Aller au contenu

[TUTO] VPN Server


Fenrir

Messages recommandés

Bonjour, et merci pour ton retour.

Malheureusement, j'utilise la même configuration sur un autre PC, mais avec un autre compte, et ça fonctionne. Donc pas de problème de certificat, ni de firewall côté NAS.

Je viens de tester sur mon PC portable avec ce compte, mais ça ne fonctionne pas, j'ai le même problème...

Plus ça va, et plus je me dis que le problème vient de mon PC portable...

Que pourrait-il y avoir comme paramètre sur mon PC qui fasse bloquer cette connexion?

Je pense à la table de routage par exemple? Ou les différentes cartes réseaux (virtuelles?)

Edit : Je viens de mettre à jour Open VPN et c'est toujours le même problème...

Modifié par Nolin
Lien vers le commentaire
Partager sur d’autres sites

Le 02/01/2024 à 9:07 PM, Nolin a dit :

Malheureusement, j'utilise la même configuration sur un autre PC, mais avec un autre compte, et ça fonctionne. Donc pas de problème de certificat, ni de firewall côté NAS.

Je viens de tester sur mon PC portable avec ce compte, mais ça ne fonctionne pas, j'ai le même problème...

 

@Nolin Donc tu as un PC qui marche et un autre qui ne marche pas. La seule différence est le compte que tu utilises. (différent sur chaque PC)

On est d'accord que tu es sur le même réseau distant quand tu testes tes 2 PCs.

Donc ça pourrait être un problème de compte.

Prends le PC qui marche pas et essaye avec le compte de l'autre qui marche.

Si ca fonctionne alors ce n'est pas le PC mais le compte et dans ce cas, va vérifier sur le NAS que le compte qui ne marche pas à bien les droits pour OpenVPN.

 

 

Lien vers le commentaire
Partager sur d’autres sites

Ah non, je ne suis pas sur le même réseau lorsque je fais mes tests!

L'un sur une box, et l'autre qui ne marche pas avec un tel portable en point d'accès.

Le test du compte c'est justement ce que j'ai fait (je n'ai pas été très clair). Avec le compte qui fonctionne sur un autre PC, ça ne fonctionne pas sur mon PC portable. Mais c'est vrai que ce n'est pas le même réseau lors de mes tests...

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Il suffit de relire le tuto :

Le 13/08/2016 à 5:13 PM, Fenrir a dit :

Il s'agit d'un projet libre et OpenSource de serveur VPN SSL/TLS, il utilise donc un certificat (et quelques autres mécanismes) pour chiffrer la communication, d'une manière très similaire à ce qui est fait par un site en HTTPS. Ce mode de fonctionnement lui permet une grande souplesse de configuration. À titre d'exemple, on peut le configurer pour écouter sur le le port TCP 443, comme le ferait un serveur HTTPS. Cette possibilité peut être utile si les ports standards sont fermés par un pare-feu. On peut aussi l'utiliser à travers un serveur proxy.

Le port 1194 est le port par défaut mais rien ne vous empêche d'en changer.

 

il y a 37 minutes, bibou64 a dit :

si obligatoire, cela veut dire qu'il faut ouvrir un second port pour bénéficier de l'UI web ?

Moi pas comprendre...

Lien vers le commentaire
Partager sur d’autres sites

Si c'est de l'interface d'administration d'openVPN qu'il s'agit, la seule existante dans DSM est celle du serveur DNS, accessible uniquement via une connexion à DSM.

A ma connaissance, la seule possibilité pour exploiter le WEB UI admin d'OpenVPN est de passer par docker. Pas sûr que ce soit compatible avec le serveur du NAS et qu'il ne faille pas aussi passer le serveur OpenVPN sur docker. Ceci dépasse bien évidemment le propos de ce tuto.

En tout état de cause, il s'agit d'un service d'administration du serveur dont l'accès, comme l'indique @Kramlech, doit se faire par un port différent.

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Bonjour, voilà, je suis novice et j’ai besoin qu’on m’aide.

