[TUTO] VPN Server

[PiwiLAbruti]

Dans la configuration du serveur L2TP/IPsec, il n'est pas impératif de configurer un serveur DNS manuel :

Citation

9. Cochez Utiliser le DNS manuel et spécifiez l'adresse IP d'un serveur DNS pour pousser le DNS vers les clients PPTP. Si cette option est désactivée, le serveur DNS utilisé par le Synology NAS est poussé vers les clients.

Source : https://www.synology.com/fr-fr/knowledgebase/DSM/help/VPNCenter/vpn_setup

@Fenrir : Même si ça reste très technique, il est possible de désactiver l'envoi de tout le trafic pour les clients en rendant automatique la création de règles de routage à la connexion du client. Je peux te fournir les éléments de configuration pour les systèmes Linux-like (DSM et macOS inclus), et Windows (>=8). Ça doit également être faisable sur un Android rooté (sur iOS c'est mort, évidemment).

C'est ce que j'utilise pour conserver ma connexion internet locale et n'envoyer sur le réseau distant que ce qui le concerne.

Pour les environnements Linux-like, j'utilise simplement /etc/ppp/ip-up. Pour Windows il s'agit d'un script PowerShell qui s'exécute sur un évènement de connexion dans le planificateur de tâches.

[Fenrir]

Il y a 7 heures, PiwiLAbruti a dit :

il n'est pas impératif de configurer un serveur DNS manuel :

je n'ai jamais dit le contraire

Il y a 7 heures, PiwiLAbruti a dit :

9. Cochez Utiliser le DNS manuel et spécifiez l'adresse IP d'un serveur DNS pour pousser le DNS vers les clients PPTP. Si cette option est désactivée, le serveur DNS utilisé par le Synology NAS est poussé vers les clients.

en PPTP peut être, en L2TP/IPSec certains clients (android par exemple) n'en tiennent pas compte

Pour le routage je sais, mais je pense que ça dépasse les besoins et les compétences de la plupart des lecteurs, mais si tu post la conf et les manip, je peux l'intégrer dans le tuto (section powerusers ). EN passant, tu n'es pas obligé de passer par /etc/ppp/ip-up, un simple route add classique fait le travail.

[PiwiLAbruti]

il y a 36 minutes, Fenrir a dit :

je n'ai jamais dit le contraire

Dans le tuto, tu indiques qu'il ne faut pas le laisser par défaut : "Commencez par activer le serveur L2TP/IPSec, vous pouvez laisser tous réglages par défaut sauf les cadres rouge". Mais comme Android n'en tient pas compte, autant laisser tel quel.

il y a 39 minutes, Fenrir a dit :

EN passant, tu n'es pas obligé de passer par /etc/ppp/ip-up, un simple route add classique fait le travail.

C'est plus propre, les règles de routage n'existent que lorsque le VPN est connecté.

Pour Windows, j'avais mis ça sur GitHub : https://github.com/piwi82/VPN-route/blob/master/Windows/vpn-route.ps1

[Fenrir]

Le 13/08/2016 à 17:13, Fenrir a dit :

Commencez par activer le serveur L2TP/IPSec, vous pouvez laisser tous réglages par défaut sauf les cadres rouge :

<capture>

• Par défaut c'est le serveur DNS configuré dans votre NAS qui est utilisé, mais vous pouvez le changer si besoin (attention, certains clients n'en tiennent pas compte)

Bien vu ! C'est vrai qu'il manque un mot : "éventuellement" - je le rajoute de suite

Il y a 2 heures, PiwiLAbruti a dit :

C'est plus propre, les règles de routage n'existent que lorsque le VPN est connecté.

Chez moi aussi, je précise simplement le nom de l'interface dans le route add ou l'ip r a. Je préfère ma méthode car elle marche de la même manière sur Linux/Mac/Windows, mais la tienne reste parfaitement valable et elle est plus propre.

