TuringFan

@oracle7 Ma situation à date : J'ai mis à jour les paquets VPN Server et DNS Server J'ai désactivé le L2TP/IPSec et l'OpenVPN puis j'ai réactivé les deux J'ai redémarré mon client J'ai indiqué l'adresse locale de mon DNS dans la partie "Interface principale" du menu DHCP du centre réseau Je n'ai indiqué aucune adresse dans la partie "Configuration manuelle du DNS" du menu DHCP du centre réseau DHCP du NAS désactivé J'ai indiqué l'IP de mon RT dans le DNS du L2TP (config sur VPN Server) et de OpenVPN (ficher de config) Maintenant mon L2TP à bien accès à internet et à mon RT avec monRT.ndd.tld mais pour accéder à mon NAS seul l'IP en 10. fonctionne, impossible d'y accéder avec monNAS.ndd.tld : incompréhensible ! L'OpenVPn à bien accès à Internet et à mon NAS avec l'IP en 10. Bref, j'ai du mal à identifier les paramètres à modifier ...

Ok moi je l'avais laissé commenté ce qui faisait que mon client OpenVPN utilisait le DNS imposé par le serveur VPN du NAS donc celui de mon réseau local donc celui imposé par le DHCP de mon routeur donc mon NAS ... Par contre as tu essayé de jouer avec le commentaire de redirection du trafic car je crois que les deux peuvent être liés dans certains cas. Merci pour l'article.

@oracle7 Je confirme, je viens de faire le test avec les deux protocoles L2TP/IPSec et OpenVPN : en imposant le DNS de Google cela fonctionne pour l'accès internet et l'accès au NAS mais uniquement avec l'IP VPN en 10. Tu peux le changer dans le fichier de configuration en dé-commentant la ligne dhcp et en indiquant l'IP du DNS : en revanche sans ton DNS, adieu la connexion en monNAS.ndd.tld ... Sinon les applis sur ipad/iphone (mais j'imagine que c'est pareil sur Android) possèdent une option DNS fallback qui quand elle est activée redirige automatiquement vers le DNS google Pourquoi ? J'avais réussi à trouver un arbitrage clair la dessus justement, ça m’intéresse.

@oracle7 et @Juan luis Grosse avancée de mon côté. J'ai remarqué qu'en changeant imposant le DNS manuellement du L2TP par celui de Google 8.8.8.8 j'ai (i) accès à internet depuis mon client et (ii) accès à mon NAS avec l'adresse du serveur VPN en 10. ! Incapable de correctement interpréter cela seul mais visiblement ça vient de notre DNS Server ...

@oracle7 et @Juan luis, Pour info j'ai modifié mon fichier de configuration de mon OpenVPN pour remplacer monNAS.ndd.tld par l'IP privée de mon NAS et j'ai essayé de monter le tunnel en local : ça fonctionne et j'ai bien accès au VPN, un problème de redirection des ports et donc à priori à exclure.

Sur un iPhone en standard, oui je vois bien l'IP en 10. et la connexion sur le serveur VPN du NAS. Comportement analogue à connexions mes erratiques que j'observe avec mes clients en L2TP/IPSec : je me demande si le sujet vient du NAS (qui en direct sur la Livebox se comportait bien) ou du RT (qui possède des options de blocage / autorisations des protocoles VPN) ? J'ai rien trouvé sur le sujet ...

Pardon j'ai oublié "Open" dans mon post : c'est rajouté. Sur mon client L2TP/IPSec : pas d'option, le trafic est par défaut entièrement redirigé Sur mon client OpenVPN : je l'ai configuré pour que ce soit la même chose

Je crois que par défaut L2TP/IPSec redirige tout le trafic et j'ai également dé-commenté "redirect-gateway def1" dans le fichier de config de mon client OpenVPN : bref sur le papier tout mon trafic est redirigé ce qui devrait mepermettre d'atteindre mon NAS avec son IP privée (en plus de l'adresse du serveur VPN en 10.). Sur la config, j'ai pensé la même chose mais les tunnels se montent bien ... Je ne sais pas trop comment faire là ?

