raspberry Pi2

Avatar du membre
débitant
modérateur
Messages : 11534
Enregistré le : mar. 14 juil. 2015 18:22
Localisation : Lorraine France

Re: Astuce VPN : Configuration sécurisée sans fuites (leak)

Message par débitant »

bonsoir,
merci pour cette astuce certainement utile pour les intéressés ;)
dans la semaine je la répertorierai ;)

mpedro
Messages : 1517
Enregistré le : dim. 8 nov. 2015 22:13
Contact :

Re: Astuce VPN : Configuration sécurisée sans fuites (leak)

Message par mpedro »

"La configuration par défaut d'un VPN de qualité (généralement payant) sous Linux, ne protégeait pas forcément des fuites d'infos". "Fuite DNS, où celui-ci est communiqué par le navigateur, ça ne donne pas votre IP réelle, mais si vous utilisez le DNS par défaut installé dans votre PC, c'est celui de votre FAI. Ce qui veut dire que votre FAI et votre pays de connexion d'origine apparaissent.)"
Oui mais un VPN propose forcement des DNS qui ne sont pas ceux du FAI habituel dixit le sujet (et il peut toujours y avoir des fuites de DNS c'est possible avec flash etc). Mais cela ne veut pas dire s'il y a une fuite que ce sont les DNS du FAI.
(IPleak à l'avantage de vérifier le routage des DNS et la meilleure solution passe par la modification du fichier resolv.conf et y ajouter plusieurs DNS en cas de défaillance ou latence de l'un. De sorte à ne jamais utiliser les DNS de son fournisseur que l'on soit connecté ou pas à son VPN).

"Si votre VPN ne gère pas le protocole ipv6 et ne vous propose pas de DNS en ipv6, celui-ci peut être accessible en clair" : ce n'est pas le contraire? des fuites de trafics en IPV6 et rarement en IPV4.
Pourquoi s'il n'y a pas de DNS en IPV6, celui-ci pourrait être accessible en clair? c'est pas claire cette histoire ;)
Edition : C'est parce-que tu conserves les DNS du FAI et il faut les virer, le B A BA.
Modifié en dernier par mpedro le sam. 12 mai 2018 14:08, modifié 6 fois.
Stretch 32bits cinnamon/Fedora25/Sarah
Compaq 8510p/MSI GE70/Raspberry Pi2

Avatar du membre
yano1966
Messages : 84
Enregistré le : ven. 4 mai 2018 12:42
Localisation : Indre et Loire

Re: Astuce VPN : Configuration sécurisée sans fuites (leak)

Message par yano1966 »

Salut mpedro ;)
ce n'est pas le contraire? des fuites de trafics en IPV6 et rarement en IPV4.
Et bien ton navigateur donne par défaut, par le biais du "Default Address Selection for Internet Protocol Version 6 (IPv6)" RFC 6724, la priorité à l'ipv6 quand les 2 protocoles sont disponibles, c'est inscrit dans le préfixe de l'adresse (les 48 premiers bits de l'adresse). donc le tracker IP affiche l'iipv4 de ton VPN (pays et serveur que tu as choisi à la connexion) mais ton ipv6 réel (puisque ton VPN n'en a pas, donc tu utilises celui par défaut, lcelui de ta machine) avec ton vrai pays et ta commune d'origine (chez moi le village voisin à 5 km est affiché).
Pourquoi s'il n'y a pas de DNS en IPV6, celui-ci pourrait être accessible en clair? c'est pas claire cette histoire
Il y a un DNS en ipv6, mais pas celui de ton fournisseur VPN s'il n'en fourni pas, ce sera ton ipv6 machine qui sera utilisée.

Les IP sont toujours accessibles en clair sinon tu ne pourrais pas envoyer/recevoir des paquets, c'est le principe du protocole internet, pour envoyer des paquets ton PC a besoin de connaître l'adresse du destinataire, et pour en recevoir, il t'en faut une visible aussi ; sans IP claire pas de connexion. Mais ça ne t'empêche pas de t'entendre avec un ami qui recevra ton courrier pour toi, que tu iras chercher quelques millisecondes plus tard ! C'est l'idée du VPN. :)
PC Assemblé P55-USB3 - intel i7 870 - 16Go DDR3 1333Mhz - Radeon HD5450 - DD : 250Go - Linux Mint 19.3 Cinnamon 64-bit.
PC assemblé H310M - intel i3 9100F - 16Go DDR4 2400Mhz - GeForce GT 710 - SSD: 240Go + DD 1To + 500Go - Fedora 31 / Linux Mint 19.3 Cinnamon 64-bit.

