[TUTO] VPN Server

[Jeff777]

Ah mais je suis étourdi bien sûr il faut mettre localhost dans la destination 🤪.

il y a 44 minutes, Silverhawk82 a dit :

De toute façon il ne me laisse pas la possibilité de garder localhost...

Pourquoi tu ne pourrais pas taper localhost ?? Sinon tu mets l'adresse local du proxy en 192.168.x.x.

Pour le VPN je ne sais pas à quoi tu le destinais.

Son utilisation n'a rien à voir avec le fait que tu sois en filaire ou non.

Le VPN du NAS est utile lorsque tu te connectes de l'extérieur. On peut l'illustrer par un tunnel qui relie ton PC externe à ton réseau local. Donc personne ne peut voir ce qui se trame dans ce tunnel.

De plus de ton PC externe c'est comme si tu étais dans ton réseau local, tu peux donc atteindre tes équipements avec leurs adresses locales. Par exemple 192.168.0.10:5000 te conduit au DSM direct  (192.168.0.10 étant l'adresse du NAS par exemple).

Modifié le 21 juin 2019 par Jeff777

[Silverhawk82]

Bon ben ça roule... maintenant... enfin...

UN TOUT TOUT GRAND MERCI... OU est-ce que je t'envoie une casier de triple karmeliet??

Et oui j'imagine 🤪 que parfois ça doit être dur... mais bon Lundi j'y connaissais rien ou presque en VPN, Adresse IP, et tout le touteam...

Alors de mon côté, je suis bien content d'avoir appris (probablement pas de la bonne façon) toute ces nouvelles choses...

Encore merci et j'imagine qu'on se "reverra" 🙂

François

[Jeff777]

Pas de quoi ! Je ne connaissais pas le triple karmeliet ...moi aussi j'ai appris quelque chose 😃. J'aime bien la bière faudra que je goûte celle là.

Je ne sais pas s'il y a une bonne et une mauvaise façon d'apprendre mais sur le Syno, je fais comme toi, j'essaie et si je n'y arrive pas je viens sur ce forum. En général ça fonctionne 😉.

A +

 

[mickey_mouss]

Bonjour,

Pour commencer, moi aussi j'adresse un grand merci à Fenrir pour ce tutoriel. Il m'a plus servi à vérifier ce que j'avais fait plus qu'à le faire, mais comme ce n'est pas mon activité professionnelle, je rouille un peu, donc c'est une aide précieuse.

D'ailleurs, cela m'amène à mes questions. Parano de mon état, je n'ai jamais ouvert tous les ports du NAS, y compris pour les adresses locales. J'ai donc eu quelques souci lors de la mise en oeuvre du VPN. Je n'avais jamais raisonné mes règles firewall qu'en considérant le NAS comme destination finale, ce qui ne devient plus le cas avec le VPN.

J'avais donc historiquement une règle firewall autorisant sur mon réseau local les ports 80,443, 5000, 5001 et quelques autres correspondants aux applications sur le NAS. J'ai donc crée la même règle pour le réseau privé en 10.X.X.X, ce qui fonctionnait très bien pour accéder réseau interne (au moins les interfaces http) mais bloquait tout traffic sortant sur internet.

Dans mes souvenir d'il y a environ 20 ans, il était possible de définir sur les systèmes Unix des règles pour les plages source et destination. J'ai l'impression que sur les syno, il n'est pas possible de le faire (uniquement source). Est-il possible de définir une règle passante pour les flux sortant et limiter les ports à destination du NAS ?

Merci d'avance.

[wyp]

Bonjour, 

 

Je sais, c'est mon premier message après ma présentation, mais là, je bute un peu.

Mon but est de monter les dossiers partagés de mon NAS DS218Play sur un Mac distant. En local, cela fonctionne très bien. Quickconnect fonctionne aussi très bien de l'extérieur pour l'accès à DSM. Mais évidement, j'aimerais pouvoir aussi monter mes dossier partagé comme disque réseau quand je suis en déplacement.

Apparement, pour que je puisse me connecter à mon NAS quand je suis en déplacement, il faut mieux utiliser un VPN (une connection directe n'est pas possible ?)

J'ai bien lu le Tuto en debut de Topic (merci beaucoup à , mais je bute sur un point: Le Client VPN. Le lien du Tuto me dirige vers l'AppStore qui n'héberge que des Clients pour IOS. En cherchant à la main des client VPN Mac, je ne tombe que sur des VPN avec abonnement. Existe t-il des Clients VPN gratuit pour Mac ?

