oracle7 Posté(e) le 17 mai 2020 Posté(e) le 17 mai 2020 @TuringFan Bonjour, il y a 17 minutes, TuringFan a dit : j'ai l'impression qu'un problème de fonctionnement conjoint VPN (serveur et:ou client) + DNS Je crois que tu as raison sachant que ce problème de cohabitation me semble maintenant inhérent au NAS seul. Du coup face à cela, j'ai en quelque sorte changé mon fusil d'épaule. Avec l'aide de @GrOoT64 que je remercie encore ici (voir les échanges dans ce post), j'ai retiré du NAS le serveur DNS ainsi que le serveur VPN et je les ai respectivement installés directement sur le RT. Au final, à priori (je reste prudent car c'est tout nouveau) cela fonctionne sans problèmes. Avec le VPN actif via "VPN Plus" installé sur mon smartphone (qui existe aussi sur iPhone), j'ai bien accès avec des "xxxxx.ndd.tld", à mes deux NAS (dont est considéré comme principal car portant le reverse proxy) et autres périphériques du réseau local et aussi ainsi qu'à Internet en même temps. En plus, du point ce vue sécurité, j'ai pu verrouiller l'usage des "xxxxx.ndd.tld" à uniquement lorsque je suis sur le réseau local ou lorsque je suis avec une connexion VPN active pour un accès depuis l'extérieur. Dans tout autre cas depuis l'extérieur, rien abouti, donc la sécurité est assurée. Personnellement, cela me convient très bien comme cela. Voilà mon retour d'expérience. Il vaut ce qu'il vaut ... Mais pour l'instant cela marche correctement alors que demander de plus ? Cordialement oracle7🤭 0 Citer
TuringFan Posté(e) le 17 mai 2020 Posté(e) le 17 mai 2020 C'est ce sur quoi j'étais justement parti : je vais regarder avec attention les échanges que tu mentionnes et m'en inspirer. Petite question, quel protocole VPN as tu choisi pour VPN Plus ? L2TP ? OpenVPN ? Autre ? 0 Citer
oracle7 Posté(e) le 17 mai 2020 Posté(e) le 17 mai 2020 (modifié) @TuringFan Bonne initiative 😀 Si tu lis bien AVANT tous les échanges, il y a toutes les pistes pour y arriver J'ai fais dans la simplicité en configurant le protocole Synology VPN "SSL VPN". Pour mes besoin cela me paraît suffisant. Adieu les L2TP/IPsec, OpenVPN and co ... Cordialement oracle7😉 Modifié le 17 mai 2020 par oracle7 0 Citer
Riddox Posté(e) le 17 mai 2020 Posté(e) le 17 mai 2020 (modifié) Tout d'abord merci pour ce tuto. Depuis que j'ai mon NAS (ds218j), vos instructions m'ont grandement aidé à configurer mon système. Je me heurte à un nouveau problème. Je viens de faire l'acquisition d'un routeur TPLINK AX11000 (une belle bête). Ce routeur est capable de faire serveur OpenVPN. Je me suis donc lancé dans la configuration avec l'aide de votre tuto en parallèle. Mon système : Box SFR fibre connecté en rj45 au port WAN du Routeur AX11000, 1 PC et un NAS connecté en RJ45 au routeur. IP du routeur par la box 192.168.1.97 IP du nas par le routeur 192.168.2.246 J'ai donc reconduit le port 1194 de la box vers le routeur. J'arrive à configurer l'OpenVPN sur l'appli VPN Server du NAS et y avoir accès depuis l’extérieur. Je souhaiterais essayer de passer par le serveur OpenVPN du routeur puis ensuite d’accéder au nas en utilisant son ip local depuis l'exterieur. ( et par la même occasion me creer un lan avec des amis exterieurs pour jouer ensemble). Le site du routeur donne des explications très incomplètes. J'ai configuré le serveur Openvpn sur le port 1195 et en accès réseau domestique exclusivement. Le routeur me permet de produire un fichier config openvpn : client dev tun proto udp float nobind cipher AES-128-CBC comp-lzo adaptive resolv-retry infinite remote-cert-tls server persist-key persist-tun remote 192.168.1.97 1195 que j'ai transformé en "remote IP INTERNET OU DOMAINE 1195" (j'ai pris un port différent de l'openvpn de mon nas) Je vous passe les certificats... J'ai alors 2 erreurs au log