VPN et machines virtuelles

Mes soucis avec deux de mes précédents VPN, AirVPN, puis Mullvad, m’ont conduit à tenter d’installer IbVPN, mon nouveau choix, en machine virtuelle.

Résumé de la situation

Ayant installé Mullvad sur plusieurs de mes ordis, j’ai constaté qu’il bloquait d’une part l’accès au Web sans le VPN (= si je voulais utiliser mon navigateur, il fallait que le VPN ne soit pas désactivé) et qu’il bloquait en outre l’accès à mon réseau domestique (donc plus moyen d’utiliser mes disques durs en réseau). Autrement dit, le VPN contrôlait entièrement mon activité réseau interne et externe. Cela s’était déjà produit, mais de façon bien moins tranchée, avec AirVPN : il était simplement difficile d’utiliser conjointement une connexion normale et une connexion sécurisée (et je n’avais pas renouvelé l’abonnement pour cette raison). Avec Mullvad, après constat d’impuissance de la part de leur hotline, je n’ai pas eu d’autre solution que de supprimer leur client VPN sur mon poste principal, qui est sous W7Pro x64. La relation de cause à effet ne fait pas de doute : dès la désinstallation complète (avec RevoUninstallerPro), j’ai retrouvé instantanément mes connexions. Mais comme je trouvais leur client Linux GUI particulièrement pratique, j’ai gardé Mullvad sur mes appareils Ubuntu et Mint… où je constate le souci, sauf que je continue à avoir accès au réseau domestique. Donc, jusqu’à la fin de mon abonnement (limité à 3 mois, car il ne faut jamais s’engager sur longue durée avant test prolongé), je n’accéderai au Web qu’avec le VPN sur ces appareils.
Et pourquoi pas ? Simplement, je ne peux pas accepter cela sur mon poste principal, car il y a bien sûr de nombreux sites où je dois m’identifier avec ma véritable IP : c’est amusant de se connecter sur le site d’Amazon.fr, où, malgré mon refus de la géolocalisation (et tous les paramétrages que j’ai effectués pour l’interdire), il continue à m’indiquer mon adresse de livraison si je navigue avec mon navigateur habituel, et de constater que, grâce au VPN, il me situe aux Pays-Bas ou en Norvège, mais passé le moment de ricanement, il faut quand même que je m’identifie réellement si je veux passer commande ! Et c’est évidement encore plus nécessaire si je veux payer avec Paypal, aller sur mon compte bancaire, payer mes impôts, etc.

Et puis de toutes façons, c’est plus qu’agaçant de ne plus avoir le contrôle sur sa vie en ligne.

Je précise que je n’ai pas eu du tout ces problèmes avec ExpressVPN, ni sur mes bécanes Windows, ni sur celles sous Linux. Et que si je n’ai pas gardé ExpressVPN, qui est une excellente solution surtout sous Windows (sous Linux, leur client GUI n’est pas parfait, et il vaut mieux être familier avec la ligne de commande), c’est parce que :

1. j’aime bien tester ;
2. leurs conditions de confidentialité ne sont pas parfaites (mais elles suffisent en fait).

J’ai pris un abonnement de 3 mois chez IbVPN, un prestataire roumain, qui présente plusieurs avantages du point de vue de mon article sur la confidentialité des VPN : en-dehors des “14 Yeux”, soumis à la législation européenne ou presque (moins scrupuleusement que les prestataires suisses, c’est sûr), on peut s’abonner sans lâcher d’informations identifiantes : j’ai fourni un mail anonyme (voir article Messageries confidentielles), et j’ai payé avec Néosurf. J’ai enfin téléchargé leur application sous Mullvad + TOR.

Suis-je ainsi anonyme ? mais non ! pour l’être, il faudrait faire des efforts qui dépassent mes préoccupations, comme installer leur appli sous Tails dans un endroit avec hotspot public. Donc en fait, en lançant leur VPN depuis chez moi, ils ont immédiatement mon IP réelle, et peu importe en conséquence que j’ai brouillé mon fingerprint (pour éviter d’être unique). A priori, si l’on en croit ce qu’ils affirment sur leur site, il ne devrait pas être possible de lier mon identité (limitée à l’IP) et mon activité sous VPN. Mais j’ai comme un doute, et c’est bien ainsi, puisque comme tout le monde je m’inquiète de la montée en puissance de la cybercriminalité, du cyberterrorisme et de la cyberguerre.

