{"id":362,"date":"2023-06-06T09:23:14","date_gmt":"2023-06-06T09:23:14","guid":{"rendered":"https:\/\/blog.nibelheim.fr\/?p=362"},"modified":"2023-08-24T06:54:04","modified_gmt":"2023-08-24T06:54:04","slug":"une-seedbox-derriere-un-vpn-sur-raspberry-pi","status":"publish","type":"post","link":"https:\/\/blog.nibelheim.fr\/?p=362","title":{"rendered":"Une Seedbox derri\u00e8re un VPN (sur Raspberry Pi)"},"content":{"rendered":"\n

Attention! Ce tutoriel est obsol\u00e8te dans la mesure o\u00f9 la solution plus l\u00e9g\u00e8re du proxy torrent peut vous convenir<\/a>!<\/p>\n\n\n\n

Ceux qui t\u00e9l\u00e9chargent (de mani\u00e8re tout \u00e0 fait l\u00e9gale, cela va sans dire)<\/em> via le r\u00e9seau BitTorrent le savent : certains sites requi\u00e8rent un ratio entre le contenu t\u00e9l\u00e9charg\u00e9 et le partage.
Ce que cela induit, c’est qu’il faut laisser “vivre” ses torrents et que comme, malheureusement, il se peut que le contenu ne soit pas si l\u00e9gal que \u00e7a – personne n’est \u00e0 l’abri! – on finisse par se faire toper par le successeur d’Hadopi qui se m\u00eale \u00e9videmment de tout ce qui le regarde au premier chef (et pas du tout de majors hollywoodiens, voyons).<\/p>\n\n\n\n

Bon, alors du coup, nous voil\u00e0 partis pour transformer un Raspberry Pi 3 qui dormait en Seedbox prot\u00e9g\u00e9e derri\u00e8re un VPN.<\/p>\n\n\n\n

Pr\u00e9requis<\/h2>\n\n\n\n

Un Raspberry Pi<\/strong> (ou un PC sous Linux, \u00e7a marche aussi) avec son OS install\u00e9 dessus
ATTENTION : ce Raspberry devant passer par un VPN, il est recommand\u00e9 de ne PAS lui faire faire autre chose, genre serveur Web : le VPN est certes configurable et le probl\u00e8me n’est pas insoluble, mais le tutoriel n’est pas pr\u00e9vu pour et, pour faire simple, le VPN foutra en l’air votre serveur Web en reroutant toutes les requ\u00eates vers lui… Donc, pensez \u00e0 s\u00e9parer, au moins dans un premier temps, Seedbox du reste.

Un SSD en USB<\/strong>, vraiment recommand\u00e9 car le lecteur de carte SD est absolument instable et peut vous foirer votre carte SD (c’est un d\u00e9faut tr\u00e8s connu des Raspberry Pi…)<\/p>\n\n\n\n

Un fournisseur de VPN<\/strong> capable de vous fournir un fichier OVPN<\/strong> (et ses certificats qui vont avec si besoin).

De la connaissance et de la d\u00e9brouillardise en Linux… Globalement, savoir acc\u00e9der \u00e0 votre Raspberry Pi sans difficult\u00e9 en ligne de commande.<\/p>\n\n\n\n

Proc\u00e9dure<\/h2>\n\n\n\n

1- Boot USB et mise \u00e0 jour de la bestiole<\/em><\/strong><\/h4>\n\n\n\n

Dans un premier temps, nous allons faire booter le Pi depuis le SSD USB. Avantage, j’ai \u00e9cum\u00e9 pour vous les Internets et je vous recommande chaudement de suivre la M\u00e9thode 2 de ce tutoriel que voici et qui r\u00e9pond parfaitement \u00e0 la probl\u00e9matique<\/a>. Ca fonctionne cr\u00e8me, je l’ai fait ce week-end. Bah alors.<\/p>\n\n\n\n

