Mikrotik : Configurer VPN WireGuard + client Android

Tout d’abord, cela nécessite ROS (RouterOS) version 7 minimum.
Dans la suite de cet exemple, j’utilise un hAPac2 avec la v7.15.3

Côté serveur (Mikrotik) :

On commence par aller dans Winbox et de créer l’interface WireGuard en allant dans le menu correspondant et en faisant le « + ».
On peut changer le nom et le port d’écoute (perso je n’ai pas laissé la valeur par défaut 13231).

Cela va créer automatiquement les clés (privées et publiques) :

Cela a donc créé une nouvelle interface « WireGuard1 » dans le Mikrotik.
Il faut donc maintenant lui assigner une adresse IP, on va donc dans IP / Addresses et on ajoute avec le « + » :

Continue reading ‘Mikrotik : Configurer VPN WireGuard + client Android’ »

Mikrotik : Configurer un serveur OpenVPN et connecter un client Android

Récemment, j’ai changé de smartphone de ma femme et j’ai découvert qu’avec le nouvel Android v13, il n’était plus possible de paramétrer de VPN L2TP/IPSEC : Android a purement et simplement supprimé cette possibilité au profit de IKEv2 (pour des raisons de failles de sécu).
Du coup, j’y songeais depuis quelques temps (et ça m’a donc obligé à le faire), je suis passé au paramétrage d’un serveur OpenVPN.

Dans ce tuto, je pars du principe que le Mikrotik est déjà paramétré/fonctionnel pour tout le reste (ip, route, firewall) .
Dans cet exemple, le routeur a pour IP LAN 192.168.2.250 et est accessible sur Internet depuis son adresse cloud (type XXXXXXXX.sn.mynetname.net).
Tout ce qui est en orange dans la suite de cette article, doit être personnalisé.

Paramétrage OpenVPN côté serveur Mikrotik :

/certificate
add name=CA common-name=CA days-valid=3650 key-size=2048 key-usage=crl-sign,key-cert-sign
add name=SERVER common-name=XXXXXXXX.sn.mynetname.net days-valid=3650 key-size=2048 key-usage=digital-signature,key-encipherment,tls-server
add name=CLIENT-1 common-name=CLIENT-1 days-valid=3650 key-size=2048 key-usage=tls-client
/certificate
sign CA name=CA
sign SERVER name=SERVER ca=CA
sign CLIENT-1 name=CLIENT-1 ca=CA

Parfois cela peut prendre un peu de temps et afficher un message d’erreur (ce n’est rien, en attendant un peu, les fichiers se génèrent/signent bien) :

Continue reading ‘Mikrotik : Configurer un serveur OpenVPN et connecter un client Android’ »

Freebox Server : démontage pour nettoyage de printemps

Suite à mon précédent article où je démontais le boitier de la Freebox Player (dû à une surchauffe, liée au blocage du ventilateur), j’en ai profité pour démonter le boitier « Server » de ma Freebox Revolution.
A cette occasion, j’en ai profité pour faire une petite vidéo que vous pouvez retrouver un peu plus bas dans cette article.

Tout d’abord, petit tour de l’engin :

la freebox revolution côté "server"

On voit un petit de poussière bloqué dans le panneau arrière :

freebox server avec un petit peu de poussière
Continue reading ‘Freebox Server : démontage pour nettoyage de printemps’ »

Jeedom et Pushbullet : problème de certificat (daemon tourne en boucle)

Depuis quelques jours, mes interactions entre pushbullet et jeedom ne fonctionnent plus que dans un seul sens : Jeedom peut envoyer des notifs vers mon smartphone.
Mais plus l’inverse (alors que cela fonctionnait il y a encore peu de temps).
En regardant les logs de pushbullet dans Jeedom, je m’aperçois d’un problème avec le daemon :

Le plugin Pushbullet pour Jeedom n’est plus maintenue depuis plusieurs années mais un contributeur sur le GitHub pointe directement le doigt sur le problème : le problème est lié au certificat racine DST Root CA X3 qui a expiré fin septembre 2021.
Le contributeur donne la solution : il faut remplacer le certificat racine dans l’installation de pushbullet.
Let’s go !

On récupère le nouveau certificat racine :

Tout d’abord, je récupères le nouveau certificat racine qui va remplacer l’ancien, en allant sur https://curl.se/docs/caextract.html et en téléchargeant la dernière extraction en date :

Ensuite, je vais déposer ce fichier « cacert.pem » sur mon Jeedom (en fait dans la DB10 qui sert d’OS).
Pour cela, j’utilise WinSCP pour transférer en SSH.

Je dispose déjà d’un répertoire « /home/jeremy » pour mes scripts perso donc je déposes le fichier cacert.pem ici.

Continue reading ‘Jeedom et Pushbullet : problème de certificat (daemon tourne en boucle)’ »