[TUTO] VPN Server

[Mic13710]

Ce n'est pas recommandé d'utiliser un certificat LE car il est renouvelé tous les 3 mois.

Mieux vaut utiliser le certificat Synology par défaut ou encore mieux, un certificat autosigné avec une longue durée de validité. Le mien court jusqu'au 17/04/2038.

[marty450]

Merci pour le retour rapide.

Effectivement, je n'avais pas bien mesuré le problème et me suis laissé guidé par le tuto.
En y réfléchissant, c'est même moins sécurisé de prendre un certificat ouvert type LE ou autre et pas très logique au final.

Par contre, pour la génération du certificat autosigné sur une longue durée, j'imagine que celui de Synology est limité à 1 an. Comment peut on en générer sur une très longue période ?

[Mic13710]

Pour le certificat autosigné, google est (parfois) votre ami :

Dans la recherche : "créer un certificat autosigné openssl"

Vous trouverez des tas de tutos

[Jeff777]

Il y a 11 heures, marty450 a dit :

Avez vous réussi à utiliser open VPN avec un certificat let's encrypt ?

Oui. Lorsque l'on exporte la configuration le certificat est compris dedans.

Modifié le 16 avril par Jeff777

[marty450]

Le 16/04/2024 à 12:34 PM, Mic13710 a dit :

Pour le certificat autosigné, google est (parfois) votre ami :

Dans la recherche : "créer un certificat autosigné openssl"

Vous trouverez des tas de tutos

Merci pour ton retour.

J'ai passé par mal de temps mais je n'arrive pas a débloquer ma situation.


J'ai réussi a créer un certificat autosigné longue durée avec OpenSSL. Il est bien accepté par le Syno avec un certificat intermédiaire sinon le Serveur VPN ne fonctionne pas.

Mais avec ce certificat, impossible de me connecter avec OpenPVN, meme en supprimant le controle du certificat : setenv CLIENT_CERT 0

Bref, je tourne en rond et j'ai un peu tout essayé ... une idée ?

 

Voici comment j'ai crée mes certificats :

génération clé privée .key
.\openssl genrsa -out "D:\key\HOME_NAS_CA.key" 2048

génération du certificat racine .pem
.\openssl req -x509 -new -nodes -key "D:\key\HOME_NAS_CA.key" -sha256 -days 10000 -out "D:\key\HOME_NAS_CA.pem"

génération clé intermédiaire .key
.\openssl genrsa -out "D:\key\HOME_NAS_CA_INT.key" 4096

creation certificate signing request (dR).* à partir de ta clé
openssl req -new -key "D:\key\HOME_NAS_CA_INT.key" -out "D:\key\HOME_NAS_CA_INT.csr"

creation du certificat signé par l'autorité racine sur 1000 jours :

openssl x509 -req -days 1000 -in "D:\key\HOME_NAS_CA_INT.csr" -CA "D:\key\HOME_NAS_CA.pem" -CAkey "D:\key\HOME_NAS_CA.key" -CAcreateserial -out "D:\key\HOME_NAS_CA_INT.crt"

Par le suite, intégration au NAS, certificat par défaut, export du certificat, export de la config du VPN, ...
Coté téléphone (Andoid), import du certificat, ajout du fichier export OpenVPN ...

J'ai le message : Connection Failed - There was an error attempting to connect to the selected server. - Error message: Peere certificate vérification failure

Modifié le 18 avril par marty450

[Mic13710]

@marty450 Pour que le serveur VPN le prenne en compte, il faut d'abord indiquer dans la page des certificats lequel est utilisé pour le serveur VPN. Ensuite seulement vous pouvez générer le fichier de conf open VPN.

[marty450]

il y a 38 minutes, Mic13710 a dit :

@marty450 Pour que le serveur VPN le prenne en compte, il faut d'abord indiquer dans la page des certificats lequel est utilisé pour le serveur VPN. Ensuite seulement vous pouvez générer le fichier de conf open VPN.

Pas de problème de ce coté la.

Pour bien m'assurer que je n'ai pas loupé une étape, j'ai refait toute la manip avec mon certificat LE:

- export du certificat depuis le NAS, conversion du fichier privkey.pem en pfx, ajout du certificat sous Android, modification du certificat utilisé pour le VPN, puis export de la config du VPN puis ajout dans OpenVPN sous Android.

 

Edit : Avec cette manip et mon certificat LE, ca fonctionne nickel et sans l'alerte de certificat. C'est déjà pas mal.