En ayant termin\u00e9 la M\u00e9thode 2, il convient maintenant de maximiser la taille du syst\u00e8me de fichiers. Logguez-vous en SSH sur votre Pi puis :<\/p>\n\n\n\n

sudo apt full-upgrade    \/\/ Met \u00e0 jour tous les paquets\nsudo rpi-update    \/\/ Met \u00e0 jour le firmware\nsudo reboot    \/\/ Active le nouveau firmware\nsudo raspi-config<\/pre>\n\n\n\n
Puis dans 6 – System options<\/strong>, choisissez l’option A1 – Expand filesystem<\/strong>.<\/p>\n\n\n\n
sudo reboot\nlsblk<\/pre>\n\n\n\n
Cette derni\u00e8re commande permet de s’assurer que le syst\u00e8me de fichier est bien mont\u00e9 sur le SSD. Par exemple, chez moi, cela donne :<\/p>\n\n\n\n
$ lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 111.8G 0 disk
\u2514\u2500sda1 8:1 0 111.8G 0 part \/
mmcblk0 179:0 0 14.4G 0 disk
\u251c\u2500mmcblk0p1 179:1 0 256M 0 part \/boot
\u2514\u2500mmcblk0p2 179:2 0 14.2G 0 part<\/pre>\n\n\n\n
La mise au format est p\u00e9nible mais on voit que \/<\/strong> (le syst\u00e8me de fichiers) est bien mont\u00e9 sur sda1<\/strong>, donc mon SSD. S’il \u00e9tait mont\u00e9 sur mmcblk0p2<\/strong>, \u00e7’aurait \u00e9t\u00e9 sur la carte SD. Donc : youpi.<\/p>\n\n\n\n
2- Mise en place initiale du VPN<\/em><\/strong><\/h4>\n\n\n\n
sudo apt install openvpn<\/pre>\n\n\n\n
Placez ensuite votre fichier .ovpn dans un endroit de votre connaissance; dans mon exemple, il sera dans \/etc\/openvpn\/client\/profil.ovpn<\/strong> .
Armez-vous de vos login et mot de passe pour la connexion, puis :<\/p>\n\n\n\n
sudo openvpn --config \/etc\/openvpn\/client\/profil.ovpn<\/pre>\n\n\n\n
Normalement, vous devriez entrer \u00e0 la main votre login et votre de passe, et l’id\u00e9e serait d’arriver \u00e0 la phrase “Initialization Sequence Completed”<\/strong><\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Une fois rendu l\u00e0, f\u00e9licitations, le VPN est \u00e9tabli : le plus dur est fait.<\/p>\n\n\n\n
Quittez en appuyant sur ctrl-X, et nous allons maintenant automatiser le login et le mot de passe.
Dans un fichier quelconque (alors attention, niveau s\u00e9curit\u00e9 c’est moyen), nous allons remplir le login et le mot de passe du vpn, par exemple dans \/etc\/openvpn\/client\/credentials.txt<\/strong>.<\/p>\n\n\n\n
sudo nano \/etc\/openvpn\/client\/credentials.txt<\/pre>\n\n\n\n
Sur la premi\u00e8re ligne, entrez le login, et sur la seconde (via un b\u00eate appui sur Enter, pas de subtilit\u00e9 autre) votre mot de passe.
Genre :<\/p>\n\n\n\n
monlogin\nmonmotdepasse<\/pre>\n\n\n\n
Puis ctrl-X et Y pour quitter et sauvegarder.
Suite \u00e0 quoi, nous allons tester la commande pour l’autologin :<\/p>\n\n\n\n
sudo openvpn --config \/etc\/openvpn\/client\/profil.ovpn --auth-user-pass \/etc\/openvpn\/client\/credentials.txt<\/strong><\/pre>\n\n\n\n
Cette fois-ci, vous devriez atteindre “Initialization Sequence Completed” sans rien avoir \u00e0 indiquer<\/strong>.
Si tel n’est pas le cas, regardez ce qui a foir\u00e9 dans la myriade de lignes indiqu\u00e9es au lancement d’OpenVPN.<\/p>\n\n\n\n
Quittez OpenVPN avec un bon ctrl-X<\/strong>.<\/p>\n\n\n\n
Information importante : ici, nous avons lanc\u00e9 le VPN qui tourne au premier plan, ce qui signifie qu’on ne peut plus rien faire dans la session SSH courante.
Ne testez pas \u00e7a tout de suite, mais l’id\u00e9e pour faire en sorte qu’OpenVPN tourne en arri\u00e8re-plan est d’ajouter le symbole & en fin de commande :<\/p>\n\n\n\n
sudo openvpn --config \/etc\/openvpn\/client\/profil.ovpn --auth-user-pass \/etc\/openvpn\/client\/credentials.txt &<\/strong><\/pre>\n\n\n\n
Ceci nous sera fort utile un peu plus tard.<\/p>\n\n\n\n
3- Script, mon ami<\/em><\/strong><\/h4>\n\n\n\n
Taper des commandes, c’est bien, mais les raccourcir, c’est mieux. Nous allons \u00e9crire un petit script (que nous allons enrichir apr\u00e8s) permettant de lancer le VPN.
Ceci permet notamment de lancer le VPN au d\u00e9marrage du Pi, ainsi que de lui coller d’autres \u00e9tapes dont nous aurons besoin plus tard, \u00e0 iso-nombre de caract\u00e8res tap\u00e9s.<\/p>\n\n\n\n
Pour l’exemple, nous allons cr\u00e9er le script \/etc\/openvpn\/client\/launchvpn.sh<\/strong> :<\/p>\n\n\n\n
sudo nano \/etc\/openvpn\/client\/launchvpn.sh<\/pre>\n\n\n\n
Voici ce que nous allons lui marquer :<\/p>\n\n\n\n
#!\/bin\/bash

