[TUTO] VPN Server

[Mic13710]

Ce n'est pas recommandé d'utiliser un certificat LE car il est renouvelé tous les 3 mois.

Mieux vaut utiliser le certificat Synology par défaut ou encore mieux, un certificat autosigné avec une longue durée de validité. Le mien court jusqu'au 17/04/2038.

[marty450]

Merci pour le retour rapide.

Effectivement, je n'avais pas bien mesuré le problème et me suis laissé guidé par le tuto.
En y réfléchissant, c'est même moins sécurisé de prendre un certificat ouvert type LE ou autre et pas très logique au final.

Par contre, pour la génération du certificat autosigné sur une longue durée, j'imagine que celui de Synology est limité à 1 an. Comment peut on en générer sur une très longue période ?

[Mic13710]

Pour le certificat autosigné, google est (parfois) votre ami :

Dans la recherche : "créer un certificat autosigné openssl"

Vous trouverez des tas de tutos

[Jeff777]

Il y a 11 heures, marty450 a dit :

Avez vous réussi à utiliser open VPN avec un certificat let's encrypt ?

Oui. Lorsque l'on exporte la configuration le certificat est compris dedans.

Modifié le 16 avril par Jeff777

[marty450]

Le 16/04/2024 à 12:34 PM, Mic13710 a dit :

Pour le certificat autosigné, google est (parfois) votre ami :

Dans la recherche : "créer un certificat autosigné openssl"

Vous trouverez des tas de tutos

Merci pour ton retour.

J'ai passé par mal de temps mais je n'arrive pas a débloquer ma situation.


J'ai réussi a créer un certificat autosigné longue durée avec OpenSSL. Il est bien accepté par le Syno avec un certificat intermédiaire sinon le Serveur VPN ne fonctionne pas.

Mais avec ce certificat, impossible de me connecter avec OpenPVN, meme en supprimant le controle du certificat : setenv CLIENT_CERT 0

Bref, je tourne en rond et j'ai un peu tout essayé ... une idée ?

 

Voici comment j'ai crée mes certificats :

génération clé privée .key
.\openssl genrsa -out "D:\key\HOME_NAS_CA.key" 2048

génération du certificat racine .pem
.\openssl req -x509 -new -nodes -key "D:\key\HOME_NAS_CA.key" -sha256 -days 10000 -out "D:\key\HOME_NAS_CA.pem"

génération clé intermédiaire .key
.\openssl genrsa -out "D:\key\HOME_NAS_CA_INT.key" 4096

creation certificate signing request (dR).* à partir de ta clé
openssl req -new -key "D:\key\HOME_NAS_CA_INT.key" -out "D:\key\HOME_NAS_CA_INT.csr"

creation du certificat signé par l'autorité racine sur 1000 jours :

openssl x509 -req -days 1000 -in "D:\key\HOME_NAS_CA_INT.csr" -CA "D:\key\HOME_NAS_CA.pem" -CAkey "D:\key\HOME_NAS_CA.key" -CAcreateserial -out "D:\key\HOME_NAS_CA_INT.crt"

Par le suite, intégration au NAS, certificat par défaut, export du certificat, export de la config du VPN, ...
Coté téléphone (Andoid), import du certificat, ajout du fichier export OpenVPN ...

J'ai le message : Connection Failed - There was an error attempting to connect to the selected server. - Error message: Peere certificate vérification failure

Modifié le 18 avril par marty450

[Mic13710]

@marty450 Pour que le serveur VPN le prenne en compte, il faut d'abord indiquer dans la page des certificats lequel est utilisé pour le serveur VPN. Ensuite seulement vous pouvez générer le fichier de conf open VPN.

[marty450]

il y a 38 minutes, Mic13710 a dit :

@marty450 Pour que le serveur VPN le prenne en compte, il faut d'abord indiquer dans la page des certificats lequel est utilisé pour le serveur VPN. Ensuite seulement vous pouvez générer le fichier de conf open VPN.

Pas de problème de ce coté la.

Pour bien m'assurer que je n'ai pas loupé une étape, j'ai refait toute la manip avec mon certificat LE:

- export du certificat depuis le NAS, conversion du fichier privkey.pem en pfx, ajout du certificat sous Android, modification du certificat utilisé pour le VPN, puis export de la config du VPN puis ajout dans OpenVPN sous Android.

 

Edit : Avec cette manip et mon certificat LE, ca fonctionne nickel et sans l'alerte de certificat. C'est déjà pas mal.

Modifié le 18 avril par marty450

[Mic13710]

Je n'utilise plus le serveur VPN du NAS car je suis passé sur wireguard depuis pas mal de temps.

Mais j'ai toujours la possibilité d'établir une connexion via le serveur dans le cas ou wireguard ne fonctionnerait pas.

Je viens de tester avec OpenVPN sur le serveur du NAS et tout fonctionne au poil.

Ma config est faite avec le certificat openSSL.

Dans mon fichier de conf, j'ai modifié une ligne pour spécifier le nom du certificat comme ceci :

Citation

#verify-x509-name 'mon adresse mail' name
#ligne ci-dessus générée par le fichier de configuration
#remplacée par
verify-x509-name 'certificat.vpn' name
 

où certificat.vpn est le ndd pour lequel j'ai créé le certificat.

