Aller au contenu

[TUTO] VPN Server


Fenrir

Messages recommandés

Dans la configuration du serveur L2TP/IPsec, il n'est pas impératif de configurer un serveur DNS manuel :

Citation

9. Cochez Utiliser le DNS manuel et spécifiez l'adresse IP d'un serveur DNS pour pousser le DNS vers les clients PPTP. Si cette option est désactivée, le serveur DNS utilisé par le Synology NAS est poussé vers les clients.

Source : https://www.synology.com/fr-fr/knowledgebase/DSM/help/VPNCenter/vpn_setup

@Fenrir : Même si ça reste très technique, il est possible de désactiver l'envoi de tout le trafic pour les clients en rendant automatique la création de règles de routage à la connexion du client. Je peux te fournir les éléments de configuration pour les systèmes Linux-like (DSM et macOS inclus), et Windows (>=8). Ça doit également être faisable sur un Android rooté (sur iOS c'est mort, évidemment).

C'est ce que j'utilise pour conserver ma connexion internet locale et n'envoyer sur le réseau distant que ce qui le concerne.

Pour les environnements Linux-like, j'utilise simplement /etc/ppp/ip-up. Pour Windows il s'agit d'un script PowerShell qui s'exécute sur un évènement de connexion dans le planificateur de tâches.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 7 heures, PiwiLAbruti a dit :

il n'est pas impératif de configurer un serveur DNS manuel :

je n'ai jamais dit le contraire :biggrin:

Il y a 7 heures, PiwiLAbruti a dit :

9. Cochez Utiliser le DNS manuel et spécifiez l'adresse IP d'un serveur DNS pour pousser le DNS vers les clients PPTP. Si cette option est désactivée, le serveur DNS utilisé par le Synology NAS est poussé vers les clients.

en PPTP peut être, en L2TP/IPSec certains clients (android par exemple) n'en tiennent pas compte

Pour le routage je sais, mais je pense que ça dépasse les besoins et les compétences de la plupart des lecteurs, mais si tu post la conf et les manip, je peux l'intégrer dans le tuto (section powerusers :razz:). EN passant, tu n'es pas obligé de passer par /etc/ppp/ip-up, un simple route add classique fait le travail.

Lien vers le commentaire
Partager sur d’autres sites

il y a 36 minutes, Fenrir a dit :

je n'ai jamais dit le contraire :biggrin:

Dans le tuto, tu indiques qu'il ne faut pas le laisser par défaut : "Commencez par activer le serveur L2TP/IPSec, vous pouvez laisser tous réglages par défaut sauf les cadres rouge". Mais comme Android n'en tient pas compte, autant laisser tel quel.

il y a 39 minutes, Fenrir a dit :

EN passant, tu n'es pas obligé de passer par /etc/ppp/ip-up, un simple route add classique fait le travail.

C'est plus propre, les règles de routage n'existent que lorsque le VPN est connecté.

Pour Windows, j'avais mis ça sur GitHub : https://github.com/piwi82/VPN-route/blob/master/Windows/vpn-route.ps1

Lien vers le commentaire
Partager sur d’autres sites

Le 13/08/2016 à 17:13, Fenrir a dit :

Commencez par activer le serveur L2TP/IPSec, vous pouvez laisser tous réglages par défaut sauf les cadres rouge :

<capture>

  • Par défaut c'est le serveur DNS configuré dans votre NAS qui est utilisé, mais vous pouvez le changer si besoin (attention, certains clients n'en tiennent pas compte)

Bien vu ! C'est vrai qu'il manque un mot : "éventuellement" - je le rajoute de suite

Il y a 2 heures, PiwiLAbruti a dit :

C'est plus propre, les règles de routage n'existent que lorsque le VPN est connecté.

Chez moi aussi, je précise simplement le nom de l'interface dans le route add ou l'ip r a. Je préfère ma méthode car elle marche de la même manière sur Linux/Mac/Windows, mais la tienne reste parfaitement valable et elle est plus propre.

=>bon j'ai compris, je vais en parler plus en détails dans le tuto :mrgreen:, donc je veux bien ça :

Il y a 10 heures, PiwiLAbruti a dit :

Je peux te fournir les éléments de configuration pour les systèmes Linux-like (DSM et macOS inclus)

Pour Windows, dans ta fonction, je pense qu'il faudrait ajouter l’élévation de privilège car pour ajouter une route il faut passer l'UAC.

Pour Android, pas besoin d'être root, c'est natif dans l'interface (on peut ajouter les routes directement dans le conf du vpn). Pour iOS, je crois que c'est mort, même avec un profil.

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

Juste un complément :

OpenVPN :

  • Synology : non testé

J'ai un VPN OpenVPN permanent entre mes deux Syno, pas de souci.