@Juan luis Merci pour ta réponse, je n'ai effectivement aucune réponse à mes Pings en VPN, aucun problème en local. D'où cela peut il provenir ? Autre chose que j'ai remarqué c'est que sur mon iPad en local (après avoir fait un on/off du mode avion pour réinitialiser le cache DNS) le DNS est un serveur en 213. qui ne me dit rien alors que le DNS indiqué par le nslookup de mon PC (sur le même réseau et après un flush DNS) indique bien mon NAS ... Pourtant mon iPad trouve bien mon NAS (en local toujours) avec monNAS.ndd.tld : bizarre non ?

Bonjour, Grâce à ce super tuto j'ai configuré avec succès un serveur VPN sur mon NAS pour des clients L2TP/IPSec et OpenVPN. Tout fonctionnait bien et depuis peu voilà ce qui se passe : En local depuis mon PC j'accède à internet et à mon NAS via son IP privée et/ou monNAS.ndd.tld Sur ce même PC en partage de connexion avec mon iPhone/iPad je lance OpenVPN et le tunnel se monte correctement (confirmé par le client et visible sur le NAS dans la fenêtre Liste de connexions dans VPN Server), je peux accéder à internet (avec l'IP externe de mon routeur) mais je ne peux plus accéder à mon NAS via son IP privée et/ou monNAS.ndd.tld Depuis un iPhone/iPad en 4G je lance la connexion L2TP/IPSec et le tunnel se monte de façon erratique : à 5 min d'intervalle la connexion peut échouer ou au contraire correctement se faire (dans ce cas confirmé par le client et visible sur le NAS dans la fenêtre Liste de connexions dans VPN Server), pas d'accès à internet et pas d'accès à mon NAS via son IP privée et/ou monNAS.ndd.tld Depuis un iPhone/iPad en 4G je lance OpenVPN et le tunnel se monte correctement (confirmé par le client et visible sur le NAS dans la fenêtre Liste de connexions dans VPN Server), je peux accéder à internet (avec l'IP externe de mon routeur) mais je ne peux plus accéder à mon NAS via son IP privée et/ou monNAS.ndd.tld Edit : quand je dis "pas de connexion internet" ou "pas d'accès au NAS" cela signifie "chargement infini" de la page puis un message d'erreur du type "timed out" NB Pour information pour NAS est derrière un RT Synology lui-même en DMZ de ma Livebox. Le ports 500, 4500 et 1194 en UDP sont configurés de la même façon (règle NAT sur la Livebox, transmission de port sur le RT, ouvert sur le RT, ouvert sur le NAS) et le port 1701 en UDP n'est ouvert que sur le NAS. Test fait avec ou sans l'option passerelle multiple activée. Sauf erreur de ma part, je crois avoir lu que @oracle7 a u a eu un problème similaire ? Pourriez-vous svp m'aider car je suis un peu désemparé face à ce problème.

Merci

Bonjour @Juan luis Pour le coup je le vois plus come une contrainte qu'un véritable choix. Mon objectif est toujours le même : - Accéder à mon NAS et mon RT exclusivement en local ou en VPN : il faut monter un serveur VPN sur l'un des deux - Configurer mon NAS en client VPN : il faut activer l'option passerelle multiple (cf. cet article) - Accéder à mes appareils avec un monAPPAREIL.ndd.tld en local et en VPN : il faut apparemment désactiver l'option des passerelles multiples (cf. ce post) Du coup je me dis que la seule solution qui me reste est de mettre le serveur VPN sur le RT et de configuerer le NAS en client VPN. Si tu vois une autre méthode je suis preneur ! As tu des exemples ?

