Aller au contenu

[Vpn] Installer Vpntunnel.se Sur Son Synology


gothax

Messages recommandés

il me dit d'utiliser le bon certificat mai j'ai test avec les 2 et pareille :/ et j'ai bien refait les fichier entre chaque essaie je suis perdu la ....
dev tun
tls-client
remote jenny.vpntunnel.se 7002
pull
proto udp
ca ca_o981752603.crt
comp-lzo
script-security 2
float
reneg-sec 0
explicit-exit-notify
plugin /lib/openvpn/openvpn-down-root.so /etc/ppp/ip-down
auth-user-pass /tmp/ovpn_client_up
~
~
~
~
~
~
~
~
~
~
DiskStation> vi ovpn_o981752603.conf
[client]
dev=tun
tls-client=_ON_
remote=jenny.vpntunnel.se 7002
pull=_ON_
proto=udp
ca=ca_o981752603.crt
comp-lzo=_ON_
redirect-gateway=_OFF_
script-security=2
float=_ON_
reneg-sec=0
explicit-exit-notify=_ON_
plugin=/lib/openvpn/openvpn-down-root.so /etc/ppp/ip-down
auth-user-pass=/tmp/ovpn_client_up
[syno]
user=id
pass=codesecret==
nat=no
conf_name=Vpntunnel
reconnect=no
Lien vers le commentaire
Partager sur d’autres sites

  • Réponses 110
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Meilleurs contributeurs dans ce sujet

Images postées

  • 2 semaines après...
  • 1 mois après...

Bonjour à tous,

J'ai suivi les différentes étapes du tutoriel, malheureusement je n'arrive toujours pas à m'y connecter.

Cependant, j'ai également un fichier supplémentaire pour mes paramètres VPN : ta.key

Le problème doit certainement venir de là ?

P.S : Mon vpn est : vpnfacile

Modifié par negetem
Lien vers le commentaire
Partager sur d’autres sites

Salut,

Comme il est écrit sur le tuto de vpnfacile (https://vpnfacile.net/tutorial-comment-installer-vpn-linux-ubuntu.html), ils utilisent une clé d'autentification TLS, et, là je sèche sur comme t'aider!

Le mieux serait de les contacter!

Sinon en téléchargeant le zip (VPNFacile_configfiles.zip), on peut éditer chaque .ovpn pour lire l'adresse et le port utilisé. Le certificat est unique ca.crt

Lien vers le commentaire
Partager sur d’autres sites

Au 1er juillet 2013 voici ce qui fonctionne avec vpntunnel:

Suède : UDP / ca1.crt : OK 01 juillet 2013

remote-random
remote jenny.vpntunnel.se 7002
remote jenny.vpntunnel.se 7003
remote jenny.vpntunnel.se 7004


Russie : UDP / ca.crt ou ca1.crt : NO WORK

remote-random
remote ru-vpn.vpntunnel.se 7002
remote ru-vpn.vpntunnel.se 7003
remote ru-vpn.vpntunnel.se 7004
remote ru-vpn.vpntunnel.se 7005
remote ru-vpn.vpntunnel.se 7006
remote ru-vpn.vpntunnel.se 7007
remote ru-vpn.vpntunnel.se 7008
remote ru-vpn.vpntunnel.se 7009


Pays-Bas : UDP / ca.crt ou ca1.crt : NO WORK

remote-random
remote nl-vpn.vpntunnel.se 30001
remote nl-vpn.vpntunnel.se 30002
remote nl-vpn.vpntunnel.se 30003
remote nl-vpn.vpntunnel.se 30004


Allemagne : UDP / ca.crt : OK 01 juillet 2013

remote-random
remote de-vpn.vpntunnel.se 30001
remote de-vpn.vpntunnel.se 30002
remote de-vpn.vpntunnel.se 30003
remote de-vpn.vpntunnel.se 30004


Roumanie : UDP / ca.crt ou ca1.crt : NO WORK

remote-random
remote ro-vpn.vpntunnel.se 30001
remote ro-vpn.vpntunnel.se 30002
remote ro-vpn.vpntunnel.se 30003
remote ro-vpn.vpntunnel.se 30004

Donc deux pays fonctionnent SWE et DE !

Lien vers le commentaire
Partager sur d’autres sites

  • 2 mois après...

Bonjour,

Grâce à ce post j'avais pu faire fonctionner le VPN sur mon DS212J sans problèmes depuis près d'un ans.

Maintenant que j'ai procédé à la mise à jour du DSM en 4.3 plus moyen de se connecter.

J'ai éffacé toutes les entrées et refais toute la procédure mais rien n'y fait (les fichiers dans /usr/syno/etc/synovpnclient/openvpn/ ont bien été édités avec le bon port)

Si je me connecte avec mon PC via le VPNTunnel GUI cela fonctionne, donc ce n'est pas un problème de VPNTunnel.