Une autre remarque :

iOS :

Configuration :

  • 26.png

Ma remarque (qui est aussi une question !) porte sur le User.

Personnellement, j'ai créé un User spécifique qui n'a que des droits VPN sur le NAS.

Seul lui est habilité à monter le tunnel.

Une fois le tunnel monté, le user habituel du client peut se loger avec son compte habituel.

Je ne sais plus pourquoi j'avais fait cela ... :confused:

Lien vers le commentaire
Partager sur d’autres sites

Le 13/08/2016 à 17:13, Fenrir a dit :

En passant, notez l'adresse IP en haut : 10.8.0.1

C'est la première adresse qui sera distribuée à vos clients, votre NAS sera directement accessible à l'adresse 10.8.0.0 (il y a bien un zéro à la fin).

 

Bojour (ou plutôt ... Bonsoir !)

cela fait un bon bout de temps que je tente de joindre mon nas (DSM6) au traver ce fichu vpn mais sans succé

a tout hazard, je me suis dit que je pouvais testé la 10.8.0.1 ..

Bingo !!! c'est bien l'adress de mon syno chéri au traver le vpn (open) construit selon tes précieuses instructions

 

pour info, je dispose d'un second nas(DSM5.2) et je ne parvien ... pour le moment ... pas encore a les faire comuniquer enssemble au traver du L2PT/IPSec

(je n'ais pas tester openVPN)

 

 

Merci bien pour ton tuto il ma déja etait très util

Lien vers le commentaire
Partager sur d’autres sites

Le 13/08/2016 à 17:13, Fenrir a dit :

Configuration des routeurs

La première chose à faire consiste à s'assurer que l'adresse IP de votre nas ne change pas, vous avez 2 manières de procéder :

  • la bonne : vous configurez votre DHCP (celui de la box par exemple) pour qu'il attribut toujours la même adresse au nas (association MAC ADDRESS <-> adresse IP)
  • la mauvaise : vous entrez une IP fixe dans la configuration réseau de votre nas

Excellent tuto !

Par contre je ne comprends pas en quoi fixer manuellement une IP pour son NAS (ou tout autre équipement de type serveur) est une mauvaise manière de procéder contrairement à lui réserver une IP dans le DHCP...

Lien vers le commentaire
Partager sur d’autres sites

Cest adresser une ip fixe via le nas qui est deconseille, mais pas via le routeur.
A mon avis cest quand meme mieux de centraliser tte la gestion au meme endroit. Ca evite les conflits par exemple.



Envoyé de mon iPhone en utilisant Tapatalk

Lien vers le commentaire
Partager sur d’autres sites

il y a 29 minutes, mafiaman42 a dit :

Par contre je ne comprends pas en quoi fixer manuellement une IP pour son NAS (ou tout autre équipement de type serveur) est une mauvaise manière de procéder contrairement à lui réserver une IP dans le DHCP...

Tout simplement pour que l'adresse ne soit pas attribuée à un autre équipement. Si le NAS est éteint, le routeur peut tout à fait attribuer l'adresse libre à un autre équipement et quand on allume le NAS, il y a conflit. En réservant l'adresse au niveau du routeur, elle ne peut être attribuée qu'à l'équipement dont l'adresse mac correspond.

Lien vers le commentaire
Partager sur d’autres sites

il y a 25 minutes, Hedy a dit :

Cest adresser une ip fixe via le nas qui est deconseille, mais pas via le routeur.
A mon avis cest quand meme mieux de centraliser tte la gestion au meme endroit. Ca evite les conflits par exemple.



Envoyé de mon iPhone en utilisant Tapatalk

Je ne suis pas sûr d'avoir été assez explicite.

J'ai configuré sur mon syno l'adresse IP en IP fixe, comme je le fais et je l'ai toujours fait (et vu) partout. Je n'ai justement rien touché côté routeur (box)

 

il y a 3 minutes, Mic13710 a dit :

Tout simplement pour que l'adresse ne soit pas attribuée à un autre équipement. Si le NAS est éteint, le routeur peut tout à fait attribuer l'adresse libre à un autre équipement et quand on allume le NAS, il y a conflit. En réservant l'adresse au niveau du routeur, elle ne peut être attribuée qu'à l'équipement dont l'adresse mac correspond.

Aucun risque, mes serveurs sont en dehors de la plage DHCP.

Modifié par mafiaman42
Lien vers le commentaire
Partager sur d’autres sites

il y a 51 minutes, mafiaman42 a dit :

Par contre je ne comprends pas en quoi fixer manuellement une IP pour son NAS (ou tout autre équipement de type serveur) est une mauvaise manière de procéder contrairement à lui réserver une IP dans le DHCP...

Dans l'absolu, ce n'est pas une mauvaise manière de procéder.

