Aller au contenu

[TUTO] VPN Server

Fenrir

Par Fenrir
dans Tutoriels

 Partager

Messages recommandés

Stixen92 Newbie

Stixen92

Posté(e)
Posté(e) (modifié)

Bah voir l'IP de mon NAs vu que c'est sur celui-ci que le Sevrer VPN se trouve.

 

Quand je fais un traceroute avec le VPN Hide My Ass!, je vois bien l'IP/nom de domaine du VPN.

Modifié par Mic13710
inutile de répéter le message précédent si ça n'apporte rien de plus à la compréhension
0
  • Réponses 1.6 k
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Jours populaires

Meilleurs contributeurs dans ce sujet

Jours populaires

Messages populaires

Fenrir
Fenrir

Préambule Le but de ce tutoriel est de vous aider à mettre en place un réseau privé virtuel (VPN) entre vous et votre NAS depuis Internet. nb : il ne s'agit pas ici de "masquer" votre adress

Nano83
Nano83

@Jeff777@Pascalou59@MilesTEG1 Bon j'ai trouvé la solution au problème en cherchant sur le net. A priori c'est connu sur la dernière version du client OpenVPN Connect (3.3.6) A la créati

Drickce Kangel
Drickce Kangel

Hello à tous, Bon, petite évolution, j'ai réussi à configurer OpenVPN, et je me connecte correctement depuis mon mac et mon iphone. Donc, on peut dire que le problème est résolu sans doute. Merci

Images postées

Fenrir Newbie

Fenrir

Posté(e)
  • Auteur
Posté(e)

Pour le warning, ce n'est pas plus gênant que ça pour la plupart des utilisateurs et le conf simpliste (grand public) de synology ne permet pas de changer ça simplement.

Le traceroute est normal, avec un traceroute on voit les adresses des routeurs qui sont de notre coté, pas leurs adresses de sortie.

Le but d'un VPN est d'établir un tunnel sécurisé entre le client vpn et le serveur vpn, pas avant ni après

Le 8/13/2016 à 17:13, Fenrir a dit :

nb : il ne s'agit pas ici de "masquer" votre adresse IP pour effectuer des opérations illicites ou de manière anonyme, l'adresse IP qui sera visible depuis Internet sera celle de votre NAS (ou de votre box)

 

0
Stixen92 Newbie

Stixen92

Posté(e)
Posté(e)

@Fenrir

Salut,

Citation

this configuration may cache passwords in memory -- use the auth-nocache option to prevent this.

 

Concernant le message d'erreur ci-dessus, tu as le même? Pas de risque de vol mon mot de passe?

 

 

0
Fenrir Newbie

Fenrir

Posté(e)
  • Auteur
Posté(e)

La plupart des personnes ont ce message, il indique que le mot de passe est dans la mémoire de ton ordinateur (en ram), à coté de tout ce que tu as cliqué/tapé sur ton ordi depuis son dernier reboot.

Si tu es dans une situation telle que le fait d'avoir un mdp en ram soit risqué pour ton utilisation, je ne saurais trop te conseiller de revoir de fond en comble ton niveau de sécurité (passer sous qubes-os par exemple) et d’arrêter d'utiliser le moindre produit grand public (fini les android, les iphone, windows, synology, samsung, ....).

Mais encore une fois, tu peux ajouter l'option dans le fichier de configuration .ovpn

0
Stixen92 Newbie

Stixen92

Posté(e)
Posté(e) (modifié)

@Fenrir

Salut,

J'ai ajouté l'option dans le fichier de configuration .ovpn mais cela n'a rien changé, j'ai toujours ce message d'erreur...

Sinon, toujours concernant OpenVPN, j'utilise ces paramètres pour la sécurité:

Chiffrement: AES-256-CBC
Authentification: SHA256

- Quelle est la différence entre les 2?

- Si je passe, pour l'authentification, en SHA512, je vais beaucoup perdre en terme dé débit?

- Niveau sécurité, y aura t-il un gain considérable?

 

Merci.