Modifié le 18 avril par marty450

[Mic13710]

Je n'utilise plus le serveur VPN du NAS car je suis passé sur wireguard depuis pas mal de temps.

Mais j'ai toujours la possibilité d'établir une connexion via le serveur dans le cas ou wireguard ne fonctionnerait pas.

Je viens de tester avec OpenVPN sur le serveur du NAS et tout fonctionne au poil.

Ma config est faite avec le certificat openSSL.

Dans mon fichier de conf, j'ai modifié une ligne pour spécifier le nom du certificat comme ceci :

Citation

#verify-x509-name 'mon adresse mail' name
#ligne ci-dessus générée par le fichier de configuration
#remplacée par
verify-x509-name 'certificat.vpn' name
 

où certificat.vpn est le ndd pour lequel j'ai créé le certificat.

Si ça peut aider...

[marty450]

Il y a 2 heures, Mic13710 a dit :

où certificat.vpn est le ndd pour lequel j'ai créé le certificat.

Merci pour ton retour. De mon coté, lors de la création du certificat, je n'ai pas indiqué de ndd, j'ai juste nommé "NAS" au niveau de Common Name (e.g. server FQDN or YOUR name) []:

C'est bien remonté lors de la création du fichier de config.

Tu as moyen de tester le code que j'ai indiqué pour la création des certificats ? J'ai peut être fait une boulette, j'ai testé pleins de trucs sans succès 😫

[marty450]

Bonjour à tous,

J'ai refait des tests et je pense avoir un problème avec le code pour créer les certificats. J'ai voulu tester avec une durée inférieure à 10000 jours (jusqu'en 2051). Et en modifiant les durées, les certificats importés sont toujours sur une base de 10 000 jours donc il doit avoir un souci.
Quelqu'un peut il me partager le code qu'il utilise pour ses certificats auto signés ? (via OpenSSL ou autre).

Question concernant le certificat LE qui me dépanne bien actuellement. Il se renouvelle automatiquement avec le NAS mais faut il exporter tous les 3 mois une nouvelle config pour le VPN ?
Si ce n'est pas nécessaire, au pire, je resterai avec mon certificat LE qui se renouvelle tous les 3 mois automatiquement ...

[marty450]

Je viens de trouver le problème,  les « Common Name » pour la demande de signature de certificat et le certificat autosigné de l’autorité de certification doivent être différent.

Merci Mic13710 pour tes conseils

[Guilleri29]

Bonjour,

Cela fait longtemps que je veux mettre en place un VPN avec le paquet VPN server de Synology mais ayant eu des difficultés j'avais laissé tomber.

Mon fils étant à l'étranger pour 2 mois et le wifi de la maison d'étudiant où il loge n'étant pas sécurisé j'ai décidé de remettre mon projet VPN en route.

J'ai donc installé VPN server sur mon NAS. Je l'ai configuré avec OpenVPN. Je suis avec une livebox et une IP dynamiqye j'ai donc activé le DDNS. J'ai bien coché l'option "Autoriser aux clients l'accès au serveur LAN" et j'ai configuré le fichier de configuration du client en FullTunneling en décommentant la ligne "redirect-gateway  def1".

J'ai installé le client OpenVPN Connect sur mon téléphone Androïd et tout fonctionne parfaitement. Quand je suis en 4G et le VPN connecté j'accède bien au LAN et mon adresse IP Publique est bien celle de ma box.

Par contre j'ai aussi installé OpenVPN connect sur mon PC portable. J'ai utilisé le même fichier de configuration.

Le VPN se connecte bien (en partage de connexion sur mon portable en 4G pour ne pas être dans le LAN). Je vois la connexion sur VPN Server. Je ping ma box en 192.168.1.1 et mon NAS (les réponses me semblent malgré tout pas très fiables. Je perd quelques paquets). Par contre impossible d'y accéder par mon navigateur.

Et surtout mon adresse IP Publique est celle de mon téléphone et non pas celle de ma box.

Par contre si je fais un tracert 8.8.8.8 les premières lignes me mettent :

L'adresse IP en 10.8. de mon NAS puis l'adresse IP 192.168.1.1 de ma Box.

Si je demande une route print pour les destination réseau 0.0.0.0 j'ai une adresse de passerelle en 192.168.93..

Ce que je ne comprend pas c'est que cela fonctionne sur mon téléphone et pas sur mon PC.

Merci d'avance pour vos réponses.

