[TUTO] VPN Server

[titis14]

j'ai déjà la ligne redirect-gateway def1 de dé-commenter. Dans ce cas il faut faire comme tu dis à la ligne dhcp-option DNS DNS_IP_ADDRESS indiqué un serveur DNS.

Je vais tester.

Voilà maintenant cela fonctionne, j'ai remis les paramètres réseau par défaut ensuite j'ai re-commenter la ligne "redirect-gateway def1" et j'ai dé-commenter la ligne  " dhcp-option DNS DNS_IP_ADDRESS " en y indiquant un DNS 8.8.8.8.

[Fenrir]

il y a 1 minute, titis14 a dit :

j'ai déjà la ligne redirect-gateway def1 de dé-commenter

Dans ce cas ton client utilise les DNS de son interface principale, la seule conf qui pourrait alors bloquer c'est un soucis de plan d'adressages ou un DNS non accessible en direct.

Si par exemple le client a un DNS qui n'est pas dans son réseau mais qui n'est pas non plus accessible depuis Internet => ça peut venir de la conf réseau de ton hotspot

[titis14]

Ok bon cela fonctionne maintenant, j'utilise les DNS de OpenDNS. Merci pour tes tests et tes explications.

[csi_bern]

Et comment fait-on quand on ne peut pas installer openVPN parce qu'on a pas les droits admin ? Existe-t-il une version portable ?

J'ai trouvé une source (http://www.hacker10.com/computer-security/use-a-vpn-on-a-computer-without-admin-rights/) qui donne une voie. Mais :

• Quand je veux télécharger openVPN portable sur sourceforge j'ai un grand bandeau rouge d'avertissement de Chrome
• Cette info date de 2010
• Enfin, ça n'est pas très user friendly de devoir passer par une clé USB.

Sinon, très bon tuto, merci Fenrir.

Meilleures salutations

[Fenrir]

il y a 17 minutes, csi_bern a dit :

Et comment fait-on quand on ne peut pas installer openVPN parce qu'on a pas les droits admin ? Existe-t-il une version portable ?

Si tu n'as pas les droits d'admin, c'est qu'il s'agit d'un poste que tu ne gères pas, donc il faut demander au gestionnaire.

Il existe parfois des moyens de contourner (ça dépend des restrictions en place sur le poste), mais je ne peux décemment pas les indiquer, désolé.

[scoobydoos]

Bonjour,

J'ai plusieurs questions :

- J'ai configuré OPENVPN et L2TP : C'est ça ?

- Comment fait-on pour autoriser les ports sous le NAS ? 

• Veuillez vérifier les paramètres de transmission de port et de pare-feu sur votre Synology NAS et routeur pour vous assurer que les ports UDP 1701, 500 et 4500 sont ouverts.

- Ensuite pour se connecter sur un PC à distance, il faut installer openvpn et rentrer quel IP ?

Merci par avance

@+

[Fenrir]

il y a 11 minutes, scoobydoos a dit :

- J'ai configuré OPENVPN et L2TP : C'est ça ?

Tu n'est pas obligé de configurer les 2, mais ce n'est pas un soucis

il y a 11 minutes, scoobydoos a dit :

- Comment fait-on pour autoriser les ports sous le NAS ? 

Tu as des exemples dans le tuto, y compris pour les box (n'ouvres pas le port 1701 dans ta box)

il y a 12 minutes, scoobydoos a dit :

- Ensuite pour se connecter sur un PC à distance, il faut installer openvpn et rentrer quel IP ?

L'ip Internet de ta box

[scoobydoos]

Salut,

Pas tout compris, j'avoue.. :)

En fait, j'ouvre les ports sur ma box ? ou sur le nas ?

Pour accéder au NAS directement, je passe par l'IP de la box ?

Sinon, normalement je passe par  :  http://QuickConnect.to/xxxxxxxx

Mais est-ce que je passe par le VPN du coup ?

Merci par avance

@+

Modifié le 6 février 2017 par Lucien77
Inutile de citer le post précédent

[Fenrir]

il y a 36 minutes, scoobydoos a dit :

En fait, j'ouvre les ports sur ma box ? ou sur le nas ?

Les 2, sauf dans le cas d'ipsec où il ne faut pas ouvrir le port udp 1701 dans la box

il y a 37 minutes, scoobydoos a dit :

Pour accéder au NAS directement, je passe par l'IP de la box ?

Non, par l'ip privée du nas (10.x.x.x ou 192.168.x.x en fonction de ta conf

Pour Quickconnect, techniquement c'est du vpn, mais ouvert à tout le monde (tout internet) et sans authentification

=>je te recommande de relire tranquillement le tuto, en entier.

[Thierry94]

Bonsoir,

J'ai suivi le tuto pour configurer une connexion VPN L2TP. Les ports 1701, 500 et 4500 sont ouverts sur le NAS et les ports500 et 4500 sont ouvert sur la box SFR et routés vers le NAS.J'ai configuré mes 2 smartphones pour utiliser cette connexion (1 est sur Windows 10 mobile et l'autre sur IOS) comme indiqué sur le tuto.
En local les 2 smartphones se connectent sans problème en VPN  au NAS
En accès 4G seul le smartphones sur IOS arrive à ce connecter en VPN au NAS, pour le Windows 10 mobile j'ai une erreur 809.