 

 

Modifié par Stixen92
0
Dimebag Darrell Collaborator

Dimebag Darrell

Posté(e)
Posté(e)

Bonjour à tous,

 

J'ai une question concernant l'adressage lors de la connection VPN (en L2TP)

Mon réseau privé est configuré avec ce type d'adresse : 192.168.1.x

Lorsque je me connecte en VPN, je remarque que mes clients se connectent via ce range d'IP 192.168.0.x ? !!
Dès lors je comprends pq je ne trouve plus mon syno dans mon finder (Mac)

N'est-il pas possible d'avoir le même type de range que mon réseau privé ?

Comment puis-je configuré mon serveur VPN ?

0
Fenrir Newbie

Fenrir

Posté(e)
  • Auteur
Posté(e)
Le 30/04/2018 à 17:14, Stixen92 a dit :

J'ai ajouté l'option dans le fichier de configuration .ovpn mais cela n'a rien changé, j'ai toujours ce message d'erreur...

encore une fois, ce n'est pas une erreur, juste un avertissement !

Pour le chiffrement et l'authentification, la différence c'est que l'un sert au chiffrement et l'autre à l'authentification. Niveau perf et sécurité, sauf à avoir un gros débit et de gros ennemies, ça ne change pas grand chose.

@Dimebag Darrell par défaut (et je recommande de laisser comme ça), le serveur VPN va te donner une ip en 10.x.x.x. Si tes clients ont une ip en 192.168.0.x c'est soit que tu ne regardes pas au bon endroit, soit que tu as changé l'adressage par défaut du serveur VPN et enfin, les systèmes de "découverte réseau" (netbios, bonjour, ...) sont des M*RDES à ne pas utiliser sauf a bien connaitre le sujet (ce qui est l'exacte contraire des utilisateurs de ces systèmes)

0
Stixen92 Newbie

Stixen92

Posté(e)
Posté(e)
il y a 44 minutes, Fenrir a dit :

 

Pour le chiffrement et l'authentification, la différence c'est que l'un sert au chiffrement et l'autre à l'authentification. Niveau perf et sécurité, sauf à avoir un gros débit et de gros ennemies, ça ne change pas grand chose.

 

Lol, oui mais je m'attendais à plus de détails...

 

De gros ennemis? Pas compris...

Si je passe en SHA512, je vais perdre beaucoup en débit. Mais en terme de sécurité, serais-je vraiment gagnant comparé au SHA256?

0
Dimebag Darrell Collaborator

Dimebag Darrell

Posté(e)
Posté(e)
il y a une heure, Fenrir a dit :

encore une fois, ce n'est pas une erreur, juste un avertissement !

Pour le chiffrement et l'authentification, la différence c'est que l'un sert au chiffrement et l'autre à l'authentification. Niveau perf et sécurité, sauf à avoir un gros débit et de gros ennemies, ça ne change pas grand chose.

@Dimebag Darrell par défaut (et je recommande de laisser comme ça), le serveur VPN va te donner une ip en 10.x.x.x. Si tes clients ont une ip en 192.168.0.x c'est soit que tu ne regardes pas au bon endroit, soit que tu as changé l'adressage par défaut du serveur VPN et enfin, les systèmes de "découverte réseau" (netbios, bonjour, ...) sont des M*RDES à ne pas utiliser sauf a bien connaitre le sujet (ce qui est l'exacte contraire des utilisateurs de ces systèmes)

merci beaucoup pour la réponse,

J'ai changé l'adressage en 192.168.0.x dans la configuration du serveur VPN)
Par contre, dès qu'un client se connecte, il est en 192.168.0.x

Enfait, quand je me connecte en VPN via mon macbook, je souhaiterais pouvoir avoir accès à mon syno (dans le finder), mais malheureusement, ça ne fonctionne pas (l'adressage de mon syno est dans ce range 192.168.1.x)
 

0
Fenrir Newbie

Fenrir

Posté(e)
  • Auteur
Posté(e)

@Stixen92 : des détails sur quoi, ce que veulent dire les termes "authentification" et "chiffrement" ou sur les différences entre les algorithmes ?

Dans une cas comme dans l'autre ça serait trop long de d'expliquer précisément de quoi il s'agit. En version très simplifiée, l'authentification sert à vérifier que le client et le serveurs sont bien qui ils prétendent être (échange de login/pass/certificat) et le chiffrement c'est le chiffrement des données elles mêmes (ce qui passe dans le tunnel).

Niveau perf c'est aussi trop long de répondre car ça dépend de la puissance des clients, du serveur, du type de hardware (accélération matériel), de la version des système (lib ssl), ...

