[Vpn] Installer Vpntunnel.se Sur Son Synology

[christo-67]

il me dit d'utiliser le bon certificat mai j'ai test avec les 2 et pareille :/ et j'ai bien refait les fichier entre chaque essaie je suis perdu la ....

dev tun

tls-client

remote jenny.vpntunnel.se 7002

pull

proto udp

ca ca_o981752603.crt

comp-lzo

script-security 2

float

reneg-sec 0

explicit-exit-notify

plugin /lib/openvpn/openvpn-down-root.so /etc/ppp/ip-down

auth-user-pass /tmp/ovpn_client_up

~

~

~

~

~

~

~

~

~

~

DiskStation> vi ovpn_o981752603.conf

[client]

dev=tun

tls-client=_ON_

remote=jenny.vpntunnel.se 7002

pull=_ON_

proto=udp

ca=ca_o981752603.crt

comp-lzo=_ON_

redirect-gateway=_OFF_

script-security=2

float=_ON_

reneg-sec=0

explicit-exit-notify=_ON_

plugin=/lib/openvpn/openvpn-down-root.so /etc/ppp/ip-down

auth-user-pass=/tmp/ovpn_client_up

[syno]

user=id

pass=codesecret==

nat=no

conf_name=Vpntunnel

reconnect=no

[christo-67]

Non personne ? =\

[christo-67]

Y me dit : " la connexion a échoue. veuillez utiliser un certificat valide émis par le serveur vpn et réessayer "

J'ai bien mit CA1.crt

c'est pour le serveur SWE

[christo-67]

Up

[negetem]

Bonjour à tous,

J'ai suivi les différentes étapes du tutoriel, malheureusement je n'arrive toujours pas à m'y connecter.

Cependant, j'ai également un fichier supplémentaire pour mes paramètres VPN : ta.key

Le problème doit certainement venir de là ?

P.S : Mon vpn est : vpnfacile

Modifié le 1 juillet 2013 par negetem

[gothax]

Salut,

Comme il est écrit sur le tuto de vpnfacile (https://vpnfacile.net/tutorial-comment-installer-vpn-linux-ubuntu.html), ils utilisent une clé d'autentification TLS, et, là je sèche sur comme t'aider!

Le mieux serait de les contacter!

Sinon en téléchargeant le zip (VPNFacile_configfiles.zip), on peut éditer chaque .ovpn pour lire l'adresse et le port utilisé. Le certificat est unique ca.crt

[gothax]

Au 1er juillet 2013 voici ce qui fonctionne avec vpntunnel:

Suède : UDP / ca1.crt : OK 01 juillet 2013

remote-random
remote jenny.vpntunnel.se 7002
remote jenny.vpntunnel.se 7003
remote jenny.vpntunnel.se 7004


Russie : UDP / ca.crt ou ca1.crt : NO WORK

remote-random
remote ru-vpn.vpntunnel.se 7002
remote ru-vpn.vpntunnel.se 7003
remote ru-vpn.vpntunnel.se 7004
remote ru-vpn.vpntunnel.se 7005
remote ru-vpn.vpntunnel.se 7006
remote ru-vpn.vpntunnel.se 7007
remote ru-vpn.vpntunnel.se 7008
remote ru-vpn.vpntunnel.se 7009


Pays-Bas : UDP / ca.crt ou ca1.crt : NO WORK

remote-random
remote nl-vpn.vpntunnel.se 30001
remote nl-vpn.vpntunnel.se 30002
remote nl-vpn.vpntunnel.se 30003
remote nl-vpn.vpntunnel.se 30004


Allemagne : UDP / ca.crt : OK 01 juillet 2013

remote-random
remote de-vpn.vpntunnel.se 30001
remote de-vpn.vpntunnel.se 30002
remote de-vpn.vpntunnel.se 30003
remote de-vpn.vpntunnel.se 30004


Roumanie : UDP / ca.crt ou ca1.crt : NO WORK

remote-random
remote ro-vpn.vpntunnel.se 30001
remote ro-vpn.vpntunnel.se 30002
remote ro-vpn.vpntunnel.se 30003
remote ro-vpn.vpntunnel.se 30004

Donc deux pays fonctionnent SWE et DE !