Si ça peut aider...

[marty450]

Il y a 2 heures, Mic13710 a dit :

où certificat.vpn est le ndd pour lequel j'ai créé le certificat.

Merci pour ton retour. De mon coté, lors de la création du certificat, je n'ai pas indiqué de ndd, j'ai juste nommé "NAS" au niveau de Common Name (e.g. server FQDN or YOUR name) []:

C'est bien remonté lors de la création du fichier de config.

Tu as moyen de tester le code que j'ai indiqué pour la création des certificats ? J'ai peut être fait une boulette, j'ai testé pleins de trucs sans succès 😫

[marty450]

Bonjour à tous,

J'ai refait des tests et je pense avoir un problème avec le code pour créer les certificats. J'ai voulu tester avec une durée inférieure à 10000 jours (jusqu'en 2051). Et en modifiant les durées, les certificats importés sont toujours sur une base de 10 000 jours donc il doit avoir un souci.
Quelqu'un peut il me partager le code qu'il utilise pour ses certificats auto signés ? (via OpenSSL ou autre).

Question concernant le certificat LE qui me dépanne bien actuellement. Il se renouvelle automatiquement avec le NAS mais faut il exporter tous les 3 mois une nouvelle config pour le VPN ?
Si ce n'est pas nécessaire, au pire, je resterai avec mon certificat LE qui se renouvelle tous les 3 mois automatiquement ...

[marty450]

Je viens de trouver le problème,  les « Common Name » pour la demande de signature de certificat et le certificat autosigné de l’autorité de certification doivent être différent.

Merci Mic13710 pour tes conseils

[Guilleri29]

Bonjour,

Cela fait longtemps que je veux mettre en place un VPN avec le paquet VPN server de Synology mais ayant eu des difficultés j'avais laissé tomber.

Mon fils étant à l'étranger pour 2 mois et le wifi de la maison d'étudiant où il loge n'étant pas sécurisé j'ai décidé de remettre mon projet VPN en route.

J'ai donc installé VPN server sur mon NAS. Je l'ai configuré avec OpenVPN. Je suis avec une livebox et une IP dynamiqye j'ai donc activé le DDNS. J'ai bien coché l'option "Autoriser aux clients l'accès au serveur LAN" et j'ai configuré le fichier de configuration du client en FullTunneling en décommentant la ligne "redirect-gateway  def1".

J'ai installé le client OpenVPN Connect sur mon téléphone Androïd et tout fonctionne parfaitement. Quand je suis en 4G et le VPN connecté j'accède bien au LAN et mon adresse IP Publique est bien celle de ma box.

Par contre j'ai aussi installé OpenVPN connect sur mon PC portable. J'ai utilisé le même fichier de configuration.

Le VPN se connecte bien (en partage de connexion sur mon portable en 4G pour ne pas être dans le LAN). Je vois la connexion sur VPN Server. Je ping ma box en 192.168.1.1 et mon NAS (les réponses me semblent malgré tout pas très fiables. Je perd quelques paquets). Par contre impossible d'y accéder par mon navigateur.

Et surtout mon adresse IP Publique est celle de mon téléphone et non pas celle de ma box.

Par contre si je fais un tracert 8.8.8.8 les premières lignes me mettent :

L'adresse IP en 10.8. de mon NAS puis l'adresse IP 192.168.1.1 de ma Box.

Si je demande une route print pour les destination réseau 0.0.0.0 j'ai une adresse de passerelle en 192.168.93..

Ce que je ne comprend pas c'est que cela fonctionne sur mon téléphone et pas sur mon PC.

Merci d'avance pour vos réponses.

[Nolin]

Le 16/05/2024 à 12:03 PM, Guilleri29 a dit :

Le VPN se connecte bien (en partage de connexion sur mon portable en 4G pour ne pas être dans le LAN). Je vois la connexion sur VPN Server. Je ping ma box en 192.168.1.1 et mon NAS (les réponses me semblent malgré tout pas très fiables. Je perd quelques paquets). Par contre impossible d'y accéder par mon navigateur.

...

Bonjour,

Je me permets de compléter ton message car j'ai l'impression que nous avons le même problème (cf mon message page précédente)

Avec mon PC portable, lorsque je suis à l'extérieur, je me connecte à internet avec une box, puis active le VPN (OpenVPN) : j'ai accès à mon NAS et son réseau, et internet -> OK

Je fais la même chose en utilisant mon téléphone en partage de connexion sur mon PC portable (à la place de la box) : j'ai internet, mais pas d'accès au NAS et son réseau. Pourtant je ping bien les éléments du réseau et le NAS.

Sur mon téléphone directement, avec l'appli OpenVPN : tout est OK, il accède au NAS et son réseau.

J'ai l'impression que c'est arrivé depuis que j'ai mis à jour DSM, V6 à V7. Mais c'est peut-être un hasard...

Quelqu'un aurait une piste?

Merci!

