ERaw Posté(e) le 28 janvier 2014 Posté(e) le 28 janvier 2014 et je confirme qu'il faut bien proteger son nas, j'ai du bloqué des ip et finalement désactiver le ssh suite à de multiple tentative de connexion C'est assez "normal" d'avoir ce genre de tentatives, le fait de changer le port du SSH peut deja en eviter pas mal. Par contre ca provoque des problemes sur certaines fonctionnalité du Synology comme le Network Backup Securisé entre deux Syno... on ne sait pas spécifier le port... Maintenant si le mot de passe est complexe et que tu bloques l'ip après 5 tentatives, le brute force est quasi impossible... (j'ai bien dit quasi ) 0 Citer
giorgio Posté(e) le 30 janvier 2014 Posté(e) le 30 janvier 2014 Bonjour, Est-ce qu'il possible de bloquer les communications si le VPN est déconnecté ? Merci 0 Citer
ERaw Posté(e) le 31 janvier 2014 Posté(e) le 31 janvier 2014 Bonjour giorgio, Est-ce qu'il possible de bloquer les communications si le VPN est déconnecté ? Bonjour, En fait il y a une contrainte assez simple qui nécessite d'avoir le script qui tourne toute les minutes. Quand le VPN se déconnecte (peu importe la raison), l'interace tun0 (ou ppp0) disparait et donc est également effacée d'iptables (iptables n'accepte que des règles pour des interfaces valides). Il n'est donc pas possible d'avoir un iptable qui ne change pas, c'est dynamique. Si tu fais un jour un drop all sur eth0, tu auras une mauvaise surprise ton syno deviendra instantanement injoignable et donc il faudra faire un hard reboot pour le récupérer en esperant que tu n'as pas mis le drop all sur l'eth0 dans un script exécuté au démmarage... bref, oublies! eth0 est ton interface physique primaire et donc elle ne peut pas être soumise a un drop all. En plus, il faut garder en tête que ton VPN crée tun0 au travers d'eth0. C'est un peu comme si tu coupais la branche de l'arbre sur laquelle tu es assis. Il faut plutot t'arranger pour cibler ce que tu veux bloquer en sortie par eth0, hors VPN donc. Malheureusement le module iptables ipt_owner qui permet de filtrer les packets sortant par user (en toute logique les services que tu veux bloquer sont lancés par des utilisateurs en particuler comme transmission ou sabnzbd, à tout hasard ) n'est pas inclus dans les paquets fournis dans l'OS. Il reste la possibilité de le faire basé sur les ports en sortie, encore faut t'il connaitre le range a bloquer, ce qui n'est pas toujours évident. Je vais y jeter un oeil si j'ai le temps. Il y a moyen en effet, il faut voir ce que tu veux bloquer. Sache déjà que si les ports utilisés pour les réseaux p2p ne sont pas routés vers ton Syno depuis ta box(routeur) et/ou que ton Syno n'est pas dans une DMZ, ils ne peuvent plus se connecter sur les services p2p qui tournent sur ton Syno. 0 Citer
giorgio Posté(e) le 31 janvier 2014 Posté(e) le 31 janvier 2014 Merci Je vais essayer en bloquant les ports du routeur 0 Citer
