CyberFr

Bonjour @Aloaes22, On es tous passés par là, il faut lire un tuto, vérifier que tout fonctionne avant de passer au suivant. Mais quelle satisfaction quand on peut regarder en arrière pour constater le chemin parcouru 🙂

Bonjour @Aloaes22, Uptobox est un hébergeur de fichiers en ligne si j'en crois mes recherches sur le Net. Avec un NAS, tu disposes de l'équivalent d'Uptobox et donc de ton propre Cloud privé. Avec Vidéo Station et Photo Station, tu as sous la main les outils dont tu as besoin. Avec l'avantage que tu contrôles tes données sans les exposer sur un serveur commercial. Quel est l'intérêt d'utiliser ce service ? Tu peux consulter ce lien Uptobox : problèmes de fermeture où l'on apprend que ce site a souvent été fermé en raison de contenus illicites.

Dans le fichier de config, j'ai remplacé "verify-client-cert none" par "verify-client-cert require". Pour le coup, lors de la connexion, le certificat R3 de Let's Encrypt est vérifié. C'est ce qu'indique le log. Pour m'en assurer, j'ai modifié le certificat ca dans le fichier de config en remplaçant un caractère, le résultat est que la connexion est refusée parce que le certificat est invalide. J'ai fait le test sur le Mac et l'iPhone. Le certificat R3 se trouve dans le Trousseau d'accès du Mac. Comment a-t-il pu être transféré sur l'iPhone ? Mystère. Y a-t-il un moyen, au niveau du NAS, d'exiger la présence du certificat et de refuser toute connexion VPN si celui-ci est absent ou invalide ?

Bonjour @MilesTEG1, J'ai bien l'option ping -f mais l'utilisation n'est pas pratique sur Mac. Le graphique qui en résulte n'est pas vraiment exploitable. Je laisse ça aux fans des systèmes à fenêtres 🙂

Bonjour @oracle7, Pour les applications, je n'ai pas encore testé. Par contre l'accès aux sites est plus fluide, plus réactif.

Bonjour @oracle7, J'ai fait les tests de MTU sous Windows et j'obtiens UNE MTU idéale de 1472, exactement comme toi. J'ai fait les tests de chez moi et sur mon NAS.

Et zut, ça m'a échappé...

Et pas qu'un peu ! Finalement j'arrive à passer la commande ping ... si je me connecte en root ! Les explications sur ma machine sont plus verbeuses : -f Flood ping. Outputs packets as fast as they come back or one hundred times per second, which- ever is more. For every ECHO_REQUEST sent a period ``.'' is printed, while for every ECHO_REPLY received a backspace is printed. This provides a rapid display of how many packets are being dropped. Only the super-user may use this option. This can be very hard on a network and should be used with caution. Heureusement, je dispose aussi de Windows 10 via Bootcamp sur le Mac. Ce sont des gens sérieux eux 🙃 Je vais faire le ping dans cet environnement. Ne tirez pas sur le pianiste.

Bonjour @oracle7, Voilà ce que ça donne sur ma machine LaX1:~ lionel$ ping www.orange.fr -f -l 1472 ping: -f flag: Operation not permitted LaX1:~ lionel$ Je crois que je vais revendre mon Mac 🤢

UP Quand je fais un "ping www.orange.fr -f -l 1500", je me fais jeter de partout que ce soit sur le site d'Orange ou d'autres. Operation not permitted. Pas facile dans ces conditions de tester la MTU.

Quand je relis mes réglages, c'est effectivement l'IP publique de la box qui apparaît. J'ai confondu avec dhcp-option DNS 192.168.1.X.

Bonjour @oracle7, J'espère que tu ne m'en voudras pas si je me suis largement inspiré de ton fichier de config mais comme tu l'as publié, il suffisait de faire un copier/coller. Franchement il y a des choses qui m'échappent. Peut-être parce que je n'ai pas encore de routeur. Sur mon NAS, c'est la passerelle par défaut de la box qui est configurée, qui elle-même renvoie sur l'IP locale de DNS Server. J'ai donc indiqué directement cette adresse locale. Merci pour ces explications.

