Aller au contenu

[TUTO] VPN Server


Fenrir

Messages recommandés

@ Marjomax

C'est simplement dans le cas où tu souhaiterais connecter via VPN deux NAS Synology, par exemple pour sauvegarder le NAS du site A vers le site B.

Ces captures d'écran ont été prises dans le Panneau de configuration, Réseau, Interface réseau si ma mémoire est bonne.

Tu ne doit pas passer par cette étape si tu veux simplement connecter ton PC au serveur VPN du NAS.

A mon tour les questions 🙂

QUESTION 1 :
Pourquoi je ne parviens pas à me connecter à mon serveur VPN L2TP/IPSec avec l'IP publique mais je parviens à me connecter avec comme adresse le nom de domaine ?

Sachant ceci :

Le 13/08/2016 à 17:13, Fenrir a dit :

nb : par défaut c'est le serveur DNS configuré dans votre NAS qui est utilisé, mais vous pouvez le changer si besoin (attention, certains clients n'en tiennent pas compte)

 

Le 13/08/2016 à 17:13, Fenrir a dit :

Si votre client vous demande de renseigner une adresse de serveur, c'est l'adresse Internet de votre box qu'il faut saisir. Dans certains cas on peut utiliser un nom DNS, mais ce n'est pas recommandé.

A la fin du Tuto il est écrit ceci :

Le 13/08/2016 à 17:13, Fenrir a dit :

Personnellement je fais ceci :

  • à la maison : http://<nom de domaine>:5000
  • depuis Internet : http://<nom de domaine>:5000
  • via le VPN : http://<nom de domaine>:5000 (peu importe mes routes)

Est-on forcé d'indiquer le port ? Et si je vais un reverse proxy vers le port 443 ?

J'ai bien vu les informations ci-dessous mais je ne vois pas vraiment comment faire ...  Idéalement faire un capture d'écran.

Le 13/08/2016 à 17:13, Fenrir a dit :

Le plus propre et de loin le plus efficace c'est de configurer votre serveur DNS pour gérer les "vues" (view) : vous demandez simplement à BIND de donner la bonne réponse en fonction de l'adresse IP du client :

  • si le client a une IP qui vient d'Internet on renvoi l'adresse de la box
  • si le client a une IP qui vient du LAN on renvoi l'adresse du NAS
  • si le client a une IP qui vient du VPN on renvoi l'adresse de terminaison du NAS

Tout ce qu'il reste à faire c'est d'indiquer au client d'utiliser votre serveur DNS :

  • à la maison : via votre DHCP
  • depuis Internet : rien à faire normalement
  • via le vpn : en le configurant comme indiqué plus haut

Infos :

  • IP publique fixe
  • Serveur DNS
  • Hébergement serveur mail et serveur web
  • Router ne supportant pas le loopback

QUESTION 2 :
Dans le cas où je me trouverais sur le réseau local ou se trouve le NAS précité, comment puis-je faire pour ne pas avoir à modifier l'adresse de destination dans les paramètres du client et tout de même pouvoir me connecter au serveur VPN ?

 > Devrais-je créer une Zone Master dans le serveur DNS et créer une ressource de type A avec comme contenu : adresse IP publique > adresse IP LAN NAS ?

image.png

image.png

image.png

Modifié par Johnson
Lien vers le commentaire
Partager sur d’autres sites

Il y a 14 heures, Johnson a dit :

@ Marjomax

C'est simplement dans le cas où tu souhaiterais connecter via VPN deux NAS Synology, par exemple pour sauvegarder le NAS du site A vers le site B.

Ces captures d'écran ont été prises dans le Panneau de configuration, Réseau, Interface réseau si ma mémoire est bonne.

Tu ne doit pas passer par cette étape si tu veux simplement connecter ton PC au serveur VPN du NAS.

Merci 😉

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Bonjour à tout le monde,

J'ai bel et bien suivi le tutorial, (connexion VPN entre deux NAS distants), ça fonctionne sans problème en L2TP.

Afin de mettre les choses dans leurs contextes, voici ma situation
Actuellement, j'ai deux NAS (DS718+ et DS114), les deux sont sur deux sites différents, le deuxième a pour vocation de sécuriser les données (backup).