irishboy Posté(e) le 19 mars 2014 Posté(e) le 19 mars 2014 OK, je vois mieux. Est-ce que le port que tu utilise pour te connecter a l'interface web de ton Syno est forwardé depuis ta box ou est-ce que le syno est en DMZ? (perso, la DMZ c'est à proscrire!) Pour l'accès web, privilégie le HTTPS, c'est deja beaucoup plus securisé. tu peux configurer dans le Syno les restrictions d'accès et forcer le HTTPS/SSL. Le port par defaut pour le SSL est 5001 sur le syno. Sinon, le plus simple est effectivement d'utiliser DynDNS ou autre équivalent depuis le Syno (pas depuis la box), il te donnera l'IP publique de l'interface VPN lorsque celui çi est connecté ou l'IP de ta box quand le VPN est OFF. Après pour y avoir accès de manière transparente, peu importe si VPN ou pas, dépendra de la bonne configuration de ta box avec les bons ports forwardés. Pour l'accès local, il ne devrait pas y avoir de problème en LAN si ton syno n'est pas dans une DMZ. Après avoir tout configuré proprement et testé les accès depuis le LAN et le WAN, tu pourras regarder pour sécuriser ton interface VPN. Bon amusement! Bonjour, Ton post est très intéressant. Malheureusement pour moi qui suis encore débutant sur les NAS je n'arrive pas à le mettre à exécution. J'ai bien ouvert les ports de ma box (5000 et 5001) et paramétré le DNS. Toutefois lors de l'activation du VPN, le changement ne s'effectue pas du tout et je ne peux plus me connecter depuis l'extérieur. Que faire ? Merci d'avance 0 Citer
gothax Posté(e) le 30 mars 2014 Auteur Posté(e) le 30 mars 2014 (modifié) MISE A JOUR DE MON TUTORIEL EN TENANT COMPTE DES MODIFICATIONS DES FICHIERS CONFIGURER VPNTUNNEL avec DSM 5.X Tout d'abord merci à Oniric (mais aussi mmnospam) pour avoir complété avantageusement ma première version du tutoriel. Avec DSM 5 une nouvelle interface nous est proposée, certains ont pu être perdu pour configurer leur VPN Tout d'abord ouvrer le panneau de configuration / Connectivité / Réseau / onglet Interface réseau : Ensuite cliquer sur Créer / Créer un profil VPN Choisissez OpenVPN Ensuite remplissez les champs de configuration venant de VPN Tunnel : Ensuite cliquer sur Reconnexion automatique et Appliquer : Ensuite nous allons ouvrir la connexion SSH : puis ici : Lancer ensuite Putty que vous trouverez chez gratilog Configurer votre IP et le port 22 puis Open Une fenêtre dos apparaît: login : root mdp : votremotdepasse taper cd /usr/syno/etc/synovpnclient/openvpn/ Puis lister vos fichiers avec ls : puis éditer avec vi vos fichiers client_xxxx en tapant : vi client_xxxx A l'aider de ce site http://www.di.u-psud.fr/machine/aide/vi.html remplacer la ligne indiquée par ce que je vous montre en dessous : pour quitter l'éditeur vi taper :wq Quelques instructions de vi : i pour éditer esc pour quitter l'édition yy : copier une ligne p : coller les lignes à un endroit donné dd pour effacer une ligne Puis quitter la fenêtre dos de Putty en tapant exit Fermer le service SSH !!! Modifié le 30 mars 2014 par gothax 0 Citer
