[TUTO] VPN Server

[Dimebag Darrell]

Le 25/05/2018 à 11:34, Fenrir a dit :

@Dimebag Darrell : réinstalle le paquet puis désactive le FW et refais la conf à partir de zéro, pour le moment je ne vois que ça, mais un bug n'est pas à exclure (il faudrait les logs client+serveur)

Merci pour le conseil,

J'essaie et te tiens au courant

Concernant les logs, une idée comment les extraire ?

 

[Dimebag Darrell]

Je viens d'essayer en dés installant le paquet, désactivation du firewall, reboot du NAS, ensuite, installation du paquet
J'ai essayé la même config, et toujours rien.

Pour info, mon ancien NAS a exactement la même config, et ça fonctionne.

Pour info 2, je vois bien que le serveur VPN se lance dans le journal du serveur VPN, mais mon client ne peut pas établir la connection !

[Dimebag Darrell]

Je reviens avec un feedback,

J'ai testé avec une autre configuration VPN, cette fois-ci en open VPN,

ça fonctionne mais !

Quand j'active le service openVPN dans le VPN server (sans y être connecté, je précise), il m'est impossible d'atteindre mon nas en local via son nom de domaine

via l'adresse 192.168.x.x, ça fonctionne, mais pas via https://mon.nom.domaine !

Ce serveur VPN comme royalement à me sortir par tous les trous !

[Fenrir]

Le 17/07/2018 à 10:52, Dimebag Darrell a dit :

Ce serveur VPN comme royalement à me sortir par tous les trous !

Tu es un hobbit ?

Quand tu as supprimé le paquet, tu as aussi supprimé les conf résiduelles ? (/volume1/@appstore/VPNCenter)

Tes plans d'adressages ne sont pas en conflit ?

Pour les logs la plupart sont dans /var/log, par exemple pluto.log pour l'ike

Mais vu le nombre de personnes qui ont suivi ce tuto avec succès, je pense que tu as raté un truc tellement gros qu'on le voit pas même en vérifiant 15 fois (ça arrive souvent)

[Langer]

Salut, j'ai souci pour accéder à mes dossiers locaux (du syno) avec le protocole SMB au travers du VPN, depuis un rasberry pi.

j'ai l'impression que tout les paramètres sont OK, la connection VPN est active, et je peux naviguer dans les dossiers avec le protocole Webdav.

Le PI, avec OSMC m'affiche "Operation not permitted" quand j'essaye d'accéder au Nas avec le protocole SMB

Des suggestions ? Je n'ai plus trop d'idées là 😕

Merci

 

[Dimebag Darrell]

Le ‎20‎/‎07‎/‎2018 à 00:06, Fenrir a dit :

Tu es un hobbit ?

Quand tu as supprimé le paquet, tu as aussi supprimé les conf résiduelles ? (/volume1/@appstore/VPNCenter)

Tes plans d'adressages ne sont pas en conflit ? 

Pour les logs la plupart sont dans /var/log, par exemple pluto.log pour l'ike

Mais vu le nombre de personnes qui ont suivi ce tuto avec succès, je pense que tu as raté un truc tellement gros qu'on le voit pas même en vérifiant 15 fois (ça arrive souvent) 

Voila,

Par contre, la suppression des conf résiduelles, je n'ai pas fait !
En effet, je vais regarder à ce détail,

Concernant le plan d'adressage, rien n'a évolué entre les deux NAS, mis à part la mise hors service de l'ancien NAS, aucun conflit d'adressage

 

[Dimebag Darrell]

Le 20/07/2018 à 00:06, Fenrir a dit :

Tu es un hobbit ?

Quand tu as supprimé le paquet, tu as aussi supprimé les conf résiduelles ? (/volume1/@appstore/VPNCenter)

Tes plans d'adressages ne sont pas en conflit ?

