Aller au contenu

[TUTO] VPN Server


Fenrir

Messages recommandés

Bonsoir,

Merci de vous pencher sur mes petits soucis.

Pour être bien clair : côté OpenVPN TOUT VA BIEN ! Donc je n'en parle plus ici.

Côté L2TP/IPSec, j'ai regardé ce qu'il y avait dans auth.log sur le NAS. Et voici ce que j'ai trouvé :

Auth_log.thumb.JPG.98311e44945b17841fa98adf6b626e45.JPG

J'en conclus que ma tentative de connexion est reçue par mon NAS. L'IP 37.171.19.246 était bien celle du PC externe à mon réseau qui essayait de se connecter. Mais, y'a un PAYLOAD_MALFORMED...

Comme le système me suggère qu'il pourrait s'agir d'un problème de clé pré-partagée, j'ai reconfiguré cette fameuse clé sur le NAS et sur l'adaptateur réseau créé sur le PC. Mais rien à faire, je butte toujours sur le PAYLOAD_MALFORMED.

J'ai bien un peu fouillé sur internet à ce sujet. Il y a effectivement plein de monde qui en parle. Mais je n'ai trouvé aucune solution à appliquer.

Si vous avez des idées, je reste à votre écoute.

Lien vers le commentaire
Partager sur d’autres sites

 

Citation

 

La première chose à faire consiste à s'assurer que l'adresse IP de votre NAS ne change pas, vous avez 2 manières de procéder :

  • la bonne : vous configurez votre DHCP (celui de la box par exemple) pour qu'il attribut toujours la même adresse au NAS (association MAC ADDRESS <-> adresse IP)
  • la mauvaise : vous entrez une IP fixe dans la configuration réseau de votre nas


En savoir plus sur http://www.nas-forum.com/forum/topic/53328-tuto-vpn-server/#rbugHSiisAh7p8k4.99

 

 

Bonjour, pour quelle raison, mettre une IP fixe n'est pas une bonne solution dans la configuration du NAS ? avec les deux méthodes le résultat est le même non ?

 

Modifié par ers31
Lien vers le commentaire
Partager sur d’autres sites

Si vous aviez lu tout le fil, vous auriez trouvé la réponse.

Si on attribue une adresse fixe dans le NAS, le jour où vous changerez de plage DHCP ou de routeur ou d'opérateur, le NAS aura toutes les chances d'être inaccessible. Vous devrez alors passer par un reset pour rétablir le DHCP. Alors qu'en le laissant en DHCP, vous laisser au routeur le soin d'attribuer une IP. Si ce n'est pas la même que celle d'origine, au moins vous pourrez toujours retrouver votre NAS sur votre réseau. Il vous suffira ensuite de reparamétrer votre routeur pour rétablir vos IP.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour, désolé effectivement je n'ai pas pensé à lire les 10 pages pour trouver cette info.

Je comprends bien que si je change de routeur et/ou d'opérateur il y aura un pb, de toute façon si on change ce type d'équipement, il y a de toute façon toutes les configurations à refaire dessus pour que tout fonctionne comme avant.

Et de toute façon, si je mets en mode DHCP avec une ip assignée par adresse MAC, il faudra que je fasse cette nouvelle config dans le nouveau routeur non ?

Ou alors y a des choses qui m'échappent mais c'est fort possible...

Lien vers le commentaire
Partager sur d’autres sites

Vous n'avez pas bien lu ce que j'ai écrit.

il y a une heure, Mic13710 a dit :

Il vous suffira ensuite de reparamétrer votre routeur pour rétablir vos IP.

C'est un passage obligé

il y a une heure, Mic13710 a dit :

le jour où vous changerez de plage DHCP ou de routeur ou d'opérateur, le NAS aura toutes les chances d'être inaccessible. Vous devrez alors passer par un reset pour rétablir le DHCP.

C'est ça la raison. Mettre une IP fixe à la fois sur le routeur et sur le NAS, c'est un doublon inutile. Alors autant se simplifier la vie.

Mais après, vous êtes maitre à bord et vous faites exactement comme ça vous arrange.

Lien vers le commentaire
Partager sur d’autres sites

Re, non c'est juste que je ne comprends pas et que j'essaie de comprendre.