 

 

[Jeff777]

Bonjour @wyp

J'utilise VPN serveur de mon syno avec openvpn. Le cient "openvpn connect" est gratuit pour Windows et Android,  il existe aussi pour MACOS.  

https://openvpn.net/vpn-server-resources/installation-guide-for-openvpn-connect-client-on-macos/

Modifié le 27 juin 2019 par Jeff777

[wyp]

Super Jeff, j'avais un peu de mal à trouver ce lien ! Merci beaucoup, je tente ça de suite 🙂

[wyp]

Bon, je vais avoir l'air franchement idiot, mais tant pis... :

Sur le lien que tu m'as donné, je suis bloqué dès la première ligne orange "Navigate to the OpenVPN Access Server client web interface.". Il y a bien une image, mais je n'ai aucune idée de comment arriver là...

Donc je n'arrive même pas à accéder au téléchargement du client.

 

 

Modifié le 27 juin 2019 par wyp

[Jeff777]

Il faut créer un compte je pense.Je ne l'ai jamais fait pour MACOS. 

.  

[wyp]

J'ai enfin trouvé la page pour télécharger la version Mac :). Merci Jeff.

[Silverhawk82]

Le 27/06/2019 à 19:37, wyp a dit :

Bonjour, 

Je sais, c'est mon premier message après ma présentation, mais là, je bute un peu.

Mon but est de monter les dossiers partagés de mon NAS DS218Play sur un Mac distant. En local, cela fonctionne très bien. Quickconnect fonctionne aussi très bien de l'extérieur pour l'accès à DSM. Mais évidement, j'aimerais pouvoir aussi monter mes dossier partagé comme disque réseau quand je suis en déplacement.

 

 

Je sais pas si ça peut répondre à la question mais sur mac je fais comme ceci:

Dans Préférence système > Réseau tu crées une connexion VPN pour te lier à ton NAS tu établi la connexion, tu peux ensuite aller dans Finder > Aller >  Se connecter au serveur et tu indiques afp://0.0.0.0

0.0.0.0 correspondant à l'adresse IP dynamique que tu retrouveras dans ta config. du paquet VPN serveur de ton NAS

Ainsi tu ouvriras les dossiers partager dédiés à l'utilisateur que tu renseigneras lors de la demande du Finder...

bàt. 

Modifié le 4 juillet 2019 par Silverhawk82

[Minnicoffee]

Bonjour tout le monde 🙂 !

Je vais sans doute me faire taper sur les doigts par @Fenrir  (que je remercie toutefois infiniement pour ses tutos, tous aussi géniaux les uns que les autres), car j'ai du louper quelque chose.. 😅 (malgré plusieurs lecture, pour sûr)

Je dispose d'un NAS SYNOLOGY 718+ ainsi qu'un routeur RT2600AC.

Après être passé par des ouvertures de ports pour que depuis internet, mon sous-domaine : xx.domaine.xx redirige sur le NAS et dans le même temps configuré le Local DNS pour qu'en local ça fonctionne avec le même domaine.. (tout fonctionnait à merveille) J'ai décidé de tout arrêter au profit du réseau local uniquement + VPN.

Le nouveau "domaine" sera désormais : nas.domaine (pour le nas) et routeur.domaine (pour le routeur) et accessible uniquement en local ou via le VPN.

Le VPN (VPN Server Plus), configuré directement sur le routeur, marche quasi parfaitement :

• J'arrive bien à accéder au réseau à distance (nas, routeur, etc.) avec les IP (10.X.X.X.)
• l'adresse IP publique est bien l'IP publique de mon routeur et non celle de ma connexion distance

Cependant.. Je ne parviens pas à accéder au réseau avec le domaine (https://routeur.domaine), comme-ci le VPN ne lisait pas le Local DNS qui est configuré comme suit :

 

Configuration du fichier .OVPN :
 

dev tun
tls-client

remote **IPMASQUEE** **DOMAINEMASQUE**

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto tcp-client

script-security 2


reneg-sec 0

auth SHA256

cipher AES-256-CBC

auth-user-pass


key-direction 1

comp-lzo
<ca>

-----BEGIN CERTIFICATE-----
**KEYMASQUEE**
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
**KEYMASQUEE**
-----END CERTIFICATE-----
</ca>

<tls-auth>

#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
**KEYMASQUEE**
-----END OpenVPN Static key V1-----
</tls-auth>

 

ÉDIT: Après m'être connecté en local, j'ai l'impression que les clients ne parviennent pas à communiquer avec le DNS Server..

