Aller au contenu

[TUTO] VPN Server


Fenrir

Messages recommandés

Merci,

Oui, j'ai accès au synology avec cette adresse le 10.2.0.0, mais je n'ai pas accès au synology depuis 192.168.1.XXX. en mode vpn

Avec le nom du serveur, je n'ai pas accès au synology en mode vpn, mais en wifi direct, oui j'en ai l'accès

pour le blocage Merci,

Oui, j'ai accès au synology avec cette adresse le 10.2.0.0, mais je n'ai pas accès au synology depuis 192.168.1.XXX.

Avec le nom du serveur, je n'ai pas accès

pour le blocage de ip, j'ai ceci1.png

Lien vers le commentaire
Partager sur d’autres sites

bonjour les experts,

sur les 21 pages du topic, ma question a durement déjà été posée, mais étant donnés mes gros problèmes de vue/lecture, je n'ai vraiment pas le courage de toutes les parcourir. Alors merci de votre indulgence.

J'ai suivi à la lettre le tutoriel, et l'ai refait trois fois avant de poser la question.
Le VPN que je souhaite mettre en place est le L2PT/IPSEC.
Pour les tests, et être sur que ce n'était pas la cause du problème, j'ai mis un mot de passe très simple pour la clé partagée (une fois que ça fonctionnera, vous devrez vous lever dès tôt pour le trouver ;-))
J'ai bien ouvert le 2 ports 500 et 45000 sur mon router.
Pour les besoins du test, j'ai désactivé le barre-feu, histoire d'être sûr qu'il ne soit pas la cause de mon erreur.
Voici donc ma confié côté Syno :
xsc9.png
Comme je teste depuis mon GSM Androïd (en 4G, PAS en Wifi),j'ai également modifié le fichier 

Citation

il faut modifier le fichier /var/packages/VPNCenter/etc/l2tp/ipsec.conf sur le NAS et remplacer sha2_truncbug=no par sha2_truncbug=yes, puis on relance le paquet (merci @CoolRaoul)

mais quand je redémarre le paquet (Stop puis Lancer), il me remet sha2_truncbug=no => étrange ?

Dans la config client j'ai rentré directement l'IP externe de mon router, IP que j'ai vérifiée sur http://www.mon-ip.com/info-adresse-ip.php
xshy.png
 

Avez-vous une piste pour m'aider ? Merci !

Modifié par Jojo (BE)
Lien vers le commentaire
Partager sur d’autres sites

j'ai continué mes tests, alors me sont venues d'autres questions "existentielles" :

  1. pour moi, un VPN, c'est pour se connecter depuis en dehors du LAN, et se retrouver comme si on était dans le LAN (c'est pour cela que j'avais mis mon Androïd en 4G). Je viens de faire la config (comme expliqué dans le tutoriel) depuis mon MAC, et ça fonctionne (sur mon MAC, il me dit que je suis connecté, et sur mon NAS, il me dit qu'il y a une connexion). Mais est-ce un test représentatif ?
  2. il faut préciser un utilisateur et mdp du serveur VPN. OK, mais quelles autorisations doit-il avoir, car l'idée (si j'ai bien compris "on tire un long câble réseau avec du barbelé autour") c'est qu'une fois la connexion établie, c'est comme si on était dans le réseau. Alors, j'aurais envie de créer un utilisateur sur mon NAS qui n'a aucun droit, sauf éventuellement celui du VPN Server.
  3. si on est dans le réseau (à distance, mais comme si on y était physiquement), alors pourquoi des IP 10.2.X.X et pas 192.168.X.X, et la machine connectée reçoit une IP du serveur DHCP ?
    donc si je veux faire communiquer le NAS A avec le B, j'installe un VPN Server sur le B, le A s'y connecte, il recevrait une IP sur routeur du site B qui serait différente de celle du site A. Et il serait possible de faire une réservation d'IP pour le NAS A au niveau du Serveur DHCP B ?
  4. lors de la config du VPN server, il me donne l'IP 10.2.0.0, et je peux me connecter au NAS via 10.2.0.0:5000, mais il a donc 2 IPs ? mes autres équipements réseau sont toujours accessibles par leur IP d'origine (192.168.X.X) ou par une IP VPN (10.2.x.x), mais laquelle (et comment voir l'ensemble des clients pour connaitre leur IP?) ?