gothax Posté(e) le 30 mars 2014 Auteur Posté(e) le 30 mars 2014 (modifié) Pour se connecter cliquer sur le lien puis connecter FAQ : Comment savoir quel certificat utiliser : Editer par exemple le fichier NL-openvpn.conf que vous avez téléchargé chez VPNTunnel client dev tun proto udp nobind ; CERT ns-cert-type server cipher BF-CBC ; HOST remote-random remote nl-vpn.vpntunnel.se 7001 remote nl-vpn.vpntunnel.se 7002 remote nl-vpn.vpntunnel.se 7003 remote nl-vpn.vpntunnel.se 7004 remote nl-vpn.vpntunnel.se 7005 remote nl-vpn.vpntunnel.se 7006 remote nl-vpn.vpntunnel.se 7007 remote nl-vpn.vpntunnel.se 7008 resolv-retry infinite ; AUTH auth-user-pass persist-key persist-tun comp-lzo verb 3 <ca> -----BEGIN CERTIFICATE----- MIIE5TCCA82gAwIBAgIJAOezsSnjFcrvMA0GCSqGSIb3DQEBBQUAMIGnMQswCQYD VQQGEwJTRTESMBAGA1UECBMJU3RvY2tob2xtMRIwEAYDVQQHEwlTdG9ja2hvbG0x FTATBgNVBAoTDFZwbnR1bm5lbC5zZTERMA8GA1UECxMIY2hhbmdlbWUxETAPBgNV BAMTCGNoYW5nZW1lMREwDwYDVQQpEwhjaGFuZ2VtZTEgMB4GCSqGSIb3DQEJARYR aW5mb0B2cG50dW5uZWwuc2UwHhcNMTExMjA5MTY1NTEwWhcNMjExMjA2MTY1NTEw WjCBpzELMAkGA1UEBhMCU0UxEjAQBgNVBAgTCVN0b2NraG9sbTESMBAGA1UEBxMJ U3RvY2tob2xtMRUwEwYDVQQKEwxWcG50dW5uZWwuc2UxETAPBgNVBAsTCGNoYW5n ZW1lMREwDwYDVQQDEwhjaGFuZ2VtZTERMA8GA1UEKRMIY2hhbmdlbWUxIDAeBgkq hkiG9w0BCQEWEWluZm9AdnBudHVubmVsLnNlMIIBIjANBgkqhkiG9w0BAQEFAAOC AQ8AMIIBCgKCAQEAxGFFVamgXqDt4G+NUVFKLvpyl1o40LO5MNegXM3tJtmLR7Sx 2SXxk3H4Q8WdFmOIaYV+C/R6t+vaIP5fVUxy3eNQ5SGgU7be9HKS75NnAHoZTa3L Wns9N5cvILNVoHw+ICL7HjX/OrrK0MjCOwBEyPO2xxdGnGtxBxVrdy7w2EYv/wys cMyXm4ZDq9yzJMQtzKo6VBbgKLxxhmU0qyeVri5EKPO3ETE4p7VqUclLea3lZFVo jHNQWp4phX6uQRqbeje4EfYKzVr6NtKFMbO/0XWdiqGhOtc8PXwHQkKz69xPcer9 hTb9vhiQY3gOvh3YZ5i1bSOW4CS3FBOZ2FTdFQIDAQABo4IBEDCCAQwwHQYDVR0O BBYEFJ3WpENs1VrbZUzxPyDCKe008QudMIHcBgNVHSMEgdQwgdGAFJ3WpENs1Vrb ZUzxPyDCKe008QudoYGtpIGqMIGnMQswCQYDVQQGEwJTRTESMBAGA1UECBMJU3Rv Y2tob2xtMRIwEAYDVQQHEwlTdG9ja2hvbG0xFTATBgNVBAoTDFZwbnR1bm5lbC5z ZTERMA8GA1UECxMIY2hhbmdlbWUxETAPBgNVBAMTCGNoYW5nZW1lMREwDwYDVQQp EwhjaGFuZ2VtZTEgMB4GCSqGSIb3DQEJARYRaW5mb0B2cG50dW5uZWwuc2WCCQDn s7Ep4xXK7zAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEBBQUAA4IBAQAltDUKVaua YJurI5KSYyZpKme0TnrPZY5xJkoLsMNlb1FgWEG+RgvbRkdBqsAWoY4eljLcPa1y a0YB2sp+SBAx+vp9k4ubdwQ9f/WTHhYcjHRixWOLk8EWSLpnTXzBiOXy1/tmbeXx fTrf5ru5if/7pR25geLQYxwdYepBnFh7Iq0CVYTY2Yqoad/jinNIqy057E3uSFuJ Acez5QLsdor6B3kprzNQJ45R2fIFJEXFsJw71+R3fZIvuWHnU4wVtVC2o6ijvVjw Ny0h3LfI6NyBG9BiqPuhdGbsbYNYj005Y9mjw/nmvreSdI1qjS7MdO3hsDw7p9qx Bg7n+L4OIE/a -----END CERTIFICATE----- </ca> Si vous éditez également les certificats de VPNTunnel ca1.crt cela correspond au code <ca>...</ca> juste au dessus. Donc les serveurs Hollandais fonctionnent avec le ca1.crt Quels sont les serveurs qui fonctionnent actuellement : Au 30 mars 2014: - Suede / certificat ca1.crt ::::: fonctionne - Pays bas / certificat ca1.crt ::::: fonctionne - Roumanie / certificat ca1.crt ::::: ne fonctionne pas Modifié le 30 mars 2014 par gothax 0 Citer
sapique Posté(e) le 4 avril 2014 Posté(e) le 4 avril 2014 Sympa le tuto ! Par contre pour ceux et celles qui ne veulent pas utiliser putty est il possible de configurer sans passé par les commandes ssh ? Merci 0 Citer