En fait, actuellement l'IP fixe je ne la mets pas sur le routeur, je la renseigne directement dans la machine. Et le routeur lui donne les adresse IP via le DHCP aux autres machines qui se connectent/déconnectent quotidiennement et qui n'ont pas besoin d'IP fixe.

Après effectivement, je peux dire au routeur d'attribuer une adresse IP fixe via adresse MAC aux machines qui ont besoin d'IP fixe (NAS). Du coup si je fais ça et si je comprends bien quand je vais changer de routeur, avec le nouveau routeur avant configuration le NAS récupérera un adresse IP aléatoire dans la plage donnée par le DHCP ?

Lien vers le commentaire
Partager sur d’autres sites

Oui.

En réalité, c'est très simple à mettre en oeuvre.

Tous mes équipements sont en DHCP. J'ai défini sur le routeur une plage DHCP qui va du 192.168.X.101 à 255. Cette plage est celle qui est utilisée par mes visiteurs.

Encore sur le routeur, j'utilise la plage 192.168X.2 à 100 pour mes propres équipements (NAS, PC, smartphones, tablettes, caméras, imprimante, etc...) en réservant les adresses avec l'adresse MAC de chacun. Par exemple, mon NAS principal est en 2, le secours en 3, mon PC en 10, celui de ma femme en 11, etc...

Ainsi, aucun risque de se voir avec un ou plusieurs équipement(s) inaccessible(s) en cas de changement de routeur ou de plage IP.

Lien vers le commentaire
Partager sur d’autres sites

@ers31 : dhcp car :

  • si tu changes de routeur
    • ton nas restera accessible (si le firewall est bien configuré)
    • tu pourras réattribuer des ip fixes (via dhcp) de manière centralisée à tous tes équipements depuis un point unique, ton routeur
  • même si tu ne changes pas, ça limite les risques de conflit d'ip puisque le dhcp n’attribue pas une ip qu'il voit affectée (en dhcp ou en statique) à un autre équipement

@Apolinaire : pb de conf coté client très probablement, revérifie le secret (pour tester, mets un truc simple genre secret20180124) et le type de tunnel (ça dépend du client, par défaut c'est souvent ikev2 => qui n'est pas géré par les syno)

tu peux aussi tester avec un autre périphérique (smartphone par exemple)

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, ers31 a dit :

En fait, actuellement l'IP fixe je ne la mets pas sur le routeur, je la renseigne directement dans la machine. Et le routeur lui donne les adresse IP via le DHCP aux autres machines qui se connectent/déconnectent quotidiennement et qui n'ont pas besoin d'IP fixe.

Et c'est comme cela qu'on arrive à des conflits. A supposer que votre NAS soit en 192.168.0.2. Si le NAS est arrêté, rien n'empêche le routeur d'attribuer cette adresse à un autre équipement puisqu'elle est libre. Quand vous rallumerez votre NAS, il y aura conflit.

Alors qu'en faisant la réservation dans le routeur, l'adresse 192.168.0.2 est réservée au seul NAS, qu'il soit opérationnel ou non.

Lien vers le commentaire
Partager sur d’autres sites

il y a 7 minutes, Fenrir a dit :

 

@Apolinaire : pb de conf coté client très probablement, revérifie le secret (pour tester, mets un truc simple genre secret20180124) et le type de tunnel (ça dépend du client, par défaut c'est souvent ikev2 => qui n'est pas géré par les syno)

 

tu peux aussi tester avec un autre périphérique (smartphone par exemple)

Bonjour Fenrir,

J'ai trouvé où était le problème ce matin et je dois reconnaître que sinon, tu m'aurais mis sur la bonne piste avec ton message ci-dessus. Le log m'ayant mis la puce à l'oreille sur la clé pré-partagée, je l'ai "analysée" pour me rendre compte qu'il y avait un "é" dedans (un e accent aigu). J'ai remplacé ce "é" par un "e" et miracle, la connexion L2TP/IPSec s'est faite immédiatement ! Je ne sais pas si cet état de chose est dû à la Freebox. Mais ce serait peut-être à signaler dans le tuto : éviter les lettres accentuées dans le secret. Ça m'a valu une bonne semaine de casse-tête avant de trouver la solution !