Une idée ?

Lien vers le commentaire
Partager sur d’autres sites

Non rien à faire ça marche pas :(

Voici mes réglages (j'ai bien importé le certificat ca1.crt) :

vpn1.jpg

vpn2.jpg

vpn3.jpg

vpn4.jpg

vpn5.jpg

Et malgré cela quand je tente de me connecter

vpn7.jpg

Ce que je ne comprends pas c'est que cela a fonctionné depuis près d'un an et maintenant cela ne fonctionne plus :angry:

Que puis-je encore vérifier ou tester ?

Merci de m'aider

Lien vers le commentaire
Partager sur d’autres sites

Ça ne change rien, le problème persiste.

Je peux me connecter avec mon PC et le VPNTunnel GUI mais pas avec mon Syno.

Il y a quelque chose qui n'est pas ok dans mon Syno mais quoi ??? je désespère :(

Comment tester cela, il y a t'il un log sur le Syno qui pourrait me mettre sur la voie ?

Je ne sais plus quoi faire, ce tuto et les modifs des fichiers je les connais par coeur.

Et pourtant il y a depuis le 16 septembre (dernière connexion VPN réussie) quelque chose qui fait que cela ne fonctionne plus.

A part la mise à jour du DSM de 4.2 à 4.3 je ne vois pas ce qui aurait pu être modifié.

Si ça continue je vais voir pour revenir à la version 4.2 du DSM si c'est possible.

Il y a tellement de personnes ici qui maitrisent bien les Synology et personne pour trouver une solution :mellow:

Edit (4h45 du matin!):

Youpiiiiiiii ça fonctionne.

J'ai repris à 0 tous les paramètres de connexion avec mon routeur et DDNS et maintenant cela fonctionne.

Je pense que devais avoir une erreur quelque part qui n'était pas gênante en DSM 4.2 mais qui l'est devenue en 4.3 (enfin je pense)

En tous cas l'essentiel c'est que cela fonctionne à nouveau.

Je vais enfin pouvoir aller dormir tranquille :)

Modifié par Phill68
Lien vers le commentaire
Partager sur d’autres sites

Suite de mon investigation:

La méthode d'intégration du script pour ouvrir et fermer les ports fonctionne bien:

(voir plus haut pour le contenu du script)

Par contre j'ai du rajouter les ports TCP 5000,5001,50001 et 50002 (utilisés par VPNTunnel) dans le script pour que cela fonctionne bien, sinon je n'avais pas d'upload.

J'ai complètement fermé les ports dans le Pare-Feu en n'autorisant que les IP concernés.

Cela n'a pas d'effet quand on est connecté via VPNTunnel je sais.

J'aurais aimé trouver une solution que lorsque le VPN se déconnecte le Pare-Feu entre en action et bloque le téléchargement par fermeture des ports concernés, mais apparemment le Download station passe outre du Pare-Feu :angry:

C'est aussi pour cette raison que j'ai aussi remarqué que le script ne fonctionne pas si on lance le la connexion au VPN après avoir lancé le Download Station.

J'ai eu des cas où les ports étaient restés ouverts.

Par contre si on lance le VPN puis le Download Station les ports du script sont biens ouverts et le reste est fermé :)

Reste le problème de la déconnexion.

J'ai activé la notification pour être prévenu de la déconnexion du VPN mais cela ne me satisfait pas assez.

Quelqu'un connait-il une manip à faire pour bloquer l'UP/Download lorsque le VPN se déconnecte ?

Modifié par Phill68
Lien vers le commentaire
Partager sur d’autres sites

  • 3 mois après...

Bonjour à ceux qui me liront!

La méthode décrite plus haut ne fonctionne que pour une connection propre et pas une reconnection après perte de celle-çi.

C'est étrange car suivant la doc openvpn, le script spécifié devrait être exécuté a chaque (re)conection... Je suppose que le problème est dû a la couche Syno par dessus openvpn.

Je vais me diriger vers une config d'un router (DD-WRT) qui utilisera le VPN (tun0) pour certains ports uniquement (iptables).

Etant novice dans l'administration Linux, est-ce que ça poserait probleme de lancer le script down.sh et ensuite up.sh via cron toutes les minutes ?

Aussi, est-ce qu'il est possible de forcer le download station à utiliser le VPN (tun0) ? Par exemple, si la connexion VPN est rompue, tout le trafic est bloqué (ou ne passe pas sur eth0) ?