J'ai beau relire le tuto et revérifier plusieurs fois tout mon paramétrage je n'arrive pas à trouver ce qui empêche Windows 10 mobile de se connecter via 4G ...
Avez vous des idées de recherche ?

Merci d'avance,
Thierry

 

 

Modifié le 7 février 2017 par Thierry94

[Einsteinium]

Mais le problème ne vient pas du serveur vpn mais de ton smartphone Windows, on ne te sera pas d'une grande aide ici donc 

(Car tu as bien appliqué le tutoriel et il marche (iOS))

Fait une recherche Google, ce problème est très connus ;-)

[Fenrir]

C'est la même erreur que sur un poste Windows "classique", ton nas est derrière un NAT, par contre aucune idée de comment configurer un Windows Mobile (je n'en ai jamais eu).

Le 13/08/2016 à 17:13, Fenrir a dit :

Si votre NAS est derrière un routeur-NAT (une box par exemple), il faut créer la valeur de registre suivante : https://support.microsoft.com/en-us/kb/926179

• Clef : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
• Valeur DWORD32 : AssumeUDPEncapsulationContextOnSendRule
• Donnée de la valeur : 2
• et on reboot le PC

 

 

[Nanolab]

Bonjour à tous !

Tout d'abord un grand merci pour ce tuto très clair à suivre !

J'avais mis en place la config avec OpenVPN il y a un petit moment alors que j'avais certifié mon Syno (un DS214Play) chez StartSSL. Ça marchait impec. 

Lorque ce certificat est arrivé à expiration, j'ai décidé de basculer chez Gandi pour un nouveau certificat (mon nom de domaine est chez Gandi aussi). Je m'étais pas occupé de remettre en place le VPN (pas de besoin à ce moment là d'accès au Nas de l'exterieur).

Du coup, en voulant réactiver le serveur VPN, ça ne marche plus... L'export de la config (après passage chez Gandi) a bien été fait mais je peux pas me connecter au VPN à cause d'erreur de vérif de certificats. D'après mes recherches, c'est purement le serveur VPN Synology qui n'est pas foutu capable de gérer un changement de certification....

Bref petit coup de gueule envers Synology pour ça !

Si jamais quelqu'un peut m'éclaircir sur ce problème ?

Je vais tenter le passage à L2TP Ipsec dans le WE je pense...

Encore merci pour le tuto en tout cas !

[Fenrir]

Je pense que c'est surtout ton client qui n'a pas géré le changement de certificat.

Il faut supprimer le certificat sur ton client et installer le nouveau.

[alexdu17]

Bonjour à tous,

Merci de ces tuto très explicite !! . Après avoir lu celui sur la sécurisation du Nas et dernièrement le server Vpn j’ai moi-même essayé de configurer mon NAS synology DS216play.

Après avoir terminé la config à priori sans problème… je décide de la tester sur www.ipleak.net et je constate que mon IP apparait et non celle de mon VPN ! Cela fonctionne cependant pour le WebRTC ?

 

Vos conseils seront les bienvenus 

Merci.

[Fenrir]

Ce tuto permet d'utiliser le NAS comme "serveur" VPN, l'adresse IP qui apparait est donc celle de la connexion Internet du NAS.

Il ne s'agit pas d'un tuto permettant de se cacher d'Hadopi

[alexdu17]

Il semblerait que je n’avais pas ou mal compris la signification d’un serveur VPN, merci pour votre retour. 

[Nanolab]

Il y a 16 heures, Fenrir a dit :

Je pense que c'est surtout ton client qui n'a pas géré le changement de certificat.

Il faut supprimer le certificat sur ton client et installer le nouveau.

Bonjour Fenrir,

J'ai pourtant bien re-importer la config ainsi que les certificats exportés du Nas sur mon client, je regarderai ça dès que je peux.

Merci pour ton aide !

[El_Murphy]

Merci pour ce superbe tuto.

Fonctionne nickel en l2tp/ipsec sur mes PCs windows. (avec modification du registre)

En revanche mon Xpéria Z5 refuse catégoriquement de se connecter au VPN. 

Alors que sur un Xpéria E5 ça fonctionne du premier coup... >_<'

J'ai modifié la ligne dans le fichier ipsec.conf mais ça ne change rien sur le Z5.

Je crois que mon Z5 va devoir passer par OpenVPN.

En tout cas merci Fenrir pour vos tutos , ils sont très pratique ^^

 

Edit: C'est bon pour le Z5 , il fallait juste activer le "mode rétrocompatible".

 

Modifié le 24 mai 2017 par El_Murphy

[yolosp]

Bonjour,

Je rencontre quelques difficultés pour configurer une connexion VPN sur un NAS (DS216 / DSM DSM 6.1.1-15101 Update 4).
Sur le serveur :
+ OpenVPN indique « Echec d'activation d'OpenVPN . Veuillez vérifier le fichier de configuration ». Effectivement, j'ai le README.txt, VPNConfig.ovpn est vide et les deux autres fichiers cert sont absents).
+ L2TP/IPSec : configuration comme indiqué
Routeur/Box : Livebox pro v4 avec 2 ports configurés sur la page Nat.
Clients testés en L2TP/IPSec : Win10 (avec registre modifié) ou Android 6 (sans modification).

