Cas pratique:
Maison secondaire avec un LAN mais sans accès internet. Travaux de ligne téléphonique trop compliqués/chers (partie privative longue->travaux à notre charge...)
Très bonne couverture 3G voix/data.
 
L'idée, j'aurais besoin d'accéder aux machine du LAN de cette maison. Il faut que tous les protocoles passent en toute transparence, comme si une fois connecté à distance, on était physiquement
connecté sur ce lan (aux latences près...)
 
Ca fait quelques temps que je teste des méthodes, pose des questions, mais je suis un peu limité dans mes compétences pour arriver au bout du problème.
 
Je sais mettre en place un Synology qui me sert de serveur OpenVPN pour accéder à un lan.
Je sais mettre un routeur netgear en mode bridge wifi et utiliser le mode modem wifi d'un smartphone android.
 
Si nécessaire, je pourrais connecter ce smartphone android en mode client sur un synology distant au travers de la connexion 3G
 
Ce que je ne sais pas faire aujourd'hui, c'est une fois que ce smartphone est connecté en client, accéder depuis le côté serveur au sous réseau derrière le smartphone.
Le tunnel n'est pas "bi-directionnel". Le smartphone accède à tout le réseau sur lequel il se connecte, mais aucun poste de ce réseau ne peut accéder à ce smartphone.
 
L'idée de base:
Utiliser un smartphone comme accès internet sur un site isolé et pouvoir accéder (depuis n'importe où) à toutes les machines du LAN qui utilisent ce smartphone comme passerelle.
 
Merci!

Tu ne pourras pas heberger un reseau VPN classique sur un acces 3G, pour plein de raisons techniques.(niveau operateur)
 
Eventuellement, il faut voir avec des solutions de VPN deportées, genre hamachi, mais faut oublier les typologies classiques.

Voir du côté d'un routeur supportant les clés 3G + DD-WRT avec openVPN installé dessus ?  
 
Avec la bonne clé 3G reconnue par DD-WRT, en suivant un petit tutoriel pour l'activer, et de quoi installer openVPN cela serait faisable logiciellement.
 
En matos le top pour ce genre d'utilisation c'est du Soekris, mais le moindre NET4801 coûte déjà 180€ au minimum... pas le bon plan. Dommage donc il va falloir partir sur un routeur hackable à vil prix pour pouvoir faire tourner notre minimum dessus (4Mb de flash, 8Mb serait mieux). Là on a le choix entre les TP-Link MR3420 mais qui risque d'être juste niveau mémoire flash (pour le système) et... le Netgear WNR3500L v2.
A voir donc avec ce dernier, même s'il y aurait eu quelques problèmes avec DD-WRT à sa sortie, il semble vraiment pas mal et stable aujourd'hui.
 
Il ne restera qu'un point : savoir (et pouvoir) mettre les mains dans le camboui la ligne de commande, vu que graphiquement ce n'est pas ça

 
Je pensais naïvement qu'un tunnel crypté type OpenVPN permettait un peu de faire transiter tout ce qu'on veut, peut-importe si on est en 3G/wifi/ethernet/autres.
 

 
J'ai bien un 3500L v2 avec ddwrt installé, mais aucun des tutos OpenVpn que j'ai testé avec pourtant les bonnes versions ne marche et j'avoue que je suis un peu limité dans ma compréhension de linux en ligne de commande.
Ce qui est d'ailleurs dommage, c'est que ni Tomato, ni DDWRT ne savent exploiter le mode modem en usb des smartphones, alors qu'un ubuntu sait le faire... je sais bien qu'on a pas la même place dispo pour stocker le système, mais je pensais que les drivers ne prenaient pas tant de place que ça... et comme ça marche déjà dans le monde du libre...
 
En tout cas dans le paramétrage OpenVPN, on a pas mal de tutos qui expliquent comment échanger les informations de sous réseaux entre client et serveur... mais toujours dans des cas où on connaît parfaitement la typologie réseau du client.
Dans le cas de la 3G, on ne la connaît pas a priori.
Je me suis dit que dans ce cas, idéalement, il faudrait presque un logiciel routeur sur le smartphone android qui ferait l'interface entre le réseau 3G et où on pourrait créer le plan d'adressage qu'on veut...
Et donc avoir une config fixe à renseigner dans la config client à pousser vers le serveur.
Mais ce sont des idées de débutant hein
 
Merci pour les réponses, j'aimerais pouvoir progresser.

C'est surtout qu'à la base, quand tu branches un téléphone en USB sur un autre périphérique, il sera d'abord reconnu comme périphérique de masse (= clé USB)
Là où les clés 3G sont clairement reconnu comme modem.
 

