CyberFr

Bonjour @Jeff777, Justement c'est la différence, sur iOS il est difficile d'importer un fichier sans passer par iTunes (Big Brother). Ce que j'ai fait sans problème sur le Mac. Et quand j'ai tenté d'importer le fichier .p12 (ou .pfx), OpenVPN Connect l'a bien reconnu sur iOS mais à moitié puisqu'il n'a pas affiché le nom réel du certificat qui est celui du nom de domaine. Dans le doute j'ai fait un copier coller du contenu de cert.perm et de privkey.perm directement dans le fichier de config. Et je n'ai plus l'avertissement sur l'absence de certificat.

J'en ai terminé avec OpenVPN. J'ai utilisé pour la première fois VPN Server et j'ai installé dans la foulée un reverse proxy afin de me connecter en toute sécurité à DSM. Certains membres du forum - ils se reconnaitront - m'ont bien aidé sur ce coup là. J'ai dit il y a peu que c'en était fini mais j'ai donné un dernier coup de collier afin que le certificat LE soit bien pris en compte dans le fichier de config d'OpenVPN. L'avertissement sur l'absence de certificat externe lors de l'établissement de la connexion m'embêtait un peu car il traduisait une faille de sécurité. J'ai intégré le certificat aussi bien sur le Mac (même si ça ne sert pas à grand chose à part à tester) que sur l'iPhone, je passe donc à autre chose satisfait d'en avoir terminé. Et satisfait surtout que ça fonctionne.

D'après ce que tu dis, si les certificats ne changent pas, il n'est pas nécessaire de toucher au fichier de config. Je n'aurai peut-être pas à le faire. Qui vivra verra. Pour l'instant c'est tout neuf et je manque de recul.

L'avantage en ajoutant les certificats <cert> et <key> et que l'on évite un avertissement d'OpenVPN signalant qu'il manque un certificat extérieur.

Bonjour @Jeff777, De toute façon, il faudra que je corrige le fichier de config en cas de renouvellement du certificat puisque le certificat <ca> aura sans doute été modifié lui aussi. Or il figure dans l'export de la configuration de VPN Server.

Bonjour @MilesTEG1, Mes certificats viennent du NAS puisque je n'ai pas de routeur. Au départ dans le fichier de config généré par VPN Server, il n'y a que le certificat <ca>. J'ai ajouté les entrées <cert> et <key> mais est-ce vraiment un plus ? Je ne sais pas.

@oracle7 a comme toi une entrée <tls-auth>. Mais ce certificat vient d'où ?

Bonjour @MilesTEG1, J'ai vu ta config dans une discussion que tu as initié, elle est impressionnante. Je suis bien d'accord avec toi, surtout si tu me fais le chèque 🙂 La place dans mon bureau n'est pas extensible à l'infini et j'aurais souhaité un matériel moins encombrant que le RT2600ac.

Est-ce que ça sert à quelque chose d'ajouter les certificats <cert> et <key> dans le fichier de config d'OpenVPN sur un smartphone ? dev tun tls-client remote 87.88.XXX.XXX 1194 # float redirect-gateway def1 # ------------ # iOS SPECIFIC # ------------ redirect-gateway ipv6 dhcp-option DNS 192.168.1.X pull proto udp script-security 2 mssfix 1472 reneg-sec 0 verify-client-cert require auth SHA512 cipher AES-256-CBC auth-user-pass remote-cert-tls server auth-nocache key-direction 1 explicit-exit-notify 1 # ------------- # ca_bundle.crt # ------------- <ca> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </ca> # --------- # cert.perm # --------- <cert> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </cert> # ------------ # privkey.perm # ------------ <key> -----BEGIN RSA PRIVATE KEY----- -----END RSA PRIVATE KEY----- </key>

Bonjour @oracle7, Caramba, encore raté ! J'ai dit cela parce que la remarque de Synology ne figure pas dans VPN Server sous DSM 6.

Voila ce que je lis sur le site de Synology concernant OpenVPN sous DSM 7. Si je comprends bien, toute connexion VPN est soumise à un contrôle du certificat et est refusée si le certificat est non conforme ou absent coté client. C'est une évolution intéressante par rapport à DSM 6.

Je plaisantais @oracle7. Ne cherche pas plus loin.

