[TUTO] VPN Server

[Broussi]

Bonjour à tous,

Je possède un NAS Synology DS216j sous DSM 7.2.2-72806 et je viens de mettre à jour ma configuration en terme de sécurité selon le tuto Sécurisation du NAS et les informations issues de ce tuto.

J'ai créé un profil VPN (NordVPN) qui fonctionnait correctement depuis 1 an mais depuis quelques jours, je perds la connexion VPN au bout de 10 minutes (l'interface réseau Synology m'indique cependant que je suis toujours connecté mais ce n'est pas le cas) avec l'erreur suivante :

event_wait : Interrupted system call (code=4)
SIGTERM received, sending exit notification to peer

J'effectue un test en exécutant la commande suivante depuis mon NAS :

curl https://ipinfo.io/ip

J'ai contacté l'assistance NordVPN, l'assistance Synology mais aucun des deux n'a pu m'apporter de solution.
Cela fait 2 jours que j'ai tout essayé, lu et relu les différents sujets de ce forum, les commentaires mais je ne trouve pas.
C'est pourquoi je me tourne vers vous dans l'espoir que vous puissiez m'aider.
Ci-joint le détail de ma configuration réseau, mon profil pare-feu, mon fichier de configuration ovpn et les logs de connexion VPN

Merci d'avance.

nordvpn.log configuration_udp.ovpn

[Mic13710]

@Broussi votre question se rapporte au paramétrage d'un client VPN, ce qui n'a rien à voir avec le sujet de ce tuto qui concerne le serveur VPN du NAS.

Merci de la poser dans la section appropriée, par exemple celle-ci : https://www.nas-forum.com/forum/forum/164-installation-démarrage-et-configuration/

[Broussi]

@Mic13710 Autant pour moi, merci de la réponse rapide.

[Skarabaus]

Bonjour,

Je sors de la lecture des tutos de @Fenrir (+ MAJ de @.Shad.) concernant la sécurisation du NAS ainsi que ce dernier sur le VPN. Même s'il se pourrait que des erreurs de ma part soit présentes, merci à vous d'écrire toutes ces procédures !

 

Débutant dans le monde du NAS, j'ai tout bonnement repris vos tutoriaux afin, je l'espère, de ne pas trop faire n'importe quoi tout en essayant de décrypter les informations. N'hésitez donc surtout pas à me reprendre si je dis de âneries. 

 

Désolé des questions suivantes, je cherche à relier un peu tout çà en plus de vos lectures de tutoriaux et commentaires associés :

• Y a-t-il une incidence à remonter la règle 10.0.0.0/255.0.0.0 à la 1ère position comme dans le tutoriel de sécurisation originel de @Fenrir alors qu'elle située plus bas dans la MAJ de @.Shad. ?
   
• Dans le paramétrage du pare-feu, à l'ajout de la règle 10.0.0.0/255.0.0.0, est-ce que cela prépare "également" la connexion via OpenVPN ? Car dans ma tête de débutant, je me dis que si de l'extérieur je passe par le client OpenVPN, ce dernier joindra mon serveur qui est en 10.x.x.x, il considèrera que je suis en local. Ou je vais trop loin ?
  -> EDIT : je pense avoir ma réponse grâce à ce qu'à dit @Mic13710 ici : 

  Citation

  Ce sont les plages d'IP privées cad uniquement sur le LAN. Les 10.x.x.x sont généralement utilisées pour les liaisons VPN, les 172.16.x.x le sont pour des instances Docker.

  
   
• Pour OpenVPN, l'adresse est configurée en 10.x.x.x et le port est associé et ouvert sur ma Box (je n'utilise pas L2TP/IPSec pour le moment mais les port sont activés sur le NAS). Si je comprends bien, en local je me connecte via 192.168.x.x (depuis un ordinateur fixe câblé et un mobile/laptop en Wifi), et en dehors de chez moi  je vais chercher à me connecter en 10.x.x.x dans les clients OpenVPN ? Car actuellement, depuis l'extérieur, je ne peux pas me connecter sur 192.168.x.x depuis le client, mais bien sur 10.x.x.x.

 

Merci de vos éclaircissement et/ou remarques.

Modifié lundi à 10:22 par Skarabaus

[Jeff777]

Bonjour,

il y a 25 minutes, Skarabaus a dit :

Y a-t-il une incidence à remonter la règle 10.0.0.0/255.0.0.0 à la 1ère position

Non peu-importe. 

 

il y a 39 minutes, Skarabaus a dit :

Dans le paramétrage du pare-feu, à l'ajout de la règle 10.0.0.0/255.0.0.0, est-ce que cela prépare "également" la connexion via OpenVPN ?

Oui. 

Concernant la règle pour les applications VPN elle peut-être restreindre à  "port 1194 UDP".

Si tu décides d'utiliser L2TP/IPSec  tu rajoutes le port 1701 UDP

[Skarabaus]

Merci @Jeff777 de ton retour !

il y a 6 minutes, Jeff777 a dit :

Si tu décides d'utiliser L2TP/IPSec  tu rajoutes le port 1701 UDP

En effet, pour le momentL2TP/IPsec est ajouté et ouvert sur le NAS mais pas sur la Box (à moins que par mesure de sécurité et/ou ressources il vaille mieux la désactiver).
Je n'ai qu'un seul utilisateur sous Windows/Android qui serait amené à se connecter à mon NAS contre 3 qui sont sous MacOS/iOS. Je dois juste réfléchir à ce qui est le plus ergonomique pour les utilisateurs distants (tous sous OpenVPN ou 1 seul OpenVPN et les autres sur L2TP/IPSec).