[TUTO] VPN Server

[StéphanH]

Le 13/08/2016 à 17:13, Fenrir a dit :

Synology : aucun soucis (merci @StéphanH)

@Fenrir, peut être ajouter que le certificat à importer sur le NAS client est le ca_bundle (ce n'est pas précisé dans l'aide en ligne, et le champs s'appelle CA (qui est le nom de l'autre certificat généré lors de l'export de la configuration))

[GuiGui.]

Salut à tous,

J'ai récemment fait l'acquisition d'un nas synology et j'ai suivi ce tuto qui fonctionne bien.

J'utilise le L2TP/IPsec pour les clients qui le supporte et OpenVPN pour les autres (raspberry pi avec kodi par exemple).

Parfois le L2TP ne passe pas avec mon pc sous windows et du coup j'ai installé OpenVPN en parallèle.

Pour ceux qui ont comme moi le message "Connection Error. Missing external certificate", il faut importé le/les certificats manuellement (dans l'outil Certificats de windows) avant de pouvoir les sélectionnés dans OpenVPN. Cf ce topic.

Pour moi ça fonctionne, j'espère que ça en aidera d'autres 😉

[Fab221]

Bonsoir,

Pour commencer merci à @Fenrir pour ce tuto !!!

Pour une première, je viens d'essayer sous MAC (macOS Big Sur) et que cela soir avec OpenVPN ou en L2TP/IPSec... J'accède bien au Syno 🙂 je suis même étonné d'avoir réussi du premier coup à suivre le tuto 😂

Avec OpenVPN une pop up s'affiche avec "Connection Error, missing external certificate" cela n'empêche pas de se connecter mais j'ai lu quelque part qu'il fallait ajouter "setenv CLIENT_CERT 0" dans le ficher de configuration (je vais essayer)

Mais que cela soit avec la connexion en L2TP/IPSec, ou avec OpenVPN avec firefox, j'ai le message suivant:

Votre connexion n'est pas privée
Des individus malveillants tentent peut-être de subtiliser vos informations personnelles sur le site 10.2.0.0 (mots de passe, messages ou numéros de carte de crédit, par exemple). En savoir plus
NET::ERR_CERT_COMMON_NAME_INVALID

La même chose avec OpenVPN et l'adresse https://10.8.0.1:le_port_https_de_dsm

En fait, le certificat de sécurité qui est utilisé est celui du nom de domaine qui pointe sur mon NAS, (le reverse proxy est en place)

Une entrée à ajouter sur le certificat du ndd.com sur le Syno via Let's Encrypt ou il y a autre chose ?

Merci 🙂

 

Modifié le 13 juillet 2021 par Fab221

[oracle7]

@Fab221

Bonjour,

Il y a 14 heures, Fab221 a dit :

La même chose avec OpenVPN et l'adresse https://10.8.0.1:le_port_https_de_dsm

Je me permet de te rappeler qu'un certificat LE est défini pour un nom de domaine et en aucun cas pour une @IP, quelque qu'elle soit d'ailleurs.

Donc, essaies de connecter avec ton nom de domaine (dans la configuration de ton client OpenVPN).

Cordialement

oracle7😉

[Fab221]

Bonsoir @oracle7

 

Le 14/07/2021 à 14:52, oracle7 a dit :

Donc, essaies de connecter avec ton nom de domaine (dans la configuration de ton client OpenVPN).

 

Désolé pour le temps de réponse... 

Alors j'ai essayé de mettre

remote lendd.com 1194

Et lorsque j'essaye de me connecter, j'ai ce message

Code d’erreur : SSL_ERROR_BAD_CERT_DOMAIN

😔

[oracle7]

@Fab221

Bonjour,

Dans ton fichier OpenVPN.conf :

1 - Il te faut mettre ceci : remote xxxxx.ndd.tld 1194

où xxxxx est l'appellation pour joindre soit le NAS soit le Routeur qui supporte VPN Server. Donc par ex : dsm.ndd.tld ou srm.ndd.tld (ce domaine doit être bien évidemment couvert par ton certificat LE et être défini dans ta zone DNS de ton fournisseur de domaine avec explicitement un enregistrement CNAME ou couvert par un wilcard : *.ndd.tld).