sudo openvpn --config \/etc\/openvpn\/client\/profil.ovpn --auth-user-pass \/etc\/openvpn\/client\/credentials.txt<\/pre>\n\n\n\n
Puis ctrl-X et Y pour enregistrer.
Suite \u00e0 quoi, nous allons autoriser l’ex\u00e9cution du script et le lancer :<\/p>\n\n\n\n
sudo chmod +x \/etc\/openvpn\/client\/launchvpn.sh
\/etc\/openvpn\/client\/launchvpn.sh<\/pre>\n\n\n\n
Si vous arrivez encore \u00e0 “Initialization Sequence Completed”, c’est un nouveau succ\u00e8s et vous pouvez de nouveau ctrl-X pour quitter le VPN.<\/p>\n\n\n\n
4- La joie des iptables<\/em><\/strong><\/h4>\n\n\n\n
Le VPN, c’est bien, \u00e0 un d\u00e9tail pr\u00e8s : si vous laissez le VPN connect\u00e9 et que vous quittez votre session SSH… Vous ne pourrez plus acc\u00e9der au Raspberry Pi, puisque votre connexion (nouvelle) sera renvoy\u00e9e dans le VPN… C’est ce qu’on lui demande, mais l\u00e0, \u00e7a nous ennuie.<\/p>\n\n\n\n
Afin de d\u00e9gager le port SSH du VPN, nous allons utiliser la fonction iptables et routes offertes par Linux.
Note : par d\u00e9faut, le port SSH est 22<\/strong>. Si vous l’avez chang\u00e9, eh bah… Changez dans le script. Ca fait parfaitement sens.<\/p>\n\n\n\n
Nous allons \u00e9galement partir du principe que notre IP publique (que vous pouvez r\u00e9cup\u00e9rer sur http:\/\/www.whatismyip.com<\/a>) est 1.2.3.4<\/strong>.
De m\u00eame, nous allons partir du principe que votre adresse IP locale (celle entre votre box internet et vous) est 192.168.0.1<\/strong>.<\/p>\n\n\n\n
Editez notre script de plus t\u00f4t :<\/p>\n\n\n\n
sudo nano \/etc\/openvpn\/client\/launchvpn.sh<\/pre>\n\n\n\n
Et modifiez le script de la sorte :<\/p>\n\n\n\n
#!\/bin\/bash\n\nip rule add table 128 to 1.2.3.4<\/strong>\nip route add table 128 default via 192.168.0.1<\/strong>\niptables -A INPUT -d 1.2.3.4<\/strong> -p tcp --dport 22<\/strong> -j ACCEPT\niptables -A INPUT -d 1.2.3.4<\/strong> -j DROP\n\nsudo openvpn --config \/etc\/openvpn\/client\/profil.ovpn --auth-user-pass \/etc\/openvpn\/client\/credentials.txt &<\/strong><\/pre>\n\n\n\n
Suite \u00e0 quoi, ctrl-X puis Y, comme toujours.
Relancez le script maintenant, puis ouvrez une autre session SSH vers votre Pi via un autre terminal.
Normalement, vous devriez pouvoir vous y connecter sans aucun probl\u00e8me, en d\u00e9pit du VPN!<\/p>\n\n\n\n
Pour couper le VPN, utilisez la commande :<\/p>\n\n\n\n
sudo pkill openvpn<\/pre>\n\n\n\n
Ce que je vous invite \u00e0 faire imm\u00e9diatement.<\/p>\n\n\n\n
5- Transmission<\/h4>\n\n\n\n
Le client BitTorrent que nous allons utiliser est transmission-daemon. Du coup :<\/p>\n\n\n\n
sudo apt install transmission-daemon<\/pre>\n\n\n\n
Ensuite, nous allons cr\u00e9er un dossier, s’il n’existe pas, pour le stockage des torrents t\u00e9l\u00e9charg\u00e9s :<\/p>\n\n\n\n