 

EDIT :  J'ai enfin trouvé d'où vient mon problème! Mon téléphone fait de l'IPV6. Je ne peux pas le désactiver dans le téléphone, mais je l'ai désactivé dans la carte réseau, et ça fonctionne maintenant. J'ai accès aux dossiers de mon NAS.

Je ne sais pas s'il existe une solution pour que ça fonctionne avec l'iPV6?

Modifié le 9 juillet par Nolin

[Dimebag Darrell]

Bonjour tout le monde,

Je rencontre un problème avec mon serveur VPN en L2TP. Lorsque je me connecte via le VPN, je n'arrive pas à accéder à mon réseau local, notamment à mon disque réseau Synology. Mon réseau local utilise la plage d'adresses IP 192.168.1.x, tandis que le VPN attribue des adresses IP dans la plage 192.168.4.x.

Malgré la connexion VPN établie, je ne parviens pas à atteindre mon Synology (disque réseau). Quelqu'un a-t-il déjà rencontré ce problème et trouvé une solution ?

[Mic13710]

@Dimebag Darrell, je ne comprends pas pourquoi avoir changé la plage VPN par défaut en 10.x.x.x. Ces IP sont plus rapidement identifiables comme IP VPN alors que les adresses 192.168.x.x sont généralement réservées aux réseaux privés. Il n'y a bien entendu aucune obligation en ce sens, mais ça permet de différencier plus facilement les connexions.

• Est-ce que votre parefeu autorise les IP de votre serveur VPN ?
• Est-ce que vous avez effectué l'ajout de la ligne dans le registre windows (voir tuto) ?
• Est-ce que vous avez autorisé le service VPN L2TP en ouvrant les ports 500, 1701 et 4500 dans le parefeu et ouvert les ports 500 et 4500 dans le routeur ?

Il arrive parfois que les connexions L2TP/IPSec soient capricieuses et j'ai personnellement abandonné de l'utiliser sur un de mes PC car je n'ai jamais pu établir de connexion avec ce protocole.

A titre personnel, j'ai abandonné l'usage du serveur VPN du NAS (que je garde tout de même en secours) au profit de Wireguard qui est tout aussi sûr que le L2TP et beaucoup plus rapide, et surtout d'une utilisation plus facile. Wireguard est installé sur mes routeurs, indépendamment donc des NAS.

[Dimebag Darrell]

@Mic13710
Merci pour ton aide,

Pour être très précis, j'utilise le serveur VPN sur mon USG (Unifi), en L2TP,
Concernant l'adressage VPN en 10.x.x.x, je n'y avais pas pensé ! (oups)
 

• Est-ce que votre parefeu autorise les IP de votre serveur VPN ?
  • J'arrive à atteindre mes applications installées en docker sur mon syno (non exposé à l'extérieur)
  • Par contre, impossible d'avoir accès au drive via windows explorer
• Est-ce que vous avez effectué l'ajout de la ligne dans le registre windows (voir tuto) ?
  • Je dois vérifier
• Est-ce que vous avez autorisé le service VPN L2TP en ouvrant les ports 500, 1701 et 4500 dans le parefeu et ouvert les ports 500 et 4500 dans le routeur ?
  • Oui

 

[Mic13710]

il y a 2 minutes, Dimebag Darrell a dit :

j'utilise le serveur VPN sur mon USG (Unifi), en L2TP,

Ca n'a donc aucun rapport avec le serveur VPN du NAS, objet de ce tuto.... Il faudrait plutôt vous tourner vers un forum Ubiquiti.

Je vous recommande alors d'utiliser plutôt Wireguard qui est assez simple à mettre en oeuvre sur l'USG. Vous trouverez des tas de tutos sur le net. @Lelolo peut peut-être vous donner un coup de main en ce sens.

il y a 3 minutes, Dimebag Darrell a dit :

Est-ce que vous avez autorisé le service VPN L2TP en ouvrant les ports 500, 1701 et 4500 dans le parefeu

Là pour le coup, ce n'est pas sur le NAS qu'il faut ouvrir ces ports. Il faut par contre autoriser les IP du VPN à accéder au NAS.

il y a 4 minutes, Dimebag Darrell a dit :

les ports 500 et 4500 dans le routeur

Là oui.

En clair, ce n'est pas ici que vous pourrez obtenir de réponse sur une question qui ne concerne pas le serveur VPN de nos NAS.

Il faudrait ouvrir un sujet dédié dans le bar.

[CMDC]

Le 20/06/2024 à 12:25 AM, Nolin a dit :

J'ai enfin trouvé d'où vient mon problème! Mon téléphone fait de l'IPV6. Je ne peux pas le désactiver dans le téléphone,

Si, en fait on peu le désactiver , sur Android du moins !

Il suffit de créer un nouveau point d'accès  ayant les mêmes paramètres que celui que tu utilises déjà en changeant le Protocole APN en IPv4 

Si on utilise OPENVPN je crois (mais je ne parie pas ma paye là-dessus) qu'il est possible de désactiver IPV6 en ajoutant dans les fichier de configuration :

Citation

pull-filter ignore "route-ipv6"
pull-filter ignore "ifconfig-ipv6"
block-ipv6

 

Modifié le 19 juillet par CMDC