Pourtant, je pense que le routeur est bien configuré ? 
ôtez-moi d'un doute.. le DNS  Server installé sur le routeur est bien sa propre adresse IP ? 

Pensez-vous pouvoir m'aider ?

 

Merci par avance et belle journée 🙂

Modifié le 19 juillet 2019 par Minnicoffee
cf : « EDIT »

[Minnicoffee]

Hello tout le monde,

Problème résolu; tellement d'erreurs de configuration, qu'expliquer ne servirait à rien. En gros, bien lire les tutos et .. ouvrir le port du DNS Server 🙂

[Zupertramp]

Bonjour, 

je viens de suivre le tuto pour la mise en place d'un vpn et, lu les 24 pages du tuto intégralement dans l'espoir de trouver une réponse à mon probleme.

J'ai un serveur VPN ( NAS batiment A ) et un client ( NAS batiment B ).  J'ai configuré mon vpn et ouvert tout les ports nécessaire. Depuis mon gsm, je suis capable de me connecter à mon vpn en PPTP ou OpenVpn.

Depuis un pc dans un batiment C, je suis également capable de me connecter en vpn ( PPTP et OpenVpn ). 

J'imagine que, si j'arrive à me connecter avec un gsm et un pc, tout les 3 sur 3 réseaux différents, le vpn et les ports doivent etre correctement configuré.

Maintenant, mon probleme est que, je n'arrive pas à connecter mon NAS ( Batiment B ) au VPN ( batiment A ) en utilisant OpenVpn. J'ai meme changé les ports ( passé au 443 ) et regénéré le certificat. Mais rien n'y fait.

J'ai toujours le meme message : la connection a échoué ou le certificat a expiré.

Je traine avec ce probleme depuis 10 jours et une aide sera grandement apprécié.

Merci d'avance.

 

[Thierry94]

Tu n'aurais pas ton adresse ip bloquée ?

[Zupertramp]

C'est à dire? Il n'y a que le NAS qui ne passe pas. Je n'ai rien spécifié dans ma table de routage pourtant. Le firewall de ma Bbox est sur low et celui de mon nas est désactivé ( pour etre sur ).

 

[Kramlech]

Bonjour

J'ai une petite question, qui se rapporte plutôt à Windows 10, mais je la pose quand même.

Voila, j'ai défini un VPN (I2TP/IPSEC) sur mon NAS, et il fonctionne parfaitement car je peux m'y connecter sans problème depuis un MacBook ou un iPhone.

Mais la connexion est impossible depuis une machine Windows 10 (et même depuis 2 machines ...).

Ce qui n'est pas cohérent avec le fait que, en utilisant la même connexion, mon MacBook se connecte !!!!

Je suppose donc qu'il doit y avoir un petit paramètre mal configuré sur mes machines Windows, mais lesquels ? Si quelqu'un à une idée, je suis preneur ...

PS : je précise que j'ai fait le test en désactivant le pare feu windows ....

Merci d'avance

[Lion1313]

Kramlech, création de la clef dans la base de registre DWORD à 2 ?

[Kramlech]

Tu peux me donner plus d’explications, stp ?

[bruno78]

Bonjour,

ne pas oublier de modifier le registre windows :

Si votre NAS est derrière un routeur-NAT (une box par exemple), il faut créer la valeur de registre suivante : https://support.microsoft.com/en-us/kb/926179

    Clef : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
    Valeur DWORD32 : AssumeUDPEncapsulationContextOnSendRule
    Donnée de la valeur : 2
    et on reboot le PC

 

Je pense que cela devrait régler ton problème.

 

[Kramlech]

Aie Aie Aie, je suis confus ...

J'avais sauté cette partie du tutoriel.  Pour ma décharge, quand j'ai crée le VPN, en suivant le tuto, c'était initialement pour y accéder depuis un MacBook. Et tout a fonctionné nickel du premier coup. Ce n'est que dans un deuxième temps que j'ai voulu y accéder depuis un poste Windows, et je n'ai pas relu le tuto ...

Donc, mon problème venait bien de là !!!

Merci, maintenant tout fonctionne ...