Résultats:

Windows « La tentative de connexion L2TP a échoué parce que la couche de sécurité a rencontré une erreur de traitement au cours des négociations initiales avec l'ordinateur distant».
Android : « Echec ».

la commande tcpdump -n -q "udp dst port 500 or udp dst port 4500" indique :
22:45:54.596991 IP 37.x.y.z.36524 > 192.168.1.101.500: UDP, length 408
22:45:54.676825 IP 37.x.y.z.36524 > 192.168.1.101.500: UDP, length 388
Est-ce normal que le port soit 36524, 36521 ou 36519 ?

Log /var/log/pluto.log
| rejected packet:
[...]
"L2TP-PSK-NAT"[1] 37.x.y.z #1: ERROR: asynchronous network error report on eth0 (sport=500) for message to 37. x.y.z port 36519, complainant 37.x.y.z : Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]
"L2TP-PSK-NAT"[1] 37.x.y.z #1: max number of retransmissions (2) reached STATE_MAIN_R2
"L2TP-PSK-NAT"[1] 37.x.y.z #1: deleting state #1 (STATE_MAIN_R2)
| deleting event for #1
| no suspended cryptographic state for 1
[...]
| state hash entry 5
| processing connection L2TP-PSK-NAT[1] 37.x.y.z
"L2TP-PSK-NAT"[1] 37.x.y.z : deleting connection "L2TP-PSK-NAT" [whackfd=4294967295] instance with peer 37.x.y.z {isakmp=#0/ipsec=#0}
| next event EVENT_PENDING_DDNS in 27 seconds
Faut-il activer la réponse au ping sur la box ?
Est-ce que vous auriez quelques conseils ?
Merci.

Modifié le 16 juin 2017 par yolosp

[Fenrir]

Vérifie que tu as bien mis à jour le paquet VPN Server. Tu peux aussi le désinstaller et le réinstaller.

[yolosp]

@Fenrir - Bien vu, la réinstallation du server VPN a résolu le plantage d'OpenVPN... Pour le L2TP, je n'ai pu re-tester. Merci!

 

[boris21dd]

Bonjour à tous,

La livebox a changé d ip public sans raison et comme je ne suis pas sur ce site j'ai rien compris : openvpn hs etc sauf plex et les applications sous android

Arrivant sur le site j'ai commencé par un reboot puis à me connecter en local

depuis tout est redevenu normal sauf openvpn

j'ai supprimé vpn server pour le réinstaller ensuite, redémarré, supprimer celui-ci à nouveau redémarré ,réinstallé mais rien n'y fait. J'ai l'impression qu'on est bloqué !

Coté windows j'ai naturellement changé le fichier log dans son répertoire de librairie mais rien n'y fait, en gros je télécharge le nouveau zip depuis vpn server dans la rubrique open vpn puis je change l'ip par celle ou est mon syno.

Avec l'interface openvpn windows 7 "J'ai toujours ce message "xxx" = "adresse ip public du syno"

Mon Jul 17 21:29:46 2017 OpenVPN 2.4.2 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on May 11 2017
Mon Jul 17 21:29:46 2017 Windows version 6.1 (Windows 7) 64bit
Mon Jul 17 21:29:46 2017 library versions: OpenSSL 1.0.2k  26 Jan 2017, LZO 2.10
Enter Management Password:
Mon Jul 17 21:29:51 2017 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Mon Jul 17 21:29:51 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]xxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Mon Jul 17 21:29:51 2017 UDP link local (bound): [AF_INET][undef]:1194
Mon Jul 17 21:29:51 2017 UDP link remote: [AF_INET]xxxxxxxxxxxxxxxxxxxxxxx

Coté interface syno : on voit que l'info arrive comme indéfinie

Une idée car je galère pas mal... ??

Merci par avance

[Fenrir]

Il y a eu pas mal de mise à jour d'openvpn chez syno récemment, vérifie que tu es à jour.

Sinon n'hésites pas à supprimer le paquet pour refaire une conf propre.

En tout cas chez moi ça fonctionne sans problèmes.

[boris21dd]

Salut Fenrir,

Moi pas comprendre !

Sur mon Syno, j'ai uniquement VPN SERVER qui contient Openvpn. J'ai donc desinstallé et réinstallé plein de fois VPN SERVER et j'ai la derniere version la 1.3.5-2762.

Ne peut il pas etre bloqué ?

il y a 24 minutes, boris21dd a dit :

Mon Jul 17 21:29:51 2017 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Mon Jul 17 21:29:51 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]xxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Mon Jul 17 21:29:51 2017 UDP link local (bound): [AF_INET][undef]:1194

Pourquoi sa m'ecrit cela ?

 

Pas acquis de conscience je viens desinstaller VPN SERVER pour faire une installation manuelle mais rien n'y fait.

Une idée ?