Reste juste une petite bizarrerie. Quand je me connecte en L2TP/IPSec :

- depuis un PC dans mon réseau local (oui je sais, ça sert à rien), la connexion est immédiate et j'accède via mon navigateur à 10.2.0.0 sans problème.
- depuis un PC distant (ça serait déjà plus utile !), la connexion est immédiate mais quand je demande 10.2.0.0 au navigateur, ça mouline, ça mouline, ça mouline... Et ça n'aboutit jamais. Sans aucun message de la part du navigateur même après 10 mn.

 

Lien vers le commentaire
Partager sur d’autres sites

@Mic13710 non la situation que tu évoques n'est pas possible car la plage d'adresse données par la DHCP est configurée pour commencer à 192.168.0.20.

L'adresse 192.168.0.2 (du serveur actuel) est rentrée manuellement dans le serveur, et je voulais donc faire la même chose avec le NAS, mais ce que tu dis par adresse mac me semble très bien aussi.

Lien vers le commentaire
Partager sur d’autres sites

Ca ne change strictement rien au fait que la réservation devrait se faire côté routeur et non côté NAS.

Je vous conseillerais de diminuer votre plage DHCP pour laisser plus d'adresse pour les réservations. Vous verrez qu'à l'usage c'est beaucoup plus simple.

Ma plage DHCP commence au 101. Les adresses de 2 à 100 sont utilisées pour mes réservations et me permettent de faire des regroupements pour pouvoir les gérer plus facilement au niveau de mon routeur (ce qui bien entendu n'a guère d'intérêt pour un routeur de box mais est valable pour un "vrai" routeur).

Lien vers le commentaire
Partager sur d’autres sites

re, en fait nous sommes une très petite structure et pas bcp d'équipements, on est un peu HS mais en gros voici la situation dans laquelle on va être après que j'ai tout remis à plat :

- livebox 192.168.0.1

- switch administrable : 192.168.0.2 (rentrée manuellement via sa console d'administration) je ne sais pas si je peux lui faire donner cette adresse avec son adresse mac ?

- NAS : 192.168.0.3 (donnée par la livebox via adresse mac)

- Copieur : 192.168.0.15 (rentrée manuellement par le technicien du copieur, je ne touche pas)

- plage DHCP : 192.168.0.20 à 192.168.0.30 (nous avons 4 PC et un PC portable à l'occasion)

- wifi désactivé

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, Apolinaire a dit :

- depuis un PC distant (ça serait déjà plus utile !), la connexion est immédiate mais quand je demande 10.2.0.0 au navigateur, ça mouline, ça mouline, ça mouline... Et ça n'aboutit jamais. Sans aucun message de la part du navigateur même après 10 mn.

Le firewall du nas doit bloquer une partie du trafic, il faut autoriser :

  • depuis tout ou partie d'Internet vers le nas pour les 3 ports
  • depuis 10.0.0.0/8 vers le nas pour les ports que tu souhaites utiliser
Lien vers le commentaire
Partager sur d’autres sites

Une image valant mieux qu'un long discours, voici :

- mon pare-feu NAS
5a68c85592c51_VPN1_Pare-feuSynology.JPG.052bb8e0a04b24c06fb290166ac05cc1.JPG

- mes redirections sur la Freebox
5a68c89b7a501_VPN12_Pare-feuFreebox.JPG.f07cb150e170ee677d93f11df75255d8.JPG

- et pour le fun, une double connexion VPN depuis une IP externe
5a68c8f2becc6_VPN13_Doubleconnexion.JPG.adee9a9fefddc672800204a621e0231f.JPG

Tout cela me semble bien propre.
En OpenVPN j'accède facilement à DSM.
En L2TP/IPSec, impossible malgré une connexion établie. Que ce soit par l'adresse 10.2.0.0 ou par 192.168.X.Y, avec ou sans :5000 derrière.

Restent 2 critères positifs : je suis à la retraite et je suis têtu. Ça devrait le faire...

 

 

Lien vers le commentaire
Partager sur d’autres sites

Je ne sais pas pour le VPN, mais en tout cas, je vois de grosses portes grandes ouvertes sur la fb et sur le parefeu.

Premièrement, le parefeu lit les règles au fur et à mesure qu'elles se présentent. Il faut placer en tête de parefeu toutes les IP privées (les lignes 4, 5 et 6) avant les protections des accès externes.