Concernant ce dernier, il sera donc en dehors de mon réseau local (héberger chez un ami).

Vu sa gentillesse d’accepter d’héberger le NAS ainsi que de profiter de sa bande passante, il est normal que je lui propose aussi son utilisation.
Il aura un accès via HTTPS au NAS via un nom de domaine dédier, aucun accès administrateur, uniquement USER sur des dossiers dédiés, ainsi qu’un backup vers mon NAS concernant ses données privées (HyperBackup ?)

 

Ma question, les deux NAS étant connectés en VPN (serveur VPN hosté chez moi sur mon routeur Unifi USG), je voudrais m’assurer qu’en cas de failles ou piratages sur le réseau de mon pote, de me protéger et d’éviter que mon réseau et mon local network ne soit accessible.

Quelles seraient vos conseils afin d’éviter ce type de désagréments ?

 

Merci beaucoup et bonne journée.

Lien vers le commentaire
Partager sur d’autres sites

A mon tour, j'explique un peu mon problème...

Mon DS218+ est branché sur un routeur 4G Huawei b523 avec une sim Free illimité, car la connexion adsl chez moi est pourrie... j'upload énormément de photos (20000 a l'heure actuelle) donc il me fallait un upload relativement rapide.

Le but de tout ça est que mes parents, ma conjointe et moi même puissions accéder au NAS dans l'explorateur Windows. Enfin, pas pour moi perso mais plutôt pour mes parents qui sont novices en la matière.

En gros, il faudrait qu'ils puissent y accéder comme ci ils étaient sur des dossiers locaux (icones du NAS qui apparait, double clic, différents dossiers d'images ect...). j'ai pensé premièrement à Google. Bon, question vie privée, j'en passe. J'ai donc pensé au VPN (gratuit de préférence), OpenVPN. Je suis novice pour ça, j'ai des notions, bien sur, DNS, IP, redirection ect...  LE souci, c'est que l'ip de mon routeur 4G n'est pas fixe, forcément.

J'ai donc, dans les paramètres d'OpenVPN, au lieu de noter l'ip dans "remote", j'ai noter mon adresse quickconnect (ai je bien fait ?). Dans les logs, je vois bien qu'à chaque tentative de connexion, l'ip change, ça veut dire que je ne me suis pas trompé ? Enfin bref.... bah ça va pas quand même !

J'ai laissé volontairement les 2 ips pour que vous voyez que ça change bien automatiquement. Bien sur, je pense bien avoir redirigé le port 1194 vers l'ip du syno...

J'ai mal fait, mais ou ?

 

merci a vous.

Sans titre.png

Modifié par erron
Lien vers le commentaire
Partager sur d’autres sites

Le ‎10‎/‎10‎/‎2019 à 10:41, Dimebag Darrell a dit :

Bonjour à tout le monde,

J'ai bel et bien suivi le tutorial, (connexion VPN entre deux NAS distants), ça fonctionne sans problème en L2TP.

Afin de mettre les choses dans leurs contextes, voici ma situation
Actuellement, j'ai deux NAS (DS718+ et DS114), les deux sont sur deux sites différents, le deuxième a pour vocation de sécuriser les données (backup).

Concernant ce dernier, il sera donc en dehors de mon réseau local (héberger chez un ami).

Vu sa gentillesse d’accepter d’héberger le NAS ainsi que de profiter de sa bande passante, il est normal que je lui propose aussi son utilisation.
Il aura un accès via HTTPS au NAS via un nom de domaine dédier, aucun accès administrateur, uniquement USER sur des dossiers dédiés, ainsi qu’un backup vers mon NAS concernant ses données privées (HyperBackup ?)

 

Ma question, les deux NAS étant connectés en VPN (serveur VPN hosté chez moi sur mon routeur Unifi USG), je voudrais m’assurer qu’en cas de failles ou piratages sur le réseau de mon pote, de me protéger et d’éviter que mon réseau et mon local network ne soit accessible.

Quelles seraient vos conseils afin d’éviter ce type de désagréments ?

 

Merci beaucoup et bonne journée.

Un conseil ou une idée, ?

