Jeff777

Bienvenue @aloysbr et maintenant quelle en est ton utilisation ? 😉

Bonjour, Problème résolu donc. Bonne continuation @Ludo91

Bonjour, je suppose que cela ne fonctionne pas si tu héberges ta zone ?

Bonjour, Par curiosité, question pour ceux qui n'ont pas activé la màj DSM 7.0.1-42218 : avez-vous accès à la dernière màj du paquet SMB (4.10.18-0316)?

Bonjour @Vaad Tu n'as pas suivi le tuto ! L'option de redirection automatique ne doit pas être utilisée elle fait bugger le proxy inversé. Il faut utiliser un fichier .htaccess. A moins que le problème soit corrigé mais ce serait un scoop. dans le fichier de configuration du client d'openvpn tu peux mettre un reverse proxy à la place de ton adresse IP. Le reverse proxy sera configuré https://vpn.ndd ==>http://iplocalnas:1194 Oui c'est possible. Pour faire cela il faut bloquer l'accès au DSM et à certaines applications sensibles du Nas en activant le contrôle d'accès sur les entrées correspondantes du proxy inversé. Il faut sélectionner un profil, paramétré au préalable, qui permet la connexion aux IP locales et aux Ip vpn (10.0.0.0/8). Pour les applications que l'on veut laisser libres d'accès ( accès cependant piloté par les droits + MdP) on ne configure pas le contrôle d'accès. Donc un utilisateur qui à un client VPN correctement paramétré pourra se connecter à toutes les applications (à la condition d'avoir les droits pour appli + MdP). Un utilisateur sans VPN pourra se connecter à toutes les applications sans contrôle d'accès (à la condition d'avoir les droits pour appli + MdP). Le profil d'accès peut même restreindre l'accès à certains périphériques du réseau local. Je ne crois pas. Quel en serait l'intérêt ?

Maintenant tu vas pouvoir te présenter 😉 ici

Bienvenue @ja86

Suite et fin : ça ne fonctionne pas non plus comme cela. Je vais rester avec les profils qui fonctionnent. Merci à vous deux.

@oracle7 j'avais déjà fait et je viens de le refaire. En fait je pense que l'appli retrouve le certificat, soit dans le fichier de conf (à noter que si j'enlève la partie certificat ça ne marche plus du tout), soit par mon proxy inversé ....je vais tenté l'adresse IP

justement ça je ne sais pas où ils sont. Je cherche. Le reste j'avais fait 😒

Je n'ai rien de tel 😕. Bon après tout il trouve le certificat et c'est bien là l'essentiel.

J'ai même essayé un mot de passe vide. Il me reste "CyberFrestunâne" ...ah zut y a un accent 🤣 Sérieusement je crois que le problème vient de ce fichier cert qui est sélectionné, OpenVPN l'a trouvé (je ne sais pas où) et il refuse toute alternative.

j'ai aussi essayé cela.

Free économise les adresses IPV4 et mutualise entre plusieurs clients en distribuant des tranches de port (et non de porc 🤣). Il est possible que le port 1194 ne soit pas disponible pour toi. Le plus simple c'est de réclamer une adresse full-stack (avec tous les ports). Il est possible que cela change ton adresse IP.

Il faut vérifier qu'il a bien une adresse IP fullstack et à défaut la demander.

Non que des lettres majuscules minuscules et des chiffres !

je télécharge le light en .exe je l'installe en décochant toute les lignes et en cliquant sur "finish" c'est là où je m'étais trompé la première fois. Comme rien ne se passait je croyais qu'il n'avait pas été installé. En fait il faut le chercher dans le menu démarrer Je lance "Win64 openssl command prompt" je me déplace jusqu'au répertoire où se trouvent mes certificats que j'ai importés du nas. Je lance la commande"openssl pkcs12 -export -out certificat.p12 -inkey privkey.pem -in cert.pem -certfile chain.pem". Après avoir mis deux fois un mot de passe j'obtiens un certificat .p12 dans le répertoire précédent (tu parles de .pfx je vais peut-être essayer ce format qui avait fonctionné avec l'alternative openssl que j'avais utilisée.) Je transfert ce certificat sur la tablette là où se trouve le fichier de config openvpn. Je fais un nouveau profil avec le fichier de config openvpn et c'est là qu'avec l'option sélectionner un certificat p12 ou pfx ça foire avec le mot de passe utilisé précédemment ! Edit : même chose avec le .pfx