mpedro
Messages : 1517
Enregistré le : dim. 8 nov. 2015 22:13
Contact :

Re: Astuce VPN : Configuration sécurisée sans fuites (leak)

Message par mpedro »

ça n'est pas la réponse que j'attendais car le sujet est avec l'utilisation du VPN

Mais sur ce point : "Il y a un DNS en ipv6, mais pas celui de ton fournisseur VPN s'il n'en fourni pas, ce sera ton ipv6 machine qui sera utilisée. D'où l'intérêt de supprimer les DNS de son FAI (et d'ajouter des DNS alternatifs ou libres par exemple); si le routage ne se fait pas alors aucune connexion n'est possible ni basculement sur un DNS de ton fournisseur tout bonnement puisqu'il n'existe plus sur la machine c'est le fichier resolv.conf .

La plupart des fuites sont liés à l'IPV6 et au paramétrage des navigateurs, certains logiciels, la technologie flash ...

Edition
Ces phrases sont bizarres :
J'ai vu que la configuration par défaut d'un VPN de qualité
??? (généralement payant) sous Linux, ne protégeait pas forcément des fuites d'infos, Sous les OS majoritairement utilisés (Windows, macOS) les fournisseurs VPN fournissent des applications conviviales pour cela.
Quels applications conviviale? car "en raison de la façon dont Windows traite une résolution DNS, tout retard dans une réponse du tunnel VPN peut déclencher une autre requête DNS à partir d’une interface différente, ce qui entraîne une fuite".
Modifié en dernier par mpedro le sam. 12 mai 2018 10:20, modifié 8 fois.
Stretch 32bits cinnamon/Fedora25/Sarah
Compaq 8510p/MSI GE70/Raspberry Pi2

Avatar du membre
yano1966
Messages : 84
Enregistré le : ven. 4 mai 2018 12:42
Localisation : Indre et Loire

Re: Astuce VPN : Configuration sécurisée sans fuites (leak)

Message par yano1966 »

Je ne vois pas le problème, en ipv4 ton fournisseur VPN, pour l'ipv6 tu le bloques en local et il n'est pas utilisé sur le net, pas de souci d'anonymisation. J'ai testé plusieurs trackers puissants, aucun ne trouve mon ipv6, elle existe mais n'est accessible que sur mon réseau local et est bloquée d'accès au net.

Quant au DNS ipv4 qui me sert, c'est celui de mon fournisseur VPN basé dans un paradis fiscal où il n'y a pas de lois relatives aux restrictions de filtrage, il n'est pas blacklisté et libre de toute intervention gouvernementale, j'en ai discuté avec un tech de la société. Avant j'utilisais celui de la FDN, mais c'est basé en france et le gouvernement peut décider quand il veut de la blacklister et la FDN sera obligée de l'appliquer.

Mon VPN est garanti no log et est noté parmi les 5 les plus confidentiels un peu partout sur les sites spécialisés, après c'est toujours une question de confiance, car ton VPN sait tout de tes connexions...
Modifié en dernier par yano1966 le sam. 12 mai 2018 09:35, modifié 1 fois.
PC Assemblé P55-USB3 - intel i7 870 - 16Go DDR3 1333Mhz - Radeon HD5450 - DD : 250Go - Linux Mint 19.3 Cinnamon 64-bit.
PC assemblé H310M - intel i3 9100F - 16Go DDR4 2400Mhz - GeForce GT 710 - SSD: 240Go + DD 1To + 500Go - Fedora 31 / Linux Mint 19.3 Cinnamon 64-bit.

mpedro
Messages : 1517
Enregistré le : dim. 8 nov. 2015 22:13
Contact :

Re: Astuce VPN : Configuration sécurisée sans fuites (leak)

Message par mpedro »

Tu tournes autour du pot ou alors mes messages ne sont pas clairs mais suis ok avec ton dernier message qui ne répond pas au mien.
Pour peu que l'on se penche sur le problème de DNSleak par rapport à son FAI, on vire ceux du FAI, l'astuce est là.
Il faut savoir que tout les VPN de qualité protège forcement "des fuites d'infos" et implémente DNSSEC et possèdent un tas d'outils pour se prémunir des fuites de réseaux. Neanmoins pour suivre tes conseils j'ai mis "Link-Local Only" ce qui ne sert pas en mode VPN si aucun DNS du FAI n'existe.
Modifié en dernier par mpedro le sam. 12 mai 2018 16:09, modifié 11 fois.
Stretch 32bits cinnamon/Fedora25/Sarah
Compaq 8510p/MSI GE70/Raspberry Pi2

Répondre