Lien vers le commentaire
Partager sur d’autres sites

Tu as bien routé le port 1194 en UDP de ton routeur 4G vers le NAS ?
Concernant quickconnect le mieux serait de l'abandonner et de prendre un nom de domaine par exemple .ovh chez ovh et utiliser leur dyndns cela ne te couteras que quelques euros par an.

Modifié par Thierry94
Lien vers le commentaire
Partager sur d’autres sites

Il y a 4 heures, Thierry94 a dit :

Tu as bien routé le port 1194 en UDP de ton routeur 4G vers le NAS ?
Concernant quickconnect le mieux serait de l'abandonner et de prendre un nom de domaine par exemple .ovh chez ovh et utiliser leur dyndns cela ne te couteras que quelques euros par an.

Oui, j'ai bien ouvert les ports.

Je viens de changer mon syno de place et je l'ai branché sur ma freebox, qui elle, est en ip fixe. J'ai refait le tuto à la lettre, mais rien à faire, j'ai toujours la même erreur. Pourtant, j'ai bien mis en IP "mon adresse ip publique (celle de ma box) 1194"

Une idée ?

Modifié par erron
Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous,

Je vous fait parvenir un petit problème technique et j'aurait besoin d'un oeil ou plusieurs avertit sur le sujet,

Je souhaite monter une liaison VPN chez un client qui possède une ligne fibre orange, j'ai bien fait la redirection de port 500 et 4500 en UDP directement sur la LiveBox et l'ouverture de porte 1701,500 et 4500 dans le pare-feu du Synology,

En paramétrant le client Mac en L2TP IP Sec, j'ai le VPN qui fonctionne bien, il me dit connecté, mais je n'arrive pas à accéder à internet quand l'option "tout le trafic sur le VPN" est coché.

De même l'option coché ou pas, impossible de me connecter par ailleurs sur le NAS distant.

 

Quelques infos en plus si cela peut vous aider.

 

- Accès en SMB ou nom du serveur "nastico" chez le client fonctionne parfaitement.

- Le client source possède une plage d'IP 192.168.1.xxx ainsi que le client final 192.168.1.xxx

 

Pensez vous que cela puisse être due ?

 

Merci à tous et bonne journée

Lien vers le commentaire
Partager sur d’autres sites

Le 22/10/2019 à 07:53, diabla a dit :

- Le client source possède une plage d'IP 192.168.1.xxx ainsi que le client final 192.168.1.xxx

Bonjour,

Je pense que ça c'est pas possible, ton ordinateur a une adresse 192.168.1.X et sait que pour aller sur internet il s'adresse à sa passerelle qui par exemple est une Livebox en 192.168.1.1, il a donc une instruction "route" précise : 192.168.1.X 255.255.255.0 192.168.1.1

Quand il se connecte au réseau distant en VPN, il récupère aussi une adresse en 192.168.1.X, donc il continue d'utiliser son instruction "route" d'origine.

J'ai eu ce cas pour des accès Open VPN, et je l'ai résolu en ajoutant une ligne dans le fichier .ovpn :

route 192.168.1.0 255.255.255.0 vpn_gateway

Ca remplace la route originale du client tout le temps qu'il est connecté en VPN, et il faut bien cocher "tout le trafic en vpn" pour que ça fonctionne.

Lien vers le commentaire
Partager sur d’autres sites

Hello !

Pour ceux qui ont des pb pour se connecter via OpenVPN et tel en 4G Bouygues c'est à dire : on parvient à se connecter avec le VPN mais on ne peut rien faire : pas d’accès au nas, ni web...

Après avoir lu le tuto et les pages de commentaires, il ne me semble pas l'avoir vu mais la solution est de passer en TCP et non UDP... si ça peut vous faire économiser du temps 😄 j'ai eu du mal à trouver...

Lien vers le commentaire
Partager sur d’autres sites

Hello,

Merci de vos réponses

Donc l'idéal sans trop ce casser la tête c'est que le client qui possède le serveur passe une plage d'IP en 192.168.5.xx par exemple ?

Par default des mes réglages de VPN, j'ai laissé l'IP proposé par Synology ( Plus bas sur la première capture )

Comment je peux rajouter une route ? je suis un peu perdu

Merci à vous deux !