[Nolin]

Le 16/05/2024 à 12:03 PM, Guilleri29 a dit :

Le VPN se connecte bien (en partage de connexion sur mon portable en 4G pour ne pas être dans le LAN). Je vois la connexion sur VPN Server. Je ping ma box en 192.168.1.1 et mon NAS (les réponses me semblent malgré tout pas très fiables. Je perd quelques paquets). Par contre impossible d'y accéder par mon navigateur.

...

Bonjour,

Je me permets de compléter ton message car j'ai l'impression que nous avons le même problème (cf mon message page précédente)

Avec mon PC portable, lorsque je suis à l'extérieur, je me connecte à internet avec une box, puis active le VPN (OpenVPN) : j'ai accès à mon NAS et son réseau, et internet -> OK

Je fais la même chose en utilisant mon téléphone en partage de connexion sur mon PC portable (à la place de la box) : j'ai internet, mais pas d'accès au NAS et son réseau. Pourtant je ping bien les éléments du réseau et le NAS.

Sur mon téléphone directement, avec l'appli OpenVPN : tout est OK, il accède au NAS et son réseau.

J'ai l'impression que c'est arrivé depuis que j'ai mis à jour DSM, V6 à V7. Mais c'est peut-être un hasard...

Quelqu'un aurait une piste?

Merci!

 

EDIT :  J'ai enfin trouvé d'où vient mon problème! Mon téléphone fait de l'IPV6. Je ne peux pas le désactiver dans le téléphone, mais je l'ai désactivé dans la carte réseau, et ça fonctionne maintenant. J'ai accès aux dossiers de mon NAS.

Je ne sais pas s'il existe une solution pour que ça fonctionne avec l'iPV6?

Modifié le 9 juillet par Nolin

[Dimebag Darrell]

Bonjour tout le monde,

Je rencontre un problème avec mon serveur VPN en L2TP. Lorsque je me connecte via le VPN, je n'arrive pas à accéder à mon réseau local, notamment à mon disque réseau Synology. Mon réseau local utilise la plage d'adresses IP 192.168.1.x, tandis que le VPN attribue des adresses IP dans la plage 192.168.4.x.

Malgré la connexion VPN établie, je ne parviens pas à atteindre mon Synology (disque réseau). Quelqu'un a-t-il déjà rencontré ce problème et trouvé une solution ?

[Mic13710]

@Dimebag Darrell, je ne comprends pas pourquoi avoir changé la plage VPN par défaut en 10.x.x.x. Ces IP sont plus rapidement identifiables comme IP VPN alors que les adresses 192.168.x.x sont généralement réservées aux réseaux privés. Il n'y a bien entendu aucune obligation en ce sens, mais ça permet de différencier plus facilement les connexions.

• Est-ce que votre parefeu autorise les IP de votre serveur VPN ?
• Est-ce que vous avez effectué l'ajout de la ligne dans le registre windows (voir tuto) ?
• Est-ce que vous avez autorisé le service VPN L2TP en ouvrant les ports 500, 1701 et 4500 dans le parefeu et ouvert les ports 500 et 4500 dans le routeur ?

Il arrive parfois que les connexions L2TP/IPSec soient capricieuses et j'ai personnellement abandonné de l'utiliser sur un de mes PC car je n'ai jamais pu établir de connexion avec ce protocole.

A titre personnel, j'ai abandonné l'usage du serveur VPN du NAS (que je garde tout de même en secours) au profit de Wireguard qui est tout aussi sûr que le L2TP et beaucoup plus rapide, et surtout d'une utilisation plus facile. Wireguard est installé sur mes routeurs, indépendamment donc des NAS.

[Dimebag Darrell]

@Mic13710
Merci pour ton aide,

Pour être très précis, j'utilise le serveur VPN sur mon USG (Unifi), en L2TP,
Concernant l'adressage VPN en 10.x.x.x, je n'y avais pas pensé ! (oups)
 

• Est-ce que votre parefeu autorise les IP de votre serveur VPN ?
  • J'arrive à atteindre mes applications installées en docker sur mon syno (non exposé à l'extérieur)
  • Par contre, impossible d'avoir accès au drive via windows explorer
• Est-ce que vous avez effectué l'ajout de la ligne dans le registre windows (voir tuto) ?
  • Je dois vérifier
• Est-ce que vous avez autorisé le service VPN L2TP en ouvrant les ports 500, 1701 et 4500 dans le parefeu et ouvert les ports 500 et 4500 dans le routeur ?
  • Oui

 

[Mic13710]

il y a 2 minutes, Dimebag Darrell a dit :

j'utilise le serveur VPN sur mon USG (Unifi), en L2TP,

Ca n'a donc aucun rapport avec le serveur VPN du NAS, objet de ce tuto.... Il faudrait plutôt vous tourner vers un forum Ubiquiti.

