[TUTO] VPN Server

[Almogaver]

Le 18/09/2022 à 08:17, alan.dub a dit :

Si ça te fait ça après une déconnexion / reconnexion ou lorsque tu tentes de connecter deux systèmes sous iOS en même temps, je ne dirais pas que c’est « normal »… mais chez moi ça me faisait le même chose ^^

Je ne pouvais connecter qu’un seul système sous iOS à la fois, et lorsque je voulais connecter un autre système sous iOS au VPN, je devais d’abord déconnecter le premier ET attendre +/- 20 minutes ^^

Pour corriger le problème, je suis passé sous… OpenVPN ^^

 

Désolé, j’ai rencontré des problèmes de connexion à mon compte sur le forum et n’ai pas pu répondre avant… .

De mon côté, tout semble être rentré dans l’ordre sans que je ne sache trop pourquoi. Un MàJ d’iOS peut-être ?

[Nano83]

Bonjour à tous,

J'utilise OpenVPN depuis pas mal de temps sans soucis. (DSM6 ou DSM7)

Je me connecte:

sur PC via OpenVPN GUI

sur mobile via OpenVPN connect

Depuis DSM 7 dans VPN Server pour configurer le serveur OPENVPN, il est possible de cocher

• Vérifier la clé d'authentification TLS
• Vérifier le CN du serveur.

Ce que j'ai tenté. J'ai donc exporté le nouveau fichier de conf et importé dans les deux clients.

Sur le PC via OpenVPN GUI ça marche nickel RAS pas de warning

Sur le mobile via OpenVPN Connect là j'ai le message:

Donc il me semble qu'il me manque un certificat à priori du client sur le mobile.

Je suis allé voir dans les certificats d'OpenVPN connect et là on me demande d'importer des fichiers au format .p12 ou .pkcs12.

Ou trouver/créer ce certificat ?

Je vois pas trop comment faire pour résoudre le problème.

Quelqu'un aurait il une idée ?...  A part revenir comme avant en décochant les 2 options 🙂

Merci d'avance pour votre support.

 

 

 

[MilesTEG1]

Il y a pas une ligne à commenter ou à décommenter dans le fichier ovpn ?

Il me semble que c’est écrit dedans ce qu’il faut fait pour le mobile (ios de souvenirs).

[Nano83]

Il y a 8 heures, MilesTEG1 a dit :

Il y a pas une ligne à commenter ou à décommenter dans le fichier ovpn ?

Il me semble que c’est écrit dedans ce qu’il faut fait pour le mobile (ios de souvenirs).

@MilesTEG1 Merci, le fichier README.txt ne précise rien pour les mobiles mais ça ne vient pas de là car je suis sous Android et de plus j'ai mis OpenVPN Connect sur le PC pour vérifier que ça ne venait pas du mobile et c'est le même message d'erreur.

C'est une histoire de certificat sur le client mais lequel faut-il mettre ?... je suis trop noob sur les certificats pour trouver.

Donc pour resumer, sur un même PC(win10) avec le même fichier de conf .ovpn par OpenVPN Connect  ca marche pas mais pas par OpenVPN GUI ca marche.

[Pascalou59]

il y a une heure, Nano83 a dit :

@MilesTEG1

C'est une histoire de certificat sur le client mais lequel faut-il mettre ?... je suis trop noob sur les certificats pour trouver.

Donc pour resumer, sur un même PC(win10) avec le même fichier de conf .ovpn par OpenVPN Connect  ca marche pas mais pas par OpenVPN GUI ca marche.

Pour moi c'est pareil sur Pc c'est ok mais pour le mobile l'appli dit qu'il manque le certificat que j'ai importé du Synology , c'est celui la qu'il faut mettre

J'ai demandé sur le forum Openvpn et aucune réponse a ce problème n' a été apporté

[Nano83]

il y a 17 minutes, Pascalou59 a dit :

Pour moi c'est pareil sur Pc c'est ok mais pour le mobile l'appli dit qu'il manque le certificat que j'ai importé du Synology , c'est celui la qu'il faut mettre

J'ai demandé sur le forum Openvpn et aucune réponse a ce problème n' a été apporté

@Pascalou59

Je veux bien essayer par contre le certificat du serveur NAS Syno est un .pem et sous OpenVPN Connect, ca ne semble accepter que les formats .p12 ou .pkcs12 ou .pfx

A priori il faut le convertir d'après ce que je trouve ?!?

