utiliser un VPN uniquement pour Download Station

[yan1608]

Bonjour,

 

Merci beaucoup @cadkey. Je creuse un peu le sujet car y a encore des choses qui me posent soucis mais tu m'as déjà beaucoup aidé! 

 

Merci encore et bonne journée !

[Anthal31]

Le 24/10/2022 à 11:14 AM, cadkey a dit :

Ca fonctionne bien en DSM 7.1 avec les passerelles multiples. Seulement Download station passe par le VPN.
C'était pour moi plus capricieux avec DSM 6.xx

Ca gene Plex mais il suffit de faire des routes statiques sur les serveurs plex

Salut @cadkey
Je faisais la même chose que toi jusque là en ajoutant les DNS de Plex dans mon route statique mais j'ai l'impression que cela saute de plus en plus fréquemment maintenant.
Je récupérais les infos ici
https://www.dnswatch.info/dns/dnslookup?la=en&host=plex.tv&type=A&submit=Resolve

mais peut être que je me trompe quelque part.
Comment est ce que tu configures ton route statique?

[cadkey]

Les adresses Plex changent régulièrement. Possible que ça change plus souvent en ce moment, je ne sais pas.

[Anthal31]

Il y a 15 heures, cadkey a dit :

Les adresses Plex changent régulièrement. Possible que ça change plus souvent en ce moment, je ne sais pas.

Tu penses qu'il y a un moyen d'automatiser le route statique des DNS Plex? un script?

[cadkey]

Tu as la solution de modifier le fichier .ovpn

 

[Anthal31]

il y a 20 minutes, cadkey a dit :

Tu as la solution de modifier le fichier .ovpn

 

😮
Je n'y aurai jamais pensé!
Merci beaucoup à toi et @Narco62
Ce sera tellement plus stable comme ça.

Au top cette communauté!

merci merci merci

[coyote026]

Le 18/11/2023 à 9:44 PM, nedous a dit :

Hello,

Je propose mon grain de sel,

Chez moi j'ai interdit Download-station, BT et eMule, dans le pare-feu, sur toutes les interfaces réseau sauf sur le réseau VPN, du coup quand le VPN s'arrête, pour une raison ou une autre, Download-station n'a plus de réseau.

Il suffit, sur le pare-feu, sur "toutes les interfaces"

- D'autoriser les IP internes à votre réseau domestique.

- Autoriser internet sur la France (j'ai rajouté les USA en plus pour let's encrypt)

- Et refuser tout le reste.

Sur les LAN actives, le pare-feu contient

- Toutes les règles dont j'ai besoin

- Et surtout j'ai refuser l'accès a Download-station.

Et pour finir sur l'interface VPN

- J'autorise uniquement Download-station.

 

Façon de faire depuis un bail, jamais eu de problème.

 

Salut,

Le 18/11/2023 à 9:44 PM, nedous a dit :

Hello,

Je propose mon grain de sel,

Chez moi j'ai interdit Download-station, BT et eMule, dans le pare-feu, sur toutes les interfaces réseau sauf sur le réseau VPN, du coup quand le VPN s'arrête, pour une raison ou une autre, Download-station n'a plus de réseau.

Il suffit, sur le pare-feu, sur "toutes les interfaces"

- D'autoriser les IP internes à votre réseau domestique.

- Autoriser internet sur la France (j'ai rajouté les USA en plus pour let's encrypt)

- Et refuser tout le reste.

Sur les LAN actives, le pare-feu contient

- Toutes les règles dont j'ai besoin

- Et surtout j'ai refuser l'accès a Download-station.

Et pour finir sur l'interface VPN

- J'autorise uniquement Download-station.

 

Façon de faire depuis un bail, jamais eu de problème.

 

Bonjour,

J'avais à peu près la même configuration que toi (ton 2ème et 3ème paragraphe) sur mon 918+ depuis plus de 2 ans lors de la souscription à cyberghost (openvpn) et de sa configuration :

"Sur les LAN actives, le pare-feu contient

- Toutes les règles dont j'ai besoin

- Et surtout j'ai refuser l'accès a Download-station.

Et pour finir sur l'interface VPN

- J'autorise uniquement Download-station".