Merci, du coup pour que monRT.ndd.tld pointe vers https://192.168.x.y:8001 je dois installer webstation et ensuite comment dois-je le paramétrer ? Merci d'avance @Kramlech

Effectivement, comme pour @oracle7 j'ai l'impression que cela amène une complexité supplémentaire. Le problème de fond pour moi (sauf si je comprends mal) c'est que Fenrir indique explicitement (i) de ne jamais ouvrir sur l’extérieur le port 1701 (il faut le protéger derrière un ou plusieurs niveaux de pare-feu) et (ii) d'ouvrir le port 1701 sur le serveur VPN. Or dans notre cas (serveur VPN sur un RT en DMZ de la Livebox) si j'ouvre le port 1701 alors le serveur VPN fonctionnera mais le port sera exposé à l’extérieur (car pas de pare-feu sur la Livebox puisque la DMZ est transparente) mais si je n'ouvre pas le port 1701 pour le protéger de l’extérieur alors c'est le serveur VPN qui ne fonctionnera pas. Que dois-je faire @Juan luis ?

Merci pour les explications. Mais je suis donc le seul à ne pas avoir de NAS "+" et à me poser cette question de VPN RT vs. NAS ?

Tu as raison : j'ai continué ici. Bonjour @Kramlech, Merci pour ta réponse. Qu'est ce que webstation et comment l'utiliser ? J'ai aussi remarqué qu'avec le ndd.eu de mon routeur, en plus du port qui se met par défaut sur 5001 au lieu de 8001 le https ne se met pas et reste en http ce qui créée une erreur "bad request" dans mon navigateur. En bref en tapant monNAS.ndd.eu tout roule tout seul (https en préfixe et :5001 en suffixe) et en tapant monRT.ndd.eu rien ne tourne bien (http au lieu de https en préfixe et :5001 au lieu de 8001 en suffixe). Merci d'avance,

@Juan luis Qu’est ce que l’effet 22 Asnières ? Oui j’ai la fibre et je pense effectivement à avoir mon NAS comme client d’un tiers. Sur les ports la question concerne spécifiquement le 1701. Que dois je faire, l’ouvrir ou le fermer ? En effet Fenrir dit qu’il faut l’ouvrir sur la machine qui héberge le serveur VPN (le NAS pour Fenrir, le routeur pour moi) mais qu’il faut le fermer sur ke routeur (qui est aussi la machine avec le serveur VPN chez moi). @oracle7 J’ai pour ma part HMA en fournisseur VPN qui fait très bien le job. Comme tu le sais j’ai par ailleurs un serveur VPN sur mon NAS et en cochant la bonne option (« autoriser LAN » ou un truc du style) je te confirme que les clients ont bien accès aux autres appareils de mon LAN dont mon routeur. Mais comme déjà évoqué je pense qu’il sera difficile d’avoir serveur VPN et client VPN sur la même machine car selon les lectures « passerelles multiple » doit être activé (ce qui génère d’autres problèmes) et les protocoles serveur et client doivent être différents ce qui t’imposes de choisir OpenVPN ou L2TP/IPSec pour tes clients (ce qui ne m’arrange pas). Enfin le paquet VN du routeur permets d’utiliser beaucoup plus de protocoles (dont du web VPN). Cordialement, @oracle7 je poursuis ici notre conversation VPN initiée sur le sujet Certificat. Erreur de ma part c'est bien en LAn que je peux accéder au NAS en IP privée et non avec le VPN. Merci pour le ".tld".