[jp031]

Bonjour,

Dans le tuto sur la partie "OpenVPN" il est écrit :" : il faut autoriser la connexion VPN et le trafic VPN." 

Comment fait on pour autoriser "le traffic VPN" ?

je ne vois pas ou je ne comprends ce qu'il faut faire. Je ne vois pas l'option dans VPN Server et avec mon smartphone Android et OpenVPV je me connecte bien sur le serveur VPN mais il n'y a aucun débit; ça ne circule pas

[jp031]

il y a une heure, jp031 a dit :

Bonjour,

Dans le tuto sur la partie "OpenVPN" il est écrit :" : il faut autoriser la connexion VPN et le trafic VPN." 

Comment fait on pour autoriser "le traffic VPN" ?

je ne vois pas ou je ne comprends ce qu'il faut faire. Je ne vois pas l'option dans VPN Server et avec mon smartphone Android et OpenVPV je me connecte bien sur le serveur VPN mais il n'y a aucun débit; ça ne circule pas

J'ai enfin trouver, si je peux me permettre ça serait bien de mettre à jour le tuto sur la partie client "OpenVPN" pour ANDROID et IPAD car en l'état actuelle des choses ça ne fonctionne pas ou je ne l'ai pas vu dans le tuto. Pour que ça marche il faut ouvrir le fichier VPNConfig qui vient de l'exportation de la configuration dans le DSM Open VPN et il faut aller à cette commande " #redirect-gateway def1" et supprimer le "#" ça donne ça "redirect-gateway def1"  et le traffic passe dans le VPN , sur Android dans les options OpenVPN Connect on peut bloquer les connexions sans VPN , ce qui permet d’être sur à 100% que l'on passe dans le VPN, sinon, on est connecté au VPN mais le traffic ne passe pas  dedans il passe par le chemin normal. Je trouvais bizarre qu'au début je n'avais aucun débit sur l'interface client sur Android de OpenVPN et pourtant j'étais connecté sur le VPN maintenant j'ai compris.

Je rajoute que dans le fichier VPNConfig dans "remote xxxxxx.synology.me 1194" lorsque l'on met son adresse DDNS il ne faut pas mettre http:// si non ça ne marche pas

Voila après une journée de recherche et de test ça fonctionne enfin avec le DS218+

[Johnson]

Salut et merci pour ce tuto. Ca m'a permis de comprendre bon nombre de choses qui j'ignorais.

Avec l'autre tuto j'ai aussi pu configurer mon serveur DNS.

Mais aujourd'hui je vous contacte car j'ai 2-3 questions et les 24 pages (que j'ai lu intégralement) n'y font, me semble t-il, pas mention.

Pour commencer, le VPN fonctionne. J'ai une connexion VPN et l'adresse IP correspond à l'adresse IP publique où se trouve le NAS. L'option redirect-gateway def1 est donc décommenté. Cependant, comme on peut le voir sur l'image ci-dessous, j'obtiens des erreurs à la chaine lorsque je suis sur certains site. Dans cette exemple j'étais sur youtube...

Je sais pas trop ce que ça implique...

****

Le second problème, où plutôt la question, concerne le fichier de configuration .ovpn, plus précisément la ligne #dhcp-option DNS DNS_IP_ADDRESS. Si j'ai bien suivi, le client prend par défaut le DNS du lieux où il est connecté (si ce paramètre est commenté). Mais alors, si je décommente cette ligne, et que mon serveur DNS est 192.168.1.25 (par exemple), il y a-t-il un risque d'avoir un conflit avec les périphériques sur le réseau local du client ?

Merci pour vos réponses

[Marjomax]

Le 13/08/2016 à 17:13, Fenrir a dit :

MacOS :

 

Synology :

Configuration :

• Il faut créer un nouveau profil réseau dans les paramètres :
• 
• Sur le 3ème écran, ne cochez pas la première case sauf si vous savez ce que vous faites
• Vos 2 nas pourront alors discuter entre eux directement en utilisant les adresses de terminaison en 10.2.0.x (pour faire une sauvegarde distante par exemple)

 

Bonjour,

Je n'ai pas compris cette partie du tuto. Pourquoi cela parle tout d'un coup de 2 NAS ? Faut-il vraiment créer ce profil sur mac ?

Dans le champ "server adress" c'est l'adresse du VPN qu'il faut mettre : genre 10.x.x.x ?

Merci - Bon dimanche 😉

 

Modifié le 1 septembre 2019 par Marjomax