Accéder à octoprint à partir de l'internet mondial

[Tenkaichi]

Bonjour,

J'ai installé il y a quelques temps octoprint sur une raspberry Pi3 B+ et tout fonctionne très bien en local. Désormais je souhaiterais pouvoir accéder à octoprint depuis internet. Je sais que de base il suffit d'ouvrir et rediriger un port du router internet sur la raspberry, ça fonctionne bien d'ailleurs. Mais apparamment ce n'est pas très sécurisé, il est généralement conseillé de passer par un VPN. Donc j'aimerais savoir si c'est possible et si ça a du sens de faire de mettre un VPN sur ma raspberry en plus d'otcoprint et si oui, comment faire pour se connecter à octoprint à partir du VPN de la même raspberry.

Je ne trouve pas beaucoup d'informations sur internet, et tout cela n'est pas spécialement clair pour moi. Donc si jamais quelqu'un peut m'aider.. Ou me proposer des solutions alternatives !

Je vous remercie d'avance

[biostrike]

Ce n'est pas octoprint qui utilise le VPN, mais ton routeur. Le VNP crée un tunnel vers ton réseau dont Octoprint fait parti.

Il faut donc configurer ton routeur (si il prend en charge le VPN).

[Savate]

@Tenkaichi

Si vraiment tu veux accéder de l'extérieur une petite recherche google donne au moins ça

Using OpenVPN for Remote Access · gdombiak/OctoPod Wiki · GitHub

Si je devais choisir (heureusement je n'ai pas à le faire  ) je prendrais la solution préconisée par @biostrike, mais elle implique quelques changements dans ton installation physique (ça ne marchera pas avec une box orange toute seule - sauf si ils ont fait de gros changements dans leur truc  )

[Tenkaichi]

il y a 17 minutes, biostrike a dit :

Ce n'est pas octoprint qui utilise le VPN, mais ton routeur. Le VNP crée un tunnel vers ton réseau dont Octoprint fait parti.

Il faut donc configurer ton routeur (si il prend en charge le VPN).

Mais du coup, si j'active le VPN de ma box SFR, je n'ai rien d'autre à faire ? Je redirige un port vers la raspberry et je peux me connecter depuis internet à partir de mon adresse IP publique à octoprint ? Rien ne change à part que la connexion est sécurisée ? 

[Titouvol]

Même pas :
Le principe est le suivant :

Sur ton PC tu as un client VPN et sur ta box le VPN activé et configuré.
Lorsque tu actives le VPN sur ton poste, il se connecte à ta box via un protocole sécurisé (par cryptage des données) et ton PC est alors considéré comme "chez toi".
C'est à dire qu'il est connecté comme si tu étais branché en direct sur la box ou en wifi.

Donc à moins qu'SFR ne fasse arriver le VPN dans une zone hors de ton réseau (DMZ), tu n'as ni ouvertures, ni redirections à faire.

C'est effectivement nettement plus sécurisé et hautement recommandé.
Certes tu n'es pas une grande entreprise avec pignon sur rue, donc moins exposé, mais les attaques sont quand même bien réelles.
Surtout quand les box intègrent directement le service, pourquoi s'en priver ?
(Sans cela c'est quand même nettement plus compliqué à mettre en oeuvre).

Modifié (le) Mars 19, 2021 par Titouvol

[Tenkaichi]

Bon finalement j'ai installé OpenVPN sur ma raspberry.

Je peux me connecter à distance, donc ça marche bien !

En fait je n'ai pas trouvé le VPN de ma box, j'ai du rêver... Bref, l'affaire est résolue !

[Titouvol]

Au niveau de ta box tu as donc ouvert le port 1194 vers l'intérieur.
Par contre, tu l'as autorisé vers toutes IPs ou tu as spécifié l'IP de ton Raspberry ?

Ouvrir le port ainsi n'est pas top au niveau sécurité, donc au moins restreindre l'accès uniquement vers le Raspberry.
Pour cela il faut qu'il ai une IP fixe et que tu la spécifies dans la règle de firewall sur ta box.

[Tenkaichi]

J'ai ouvert le port 1194 de ma box et redirigé vers l'ip locale de ma raspberry.

J'ai défini une IP fixe pour la raspberry sur mon router.

Du coup c'est bon l'accès à mon réseau local est bien sécurisé ? A moins d'avoir la clé du VPN personne ne pourra se connecter?

[Titouvol]

Oui et non ...
C'est un peu plus compliqué que cela.
L'idéal aurait été que ce soit la box qui porte le VPN.
Mais dans ta situation tu as fait le nécessaire.

[Tenkaichi]

Très bien, me voilà rassuré dans ce cas ! J'étais un peu flippé à l'idée d'accéder à distance à mon réseau local à la base..

[Titouvol]

Alors ... ca n'est pas trop l'objet du forum, mais bon ... puisque c'est le sujet de la demande ...