sudo mkdir \/downloads && sudo chmod 777 \/downloads -R<\/pre>\n\n\n\n
Notez que le mode 777 n’est vraiment pas recommand\u00e9, mais il  nous permet d’avoir la paix le temps de la mise en route de notre seedbox sans se pr\u00e9occuper des droits d’acc\u00e8s. Il faudra penser \u00e0 les changer apr\u00e8s…<\/p>\n\n\n\n
Ceci fait, nous allons \u00e9diter la configuration de Transmission via :<\/p>\n\n\n\n
sudo nano \/var\/lib\/transmission-daemon\/info\/settings.json<\/pre>\n\n\n\n
Il existe plusieurs niveaux de s\u00e9curisation du daemon transmission, pour ma part, je vote pour du simple et funky, mais pas s\u00e9curis\u00e9.
Voici les param\u00e8tres que j’ai chang\u00e9s dans mon settings.json<\/strong> :<\/p>\n\n\n\n
\"download-dir\": \"\/downloads\",
\"rpc-host-whitelist-enabled\": false,
\"rpc-whitelist-enabled\": false,<\/pre>\n\n\n\n
La premi\u00e8re ligne est bien entendu le dossier de destination que nous avons cr\u00e9\u00e9 ci-dessus, et les seconde et troisi\u00e8me lignes permettent \u00e0 n’importe quel appareil de se connecter sur l’interface sans faire partie d’une liste des invit\u00e9s autoris\u00e9s.<\/p>\n\n\n\n
sudo service transmission-daemon restart<\/pre>\n\n\n\n
Attendu que votre IP locale est 192.168.1.100, vous pouvez donc vous connecter via votre navigateur \u00e0 : http:\/\/192.168.1.100:9091\/transmission<\/strong>
Et entrez le login transmission<\/strong>, ainsi que le mot de passe transmission<\/strong><\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Si vous avez l’image ci-dessus, alors tout va bien!<\/p>\n\n\n\n
Hyper important : par d\u00e9faut, Transmission \u00e9coute sur le port 9091. Il est crucial de proc\u00e9der au port forwarding de ce port sur votre box Internet vers votre Pi! Attendu que chaque box est diff\u00e9rente, Google sera votre ami, mais attention \u00e0 ne pas oublier ce d\u00e9tail : \u00e7a aura l’air de marcher… Mais en fait , tr\u00e8s mal.<\/p>\n\n\n\n
Vous pouvez maintenant ajouter un torrent via votre site favori et v\u00e9rifier que tout fonctionne.
Si votre torrent ne se t\u00e9l\u00e9charge pas pass\u00e9 les premiers pourcents, vous devriez avoir un message d’erreur dans Transmission qui indique un probl\u00e8me de permission : votre dossier \/downloads<\/strong> (ou autre) ne dispose pas des bonnes autorisations!<\/p>\n\n\n\n
6- Up\/Down : le killswitch<\/h4>\n\n\n\n
Maintenant que nous avons un VPN et un client Torrent qui fonctionne, nous allons lier les deux via un killswitch, c’est-\u00e0-dire une action automatique permettant dans notre cas de couper les torrents en cas de perte du VPN.<\/p>\n\n\n\n
Pour cela, OpenVPN dispose d’une astuce \u00e0 impl\u00e9menter : up et down.
Ces options permettent, l’\u00e9tablissement (up) et \u00e0 la coupure (down) du VPN, d’ex\u00e9cuter un script pour faire basiquement ce que l’on veut.<\/p>\n\n\n\n