OpenVPN : ROUTE: route addition failed using CreateIpFowardEntry : L'Objet existe déjà [status=5010 if_index=37] (J'arrive à la faire disparaitre en ajoutant les lignes "route-method exe" et "route-delay 2") WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this (J'arrive à la faire disparaitre en ajoutant la ligne "auth-nocache") D'apparence cela semble fonctionner car openvpn est connecté en vert je me fais attribué une ip 10.8.0.X sur le client et je vois dans les connexions openvpn du routeur l'adresse ip internet du client. Mais voila impossible d’accéder aux devices connectés en LAN sur le routeur. J'ai testé "redirect-gateway def1 bypass-dhcp" mais rien n'y fait. auriez-vous une idée car je me suis un peu embrouillé avec le routage etc... Je démarre OpenVPN en administrateur, j'ai forcer le passage du réseau VPN en réseau privé. Modifié le 17 mai 2020 par Riddox 0 Citer
TuringFan Posté(e) le 17 mai 2020 Posté(e) le 17 mai 2020 (modifié) Il y a 4 heures, Riddox a dit : Mais voila impossible d’accéder aux devices connectés en LAN sur le routeur. J'ai testé "redirect-gateway def1 bypass-dhcp" mais rien n'y fait. auriez-vous une idée car je me suis un peu embrouillé avec le routage etc... Je démarre OpenVPN en administrateur, j'ai forcer le passage du réseau VPN en réseau privé. Je sais qu'en plus l'option de redirection du trafic sur le serveur VPN du NAs il y a de mémoire une option d'autorisation d'accès au LAn par les clients, il y a peu être un équivalent sur le soft de ton routeur ... *** Bonjour à tous, Je me permets également de vous écrire car en raison de différents problèmes rencontrés avec l'utilisation conjuguée du DNS server et du VPN Server sur le NAS j'ai passé ces deux serveur sur mon Routeur. Aujourd'hui cela fonctionne (presque) parfaitement grâce à l'aide de @oracle7 et @GrOoT64 : merci encore ! Presque parfaitement car j'utilise la solution SSL VPN du paquet VPN Plus or cela fonctionne sur tous mes clients iOS mais pas sur mon client Windows : en tapant l'URL https://ndd.tld:4443 j'arrive bien sur la page web de connexion SSL VPn, je me log avec mon user pour le routeur et ça fonctionne mais ensuite impossible de faire quoi que ce soit car on me dit que mon client SSL Synology n'est pas installé ! J'ai pourtant fait l'installation : désinstallation à plusieurs reprises. Pouvez-vous svp m'aider ? Par ailleurs que pensez vous de ce protocole SSL VPN Synology qui impose l'utilisation d'un client spécifique Synology et qui passe par un interface web : est-ce bien sécurisé ? Ne passe t on pas par des serveurs tiers ? Merci par avance, NB : @alan.dub tu pourrais être intéressé par ce post Modifié le 17 mai 2020 par TuringFan 0 Citer
oracle7 Posté(e) le 17 mai 2020 Posté(e) le 17 mai 2020 @TuringFan il y a 31 minutes, TuringFan a dit : J'ai pourtant fait l'installation : désinstallation à plusieurs reprises Installation de quoi ? je ne te comprends pas ,désolé. Pour ce qui est de la connexion avec un client WIN en externe, c'est un truc que je n'ai pas pu tester faute de moyens matériels. Je n'ai qu'un PC sur mon réseau local. Aussi je ne te serais pas d'une grande aide. J'en suis sûr il y aura bien quelqu'un ici pour donner la solution. Peut-être qu'il faut installer "OpenSSL" sur le PC. Piste à voir//suivre ? Personnellement, je l'utilise à d'autres fins : convertir les fichiers .pem des certificats en .p12 pour pouvoir charger ces certificats sur smartphone Android. il y a 31 minutes, TuringFan a dit : Par ailleurs que pensez vous de ce protocole SSL VPN Synology qui impose l'utilisation d'un client spécifique Synology et qui passe par un interface web : est-ce bien sécurisé ? Ne passe t on pas par des serveurs tiers ? A mon humble avis, le protocole SSL VPN est un protocole de communication