C'est un peu ce que je pensais te faire faire  
Ton équivalent au port br0 étant la clé 3G USB, avec des règles de routages après le traitement VPN. Là rien à installer sur tes machines, tout se passe dans le routeur.

 
J'ai un GNII et le partage en usb désactive le mode périphérique de masse. Après je ne sais pas comment c'est vu depuis DDWRT.
 
J'étais aussi parti sur l'idée DDWRT si j'avais eu les compétence, et plutôt sur un smartphone histoire de me servir de la ligne téléphonique, toujours utile dans une maison qui n'a pas de ligne cuivre.
La clef 3G est toujours envisageable... mais bon faudra déjà que je m'améliore assez pour pouvoir faire fonctionner le serveur ovpn sur DDWRt...

Progrès:
Je peux accéder à un nas synology connecté derrière un smartphone 3G.

Comment?
Partage de la connection 3G en wifi sur le smartphone.
Routeur DDWRT en mode repéteur-bridge
Nas synology connecté en tant que client sur un serveur openvpn.

Sur le même réseau que le serveur, je peux accéder au NAS sur son IP qui est en 10.8.0.X

Problématiques:
Je ne peux pas accéder aux autres machines sur le même réseau que me NAS (tout ce qui est connecté au routeur DDWRT en fait)
La connexion au web mobile se désactive au bout d'un certain temps, 30 minutes on dirait. Il faudrait donc un moyen de la maintenir ouverte... ou alors pouvoir l'ouvrir et la fermer via script a des horaires précis car je n'ai pas besoin d'une connexion en continu.

Je pense qu'avec un peu d'aide, je pourrais accéder aux machines qui sont sur le même réseau que le nas.
En revanche pour la connexion a durée limitée, ça va être un peu plus ardu.

Grosso merdo, tu peux faire la même chose avec la clé 3G connecté directement sur le routeur. Au lieu d'être en mode répéteur/bridge, il prendrait la clé 3G comme WAN direct.

C'est à dire ?
Depuis "ailleurs" (en dehors de chez toi) tu ne peux pas accéder aux autres machines ? (a)
OU
Depuis "chez toi" tu ne peux pas accéder au NAS ? (b)

(a) -> il manque des règles NAT sur le routeur
(b) -> tu fais transiter directement tout ce qui arrive sur ton routeur directement par openVPN, et traité ensuite par ton smartphone. Forcément ça ne marchera pas
Là ton routeur en mode bridge agit comme un appareil qui fait uniquement office de serveur VPN et de "switch WiFi", au lieu de faire traiter uniquement le lien WAN<->LAN. Il faudrait voir dans les options, mais il me semble (de mémoire) qu'en bridge tu n'as pas accès à la partie routage. ça va être ballot, car là par rapport à ta configuration il faudrait limite :
smartphone <-> routeur en bridge avec openVPN <->2ème routeur <-> ton réseau
Ce qui complique les choses
Le mode bridge de DD-WRT n'est pas prévu pour avoir en même temps un traitement par openVPN. Donc là obligé de travailler avec un accès "physique" à un lien WAN.

ça semble plutôt être un soucis au niveau de l'opérateur. Tu as un abonnement data + x h de communication ou un abonnement classique (x h de communication) avec du data ?
En général ce qui est vendu, c'est ce 2ème type d'abonnement. Le 1er étant plus de l'abonnement pro ou spécifique (abonnement pour tablette)

Ton smartphone "GNII" c'est quoi ? (marque et "nom complet"... "GNII" sur Google, c'est pas trop ça )
Autant pour moi : Galaxy Note II... pas de pot, non supporté pour le moment, sauf à bidouiller dans tous les sens. Je déconseille.

Plus de Nat en mode bridge en effet...
Et pas de nat dans dsm (syno)
Donc encore une boîte,  trop de bidouilles je suis d'accord.

Je préfère un smartphone pour des raisons pratiques et coût d'abonnement. Si des offres correctes sortent avec soyons fous ip fixe et ports non bridés... mais on y est pas encore.

Pour les ports non bridé, apparemment Joe Mobile semble l'un des seuls à ne pas en avoir.
Mais ils bloquent ce qui est newsgroup et P2P par analyse des flux réseaux, quand aux VPN pas de retour dessus sur le topic Joe Mobile.
 
A voir sinon, au lieu d'être en mode bridge, être en mode répéteur

 
Va falloir que je teste cette histoire de répéteur... le dhcp/NAT sont toujours accessibles, donc je peux pousser une route connue dans la config client (enfin faut que je teste).
 
Merci.