[TUTO] VPN Server

[Fenrir]

il y a 1 minute, JajaNas a dit :

Le nom de domaine ce n'est pas monnas.synology.me

 

[Rere10500]

Merci pour ton aide Fenrir et encore merci pour ce tuto.

[JajaNas]

Pardon ma dernière question commence à sentir la fatigue. Je confonds nom d'hôte et nom de domaine.

[Remox]

Bonsoir,

Super tuto, très bien expliqué merci !

Les vidéos ont vraiment du mal à être lues sur DS Video iOS quand je suis en VPN et 4G.

Existe t-il un moyen pour améliorer les perfs ?

J'ai un Synology DS215j. Le fait de migrer sur un Synology "play" (216play par exemple) pourrait augmenter les perfs ?

Merci ;)

[Fenrir]

il y a 43 minutes, Remox a dit :

Existe t-il un moyen pour améliorer les perfs ?

Ça dépend principalement de ta vitesse d'upload.

[Remox]

Le 14/10/2017 à 20:29, Fenrir a dit :

Ça dépend principalement de ta vitesse d'upload.

Ok je comprends mieux ! Ma vitesse d'upload est assez faible.

Merci beaucoup pour la réponse :)

[Bef]

Bonjour Fenrir,

Ai-je bien compris.

Installer VPNserver sur mon syno va me permettre d'accéder à mon syno depuis l'extérieur, de puis mon téléphone portable par exemple.

Et avoir un abonnement NordVPN par exemple, permet de surfer en sécurité sur internet.

Donc les 2 ont une utilisation différentes. Avoir NordVPN, ne suffit pas pour accéder à son NAS, il faut bien VPNserver, n'est-ce-pas ?

Merci d'avance pour ton aide ;-)

bef

[Litsip]

Il y a 5 heures, Bef a dit :

Bonjour Fenrir,

Ai-je bien compris.

Installer VPNserver sur mon syno va me permettre d'accéder à mon syno depuis l'extérieur, de puis mon téléphone portable par exemple.

Et avoir un abonnement NordVPN par exemple, permet de surfer en sécurité sur internet.

Donc les 2 ont une utilisation différentes. Avoir NordVPN, ne suffit pas pour accéder à son NAS, il faut bien VPNserver, n'est-ce-pas ?

Merci d'avance pour ton aide ;-)

bef

Coucou!

Je vais essayer d'apporter de l'eau à ton moulin.

On m'arrêtera ou complétera si je me trompe.

NordVPN et VPN Serveur sont pour des usages différents.

VPN Serveur te permet comme son nom l'indique de faire de ton NAS un serveur VPN accessible par des clients (portables, pc, etc.)

NordVPN est un serveur VPN auquel tu te raccordes, c'est donc toi dans ce cas de figure qui est le client, que ce soit avec ton nas, mais aussi tout autre device.

Donc pour connecter ton NAS à NordVPN, ça se passe dans Réseau>Interface réseau>Créer un profil VPN

 

Des lectures que j'ai pu faire, connecter simplement ton NAS à NordVpn(par exemple) n'est pas si sécurisant que ce qu'internet laisse paraître.

En effet, comme tu te connectes à un réseau (Nord), le transit de tes données est certes "dissimulé",  mais ton propre réseau est aussi accessible (sans actions de ta part, autre que te connecter à Nord).

Il y'a des façons de se protéger, mais cela m'échappe encore. 

En espérant t'avoir été utile. 

Modifié le 24 octobre 2017 par Litsip

[Fenrir]

Je confirme la réponse de @Litsip (surtout l'aspect sécurité illusoire que vendent les fournisseurs de vpn) :

• exemple : http://www.numerama.com/tech/298268-la-collaboration-decriee-de-purevpn-avec-le-fbi-pose-la-question-de-lanonymat-des-vpn.html

Mais s'il n'y avait que ça comme souci avec ces services, ça serait presque acceptable (mis à part l'aspect mensonger). La vérité est bien pire :