En revanche, lors du passage à cette configuration, je n'avais plus  :

- accès à mon nas via le certificat let's encrypt (obligé d'y avoir accès via l'ip ou quickconnect) ;

- vitesse de download des torrents bridées à 20 Mo/s (alors que je suis fibré via une freebox pop - sans le vpn cyberghost activé je download les torrents à 100 Mo/s) ;

Du coup, d'après tes explications j'ai rajouté ton 1er paragraphe de configuration :

"sur "toutes les interfaces"

- D'autoriser les IP internes à votre réseau domestique.

- Autoriser internet sur la France (j'ai rajouté les USA en plus pour let's encrypt)"

Voici les 3 captures d'écran correspondantes (la 1ère étant le paramétrage que j'ai rajouté - les 2 dernières sont celles que j'avais en place).

Pour info mon routeur est ma freebox pop.

Est-ce que tu valides ?

 

Modifié le 8 avril par coyote026

[coyote026]

Le 08/04/2024 à 4:39 PM, coyote026 a dit :

Salut,

Bonjour,

J'avais à peu près la même configuration que toi (ton 2ème et 3ème paragraphe) sur mon 918+ depuis plus de 2 ans lors de la souscription à cyberghost (openvpn) et de sa configuration :

"Sur les LAN actives, le pare-feu contient

- Toutes les règles dont j'ai besoin

- Et surtout j'ai refuser l'accès a Download-station.

Et pour finir sur l'interface VPN

- J'autorise uniquement Download-station".

En revanche, lors du passage à cette configuration, je n'avais plus  :

- accès à mon nas via le certificat let's encrypt (obligé d'y avoir accès via l'ip ou quickconnect) ;

- vitesse de download des torrents bridées à 20 Mo/s (alors que je suis fibré via une freebox pop - sans le vpn cyberghost activé je download les torrents à 100 Mo/s) ;

Du coup, d'après tes explications j'ai rajouté ton 1er paragraphe de configuration :

"sur "toutes les interfaces"

- D'autoriser les IP internes à votre réseau domestique.

- Autoriser internet sur la France (j'ai rajouté les USA en plus pour let's encrypt)"

Voici les 3 captures d'écran correspondantes (la 1ère étant le paramétrage que j'ai rajouté - les 2 dernières sont celles que j'avais en place).

Pour info mon routeur est ma freebox pop.

Est-ce que tu valides ?

 

up svp

[cadkey]

Réponse juste au dessus.

[coyote026]

Il y a 22 heures, cadkey a dit :

Réponse juste au dessus.

Je te remercie pour ta réponse (je te précise que je n'utilise pas Plex).

En relisant le fil de discussion, j'ai noté qu'il fallait décocher la case ARP (en plus des paramétrages rajoutés dans ma 1ère image de mon post précédent).

Le fait de décocher ARP m'a permis à nouveau de pouvoir créer un certificat let's encrypt fonctionnel.

En revanche, je plafonne toujours à 20 mo/s en téléchargement via mon VPN cyberghost (serveur en Suisse).

As-tu une idée ?

[cadkey]

Tu as bien créé un vpn dans Cyberghost 'autre' avec protocole en Openvpn <=2.3 en UDP et non TCP qui est moins rapide.

Avec les paramètres avancés comme définis, je n'ai aucun besoin de règles du pare-feu pour que seul download station passe par mon vpn (Cyberghost).

Tout le reste passe hors vpn.

Modifié le 15 avril par cadkey

[coyote026]

il y a une heure, cadkey a dit :

Tu as bien créé un vpn dans Cyberghost 'autre' avec protocole en Openvpn <=2.3 en UDP et non TCP qui est moins rapide.

Avec les paramètres avancés comme définis, je n'ai aucun besoin de règles du pare-feu pour que seul download station passe par mon vpn (Cyberghost).

Tout le reste passe hors vpn.

Merci de ton retour.

Je te confirme que ma config openvpn est bien <=2.3 en UDP.

Quand tu écris : 

Citation

Avec les paramètres avancés comme définis, je n'ai aucun besoin de règles du pare-feu pour que seul download station passe par mon vpn (Cyberghost)

Tu entends que j'ai le même paramétrage que toi ou encore moins d'options activées ?

Je vois que tu as Cyberghost : ta vitesse en dl est-elle supérieure à la mienne ?

[cadkey]

il y a 3 minutes, coyote026 a dit :

Merci de ton retour.

Je te confirme que ma config openvpn est bien <=2.3 en UDP.