2 - Tu peux aussi ajouter ces lignes :

#dhcp-option DNS DNS_IP_ADDRESS
dhcp-option DNS 10.8.0.1

 

Ensuite, avec ton client OpenVPN tu te connectes avec l'URL : dsm.ndd.tld ou srm.ndd.tld selon, et tu saisies ton Id/MdP.

Cordialement

oracle7😉

[adflash]

Un grand merci à Maitre Fenrir 🍀 car j'ai découvert que je suis en IP fixe en lisant attentivement les deux tutoriaux server vpn et dns server !!! J'étais complètement à côté de la plaque ! 😜

Tout fonctionne lorsque nous sommes bien attentif aux détails Maitre Fenrir !  Bon courage pour vos prochains tutoriaux et merci pour vos lumières !!!

> Cependant je donne un lien de contribution pour calculer et vérifier les plages adresses masques, IPV4-IPV6 SUBNET assez utile       pour comprendre le comportement de la configuration réseau... IP Calculator | IPTP Networks

 

 

Pas évident quand nous sommes au bout du monde 🇨🇳! C'est pourtant pas Chinois de poser la question au FAI... Quoi Q... 😜

Modifié le 6 août 2021 par adflash
lien de contribution, bonne soirée.

[Fox1977]

A mon tour, je viens remercier Fenrir pour son tuto très détaillé.

Je ne comprends pas pourquoi cependant je ne parviens pas à faire fonctionner le VPN en L2TP/IPSec. J'ai suivi (a priori) scrupuleusement le tuto mais rien n'y fait...

Dans VPN Serveur, il n'y a pas beaucoup de possibilités de se tromper. J'ai bien ouvert les ports 1701, 500 et 4500 sur le pare-feu du NAS et mis les règles de redirection pour les ports 500 et 4500 sur la Freebox.

Quand je lance la connexion depuis mon iPhone ou depuis un PC, qu'il soit sur mon réseau local ou en connexion 4G, rien n'aboutit. Il ne semble même pas atteindre le NAS. J'ai lancé un tcpdump pour voir si quelque chose se passe lorsque je lance la connexion mais rien ne se passe. Sur iOS, "le serveur L2TP-VPN ne répond pas". J'ai recommencé la config plusieurs fois, j'ai mis une clé pré-partagée plus simple pour éliminer une faute de frappe, mais rien à faire.

J'ai tenté la config en OpenVPN et là ça fonctionne bien. Sur iOS lorsque je suis connecté en 4G, je parviens à me connecter et si je vais sur www.whatismyip.com le site m'indique bien l'IP publique de ma Freebox.

J'ai deux questions : tout d'abord, si ça fonctionne en OpenVPN, est-il préférable de privilégier tout de même la connexion en L2TP/IPSec, et si oui, help !! 

Sinon (en dehors de la frustration intellectuelle de ne pas parvenir à configurer correctement le L2TP), en OpenVPN, j'ai une petite anomalie : j'ai connecté mon ordinateur portable en partage de connexion 4G via mon smartphone et j'ai lancé sur l'ordinateur la connexion OpenVPN. Celle-ci semble fonctionner (en tout cas OpenVPN m'indique être connecté) mais lorsque je vais sur www.whatismyip.com, le site me donne l'IP publique de ma connexion 4G et pas celle de ma Freebox... Ai-je quelque chose en plus à faire sur mon PC pour que le trafic web passe bien par le VPN ?

Merci !

[.Shad.]

@Fox1977 Tu n'es pas le premier à rapporter des problèmes avec L2TP dernièrement. Tu peux regarder dans le centre de journaux ou dans /var/log en SSH si tu as plus d'infos, vérifier les fichiers messages, syslog, éventuellement un log dédié VPN (c'est le cas sous DSM 7 avec OpenVPN, je ne sais pas ce qu'il en est pour L2TP).