Dans ce but, nous allons cr\u00e9er deux scripts : vpnup.sh<\/strong> et vpndown.sh<\/strong>.<\/p>\n\n\n\n
sudo touch \/etc\/openvpn\/client\/vpnup.sh && sudo chmod +x \/etc\/openvpn\/client\/vpnup.sh
sudo touch \/etc\/openvpn\/client\/vpndown.sh && sudo chmod +x \/etc\/openvpn\/client\/vpndown.sh
sudo nano \/etc\/openvpn\/client\/vpnup.sh<\/pre>\n\n\n\n
Copiez le contenu suivant dans vpnup.sh :<\/p>\n\n\n\n
#!\/bin\/bash\necho \"VPN up : starting all torrents\"\nsudo service transmission-daemon start\ntransmission-remote --auth \"transmission:transmission\" -tall --start<\/pre>\n\n\n\n
C’est un peu brutal, mais nous d\u00e9marrons le service transmission-daemon, puis nous d\u00e9marrons tous les torrents qui y sont couramment associ\u00e9s.
Il est possible de faire plus dans le s\u00e9lectif, mais il faudra tuner le script en fonction, et \u00e7a, c’est votre affaire \ud83d\ude00<\/p>\n\n\n\n
Ctrl-X puis Y, puis :<\/p>\n\n\n\n
sudo nano \/etc\/openvpn\/client\/vpndown.sh<\/pre>\n\n\n\n
Et copiez-y :<\/p>\n\n\n\n
#!\/bin\/bash\necho \"VPN down : stopping all torrents!\"\ntransmission-remote --auth \"transmission:transmission\" -tall --stop\nsudo service transmission-daemon stop<\/pre>\n\n\n\n
Toujours dans le brutal : \u00e0 la coupure du VPN, on arr\u00eate tous les torrents et on arr\u00eate m\u00eame le service transmission-daemon pour bonne mesure.
La raison \u00e0 \u00e7a est que transmission-remote envoie une commande \u00e0 transmission-daemon, lequel r\u00e9pond “accept\u00e9” si tout se passe bien…
Mais quid de quand la commande, pour une raison ou pour une autre, est refus\u00e9e?
Comme la priorit\u00e9 est de couper tout t\u00e9l\u00e9chargement si le VPN n’est pas actif, on se donne les moyens de ses envies!<\/p>\n\n\n\n
Prochaine chose \u00e0 faire : autoriser OpenVPN \u00e0 appeler des scripts \u00e0 l’\u00e9tablissement et \u00e0 la coupure du VPN. En effet, il existe des options dans les fichiers .ovpn \u00e0 indiquer pour explicitement autoriser l’ex\u00e9cution de scripts.
Reprenons notre fichier ovpn :<\/p>\n\n\n\n
sudo nano \/etc\/openvpn\/client\/profil.ovpn<\/pre>\n\n\n\n
Puis cherchez \u00e9ventuellement une ligne optionnelle indiquant script-security<\/strong>. Cette ligne peut ne pas exister, auquel cas rajoutez-la (l’emplacement importe peu, j’ai mis la mienne apr\u00e8s le premier bloc de param\u00e8tres)<\/em>, ou modifiez l’existante de la sorte :<\/p>\n\n\n\n
script-security 2<\/pre>\n\n\n\n
Enregistrez et fermez.
Maintenant, nous allons ajouter les appels \u00e0 ces deux petits scripts \u00e0 notre script de lancement du VPN :<\/p>\n\n\n\n
sudo nano \/etc\/openvpn\/client\/launchvpn.sh<\/pre>\n\n\n\n