Quand tu écris : 

Tu entends que j'ai le même paramétrage que toi ou encore moins d'options activées ?

Je vois que tu as Cyberghost : ta vitesse en dl est-elle supérieure à la mienne ?

Je n'ai aucune ligne de mon pare-feu qui concerne le vpn. Je n'en ai pas besoin. Download station passe par le vpn, tout le reste passe hors vpn.

 

[coyote026]

Citation

Je n'ai aucune ligne de mon pare-feu qui concerne le vpn. Je n'en ai pas besoin. Download station passe par le vpn, tout le reste passe hors vpn.

Si le parefeu de ton nas synology est désactivé je n'arrive pas à comprendre comment downloadstation peut "deviner" de
passer par le vpn cyberghost sans instruction ?

 

Toi tu as juste l'interface réseau supplémentaire ?

[cadkey]

Juste l'interface réseau supplémentaire vpn et dans 'paramètres avancés', 'utiliser les passerelles multiples'. Mon pare-feu n'est pas désactivé mais n'a aucune règle spécifique liée au vpn.

Voir le post de islandar ici:

c'est très simple.

 

[coyote026]

Et en cas de redémarrage du nas (manuelle ou par une coupure de courant), cette manipulation sera retenue ?

J’ai dû mal m’exprimer : mon pare-feu n’a pas de réglage spécifique au VPN, comme le montre mais captures d’écran, j’expliquais que download station passe uniquement dans le profil du VPN et les autres services dans le LAN.

Je vais néanmoins essayer la méthode.

Ton débit est-il bridé comme le mien (20 Mo/s) ou montes-tu plus haut ?

Modifié le 15 avril par coyote026

[cadkey]

Tout est fonctionnel depuis plus de trois ans, après redémarrage ou mise à jour DSM, tout est ok. Mon débit est plus rapide que le tien, x1.5 à x2, sachant qu'il est normal que la vitesse de download diminue en passant par un vpn.

J'ai également un script actif toutes les minutes qui relance le vpn si il s'arrête, au cas où...

 

Modifié le 15 avril par cadkey

[coyote026]

Je suis intéressé par le script que tu utilises, en revanche je ne sais pas comment le générer et encore moins l’installer.

Peux-Tu m’aider ?

En outre, peux-tu stp m’indiquer les réglages que tu as appliqué dans download station.

Ma config BT :

Modifié le 20 avril par coyote026

[cadkey]

Le script: https://github.com/ianharrier/synology-scripts/tree/master

[coyote026]

Je te remercie pour le lien.

En revanche, pour l’installer je passe par planificateur de tâches en choisissant toutes les minutes et en copiant collant le script dans son intégralité ?

Faut-il écrire quelque chose particulier dans le script ?

Juste l'interface réseau supplémentaire vpn et dans 'paramètres avancés', 'utiliser les passerelles multiples'. Mon pare-feu n'est pas désactivé mais n'a aucune règle spécifique liée au vpn.
Voir le post de islandar ici:
c'est très simple.
 

Je reviens sur l’absence de configuration particulière par rapport au vpn dans le pare-feu du nas.

Juste j’aime bien comprendre : Comment DSM sait que le vpn est à utilisr pour download station juste en cochant la case « utiliser les passerelles multiples » et le reste du traffic passe par l’IP locale.

Je ne remets pas en cause que ça fonctionne mais je m’explique pas le comment.

[cadkey]

Le script ne fonctionne pas comme ça. Tu copies le script dans un dossier partagé du nas et tu appelles le script (toutes les minutes) par le planificateur de tâches. Recherche un peu, il y a des tutos.

Concernant, 'utiliser les passerelles multiples':

https://kb.synology.com/fr-fr/DSM/help/DSM/AdminCenter/connection_network_route?version=7

Et https://mac-quest.com/synology-nas-torrent-vpn/

Relis aussi le fil dans lequel a répondu islandar, le post de Fenrir sous sa réponse, connexion initiée par le nas (vpn) ou initiée de l'extérieur.

[coyote026]

Bonjour,

Depuis hier, j'ai une grosse chute de débit avec mon vpn cyberghost et downloadstation : de 20mo/s à 1mo/s !

Est-ce que ça vous le fait aussi ?

Mon serveur vpn est en suisse et j'ai fait la dernière mise à jour de downloadstation en début de semaine : 4.0.3-4720.