Il y a 7 heures, Fox1977 a dit :

Sinon (en dehors de la frustration intellectuelle de ne pas parvenir à configurer correctement le L2TP), en OpenVPN, j'ai une petite anomalie : j'ai connecté mon ordinateur portable en partage de connexion 4G via mon smartphone et j'ai lancé sur l'ordinateur la connexion OpenVPN. Celle-ci semble fonctionner (en tout cas OpenVPN m'indique être connecté) mais lorsque je vais sur www.whatismyip.com, le site me donne l'IP publique de ma connexion 4G et pas celle de ma Freebox... Ai-je quelque chose en plus à faire sur mon PC pour que le trafic web passe bien par le VPN ?

Essaie d'ajouter à ton fichier .ovpn l'option suivante : 

setenv opt block-outside-dns

Modifié le 10 août 2021 par .Shad.

[MilesTEG1]

@Fox1977 Tu essayes de configurer la connexion VPN L2TP sur quel type d'OS ? Windows, macOS, Linux ? Est-ce que ça fonctionne bien avec Android ou iOS ?

Sous macOS il ne devrait y avoir aucun soucis, mais sous windows, j'ai souvent vu des personnes galérer, surtout avec win10... Il y a souvent une question de clé dans la base de registre à écrire... mais je sais pas quoi... je ne me connecte jamais avec mon pc windows sur le VPN de mon RT (syno). 
Par, je n'ai jamais eu un seul problème avec macOS et iOS pour le L2TP...

[PiwiLAbruti]

Il y a 8 heures, Fox1977 a dit :

Il ne semble même pas atteindre le NAS.

Revérifie les redirections et règles de pare-feu :

• Est-ce que les ports udp/500 et udp/4500 sont bien redirigés pour n'importe quelle source vers l'adresse IP du NAS dans les redirections de ports de la Freebox ?
• Est-ce que les ports udp/500, udp/1701, et udp/4500 sont ouverts pour n'importe quelle source dans le pare-feu du NAS ?

Un numéro de port seul ne veut rien dire, il y a toujours un protocole associé (TCP ou UDP). Dans le cas d'un VPN L2TP/IPsec, tous les ports sont en UDP.

[Fox1977]

Il y a 2 heures, MilesTEG1 a dit :

@Fox1977 Tu essayes de configurer la connexion VPN L2TP sur quel type d'OS ? Windows, macOS, Linux ? Est-ce que ça fonctionne bien avec Android ou iOS ?

Sous macOS il ne devrait y avoir aucun soucis, mais sous windows, j'ai souvent vu des personnes galérer, surtout avec win10... Il y a souvent une question de clé dans la base de registre à écrire... mais je sais pas quoi... je ne me connecte jamais avec mon pc windows sur le VPN de mon RT (syno). 
Par, je n'ai jamais eu un seul problème avec macOS et iOS pour le L2TP...

La connexion en L2TP ne fonctionne ni sur iOS ni sur Windows (pour lequel j'ai bien ajouté la clé dans la base de registre)

il y a une heure, PiwiLAbruti a dit :

Revérifie les redirections et règles de pare-feu :

• Est-ce que les ports udp/500 et udp/4500 sont bien redirigés pour n'importe quelle source vers l'adresse IP du NAS dans les redirections de ports de la Freebox ?
• Est-ce que les ports udp/500, udp/1701, et udp/4500 sont ouverts pour n'importe quelle source dans le pare-feu du NAS ?

Un numéro de port seul ne veut rien dire, il y a toujours un protocole associé (TCP ou UDP). Dans le cas d'un VPN L2TP/IPsec, tous les ports sont en UDP.

J'ai bien ouvert les ports en UDP sur la Freebox depuis toutes les sources vers mon NAS. D'ailleurs, j'ai testé l'ouverture des ports avec nmap et il me confirme qu'ils sont OK.

Côté NAS, ils sont bien aussi ouverts dans le pare-feu et autorisés depuis la France. Pour l'OpenVPN, le port 1194 est configuré de la même manière et là ça fonctionne bien.