=>bon j'ai compris, je vais en parler plus en détails dans le tuto , donc je veux bien ça :

Il y a 10 heures, PiwiLAbruti a dit :

Je peux te fournir les éléments de configuration pour les systèmes Linux-like (DSM et macOS inclus)

Pour Windows, dans ta fonction, je pense qu'il faudrait ajouter l’élévation de privilège car pour ajouter une route il faut passer l'UAC.

Pour Android, pas besoin d'être root, c'est natif dans l'interface (on peut ajouter les routes directement dans le conf du vpn). Pour iOS, je crois que c'est mort, même avec un profil.

[StéphanH]

Bonsoir,

Juste un complément :

OpenVPN :

• Synology : non testé

J'ai un VPN OpenVPN permanent entre mes deux Syno, pas de souci.

Une autre remarque :

iOS :

Configuration :

• 

Ma remarque (qui est aussi une question !) porte sur le User.

Personnellement, j'ai créé un User spécifique qui n'a que des droits VPN sur le NAS.

Seul lui est habilité à monter le tunnel.

Une fois le tunnel monté, le user habituel du client peut se loger avec son compte habituel.

Je ne sais plus pourquoi j'avais fait cela ... 

[Fenrir]

il y a 41 minutes, StéphanH a dit :

Je ne sais plus pourquoi j'avais fait cela ... 

Séparation des privilèges, c'est une bonne pratique.

Je n'en ai pas parlé dans le tuto car j'aurai embrouillé 80% des lecteurs.

[atdd10]

Le 13/08/2016 à 17:13, Fenrir a dit :

En passant, notez l'adresse IP en haut : 10.8.0.1

C'est la première adresse qui sera distribuée à vos clients, votre NAS sera directement accessible à l'adresse 10.8.0.0 (il y a bien un zéro à la fin).

 

Bojour (ou plutôt ... Bonsoir !)

cela fait un bon bout de temps que je tente de joindre mon nas (DSM6) au traver ce fichu vpn mais sans succé

a tout hazard, je me suis dit que je pouvais testé la 10.8.0.1 ..

Bingo !!! c'est bien l'adress de mon syno chéri au traver le vpn (open) construit selon tes précieuses instructions

 

pour info, je dispose d'un second nas(DSM5.2) et je ne parvien ... pour le moment ... pas encore a les faire comuniquer enssemble au traver du L2PT/IPSec

(je n'ais pas tester openVPN)

 

 

Merci bien pour ton tuto il ma déja etait très util

[Einsteinium]

Euh... une fois connecté au vpn... tu es comme sur ton réseau... le n'as est accessible par son adresse habituelle ;-)

[mafiaman42]

Le 13/08/2016 à 17:13, Fenrir a dit :

Configuration des routeurs

La première chose à faire consiste à s'assurer que l'adresse IP de votre nas ne change pas, vous avez 2 manières de procéder :

• la bonne : vous configurez votre DHCP (celui de la box par exemple) pour qu'il attribut toujours la même adresse au nas (association MAC ADDRESS <-> adresse IP)
• la mauvaise : vous entrez une IP fixe dans la configuration réseau de votre nas

Excellent tuto !

Par contre je ne comprends pas en quoi fixer manuellement une IP pour son NAS (ou tout autre équipement de type serveur) est une mauvaise manière de procéder contrairement à lui réserver une IP dans le DHCP...

[Invité]

Cest adresser une ip fixe via le nas qui est deconseille, mais pas via le routeur.
A mon avis cest quand meme mieux de centraliser tte la gestion au meme endroit. Ca evite les conflits par exemple.



Envoyé de mon iPhone en utilisant Tapatalk

[Mic13710]

il y a 29 minutes, mafiaman42 a dit :

Par contre je ne comprends pas en quoi fixer manuellement une IP pour son NAS (ou tout autre équipement de type serveur) est une mauvaise manière de procéder contrairement à lui réserver une IP dans le DHCP...