Le réglage que je propose est est celui qui offre actuellement le meilleur compromis perf/sécurité/consommation de ressources.

@Dimebag Darrell : commence par remettre le plan d'adressage par défaut dans le serveur VPN (en 10.0.x)

0
Stixen92 Newbie

Stixen92

Posté(e)
Posté(e)

@Fenrir
Salut,

D'accord, merci pour les explications.

Sinon, tu connais la fonction persist-tun? C'est une sorte de KillSwitch? Cela empêche que le client se connecte à Internet en dehors du tunnel si jamais le VPN ne fonctionne pas ou est déconnecté, c'est ça?

 

0
Dimebag Darrell Collaborator

Dimebag Darrell

Posté(e)
Posté(e)

@Fenrir

Merci pour ton aide,

j'ai essayé en 10.X.X.X, mais rien ne change

Malheureusement, mon routeur (cable) n'est pas adapté pour l'activation d'un serveur VPN, J'ai néanmoins un autre routeur (asus RT66), mais le routeur(câble) de mon ISP n'accepte pas le passage en bridge. 

 

0
Mic13710 Grand Master

Mic13710

Posté(e)
Posté(e)

Je ne comprends pas ce qui ne va pas.

Je m'occupe du NAS d'un ami à distance. Il a un ndd chez OVH et j'y ai fait les enregistrements de la zone publique. Le serveur DNS du NAS est activé et fonctionne en local. 

nslookup www.nas-forum.com 192.168.1.101
Server:         192.168.1.101
Address:        192.168.1.101#53

Non-authoritative answer:
Name:   www.nas-forum.com
Address: 94.23.33.37

Le reverse proxy fonctionne aussi et mes ndd (OVH) et (NAS) sont bien résolus.

J'ai 2 PC chez moi et lorsque je me connecte au réseau de mon ami via son serveur VPN, je n'ai pas du tout le même comportement selon le PC. Je précise que les deux liaisons VPN utilisent les mêmes DNS qui pointent vers l'IP du NAS distant. Elles passent toutes les deux par OpenVPN.

De mon PC fixe, un tracert vers un ndd enregistré à la fois chez OVH et sur le NAS emprunte systématiquement le WAN (cad ma liaison internet normale) et me retourne l'IP publique de mon ami. Par contre, si le ndd n'est enregistré que sur le serveur DNS de son NAS, il passe par son LAN (via le VPN) et me retourne l'IP privée de son NAS.

De mon portable, les mêmes tracert emprunte systématiquement le LAN (via le VPN), que le ndd soit enregistré ou pas chez OVH.

A l'inverse, un tracert de mon PC fixe vers mon propre ndd interroge directement mon propre LAN et me renvoie l'adresse privée de mon NAS. Sur mon portable, il passe par le VPN et me renvoie mon IP publique.

Il semblerait que mon PC fixe n'utilise pas systématiquement le VPN et tente d'abord de résoudre les ndd sur son propre réseau (LAN, WAN) avant d'aller interroger le serveur DNS de mon ami alors que le portable ne passe que par le VPN pour résoudre les ndd.

Pourquoi à réglages identiques je n'ai pas les mêmes comportements ?

0
Fenrir Newbie

Fenrir

Posté(e)
  • Auteur
Posté(e)
Le 5/2/2018 à 19:01, Stixen92 a dit :

Mais apparemment cela te gêne de m'expliquer.

Ça ne me gène pas d'expliquer, ça prend juste du temps alors quand la réponse est dans la doc ...

En version courte, avec cette option openvpn ne désactive pas l'interface et ne relance pas les éventuels scripts en cas de coupure, il tente simplement de rétablir le tunnel.

@Mic13710 : l'os est il le même sur les 2 machines ?

Il peut aussi s'agir du cache DNS des machines (ipconfig /flushdns en admin) ou d'autres choses

0
Mic13710 Grand Master

Mic13710

Posté(e)
Posté(e)

C'est la même chose : le pc interroge le serveur DNS de mon NAS et l'ip renvoyée est l'ip publique de mon ami, le portable interroge celui du NAS de mon ami et retourne l'ip privée du même NAS.

Edit :

Je précise que les réglages sont les mêmes sur les 2 PC.

