haliway Posté(e) le 28 octobre 2010 Posté(e) le 28 octobre 2010 Bonjour, De mon coté j'essaye d'utiliser le NAS comme client VPN pour me connecter au serveur VPN de Giganews dans le but d'utiliser le client newsgroup. J'ai donc suivi ce tuto en changeant deux trois trucs (Giganews n'utilise qu'un certificat et une authentification USER/MDP). J'ai fait ça : client.conf : ------------ client dev tun proto udp remote eu1.vpn.giganews.com 1194 resolv-retry infinite nobind user nobody group nobody persist-key persist-tun mute-replay-warnings ca /opt/etc/openvpn/keys/ca.vyprvpn.com.crt comp-lzo verb 3 log-append /var/log/openvpn/openvpn.log status /var/log/openvpn/status.log auth-nocache auth-user-pass /opt/etc/openvpn/keys/vyprvpn.user le fichier vyprvpn.user est composé de 2 lignes : USER MDP les logs me disent ça : Wed Oct 27 20:36:40 2010 OpenVPN 2.1.3 arm-none-linux-gnueabi [sSL] [LZO2] [EPOLL] built on Aug 31 2010 Wed Oct 27 20:36:40 2010 WARNING: file '/opt/etc/openvpn/keys/vyprvpn.user' is group or others accessible Wed Oct 27 20:36:40 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables Wed Oct 27 20:36:40 2010 LZO compression initialized Wed Oct 27 20:36:40 2010 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ] Wed Oct 27 20:36:40 2010 Socket Buffers: R=[108544->131072] S=[108544->131072] Wed Oct 27 20:36:40 2010 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ] Wed Oct 27 20:36:40 2010 Local Options hash (VER=V4): '41690919' Wed Oct 27 20:36:40 2010 Expected Remote Options hash (VER=V4): '530fdded' Wed Oct 27 20:36:40 2010 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay Wed Oct 27 20:36:40 2010 UDPv4 link local: [undef] Wed Oct 27 20:36:40 2010 UDPv4 link remote: 138.199.67.17:1194 Wed Oct 27 20:36:40 2010 TLS: Initial packet from 138.199.67.17:1194, sid=bec05be8 4a1fba4b Wed Oct 27 20:36:40 2010 VERIFY OK: depth=1, /C=KY/ST=GrandCayman/L=GeorgeTown/O=GoldenFrog-Inc/CN=GoldenFrog-Inc_CA/emailAddress=admin@goldenfrog.com Wed Oct 27 20:36:41 2010 VERIFY OK: nsCertType=SERVER Wed Oct 27 20:36:41 2010 VERIFY OK: depth=0, /C=KY/ST=GrandCayman/L=GeorgeTown/O=GoldenFrog-Inc/CN=eu1.vpn.giganews.com/emailAddress=admin@goldenfrog.com Wed Oct 27 20:36:44 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key Wed Oct 27 20:36:44 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Wed Oct 27 20:36:44 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key Wed Oct 27 20:36:44 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Wed Oct 27 20:36:44 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA Wed Oct 27 20:36:44 2010 [eu1.vpn.giganews.com] Peer Connection Initiated with 138.199.67.17:1194 Wed Oct 27 20:36:47 2010 SENT CONTROL [eu1.vpn.giganews.com]: 'PUSH_REQUEST' (status=1) Wed Oct 27 20:36:47 2010 AUTH: Received AUTH_FAILED control message Wed Oct 27 20:36:47 2010 TCP/UDP: Closing socket Wed Oct 27 20:36:47 2010 SIGTERM[soft,auth-failure] received, process exiting Je précise que j'ai un DS210J sous DSM 3 dernier firmware... et que mes identifiants sont corrects Je bute, quelqu'un peut il m'aider ? 0 Citer
PatrickH Posté(e) le 28 octobre 2010 Posté(e) le 28 octobre 2010 A voir le log il y a un probl 0 Citer
haliway Posté(e) le 28 octobre 2010 Posté(e) le 28 octobre 2010 Oui mais comme j'ai dit les identifiants sont corrects. Peut 0 Citer