Pour les logs la plupart sont dans /var/log, par exemple pluto.log pour l'ike

Mais vu le nombre de personnes qui ont suivi ce tuto avec succès, je pense que tu as raté un truc tellement gros qu'on le voit pas même en vérifiant 15 fois (ça arrive souvent)

Voila, j'ai viré les fichiers résiduelles, mais rien ne change

Concernant le plan d'adressage, je ne vois pas où se situerait le problème

Je viens de refaire la configuration sur mon ancien NAS, sauf qu'il n'a pas la même adresse IP, mais le même range !

ça fonctionne avec l'ancien Syno,

Par contre, je sèche toujours avec le nouveau

 

Modifié le 6 août 2018 par Dimebag Darrell
autres tests

[.Shad.]

J'avais quelques soucis à prendre en compte le certificat pour OpenVPN sur Android, j'ai trouvé la solution dans ce post, si ça peut aider certains :

https://forum.synology.com/enu/viewtopic.php?t=80585#p483982

[StéphanH]

Le 13/08/2016 à 17:13, Fenrir a dit :

On commence par aller dans "Paramètres généraux" :

• Interface réseau : si votre NAS a plusieurs connexions réseau, il faut choisir celle qui convient, la plupart des utilisateurs pourront laisser le choix par défaut
• Type de compte : Utilisateurs locaux - sauf si vous avez intégré votre NAS à un annuaire (AD/LDAP)
• Accorder le privilège VPN aux utilisateurs locaux nouvellement ajoutés : il ne faut pas cocher cette case
• Blocage auto : il doit être activé, sinon il faut le faire avant de continuer

=>

Quelqu’un a-t-il déjà fait fonctionner OpenVPN sur autre chose que l'interface LAN1 ?

je ne m'en sors pas ... (voir là)

[Fenrir]

Pas testé, mais pas de raison que ça ne fonctionne pas si tout est correcte (firewall, routage, ...).

[StéphanH]

Je vais tester de nouveau quand jaurai du temps, mais je ne vois pas ce que j’ai loupé.
D’autant plus que VPN serveur voit bien un client arriver, mais avec visiblement un user étrange.

Juste une question : quand on change l’interface réseau utilisée par VPN serveur, pas besoin de recharger OpenVPN.conf sur le client ?


(Rédigé avec Tapatalk)

[Dimebag Darrell]

Le ‎20‎/‎07‎/‎2018 à 00:06, Fenrir a dit :

Tu es un hobbit ?

Quand tu as supprimé le paquet, tu as aussi supprimé les conf résiduelles ? (/volume1/@appstore/VPNCenter)

Tes plans d'adressages ne sont pas en conflit ?

Pour les logs la plupart sont dans /var/log, par exemple pluto.log pour l'ike

Mais vu le nombre de personnes qui ont suivi ce tuto avec succès, je pense que tu as raté un truc tellement gros qu'on le voit pas même en vérifiant 15 fois (ça arrive souvent)

Voilà,

j'ai eu des news à l'instant de Synology

Bonjour,

 

J'ai eu le retour de nos développeurs.

Le problème de connexion est lié à un bug qui est corrigé en DSM 6.2.1, qui vient juste d'être disponible :

https://www.synology.com/en-global/support/download/DS718+#utilities

La conséquence du bug est que vous avec dans /etc/hosts :

0.0.0.0 DiskStation

Au lieu de 127.0.0.1 DiskStation

 

Si la mise à jour ne corrige pas le problème, veuillez me le faire savoir.

 

En vous souhaitant une bonne journée,
Support technique Synology Taïwan

 

 

[StéphanH]

Je vais tester de nouveau quand jaurai du temps, mais je ne vois pas ce que j’ai loupé.
D’autant plus que VPN serveur voit bien un client arriver, mais avec visiblement un user étrange.

Juste une question : quand on change l’interface réseau utilisée par VPN serveur, pas besoin de recharger OpenVPN.conf sur le client ?


(Rédigé avec Tapatalk)

Une âme charitable pour me dire s’il a réussi à monter un tunnel OpenVPN sur autre chose que l’interface LAN1 ?


(Rédigé avec Tapatalk)

[Spi]

Hello,

Environ 500ans après avoir dit que je le ferais... je l'ai fait!
Config au poil en OpenVPN et L2TP/Ipsec, tout est fonctionnel. 🙂

Merci pour ton tuto !