De plus les formats d'export ne sont pas les mêmes selon que tu sois sur NAS ou routeur Syno

L'export du certificat d'un RT2600 te donne des certificats CA.crt / server.crt / server-ca.crt + clés privées

L'export du certificat d'un NAS DSM 7 te donne un fichier cert.pem + clé privée

 

 

[Jeff777]

@Nano83 @Pascalou59

Vous trouverez la réponse ici :

 

A savoir que sur une tablette android, si vous ne pouvez pas donner le certificat sous le format demandé il suffit de cliquer sur continuer et c'est le certificat déjà présent dans opvn.conf qui est utilisé.

Il est aussi possible d'éditer ce fichier pour ajouter une instruction (je ne me souviens plus laquelle) qui fera que la question ne sera plus posée

Modifié le 7 novembre 2022 par Jeff777

[Nano83]

il y a 15 minutes, Jeff777 a dit :

@Nano83 @Pascalou59

Vous trouverez la réponse ici :

 

A savoir que sur une tablette android, si vous ne pouvez pas donner le certificat sous le format demandé il suffit de cliquer sur continuer et c'est le certificat déjà présent dans opvn.conf qui est utilisé.

Il est aussi possible d'éditer ce fichier pour ajouter une instruction (je ne me souvient plus laquelle) qui fera que la question ne sera plus posée

@Jeff777 Merci pour le lien, je vais essayer.

Je suis d'accord avec toi que si l'on clique sur continuer il passe outre et se sert du certificat déjà dans le fichier .ovpn.

Si tu veux enlever cette fenêtre il faut mettre dans le fichier la commande "setenv CLIENT_CERT 0" d’après la littérature du net mais c'est pas bien propre.

Mon problème apparait juste après cette phase

et c'est lié à l'activation des options dans le serveur openvpn du nas.

• Vérifier la clé d'authentification TLS
• Vérifier le CN du serveur.

Sans celles-ci ça marche

donc je suppose qu'il doit peut être manquer une clé ta.key pour le handshake pour la verif d'authentification TLS (pas sur ce que je dis)

ou dans la vérif du CN serveur.

Je continue à creuser.

 

 

 

 

 

[Jeff777]

il y a 26 minutes, Nano83 a dit :

Mon problème apparait juste après cette phase

 tu es certain de ton certificat ?

[Pascalou59]

il y a 12 minutes, Jeff777 a dit :

 tu es certain de ton certificat ?

J' ai re-creer ce certificat plusieurs fois et réimporté a chaque fois mais moi c'est sous Android 13 la procédure reste la meme

Modifié le 7 novembre 2022 par Pascalou59

[Nano83]

il y a 6 minutes, Jeff777 a dit :

 tu es certain de ton certificat ?

@Jeff777 pas bête cette idée !

Celui sur le NAS est un autosigné Syno qui somme toute fonctionne très bien sous le client OpenVPN GUI mais pas sous le client OpenVPN Connect (les deux clients étant sur le même PC).

J'ai un certificat let's encrypt sur mon RT2600, je peux l'importer sous le NAS ? ou faut-il que j'en fasse un autre pour le NAS ?

 

 

[Jeff777]

il y a 5 minutes, Nano83 a dit :

J'ai un certificat let's encrypt sur mon RT2600, je peux l'importer sous le NAS ? ou faut-il que j'en fasse un autre pour le NAS ?

Tu peux l'importer il est lié à ton domaine pas au périphérique.

[Nano83]

il y a 28 minutes, Jeff777 a dit :

Tu peux l'importer il est lié à ton domaine pas au périphérique.

@Jeff777

j'ai changé le certificat du NAS autosigné par celui du RT let's encrypt et ça donne la même chose.

Ok sous OpenVPN GUI

Nok sous OpenVPN Connect

Si je décoche l'option

• Vérifier le CN du serveur.

qui supprime donc dans le fichier  .ovpn

verify-x509-name 'mon.nom.domaine.fr' name

Alors là ça marche sur les 2 clients mais j'ai de nouveau le warning sur le client OpenVPN Connect

WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.