Lien vers le commentaire
Partager sur d’autres sites

Bonjour gillou13 et les autres,

En fait, après avoir tenté d'intégrer ça dans le routeur sans succès, je suis revenu à l'utilisation du client VPN sur le Syno mais sans utiliser up/down.sh

Il ne faut pas les utiliser dans cron car ces scripts doivent être lancés uniquement pour l'état de la connection correspondant. (sinon en gros ça va mettre le brin)

Le problème étant donc de s'assurer que l'interface virtuelle du VPN exposée sur le net sans aucune protection soit sécurisée.

Pour ça j'ai créé à l'époque un tuto disponible là:

Il est interressant de lire la suite pour certaines adaptations qui sont propre a certaines configs.

Pour ce qui est de bloquer le traffic quand le VPN est down, ça devrait être faisable avec une seconde partie du script (puisque la première partie vérifie s'il est up, on pourrais faire un ELSE assez facilement) qui bloquerait le traffic indésirable en sortie. En entrée, si les ports concernés ne sont pas forwardés par le routeur vers le Syno, il seront implicitement indisponibles, donc bloqués.

J'espère que ce que j'écris est compréhensible :-)

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

je comprends tres bien le systeme de if/else (merci pour le lien).

Maintenant j'ai une autre question.

Est-ce qu'il est possible d'avoir un iptable qui ne change pas ? Je n'utilise mon VPN que pour telecharger donc en theorie, je n'ai besoin que du scenario suivant :

eth0 -> drop all

tun0 -> ouvrir les ports tcp et udp adequats pour les torrent, drop le reste

Maintenant qu'en est-il sur un reseau local ? Est-ce que le reseau local sera affecte par cela ? Est-ce que je pourrais continuer a utiliser mon media server, etc localement sans les ports ?
Quelque chose me dit que ce ne sera pas le cas. Dans ce cas, je me ferai le script qui verifie toutes les minutes si l'iptable est configure comme il le faut.

Je suppose aussi que l'iptables et modifie souvent, d'ou le fait qu'on ne peut pas garder la config avec tun0 protege tout le temps. Y'a-t-il un moyen pour bloquer la modification ?

Merci.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

En fait il y a une contrainte assez simple qui nécessite d'avoir le script qui tourne toute les minutes. Quand le VPN se déconnecte (peu importe la raison), l'interace tun0 (ou ppp0) disparait et donc est également effacée d'iptables (iptables n'accepte que des règles pour des interfaces valides). Il n'est donc pas possible d'avoir un iptable qui ne change pas, c'est dynamique.

Si tu fais un jour un drop all sur eth0, tu auras une mauvaise surprise :blink: ton syno deviendra instantanement injoignable et donc il faudra faire un hard reboot pour le récupérer en esperant que tu n'as pas mis le drop all sur l'eth0 dans un script exécuté au démmarage... bref, oublies!

eth0 est ton interface physique primaire et donc elle ne peut pas être soumise a un drop all. En plus, il faut garder en tête que ton VPN crée tun0 au travers d'eth0. C'est un peu comme si tu coupais la branche de l'arbre sur laquelle tu es assis.

Il faut plutot t'arranger pour cibler ce que tu veux bloquer en sortie par eth0, hors VPN donc. Malheureusement le module iptables ipt_owner qui permet de filtrer les packets sortant par user (en toute logique les services que tu veux bloquer sont lancés par des utilisateurs en particuler comme transmission ou sabnzbd, à tout hasard :rolleyes: ) n'est pas inclus dans les paquets fournis dans l'OS.

Il reste la possibilité de le faire basé sur les ports en sortie, encore faut t'il connaitre le range a bloquer, ce qui n'est pas toujours évident. Je vais y jeter un oeil si j'ai le temps.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour a tous, et merci pour le tuto

J'essaye de faire la modification demandé via ssb

mais qd j'appuis sur [inser] dans ma fenetre ssh je vois que le fichier est [readonly] en bas

Je tape les modifs, je sauvegarde et je ferme mon client ssh.

mais le vpn ne se connecte pas

et quand je retourne dans le fichier via ssh, aucune des modifs n'est prise en compte et le fichier est celui d'origine.

Un petit peu d'aide serait la bienvenue.

et merci d'avance

Modifié par tetsuhito
Lien vers le commentaire
Partager sur d’autres sites

Je vois plus mon VPN à distance avec l'ip de ma freebox.

Comment je fais pour connaitre ça nouvelle IP ou je suis obligé d'être en réseau local pour le voir ?

Bonjour,

Alors pas de panique, c'est normal. Si j'ai bien compris, tu ne sais plus te connecter sur ton syno depuis l'exterieur? avec quel moyen essaies-tu de t'y connecter (ssh, https(s),...)?