propriétaire développé par Synology semblable à OpenVPN (qui lui, est open source et est aussi basé sur SSL). Il ne fait qu'utiliser une méthode d'authentification différente et qui lui est propre pour s'accorder plus facilement à l'environnement DSM/SRM. Pour le cryptage c'est et reste du SSLv3 standard. Il faut bien voir (pour faire simple) que ce n'est qu'un protocole donc une manière particulière de permettre à des pairs de s'authentifier entre eux à l'aide d'une clé privée partagée à l'avance, de certificats électroniques ou de couples de noms d'utilisateur/mot de passe. J'espère ne pas me tromper en disant que le serveur VPN sur le RT a lui, pour rôle de "tunneliser", de manière sécurisée et directe, des données sur un seul port TCP/UDP à travers un réseau non sûr comme Internet vers le client qui se connecte à ce serveur. Certes, il est évident que la liaison passe par des serveurs tiers mais ceux-ci ne voient que des données cryptées de bout en bout qui transitent "sous leurs yeux" et heureusement ils n'en voient pas plus. Par ailleurs, tout comme OpenVPN utilise une interface de connexion qui lui est propre, Synology a la sienne qui à mon avis est extrêmement simple et efficace. Voilà ma vision sur cet aspect sécurité du protocole et qui n'engage que moi ... Cordialement oracle7😉 0 Citer
TuringFan Posté(e) le 17 mai 2020 Posté(e) le 17 mai 2020 il y a 53 minutes, oracle7 a dit : Installation de quoi ? je ne te comprends pas ,désolé. L'installation du client windows Synology SSL VPN Client téléchargeable ici. il y a 56 minutes, oracle7 a dit : convertir les fichiers .pem des certificats en .p12 pour pouvoir charger ces certificats sur smartphone Android. Quel en est l'intérêt : de mon côté le certificat LE généré sur le NAS et dupliqué sur le RT semble faire le job y compris avec un client Android. Avec un smartphone Android le site apparaît bien en sécurisé. il y a 57 minutes, oracle7 a dit : A mon humble avis, le protocole SSL VPN est un protocole de communication propriétaire développé par Synology semblable à OpenVPN (qui lui, est open source et est aussi basé sur SSL). Il ne fait qu'utiliser une méthode d'authentification différente et qui lui est propre pour s'accorder plus facilement à l'environnement DSM/SRM. Pour le cryptage c'est et reste du SSLv3 standard. Il faut bien voir (pour faire simple) que ce n'est qu'un protocole donc une manière particulière de permettre à des pairs de s'authentifier entre eux à l'aide d'une clé privée partagée à l'avance, de certificats électroniques ou de couples de noms d'utilisateur/mot de passe. J'espère ne pas me tromper en disant que le serveur VPN sur le RT a lui, pour rôle de "tunneliser", de manière sécurisée et directe, des données sur un seul port TCP/UDP à travers un réseau non sûr comme Internet vers le client qui se connecte à ce serveur. Certes, il est évident que la liaison passe par des serveurs tiers mais ceux-ci ne voient que des données cryptées de bout en bout qui transitent "sous leurs yeux" et heureusement ils n'en voient pas plus. Par ailleurs, tout comme OpenVPN utilise une interface de connexion qui lui est propre, Synology a la sienne qui à mon avis est extrêmement simple et efficace. Je suis en accord sur les grandes lignes mais le fait d'être tributaire du Synology pour avoir le bon client me dérange un peu. Par ailleurs rien en dit qu'après septembre les licences seront encore gratuites ... 0 Citer
_DR64_ Posté(e) le 18 mai 2020 Posté(e) le 18 mai 2020 Il y a 9 heures, TuringFan a dit : L'installation du client windows Synology SSL VPN Client téléchargeable ici. Pas besoin ! Tu te connectes à (https://ndd.tld:4443) pour toi et ton routeur devrait te proposer d'installer ce qu'il faut. (en gros une carte réseau virtuelle dédiée au VPN) 0 Citer