• lorsque tu es connecté en VPN à un serveur, ce serveur (et toutes les personnes qui y ont accès) est aussi connecté à ta machine => il peut y accéder presque aussi facilement que s'il était à coté de toi, sur la même box
  • on peut en limiter les effets à la condition de bien configurer les pare feu de tous les clients du VPN (nas, pc, ...) => personne ne le fait
• les personnes qui utilisent ces offres VPN le font car leur trafic sera brouillé (pas caché, juste brouillé) pour leur FAI ... mais ils oublient simplement qu'en faisant ça, le FAI ça devient l'hébergeur du VPN, ce dernier verra donc 100% du trafic
  • à titre perso j'ai plus confiance dans mon FAI qui est soumis aux lois françaises (cherche "secret de la correspondance" dans le code pénal) que dans une entreprise étrangère, domiciliée dans je ne sais quel pays (panama pour nordvpn) et qui se rend illégale aux yeux de nombreux pays (au panama les logs ne sont pas obligatoires, mais ils le sont pour la plupart des nœuds de sortie qui sont utilisés, donc soit ils mentent, soient ils sont dans l'illégalité)
  • par contre si on habite dans un pays nettement moins respectueux des droits de l'homme, ces offres VPN peuvent rendre service ... à la condition que l'hébergeur soit vraiment clean et de confiance et que ... (point suivant)
  • ton trafic entre ta machine et le nœud de sortie a beau être chiffré, si tu te connectes (volontairement ou non) à un site, ou même que tu laisses trainer ne serait ce qu'un seul cookie, ou que tu ne laisses passer qu'une seule vérification de mise à jour (windows, mac, android, apple, antivirus, ...), il sera très facile de remonter à ta vraie adresse IP
  • sans parler du fait qu'il est assez simple de savoir que quelqu'un fait, au hasard, du torrent dans un vpn (on ne sait pas quel est le torrent, mais on sait que ça en est)
  • je pourrai en parler longtemps (chine, protection illusoire, financement des mafias, ...), donc je m'arrête là.

À ton avis, pourquoi les lanceurs d'alerte utilisent uniquement des VM jetables (qubes) ou des distributions en lecture seule (Tails par exemple), systématiquement via Tor ou I2p ou ... en utilisant des navigateurs spécialement configurés ... mais jamais des solutions VPN ?

En complément, l'utilisation des 2 types de VPN (client et serveur) sur le même boitier (ton nas par exemple) n'est pas toujours simple à faire, donc à éviter si possible.

[Bef]

Bonsoir,

@ Litsip : Merci ;-)

@ Fenrir : 1) Tu dit : "connecté en VPN à un serveur, ce serveur (et toutes les personnes qui y ont accès) est aussi connecté à ta machine => il peut y accéder presque aussi facilement que s'il était à coté de toi, sur la même box. On peut en limiter les effets à la condition de bien configurer les pare feu de tous les clients du VPN."

---> Cela veut dire quoi et comment faire "bien configurer les pare feu" ???  Suivre et appliquer scrupuleusement ton tuto "Sécuriser les accès à son NAS" ???

2) Les offres VPN ne trouvent-elles, en aucun cas, grâce à tes yeux ? :-) Alors on fait quoi pour faire qqchose de "sérieux", sécuriser, anonyme et protéger sa vie privée ?

3) Utiliser un DD dédié de son NAS pour les connexions avec une offre VPN ? Dans le NAS les DDs ne sont-ils pas isolés entre eux ?

4) Si je souhaites visualiser une video, depuis mon smartphone depuis hors de mon domicile, dans lequel il y a mon NAS, donc visualiser une vidéo par exemple chez tante Frida qui habite à 250 km. J'installe VPN Server sur mon NAS, Video Station sur mon NAS, DS Station sur mon smartphone et lorsque je serai chez tante Frida, je pourrais ainsi visualiser une vidéo qui se trouve sur mon NAS à 250 km de là ???

Merci d'avance pour votre aide ;-)

[PiwiLAbruti]

Il y a 12 heures, Bef a dit :

Suivre et appliquer scrupuleusement ton tuto "Sécuriser les accès à son NAS" ???

C'est un bon point de départ.

Il y a 12 heures, Bef a dit :

Alors on fait quoi pour faire qqchose de "sérieux", sécuriser, anonyme et protéger sa vie privée ?