Pour les novices, c'est beaucoup plus simple dans le cas où le NAS est amené à être déplacé dans un réseau adressé différemment car il reste accessible.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, mafiaman42 a dit :

Par contre je ne comprends pas en quoi fixer manuellement une IP pour son NAS (ou tout autre équipement de type serveur) est une mauvaise manière de procéder contrairement à lui réserver une IP dans le DHCP...

Ce tuto ne s'adresse pas à tes "habitués" des conf réseau, c'est plus destiné à du grand public, donc c'est plus simple et fiable de la faire via DHCP (on ne se trompe pas de passerelle, de dns, pas de risque de conflit, ça marche si on change de box, si on change un paramètre sur le serveur dhcp, ...).

Maintenant si tu es à l'aise avec les conf réseau, il n'y a aucun problème (autre que ceux liés à la gestion) à attribuer une adresse ip en dur sur un équipement.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour, et tout d'abord merci beaucoup Fenrir pour ce tuto qui m'a beaucoup aidé après avoir réalisé le tuto sécurité.

 

J'ai établi donc un tunnel openVPN entre mon NAS et mon pc sous windows.

Cela fonctionne très bien je dois dire; par contre, dans les "log" de openvpn sur mon client, s'affiche 3 lignes d'avertissements de sécurité, à chaque fois que je me connecte, ce qui me laisse un peu songeur:

 

" WARNING: No server certificate verification method has been enabled.

WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
 

 

Quelqu'un sait il comment remédier à ces mises en garde, ou si je dois simplement ne pas m'en préoccuper..?

Et d'autre part, je n'ai pas bien compris ce que l'on doit faire des certificats que l'on a importé du NAS. Les exécuter sur le client? Les insérer quelque part dans le dossier du logiciel openvpn du client..?

 

Voilà, désolé pour mes questions, je ne sais pas si elles sont très interessantes, mais je n'ai pas réussi à y trouver la réponse par moi même.

Encore merci,

L

Lien vers le commentaire
Partager sur d’autres sites

Il y a 4 heures, lml a dit :

" WARNING: No server certificate verification method has been enabled.

OpenVPN peut faire de l'authentification par certificat client, mais ce n'est pas proposé par Synology, donc c'est normal ici.

Il y a 4 heures, lml a dit :

WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this

Tu peux suivre la recommandation si besoin. Les mots de passe sont en cache pour permettre une reconnexion automatique en cas de micro coupure. À toi de voir.

Il y a 4 heures, lml a dit :

WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).

Ça c'est la conf Synology qui n'est pas top, ils sont loin d'être des expert en sécurité et préfère souvent privilégier la compatibilité à la sécurité.

C'est une ligne à changer dans server.conf sur le nas.

Il y a 4 heures, lml a dit :

Et d'autre part, je n'ai pas bien compris ce que l'on doit faire des certificats que l'on a importé du NAS. Les exécuter sur le client? Les insérer quelque part dans le dossier du logiciel openvpn du client..?

Normalement tu as du copier le certificat dans le dossier d'openvpn, à coté du fichier de conf. Le client s'en sert pour vérifier qu'il parle bien au bon serveur et pour chiffrer la connexion.

Lien vers le commentaire
Partager sur d’autres sites

  • 4 semaines après...

Bonjour merci pour pour ce tuto très complet.

J'utilise le VPN de ma freebox, mais je préfère tout recentrer sur mon nas faisant déjà aussi office de serveur DHCP qu'il faut activer obligatoirement pour le PXE.

J'ai pu faire le VPN avec OpenVPN, la connexion fonctionne je peux même aller sur mon réseau local (ping de mon nas en 192.168.xxx.xxx, mais je n'ai aucun accès à internet. J'ai bien ouvert les ports sur ma freebox comme indiqué au début mais rien ne passe. Je n'est pas le parfeu du Nas d'activé.

Mon compte a bien les privilèges pour openVPN

Quand je regarde les DNS de ma connexion VPN ils sont en IPv6.

Auriez-vous une idée ?

Merci

Lien vers le commentaire
Partager sur d’autres sites

Avec OpenVPN, par défaut il prend les DNS de la machine (openvpn ne modifie pas les DNS du client par défaut, mais c'est faisable).

Le soucis vient donc du client (désactiver l'ipv6 a du forcer le client réinitialiser sa conf).

Je suis entrain de monter une vm pour tester s'il y a un effet de bord avec l'ipv6, mais j'en doute car il est activé par défaut et personne ne m'a signalé ce problème.

edit : il y a effectivement un soucis avec la dernière version du serveur vpn de syno

Pour corriger le tire il suffit de dé-commenter l'une ou l'autre des options suivantes :

  • redirect-gateway def1
  • dhcp-option DNS x.x.x.x

Je vais modifier le tuto.

Modifié par Fenrir
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.