[Phill68]

Bonjour,

Grâce à ce post j'avais pu faire fonctionner le VPN sur mon DS212J sans problèmes depuis près d'un ans.

Maintenant que j'ai procédé à la mise à jour du DSM en 4.3 plus moyen de se connecter.

J'ai éffacé toutes les entrées et refais toute la procédure mais rien n'y fait (les fichiers dans /usr/syno/etc/synovpnclient/openvpn/ ont bien été édités avec le bon port)

Si je me connecte avec mon PC via le VPNTunnel GUI cela fonctionne, donc ce n'est pas un problème de VPNTunnel.

Une idée ?

[tolivier]

@Phill68, je pense que le problème provenait de VPNTunnel car jusqu'à mardi, cela ne fonctionnait pas (DSM 4.3) pour moi. Sans rien toucher, c'est revenu !

[Phill68]

Non rien à faire ça marche pas

Voici mes réglages (j'ai bien importé le certificat ca1.crt) :

Et malgré cela quand je tente de me connecter

Ce que je ne comprends pas c'est que cela a fonctionné depuis près d'un an et maintenant cela ne fonctionne plus

Que puis-je encore vérifier ou tester ?

Merci de m'aider

[Phill68]

Personne pour m'aider ?

[tolivier]

Ma configuration est légèrement différente de la tienne.

J'ai suivi à la lettre le tuto :

Je n'ai pas modifié le fichier ovpn*.conf.

[Phill68]

Ça ne change rien, le problème persiste.

Je peux me connecter avec mon PC et le VPNTunnel GUI mais pas avec mon Syno.

Il y a quelque chose qui n'est pas ok dans mon Syno mais quoi ??? je désespère

Comment tester cela, il y a t'il un log sur le Syno qui pourrait me mettre sur la voie ?

Je ne sais plus quoi faire, ce tuto et les modifs des fichiers je les connais par coeur.

Et pourtant il y a depuis le 16 septembre (dernière connexion VPN réussie) quelque chose qui fait que cela ne fonctionne plus.

A part la mise à jour du DSM de 4.2 à 4.3 je ne vois pas ce qui aurait pu être modifié.

Si ça continue je vais voir pour revenir à la version 4.2 du DSM si c'est possible.

Il y a tellement de personnes ici qui maitrisent bien les Synology et personne pour trouver une solution

Edit (4h45 du matin!):

Youpiiiiiiii ça fonctionne.

J'ai repris à 0 tous les paramètres de connexion avec mon routeur et DDNS et maintenant cela fonctionne.

Je pense que devais avoir une erreur quelque part qui n'était pas gênante en DSM 4.2 mais qui l'est devenue en 4.3 (enfin je pense)

En tous cas l'essentiel c'est que cela fonctionne à nouveau.

Je vais enfin pouvoir aller dormir tranquille

Modifié le 30 septembre 2013 par Phill68

[Phill68]

Suite de mon investigation:

La méthode d'intégration du script pour ouvrir et fermer les ports fonctionne bien:

(voir plus haut pour le contenu du script)

Par contre j'ai du rajouter les ports TCP 5000,5001,50001 et 50002 (utilisés par VPNTunnel) dans le script pour que cela fonctionne bien, sinon je n'avais pas d'upload.

J'ai complètement fermé les ports dans le Pare-Feu en n'autorisant que les IP concernés.

Cela n'a pas d'effet quand on est connecté via VPNTunnel je sais.