Tout simplement pour que l'adresse ne soit pas attribuée à un autre équipement. Si le NAS est éteint, le routeur peut tout à fait attribuer l'adresse libre à un autre équipement et quand on allume le NAS, il y a conflit. En réservant l'adresse au niveau du routeur, elle ne peut être attribuée qu'à l'équipement dont l'adresse mac correspond.

[mafiaman42]

il y a 25 minutes, Hedy a dit :

Cest adresser une ip fixe via le nas qui est deconseille, mais pas via le routeur.
A mon avis cest quand meme mieux de centraliser tte la gestion au meme endroit. Ca evite les conflits par exemple.



Envoyé de mon iPhone en utilisant Tapatalk

Je ne suis pas sûr d'avoir été assez explicite.

J'ai configuré sur mon syno l'adresse IP en IP fixe, comme je le fais et je l'ai toujours fait (et vu) partout. Je n'ai justement rien touché côté routeur (box)

 

il y a 3 minutes, Mic13710 a dit :

Tout simplement pour que l'adresse ne soit pas attribuée à un autre équipement. Si le NAS est éteint, le routeur peut tout à fait attribuer l'adresse libre à un autre équipement et quand on allume le NAS, il y a conflit. En réservant l'adresse au niveau du routeur, elle ne peut être attribuée qu'à l'équipement dont l'adresse mac correspond.

Aucun risque, mes serveurs sont en dehors de la plage DHCP.

Modifié le 20 décembre 2016 par mafiaman42

[PiwiLAbruti]

il y a 51 minutes, mafiaman42 a dit :

Par contre je ne comprends pas en quoi fixer manuellement une IP pour son NAS (ou tout autre équipement de type serveur) est une mauvaise manière de procéder contrairement à lui réserver une IP dans le DHCP...

Dans l'absolu, ce n'est pas une mauvaise manière de procéder.

Pour les novices, c'est beaucoup plus simple dans le cas où le NAS est amené à être déplacé dans un réseau adressé différemment car il reste accessible.

[mafiaman42]

il y a 19 minutes, PiwiLAbruti a dit :

Dans l'absolu, ce n'est pas une mauvaise manière de procéder.

Pour les novices, c'est beaucoup plus simple dans le cas où le NAS est amené à être déplacé dans un réseau adressé différemment car il reste accessible.

En effet 

[Fenrir]

Il y a 2 heures, mafiaman42 a dit :

Par contre je ne comprends pas en quoi fixer manuellement une IP pour son NAS (ou tout autre équipement de type serveur) est une mauvaise manière de procéder contrairement à lui réserver une IP dans le DHCP...

Ce tuto ne s'adresse pas à tes "habitués" des conf réseau, c'est plus destiné à du grand public, donc c'est plus simple et fiable de la faire via DHCP (on ne se trompe pas de passerelle, de dns, pas de risque de conflit, ça marche si on change de box, si on change un paramètre sur le serveur dhcp, ...).

Maintenant si tu es à l'aise avec les conf réseau, il n'y a aucun problème (autre que ceux liés à la gestion) à attribuer une adresse ip en dur sur un équipement.

[mafiaman42]

Pas de soucis, en tout cas c'est très bien expliqué pour les "novices". Félicitations  

[lml]

Bonjour, et tout d'abord merci beaucoup Fenrir pour ce tuto qui m'a beaucoup aidé après avoir réalisé le tuto sécurité.

 

J'ai établi donc un tunnel openVPN entre mon NAS et mon pc sous windows.

Cela fonctionne très bien je dois dire; par contre, dans les "log" de openvpn sur mon client, s'affiche 3 lignes d'avertissements de sécurité, à chaque fois que je me connecte, ce qui me laisse un peu songeur:

 

" WARNING: No server certificate verification method has been enabled.

WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
 

 

Quelqu'un sait il comment remédier à ces mises en garde, ou si je dois simplement ne pas m'en préoccuper..?

Et d'autre part, je n'ai pas bien compris ce que l'on doit faire des certificats que l'on a importé du NAS. Les exécuter sur le client? Les insérer quelque part dans le dossier du logiciel openvpn du client..?

