[TUTO] VPN Server

[fredo69]

Merci de ton éclairage El_Murphy, mais je suis une quiche complète sur ces sujets de réseau et de VPN. J'avais bien compris que l'intérêt du VPN est de faire croire qu'on est sur le réseau local alors qu'on y est pas, et qu'on crée une sorte de tunnel du réseau local vers l'appareil qui est en dehors, ce qui privatise et sécurise la connexion.

Mais pratiquement, quoi remplir où comment... c'est toujours aussi obscur pour moi.

[El_Murphy]

@Sylvain37 Essayez de taper l'adresse ip 192.168.x.x de votre nas une fois votre smartphone connecté au VPN.

@fredo69 Imaginons que j'ai pris un abonnement vpn distant chez nordvpn , je vais sur leurs site et il me donne une liste de leurs vpn avec l'ip et le lieu.

Exemple U.S.A = 85.254.155.31  Brazil = 46.120.131.55 ...etc vous prenez l'ip qui géographiquement vous convient et vous la mettez dans le profil VPN du nas avec votre nom d'utilisateur Nordvpn , votre mdp Nordvpn et votre clé pré-partagé Nordvpn.

[Sylvain37]

il y a 18 minutes, El_Murphy a dit :

Essayez de taper l'adresse ip 192.168.x.x de votre nas une fois votre smartphone connecté au VPN.

Smartphone bien connecté au VPN, mais cela ne fonctionne pas non plus 

[El_Murphy]

@Sylvain37 Il me semble que l'adresse OpenVPN du nas est : 10.8.0.1

Si cela ne fonctionne toujours pas , vérifiez que vous avez configuré le par feu du NAS :

[Sylvain37]

J'étais en train d'éditer effectivement cela fonctionne avec 10.8.0.1 !

C'est un manque de compréhension de cette partie du tuto : 

"En passant, notez l'adresse IP en haut : 10.8.0.1

C'est la première adresse qui sera distribuée à vos clients, votre NAS sera directement accessible à l'adresse 10.8.0.0 (il y a bien un zéro à la fin)."

Merci en tout cas, petite question, est ce que vous enregistrez votre mot de passe dans l'application Open VPN ou ce n'est pas conseillé ?

 

[El_Murphy]

Pour le mot de passe je ne serais vous conseillez.

J'utilise L2tp/Ipsec et mon mot de passe est enregistré dans le profil que j'ai fait.

Donc je dirais oui sans trop me mouiller ^^.

 

[fredo69]

Il y a 1 heure, El_Murphy a dit :

@Sylvain37

@fredo69 Imaginons que j'ai pris un abonnement vpn distant chez nordvpn , je vais sur leurs site et il me donne une liste de leurs vpn avec l'ip et le lieu.

Exemple U.S.A = 85.254.155.31  Brazil = 46.120.131.55 ...etc vous prenez l'ip qui géographiquement vous convient et vous la mettez dans le profil VPN du nas avec votre nom d'utilisateur Nordvpn , votre mdp Nordvpn et votre clé pré-partagé Nordvpn.

Ouiiii "et la lumière fut"...

Donc il me faut un fournisseur de VPN, je croyais que le NAS le faisait.

Il me faut donc déjà trouver ce fournisseur.

Merci !

[StéphanH]

il y a 27 minutes, fredo69 a dit :

Ouiiii "et la lumière fut"...

Donc il me faut un fournisseur de VPN, je croyais que le NAS le faisait.

Il me faut donc déjà trouver ce fournisseur.

Merci !

Bonjour,

Si ton besoin est de sécuriser ton accès distant à ton NAS, le NAS sait le faire ...

[fredo69]

C'est bien mon besoin... Il me semblait qu'un VPN était la meilleure solution. En existerait il une autre ?

[StéphanH]

VPN serveur le fait !


(Rédigé avec Tapatalk)

Et ce tuto est bien fait pour cela ! Tu y étais presque. Qu’est ce qui te bloque ?


(Rédigé avec Tapatalk)

[fredo69]

C'est un truc des paquets Synology ?

[StéphanH]

Oui, le paquet VPN serveur.


(Rédigé avec Tapatalk)

[fredo69]

Suis je bête, c'est avec ce paquet que j'ai tenté de sécuriser mon accès. Du coup, je ne comprends plus trop rien.

S'il n'y a pas besoin de passer ar un VON tiers, comment configurer l'accès à la connexion VPN dans le Nas ?

[El_Murphy]

Nan mais là y'a clairement un malentendus.

Le Paquet Synology Server VPN de ce tuto vous permet de connecter vos appareils qui sont hors de chez vous a votre nas , ils auront ainsi l'ip de la box de chez vous.

Le profil VPN de l'onglet réseau vous sert par exemple a connecter un second nas que vous mettez chez un parents (en utilisant l'ip publique de votre box , il va établir un tunnel jusqu'a chez vous et il auras l'ip de votre box chez vous.

Le profil VPN de l'onglet réseau avec un compte Nordvpn ou autres vous permet de télécharger dans download station le dernier big bang theory en p2p sans avoir l'ip de votre box mais celle du serveur nordvpn que vous avez choisis.

[StéphanH]

Si ton besoin est de sécuriser la connexion de ton PC a ton NAS lorsque tu es en dehors de chez toi, ce tuto est fait pour cela.

Si tu souhaites masquer l’adresse publique de ton NAS pour, par exemple, faire de téléchargement, c’est autre chose.




(Rédigé avec Tapatalk)

[fredo69]

Ok, merci à vous deux.