Si la réponse à la question 1 est OUI, cela voudrait dire qu'il y a un problème avec mon GSM.

J'espère que mes questions ne vous paraissent pas trop niaises. Merci en tout cas pour le temps que vous prendrez à y répondre.

Lien vers le commentaire
Partager sur d’autres sites

Hello,

je ne sais pas comment est faite ta configuration, mais pour ma part, mon VPN me permet bien d’accéder au NAS via son IP privée en 192.168.x.y depuis l’extérieur.

Tu peux essayer un Ping ou un traceroute depuis une machine connectée en VPN (Mac connecté sur le téléphone en partage de connexion) afin de voir ce que ça donne...

Une fois le VPN connecté, tu peux aussi afficher les routes pour voir ce que tu as. 

Lien vers le commentaire
Partager sur d’autres sites

Merci

Pour le tracert vers la box

  1. 10.2.0.0        68.0 ms
  2. 192.168.1.1     88.9ms lan.home

pour le tracert vers le nas

  1. rien champ vide
  2. idem

et il tourne en boucle avec des champs vide

 

pour le ping box

  1. 192.168.1.1 95.3 ms     lan.home
  2. 192.168.1.1 86.7 ms     lan.home

ping nas

  1. 192.168.1.25   le-nas.home  pas de ping
  2. 192.168.1.25   le-nas.home  pas de ping

information network analyzer du téléphone

3.jpg

Modifié par lose
Lien vers le commentaire
Partager sur d’autres sites

Il y a 23 heures, oli.oli a dit :

Mac connecté sur le téléphone en partage de connexion)

Merci pour l'idée, ça fonctionne Nickel depuis mon MAC, et donc c'est que j'ai un problème avec le VPN de mon téléphone.

Mais je ne sais me connecter qu'au VPN du NAS sur lequel j'ai installé VPN Server, et par l'adresse 10.2.0.0 et PAS son adresse interne 192.168.X.X (et donc pas aux autres équipements de mon réseau).

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...
Le 29/08/2016 à 14:02, CoolRaoul a dit :

J'ai remonté l'historique. Ca m'a permis de retrouver un de mes post dans un autre forum ou je témoigne de la dernière upgrade android reçue par mon smartphone. Ce dernier est daté du 20 Avril: http://forum.frandroid.com/topic/241978-help-cest-quoi-cette-mise-à-jour-régressive-en-60/?do=findComment&comment=3608637 

Comme vu plus haut, le 22 avril (mon Moto X était donc déjà sous Android 6), la connexion VPN Android -> Syno marchait dans mon cas .

Reste donc deux hypotheses: que la regression soit du aux patches de sécurité Android que j'ai reçu entre temps, courant Juin, ou que DSM (ou VPN server) soit en cause.

Enfin, quoi qu'il en soit, faut bien que je me rende à l'évidence: que je peux sans doute tirer un trait sur l'utilisation du VPN Ipsec dans l'immédiat. Dommage.

Hello, votre message me rappelle mon tout premier post sur ce thème :

Lorsque quelqu'un désire accéder à ressources informatiques internes depuis l’extérieur, cela est possible à l’aide du VPN (Virtual Private Network). Un poste connecté par VPN est considéré comme faisant partie du réseau interne. Pour bénéficier de ce service, vous devez télécharger et installer un client VPN sur votre ordinateur. Ce client VPN établira ensuite une connexion cryptée vers le réseau désiré. Vous devrez ensuite vous identifier avec votre compte informatique local à l'aide de votre nom d'utilisateur (username) et de votre mot de passe.

___________________

Défeloppeur application mobile pour pressing à domicile

 

 

Modifié par Ovetto
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Je suis face à une énigme concernant non pas le paquet VPN Server mais VPN Plus Server sur un RT2600ac.

La configuration est sensiblement la même, et même identique concernant les configurations selon les différents protocoles.