Il y a 3 heures, .Shad. a dit :

@Fox1977 Tu n'es pas le premier à rapporter des problèmes avec L2TP dernièrement. Tu peux regarder dans le centre de journaux ou dans /var/log en SSH si tu as plus d'infos, vérifier les fichiers messages, syslog, éventuellement un log dédié VPN (c'est le cas sous DSM 7 avec OpenVPN, je ne sais pas ce qu'il en est pour L2TP).

Essaie d'ajouter à ton fichier .ovpn l'option suivante : 

setenv opt block-outside-dns

J'ai ajouté la ligne au fichier .ovpn et l'ai réimporté dans OpenVPN mais ça ne change rien...

Je précise que dans mon fichier .ovpn, j'ai bien décommenté la ligne redirect-gateway def1 qui normalement est censé justement me permettre de faire passer le trafic web également par le tunnel VPN, mais ça ne fonctionne pas (alors que sur iOS, ça fonctionne)

Modifié le 10 août 2021 par Fox1977

[MilesTEG1]

il y a une heure, Fox1977 a dit :

La connexion en L2TP ne fonctionne ni sur iOS ni sur Windows (pour lequel j'ai bien ajouté la clé dans la base de registre)

Si la connexion ne s'établie pas sur iOS alors que le protocole est intégré de base sans modifications à faire dans iOS, alors, c'est quelque chose qui bloque au niveau du parefeu et/ou du routeur.

Tu as essayé en 4G et aussi depuis le LAN ?

[Fox1977]

il y a 48 minutes, MilesTEG1 a dit :

Si la connexion ne s'établie pas sur iOS alors que le protocole est intégré de base sans modifications à faire dans iOS, alors, c'est quelque chose qui bloque au niveau du parefeu et/ou du routeur.

Tu as essayé en 4G et aussi depuis le LAN ?

En continuant mes investigations, je me suis aperçu que le VPN IPsec IKEv2 était activé sur ma Freebox. Je me suis dit que ça devait interférer avec le VPN L2TP du NAS puisqu'ils utilisent les mêmes ports et je l'ai désactivé. Seulement maintenant, mes ports sont udp/500 et udp/4500 sont fermés malgré les règles dans la gestion des ports de la Freebox. Et dans Gestion des  Connexions / Connexions entrantes, j'ai deux lignes "Serveur VPN IKEv2 IPsec port 500" et "Serveur VN IKEv2 NAT port 4500" qui sont à Oui pour "Autorisé" mais à Non pour "Actif" et je ne peux pas intervenir sur ce champ. Y a-t-il un moyen de forcer l'activation de ces ports côté Freebox, ou alors un moyen de changer les ports L2TP/IPsec côté Synology ?

[Fox1977]

Je viens de m'apercevoir que si je redirige le port 500 de la Freebox vers le port 500 de mon PC, là nmap m'indique que le port est ouvert.
A partir du moment où je redirige un port de la Freebox vers le port 500 (ou 4500) de mon NAS, ça ne marche pas...  

- port 500 (Freebox) => 50001 (PC) OK : 500/udp open|filtered
- port 500 (Freebox) => 500 (NAS) NOK : 500/udp closed

[CyberFr]

Le 14/07/2021 à 00:18, Fab221 a dit :

Pour une première, je viens d'essayer sous MAC (macOS Big Sur) et que cela soir avec OpenVPN ou en L2TP/IPSec... J'accède bien au Syno 🙂 je suis même étonné d'avoir réussi du premier coup à suivre le tuto 

Lorsque je tente d'ajouter une interface VPN sur le Mac, je peux choisir L2TP ou  IPSec mais Open VPN n'est pas proposé, que ce soit sous macOS Mojave ou Big Sur. Comment alors utiliser Open VPN ?

[.Shad.]

De souvenir je crois qu'il y a Tunnel Brick qui marche bien sur Mac.

[Jeff777]

 

Ce client doit aussi faire l'affaire :

https://openvpn.net/vpn-server-resources/installation-guide-for-openvpn-connect-client-on-macos/

Modifié le 11 septembre 2021 par Jeff777

[CyberFr]

Ou la la, s'il faut installer une application, je vais le faire sur une partition de test qui n'est pas mon disque de démarrage, puis je vais faire une sauvegarde du NAS et me lancer. Merci pour les tuyaux.