haliway Posté(e) le 28 octobre 2010 Posté(e) le 28 octobre 2010 Plus que sur : http://fr.giganews.com/vyprvpn/openvpn/setup/?type=linux&= 0 Citer
courbestudio Posté(e) le 29 octobre 2010 Posté(e) le 29 octobre 2010 haliway, est-ce que tu vois apparaître l'interface réseau "tun.ko" lorsque tu lances un "ifconfig" en commande ssh ?et quelle est le modèle de ton syno ? (209 407..?) 0 Citer
MS_Totor Posté(e) le 31 octobre 2010 Auteur Posté(e) le 31 octobre 2010 salut, merci de faire le nettoyage nécessaire des liens et adresses mails qui trainent dans tous tes logs, dans tous tes posts etc..... etc... @ ++ 0 Citer
haliway Posté(e) le 1 novembre 2010 Posté(e) le 1 novembre 2010 Le 10/31/2010 à 8:07 PM, MS_Totor a dit : salut, merci de faire le nettoyage n 0 Citer
PatrickH Posté(e) le 31 mars 2011 Posté(e) le 31 mars 2011 De toute facon si tu fait un tunnel ouvrir les ports sur le routeur ne veux plus rien dire.... Patrick 0 Citer
Nicolas Brochard Posté(e) le 31 mars 2011 Posté(e) le 31 mars 2011 Effectivement c'est idiot l'histoire des ports Sinon une petite id 0 Citer
PatrickH Posté(e) le 31 mars 2011 Posté(e) le 31 mars 2011 Ton syno en tant que client TUN il a quelle adresse IP ? Oui c'est plus un probl 0 Citer
Nicolas Brochard Posté(e) le 31 mars 2011 Posté(e) le 31 mars 2011 Non je suis en TAP car "VPNTunne.se" 0 Citer
parisbyday Posté(e) le 22 mai 2011 Posté(e) le 22 mai 2011 Sinon avec le package vpn, comment doit on faire si on l'a install 0 Citer
flojlg Posté(e) le 25 mai 2011 Posté(e) le 25 mai 2011 Petite touche perso: Fonctionne avec plusieurs fournisseurs Perso vpntunnel.se (génial ) de plus je mets la machine on/off en auto ce qui brouille encore plus les pistes. (on 8heures off 23h30) regarder le précédent post,vers la fin (p17) ..j'avais fait un tuto (moins bien écrit que celui-ci) Les machines que j'ai installées de maniere similaire 110, 111,211,411. Ne pas négliger la partie dns Souvent, en mode console le resolv.conf n'est pas retranscrit en fonction du fournisseur copier le resolv.conf en resolv.test (ou autre) cp /etc/resolv.conf /etc/resolv.XXX et changer par ceux en ligne (par ex: vpntunnel.se = nameserver .67.0.2) En retirant toute autre référence (vous pourrez tjrs revenir sur l'ancien) parfois le ovpn.conf a besoin de la commande push afin valider le dns...(je n'ai pas compris pourquoi sur un meme modele oui et un autre non...) ex ligne conf push "dhcp-option DNS xx.xx.xx.xx" Pour le démarrage auto j'utilise un lien dur, pour eviter des fichiers un peu partout ln -s /de la ou se trouve S20..vers /etc/init.d/ par ex ln -s /opt/etc/openvpn/S20conf /etc/init.d/ Les commandes les plus utiles (en telnet/ssh of course); traceroute www.google.com (suivi du chemin des fichiers) par ex doit indiquer entre autre votre fournisseur vpn top vous donnera les processus en cours les demon ouvert leur acces memoire et consommation CPU/buffeur/memoire netstat -nt vous montrera que vos téléchargement passent bien par le VPN et non par votre ip perso ou celle de votre FAI Pour les indécis Un ds111 couplé a une duneB1/xtreamer lis les MKV ou full BR-iso sans interrompre le process ovpn/transmission (je n'ai pas testé la version fournie avec le 3.1 mais celui fourni par http://synoblog.superzebulon.org/ plus léger et que je peux piloter avec son interface a distance port 9091) 0 Citer