L'idée principale est d'isoler le NAS de la box en le plaçant sur un réseau autonome, celui du routeur. Après, je peux laisser la majorité des services sur le NAS afin de soulager le routeur. Intéressant, merci @church. C'est pour ça que tu as mis des points de suspensions ? ✍️

Bonjour @oracle7, Il faut donc que je m'équipe d'un switch pour dupliquer la seule prise ethernet sur le routeur ? Tu peux me conseiller sur le choix d'un modèle ? La quantité de mémoire limitée n'est pas un obstacle si je veux installer un certain nombre de paquets ? Je dispose quand même de 6 Go sur le NAS. Je l'ai découvert par hasard. J'ai d'ailleurs posté un message sur le sujet où il était question des riches et des pauvres selon Synology 🥴 En fait je crains de perdre certains services si le routeur est en DMZ d'autant plus que Bouygues Telecom est peu représenté sur le forum à la différence d'Orange ou de Free. Je vais lire le tuto en question. Je sens là comme une pointe d'ironie à mes dépends 🙂

Bonjour, Le RT2600ac serait un choix idéal mais disproportionné par rapport à mes besoins actuels. Sans compter qu'il faut disposer d'une salle des machines pour lui trouver de la place... Je ne compte pas acheter ce routeur pour les fonctions MESH qu'il propose, ce n'est pas une priorité, pas plus que le WI-FI en général. Le NAS est actuellement connecté avec une adresse DHCP statique derrière une Bbox. L'idée serait que cette adresse soit désormais celle du routeur, le NAS se trouvant derrière en cascade. Avantage, je ne désactive aucun service de la box (TV, téléphone) et je m'appuie sur un réseau autonome. Les services installés sur le NAS seront indépendants de la box (DNS Server, VPN Server, etc). D'autre part j'apprends à me servir d'un routeur quitte à voir plus grand par la suite. Difficile par contre de gérer le DHCP puisque le routeur ne comporte qu'un seul port ethernet sauf à disposer d'un switch. Je suis surpris de trouver des paquets communs au NAS et au routeur. Il vaux mieux les installer où ? La mémoire vive est-elle suffisante sur le routeur sachant qu'on ne peut pas l'étendre ? Ce routeur a été commercialisé fin 2018 et commence donc à dater. N'y a-t-il pas un risque de renouvellement prochain ? N'hésitez pas à me faire savoir s'il existe des alternatives intéressante. Sinon qu'en pensez-vous ?

J'observe que lorsqu'on dispose d'un routeur Synology, il est possible de définir dans OpenVPN Plus une clé pré-partagée, ce qui suffirai amplement à mes modestes besoins de sécurisation de le connexion. Chez Synology, il y a ceux qui disposent d'un routeur et les autres, cette masse misérable.

Il suffit donc que je me connecte au NAS ? Parce que sur l'iPhone je n'entre pas de nom de domaine. En fait le problème se posera lors du renouvellement du certificat.

J'utilise Audio Station/DS Audio pour cela.

Oui mais je ne les synchronise pas avec iCloud qui est désactivé sur les deux appareils.

Bonjour @Aloaes22, On es tous passés par là, il faut lire un tuto, vérifier que tout fonctionne avant de passer au suivant. Mais quelle satisfaction quand on peut regarder en arrière pour constater le chemin parcouru 🙂

Bonjour @Aloaes22, Uptobox est un hébergeur de fichiers en ligne si j'en crois mes recherches sur le Net. Avec un NAS, tu disposes de l'équivalent d'Uptobox et donc de ton propre Cloud privé. Avec Vidéo Station et Photo Station, tu as sous la main les outils dont tu as besoin. Avec l'avantage que tu contrôles tes données sans les exposer sur un serveur commercial. Quel est l'intérêt d'utiliser ce service ? Tu peux consulter ce lien Uptobox : problèmes de fermeture où l'on apprend que ce site a souvent été fermé en raison de contenus illicites.

Dans le fichier de config, j'ai remplacé "verify-client-cert none" par "verify-client-cert require". Pour le coup, lors de la connexion, le certificat R3 de Let's Encrypt est vérifié. C'est ce qu'indique le log. Pour m'en assurer, j'ai modifié le certificat ca dans le fichier de config en remplaçant un caractère, le résultat est que la connexion est refusée parce que le certificat est invalide. J'ai fait le test sur le Mac et l'iPhone. Le certificat R3 se trouve dans le Trousseau d'accès du Mac. Comment a-t-il pu être transféré sur l'iPhone ? Mystère. Y a-t-il un moyen, au niveau du NAS, d'exiger la présence du certificat et de refuser toute connexion VPN si celui-ci est absent ou invalide ?

Bonjour @MilesTEG1, J'ai bien l'option ping -f mais l'utilisation n'est pas pratique sur Mac. Le graphique qui en résulte n'est pas vraiment exploitable. Je laisse ça aux fans des systèmes à fenêtres 🙂

Bonjour @oracle7, Pour les applications, je n'ai pas encore testé. Par contre l'accès aux sites est plus fluide, plus réactif.

Bonjour @oracle7, J'ai fait les tests de MTU sous Windows et j'obtiens UNE MTU idéale de 1472, exactement comme toi. J'ai fait les tests de chez moi et sur mon NAS.