CyberFr

Est-ce que ça sert à quelque chose d'ajouter les certificats <cert> et <key> dans le fichier de config d'OpenVPN sur un smartphone ? dev tun tls-client remote 87.88.XXX.XXX 1194 # float redirect-gateway def1 # ------------ # iOS SPECIFIC # ------------ redirect-gateway ipv6 dhcp-option DNS 192.168.1.X pull proto udp script-security 2 mssfix 1472 reneg-sec 0 verify-client-cert require auth SHA512 cipher AES-256-CBC auth-user-pass remote-cert-tls server auth-nocache key-direction 1 explicit-exit-notify 1 # ------------- # ca_bundle.crt # ------------- <ca> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </ca> # --------- # cert.perm # --------- <cert> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </cert> # ------------ # privkey.perm # ------------ <key> -----BEGIN RSA PRIVATE KEY----- -----END RSA PRIVATE KEY----- </key>

Bonjour @oracle7, Caramba, encore raté ! J'ai dit cela parce que la remarque de Synology ne figure pas dans VPN Server sous DSM 6.

Voila ce que je lis sur le site de Synology concernant OpenVPN sous DSM 7. Si je comprends bien, toute connexion VPN est soumise à un contrôle du certificat et est refusée si le certificat est non conforme ou absent coté client. C'est une évolution intéressante par rapport à DSM 6.

Je plaisantais @oracle7. Ne cherche pas plus loin.

L'idée principale est d'isoler le NAS de la box en le plaçant sur un réseau autonome, celui du routeur. Après, je peux laisser la majorité des services sur le NAS afin de soulager le routeur. Intéressant, merci @church. C'est pour ça que tu as mis des points de suspensions ? ✍️

Bonjour @oracle7, Il faut donc que je m'équipe d'un switch pour dupliquer la seule prise ethernet sur le routeur ? Tu peux me conseiller sur le choix d'un modèle ? La quantité de mémoire limitée n'est pas un obstacle si je veux installer un certain nombre de paquets ? Je dispose quand même de 6 Go sur le NAS. Je l'ai découvert par hasard. J'ai d'ailleurs posté un message sur le sujet où il était question des riches et des pauvres selon Synology 🥴 En fait je crains de perdre certains services si le routeur est en DMZ d'autant plus que Bouygues Telecom est peu représenté sur le forum à la différence d'Orange ou de Free. Je vais lire le tuto en question. Je sens là comme une pointe d'ironie à mes dépends 🙂

Bonjour, Le RT2600ac serait un choix idéal mais disproportionné par rapport à mes besoins actuels. Sans compter qu'il faut disposer d'une salle des machines pour lui trouver de la place... Je ne compte pas acheter ce routeur pour les fonctions MESH qu'il propose, ce n'est pas une priorité, pas plus que le WI-FI en général. Le NAS est actuellement connecté avec une adresse DHCP statique derrière une Bbox. L'idée serait que cette adresse soit désormais celle du routeur, le NAS se trouvant derrière en cascade. Avantage, je ne désactive aucun service de la box (TV, téléphone) et je m'appuie sur un réseau autonome. Les services installés sur le NAS seront indépendants de la box (DNS Server, VPN Server, etc). D'autre part j'apprends à me servir d'un routeur quitte à voir plus grand par la suite. Difficile par contre de gérer le DHCP puisque le routeur ne comporte qu'un seul port ethernet sauf à disposer d'un switch. Je suis surpris de trouver des paquets communs au NAS et au routeur. Il vaux mieux les installer où ? La mémoire vive est-elle suffisante sur le routeur sachant qu'on ne peut pas l'étendre ? Ce routeur a été commercialisé fin 2018 et commence donc à dater. N'y a-t-il pas un risque de renouvellement prochain ? N'hésitez pas à me faire savoir s'il existe des alternatives intéressante. Sinon qu'en pensez-vous ?

J'observe que lorsqu'on dispose d'un routeur Synology, il est possible de définir dans OpenVPN Plus une clé pré-partagée, ce qui suffirai amplement à mes modestes besoins de sécurisation de le connexion. Chez Synology, il y a ceux qui disposent d'un routeur et les autres, cette masse misérable.

Il suffit donc que je me connecte au NAS ? Parce que sur l'iPhone je n'entre pas de nom de domaine. En fait le problème se posera lors du renouvellement du certificat.

J'utilise Audio Station/DS Audio pour cela.

Oui mais je ne les synchronise pas avec iCloud qui est désactivé sur les deux appareils.

Bonjour @Aloaes22, On es tous passés par là, il faut lire un tuto, vérifier que tout fonctionne avant de passer au suivant. Mais quelle satisfaction quand on peut regarder en arrière pour constater le chemin parcouru 🙂

Bonjour @Aloaes22, Uptobox est un hébergeur de fichiers en ligne si j'en crois mes recherches sur le Net. Avec un NAS, tu disposes de l'équivalent d'Uptobox et donc de ton propre Cloud privé. Avec Vidéo Station et Photo Station, tu as sous la main les outils dont tu as besoin. Avec l'avantage que tu contrôles tes données sans les exposer sur un serveur commercial. Quel est l'intérêt d'utiliser ce service ? Tu peux consulter ce lien Uptobox : problèmes de fermeture où l'on apprend que ce site a souvent été fermé en raison de contenus illicites.