Disons que tu es à cheval entre le bien et le pas bien : je m'explique :

Si le VPN est porté par la box (ou un firewall, dont elle remplie aussi les fonctions en fait) un vilain hacker se retrouverait face à un système qui a été conçu pour lui résister, et surtout, il est toujours A L'EXTERIEUR de ton réseau.  Ta box ayant 2 connexions : 1 internet et 1 réseau local (filaire et wifi, rarement séparés dans les boxs).
Donc si il s'attaque au protocole openvpn et réussi à trouver une faille, il ne sera que sur ta box et devra ensuite la "casser" pour accéder à ton réseau local.

Dans le cas ou tu ouvres le port sur ta box ... il est certes cantonné au port 1194 et sur le raspberry, mais il est déjà DANS ton réseau ... déjà moins bien.
Ceci dit OpenVPN est fait pour ça donc relativement résistant. Mais il arrive qu'on découvre une faille et qu'ils arrivent à l'exploiter pour outrepasser les limitations que tu as mis (port 1194 et ton raspberry).
Pour éviter cela, il faut impérativement faire une chose : maintenir à jour le server openvpn que tu as installé sur ton raspberry et le client OpenVPN que tu utilises.
Ainsi quand une faille est découverte, tu bénéficies des updates qui la referme, sinon : tu seras alors vraiment exposé !

Est ce que c'est fréquent ? Non, mais ça arrive et même sur des protocoles sensés être sécurisé, comme par exemple  le SSH qui est un protocole sécurisé et sur lequel une jolie faille a été découverte récemment.
Un exemple de fonctionnement d'une faille ? Imagine la mémoire d'un ordi comme une série de cartons posés les uns à côté des autres. Quand tu fais une action qui demande de la mémoire, on t'alloue un carton sensé sécuriser tes actions vis à vis des autres et t'empêcher de faire n'importe quoi ... à savoir tu te battras contre OpenVPN qui ne voudra pas te laisser passer parce que tu n'as pas la clé ... et c'est là que le souci commence : tu es déjà dans la mémoire de l'ordi !
Donc dans certains cas, le hacker va saturer la mémoire qui lui est allouée (en gros il rempli le carton) et dans certains cas, le système part en vrac et n'arrive plus à le contenir (en gros le carton déborde, il arrive parfois à avoir accès à d'autres cartons) ... c'est à dire d'autres actions en cours en mémoire, mais qui n'ont rien à voir avec ton OpenVPN ... qui n'aura servit que de porte d'entrée.
Si par malheur la nouvelle case mémoire ou ils se retrouvent a des droits assez élevés et qu'ils arrivent à en prendre le contrôle, ils se retrouvent sur ta machine avec des droits que tu ne leur as pas donnés ! Bien entendu ils peuvent répéter l'opération dans leur nouvelle boite, voire vers une autre machine de ton réseau.

C'est pour ça qu'il y a deux choses à éviter :
1/ ouvrir directement vers sa machine. Pour information, dans une entreprise, les machines exposées ne sont pas sur le même réseau que les machines de travail .Elles sont dans ce que l'on appelle une zone démilitarisée (DMZ), c'est à dire une zone que l'on sait exposée, donc gérée avec précautions et dans laquelle on ne va pas  mettre tout et n'importe quoi (données sensibles).
2/ ouvrir des choses qui n'ont pas besoin de l'être : par exemple répondre "ok" quand windows te demande si tu veux que d'autres ordinateurs du réseau voient tes partages, alors que tu ne partages rien ! Autant laisser la porte fermée !

Ok, c'est un exemple et il existe d'autres types d'attaques, et l'explication est "scabreuse" mais c'est juste pour te donner une idée du principe d'une attaque. (Ne cherche pas les cartons dans ton pc ... y'a pas la place, surtout dans un Raspberry !)

Modifié (le) Mars 19, 2021 par Titouvol

[Tenkaichi]

Et bien ! Merci pour ces explications ! C'est très intéressant !!

J'ai fait en sorte que le système recherche et installe les mises à jour automatiquement et de manière périodique, donc tout devrait être à jour normalement.

[Titouvol]

Ah, je n'avais pas fait attention mais effectivement j'ai fait un peu long ...

Parfait, par contre n'oublie pas les deux côtés ... Il faut mettre à jour openvpn aussi bien sur le raspberry que le client sur ton pc.

[Tenkaichi]

Ce n'est pas un reproche, c'était très intéressant au contraire !

Oui bien sur !

Encore merci !

[fran6p]

Autre possibilité, cependant plus barbuesque: implémenter le «port knocking». Aucun port par défaut n'est ouvert, ce n'est qu'après une suite de «frappes à la porte» (je simplifie et schématise ) que le parefeu en entrée ouvrira le / les ports précisés et autorisera l'accès à certaines machines / ports déclarés.

[Bestor]

Je rajoute aussi qu'un bon VPN n'est pas gratuit... J'invite le lecteur qui verra le post à googeliser "danger des vpn gratuits"...