Je vous recommande alors d'utiliser plutôt Wireguard qui est assez simple à mettre en oeuvre sur l'USG. Vous trouverez des tas de tutos sur le net. @Lelolo peut peut-être vous donner un coup de main en ce sens.

il y a 3 minutes, Dimebag Darrell a dit :

Est-ce que vous avez autorisé le service VPN L2TP en ouvrant les ports 500, 1701 et 4500 dans le parefeu

Là pour le coup, ce n'est pas sur le NAS qu'il faut ouvrir ces ports. Il faut par contre autoriser les IP du VPN à accéder au NAS.

il y a 4 minutes, Dimebag Darrell a dit :

les ports 500 et 4500 dans le routeur

Là oui.

En clair, ce n'est pas ici que vous pourrez obtenir de réponse sur une question qui ne concerne pas le serveur VPN de nos NAS.

Il faudrait ouvrir un sujet dédié dans le bar.

[CMDC]

Le 20/06/2024 à 12:25 AM, Nolin a dit :

J'ai enfin trouvé d'où vient mon problème! Mon téléphone fait de l'IPV6. Je ne peux pas le désactiver dans le téléphone,

Si, en fait on peu le désactiver , sur Android du moins !

Il suffit de créer un nouveau point d'accès  ayant les mêmes paramètres que celui que tu utilises déjà en changeant le Protocole APN en IPv4 

Si on utilise OPENVPN je crois (mais je ne parie pas ma paye là-dessus) qu'il est possible de désactiver IPV6 en ajoutant dans les fichier de configuration :

Citation

pull-filter ignore "route-ipv6"
pull-filter ignore "ifconfig-ipv6"
block-ipv6

 

Modifié le 19 juillet par CMDC

[Pichey]

Bonjour à tous,

Après pas mal d'heures de galère, je me résous à vous demander de l'aide. Je vous explique :

Je suis expatrié depuis quelques mois en Inde. En France, j'avais configuré sur mon Syno un serveur VPN pour y accéder depuis l'extérieur, notamment pour établir une connexion sécurisée avec un NAS de sauvegarde que j'ai placé chez mes parents. Tout cela fonctionnait nickel, bien aidé par une IP publique statique.

En Inde, impossible d'établir une connexion entre mon serveur VPN et mes clients. Avant de tenter de rétablir la connexion avec le NAS sauvegarde en France, j'ai fais pas mal de tests avec un smartphone et un PC portable, tous 2 situés à mon domicile en Inde. Sans succès. J'ai refait énormément de fois la configuration du serveur L2TP, j'ai testé aussi un serveur OpenVPN "pour voir", ça n'a rien changé. Les ports UDP sont ouverts correctement sur mon routeur et sur le firewall du NAS.

Un peu de contexte avant de continuer : Mon fournisseur d'accès internet Indien est un peu "simpliste". Impossible d'avoir une IP publique Fixe par exemple, et malheureusement la "box" imposée n'est vraiment pas top... J'ai donc acheté un routeur perso pour administrer mon réseau local. Evidemment, impossible de passer la box opérateur en bridge, mon routeur perso est donc reliée à la box opérateur en Ethernet via le port WAN du routeur perso et j'ai ouvert une DMZ sur la box opérateur qui cible mon routeur perso. Tout cela marche pas trop mal.

Pour en revenir à mon soucis de VPN, je pense que mon problème vient que mes clients n'arrivent pas à atteindre l'IP publique de ma box opérateur. Dans l'interface d'administration de celle-ci, elle m'affiche une IPv4 publique bizarre, en 10.xx.xx.xx. Pas vraiment une adresse publique donc, et je ne me l'explique pas. Lorsque je scanne mon réseau avec un outil tier et que je lui demande mon IPv4 publique, il m'affiche une adresse en 43.xx.xx.xx. Beaucoup plus conforme à ce que je m'attend. J'ai testé ces 2 adresses sur mes clients VPN mais ça ne marche pas.

Comment feriez vous pour bypasser mon adresse IP publique "bizarre" et de plus dynamique ? J'avoue que je suis un peu au bout de mes maigres connaissances réseau 😅 merci d'avance pour votre aide 😉

Modifié le 14 septembre par Pichey

[cadkey]

il y a 33 minutes, Pichey a dit :

Dans l'interface d'administration de celle-ci, elle m'affiche une IPv4 publique bizarre, en 10.xx.xx.xx.