Maintenant reste comprendre pourquoi la verif CN met le bazar

 

 

[Nano83]

Il y a 13 heures, Nano83 a dit :

@Jeff777

j'ai changé le certificat du NAS autosigné par celui du RT let's encrypt et ça donne la même chose.

Ok sous OpenVPN GUI

Nok sous OpenVPN Connect

Si je décoche l'option

• Vérifier le CN du serveur.

qui supprime donc dans le fichier  .ovpn

verify-x509-name 'mon.nom.domaine.fr' name

Alors là ça marche sur les 2 clients mais j'ai de nouveau le warning sur le client OpenVPN Connect

WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.

Maintenant reste comprendre pourquoi la verif CN met le bazar

 

 

@Jeff777@Pascalou59@MilesTEG1

Bon j'ai trouvé la solution au problème en cherchant sur le net.

A priori c'est connu sur la dernière version du client OpenVPN Connect (3.3.6)

A la création du serveur OpenVPN sur le NAS et quand on coche l'option

• Vérifier le CN du serveur.

Dans le fichier de conf exporté, la ligne suivante est ajoutée en fin de fichier

verify-x509-name 'mon.nom.domaine.fr' name

ceci qui conduit au message d'erreur suivant lors de l'utilisation de cette conf sous OpenVPN Connect 3.3.6

Pour résoudre le problème il faut enlever les quote ou les remplacer par des doubles quote sur la ligne de commande dans le fichier de conf .opvn

La ligne devient

verify-x509-name mon.nom.domaine.fr name

Et après ça marche  !!!

Merci pour votre aide à tous.

Je laisse ici le fichier de config

dev tun
tls-client

remote mon.nom.domaine.fr 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2



reneg-sec 0

cipher AES-256-CBC
data-ciphers 'AES-256-CBC'

auth SHA512

auth-nocache
auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
# ici votre certificat
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
# ici votre certificat
-----END CERTIFICATE-----

</ca>
key-direction 1
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
# ici votre clé
-----END OpenVPN Static key V1-----

</tls-auth>
verify-x509-name mon.nom.domaine.fr name

 

[Pascalou59]

Bonjour @Nano83

Maintenant ca fonctionne pour mon Android Oneplus10 , j'ai bien du dé-commenter

</tls-auth>
# verify-x509-name 'mondomaine.com' name

[Jeff777]

il y a 3 minutes, Pascalou59 a dit :

j'ai bien du dé-commenter

Décommenter :

verify-x509-name 'mondomaine.com' name

et enlever les quotes.....c'est ça?

verify-x509-name mondomaine.com name

[Nano83]

il y a 11 minutes, Pascalou59 a dit :

Bonjour @Nano83

Maintenant ca fonctionne pour mon Android Oneplus10 , j'ai bien du dé-commenter

</tls-auth>
# verify-x509-name 'mondomaine.com' name

@Pascalou59

Non la tu l'as commenté en ajoutant le # (la ligne devient un commentaire)

moi je parlais de de-quoter comme ci dessous

verify-x509-name mondomaine.com name

mais il parait qu'avec le double quote ca marche aussi cependant je n'ai pas essayé cette seconde version

verify-x509-name "mondomaine.com" name

 

Modifié le 9 novembre 2022 par Nano83

[Pascalou59]

il y a 23 minutes, Jeff777 a dit :

Décommenter :

verify-x509-name 'mondomaine.com' name

et enlever les quotes.....c'est ça?

verify-x509-name mondomaine.com name

J'ai mis un # devant verify-x509-name 'mondomaine.com' name

Moi ca me va comme ça car auparavant ça ne marchait pas du tout

Ps je viens de faire l'essai  sans le # et j'ai enlevé le quote ' et ça marche aussi

 

Modifié le 9 novembre 2022 par Pascalou59

[Myghalloween]

Question certainement déjà posée : est-il possible de faire une connexion VPN IKEv2/IPsec sur nos NAS ? Je ne vois rien dans le paquet VPN server. @Fenrir parle de 4 façons de se connecter en VPN dans son tuto, je ne trouve pas cette 4eme option et je ne suis pas sûr que ce soit IKEv2.