 

Voilà, désolé pour mes questions, je ne sais pas si elles sont très interessantes, mais je n'ai pas réussi à y trouver la réponse par moi même.

Encore merci,

L

[Fenrir]

Il y a 4 heures, lml a dit :

" WARNING: No server certificate verification method has been enabled.

OpenVPN peut faire de l'authentification par certificat client, mais ce n'est pas proposé par Synology, donc c'est normal ici.

Il y a 4 heures, lml a dit :

WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this

Tu peux suivre la recommandation si besoin. Les mots de passe sont en cache pour permettre une reconnexion automatique en cas de micro coupure. À toi de voir.

Il y a 4 heures, lml a dit :

WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).

Ça c'est la conf Synology qui n'est pas top, ils sont loin d'être des expert en sécurité et préfère souvent privilégier la compatibilité à la sécurité.

C'est une ligne à changer dans server.conf sur le nas.

Il y a 4 heures, lml a dit :

Et d'autre part, je n'ai pas bien compris ce que l'on doit faire des certificats que l'on a importé du NAS. Les exécuter sur le client? Les insérer quelque part dans le dossier du logiciel openvpn du client..?

Normalement tu as du copier le certificat dans le dossier d'openvpn, à coté du fichier de conf. Le client s'en sert pour vérifier qu'il parle bien au bon serveur et pour chiffrer la connexion.

[lml]

Merci beaucoup de ta réponse Fenrir, c'est plus clair pour moi comme ça.

[titis14]

Bonjour merci pour pour ce tuto très complet.

J'utilise le VPN de ma freebox, mais je préfère tout recentrer sur mon nas faisant déjà aussi office de serveur DHCP qu'il faut activer obligatoirement pour le PXE.

J'ai pu faire le VPN avec OpenVPN, la connexion fonctionne je peux même aller sur mon réseau local (ping de mon nas en 192.168.xxx.xxx, mais je n'ai aucun accès à internet. J'ai bien ouvert les ports sur ma freebox comme indiqué au début mais rien ne passe. Je n'est pas le parfeu du Nas d'activé.

Mon compte a bien les privilèges pour openVPN

Quand je regarde les DNS de ma connexion VPN ils sont en IPv6.

Auriez-vous une idée ?

Merci

[Fenrir]

Il y a 1 heure, titis14 a dit :

mais je n'ai aucun accès à internet.

http://204.62.14.153 ou ping 8.8.8.8

C'est peut être effectivement un soucis dns

[titis14]

J'édite mon sujet car j'ai trouvé, j'ai désactiver l'ipv6 dans les options de la carte réseau de openVPN.

Modifié le 16 janvier 2017 par titis14

[Fenrir]

Il ne faut pas faire un ping vers http://..., mais juste cliquer dessus

Néanmoins ta dernière capture montre que tu n'as aucun DNS de configuré, c'est probablement ça la source de ton problème.

[titis14]

Dans VPN Server on ne peut configurer de DNS ? du moins je n'ai rien trouvé, et j'ai bien 2 DNS de rentré dans mon serveur DHCP.

[Fenrir]

Avec OpenVPN, par défaut il prend les DNS de la machine (openvpn ne modifie pas les DNS du client par défaut, mais c'est faisable).

Le soucis vient donc du client (désactiver l'ipv6 a du forcer le client réinitialiser sa conf).

Je suis entrain de monter une vm pour tester s'il y a un effet de bord avec l'ipv6, mais j'en doute car il est activé par défaut et personne ne m'a signalé ce problème.

edit : il y a effectivement un soucis avec la dernière version du serveur vpn de syno

Pour corriger le tire il suffit de dé-commenter l'une ou l'autre des options suivantes :

• redirect-gateway def1
• dhcp-option DNS x.x.x.x

Je vais modifier le tuto.

Modifié le 16 janvier 2017 par Fenrir