Vu que ton VPN crée une interface virtuelle directement connectée à internet, elle a sa propre IP publique. Il faut voir maintenant ce que tu essaie de faire exactement. De plus, as-tu mis en place le script pour sécuriser le VPN ou pas?

Bien à toi,

E-Raw

Lien vers le commentaire
Partager sur d’autres sites

Bonjour.

Pour me connecter a mon NAS, depuis mon taff par exemple j'utilisais l'interface we du syno en passant par l'adresse IP de ma box, qui me renvoyais dessus.

Et non je n'ai pas mis de script en place car jusqu’à cee matin je n'arrivais pas à le faire fonctionner et je me concentrait plustot là dessus.

Ce que je veux faire

- pour l'utilisation de download station mon nas par le VPN en place, ce qui doit être le cas. si le VPN est actif

- pouvoir y acceder en local

- pouvoir y acceder à distance.

- le sécuriser si besoin

Merci de l'aide

edit, je me demande si je devrais pas configurer le DDNS pour pouvoir y acceder peut importe l'ip que le VPN, me communique non ?

Modifié par tetsuhito
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

En fait il y a une contrainte assez simple qui nécessite d'avoir le script qui tourne toute les minutes. Quand le VPN se déconnecte (peu importe la raison), l'interace tun0 (ou ppp0) disparait et donc est également effacée d'iptables (iptables n'accepte que des règles pour des interfaces valides). Il n'est donc pas possible d'avoir un iptable qui ne change pas, c'est dynamique.

Si tu fais un jour un drop all sur eth0, tu auras une mauvaise surprise :blink: ton syno deviendra instantanement injoignable et donc il faudra faire un hard reboot pour le récupérer en esperant que tu n'as pas mis le drop all sur l'eth0 dans un script exécuté au démmarage... bref, oublies!

eth0 est ton interface physique primaire et donc elle ne peut pas être soumise a un drop all. En plus, il faut garder en tête que ton VPN crée tun0 au travers d'eth0. C'est un peu comme si tu coupais la branche de l'arbre sur laquelle tu es assis.

Il faut plutot t'arranger pour cibler ce que tu veux bloquer en sortie par eth0, hors VPN donc. Malheureusement le module iptables ipt_owner qui permet de filtrer les packets sortant par user (en toute logique les services que tu veux bloquer sont lancés par des utilisateurs en particuler comme transmission ou sabnzbd, à tout hasard :rolleyes: ) n'est pas inclus dans les paquets fournis dans l'OS.

Il reste la possibilité de le faire basé sur les ports en sortie, encore faut t'il connaitre le range a bloquer, ce qui n'est pas toujours évident. Je vais y jeter un oeil si j'ai le temps.

Bonjour,

en effet, stupide de ma part d'avoir imaginer le drop all pour eth0. Je vais donc me diriger vers le script execute toutes les minutes qui verifient la presence de certaines regles dans iptables !

Merci.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour.

Pour me connecter a mon NAS, depuis mon taff par exemple j'utilisais l'interface we du syno en passant par l'adresse IP de ma box, qui me renvoyais dessus.

Et non je n'ai pas mis de script en place car jusqu’à cee matin je n'arrivais pas à le faire fonctionner et je me concentrait plustot là dessus.

Ce que je veux faire

- pour l'utilisation de download station mon nas par le VPN en place, ce qui doit être le cas. si le VPN est actif

- pouvoir y acceder en local

- pouvoir y acceder à distance.

- le sécuriser si besoin

Merci de l'aide

edit, je me demande si je devrais pas configurer le DDNS pour pouvoir y acceder peut importe l'ip que le VPN, me communique non ?

OK, je vois mieux.

Est-ce que le port que tu utilise pour te connecter a l'interface web de ton Syno est forwardé depuis ta box ou est-ce que le syno est en DMZ? (perso, la DMZ c'est à proscrire!)

Pour l'accès web, privilégie le HTTPS, c'est deja beaucoup plus securisé. tu peux configurer dans le Syno les restrictions d'accès et forcer le HTTPS/SSL.

Le port par defaut pour le SSL est 5001 sur le syno.

Sinon, le plus simple est effectivement d'utiliser DynDNS ou autre équivalent depuis le Syno (pas depuis la box), il te donnera l'IP publique de l'interface VPN lorsque celui çi est connecté ou l'IP de ta box quand le VPN est OFF.

Après pour y avoir accès de manière transparente, peu importe si VPN ou pas, dépendra de la bonne configuration de ta box avec les bons ports forwardés.

Pour l'accès local, il ne devrait pas y avoir de problème en LAN si ton syno n'est pas dans une DMZ.

Après avoir tout configuré proprement et testé les accès depuis le LAN et le WAN, tu pourras regarder pour sécuriser ton interface VPN.

Bon amusement! ;)

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.