Pour info. Sur Android lorsque l'on crée un nouveau profile puis sélectionne "select certificate" au lieu de "continue" il propose un certificat appelé cert avec ton nom de domaine en dessous ou bien de sélectionner un certificat pfx ou p12. Si je prends la deuxième option et sélectionne le p12 créé sur le PC avec openssl puis mets le MdP qui m'a servi à faire le certificat il refuse mon MdP ! Si je fais "autoriser" il prend immédiatement en compte le certificat cert qui est coché plus haut et que l'on ne peut d'ailleurs pas décocher. Lors de l'utilisation de ce profil la fois suivante on est connecté directement (éventuellement en demandant le MdP utilisateur si on ne l'a pas enregistré lors de la création du profile). Ma question où se trouve ce certificat cert sur la tablette ? Est-ce finalement celui qui figure dans le fichier de config?

Salut @CyberFr Si ça peut te consoler depuis que je me suis aperçu qu'OpenSSL avait finalement été installé sur mon PC j'ai voulu recréer un nouveau fichier .p12 avec un nouveau mot de passe. Je l'obtiens bien mais impossible de le prendre en compte sur la tablette. Pour refaire un profil après avoir supprimé le précédent je sélectionne le nouveau px12 puis donne le nouveau mot de passe et il est refusé ! Chacun sa croix 😒

Edit: Non cela ne vient pas de mon Windows. En relisant ce qui est écrit : The application may be launched by selecting the installed shortcuts Click "Finish" to exit Setup il est évident que si tu ne sélectionnes rien tu quittes l'installation Re-edit : et pourtant le programme a été installé silencieusement. 😆

Elle l'est peut-être si l'ancienne version est déjà installée. Tu penses bien que j'ai essayé avec la case décochée ...il ne se passe rien mais peut-être que cela vient de mon windows. Je regarderai demain. et si je laisse la case cochée : Merci

Elle l'était. En utilisant ton lien il fallait cocher une option pour télécharger l'appli et ça m'a emmené sur Paypal le lien est dans ce post : et j'obtiens ceci en installant l'appli : Depuis que tu as mis ce lien il y a eu tellement de téléchargement que le développeur a eu idée de faire payer 😉

Je ne les ai pas mis. mon fichier de config : dev tun tls-client remote-cert-tls server auth-nocache remote openvpn.ndd 1194 # reverse proxy redirect-gateway def1 dhcp-option DNS 78.xxx.xxx.xxx dhcp-option DNS 2a01:... pull proto udp script-security 2 comp-lzo reneg-sec 0 cipher AES-256-CBC auth SHA256 auth-user-pass <ca> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </ca> Sur Android lorsque j'ai eu la notification continuer ou installer un certificat .pfx j'ai installé ce certificat (cert.pem et privkey.pem convertis) Je n'ai pas de notification dans les logs concernant une absence de certificat externe. @CyberFr en quoi ta démarche est-elle différente..si elle l'est !..tu n'es pas obligé de répondre si tu en as ras la casquette 😉

Quand j'ai aidé Shad pour développer le script de renouvellement ça m'a permis de faire plusieurs essais de renouvellement en remettant les anciens fichiers.

Je viens de vérifier (je garde une trace de mes certificats). Les certificats cert.pem et ndd.cer (fichiers textes qui ne diffèrent que par l'extension) sont identiques entre eux et changent dans les dernières lignes. Les certificats ca.cer et chain.pem (fichiers textes qui ne diffèrent que par l'extension) sont identiques entre eux et ne changent pas lors du renouvellement. Ils sont composés de deux certificats. Les certificats fullchain.pem et fullchain.cer (fichiers textes qui ne diffèrent que par l'extension) sont composés de 3 certificats ceux de cert.pem et de chain.pem Les clés privkey et ndd.key (fichiers textes qui ne diffèrent que par l'extension) ne changent pas Merci de me confirmer ....ou non... par vos observations. J'ai profité de cette discussion pour reprendre la config de Openvpn sur ma tablette Android par utilisation du fichier .pfx au lieu de faire "continuer". J'ai trouvé une méthode pour convertir mon certificat dans un message de @oracle7 avec openssl mais il me fallait prendre un abonnement. J'ai finalement trouvé une alternative gratuite qui fonctionne (https://www.sslshopper.com/ssl-converter.html). EDIT : ne pas utiliser suivre la méthode d'Oracle7 J'ai finalement installé VPN serveur sur le deux nas et peux les joindre avec deux config différentes par proxy inverse.