J'ai donc configuré OpenVPN et le profil (avec accès au LAN) est bien installé sur l'app du même nom sur mes appareils iOS.

Aucun problème de ce côté là, la connexion se fait parfaitement bien.

Une fois connecté au VPN, OpenVPN ou Synology SSL VPN, si je veux accéder à l'interface de mon NAS DS218+ (joignable via un nom de domaine, "Activer un domaine personnalisé" activé, DNS Server installé et opérationnel) ou aux applications mobiles aucun problème en 4G ou en Wi-Fi depuis un réseau extérieur Orange.

Mon routeur est aussi accessible avec un nom de domaine + reverse proxy configuré sur le NAS (pour ne pas avoir à saisir le port, HTTPS vers HTTPS car HTTPS vers HTTP ne fonctionne pas...) : en 4G j'accède à la page d'administration, DS router se connecte aussi parfaitement.

C'est en Wi-Fi, toujours depuis le même réseau Orange, que la connexion ne se fait pas, DS Router idem, File Station même tarif, SFTP, WebDAV (les 2 protocoles que j'utilise) pas mieux pour accéder à un stockage branché sur le routeur.

Donc connexion OpenVPN activé, 4G OK, Wi-Fi rien ne passe.

En ajoutant le port HTTPS SRM personnalisé pas mieux.

Où ça devient amusant c'est qu'en tapant l'IP WAN + port HTTPS SRM, tout fonctionne ! 

Et je sèche... Conflits d'IP locales ? La plage d'IP du client est celle par défaut.

Si quelqu'un peut m'apporter ses lumières, merci beaucoup !

Modifié par vincentbls
Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Bonjour, et merci pour le tuto ! Encore une fois, très détaillé et complet. Il demande d'être lu et relu .... Fenrir, merci 🤘

J'ai eu un soucis pour Open VPN et les certificats sous Android, si ça peut servir à quelqu'un qui passe, je vais expliquer.
J'ai travaillé sur un DS218+ à jour.

1. Dans DSM > Sécurité > Certificat : extraire le certificat Synology, vous aurez un .zip avec 4 fichiers dont cert.pem et privkey.pem
2. Dans VPN Serveur > OpenVPN > Exporter la configuration : vous aurez la aussi un .zip avec 4 fichiers dont VPNConfig.ovpn et ca.crt
3. Ouvrir VPNConfig.ovpn avec un éditeur de texte, et mettre son IP publique comme dans le tuto.

A la fin du fichier vous avez des lignes remplies :

<ca>
-----BEGIN CERTIFICATE-----
key string here
-----END CERTIFICATE-----
</ca>

4. Ouvrez les fichiers cert.pem et privkey.pem  vous trouverez les certificats qui vont vous servir
5. Modifier VPNConfig.ovpn en écrivant les certificats des deux fichiers précédents.

<cert>
-----BEGIN CERTIFICATE-----
key string here
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN RSA PRIVATE KEY-----
key string here
-----END RSA PRIVATE KEY-----
</key>
<ca>
-----BEGIN CERTIFICATE-----
key string here
-----END CERTIFICATE-----
</ca>


6. Installer Open VPN sur Android.
Ouvrir le fichier VPNConfig.ovpn puis quand ça vous sera demandé, importez le fichier ca.crt

 

Sans cette manip, la connexion à mon NAS était possible, mais le certificat était pourtant non installé.

--------------------------------

Une question maintenant :

Suite à ces paramétrages, si j'ai bien compris, je ne peux accéder à mon NAS que par OpenVPN (j'ai choisi ce VPN).

Si je suis sur un ordi qui n'est pas à moi (TAF, pote), je n'ai donc aucun moyen d'accéder à mes fichiers ou il y a une solution ?

Merci

 

 

Modifié par jef_
Lien vers le commentaire
Partager sur d’autres sites

Le 14/08/2018 à 13:06, shadowking a dit :

J'avais quelques soucis à prendre en compte le certificat pour OpenVPN sur Android, j'ai trouvé la solution dans ce post, si ça peut aider certains :

https://forum.synology.com/enu/viewtopic.php?t=80585#p483982

J'avais déjà mis la procédure au bas de la page 17 😛
Mais tu fais bien de le remettre, ce serait pas mal que @Fenrir intègre la manipulation en remarque dans son tuto, ça ferait un gain de temps... 😉

Lien vers le commentaire
Partager sur d’autres sites

Tu as tout à fait raison shadowking, c'est bien ton message qui m'avait aidé. Tu as raison, il faudrait mettre à jour le tuto ...