 

Capture d’écran 2019-10-23 à 22.19.47.png

Modifié par diabla
Photo en plus
Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous,

tout d'abord je voulais remercier Fenrir pour son excellent topic.

Ensuite, j'avais une question vraiment basique de chez basique.

J'ai créé un serveur OpenVPN entre pour faire une sauvegarde Hyperbackup entre deux NAS.

NAS 1

- serveur VPN

- contient les fichier à sauvegarder 

NAS 2

-Client VPN

- dossier cible de la sauvegarde

 

Dans Hyper backup j'ai bien renseigné l'adresse IP du client VPN (10.182.xx.xx), tout semble bien se dérouler. Dans les connexion réseau du NAS 2 j'ai bien la connexion VPN, je n'ai rien sur le NAS 1 (contenant le serveur). D'où ma question : les données transitent-elles bien par le VPN ou faut-il que je connecte mon NAS 1 au serveur ?

Merci d'avance 

 

Christophe 

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...

Bonsoir,

l'idée du VPN est encore un peu obscur pour moi alors je me renseigne avant de franchir le pas 🙂

J'ai lu pas mal de pages du topic (pas toute car y'en a beaucoup )

pour résumer :

je suis chez moi pour accéder au NAS : il faut juste entrer une adresse ip 192.168.X.X ?

Je suis a l’extérieur sur mobile puis je accéder au DS files, photo, video ... ?

Je suis à l’extérieur sur pc pour accéder au NAS, je lance le VPN "configuré" sur le pc et je me connecte avec une adresse en MonNas.synology.me ?

Je souhaite partager un fichier sur le NAS à une personne à l’extérieur ? est-ce possible ?

Si j'utilise OpenVPN, un autre utilisateur (du nas) de OpenVPN peut il l'utiliser en même temps ?

Merci de m'éclairer un peu 🙂

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Je pense qu'en parlant de VPN tu veux parler de l'application VPN serveur de Synology.

Cette application te permet d te connecter à ton NAS depuis l'extérieur en toute sécurité.

En fait elle établit une sorte de tunnel  entre le périphérique extérieur et le NAS. Sur le NAS est installé VPN serveur et sur le périphérique externe une application client. 

Personnellement j'ai configuré openVPN  sur VPNserveur et  j'utilise les applis clients openvpn GUI sur mon PC et openVPN sur tablette Android.

En plus de pouvoir dialoguer avec le NAS en toute sécurité tu te trouves sur ton réseau local tu peux donc accéder à certains périphériques locaux avec l'adresse locale en 192.168.x.x.

il y a 30 minutes, dimgod59 a dit :

je suis chez moi pour accéder au NAS : il faut juste entrer une adresse ip 192.168.X.X ?

Oui avec le port qui va bien. Pas besoin de VPN pour cela.

il y a 31 minutes, dimgod59 a dit :

Je suis a l’extérieur sur mobile puis je accéder au DS files, photo, video ... ?

Tu n'as pas non plus besoin de VPN pour cela. Tu utilises les applications clients DSfile, DSphoto etc... en SSL.

il y a 34 minutes, dimgod59 a dit :

Je suis à l’extérieur sur pc pour accéder au NAS, je lance le VPN "configuré" sur le pc et je me connecte avec une adresse en MonNas.synology.me ?

VPN serveur configuré sur le NAS, application clent VPN lancée sur PC oui tu peux te connecter avec une adresse préalablement configurée MonNas.synology.me

il y a 38 minutes, dimgod59 a dit :

Je souhaite partager un fichier sur le NAS à une personne à l’extérieur ? est-ce possible ?

Oui il y a plusieurs méthodes. Si par exemple tu crées un profile utilisateur pour cette personne, tu peux créés des dossiers partagés avec elle.

il y a 39 minutes, dimgod59 a dit :

Si j'utilise OpenVPN, un autre utilisateur (du nas) de OpenVPN peut il l'utiliser en même temps ?

Il faut télécharger une application client et la configurer avec un fichier exporté de VPN serveur du NAS.

Mais je ne pense pas que cette méthode soit bonne car tu ouvres ton réseau local à cette personne.

Il vaut mieux rester sur la méthode précédente et bien configurer les privilèges.