Bonne lecture

[Titouvol]

@Bestor : tu melanges les VPN.

Notre ami ne parle des vpn gratuit vers internet qui n'ont de but que de cacher ton ip publique et tes données pour te permettre de surfer plus anonymement et d'éventuellement usurper une connexion dans un autre pays pour contourner des restrictions géographiques.

Il parle d'un vrai vpn point à point dont il contrôle les deux côtés ! Dans son cas  son choix d'openvpn (gratuit mais n'ayant pas à rougir de ses performances et de sa sécurité) est très judicieux. Après certes il n'aura pas la config la plus poussée car ne connaissant pas les arcanes des vpn et de la sécurité réseau, mais déjà quelque chose de solide.

Tu confonds vpn gratuit (ou le produit c'est toi) dans lesquels tu n'as aucun contrôle sur le deuxième point de connexion (et sur lesquels je rejoins ton avis) et vpn open source dont tu maîtrises les deux extrémités (et pour lesquels la sécurité est au contraire un argument ... Pas de vente, ils sont gratuits  mais sache qu'ils sont même couramment utilisés au niveau professionnel).

Modifié (le) Mars 19, 2021 par Titouvol

[Bestor]

Je ne mélange rien, j'attire juste l'attention sur les risques d'utiliser n'importe quel VPN tant vanté par les pubs actuelles...

Si les gens en lisant ce post ont l'envie d'un VPN et qu'il se dépêche d'aller faire une recherche sur Google pour avoir des infos, il risque de chercher la bonne info parmi beaucoup d'autres....

Effectivement les VPN gratuits, c'est toi le produit... (comme toutes les applis gratuites...)

[Titouvol]

Dans ce cas ça n'a aucun sens ... Aucune connexion avec sa situation exposée et la discussion. 

On parle de vpn pour se connecter chez soi, ce qui n'est pas possible avec les VPN dont tu parles, puisqu'ils sont fait exclusivement pour se connecter chez eux !

Ça n'a juste aucun lien, si ça n'est le nom ...

En gros il demande comment rentrer chez lui et tu lui réponds qu'il faut qu'il fasse attention en sortant de chez lui ...

[Tenkaichi]

Il y a 22 heures, fran6p a dit :

Autre possibilité, cependant plus barbuesque: implémenter le «port knocking». Aucun port par défaut n'est ouvert, ce n'est qu'après une suite de «frappes à la porte» (je simplifie et schématise ) que le parefeu en entrée ouvrira le / les ports précisés et autorisera l'accès à certaines machines / ports déclarés.

Je viens de regarder un peu cette histoire de port knocking, c'est assez marrant comme  fonctionnement ^^

[Savate]

il y a 22 minutes, Tenkaichi a dit :

cette histoire de port knocking

Oui c'est un chouette musique de Bob Dylan avec une très bonne reprise des guns and roses 

(26) Knockin' On Heaven's Door - YouTube

Modifié (le) Mars 20, 2021 par Savate

[fran6p]

Il y a 2 heures, Tenkaichi a dit :

c'est assez marrant comme  fonctionnement

Et c'est surtout efficace Un scan de ports externe (nmap ou autre) ne détecte aucun port ouvert alors que si on connait la «phrase magique» (sésame ouvre-toi ) on accède à ce qui a été paramétré.

@Savatema préférence irait plus à Monsieur le prix Nobel, Robert Zimmerman, merci d'avoir mis le lien direct pour éviter de chercher.

[raoullevert]

Salut,

 

VPN signifie réseau privé virtuel. C'est simplement un service qui permet de relier un ordinateur sur internet à un réseau local (LAN). Tu as les VPN du genre NordVPN, ou tu te connectes au LAN NordVPN uniquement pour changer ton IP. Et tu as les VPN que tu installes sur ton propre LAN et qui permet d'accéder à ton réseau de manière un peu sécurisé. Un VPN crypte les données avant de les transférer, et elles ne sont décryptées que sur le LAN. Ca permet de limiter les attaques type 'Man in the Middle' (interception des données) par une cryptographie forte.

Pour ceux qui ont un NAS (synology ou autre), la mise en place d'un VPN prends quelques clics. Sur mon LAN domestique mon NAS sert de point d'entrée/sortie unique. 

Ca permet l'accès de ton réseau domestique avec une authentification forte et évite les problèmes. Dans mes logs, par exmple, j'ai en gros 2/3k connections par jour venant de Chine. J'ai donc bloqué toutes les IPs chinoises. Pour les autres, elles sont bloquées au bout de 3 tentatives infructueuses (pour éviter le brute force).

Si tu veux implémenter ça de manière libre, il existe des distrib comme FreeNas que tu peux mettre sur un Raspberry. Si tu veux en plus avoir ton propre stockage type Cloud, prends un vieux PC : le RPI est très lent sur les accès disques. 

Autre solution : tu peux utiliser IPV6 ou le réseau TOR. Mais c'est dangereux si tu ne maitrise pas le fonctionnement....