Avec mes précédents VPN, j’installais le client VPN sur mon système hôte, pour en profiter également sur une machine virtuelle (je dirai VM, et non MV, puisque j’utilise l’acronyme VPN et non RPV !). En effet, d’une part je n’ai jamais souhaité installer le VPN sur ma box, ce qui est pourtant facile avec ma Freebox, et d’autre part, je n’ai jamais voulu non plus le limiter au navigateur, via les extensions que les bons fournisseurs de VPN proposent en général ; pour pouvoir ainsi protéger, sur mon (ou mes) poste, l’ensemble de mes connexions Internet (notamment la messagerie, mais aussi le FTP…). Et bien sûr, à partir du moment où le poste est sous VPN, la ou les VM en profitent aussi. C’est très utile, pour éviter notamment les risques d’infection ou de compromission liés aux sites louches ou aux téléchargements “gratuits”, avec un triple contrôle antiviral : celui du VPN, celui du poste principal, et celui de la VM (il n’est pas recommandé d’installer plus d’un AV sur son système, mais avec la VM, on a deux systèmes indépendants).

Malheureusement, peu de fournisseurs de VPN se préoccupent de split-tunelling, ce qui est quand même un gros souci.

Alors j’ai décidé d’installer mon nouveau client VPN sur VM, et non sur le système hôte, pour voir ce que ça donnait.

Installation du VPN sur sa machine virtuelle

Ma foi, rien de plus simple ! En tous cas, si la VM est en Windows (je n’ai pas eu l’occasion de tester avec une VM sous Linux).

J’étais un peu inquiet, parce qu’on ne trouve pas vraiment de tutos sur cette question. Voilà tout ce que j’ai trouvé :

  • https://greycoder.com/using-a-vpn-inside-a-virtual-machine-for-extra-anonyminity/
  • https://it.megocollector.com/tips-and-tricks/use-your-vpn-connection-in-a-linux-centos-virtualbox-instance/
  • https://torguard.net/blog/how-to-setup-a-virtual-machine-vpn/
  • https://chrtophe.developpez.com/tutoriels/gestion-reseau-machine-virtuelle/#L4-1-1 : L’article de Christophe (de Développez.net) est en fait beaucoup plus général, et sert à comprendre la problématique sans fournir de mode d’emploi.

Mais il n’y a pas vraiment besoin de mode d’emploi. Installer le client VPN n’est pas différent sur sa machine virtuelle que sur son OS principal. Ce n’est pas cela qui m’inquiétait, mais qu’est-ce qui allait se passer au niveau de la gestion du réseau sur mon poste.
Hé bien, exactement ce que j’espérais : une connexion VPN limitée à la VM.

Lors de l’installation du client VPN, une pop-up demande : “Voulez-vous installer Tap-Windows Provider V9 Cartes réseau?” (c’est la carte réseau virtuel qui encapsule le trafic réseau avant de le transmettre à la carte réseau du poste, et qui est liée à OpenVPN). Je clique sur “oui”, naturellement. Un autre avertissement apparaît, qui me dit qu’il faut alors installer Microsoft Visual C++ 2010 x64, ce que j’accepte aussi (ce message n’apparaît que s’il n’est pas déjà installé). On me demande enfin quel réseau je veux utiliser pour ma connexion VPN, je choisis “réseau public”, de façon à ne pas choisir mon réseau “domestique”, même si dans ma VM il n’est pas autorisé à communiquer avec mes autres ordis.

Et le processus se termine rapidement, avec l’apparition du client VPN sur le bureau, permettant de faire les réglages, de choisir la localisation souhaitée, et d’activer le VPN.

Avec IbVPN, le client s’affiche sur le bureau, mais avec d’autres offres VPN, il peut apparaître sous forme d’icône dans la barre des tâches.

Ce qui me satisfait dans cette procédure est ceci

Ma carte réseau, sur mon poste principal hôte en Windows 7 x64 :

La config est celle d’une absence de VPN.

Et sur ma machine virtuelle (Virtualbox) du même appareil, sous Windows 7 aussi, ma carte réseau est celle-ci :

Si je lance mon navigateur avec cette config, il est “non protégé” et l’IP est celle de mon poste hôte, ma véritable IP. Si je lance IbVPN, j’aurai sur le réseau l’IP correspondant à la localisation du serveur choisi.

Le VPN est maintenant lancé, et les connexions réseau passeront par lui. Je ne sais pas pourquoi on trouve ce Tap-Windows Adapter #2, dont je vais faire le ménage.

D’accord ! je n’utilise le VPN qu’en machine virtuelle. Mais ça me convient pour l’instant. C’est surtout quand j’utilise ma VM que la “prudence sur les réseaux” s’impose…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.