giorgio Posté(e) le 6 avril 2014 Posté(e) le 6 avril 2014 Bonjour, Depuis le passage en version 5, je n'arrive plus à le faire fonctionner, alors qu'avant ça marchait parfaitement :-( Ca me dit que la connexion a échouée et de vérifer l'adresse du serveur et ma config de firewall. Mais je n'y ai pas touché. Est-ce qu vous avez une idée ? Merci 0 Citer
gothax Posté(e) le 6 avril 2014 Auteur Posté(e) le 6 avril 2014 Euh as tu suivi ce qui est marqué plus haut ? J'ai écris un tuto pour DSM 5 ! 0 Citer
giorgio Posté(e) le 6 avril 2014 Posté(e) le 6 avril 2014 Euh as tu suivi ce qui est marqué plus haut ? J'ai écris un tuto pour DSM 5 ! oui biensur, c'est pour ca que je demande, je comprend pas pourquoi ca ne fonctionne pas chez moi :-( 0 Citer
giorgio Posté(e) le 8 avril 2014 Posté(e) le 8 avril 2014 Bonjour, J'ai trouvé mon erreur, une coquille dans le fichier de config, j'avais mal écrit "remote-random" 0 Citer
gothax Posté(e) le 8 avril 2014 Auteur Posté(e) le 8 avril 2014 (modifié) Ah tant mieux ! Pour répondre à Sapique : n'étant pas du tout un pro en linux je ne sais pas. Depuis DSM c'est impossible à ma connaissance car tu ne peux pas accéder à ces fichiers de conf. Modifié le 8 avril 2014 par gothax 0 Citer
giorgio Posté(e) le 9 avril 2014 Posté(e) le 9 avril 2014 Bonjour, Est-il possible quand on configure plusieurs VPN (NL et SE) d'automatiquement passer à l'autre si y'a un echec de connexion sur le premier ? Giorgio 0 Citer
AlainMd Posté(e) le 26 avril 2014 Posté(e) le 26 avril 2014 Bonsoir, Est-ce que ce Tuto fonctionne que pour vpntunel ou on peut l'utiliser pour un autre fournisseur comme FreedomIp ou Ironsocket? Chez Ironsocket ils m'ont envoyé un tuto plutôt bien fait avec copies d'écrans mais c'est super complexe. J'ai pourtant réussi à aller jusqu'au bout mais malheureusement ça ne fonctionne toujours pas. C'est vraiment galère de faire fonctionner ce VPN, je ne sais pas si avant le DSM 5 c'était mieux mais là... J'ai réussi en PP2P et L2TP mais avec Dyndns.org je vois toujours mon adresse Ip française. Cordialement 0 Citer
gothax Posté(e) le 27 avril 2014 Auteur Posté(e) le 27 avril 2014 (modifié) le principe est le même pour tous les VPN maintenant faut voir ce que te fournissent ces sociétés de VPN en terme de fichiers conf (edit : chez FreedomIp tu disposes des fichiers conf dans la rubrique installation sous ubuntu) Modifié le 27 avril 2014 par gothax 0 Citer
AlainMd Posté(e) le 28 avril 2014 Posté(e) le 28 avril 2014 A bon faudrait peut-être que je prenne les confs linux. Mais je me demande si je ne vais pas finir par prendre une seedbox pas plus cher au moins je pourrai utiliser mon NAS à autre chose et sans soucis de sécurité. 0 Citer
waz Posté(e) le 28 avril 2014 Posté(e) le 28 avril 2014 Bonsoir et merci beaucoup pour ce tuto qui m'a bien servi mais face auquel je suis maintenant démuni. Je m'explique: voici une dizaine de jours j'ai suivi le tuto à la lettre (pour DSM 5) et j'ai configuré le vpn uk sans problème. Auourd'hui, le vpn ne se reconnecte plus, je décide donc de reconfigurer un nouveau tunnel pour des ip autres que UK. Pas de bol, arrivé à l'edition des fichier client (j'en trouve 4 dont un client_xxxx) ils sont comme vides (en bas de page : 1/1 100% et non 2/13 15% comme sur le tuto).Je ne sais donc pas trop quoi éditer. quelqu'un pourrait-il m'aider? 0 Citer