Bonsoir et merci pour vos réponses. Tu as raison modulo le fait que je souhaiterais accéder à d'autres appareils (donc d'autres IP) mais aussi et surtout que je souhaite relever le challenge technique "pour le sport" et pour apprendre. Oui du coup, Oui monNAS.ndd.eu aboutie en LAN grâce à un DNS installé sur mon NAS et sur lequel sont renvoyés tous mes périphériques via mon RT (le DHCP du routeur indique comme DNS celui du NAS). Question bête : que veut dire "tld" ? Même comportement : Je peux me connecter sans problème depuis mon LAN avec monNAS.ndd.eu et/ou l'IP privée du NAS en 192. Je déconnecte ensuite mon PC de mon WIFI pour passer par le partage de connexion de mon smartphone et lance le VPN, le montage se fait et la connexion est bien visible dans le paquet VPN Server du NAS, j'ai bien accès à internet mais impossible de me connecter au NAS que ce soit via monNAS.ndd.eu, via son IP privée en 192. ou via l'IP VPN en 10. : j'ai moi aussi un chargement de la page qui débute sans jamais se terminer. A noter que le comportement est similaire en OpenVPN ou en L2TP/IPSec et que ces deux tunnels sont sur des clients différents et étaient parfaitement fonctionnels avant. Moi aussi preneur de ton aide @Kramlech. Merci d'avance,

Merci @.Shad. pour toutes tes explications. Pas contre dans la théorie pour l'option VPS mais étant novice je souhaiterais dans un premier temps limiter mon périmètre pour déjà monter en compétence là dessus. Concernant l'option passerelle multiple je ne comprends pas comment cela se traduit conceptuellement ? Que sont Docker et Virtual DSM ? Peux tu m'en dire plus là dessus stp. Merci d'avance,

Bonjour @oracle7, @Juan luis et @Kramlech Jj me permets de revenir dans le débat pour resituer le questionnement que j'avais. Je dispose d'un NAS synology et d'un Routeur Synology. Mon besoin premier est de sécuriser mes accès à ces deux machines : soit en local soit via VPN, rien d'autre. Ensuite je souhaiterais "protéger" mon NAS en le configurant comme client d'un fournisseur VPN tiers auquel je suis abonné. De là, la question de choisir quelle machine sur laquelle héberger mon Serveur VPN : RT ou NAS ? Je crois en par ailleurs comprendre que l'option passerelle multiple est indispensable pour configurer son NAS en client d'un VPN or comme expliqué ici elle génère des problèmes sur le serveur VPN : par élimination je pensais donc configuerer mon NAS en client VPN et mon RT en serveur VPN. D'où une autre question : quel doit être la configuration du port 1701 sur un RT qui porte le serveur VPN (et est monté en DMZ d'une LiveBox) ? En effet, selon le super tuto de Fenrir, ce port doit être ouvert sur la machine qui porte le serveur VPN (NAS dans le tuto mais RT dans mon cas) mais fermé / non forwardé sur le routeur (également serveur VPN dans mon cas). Un sujet dédié existe ICI. Cordialement,

De mon côté je ne sui sclaiement pas compétent pour répondre, d'où mes questions. mais je ne suis pas certain de comprendre ta notion de VPN entre le RT et le NAS, pour le client est en VPN avec l'un ou l'autre modulo l'option permettant un accès à tous le LAN.

Les routeurs Synology ont à paquet dédié (VPN Plus Server) qui permet de faire encore plus de choses (que je ne maîtrise pas) que VPN server (sur NAS) comme du webVPN, du bureau à distance, etc.

Je me permets de relancer ce sujet : peut être une idée @oracle7 ou @Juan luis ?

@oracle7 : mais si je comprends bien cela est valable pour un VPN sur un NAS (qui est derrière un RT). Quid de la situation où on souhaiterait accéder au RT via VPN (il ne serait donc protéger par aucun pare-feu en dehors du sien car en DMZ de la LiveBox) mais le 1701 devrait être ouvert poour le fonctionnement du VPn non ? @Juan luis Pas certain de comprendre (voire certain de ne pas comprendre) ?

@Juan luis Merci pour ta réponse éclairante, j'avais donc cette fois-ci à peu près bien cerné le concept. du coup dans cette configuration comment devons nous régler le parefeu : avec une ouverture 1701 ou non ? Fenrir indique explicitement qu'il ne faut pas l'ouvrir ou transférer sur le routeur mais dans ce cas c'est le routeur qui héberge le serveur VPN et non plus le NAS ! As tu une idée ?