--------------------------------

Suite à ces paramétrages, si j'ai bien compris, je ne peux accéder à mon NAS que par OpenVPN (j'ai choisi ce VPN).

Si je suis sur un ordi qui n'est pas à moi (TAF, pote), je n'ai donc aucun moyen d'accéder à mes fichiers ou il y a une solution ?

--------------------------------

Quand j'essaye de joindre mon NAS par    http://XXXXX.synology.me/   je tombe sur ma box.
Ce qui est normal je pense vu les redirections de port.

Comment accéder à mon NAS par http://XXXXX.synology.me/ ?
Est-ce conseillé
? Je suppose que non ...

statut.png

-----------------------------------

Merci

Modifié par jef_
Lien vers le commentaire
Partager sur d’autres sites

Hey,

Alors pour info je suis sur MAC version Mojave j'ai tout suivi scrupuleusement, mais ça bloque, mais j'en suis pas loin car le connexion s'effectue.

Une fois la connexion effectuée voici le petit message d'erreur qu'il m'affiche :

1639117942_Capturedecran2019-03-09a17_10_16.png.be99e8e455007820d8f15c92d065b967.png

Je ne sais pas ce que j'ai mal fait car j'ai exactement les même réglages que sur Server VPN, d'ailleurs je comprends pas cet avertissement ?

Sur ma Bbox voici ce que j'ai fait :

1005448866_Capturedecran2019-03-09a17_20_31.thumb.png.ab13797bfde5aa512ff72c692bc1b1ed.png

Et dans la barre d'adresse quand je tape http://10.8.0.1/voici ce que j'ai :

434659503_Capturedecran2019-03-09a17_12_58.thumb.png.cb64ca100e56859ef70799b661f79a0b.png

Je pense que je suis pas loin d'arriver à le faire fonctionner mais ça bloque alors que j'ai tout fait correctement même pour mon pare-feu :

681789363_Capturedecran2019-03-09a17_26_21.png.efc9c5db5ed98ca591572d47b558eff0.png

Si quelqu'un à une idée ^^

Lien vers le commentaire
Partager sur d’autres sites

Hello,

ne serais-tu pas en train de tester ton VPN depuis chez toi?...

Ton VPN fonctionne bien.

simplement, si tu le teste depuis chez toi, il n’y a pas de changement d’IP publique.

Tunnelblick considère que c’est une erreur car hormis pour tester, ça n’a aucun sens de faire du VPN en local.

Lien vers le commentaire
Partager sur d’autres sites

Effectivement je le test depuis chez moi donc le petit avertissement qu'il me met tombe maintenant sous le sens... Je ne le voyais pas comme ça.

Alors j'ai essayé de tester en mettant mon téléphone en partage de connexion et depuis mon mac de me connecter avec le VPN, il charge en permanence et ne se connecte pas.

J'ai essayé depuis l'application Android ça charge sans se connecter... Je vais bien relire le tutoriel pour essayer de bien comprendre ce qui cloche.

Lien vers le commentaire
Partager sur d’autres sites

Alors ce que j'ai fait c'est que j'ai ajouté une redirection sur ma Bbox du type :

La règle "REDIRECTION VPN" redirige le protocole UDP pour les flux Internet ayant le port 1194 de la bbox vers le port 1194 du périphérique 192....

1005448866_Capturedecran2019-03-09a17_20_31.thumb.png.ab13797bfde5aa512ff72c692bc1b1ed.png

Je me suis donc connecté en 4G, j'ai déjà résolu un problème, enfaite dans le fichier de configuration j'avais laissé l'adresse IP de mon NAS, je l'ai remplacé par le nom de domaine. Ce qui a débloqué la connexion.

