Régler définitivement les problèmes de VPN entre le réseau Unifi et macOS
Lors de notre dernier article sur le sujet, nous vous faisions part de notre préoccupation sur la stabilité du VPN créé par une UDM Pro et l'accès depuis un Mac distant.
Le soucis n'est pas tant que la connexion se perde, mais plus qu'elle plante le service côté UDM. Et cela nous oblige à nous connecter à l'UDM pour réinitialiser le service VPN, comme nous l'avions vu ici. Une solution qui s'avère peu pratique lorsque l'utilisation du VPN se fait sur la durée, voir carrément rédhibitoire lorsqu'il s'agit d'un utilisateur lambda n'ayant bien sur, aucun accès SSH, et encore moins root, sur l'UDM Pro.
Voici donc une alternative bien plus stable, et tout aussi efficace. Elle est peut être un peu moins élégante, car on ne passera plus par macOS pour se connecter au VPN, mais par une application externe.
1/ Configuration du réseau VPN
Dans les réglages de l'UDM Pro, nous allons donc créer un second service VPN. Créant ce nouveau service, vous verrez que L2TP n'est pas disponible. En effet, l'UDM Pro ne peut gérer qu'un seul VPN de chaque type.
Cette fois-ci, nous allons choisir OpenVPN. L'UDM Pro va configurer l'adresse du serveur automatiquement, et ne devrait pas nécessiter de changement. Cette dernière devrait être identique à celle du VPN L2TP, si vous en aviez configuré un. Par défaut, le port est 1194. Si votre UDM Pro est derrière un autre routeur, il faudra faire de la translation de port, sur le routeur, en TCP et en UDP, afin que les requêtes lui arrivent.
Pour y accéder depuis l'extérieur du réseau local, il faut ensuite définir l'adresse pour les clients. Celle-ci doit correspondre à l'adresse externe du réseau, accessible depuis internet.
Si vous n'aviez pas créé un utilisateur pour le VPN L2TP, il faudra l'ajouter ici, ou indiquer l'adresse d'un serveur RADIUS gérant les identifiants et mots de passe.
Une fois votre nouveau réseau VPN enregistré, le bouton pour télécharger la configuration sera disponible. Il se trouve en plein milieu de la page de configuration. Ne nous demandez pas pourquoi ce choix bizarre d'emplacement, nous n'avons toujours pas compris l'ergonomie de la chose.
2/ Configuration du Mac
Commencez par récupérer le fichier de configuration créé sur l'UDM Pro, puis l'application OpenVPN Connect que vous pourrez trouver ici. Il s'agit du client, qui remplace la connexion via la section Réseaux des Réglages Système.
Une fois l'application lancée, ouvrez un nouveau réseau en utilisant le fichier de configuration. L'application vous demandera l'identifiant et le mot de passe de votre compte, créé sur l'UDM Pro.
En éditant la configuration du VPN via l'application, vous aurez la possibilité d'enregistrer l'identifiant et le mot de passe, afin qu'il ne soit pas demandé à chaque nouvelle connexion.
3/ Configuration avancée
Avec le VPN L2TP, nous avions eu la possibilité de choisir de ne pas transmettre tout le traffic internet, mais seulement le traffic lié au réseau qui se cache derrière le VPN, que nous nommerons A. C'est bien évidemment optionnel, et ne concerne pas tout le monde. Si vous en avez besoin, voici comment faire.
Pour cela, il y avait une option à cocher dans la configuration cliente du VPN, puis, une ligne de commande à lancer à chaque connexion pour indiquer au Mac, la route vers laquelle trouver tous les services présents sur le réseau local A.
Ici, nous n'avons eu nul part le choix de cette option. Et pourtant, elle est aussi possible. Pour cela, il suffit de modifier, manuellement le fichier de la configuration.
Pour cela ouvrez le fichier avec n'importe quel éditeur de texte brut. Sur Mac, vous pouvez utiliser TextEdit ou votre éditeur favori.
D'abord, nous allons commenter l'une des lignes, en ajoutant un # devant.
redirect-gateway def1
Cette action aura pour effet de ne pas envoyer tout le traffic réseau à travers le VPN.
Ensuite, nous allons simplement lui indiquer la route vers les postes et serveurs du réseau local A, avec la commande suivante que nous allons placer sous la ligne que nous venons de commenter.
route 192.168.1.0 255.255.255.0
Il est bien évidemment nécessaire d'adapter la ligne, avec la valeur de votre propre réseau, afin de lui donner la bonne règle de routage.
Nous enregistrons. Puis dans l'application OpenVPN, nous stoppons le réseau en cours si nécessaire, puis nous le supprimons. Nous n'avons ensuite qu'à le re-créer à partir du fichier de configuration modifié.
4/ Nettoyage
Une fois l'ensemble validé et en place, pourquoi pas nettoyer les éléments devenus obsolètes.
Plus personne n'utilisant le VPN en L2TP, nous l'avons supprimé de l'UDM Pro. Cela n'avait aucun interêt de laisser un service inutilisé. L'UDM Pro est soulagée d'un service, mais surtout, d'un point de vue sécurité, cela évite de laisser trainer un service qui sera sans surveillance, que l'on va oublier et dont on ne connait pas les futures failles de sécurité.
Sur le Mac, nous pouvons aussi supprimer le VPN dans la partie Réseaux des Réglages Système.
5/ Gain en stabilité
Activé depuis plusieurs semaines, le service est plus robuste qu'en L2TP. De plus, il résiste à la mise en veille du Mac et aux "petites" coupures de réseau. Ce changement semble aussi avoir été bénéfique pour les performances, l'accès, notamment aux serveurs de fichiers, est moins laborieux. Les dossiers s'affichent plus rapidement, et les copies semblent moins longues.
En bref, l'objectif est atteint. Nous sommes même allés un peu plus loin que ce qui était prévu.
- Mettre à niveau un réseau d'entreprise avec du matériel Ubiquity
- Configurer un VPN sur UDM-Pro et y accéder depuis un Mac distant
- Utiliser un éditeur de texte, autre que vi, sur l'UDM Pro
- Résolution d'un problème de performance sur un réseau Unifi
- Régler définitivement les problèmes de VPN entre le réseau Unifi et macOS