Bon, l'erreur humaine récente est oubliée 🙂

Bonjour @oracle7, Je me retrouve avec ton fichier de configuration d'un coté, le mien de l'autre et enfin les man pages d'OpenVPN, tu parles d'une sinécure. Je retourne à l'école 🙂 Tu indiques remote xxx.ndd.tld 1194. Il s'agit de quel type d'adresse parce que j'ai indiqué remote 87.88.XXX.XXX 1194 qui est l'adresse publique de la box. #dhcp-option DNS 192.168.2.1 C'est normal que ce soit en commentaire ? # ping www.orange.fr -f -l 1500 => Par dichotomie on retrouve la MTU maximun pour la quelle le ping # renvoie une réponse OK. # Si on a une réponse paquet FRAGMENTED on réduit de 10 jusqu'à avoir une réponse OK. On rajoute alors # 1/2 du (Delta MTU NOK-MTU OK). # Si NOK on réduit encore de 1/2 du du (Delta MTU NOK-MTU OK) # Si OK on augmente encore de 1/2 du du (Delta MTU NOK-MTU OK) # Jusqu'à obtenir la valeur maximum de MTU OK. Alors on affecte cette valeur à la commande mssfix mssfix 1472 Alors là je me prends la tête. Il faut absolument faire le test lors d'une connection VPN ou on peut aussi le faire lors d'une connexion Internet normale ? Tu n'as pas utilisé l'option verify-client-cert. Ça se passe ailleurs ? Je me suis permis de remplacer "explicit-exit-notify" par "explicit-exit-notify 1". Je me méfie des valeurs par défaut. <tls-auth> # # 2048 bit OpenVPN static key # -----BEGIN OpenVPN Static key V1----- -----END OpenVPN Static key V1----- </tls-auth> Je ne suis pas parvenu à installer un certificat malheureusement.

Bonjour @oracle7, Je vais employer le verbe suivre dans deux sens différents. Pour répondre à ta question, oui, je te suis. Par ailleurs, je sais par expérience que l'on a toujours intérêt à te suivre dans tes propositions.

Merci @oracle7 pour les man page. Bon, il faut que j'approfondisse. Ton fichier de config (que j'ai transféré sur le bureau) sera une bonne base de départ. Je vais le comparer avec le mien. Je constate simplement qu'après avoir supprimé les UNUSED OPTIONS, je n'ai aucun avertissement dans le log d'OpenVPN et que je me connecte sans problème. Mais si tu dis "Je peux me tromper", cela signifie que tu es à peu près sur de ton coup 🙂

Bonjour @oracle7, La première et la troisième option servent à quoi ?

Voilà ce que je trouve dans le log d'OpenVPN : [Oct 14, 2021, 18:31:40] UNUSED OPTIONS 1 [tls-client] 3 [verify-client-cert] [none] 5 [auth-nocache] 9 [pull] 11 [script-security] [2] 14 [data-ciphers] [AES-256-CBC] J'ai supprimé toutes ces options dans le fichier de config d'autant plus que certaines sont définies directement dans les paramètres de l'application OpenVPN Connect. Et ça fonctionne très bien sans.

Tunnelblick sur Mac permet d'insérer un certificat dans le profil d'OpenVPN mais dans ce cas il faut forcer le serveur à exiger le certificat, etc, etc. J'ai une connexion VPN qui fonctionne sur un proxy inversé, j'ai réalisé ce que je voulais faire alors, en dehors d'une certaine curiosité, il est inutile de pousser le bouchon trop loin sinon ce serait une histoire sans fin. Il vaut mieux que je me concentre sur la prochaine étape même si je ne la connais pas encore.

@Fenrir nous a bien prévenu que la mise en place de la zone publique représentait un changement d'échelle 🙂 Tu n'as pas mis en place un DDNS ? @PiwiLAbruti veut dire qu'il serait préférable que tu crées le sujet dans une autre hiérarchie, par exemple dans Installation, Démarrage et Configuration.

Bonjour @Finnithnel et bienvenue sur le forum. De toute évidence, tu as déjà commencé à lire les différents tutos sur le forum. Tu as bien raison, ce sont des mines d'or. Et tu peux compter sur la communauté pour recevoir de l'aide si nécessaire. Vu ton expérience, tu pourras sans aucun doute aider certains membres.

Entre les problèmes de DNS chez Facebook et l'erreur humaine chez OVH, je me dis qu'ils devraient lire certains tutos du forum 😇

Bonjour @oracle7, Content de savoir que tu as résolu ton problème de reverse proxy. Comme quoi, même les ténors de ce forum peuvent avoir des problèmes à l'occasion 🙂 C'est exactement ce que j'ai fait sous macOS et je me demande bien pourquoi OpenVPN me demande un mot de passe lorsque j'installe le certificat. D'autant plus que ce n'est pas le MDP de mon compte sur le NAS ou mon MDP de session sur le Mac.

On ne me l'a pas demandé lors de la conversion du certificat, je n'ai donc indiqué aucun mot de passe.

J'ai fait la manip et j'ai pu créer un certificat.p12 sur le Mac. Comme quoi quand viens le temps je n'hésite pas à relire ce qui a été posté et qui à l'époque n'était pas ma priorité. Mais OpenVPN Connect me demande un mot de passe et refuse celui de mon compte sur le NAS ou le mdp de session sur le Mac. Mais alors que faire ?