@StéphanH
Oui je l'ai fait sur "Bond1". 🙂

Le 05/09/2018 à 10:09, StéphanH a dit :

Une âme charitable pour me dire s’il a réussi à monter un tunnel OpenVPN sur autre chose que l’interface LAN1 ?

Modifié le 22 octobre 2018 par Spi
Ajout d'infos

[Sebichou]

Bonjour,

ça fait un moment que j'ai mon serveur VPN qui fonctionne sans problème, j'utilise OpenVPN.

Depuis quelques temps, je suis confronté à un problème pour lequel je n'arrive pas à trouver de solution... Est-il possible de forwarder des ports à travers un VPN?

Je m'explique, j'ai plusieurs clients pour qui je fais de la télémaintenance et pour lesquels seul l'adresse IP de mon bureau est autorisé. Jusque là, pas de problème. Sauf que pour certains d'entre eux, la communication se fait dans les 2 sens (la centrale doit pouvoir accéder à mon bureau en passant par un port spécifique que j'ai forwardé à partir de ma Livebox vers mon PC qui gère la maintenance. En local, pas de problème tout fonctionne bien. Mais dès que je souhaite le faire à distance en passant par le VPN, impossible de se connecter. J'ai essayé de forwarder sur le serveur VPN (donc le NAS) et de faire une 2ème redirection  depuis le NAS vers mon PC  en passant par le VPN via socat, la redirection a l'air de fonctionner mais impossible de me connecter à mon équipement...

Bref, je me prend bien la tête, si quelqu'un a une piste à partager je suis intéressé!! 

Merci!

[oracle7]

Bonsoir à tous,

Je viens de suivre pas à pas le présent tuto pour configurer un serveur Openvpn (je débute avec mon NAS, bien évidemment j'ai déjà appliqué à la lettre le tuto de sécurisation de @Fenrir, c'est maintenant ma seconde étape dans ma démarche de configuration,)

Donc voilà lorsque je lance sur mon PC WIN10 (en mode admin) l'interface utilisateur Openvpn gui (dernière version) j'obtiens ceci :

 

et cela tourne en boucle ...

En parallèle j'ai bien de l'activité sur le port 1194 (vue avec un tcpdump) donc à priori pas de blocage même si l'affichage me parait bizare (comme si cela bouclait, mais je me trompe peut être !)

Je ne comprends pas pourquoi la connexion ne s’établit pas, il n'y a rien dans le journal du VPN serveur.

C'est quoi cette erreur TLS ? Google me renvoie tellement de cas possible que je suis perdu.

A noter que j'ai exactement le même phénomène sur un second PC de mon réseau local.

Edit : J'arrive à me connecter de l'extérieur depuis mon téléphone portable via le VPN (openvpn activé sur android et accès soit par 10.8.0.1:xxxx ou par yyyy.mydomain.fr) sans aucun problème. J'en déduit que ma configuration du VPN Serveur est bonne.

Donc, qu'est-ce qui se passe en local sur le PC ?

Qu'ai-je fait de mal ou pas fait ?

Si quelqu'un connait la solution, je suis toutes ouies car je ne peux aller plus avant ...

Merci.

Modifié le 5 juillet 2021 par oracle7
Ajout infos complémentaires

[Mic13710]

Pensez vous pouvoir vous connecter à votre serveur VPN en local en utilisant une IP publique (celle que vous avez renseigné dans le fichier de connexion) ?

Et question subsidiaire, pourquoi vouloir utiliser le VPN en local ?

[oracle7]

Bonjour @Mic13710,

il y a 34 minutes, Mic13710 a dit :

Pensez vous pouvoir vous connecter à votre serveur VPN en local en utilisant une IP publique (celle que vous avez renseigné dans le fichier de connexion) ? 

En fait, je souhaite simplement pouvoir contrôler que mon client openvpn sur mon PC local se connecte bien à mon NAS. Mais visiblement je ne procède pas bien. Du coup je suis un peu perdu (je débute et ne comprends pas tout ..). Est-ce possible tout de même ?