J'aurais aimé trouver une solution que lorsque le VPN se déconnecte le Pare-Feu entre en action et bloque le téléchargement par fermeture des ports concernés, mais apparemment le Download station passe outre du Pare-Feu

C'est aussi pour cette raison que j'ai aussi remarqué que le script ne fonctionne pas si on lance le la connexion au VPN après avoir lancé le Download Station.

J'ai eu des cas où les ports étaient restés ouverts.

Par contre si on lance le VPN puis le Download Station les ports du script sont biens ouverts et le reste est fermé

Reste le problème de la déconnexion.

J'ai activé la notification pour être prévenu de la déconnexion du VPN mais cela ne me satisfait pas assez.

Quelqu'un connait-il une manip à faire pour bloquer l'UP/Download lorsque le VPN se déconnecte ?

Modifié le 7 octobre 2013 par Phill68

[gillou13]

Bonjour à ceux qui me liront!

La méthode décrite plus haut ne fonctionne que pour une connection propre et pas une reconnection après perte de celle-çi.

C'est étrange car suivant la doc openvpn, le script spécifié devrait être exécuté a chaque (re)conection... Je suppose que le problème est dû a la couche Syno par dessus openvpn.

Je vais me diriger vers une config d'un router (DD-WRT) qui utilisera le VPN (tun0) pour certains ports uniquement (iptables).

Etant novice dans l'administration Linux, est-ce que ça poserait probleme de lancer le script down.sh et ensuite up.sh via cron toutes les minutes ?

Aussi, est-ce qu'il est possible de forcer le download station à utiliser le VPN (tun0) ? Par exemple, si la connexion VPN est rompue, tout le trafic est bloqué (ou ne passe pas sur eth0) ?

[ERaw]

Bonjour gillou13 et les autres,

En fait, après avoir tenté d'intégrer ça dans le routeur sans succès, je suis revenu à l'utilisation du client VPN sur le Syno mais sans utiliser up/down.sh

Il ne faut pas les utiliser dans cron car ces scripts doivent être lancés uniquement pour l'état de la connection correspondant. (sinon en gros ça va mettre le brin)

Le problème étant donc de s'assurer que l'interface virtuelle du VPN exposée sur le net sans aucune protection soit sécurisée.

Pour ça j'ai créé à l'époque un tuto disponible là:

Il est interressant de lire la suite pour certaines adaptations qui sont propre a certaines configs.

Pour ce qui est de bloquer le traffic quand le VPN est down, ça devrait être faisable avec une seconde partie du script (puisque la première partie vérifie s'il est up, on pourrais faire un ELSE assez facilement) qui bloquerait le traffic indésirable en sortie. En entrée, si les ports concernés ne sont pas forwardés par le routeur vers le Syno, il seront implicitement indisponibles, donc bloqués.

J'espère que ce que j'écris est compréhensible :-)

[gillou13]

Bonjour,

je comprends tres bien le systeme de if/else (merci pour le lien).

Maintenant j'ai une autre question.

Est-ce qu'il est possible d'avoir un iptable qui ne change pas ? Je n'utilise mon VPN que pour telecharger donc en theorie, je n'ai besoin que du scenario suivant :

eth0 -> drop all

tun0 -> ouvrir les ports tcp et udp adequats pour les torrent, drop le reste

Maintenant qu'en est-il sur un reseau local ? Est-ce que le reseau local sera affecte par cela ? Est-ce que je pourrais continuer a utiliser mon media server, etc localement sans les ports ?
Quelque chose me dit que ce ne sera pas le cas. Dans ce cas, je me ferai le script qui verifie toutes les minutes si l'iptable est configure comme il le faut.

Je suppose aussi que l'iptables et modifie souvent, d'ou le fait qu'on ne peut pas garder la config avec tun0 protege tout le temps. Y'a-t-il un moyen pour bloquer la modification ?

Merci.