Je pense que c'est une adresse IPv4 CGNAT, partagée avec d'autres utilisateurs où chacun utilise une plage des ports de l'adresse IP publique. Ce qui explique que tu ne peux joindre ton NAS. Chez SFR par exemple, on peut demander à revenir sur une adresse IPv4 full stack permettant de gérer tous les ports.

[Mic13710]

il y a 38 minutes, Pichey a dit :

En Inde, impossible d'établir une connexion entre mon serveur VPN et mes clients.

il y a 40 minutes, Pichey a dit :

Les ports UDP sont ouverts correctement sur mon routeur et sur le firewall du NAS.

Est-ce que votre parefeu autorise les IP venant d'Inde pour les ports du serveur VPN que vous utilisez ?

il y a 34 minutes, Pichey a dit :

Dans l'interface d'administration de celle-ci, elle m'affiche une IPv4 publique bizarre, en 10.xx.xx.xx.

Ca sent fort le CGNAT. Les adresses 10.x.x.x sont des IP privées. Cela pourrait expliquer le blocage. Si vous passez par L2TP, avez-vous ajouté l'enregistrement dans le registre ?

 

[Pichey]

Il y a 2 heures, cadkey a dit :

Je pense que c'est une adresse IPv4 CGNAT, partagée avec d'autres utilisateurs où chacun utilise une plage des ports de l'adresse IP publique. Ce qui explique que tu ne peux joindre ton NAS. Chez SFR par exemple, on peut demander à revenir sur une adresse IPv4 full stack permettant de gérer tous les ports.

Ok merci, je comprend. Avec cet opérateur, pas possible d'obtenir une IP v4 full stack (les options sont très très limitées... 😅)

Il y a 2 heures, Mic13710 a dit :

Est-ce que votre parefeu autorise les IP venant d'Inde pour les ports du serveur VPN que vous utilisez ?

Ca sent fort le CGNAT. Les adresses 10.x.x.x sont des IP privées. Cela pourrait expliquer le blocage. Si vous passez par L2TP, avez-vous ajouté l'enregistrement dans le registre ?

 

Oui, l'Inde est autorisée dans le pool d'IP rentrant par les ports UDP 500, 1701 et 4500 (je me suis fait avoir une fois en voyage, depuis j'y pense ! )

Peux-tu expliciter le :

Citation

Si vous passez par L2TP, avez-vous ajouté l'enregistrement dans le registre ?

merci !

[Pichey]

J'ai essayé de mettre en place un DDNS afin de me passer de mon IP publique "CGNATisée". J'ai utilisé le DDNS Syno, et j'ai créé une adresse "xxxx.synology.me". A priori ça fonctionne, le statut est "normal" est l'adresse IP externe du Syno est bien celle en 43.xx.xx.xx (donc la "vraie" IP publique)

Sur mon smartphone, j'ai configuré le client en passant l'adresse du serveur à "xxxx.synology.me" mais ça ne fonctionne toujours pas 😔

[Mic13710]

Il y a 19 heures, Pichey a dit :

Oui, l'Inde est autorisée dans le pool d'IP rentrant par les ports UDP 500, 1701 et 4500

J'espère (pour vous) que vous n'avez pas ouvert le 1701 dans le routeur...

Il y a 19 heures, Pichey a dit :

Peux-tu expliciter le :

Citation

Si vous passez par L2TP, avez-vous ajouté l'enregistrement dans le registre ?

Pour un PC sous windows :

Citation

Si votre NAS est derrière un routeur-NAT (une box par exemple), il faut créer la valeur de registre suivante : https://support.microsoft.com/en-us/kb/926179

• Clef : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
• Valeur DWORD32 : AssumeUDPEncapsulationContextOnSendRule
• Donnée de la valeur : 2
• et on reboot le PC

Tout ceci est expliqué dans le tuto...

Si L2TP ne passe pas, pourquoi ne pas essayer openvpn ?

[Pichey]

Il y a 8 heures, Mic13710 a dit :

J'espère (pour vous) que vous n'avez pas ouvert le 1701 dans le routeur...

Pour un PC sous windows :

Tout ceci est expliqué dans le tuto...

Si L2TP ne passe pas, pourquoi ne pas essayer openvpn ?

Non le port 1701 n'est pas ouvert sur le routeur.

Pour le registre, c'est fait oui. Mais mes derniers tests l'ont été avec un client de type smartphone, donc pas concerné.

J'avais déjà fait un test avec un serveur OpenVPN et ça ne marchais pas. Je vais quand même réessayer avec mon DDNS actif, pour voir. merci !