neeeko Posté(e) le 27 mai 2011 Posté(e) le 27 mai 2011 En suivant tous les tutos, j'ai bien r 0 Citer
luky55 Posté(e) le 18 août 2011 Posté(e) le 18 août 2011 Salut, J'ai configure openvpn sur mon DS209, sans rencontrer trop de pb, mais je me pose la question suivante. J'avais cree des regles dans le firewal du syno pour, par exemple, n'autoriser telnet que depuis mon reseau local a la maison. Avec le VPN, ca ne sert plus a rien, n'importe qui peut faire telnet sur l'addresse IP publique de mon tunnel, et ca ne me plait pas du tout. Quelqu'un a t'il une solution pour mettre un firewal sur tun0, puisque le firewal du syno ne semble s'occuper que de eth0 ?? Merci. 0 Citer
parisbyday Posté(e) le 22 septembre 2011 Posté(e) le 22 septembre 2011 finalement ca a marché assez facilement sur un 1511 avec le package openvpn server installé. J'ai utilisé la configuration suivante pour me connecter a vyprvpn client dev tun persist-key persist-tun remote eu1.vpn.giganews.com 1194 udp resolv-retry infinite nobind persist-remote-ip ca /opt/etc/openvpn/keys/ca.vyprvpn.com.crt tls-remote eu1.vpn.giganews.com auth-user-pass /opt/etc/openvpn/toto.txt comp-lzo verb 3 proto udp status /opt/etc/openvpn/openvpn-status.log log-append /opt/etc/openvpn/openvpn.log Par contre je lance le tunnel a la main avec la commande /opt/sbin/openvpn /opt/etc/openvpn/client.conf -& Par contre si je lance S24openvpn, rien ne demarre. Coté debit j'arrive a 4.6 MO/s avec sabnzbd ce qui est pas si mal avec une cpu pourtant a 25% Mem: 1000588K used, 16180K free, 0K shrd, 236080K buff, 380100K cached CPU: 25.3% usr 1.5% sys 0.0% nic 70.5% idle 0.0% io 0.0% irq 2.4% sirq Load average: 0.31 0.25 0.61 2/245 16766 Il me semble qu'il reste plus que 16MO de memoire. Je me demande si la "lenteur" relative n'est pas lié au fait qu'il n'y a plus que 15 MO de memoire. Si quelqu'un a un script pour demarrer automatiquement le tunnel je suis preneur. Jean. 0 Citer
parisbyday Posté(e) le 9 janvier 2012 Posté(e) le 9 janvier 2012 Bonjour a tous, Pour faire avancer le schmilblick Un petit retour d'experience. Afin d'eviter d'utiliser un openvpn different de celui fourni par synology avec le package vpn center. j'ai fait la conf suivante et ca semble bien fonctionner avec vyprvpn. utiliser la conf client suivante : client dev tun persist-key persist-tun remote eu1.vpn.giganews.com 1194 udp resolv-retry infinite nobind persist-remote-ip ca ca.vyprvpn.com.crt tls-remote eu1.vpn.giganews.com auth-user-pass user_pass.txt comp-lzo verb 3 proto udp status openvpn-status.log log-append openvpn.log Je mets ces fichiers plus les certificats fourni par vyprvpn dans un meme répertoire. Ensuite je fais monter le tunnel avec la commande : /usr/local/synovpn/sbin/openvpn --daemon --config openvpn.conf Le problème avec l'openvpn compilé par synology est que l'option auth-user-pass est desactivée. C'est a dire qu'il n'est pas possible de renseigner le fichier user-pass.txt avec son user et mot de passe. La solution que j'ai trouvé sur un site anglophone consiste a remplacer le bin par un binaire patché et disponible ici avec toutes les explications : http://ghughes.com/blog/2011/12/05/openvpn-auth-user-pass-support-for-synology-vpn-center/ Dans mon cas avec un DS1511 (x86), le patch est dispo ici : http://dl.wifisyncapp.com/misc/ovpn-syno-x86-patched.zip Resultat, le tunnel monte bien. Apres la montée du tunnel le server de vyprvpn fait un push de la route par défaut vers mon client syno. C'est a dire que tout mon trafic passe alors automatiquement par defaut par le tunnel (sauf le local sur le LAN). Dans openvpn.log, on peut voir : Mon Jan 9 09:50:29 2012 /sbin/ifconfig tun0 10.11.0.38 netmask 255.255.0.0 mtu 1500 broadcast 10.11.255.255 Mon Jan 9 09:50:29 2012 /sbin/route add -net 138.199.67.151 netmask 255.255.255.255 gw 192.168.1.254 Mon Jan 9 09:50:29 2012 /sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 10.11.0.1 Mon Jan 9 09:50:29 2012 /sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 10.11.0.1 Comme je souhaitais ne router via le tunnel que certaines routes vers des serveurs particulier j'ai donc manuellement supprimé les routes puis rajouté celles qui m'intéressait. route del -net 0.0.0.0 netmask 128.0.0.0 route del -net 128.0.0.0 netmask 128.0.0.0 route add -net 55.55.55.55 netmask 255.255.255.0 gw 10.11.0.1 Ce qui fait que seulement le trafic vers 55.55.55.55 est routé via le tunnel. L'autre option est d'uiliser la directive route-noexec ce qui fait que le serveur n'envoie plus la route par défaut. Cependant idéalement, j'aimerais faire un truc propre qui configure automatiquement les routes a la montée du tunnel et qui nettoie les choses proprement quand on souhaite le faire tomber. La bonne technique serait d'utiliser des scripts shell externe avec les directives openvpn "route-up" ou "down" mais je n'ai pas encore réussi. Ce qui j'ai deja constaté c'est que le fait de démarrer puis stopper le serveur vpn fait tomber le tunnel et nettoie les routes. Donc je suis interressé si quelqu'un sait faciment automatiser la configuration openvpn avec les scripts associé pour faire quelque chose de propre. Cependant, sait on jamais, syno pourrait nous sortir dans la beta 4.0 la fonctionnalité… Merci d'avance pour vos retour, Jean. 0 Citer
parisbyday Posté(e) le 9 janvier 2012 Posté(e) le 9 janvier 2012 J'ai un peu progressé et ca marche avec la configuration : client dev tun persist-key persist-tun remote vpn.usenet.com 1194 udp resolv-retry infinite nobind persist-remote-ip ca ca.vyprvpn.com.crt tls-remote eu1.vpn.giganews.com auth-user-pass toto.txt comp-lzo verb 3 proto udp status openvpn-status.log log-append openvpn.log route-noexec route-up routeup.sh down down.sh DiskStation1511> cat routeup.sh #!/bin/sh route add -net 200.100.0.0 netmask 255.255.0.0 gw $route_vpn_gateway route add -net $trusted_ip netmask 255.255.255.255 gw $route_net_gateway DiskStation1511> cat down.sh #!/bin/sh route del -net 200.100.0.0 netmask 255.255.0.0 gw $route_vpn_gateway route del -net $trusted_ip netmask 255.255.255.255 gw $route_net_gateway Du coup, la route 200.100.0.0 est ajoutée a l'ouverture du tunnel et supprimé en cas de killall openvpn. Ne restes plus qu'a faire un demarrage automatique du tunnel. Jean. 0 Citer
riffraff2 Posté(e) le 12 juin 2012 Posté(e) le 12 juin 2012 (modifié) J'ai vraiment du mal a comrpendre cette histoire de route. Je comprend le principe mais pourquoi 200.100.0.0 ? Mais surtout ou déclares tu : $route_net_gateway $route_vpn_gateway ? Merci Modifié le 12 juin 2012 par riffraff2 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.