Dans le fichier de config, j'ai remplacé "verify-client-cert none" par "verify-client-cert require". Pour le coup, lors de la connexion, le certificat R3 de Let's Encrypt est vérifié. C'est ce qu'indique le log. Pour m'en assurer, j'ai modifié le certificat ca dans le fichier de config en remplaçant un caractère, le résultat est que la connexion est refusée parce que le certificat est invalide. J'ai fait le test sur le Mac et l'iPhone. Le certificat R3 se trouve dans le Trousseau d'accès du Mac. Comment a-t-il pu être transféré sur l'iPhone ? Mystère. Y a-t-il un moyen, au niveau du NAS, d'exiger la présence du certificat et de refuser toute connexion VPN si celui-ci est absent ou invalide ?

Bonjour @MilesTEG1, J'ai bien l'option ping -f mais l'utilisation n'est pas pratique sur Mac. Le graphique qui en résulte n'est pas vraiment exploitable. Je laisse ça aux fans des systèmes à fenêtres 🙂

Bonjour @oracle7, Pour les applications, je n'ai pas encore testé. Par contre l'accès aux sites est plus fluide, plus réactif.

Bonjour @oracle7, J'ai fait les tests de MTU sous Windows et j'obtiens UNE MTU idéale de 1472, exactement comme toi. J'ai fait les tests de chez moi et sur mon NAS.

Et zut, ça m'a échappé...

Et pas qu'un peu ! Finalement j'arrive à passer la commande ping ... si je me connecte en root ! Les explications sur ma machine sont plus verbeuses : -f Flood ping. Outputs packets as fast as they come back or one hundred times per second, which- ever is more. For every ECHO_REQUEST sent a period ``.'' is printed, while for every ECHO_REPLY received a backspace is printed. This provides a rapid display of how many packets are being dropped. Only the super-user may use this option. This can be very hard on a network and should be used with caution. Heureusement, je dispose aussi de Windows 10 via Bootcamp sur le Mac. Ce sont des gens sérieux eux 🙃 Je vais faire le ping dans cet environnement. Ne tirez pas sur le pianiste.

Bonjour @oracle7, Voilà ce que ça donne sur ma machine LaX1:~ lionel$ ping www.orange.fr -f -l 1472 ping: -f flag: Operation not permitted LaX1:~ lionel$ Je crois que je vais revendre mon Mac 🤢

UP Quand je fais un "ping www.orange.fr -f -l 1500", je me fais jeter de partout que ce soit sur le site d'Orange ou d'autres. Operation not permitted. Pas facile dans ces conditions de tester la MTU.

Quand je relis mes réglages, c'est effectivement l'IP publique de la box qui apparaît. J'ai confondu avec dhcp-option DNS 192.168.1.X.

Bonjour @oracle7, J'espère que tu ne m'en voudras pas si je me suis largement inspiré de ton fichier de config mais comme tu l'as publié, il suffisait de faire un copier/coller. Franchement il y a des choses qui m'échappent. Peut-être parce que je n'ai pas encore de routeur. Sur mon NAS, c'est la passerelle par défaut de la box qui est configurée, qui elle-même renvoie sur l'IP locale de DNS Server. J'ai donc indiqué directement cette adresse locale. Merci pour ces explications.

Bon, l'erreur humaine récente est oubliée 🙂

Bonjour @oracle7, Je me retrouve avec ton fichier de configuration d'un coté, le mien de l'autre et enfin les man pages d'OpenVPN, tu parles d'une sinécure. Je retourne à l'école 🙂 Tu indiques remote xxx.ndd.tld 1194. Il s'agit de quel type d'adresse parce que j'ai indiqué remote 87.88.XXX.XXX 1194 qui est l'adresse publique de la box. #dhcp-option DNS 192.168.2.1 C'est normal que ce soit en commentaire ? # ping www.orange.fr -f -l 1500 => Par dichotomie on retrouve la MTU maximun pour la quelle le ping # renvoie une réponse OK. # Si on a une réponse paquet FRAGMENTED on réduit de 10 jusqu'à avoir une réponse OK. On rajoute alors # 1/2 du (Delta MTU NOK-MTU OK). # Si NOK on réduit encore de 1/2 du du (Delta MTU NOK-MTU OK) # Si OK on augmente encore de 1/2 du du (Delta MTU NOK-MTU OK) # Jusqu'à obtenir la valeur maximum de MTU OK. Alors on affecte cette valeur à la commande mssfix mssfix 1472 Alors là je me prends la tête. Il faut absolument faire le test lors d'une connection VPN ou on peut aussi le faire lors d'une connexion Internet normale ? Tu n'as pas utilisé l'option verify-client-cert. Ça se passe ailleurs ? Je me suis permis de remplacer "explicit-exit-notify" par "explicit-exit-notify 1". Je me méfie des valeurs par défaut. <tls-auth> # # 2048 bit OpenVPN static key # -----BEGIN OpenVPN Static key V1----- -----END OpenVPN Static key V1----- </tls-auth> Je ne suis pas parvenu à installer un certificat malheureusement.