[ERaw]

Bonjour,

En fait il y a une contrainte assez simple qui nécessite d'avoir le script qui tourne toute les minutes. Quand le VPN se déconnecte (peu importe la raison), l'interace tun0 (ou ppp0) disparait et donc est également effacée d'iptables (iptables n'accepte que des règles pour des interfaces valides). Il n'est donc pas possible d'avoir un iptable qui ne change pas, c'est dynamique.

Si tu fais un jour un drop all sur eth0, tu auras une mauvaise surprise ton syno deviendra instantanement injoignable et donc il faudra faire un hard reboot pour le récupérer en esperant que tu n'as pas mis le drop all sur l'eth0 dans un script exécuté au démmarage... bref, oublies!

eth0 est ton interface physique primaire et donc elle ne peut pas être soumise a un drop all. En plus, il faut garder en tête que ton VPN crée tun0 au travers d'eth0. C'est un peu comme si tu coupais la branche de l'arbre sur laquelle tu es assis.

Il faut plutot t'arranger pour cibler ce que tu veux bloquer en sortie par eth0, hors VPN donc. Malheureusement le module iptables ipt_owner qui permet de filtrer les packets sortant par user (en toute logique les services que tu veux bloquer sont lancés par des utilisateurs en particuler comme transmission ou sabnzbd, à tout hasard ) n'est pas inclus dans les paquets fournis dans l'OS.

Il reste la possibilité de le faire basé sur les ports en sortie, encore faut t'il connaitre le range a bloquer, ce qui n'est pas toujours évident. Je vais y jeter un oeil si j'ai le temps.

[tetsuhito]

Bonjour a tous, et merci pour le tuto

J'essaye de faire la modification demandé via ssb

mais qd j'appuis sur [inser] dans ma fenetre ssh je vois que le fichier est [readonly] en bas

Je tape les modifs, je sauvegarde et je ferme mon client ssh.

mais le vpn ne se connecte pas

et quand je retourne dans le fichier via ssh, aucune des modifs n'est prise en compte et le fichier est celui d'origine.

Un petit peu d'aide serait la bienvenue.

et merci d'avance

Modifié le 25 janvier 2014 par tetsuhito

[tetsuhito]

j'ai réussi

PAr contre gros soucis.

Je vois plus mon VPN à distance avec l'ip de ma freebox.

Comment je fais pour connaitre ça nouvelle IP ou je suis obligé d'être en réseau local pour le voir ?

Je flippe un peu là

merci

[ERaw]

Je vois plus mon VPN à distance avec l'ip de ma freebox.

Comment je fais pour connaitre ça nouvelle IP ou je suis obligé d'être en réseau local pour le voir ?

Bonjour,

Alors pas de panique, c'est normal. Si j'ai bien compris, tu ne sais plus te connecter sur ton syno depuis l'exterieur? avec quel moyen essaies-tu de t'y connecter (ssh, https(s),...)?

Vu que ton VPN crée une interface virtuelle directement connectée à internet, elle a sa propre IP publique. Il faut voir maintenant ce que tu essaie de faire exactement. De plus, as-tu mis en place le script pour sécuriser le VPN ou pas?

Bien à toi,

E-Raw

[tetsuhito]

Bonjour.

Pour me connecter a mon NAS, depuis mon taff par exemple j'utilisais l'interface we du syno en passant par l'adresse IP de ma box, qui me renvoyais dessus.

Et non je n'ai pas mis de script en place car jusqu’à cee matin je n'arrivais pas à le faire fonctionner et je me concentrait plustot là dessus.

Ce que je veux faire

- pour l'utilisation de download station mon nas par le VPN en place, ce qui doit être le cas. si le VPN est actif

- pouvoir y acceder en local

- pouvoir y acceder à distance.

- le sécuriser si besoin

Merci de l'aide

edit, je me demande si je devrais pas configurer le DDNS pour pouvoir y acceder peut importe l'ip que le VPN, me communique non ?