J’ai un réseau LAN (192.168.1.x) dans un lieu 1.

Dans le lieu 1, j’ai 3 pc, une imprimante et un NAS synology (dont j’ai configuré open vpn server), ils sont tous connectés à une box sfr (paramètres ok dans la box)

J’ai un deuxième réseau LAN (192.168.10.x) dans un lieu 2.

Dans le lieu 2, j’ai 2 pc et une imprimante, tous connectés à un routeur TP-link archer ax55, qui lui même est connecté à une livebox 5 pro.

Sur le tp-link archer ax55, j’ai configuré la partie client d’open vpn afin de lié mon lieu 2 à mon lieu 1.

Ça fonctionne, dans le lieu 2, je peux accéder à des ressources du lieu 1 mais l’inverse ne fonctionne pas. Quand je suis dans le lieu 1, et que je tente par exemple, d’imprimer sur l’imprimante de mon lieu 2, ça ne passe pas, il ne trouve rien.

D’après ce que j’ai compris, c’est parce que je suis dans une configuration de client to site, et qu’il faudra plutôt passer en mode site to site. Donc je suis perdu, voici mes questions :

Que faire exactement pour que ça fonctionne dans les 2 sens ?

Est-il possible de faire du site-to-site avec open vpn ?

Faut-il obligatoirement passer par du I2tp ipsec ?

Mais, peu importe le vpn utilisé, j’ai l’impression que mes pc du lieu 1 n’auront pas accès au lan 2 car pas connecté au vpn, me faudrait-il mettre un routeur entre la box sfr et mon LAN dans le lieu 1 ? Pour qu’ils puissent tous être connectés directement au vpn ? Ou configurer chacun individuellement pour être connecté ? J’ai cru comprendre que pour l’ipsec, il n'est pas possible d'avoir plusieurs clients connectés en même temps s'ils sont derrière le même routeur NAT.

🤯 help

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 16 minutes, Mathieu BOYER a dit :

Est-il possible de faire du site-to-site avec open vpn ?

Oui, mais il faut pour cela le serveur VPN plus qui permet de faire du site to site. Ce n'est malheureusement pas dispo sur les NAS, uniquement sur les routeurs Synology.

il y a 16 minutes, Mathieu BOYER a dit :

Faut-il obligatoirement passer par du I2tp ipsec ?

Non.

Il est effectivement nécessaire d'avoir des routeurs qui permettent de faire du site to site. Perso, je fais du site to site permanent entre deux routeurs Ubiquiti ER-X avec Wireguard qui est à l'heure actuelle le VPN le plus rapide. Et c'est absolument transparent à l'usage que je sois sur un site ou un autre. J'ai depuis abandonné les autres VPN, ou du moins je les garde uniquement en cas de problème avec Wireguard.

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...

Mac : Impossible d'intégrer le certificat.p12 au trousseau d'accès

Bonjour,

Lorsque je crée le certificat à l'aide de l'instruction suivante dans le Terminal,

openssl pkcs12 -export -out certificat.p12 -inkey privkey.pem -in cert.pem -certfile chain.pem

PJ1.jpg

On demande deux fois le mot de passe qui sera attribué au certificat. Je procède par copier/coller pour être sûr de ne pas entrer un mot de passe erroné.

Lorsque je double-clique sur l'icône du certificat pour l'intégrer au trousseau d'accès on demande à nouveau le mot de passe du certificat et une fois de plus je procède par copier/coller. Malgré cela une fenêtre indique que j'ai saisi un mot de passe non valide ! Bref je tourne en rond.

PJ2.jpg
PJ3.jpg

Je remercie toute personne confronté au même problème qui pourrait m'apporter une solution.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous,

Afin de sécuriser le mieux possible mon nas, je bloque tous les ports et autorise uniquement le port du VPN (via openVPN).

Aucun problème avec le VPN, ca fonctionne bien.