TuringFan Posté(e) le 18 mai 2020 Posté(e) le 18 mai 2020 Il y a 16 heures, GrOoT64 a dit : Pas besoin ! Tu te connectes à (https://ndd.tld:4443) pour toi et ton routeur devrait te proposer d'installer ce qu'il faut. (en gros une carte réseau virtuelle dédiée au VPN) C'est ce que j'ai fait : c'est bien l'interface web qui m'a demandée cette installation. 0 Citer
_DR64_ Posté(e) le 18 mai 2020 Posté(e) le 18 mai 2020 (modifié) @TuringFan, C'est l'interface qui te demande cette installation oui mais tu pourras le faire seulement depuis l'extérieur de ton LAN (sur le pc du travail par exemple si toutefois le VPN est autorisé ! Méfiance avec ça, ça peut être un risque de licenciement !) Après, si tu es si réfractaire au SSL VPN de syno, tu prends l' OpenVPN. Je t'aiderai à configurer ça demain (toute à l'heure) si tu veux. Modifié le 18 mai 2020 par GrOoT64 0 Citer
Chapstm Posté(e) le 19 mai 2020 Posté(e) le 19 mai 2020 (modifié) Bonjour, J'ai un NAS 218+ et je voudrais m'y connecter en VPN depuis mon smartphone Android 9. Je n'ai pas de nom de domaine autre qu'un DDNS xxxx.myDs.me J'ai choisi OPENVPN. Et j'ai réussi à me connecter , je vois bien mon téléphone dans la liste des connexions du VPN server sur le NAS. Évident avec un bon tuto comme celui-ci. Mais... oui il y a un "mais" lorsque j'active le client OpenVPN sur mon smartphone vers mon NAS, il m'indique qu'il n'y a pas de certificat sur ce profil et me propose d'en installer 1. Je peux aussi choisir "Continue" et je me connecte alors sur le VPN server du NAS. Alors la question est: de quoi il parle??? Du certificat LE du NAS? Du certificat de OpenVPN ? mais il est censé être inclus dans le fichier de config "openvpn.ovpn" et je le trouve après <ca> BEGIN CERTIFICATE xxxxx END CERTIFICATE . Y a en même 2 BEGIN CERTIFICATE et END CERTIFICATE J'ai aussi essayer d’installer les certificats contenus dans ca_bundle.crt et ca.crt . Android me dit "certificat installé". Mais OpenVPN continue de dire qu'il n'y a pas de certificat sur ce profil. Donc est-il possible que le client Android OPENVPN puisse se connecter à mon serveur VPN sur le NAS sans valider un certificat? C'est pas contradictoire avec le protocole VPN? Quelle est la conséquence pour ma config? Quelle sécurité est affaiblie? Comment résoudre ce problème de certificat pas trouvé? Merci d'avance. Modifié le 19 mai 2020 par Chapstm 0 Citer
TuringFan Posté(e) le 19 mai 2020 Posté(e) le 19 mai 2020 Il y a 19 heures, GrOoT64 a dit : Après, si tu es si réfractaire au SSL VPN de syno, tu prends l' OpenVPN. Je t'aiderai à configurer ça demain (toute à l'heure) si tu veux. Très sympa, je te dirais si j'attaque le sujet. 0 Citer
_DR64_ Posté(e) le 19 mai 2020 Posté(e) le 19 mai 2020 Bonsoir @Chapstm, je vais monter le OpenVpn demain pour ne pas raconter de bêtises 😁 Je fais un compte rendu à l'issue. Bonne nuit les loulous ! 0 Citer
Outimeme Posté(e) le 20 mai 2020 Posté(e) le 20 mai 2020 Merci pour ce super tuto ! Avant de finaliser ce qui est recommandé ici, j'ai une petite question (bête surement) : je possède express VPN sur mon pc. Configurer OPEN VPN (par exemple) va t'il créer un conflit avec Express VPN ? Est-il possible de se passer d'OPEN VPN grâce à Express VPN ? 0 Citer
.Shad. Posté(e) le 20 mai 2020 Posté(e) le 20 mai 2020 Ils n'ont pas la même fonctionnalité, le tutoriel reprend l'installation d'un serveur OpenVPN, ça te permet de te connecter sur ton NAS depuis l'extérieur. Si tu installes ExpressVPN, c'est ton NAS qui devient client, et qui se connecte sur le serveur VPN d'ExpressVPN. 0 Citer