Port 5000 du routeur : à proscrire totalement à partir de l'extérieur ! Le 5001 est à éviter aussi, et d'une manière générale, mieux vaut éviter d'accéder à DSM de l'extérieur. Utilisez le VPN pour ça.

Port 80 : celui-ci aussi est à proscrire côté NAS. S'il est ouvert pour la maj de Let's Encrypt, vous avez 2 possibilités : soit vous ne l'ouvrez que pour la maj (et c'est un peu aléatoire quand à la date de maj), soit vous n'ouvrez que les IP Let's Encrypt que vous pouvez alors laisser en permanence. J'ai personnellement opté pour cette dernière solution.

Enfin, si vous n'avez pas besoin du monde entier et que le monde n'a pas besoin de vous, régionalisez vos applications.

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir Mic13710,

"Vous êtes à (ou près) de Fuveau". Bon, c'est pour rigoler un peu et copier ta signature de chez danasoft qui me fait bien sourire. Très rigolo.

 

Merci beaucoup pour ta réponse éclairée. Comme quoi il n'y a rien de tel que des copies d'écran.

J'ai appliqué tes conseils côté Freebox et j'ai supprimé les redirections des ports 5000 et 5001.

Sur le NAS, j'ai adapté. Voici mon nouveau pare-feu :
5a68eedbeda7d_VPN1_Pare-feuSynology.JPG.cf9a8503c7335c19cce49552afbf39b9.JPG

Je n'ai pas régionalisé le serveur FTP (j'ai des clients en Australie !) et comme je ne sais pas où se situe Let's Encrypt, je n'ai pas non plus régionalisé le port 80.
A ce sujet, tu dis " soit vous n'ouvrez que les IP Let's Encrypt que vous pouvez alors laisser en permanence. J'ai personnellement opté pour cette dernière solution. ". Mais en allant ce soir sur leur site, j'ai trouvé ça :

=====================================================================================

What IP addresses does Let’s Encrypt use to validate my web server?

We don’t publish a list of IP addresses we use to validate, because they may change at any time. In the future we may validate from multiple IP addresses at once.

=====================================================================================

Euuuuhhhh... comment tu fais ? Si tu as un bypass, je suis preneur.

Ceci dit, encore merci de ton implication.

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour PiwiLA (bruti) (même pas vrai !),

Ce forum est décidément une mine d'or. Merci beaucoup pour ces infos que je vais m'empresser d'utiliser.

Mais je reçois du monde à la maison aujourd'hui et je ne pourrai reprendre mes activités NASsiennes que demain. Je vous tiendrai au courant.

Bonne journée.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 13 heures, Apolinaire a dit :

Je n'ai pas régionalisé le serveur FTP (j'ai des clients en Australie !) et comme je ne sais pas où se situe Let's Encrypt, je n'ai pas non plus régionalisé le port 80.

Pour Let's Encrypt, PiwiLAbruti a donné la réponse. Il suffit de faire 2 règles sur le port 80, une pour chaque IP et de supprimer la règle générale.

Pas de problème avec le parefeu. Il suffit de sélectionner dans la liste les pays pour lesquels on autorise l'accès.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Suite au conseil de Mic13710 qui me disait en quelque sorte "Balance ton port", j'ai reconfiguré le port 80 sur le pare-feu du NAS pour n'être accessible que par les 2 adresses données par PiwLAbruti.
J'ai aussi viré le port 443 et l'application "Service terminal chiffré" dont je n'aurai pas besoin depuis l'extérieur.

Hier soir j'ai refais une tentative de liaison L2TP/IPSec depuis l'extérieur et... ÇA A FONCTIONNÉ ! Sans avoir touché à rien, j'ai recommencé ce matin et ça a de nouveau mouliné. J'en conclus que le L2TP/IPSec est un peu trop gourmand en ressources avec sa double encryption et qu'il vaut mieux que je me rabatte sur OpenVPN qui tourne beaucoup plus vite.

Je vais donc arrêter là de vous embêter avec mes questions.
Je voudrais vous dire un très grand MERCI pour votre aide. Sans vous, je n'y serai pas arrivé ; ou alors j'aurai eu une configuration bancale et pas trop sécurisée.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.