J'avais quelques questions ou besoin de vos retours d'expériences avec OpenVPN sous Android :

- Pourquoi suis je obligé d'activer l'option "Autoriser aux clients l'accès au serveur LAN" pour utiliser l'application Drive client Android (sous VPN) alors que je n’accède qu'au NAS en lui-même ? On ne devrait pas avoir a cocher cette case. Avez vous le même fonctionnement ?

- Pourquoi est on obligé d'ignorer le certificat en ajoutant "setenv CLIENT_CERT 0" alors qu'on a un certificat Let's Encrypt valide ?

 - Pouvez-vous me confirmer que si on active redirect-gateway def1, tout le flux réseau passe par le VPN (LAN et internet) et que cela permet bien de sécuriser nos connexions sur les réseaux publics, sans compromettre notre NAS ?

 - Enfin, une dernière question car je manque de culture sur le sujet, pourquoi le VPN est en sous réseau en 10.8.0.X ? pourrait on le basculer en 192.168.1.x par exemple ? Si vous avez un source ou un tuto sur le sujet, je suis preneur aussi.

En vous remerciant pour votre aide et vos retours d'expériences.

Modifié par marty450
Lien vers le commentaire
Partager sur d’autres sites

Le 30/03/2024 à 5:32 PM, marty450 a dit :

Pourquoi suis je obligé d'activer l'option "Autoriser aux clients l'accès au serveur LAN" pour utiliser l'application Drive client Android (sous VPN) alors que je n’accède qu'au NAS en lui-même ? On ne devrait pas avoir a cocher cette case. Avez vous le même fonctionnement ?

Par défaut tu n'accèdes qu'à l'IP VPN du Synology si cette case n'est pas cochée (10.x.x.x)
Pour changer ce comportement :

  • soit tu coches la dite case mais tu accèdes aussi à tout le reste du réseau dans la plage (modulos les firewall éventuels de périphériques)
  • soit tu mets en place une résolution locale avec une vue LAN et une vue VPN, pour que la même adresse renvoie vers des IP différentes (l'IP en 192.168 en LAN, l'IP en 10 en VPN), c'est de loin la solution la plus élégante
Lien vers le commentaire
Partager sur d’autres sites

Citation

Oui, DNS Serveur pour monter deux vues locales

OK, merci pour ton retour.

Avez-vous des éléments de réponses pour mes 2 autres questions précédentes :

- Pourquoi est on obligé d'ignorer le certificat en ajoutant "setenv CLIENT_CERT 0" alors qu'on a un certificat Let's Encrypt valide ?

 - Pouvez-vous me confirmer que si on active redirect-gateway def1, tout le flux réseau passe par le VPN (LAN et internet) et que cela permet bien de sécuriser nos connexions sur les réseaux publics, sans compromettre notre NAS ?

Merci à vous

Modifié par marty450
Lien vers le commentaire
Partager sur d’autres sites

il y a 9 minutes, marty450 a dit :

- Pouvez-vous me confirmer que si on active redirect-gateway def1, tout le flux réseau passe par le VPN (LAN et internet) et que cela permet bien de sécuriser nos connexions sur les réseaux publics, sans compromettre notre NAS ?

Pour pouvoir te répondre, il faudrait d'abord bien bien comprendre ta question : quel rapport entre le fait que tout le flux réseau du client passe par le serveur VPN (donc par ton NAS), la sécurisation des connexions sur le réseau public et la compromission du NAS ?

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, marty450 a dit :

setenv CLIENT_CERT 0

Il ne me semble pas avoir ce paramètre !

il y a une heure, marty450 a dit :

Pouvez-vous me confirmer que si on active redirect-gateway def1, tout le flux réseau passe par le VPN

La différence est que lorsque tu te sers de openvpn depuis l'extérieur de ton réseau (ce qui est vrai dans la plupart des cas 😁) avec ce paramètre tu passeras par ta connexion internet pour aller sur le net et sans ce paramètre tu y vas directement.