Mon besoin, accéder à mon Nas avec mon portable en 4G. Pour écouter de la musique, puis voir les vidéos, les photos, les documents. Pour le reste, j'ai une seedbox...

Du coup, si je comprends bien, pas besoin de configurer une connexion VPN comme indiqué à la fin du tuto.

[StéphanH]

Pour la musique et les vidéos, je ne vois pas trop l’intérêt d’un VPN. Pour les documents, pourquoi pas, mais un bon mot de passe en https est déjà pas mal ...

Le VPN prend son utilité si tu souhaites par exemple administrer ton NAS à distance, ou bien accéder à certains autres équipements de ton LAN (caméras ...)


(Rédigé avec Tapatalk)

[El_Murphy]

Sur votre smartphone vous aller dans les réglages réseau , vous faite un profil vpn avec comme info :

- l'ip publique de votre box

-la clé pré partager que vous avez mis dans le paquet server vpn du nas

-un compte du nas avec la permission dans le paquet server vpn

-le mot de passe du compte

[fredo69]

Extra, merci beaucoup à vous

[Diabolomagic]

Bonsoir, avant cette soirée de réveillon j'aurai (normalement) une derniére question pour clore cette année 2017 :
Je viens de suivre le tuto à la régle, j'ai configuré une connection VPN L2TP/IPSEC, j'arrive sans soucie à me connecter depuis mon smartphone sur le NAS via ma connection 4G seulement (si j'ai bien compris) Fenrir conseil de bloquer la connection au port UDP 1701 afin d'être certain que sa connection est sécurisée et qu'il ne sagit pas d'une simple connection point à point L2TP en clair.

Sur le routeur j'ai créé ces deux régles car je ne sais pas quelle IP de destination mettr ? y a t'il un moyen de vérifier que la connection VPN est bien chiffré via IPSEC ? Merci par avance et bonne année à tous :)

 

Regles de Parefeu :

Regles de transmission de port :

Modifié le 31 décembre 2017 par Diabolomagic

[Fenrir]

Il y a 17 heures, Sylvain37 a dit :

J'étais en train d'éditer effectivement cela fonctionne avec 10.8.0.1 !

C'est un manque de compréhension de cette partie du tuto : 

Tiens ça a changé, je corrige le tuto.

[Diabolomagic]

Une idée pour mon histoire de blocage de port 1701 ou pour savoir comment je peux vérifier que ma connexion est correctement chiffré ?

Bonne année à tous :)

[El_Murphy]

@Diabolomagic Vous avez bloqué le port 1701 sur le par feu du NAS , le tuto de Fenrir préconise de l'ouvrir mais de ne pas faire de transfert de la Box au NAS .

Citation

Il faut bien ouvrir le port UDP 1701 sur votre NAS s'il est derrière un routeur, mais il ne faut pas l'ouvrir ni le transférer sur votre routeur.

Si vous ouvrez ce port sur votre routeur, vous autorisez les connexions L2TP direct. Le soucis est que certains clients testent plusieurs protocoles (iOS et Windows 10 par exemple), selon la priorité de leurs tests, s'ils voient le L2TP d'ouvert, il vont tenter de s'y connecter sans monter le tunnel IPSec. Du point de vue du client ça fonctionne et c'est rapide, mais en pratique, il n'y a aucun chiffrement de la connexion.

Si vous êtes connecté en filaire sur un réseau de confiance, ce n'est pas forcement trop grave, mais si vous voulez accéder à votre NAS depuis un HotSpot, sachez que TOUT ce que vous ferez sera en clair et lisible par n'importe qui.

Un pirate pourra facilement (vraiment très facilement, environ 10sec de travail) espionner votre trafic (donc vos mots de passe), se connecter à votre PC, à votre nas et à tout ce qu'il y a derrière.

Il est donc important de ne pas ouvrir ni transférer le L2TP (UDP 1701) sur votre routeur. Par contre il doit être autorisé sur le NAS.

 

Modifié le 1 janvier 2018 par El_Murphy

[Diabolomagic]

Le 01/01/2018 à 12:38, El_Murphy a dit :

@Diabolomagic Vous avez bloqué le port 1701 sur le par feu du NAS , le tuto de Fenrir préconise de l'ouvrir mais de ne pas faire de transfert de la Box au NAS .

 

Euh il y a du avoir une erreur, j'ai bien bloqué le port 1701 sur le parefeu du routeur et autoriser ce port sur le parefeu du NAS, la copie d'écran est trompeuse car j'ai un routeur Synology également.

J'en profite pour vous demander si le seul moyen que j'ai pour vérifier le chiffrement de la connection VPN (de mon smartphone en 4G à mon NAS) est d'utiliser wireshark ?

Modifié le 2 janvier 2018 par Diabolomagic

[PiwiLAbruti]

Le 13/08/2016 à 17:13, Fenrir a dit :

Il faut bien ouvrir le port UDP 1701 sur votre NAS s'il est derrière un routeur, mais il ne faut pas l'ouvrir ni le transférer sur votre routeur.

Le 13/08/2016 à 17:13, Fenrir a dit :

Il est donc important de ne pas ouvrir ni transférer le L2TP (UDP 1701) sur votre routeur. Par contre il doit être autorisé sur le NAS.

Dans le cas de l'utilisation du serveur VPN du routeur Synology (VPN Plus Server), il me semble qu'il faille autoriser les adresses locales (au moins le range IP VPN client) à accéder au port udp/1701 ?