Attention de ne pas tout confondre, la protection de la vie privée ne passe pas systématiquement par l'anonymat. Et la sécurité réseau est un tout autre domaine.

Dans tous les cas, c'est hors-sujet avec ce tutoriel. Je te conseille de créer un nouveau sujet dans une catégorie appropriée du forum pour en discuter.

[MilesTEG1]

Hello,

Merci Fenrir pour ce tuto encore une fois.
Je viens de paramétrer une connexion depuis windows 10. (je ne comprends pas pourquoi il a fallu passer par la modification d'une clé dans la base de registre pour que ça fonctionne... mais bon, ca marche maintenant ;))

 

J'aurais une question :

je souhaite utiliser la connexion VPN sur le NAS distant pour accéder au DSM depuis une IP LAN, ce que je peux faire, mais j'aimerais bien que le traffic pour d'autres applications ne passe pas par le VPN.
Exemple :
Navigateur Chrome --> traffic internet normal, via la box.
Navigateur Firefox --> traffic par le VPN pour accéder à DSM et aux autres ressources du LAN distant.

Mais je ne sais pas comment faire ça. Est-ce déjà possible ? si oui comment ?

merci d'avance

++ Miles 

[Fenrir]

Réponse rapide, c'est possible, mais ça peut être très complexe (vraiment complexe, ce n'est pas une façon de parler, il s'agit ici de modifier ou d'intercepter les socket réseau utilisés par les applications) en fonction des applications.

Par contre ça n'a rien à voir avec le VPN, c'est à ta machine de dire "toi va là et toi par ici".

Ce qui est faisable assez facilement par contre, c'est de ne faire passer par le VPN que certaines destinations (avec des routes statiques) ou certains protocoles (là il faut faire du PBR, avec netfilter par exemple), mais encore une fois, aucun direct avec le VPN puisque c'est encore au client d'orienter les flux.

[PiwiLAbruti]

Il y a 4 heures, MilesTEG1 a dit :

Navigateur Chrome --> traffic internet normal, via la box.
Navigateur Firefox --> traffic par le VPN pour accéder à DSM et aux autres ressources du LAN distant.

Ça n'a rien de très complexe. Il n'y a d'ailleurs pas besoin d'utiliser deux navigateurs distincts.

Pour accéder au NAS depuis le VPN, il suffit de renseigner son adresse VPN dans le navigateur (https://10.a.b.c:5001/).

La seule condition étant de bien avoir décoché la case "Utiliser la passerelle par défaut pour le réseau distant" (pas expliqué dans le tuto) afin que le reste du trafic passe hors VPN.

Modifié le 13 décembre 2017 par PiwiLAbruti

[Fenrir]

@PiwiLAbruti : sa question pouvait être interprétées de 2 manières, d'où mes 2 réponses

[MilesTEG1]

Merci à vous deux.
@PiwiLAbruti : J'ai trouvé la case à cocher que j'ai donc cochée.

Lorsque je me connecte au VPN, je n'arrive plus à accéder au NAS, ni aux autres périphériques réseau comme la freebox. (sans cocher la case, ça fonctionnait très bien ;))
J'accède très bien à internet via ma box à moi vu la rapidité de chargement des pages ;)

Le NAS distant est sur un LAN avec l'adresse 192.168.0.100
Mon LAN à moi est sur du 192.168.1.xxx
Les adresses IP du VPN sont sur du 192.168.3.xxx

Du coup, qu'est ce que je n'ai pas fait correctement ?

[Fenrir]

Il y a 2 heures, PiwiLAbruti a dit :

La seule condition étant de bien avoir décoché la case "Utiliser la passerelle par défaut pour le réseau distant" (pas expliqué dans le tuto) afin que le reste du trafic passe hors VPN.

Le Mr il a dit "décocher" mais vu que tu n'accèdes plus à ce qui est derrière le nas, c'est ce que tu as du faire et en passant, c'est dans le tuto, que ce soit pour OpenVPN ou ipsec.

