CyberFr

Bonjour @IDK78, Dans ces conditions, je ne comprends pas pourquoi ça ne marche qu'en local . Le port 1701 est bien bloqué sur la Freebox ? Passes-tu par un reverse proxy ? Lorsque tu te connectes en local, vérifie qu'il existe une trace dans le journal de VPN Server.

Chez moi sur OpenVPN Connect, dans la rubrique "Certificates & Tokens", le certificat est affiché et je peux le supprimer en cochant "Remove Certificate".

@Jeff777, as-tu essayé "admin" ou "NAS" ou "yenamarre" ? Bon, je sors.

Ne pas utiliser de chiffres ! 🙂 Je dis ça parce que sur mon Mac j'accède à Windows 10 via Bootcamp. J'ai donc à la fois macOS et Windows 10. Lorsque je tape des chiffres sous Windows parce que j'ouvre une session par exemple, je ne peux pas utiliser le clavier numérique et je dois impérativement taper les chiffres qui se trouvent en haut du clavier, accessibles avec la touche MAJ. Je pense que c'est un problème de driver concernant le clavier sous Windows.

Je compatis @Jeff777.

Bonjour @oracle7, Mais tu disposes du certificat "-----BEGIN OpenVPN Static key V1-----" délivré par ton routeur et je n'ai pas de routeur. @Jeff777 a pu transférer le certificat sous Android. J'ai ajouté les entrées <cert> et <key> uniquement dans le fichier de config du smartphone parce que je n'ai pas pu faire reconnaître le certificat à OpenVPN Connect. Par contre sur le Mac, aucun problème. Je pense que mon problème vient du trousseau d'accès iCloud qui n'est pas synchronisé entre le Mac et l'iPhone. Mais Apple me gonfle car quand je veux mettre à jour mes identifiants iCloud, on me demande le mot de passe de session du Mac (Quel rapport avec la choucroute ?) et le code de dévérouillage de l'iPhone !!! De plus je n'ai pas modifié mes identifiants iCloud alors pourquoi me demande-t-on de les mettre à jour ?

Bonjour @Jeff777, Justement c'est la différence, sur iOS il est difficile d'importer un fichier sans passer par iTunes (Big Brother). Ce que j'ai fait sans problème sur le Mac. Et quand j'ai tenté d'importer le fichier .p12 (ou .pfx), OpenVPN Connect l'a bien reconnu sur iOS mais à moitié puisqu'il n'a pas affiché le nom réel du certificat qui est celui du nom de domaine. Dans le doute j'ai fait un copier coller du contenu de cert.perm et de privkey.perm directement dans le fichier de config. Et je n'ai plus l'avertissement sur l'absence de certificat.

J'en ai terminé avec OpenVPN. J'ai utilisé pour la première fois VPN Server et j'ai installé dans la foulée un reverse proxy afin de me connecter en toute sécurité à DSM. Certains membres du forum - ils se reconnaitront - m'ont bien aidé sur ce coup là. J'ai dit il y a peu que c'en était fini mais j'ai donné un dernier coup de collier afin que le certificat LE soit bien pris en compte dans le fichier de config d'OpenVPN. L'avertissement sur l'absence de certificat externe lors de l'établissement de la connexion m'embêtait un peu car il traduisait une faille de sécurité. J'ai intégré le certificat aussi bien sur le Mac (même si ça ne sert pas à grand chose à part à tester) que sur l'iPhone, je passe donc à autre chose satisfait d'en avoir terminé. Et satisfait surtout que ça fonctionne.

D'après ce que tu dis, si les certificats ne changent pas, il n'est pas nécessaire de toucher au fichier de config. Je n'aurai peut-être pas à le faire. Qui vivra verra. Pour l'instant c'est tout neuf et je manque de recul.

L'avantage en ajoutant les certificats <cert> et <key> et que l'on évite un avertissement d'OpenVPN signalant qu'il manque un certificat extérieur.

Bonjour @Jeff777, De toute façon, il faudra que je corrige le fichier de config en cas de renouvellement du certificat puisque le certificat <ca> aura sans doute été modifié lui aussi. Or il figure dans l'export de la configuration de VPN Server.

Bonjour @MilesTEG1, Mes certificats viennent du NAS puisque je n'ai pas de routeur. Au départ dans le fichier de config généré par VPN Server, il n'y a que le certificat <ca>. J'ai ajouté les entrées <cert> et <key> mais est-ce vraiment un plus ? Je ne sais pas.

@oracle7 a comme toi une entrée <tls-auth>. Mais ce certificat vient d'où ?