waz Posté(e) le 29 avril 2014 Posté(e) le 29 avril 2014 Bonjour, je n'avance pas sur mon problème, j'ai réessayé, reréessayé encore et encore, créé d'autres profils vpn mais je n'ai pas de meilleur résultat: "la connexion a échoué ou le certificat a expiré. Veuillez utiliser un certificat valide émis par le serveur vpn et réessayez". Quelque chose me dit qu'à force de bidouiller je n'ai fait que compliquer les choses. Pensez-vous qu'il est possible d'effacer les fichiers config (via putty par exemple) pour tout reprendre à zéro? Merci pour votre aide. 0 Citer
AlainMd Posté(e) le 29 avril 2014 Posté(e) le 29 avril 2014 Bonsoir, Moi j'ai fini par configurer mon VPN Ironsocket j'ai eu les mêmes soucis, oui on peut effacer les fichiers et faire le ménage dans les répertoires mais attention aux fausses manips! Déjà supprimer toutes les connexions existantes depuis l'interface puis avec Putty utiliser les commandes rm voir: http://doc.ubuntu-fr.org/tutoriel/comment_supprimer_un_fichier j'ai même réussi à les déplacer car j'étais dans le mauvais répertoire! Bon courage 0 Citer
waz Posté(e) le 29 avril 2014 Posté(e) le 29 avril 2014 Merci pour ta réponse. j'ai supprimé les connexions et recommencé, mais rien de neuf. Mais quel serait le chemin des fichiers à supprimer d'après toi? Il est vrai que mes compétences sont assez limitées... J'ai pensé à une autre solution: sauvegarder ma configuration de nas (utilisateurs, groupes, etc.), restaurer le nas par défaut avant de restaure ma configuration. Là j'imagine que mes fichiers config du nas seraient néttoyés. Bon il faudrait pas que ça me formate mes disques non plus;.. Est-ce que tu penses que ça pourrait le faire et surtout m'éviter une fausse manip lourde de conséquence? 0 Citer
AlainMd Posté(e) le 29 avril 2014 Posté(e) le 29 avril 2014 Tu sais je découvre mon équipement! Je ne connais pas grand chose et je ne sais même pas encore comment on sauvegarde tout ça. Il faut effacer le répertoire keys et reprendre depuis le début. Par MP je t'envois la configuration pour mon VPN, il y a des photos d'écrans ça aide 0 Citer
waz Posté(e) le 29 avril 2014 Posté(e) le 29 avril 2014 C'est très gentil, j'attend ton MP parce que là je sais pas trop par où commencer. Surtout qu'il y a encore quelques jours tout marchait pour le mieux. Effacer le répertoire keys ça me semble déjà une montagne à gravir alors avec des photos ça pourrait bien m'aider. 0 Citer
roypelikan Posté(e) le 9 juin 2014 Posté(e) le 9 juin 2014 (modifié) bjr à tous, merci pour le tuto, super et si çà peut aider allez voir les scripts d' argenos et cedcox dans la rubrique "arrêt automatique DownloadStation" , cela ma bien aidé pour certaines config..... cordialement, roy Modifié le 9 juin 2014 par roypelikan 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.