Outimeme Posté(e) le 20 mai 2020 Posté(e) le 20 mai 2020 Il y a 4 heures, .Shad. a dit : Ils n'ont pas la même fonctionnalité, le tutoriel reprend l'installation d'un serveur OpenVPN, ça te permet de te connecter sur ton NAS depuis l'extérieur. Si tu installes ExpressVPN, c'est ton NAS qui devient client, et qui se connecte sur le serveur VPN d'ExpressVPN. Merci pour ta réponse mais est-ce que dans les deux cas je peux me connecter à distance sur le NAS ? Si oui, quelle est la meilleure option ? 0 Citer
.Shad. Posté(e) le 20 mai 2020 Posté(e) le 20 mai 2020 Je n'ai jamais testé, mais j'imagine que si ton NAS est client d'un VPN, tu pourrais rencontrer des problèmes en essayant de te connecter à son adresse "hors VPN". D'autres que moi ont sûrement un feedback plus constructif à ce sujet. 0 Citer
Kramlech Posté(e) le 20 mai 2020 Posté(e) le 20 mai 2020 Il y a 2 heures, Outimeme a dit : Si oui, quelle est la meilleure option ? Je pense que la meilleure option, ce serait que tu approfondisses ce qu'est un VPN et à quoi ça sert. Et que tu confrontes cela à tes besoins... C'est comme si tu demandais quel est le meilleur outils entre un marteau et un tournevis. On ne peut que te répondre par une autre question : tu veux t'en servir pour planter un clou ou visser une vis ? 0 Citer
TuringFan Posté(e) le 21 mai 2020 Posté(e) le 21 mai 2020 (modifié) Bonjour, Je suis en train de configurer un serveur OpenVPN sur mon RT (paquet VPN Plus). Je l'avais déjà fait avec succès sur mon NAS mais comme abordé à différents endroits sur ce forum depuis peu cela générait des problèmes avec le serveur DNS (qui était lui aussi sur le RT). Bref déménagement des deux serveurs sur le RT. Aujourd'hui mon client OpenVPn ne parvient pas à se connecter et le log indisue : "tls key negociation problème openvpn nas serveur". Après un scan du port 1194 TCP/UDP celui ci apparait en filtré bien que ouvert dans mon pare-feu du RT. Auriez-vous une idée de la solution ? Merci d'avance, @GrOoT64 je me permets de te tagger car je crois que tu as monté l'OpenVPn sur VPN Plus. Modifié le 21 mai 2020 par TuringFan 0 Citer
_DR64_ Posté(e) le 21 mai 2020 Posté(e) le 21 mai 2020 Bonjour @TuringFan, As-tu bien activé les droits OpenVPN pour ton compte ici : J'ai oublié de le faire la dernière fois et du coup ça ne marchait pas. 0 Citer
TuringFan Posté(e) le 21 mai 2020 Posté(e) le 21 mai 2020 à l’instant, GrOoT64 a dit : Bonjour @TuringFan, As-tu bien activé les droits OpenVPN pour ton compte ici : J'ai oublié de le faire la dernière fois et du coup ça ne marchait pas. @GrOoT64 affirmatif 0 Citer
_DR64_ Posté(e) le 21 mai 2020 Posté(e) le 21 mai 2020 (modifié) Tu as bien modifié le fichier de conf ? ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- To set up an OpenVPN client on Windows: 1. Install OpenVPN client on Windows *An OpenVPN client on Windows is called OpenVPN GUI. *Download it from http://openvpn.net/index.php/open-source/downloads.html and install the client. *The default installation directory is C:\ProgramFiles\OpenVPN. 2. Run OpenVPN GUI as administrator. 3. Edit VPNConfig.ovpn and replace YOUR_SERVER_IP with public IP of your Router. *Remove # before "redirect-gateway def1" to route all client traffic (including web-traffic) through this VPN Server. 4. Put VPNConfig.ovpn into the config subdirectory under OpenVPN directory (ie. C:\Program Files\OpenVPN\config\). ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- Modifié le 21 mai 2020 par GrOoT64 0 Citer
TuringFan Posté(e) le 21 mai 2020 Posté(e) le 21 mai 2020 Oui j'ai modifié IP Server par mon ndd.tld et j'ai décommenté gateway redirect : mais le problème vient viqsiblement du parefeu, j'ai ouvert le port 1194 et pourtant les scan indiquent qu'il est filtré ... 0 Citer
TuringFan Posté(e) le 21 mai 2020 Posté(e) le 21 mai 2020 (modifié) @GrOoT64 Similaire de mon côté. Et la réponse du scan. Modifié le 21 mai 2020 par TuringFan 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.