[.Shad.]

🧐

On parlait juste d'installer une application sur ton Mac.

[CyberFr]

Il n'y a pas que sur les NAS qu'il faut veiller à la sécurité 🙂

Je n'installe jamais un nouveau logiciel sur le disque de production, je le télécharge sur une partition externe et je le teste. S'il me convient, je l'installe sur le disque de démarrage, s'il ne me convainc pas ou si les tests ne sont pas concluants, j'efface la partition de test et donc toutes les déchets qui sont liés aux essais. Il faut que j'en profite car c'était un avantage du Mac sur la concurrence avant l'apparition des puces M1 d'Apple qui compliquent la manœuvre et qui, à terme, vont sans doute là rendre impossible.

[CyberFr]

J'ai finalement opté pour L2TP over IPSec parce que les logiciels qui gèrent OpenVPN sur Mac sont mal foutus et que ce protocole est implanté nativement sur macOS. Mais je me heurte à un problème étrange.

Lorsque je me connecte, un message indique (Merci à Little Snitch) : « pppd wants to connect to 87.88.XX.XX on UDP port 1701 (2f) ». Comme indiqué dans le tuto, ce port n'est pas ouvert sur la box ni transféré (il est ouvert sur le NAS) et la connexion échoue.

[StéphanH]

J'ai fait le même choix.

et je n'ai pas ouvert le 1701 en IPv4

Par contre, depuis que mon iPhone est par défaut en IPv6, cela ne fonctionne plus ...

 

[CyberFr]

Le 13/08/2016 à 17:13, Fenrir a dit :

Si vous ouvrez ce port sur votre routeur, vous autorisez les connexions L2TP direct. Le soucis est que certains clients testent plusieurs protocoles (iOS et Windows 10 par exemple), selon la priorité de leurs tests, s'ils voient le L2TP d'ouvert, il vont tenter de s'y connecter sans monter le tunnel IPSec.

Il n'est donc pas anormal que macOS tente de passer par le port 1701 et comme il est fermé, il passe par le port 500 et là il devrait pouvoir se connecter puisque le port 500 est ouvert et transféré au NAS sur la box. Pourquoi la connexion échoue ? Mystère. J'ai le message suivant :

« Le serveur L2TP-VPN ne répond pas. Essayez de vous reconnecter. Si le problème persiste, vérifiez vos réglages et contactez votre administrateur. »

 

Il y a 4 heures, StéphanH a dit :

Par contre, depuis que mon iPhone est par défaut en IPv6, cela ne fonctionne plus ...

Peut-être parce que IPSec fait partie de la norme IPV6. @Jeff777, si tu passes par là, n'hésite pas à intervenir 🤚

Modifié le 12 septembre 2021 par CyberFr

[Jeff777]

@CyberFr

Je vais t'exposer ma compréhension du système mais ce n'est pas la bible 🤣

Avec l'IPV6 la redirection du port est inutile, l'adresse IPV6 est spécifique au périphérique.

Je m'explique par ma config (2 nas):

J'ai le même site synchronisé sur deux NAS. Mon serveur de nom ns.ndd que j'héberge a un enregistrement A en IPV4 et AAAA en IPV6; ces enregistrements correspondent respectivement  à l'adresse IPV4 publique de mon domaine (donc de mon LAN) et à l'adresse IPV6 du nas1.

Sur le routeur les port 80/443 sont redirigés vers le nas2. Une requête est donc soit redirigée vers le nas2 (enregistrement A et redirection du port) ou vers le nas1 (enregistrement AAAA).

Bien sûr il faut que les pare-feu autorises les accès aux ports c'est là qu'intervient  le pare-feu IPV6 lorsqu'il y en a un.

J'ai réussi avec difficultés à paramétrer celui de mon routeur.

Maintenant pour le problème  de @StéphanH je ne serais pas dire. J'ai jamais pu faire fonctionner L2TP et comme OpenVPN fonctionne très bien je ne suis jamais allé plus loin.