Mais une fois connecté j'ai toujours le même message même en passant par une autre connexion :

282337183_Capturedecran2019-03-10a15_44_33.png.48d73db887f5d14583ae4427216ede36.png

Dans le pare-feu de mon NAS j'ai ajouté le port 1194 UDP et uniquement en France, le reste je n'ai pas mis car je ne vais pas me servir du VPN L2TP/IPsec

Maintenant quand il s'agit d'accéder à mon nas je rame un peu... C'est-à-dire que quand je tape 10.8.0.1 j'ai toujours le même écran qu'en haut...

Si je lis les lignes d'informations de diagnostic de TunnelBlick je vois ça :

2019-03-10 15:43:43 MANAGEMENT: >STATE:155222XXXX,CONNECTED,SUCCESS,10.8.0.X,176.XXX.XXX.XXX,1194,,

J'ai remplacé volontairement certaines données par X.

Donc quand je tape 10.8.0.X que me donne TunnelBlick dans la petite ligne, ça charge ça charge ça charge et :

1041812983_Capturedecran2019-03-10a15_47_26.thumb.png.587a8cc7e4fac9440cd2aae50abc296f.png

Alors dans le tuto il précise bien à un moment donné :

Un point important qui risque d’empêcher le VPN de fonctionner correctement chez certains utilisateurs (@Vinky) : il faut autoriser la connexion VPN et le trafic VPN.

  • Si vous n'autorisez que les ports du VPN mais pas le trafic réseau qui va passer dans le tunnel, ça ne fonctionnera pas. Votre client et le nas diront - "Connecté" - mais vous n'aurez accès à rien.
  • Gardez en tête que se connecter à un VPN c'est comme brancher un câble réseau (le VPN c'est le câble), si vous n'autorisez pas le trafic dans le câble, ça ne sert pas à grand chose.

Sauf que dans mes manips j'autorise bien la connexion et le trafic, que ce soit dans la configuration du fichier VPN et au niveau du pare-feu de mon NAS.

Alors @lose pour répondre plus précisément à ta question voici la seule règle que j'ai sur mon pare-feu de ma Bbox :

1869502816_Capturedecran2019-03-10a16_09_32.thumb.png.334242a707e77ad1945c71858bad4673.png

Donc j'ai essayé cette manip en plus :

806440175_Capturedecran2019-03-10a16_13_10.thumb.png.c3aafa77da7117b46fa9483532c325d8.png

Toujours le même problème, alors après quand je tape mon nom de domaine dans la barre effectivement ça marche, mais ça indépendamment que je sois connecté en VPN ou pas donc il n'y a du coup pas d'intérêt, ou alors c'est bien ça qu'il faut faire et j'avais rien compris....

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Bonjour,

Petite question : ce routage-ci est-il possible ? Si oui comment avec un NAS Synology ds3615 ?

Pc (tablette, téléphone, TV, ...) -> openvpn(vpn server syno) -> ds3615 -> vpn (nordvpn, hma, ...) -> internet.

L'objectif étant de rerouter tout le traffic sur le NAS par connection openvpn créée sur le NAS, et ensuite connecter le nas sur un vpn commercial. Je cherche ici à surfer incognito pas forcément à faire du torrent...

J'ai essayé avec nordvpn mais dès que je veux activer le vpn client sur le NAS, celui-ci me demande de désactiver le vpn server d'abord. Bref il semble que les deux ne peuvent pas fonctionner simultanément...

Lien vers le commentaire
Partager sur d’autres sites

@Pr0TiPx8 Sachant que le serveur VPN (votre NAS) est derrière votre box, encore heureux que l'adresse publique du VPN soit celle de la box !

Vous espériez voir quelle adresse ?

Si vous n'indiquez pas le port, la connexion se fera sur le serveur Web s'il est activé.

Avez-vous essayé 10.8.0.1:5000 ? ou IPprivéeduNAS192.168.x.x:5000 ?

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,
Je partage une connexion vpn avec les collaborateurs.
Est t’il possible de configurer, pour certains groupes d’utilisateurs seulement, que cette connexion ne soit activé que pendant les heures de travail?
Merci.


Envoyé de mon iPhone en utilisant Tapatalk

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.