Sur VPN server, L2TP/IPsec me semble le meilleur compromis pour ne pas avoir à installer une appli sur les clients, mais ça ne vous dérange pas que L2TP soit potentiellement "écouté" par la NSA ?

Autre remarque (je pense que j'ai la réponse, mais je préfère des avis d'initiés) : y-a t-il des risques (si oui lesquels) à utiliser le reverse proxy pour accéder à DSM via le port 443 plutôt que d'exposer en permanence le 5001 (par une redirection de port genre 45001 sur la box) ?

[Jeff777]

Il y a 14 heures, Myghalloween a dit :

y-a t-il des risques (si oui lesquels) à utiliser le reverse proxy pour accéder à DSM via le port 443 plutôt que d'exposer en permanence le 5001

Bonjour,

Comme les initiés n'ont pas répondu je tente :

L'intérêt du reverse proxy avec redirection auto de http vers https (par fichier .htaccess) est de limiter les ouvertures de ports à quelques uns dont le port 443. Il existe cependant un risque résiduel d'interception (bien que le port 443 permet de crypter la liaison) cette technique s'appelle "man in the middle". Bien qu'un particulier soit peu exposé, il est possible de s'en protéger par l'usage du HSTS (voir l'expression "man in the middle" sur ce site ou sur intenet).

[Myghalloween]

Je connais le principe de "man in the middle". Effectivement pour un particulier, à moins d'héberger un hacker, d'avoir un wifi un peu trop "ouvert", ou subir une attaque qui permet d'entrer dans le LAN, le risque est faible.

Donc à priori, le risque qu'un robot détecte DSM sur le 443 et l'attaque est plutôt faible, d'autant qu'il faut encore passer le 2FA et ne pas être ban par de multiples tentatives... Je peux donc me passer du VPN sur ce point ? (je comprends bien que le VPN rajoute une couche de sécurité supplémentaire pour DSM)

[Biskot]

Bonjour à tous,

J'ai mis en place Un serveur VPN avec OpenVPN en suivant le tuto de @Fenrir que je remercie au passage.
1- Lors de la connexion avec le client OpenVPN j'ai l'avertissement suivant qui n'est pas bloquant, en effet on peut poursuivre le processus qui abouti avec succès :

J'ai trouvé dans ce fil de discussion une seule mention à cet avertissement sans qu'il n'y a eu une réponse. En tout cas je ne l'ai pas vu. le problème est identique si je renseigne l'adresse IP externe ou bien le nom de domaine muni d'un certificat Let's Encrypt valide. Ma question est de savoir si ignorer l'avertissement compromet la sécurité du tunnel VPN.

2- Depuis le tuto de Fenrir deux nouvelles options sont apparues :
- Vérifier la clé d'authentification TLS (qui crée une clé supplémentaire 2048 b)
- Vérifier le CN du serveur

Après l'activation de ces deux options (qui j'imaginais renforcerait un peu plus la sécurité), la connexion VPN échoue à la vérification du certificat TLS.

Merci pour vos réponses.

[Biskot]

Je viens de comprendre pourquoi je n'avais pas de réponse à mon message. En effet, les réponses à mes questions se trouvait une page avant celle-ci (je n'y était pas encore arrivé dans ma lecture du fil de discussion au sujet du VPN Server)

[Spudboy]

Question à deux cents, est-il possible avec openvpn que le NAS garde la même ip en 192.168.x.x une fois connecté?

J'ai décommenté la ligne redirect-gateway def1 pensant que ca le ferait mais ca ne marche pas et j'ai bien l'option Allow client to access serverślan de coché coté serveur.

Merci

[Jeff777]

il y a 3 minutes, Spudboy a dit :

Question à deux cents, est-il possible avec openvpn que le NAS garde la même ip en 192.168.x.x une fois connecté?

Bonjour,

Je ne comprends pas ta question, il n'y a aucune raison que le nas change d'IP. Sauf peut-être si tu n'as pas fixé son IP sur le routeur (recommandé).