Et modifiez-le de la mani\u00e8re suivante :<\/p>\n\n\n\n
#\/bin\/bash
ip rule add table 128 to 1.2.3.4
ip route add table 128 default via 192.168.0.1
iptables -A INPUT -d 1.2.3.4 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -d 1.2.3.4 -j DROP
sudo openvpn --config \/etc\/openvpn\/client\/profil.ovpn \\
--auth-user-pass \/etc\/openvpn\/client\/credentials.txt \\
--up \/etc\/openvpn\/client\/vpnup.sh\\
--down \/etc\/openvpn\/client\/vpndown.sh &<\/pre>\n\n\n\n
(l’antislash permet d’\u00e9crire une commande sur plusieurs lignes)
Ctrl-X puis Y, et nous voil\u00e0 presque arriv\u00e9s \u00e0 la fin!<\/p>\n\n\n\n
Reste \u00e0 faire<\/h2>\n\n\n\n
En vrac, il reste :
– A ouvrir sur la box internet et v\u00e9rifier que le port 9091 fonctionne, ce qui passera par l’ajout probable de la ligne :<\/p>\n\n\n\n
iptables -A INPUT -d 1.2.3.4 -p tcp --dport 9091 -j ACCEPT<\/pre>\n\n\n\n
dans launchvpn.sh<\/strong>,
– automatiser le lancement de launchvpn au d\u00e9marrage, via le crontab root (sudo crontab -e).
– pourquoi pas le transfert des donn\u00e9es depuis la seedbox vers un autre serveur.<\/p>\n","protected":false},"excerpt":{"rendered":"
Attention! Ce tutoriel est obsol\u00e8te dans la mesure o\u00f9 la solution plus l\u00e9g\u00e8re du proxy torrent peut vous convenir! Ceux qui t\u00e9l\u00e9chargent (de mani\u00e8re tout \u00e0 fait l\u00e9gale, cela va sans dire) via le r\u00e9seau BitTorrent le savent : certains sites requi\u00e8rent un ratio entre le contenu t\u00e9l\u00e9charg\u00e9 et le […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5,8],"tags":[],"class_list":["post-362","post","type-post","status-publish","format-standard","hentry","category-linux","category-raspberry-pi"],"_links":{"self":[{"href":"https:\/\/blog.nibelheim.fr\/index.php?rest_route=\/wp\/v2\/posts\/362","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.nibelheim.fr\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.nibelheim.fr\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.nibelheim.fr\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.nibelheim.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=362"}],"version-history":[{"count":10,"href":"https:\/\/blog.nibelheim.fr\/index.php?rest_route=\/wp\/v2\/posts\/362\/revisions"}],"predecessor-version":[{"id":425,"href":"https:\/\/blog.nibelheim.fr\/index.php?rest_route=\/wp\/v2\/posts\/362\/revisions\/425"}],"wp:attachment":[{"href":"https:\/\/blog.nibelheim.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=362"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.nibelheim.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=362"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.nibelheim.fr\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=362"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}