Bonjour @MilesTEG1, J'ai vu ta config dans une discussion que tu as initié, elle est impressionnante. Je suis bien d'accord avec toi, surtout si tu me fais le chèque 🙂 La place dans mon bureau n'est pas extensible à l'infini et j'aurais souhaité un matériel moins encombrant que le RT2600ac.

Est-ce que ça sert à quelque chose d'ajouter les certificats <cert> et <key> dans le fichier de config d'OpenVPN sur un smartphone ? dev tun tls-client remote 87.88.XXX.XXX 1194 # float redirect-gateway def1 # ------------ # iOS SPECIFIC # ------------ redirect-gateway ipv6 dhcp-option DNS 192.168.1.X pull proto udp script-security 2 mssfix 1472 reneg-sec 0 verify-client-cert require auth SHA512 cipher AES-256-CBC auth-user-pass remote-cert-tls server auth-nocache key-direction 1 explicit-exit-notify 1 # ------------- # ca_bundle.crt # ------------- <ca> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </ca> # --------- # cert.perm # --------- <cert> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </cert> # ------------ # privkey.perm # ------------ <key> -----BEGIN RSA PRIVATE KEY----- -----END RSA PRIVATE KEY----- </key>

Bonjour @oracle7, Caramba, encore raté ! J'ai dit cela parce que la remarque de Synology ne figure pas dans VPN Server sous DSM 6.

Voila ce que je lis sur le site de Synology concernant OpenVPN sous DSM 7. Si je comprends bien, toute connexion VPN est soumise à un contrôle du certificat et est refusée si le certificat est non conforme ou absent coté client. C'est une évolution intéressante par rapport à DSM 6.

Je plaisantais @oracle7. Ne cherche pas plus loin.

L'idée principale est d'isoler le NAS de la box en le plaçant sur un réseau autonome, celui du routeur. Après, je peux laisser la majorité des services sur le NAS afin de soulager le routeur. Intéressant, merci @church. C'est pour ça que tu as mis des points de suspensions ? ✍️

Bonjour @oracle7, Il faut donc que je m'équipe d'un switch pour dupliquer la seule prise ethernet sur le routeur ? Tu peux me conseiller sur le choix d'un modèle ? La quantité de mémoire limitée n'est pas un obstacle si je veux installer un certain nombre de paquets ? Je dispose quand même de 6 Go sur le NAS. Je l'ai découvert par hasard. J'ai d'ailleurs posté un message sur le sujet où il était question des riches et des pauvres selon Synology 🥴 En fait je crains de perdre certains services si le routeur est en DMZ d'autant plus que Bouygues Telecom est peu représenté sur le forum à la différence d'Orange ou de Free. Je vais lire le tuto en question. Je sens là comme une pointe d'ironie à mes dépends 🙂

Bonjour, Le RT2600ac serait un choix idéal mais disproportionné par rapport à mes besoins actuels. Sans compter qu'il faut disposer d'une salle des machines pour lui trouver de la place... Je ne compte pas acheter ce routeur pour les fonctions MESH qu'il propose, ce n'est pas une priorité, pas plus que le WI-FI en général. Le NAS est actuellement connecté avec une adresse DHCP statique derrière une Bbox. L'idée serait que cette adresse soit désormais celle du routeur, le NAS se trouvant derrière en cascade. Avantage, je ne désactive aucun service de la box (TV, téléphone) et je m'appuie sur un réseau autonome. Les services installés sur le NAS seront indépendants de la box (DNS Server, VPN Server, etc). D'autre part j'apprends à me servir d'un routeur quitte à voir plus grand par la suite. Difficile par contre de gérer le DHCP puisque le routeur ne comporte qu'un seul port ethernet sauf à disposer d'un switch. Je suis surpris de trouver des paquets communs au NAS et au routeur. Il vaux mieux les installer où ? La mémoire vive est-elle suffisante sur le routeur sachant qu'on ne peut pas l'étendre ? Ce routeur a été commercialisé fin 2018 et commence donc à dater. N'y a-t-il pas un risque de renouvellement prochain ? N'hésitez pas à me faire savoir s'il existe des alternatives intéressante. Sinon qu'en pensez-vous ?

J'observe que lorsqu'on dispose d'un routeur Synology, il est possible de définir dans OpenVPN Plus une clé pré-partagée, ce qui suffirai amplement à mes modestes besoins de sécurisation de le connexion. Chez Synology, il y a ceux qui disposent d'un routeur et les autres, cette masse misérable.

Il suffit donc que je me connecte au NAS ? Parce que sur l'iPhone je n'entre pas de nom de domaine. En fait le problème se posera lors du renouvellement du certificat.

J'utilise Audio Station/DS Audio pour cela.

Oui mais je ne les synchronise pas avec iCloud qui est désactivé sur les deux appareils.