Modifié le 27 janvier 2014 par tetsuhito

[gillou13]

Bonjour,

En fait il y a une contrainte assez simple qui nécessite d'avoir le script qui tourne toute les minutes. Quand le VPN se déconnecte (peu importe la raison), l'interace tun0 (ou ppp0) disparait et donc est également effacée d'iptables (iptables n'accepte que des règles pour des interfaces valides). Il n'est donc pas possible d'avoir un iptable qui ne change pas, c'est dynamique.

Si tu fais un jour un drop all sur eth0, tu auras une mauvaise surprise ton syno deviendra instantanement injoignable et donc il faudra faire un hard reboot pour le récupérer en esperant que tu n'as pas mis le drop all sur l'eth0 dans un script exécuté au démmarage... bref, oublies!

eth0 est ton interface physique primaire et donc elle ne peut pas être soumise a un drop all. En plus, il faut garder en tête que ton VPN crée tun0 au travers d'eth0. C'est un peu comme si tu coupais la branche de l'arbre sur laquelle tu es assis.

Il faut plutot t'arranger pour cibler ce que tu veux bloquer en sortie par eth0, hors VPN donc. Malheureusement le module iptables ipt_owner qui permet de filtrer les packets sortant par user (en toute logique les services que tu veux bloquer sont lancés par des utilisateurs en particuler comme transmission ou sabnzbd, à tout hasard ) n'est pas inclus dans les paquets fournis dans l'OS.

Il reste la possibilité de le faire basé sur les ports en sortie, encore faut t'il connaitre le range a bloquer, ce qui n'est pas toujours évident. Je vais y jeter un oeil si j'ai le temps.

Bonjour,

en effet, stupide de ma part d'avoir imaginer le drop all pour eth0. Je vais donc me diriger vers le script execute toutes les minutes qui verifient la presence de certaines regles dans iptables !

Merci.

[ERaw]

Bonjour.

Pour me connecter a mon NAS, depuis mon taff par exemple j'utilisais l'interface we du syno en passant par l'adresse IP de ma box, qui me renvoyais dessus.

Et non je n'ai pas mis de script en place car jusqu’à cee matin je n'arrivais pas à le faire fonctionner et je me concentrait plustot là dessus.

Ce que je veux faire

- pour l'utilisation de download station mon nas par le VPN en place, ce qui doit être le cas. si le VPN est actif

- pouvoir y acceder en local

- pouvoir y acceder à distance.

- le sécuriser si besoin

Merci de l'aide

edit, je me demande si je devrais pas configurer le DDNS pour pouvoir y acceder peut importe l'ip que le VPN, me communique non ?

OK, je vois mieux.

Est-ce que le port que tu utilise pour te connecter a l'interface web de ton Syno est forwardé depuis ta box ou est-ce que le syno est en DMZ? (perso, la DMZ c'est à proscrire!)

Pour l'accès web, privilégie le HTTPS, c'est deja beaucoup plus securisé. tu peux configurer dans le Syno les restrictions d'accès et forcer le HTTPS/SSL.

Le port par defaut pour le SSL est 5001 sur le syno.

Sinon, le plus simple est effectivement d'utiliser DynDNS ou autre équivalent depuis le Syno (pas depuis la box), il te donnera l'IP publique de l'interface VPN lorsque celui çi est connecté ou l'IP de ta box quand le VPN est OFF.

Après pour y avoir accès de manière transparente, peu importe si VPN ou pas, dépendra de la bonne configuration de ta box avec les bons ports forwardés.

Pour l'accès local, il ne devrait pas y avoir de problème en LAN si ton syno n'est pas dans une DMZ.

Après avoir tout configuré proprement et testé les accès depuis le LAN et le WAN, tu pourras regarder pour sécuriser ton interface VPN.

Bon amusement!

[tetsuhito]

et je confirme qu'il faut bien proteger son nas, j'ai du bloqué des ip et finalement désactiver le ssh suite à de multiple tentative de connexion