Par ailleurs, quand je me connecte avec mon téléphone portable, je dois le faire avec l'iP 10.8.0.1:5000 et cela marche très bien MAIS n'y a t-il pas moyen de taper à la place quelque chose comme "mydomain.fr" ce qui serai plus simple pour moi à retenir ?

 

il y a 32 minutes, Mic13710 a dit :

Et question subsidiaire, pourquoi vouloir utiliser le VPN en local ?

Effectivement c'est une idée bête pour par dire bonne (avec un c ...), à la réflexion cela ne set à rien, je n'ai pas d'ennemis identifiés sur mon réseau local ! ☺️

[Mic13710]

Dans votre fichier de configuration, vous avez renseigné votre IP publique ou votre DDNS. Il est bien évident que vous ne pouvez utiliser ni l'une ni l"autre à partir de votre réseau local, raison pour laquelle vous ne pouvez pas faire aboutir votre requête.

Si vous voulez le tester en local, il faudrait changer l'IP de connexion pour celle du NAS. Mais ça ne vous dira pas si vous pouvez vous connecter de l'extérieur, juste que votre VPN fonctionne côté NAS.

Si vous voulez faire des essais, le plus simple est de le faire via la mode point d'accès de votre mobile.

Vous pouvez très bien renseigner votre ndd en lieu et place de votre adresse publique. C'est ce que je fais, même si Fenrir dit que ce n'est pas la meilleure manière de procéder.

[oracle7]

@Mic13710

Merci beaucoup de votre aimable réponse, c'est plus clair maintenant pour moi.

il y a 4 minutes, Mic13710 a dit :

Vous pouvez très bien renseigner votre ndd en lieu et place de votre adresse publique. C'est ce que je fais, même si Fenrir dit que ce n'est pas la meilleure manière de procéder.

C'est ce que j'ai fait aussi, étant donné que j'ai une IP dynamique. Du coup "mydomain.fr" est bien mis à jour grâce au DDNS.

Cordialement

oracle7 😉

[lap316]

Bonjour j'ai configurer un client webdav 5006 avec les sécurité recommandé dans le tuto de Fenrir (merci) je suis en train assayer de créer un vpn serveur et ma premiere interrogation est le port 1194

je ne suis pas capable de verifier le port 1194 en ligne

 

 

 

 

donc si mon port 1194 n'Est pas ouvert ma connexion vpn ne fonctionnera pas ?

 

Merci pour votre aide habituelle

 

 

[Mic13710]

Il vaut mieux effectivement que le port 1194 soit ouvert. S'il est bloqué, vous pouvez choisir un autre port. OpenVPN le permet. Pour ma part, j'utilise le 443 pour limiter le nombre de ports ouverts sur mon routeur et accessoirement éviter les blocages.

Le "reseautage à domicile" me fait dire que vous êtes au Canada. Certains opérateurs chez vous ( Videotron par exemple) bloquent des ports. Vérifiez que le 1194 n'est pas dans la liste des ports bloqués par votre opérateur.

[lap316]

Merci pour la réponse Mic13710, mais cela ne fonctionne pas non plus

on dirait que j'ai juste le 5006 qui veut fonctionner , est-ce qu'il ya d'autre astuce pour aider

je suis avec bell canada

[sjnHO]

Un grand merci  pour ce tutoriel

J'ai juste un souci de à partir de la configuration globale j pas bien copris mais bon pas grave 

[VinZz]

Bonjour,
Merci pour ce tuto.
Par contre, j'ai un besoin particulier.

J'ai deux NAS Synology.
1 NAS serveur OpenVPN : LAN 192.168.0.0/24 - réseau 1
1 NAS client OpenVPN : LAN 192.168.1.0/24 - réseau 2

En ajoutant les routes qui vont bien sur les deux routeurs des deux réseaux, je peux accéder aux deux NAS depuis les deux réseaux.
Je peux aussi accéder au réseau 1 depuis le réseau 2

Par contre, impossible de faire l'inverse soit accéder au réseau du NAS client depuis le réseau du NAS serveur.
Déjà, est-ce bien possible ?
Et si oui, comment ?

Merci