Réseau local : Ethernet (PC) et Wifi (Portable) sont en DHCP et obtiennent les adresses DNS automatiquement

VPN : Les deux sont en IP automatique et en manuel pour les adresses DNS, dans l'ordre : IP privée du NAS distant (192.168.x.x), IP privée de mon NAS (192.168.y.y)

0
Stixen92 Newbie

Stixen92

Posté(e)
Posté(e)
Il y a 9 heures, Fenrir a dit :

Ça ne me gène pas d'expliquer, ça prend juste du temps alors quand la réponse est dans la doc ...

En version courte, avec cette option openvpn ne désactive pas l'interface et ne relance pas les éventuels scripts en cas de coupure, il tente simplement de rétablir le tunnel

@Fenrir

Merci.
En terme de sécurité c'est une bonne chose ou pas d'activer cette option?

0
Fenrir Newbie

Fenrir

Posté(e)
  • Auteur
Posté(e)

@Mic13710 je voulais "voir" le résultat des 2 commandes, mais déjà si l'un est en WIFI et l'autre en filaire, le comportement peut changer (priorité des interfaces)

@Stixen92 ça dépend des cas d'usage, il y a trop de paramètres à prendre en compte pour te donner une réponse binaire

0
Mic13710 Grand Master

Mic13710

Posté(e)
Posté(e)

@Fenrir Je comprends bien mais je ne souhaite pas mettre ces données sur le forum pour des raisons évidentes. Et ça n'apporte pas vraiment d'autres éléments que ceux que j'ai indiqué.

Je te le réécris :

De mon PC : 

nslookup ndddemonami
Serveur : UnKnown
Address : L'IPPrivéeDeMonNas
Réponse ne faisant pas autorité
Nom : ndddemonami
Address : L'IPPubliqueDeMonAmi

De mon portable : 

nslookup ndddemonami
Serveur : UnKnown
Address : L'IPPrivéeDuNasDeMonAmi
Réponse ne faisant pas autorité
Nom : ndddemonami
Address : L'IPPrivéeDuNasDeMonAmi

C'est surtout le comportement du PC fixe qui me dérange. En me connectant au VPN, je pensais que toutes les résolutions se faisaient sur le serveur DNS du NAS de mon ami. Le portable le fait. Pas le PC qui lui passe d'abord par mon serveur pour la résolution de ndd. Ce n'est pas un souci à partir de mon espace privé (c'est un PC fixe dans mon bureau), c'en est un si la connexion est établie dans l'espace publique car on ne sait pas quel chemin sera emprunté.

0
Fenrir Newbie

Fenrir

Posté(e)
  • Auteur
Posté(e)
Le 05/05/2018 à 18:15, Mic13710 a dit :

Et ça n'apporte pas vraiment d'autres éléments que ceux que j'ai indiqué.

Si, ça me permet de voir que le fixe et le portable n'interrogent pas le même serveur DNS et quelle est la réponse qu pose problème, information qui n'était pas clair dans le message précédent

=>priorité des interfaces

Tu peux essayer avec cette option (dans la conf client) setenv opt block-outside-dns ou en changeant la métrique de l'interface VPN (https://arador.com/fix-openvpn-block-outside-dns-problems-windows-10/)

@Stixen92 : je te recommande de laisser par défaut, ça marche suffisamment bien

 

0
Mic13710 Grand Master

Mic13710

Posté(e)
Posté(e)

@Fenrir Super ! Je voyais bien que c'était une histoire de priorité, sans savoir comment la régler. Ton lien est effectivement la solution. En mettant le métrique à 1, ça fonctionne : le serveur DNS interrogé est bien le distant. Merci pour cette information.

il y a 58 minutes, Fenrir a dit :

Si, ça me permet de voir que le fixe et le portable n'interrogent pas le même serveur DNS et quelle est la réponse qu pose problème, information qui n'était pas clair dans le message précédent

Il me semble bien pourtant ne pas avoir dit autre chose 🙂 😄 :

Le 04/05/2018 à 17:54, Mic13710 a dit :

C'est la même chose : le pc interroge le serveur DNS de mon NAS et l'ip renvoyée est l'ip publique de mon ami, le portable interroge celui du NAS de mon ami et retourne l'ip privée du même NAS.

Mais tu as raison, j'aurais pu être plus clair ☺️

0

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.