Pour le détail, tu as 2 méthodes vers la fin du tuto (là où il n'y a plus d'images ) : Les tables de routage

[MilesTEG1]

@Fenrir : ha oui, j'ai bien décoché la case et pas coché comme j'avais écrit 

Et ok, faut aller voir les tables de routages... donc pas si simple en effet.
Je pense que je vais rester sur la solution actuelle : utiliser 2 ordis en // :D Car la connexion du NAS distant est un ADSL très moisi :p

Merci bien en tout cas. J'essaierais peut être à l'occasion ;)

[Fenrir]

Pour le routage, c'est très simple à faire, tu as 2 exemples dans le tuto.

[fredo69]

Bonjour,

Tuto encore très complet. Merci!

Juste pour me rassurer, le configuration de ma box est elle bien "correcte"?

[Fenrir]

Pourquoi mettre les 2 règles du VPN dans "plages de ports" alors qu'il s'agit de 2 ports uniques ?

Et tes ports 5000 et 5001 ne devraient pas être exposés depuis Internet, c'est la porte ouverte aux ennuis.

[fredo69]

J'ai du loucher en mettant les règles pour les ports 500 et 4500. Selon ta remarque, j'ai corrigé... C'est mieux maintenant. Merci.

[fredo69]

Un truc que je ne sais pas bien faire, c'est définir l'adresse du serveur dans le nouveau profil réseau que je crée dans le panneau de configuration du Nas. En clair : qu'y mettre svp?

[El_Murphy]

@fredo69 Le profil VPN dans l'onglet Réseau sert a connecter le NAS a un Server VPN distant (hidemyass , nordvpn , cyber ghost) il va donc "disparaître" de votre réseau local parce qu'il va croire qu'il est au Luxembourg ou au Pôle Nord (ou ailleurs...selon vos choix).

Le paquet VPN Server de ce tuto sert a connecter vos appareils (téléphone , laptop , NAS chez un membre de la famille) a votre NAS et faire "croire" a vos appareils qu'ils sont  sur le même réseau local que votre NAS (chez vous).

Exemple du tuto :

je suis au boulot , sur le pc du taff je me connecte au server VPN de mon NAS chez moi.

A partir de là je peut ouvrir mon navigateur et avoir accès a mes caméras/modem/switchs...etc via les adresse ip classique (192.168.1.10) comme si j'étais sur mon pc a la maison.

 

[Sylvain37]

Bonjour, il s'agit de mon premier message, je viens d'avoir mon tout premier NAS, un 218J et en cherchant à le sécuriser, je suis tombé sur ce forum !

J'ai appliqué le tuto sécurité du mieux que je pouvais et je me suis dis que se serait bien d'utiliser un VPN car je compte utiliser les applis DS file DS audio sur smartphone et ailleurs que chez moi via un portable mac

J'ai donc suivi ce tuto mais il doit y avoir quelque chose que j'ai mal fait...

J'ai réussi à me connecter au VPN (OpenVPN) sur mon smartphone (android) sans soucis et j'apparais bien connecté dans le journal VPN server. L'utilisateur que je veux connecter a les bonnes permissions.

Maintenant quand je lance l'appli DS File, impossible de se connecter, j'ai essayé avec l'adresse 10.8.0.0, puis dans le journal de VPN Server j'ai vu la ligne [connected from "ip du téléphone" as "10.8.0.6] donc j'ai essayé avec celle-ci, sans résultat

Je précise que j'ai décoché cette option et donc laissé le # mais j'avoue ne pas trop avoir compris sa signification, en effet je souhaite simplement avoir accès au NAS et pas à l'imprimante sur mon réseau ou un autre nas. 

• Par défaut le serveur ne vous laisse accéder qu'au NAS. Si vous cochez cette case, vos clients VPN pourront aussi accéder aux autre ressources de votre réseau (une imprimante réseau par exemple, un autre nas, ...) mais leur accès à Internet passera aussi par le nas. C'est à activer en connaissance de cause.

De plus "leur accès à internet passera aussi par le nas" ça veut dire que ma connection 4G ne sera pas utilisé en cochant cette case ?

Dans le coup je ne sais pas trop ou ça bloque et quoi mettre dans le champ "adresse ou id Quick connect" de DS File...

Merci d'avance

 

 

Modifié le 31 décembre 2017 par Sylvain37