CyberFr

Dans le tuto sur le Reverse proxy on crée chez le registar un enregistrement NS wildcard *.ndd.fr qui pointe sur ndd.fr. J'avais un enregistrement www.ndd.fr qui pointait sur ndd.fr. Je l'ai donc viré et l'ai remplacé par l'enregistrement *.ndd.fr. Mais @Mic13710 a répondu dans le même tuto : J'ai trouvé que sa remarque était fondée. Je me suis donc ravisé et j'ai supprimé l'enregistrement wildcard puis j'ai remis l'enregistrement www.ndd.fr chez OVH. J'ai juste oublié de créer l'enregistrement NS du reverse proxy xxx.ndd.fr. Après l'avoir créé, tout est rentré dans l''ordre (sauf le contrôle d'accès bien entendu). J'espère que tout le monde a suivi 🙂

Avec ça je suis habillé pour l'hiver 🙃

J'ai dû faire une grosse bêtise en faisant le ménage dans les réglages du NAS et de la box car depuis le reverse proxy est cassé y compris en local et sans contrôle d'accès. Il faut que je le répare.

J'ajouterai que le VPN fonctionne ce qui est une bonne chose quand on se connecte sur des Hotspots publics. Par contre si le contrôle d'accès ne fonctionne pas, c'est un niveau de sécurité supplémentaire qui est absent.

J'ai connecté le smartphone au WI-FI, j'ai lancé une connexion OpenVPN sur le smartphone puis j'ai tenté de me connecter sur le reverse proxy. Réponse "La page est introuvable". Lorsque je désactive le contrôle d'accès, j'accède à la même page sans problème. J'ai relu le tuto sur DNS Server et j'ai trouvé une erreur que j'ai corrigée. Mais lorsque je me connecte au VPN et que je lance l'application Nslookup sur l'iPhone je tombe sur les DNS d'OVH et non ceux définis dans DNS Serveur pour la zone locale. Un problème sur la box qui m'obligerait à passer par l'achat d'un routeur ? Je m'interroge. Oui, je l'ai fait.

Depuis chez un ami, ça ne passe pas. Cette fois-ci je laisse tomber. Merci à ceux qui m'ont apporté leur aide, @Jeff777 et @oracle7 en particulier.

Maintenant ça passe chez moi avec le contrôle d'accès, WI-FI désactivé. Pour que le test soit complet je vais me connecter depuis le domicile d'un ami à partir de son réseau WI-FI. Je te tiens au courant 🙂

Je vais donc décommenter la ligne "redirect-gateway def1"

Comme la case "Autoriser aux clients l'accès au serveur LAN" n'est pas cochée dans VPN Server, la ligne "#redirect-gateway def1" est laissée en commentaire et donc précédée d'un #.

Lorsque je me connecte avec le WI-FI local, c'est l'adresse de la passerelle de la box qui apparaît à la lace de l'IP publique. Mais si je ne passais pas (par erreur) par le VPN du NAS le profil de contrôle d'accès serait transparent or quand je l'active je n'arrive pas à me connecter et c'est l'inverse quand il est désactivé.

J'utilise bien le serveur VPN du NAS puisque je vois la connexion dans VPN Server.

Bien vu @Jeff777, Lorsque le smartphone n'est pas connecté au WI-FI, le journal des connexions du NAS indique son adresse IP publique alors que j'ai activé OpenVPN. Par contre dans la liste des connexions de VPN Server, l'IP du client est l'IP publique mais l'IP dynamique est 10.8.0.6. Lorsque j'active le WI-FI, c'est la passerelle locale de la box qui apparaît dans le journal (192.168.1.244). Dans la liste des connexions l'IP du client est celle de la passerelle mais l'IP dynamique est là encore 10.8.0.6.

Dans le tuto sur VPN Server il est indiqué Je ne l'ai donc pas cochée. Là encore j'ai suivi le tuto. Puisque "Autoriser aux clients l'accès au serveur LAN" est décochée, la ligne "redirect-gateway def1" est en commentaire. Dans le fichier de config il est indiqué J'y ai donc entré l'adresse de DNS Server sur le NAS (192.168.1.X) et une adresse DNS de secours (FDN), le tout sur deux lignes. Ce n'est pas redondant avec l'entrée 10.0.0.0/255.0.0.0 qui se trouve déjà dans la vue ? Je vais l'ajouter si vous me confirmez que ce n'est pas le cas. C'est noté.

J'arrive à me connecter en VPN avec le contrôle d'accès mais il m'est impossible d'atteindre le reverse proxy. Sans le contrôle d'accès je me connecte sur le reverse proxy. On voit l'IP avec laquelle le téléphone s'est connecté dans le journal des connexions de VPN Server.

@oracle7 bonjour, C'est ce que j'ai fait et ça ne marche pas pour les accès distants. DSM affiche que la page est introuvable.

Avec OpenVPN l'accès distant est refusé. Je pense que décidément il y a un gros problème avec DSM concernant les profils de contrôle d'accès.

OpenVPN me réclame un certificat externe alors que d'après le tuto VPN Server le certificat est inclus dans le fichier de configuration .ovpn. J'imagine que le certificat est ca_bundle.crt mais je n'arrive pas à l'importer : un glisser/déposer est sans effet et il n'existe pas d'option pour importer le certificat à partir d'un chemin d'accès local.

Parce que tu crois @Jeff777 que je vais abattre le boulot en une demie-journée ? 🙃 Je suis plutôt dans la situation du mythe de Sysiphe.

Si je sors vivant de cette aventure, ce sera du pragmatisme en effet. Dans le cas contraire ç'aura été de la folie ! Mais pu**in qu'est-ce qui m'a pris d'acheter un NAS alors que j'étais si tranquille auparavant 😒

Il ne me reste donc plus qu'à reprendre le tuto sur VPN Server et à utiliser OpenVpn 🤢 Ma parole, je dois être maso !

Bonjour @oracle7, Elle est parfaite cette calculatrice d'IP. Je l'ai ajoutée à mes bookmarks 🙂 Je ne comprends pourquoi malgré mes ultimes modifications, on n'arrive pas à se connecter en VPN à distance sur le reverse proxy. Mais que diable suis-je allé faire dans cette galère ? Je craque 🤢

OK. Je vais le rajouter 127.0.0.0/8 pour voir.

J'arrive à me connecter localement mais il semble que le profil de contrôle d'accès que j'ai défini ne soit pas adapté à une connexion à distance en VPN. C'est le dernier coup de collier qui me reste (OUF !) car à part ça tout fonctionne.

Ah ben là tu es vache ! 🙂 Dans le tuto, il est indiqué : Il faut vraiment avoir une loupe pour déceler que la destination est en HTTP.

Bingo ! Après avoir écrit : J'ai modifié le port utilisé dans le reverse proxy en remplaçant le port HTTPS par celui en HTTP et tout baigne 🤩 Bravo @Jeff777. La seule chose qui reste est l'avertissement du Conseiller de sécurité parce que la redirection automatique de HTTP vers HTTPS pour le bureau de DSM est désactivée.