Lien vers le commentaire
Partager sur d’autres sites

Citation

Pour pouvoir te répondre, il faudrait d'abord bien bien comprendre ta question : quel rapport entre le fait que tout le flux réseau du client passe par le serveur VPN (donc par ton NAS), la sécurisation des connexions sur le réseau public et la compromission du NAS ?

Mon interrogation était sur un réseau public (type Wifi hôtel, magasin, etc), ce type de connexion n'est pas bien fiable, ni sécurisé mais nous devons parfois les utiliser (absence de réseau 4G/5G, besoin de gros volumes en data, etc).

L'utilisation du VPN permet de sécuriser notre navigation internet (mot de passe, accès messagerie, etc) seulement si on est en Full Tunelling.

Je voulais m'assurer que mon raisonnement était le bon et qu'utiliser un VPN sur ce type de connexion n'exposait pas un problème de sécurité que je n'aurai pas pensé.

 

Citation
Le 05/04/2024 à 11:06 AM, marty450 a dit :

setenv CLIENT_CERT 0

Il ne me semble pas avoir ce paramètre !

De mon coté, sans ce paramètre, j'ai un message d'erreur sur le certificat (non bloquant).

Lien vers le commentaire
Partager sur d’autres sites

il y a 27 minutes, marty450 a dit :

De mon coté, sans ce paramètre, j'ai un message d'erreur sur le certificat (non bloquant).

J'ai trouvé ça dans un tuto, mais il te faudra l'enlever si tu veux une connexion sécurisée  :

 

Par défaut, le client OpenVPN demande un certificat SSL pour authentifier la connexion. Ici, nous n’en utiliserons pas. Pour éviter d’avoir un avertissement lors de la première connexion, rajoutez cette ligne également dans le fichier VPNConfig.ovpn (merci à T ChaY qui m’a donné cette information dans ce commentaire) :

setenv CLIENT_CERT 0
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Je reprends mon message qui date du mois de décembre car j'ai toujours le problème... Voir ci-dessous.

Par contre, j'ai pu approfondir et voir à quel moment je retrouve ce problème.

Finalement, j'ai ce problème avec mon PC portable, lorsque j'utilise le partage de connexion avec mon téléphone portable.

Ainsi, à l'extérieur de chez moi, avec mon PC portable, dès que j'utilise un réseau wifi d'une box ou même le partage de connexion d'un autre téléphone, je n'ai pas ce problème.


Pensez-vous que ça puisse venir de mon téléphone? Ou des paramètres qui sont enregistrés dans mon PC, qui deviennent actifs lors d'une connexion avec mon téléphone?
Ou bien le NAS qui reconnait mon téléphone et le bloque?

Merci pour aide.

 

 

Le 30/12/2023 à 12:21 AM, Nolin a dit :

Bonjour,

J'ai le même problème, depuis que j'ai migré vers DSM7, je n'arrive plus à utiliser OpenVPN sur mon PC portable à distance.

La config fonctionne, la connexion d'OpenVPN  passe au vert (et sur le NAS, OpenVPN indique bien qu'il y a actuellement une connexion), mais aucun accès aux dossiers partagés, ni au NAS en tapant l'adresse IP.

Et pourtant, je ping bien le NAS.

Quelqu'un aurait une idée d’où peut venir le problème?

Merci pour vos retours!

Lien vers le commentaire
Partager sur d’autres sites

Le 09/04/2024 à 11:40 AM, Jeff777 a dit :

J'ai trouvé ça dans un tuto, mais il te faudra l'enlever si tu veux une connexion sécurisée  :

 

Par défaut, le client OpenVPN demande un certificat SSL pour authentifier la connexion. Ici, nous n’en utiliserons pas. Pour éviter d’avoir un avertissement lors de la première connexion, rajoutez cette ligne également dans le fichier VPNConfig.ovpn (merci à T ChaY qui m’a donné cette information dans ce commentaire) :

setenv CLIENT_CERT 0

Avez vous réussi à utiliser open VPN avec un certificat let's encrypt ?
 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.