Limite l'usage du VPN a ton propre usage.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Après avoir suivi les tutos de sécurisation du NAS et de VPN Server, je commence à être fier de ce que j'ai pu mettre en place, un grand merci à vous!!

En revanche je bute encore sur un point que je vais tenter d'expliquer :

Alors déjà le contexte :

  • Je n'autorise les connexions à mon NAS via l'extérieur qu'uniquement en HTTPS sur le port 443.
  • Sur ma livebox j'ai ouvert uniquement les ports : 443, 80 pour la maj de mon ip pour le nom de domaine, 32400 pour Plex et 1194 pour OpenVPN
  • J'accède à mes différents services via des sous domaines (ex: https://audio.mondomaine.fr)

J'ai voulu bloquer certains services qu'en local ou en VPN, et ca là que ca coince à moitié.

Typiquement, je souhaiterais que l'accès a DSM (via l'URL https://dsm.mondomaine.fr) ne se fasse qu'en local (depuis 192.168.1.x) ou depuis le VPN (10.8.0.X).

J'ai donc créé un profil de contrôle d'accès :

 image.png.538c710f5f77073b60f456569474bbbd.png

Le problème est que pour résoudre l'URL https://dsm.mondomaine.fr, la requête passe par l'extérieur et j'atteins donc mon NAS via mon IP publique et non locale....

La solution vers laquelle je me suis dirigé à été de mettre en place DNS Server, d'enregistrer dns.mondomaine.fr vers l'ip locale (ainsi que les autres services).

Dans la configuration d'OpenVPN, j'ai précisé d'utiliser mon NAS comme serveur DNS et en VPN ca marche nickel!

En revanche, en local, je n'ai pas trouvé de solution... car je ne veux pas configurer tout mes appareils pour utiliser tout le temps le serveur DNS de mon NAS (surtout mon PC du boulot, et donc ne souhaite pas non plus modifier mes fichiers hosts), et utiliser le VPN alors que je suis sur le même réseau, c'est un peu pénible je trouve...

J'ai voulu configurer ma livebox pour utiliser mon serveur DNS, mais ce n'est pas possible (grrrrr orange....). Toujours dans cette livebox, je peux forcer un nom de domaine pour un appareil, mais uniquement un. Donc si je défini dsm.mondomaine.fr à mon NAS ca marche, mais je ne peux pas mettre plusieurs sous domaines...

Bref, voilà où j'en suis... Si vous avez des propositions, conseils ou retours d'exp, je suis tout ouïe!

Merci à vous!

 

Question bonus: vu que j'utilise déjà le port 443 pour tout mes services, je ne peux pas le réutiliser pour OpenVPN? cela me permettrait de le faire fonctionner depuis n'importe quel réseau d'entreprises, d'hotel ou autre... 

Lien vers le commentaire
Partager sur d’autres sites

il y a 49 minutes, Thesalan a dit :

En revanche, en local, je n'ai pas trouvé de solution... car je ne veux pas configurer tout mes appareils pour utiliser tout le temps le serveur DNS de mon NAS (surtout mon PC du boulot, et donc ne souhaite pas non plus modifier mes fichiers hosts), et utiliser le VPN alors que je suis sur le même réseau, c'est un peu pénible je trouve...

Si vos PC sont en dhcp, ce n'est qu'une question de paramétrage de votre NAS et de votre routeur. Lorsque vous êtes sur votre réseau local, ce sont les adresses DNS de votre routeur qui sont prises en compte. Il faut donc indiquer dans votre routeur l'adresse IP du NAS comme DNS principal et l'adresse d'un DNS externe en tant que secondaire, et dans les réglages réseaux du NAS, l'adresse IP du NAS comme principal et celle du routeur pour le secondaire.

Je vous dis ça, mais je ne connais pas les bouses d'orange. Je sais qu'elles sont plus ou moins bridées, ce qui complique grandement les paramétrages fins.
Le plus simple dans ce cas, c'est de passer en mode bridge et d'utiliser son propre routeur.

Oui, vous pouvez utiliser le port 443 en lieu et place du 1194 pour OpenVPN. Il suffit de le paramétrer dans le NAS et de modifier le port dans le fichier de conf. Ca ne garantira pas que vous puissiez vous connecter si le routeur de la dite entreprise est suffisamment intelligent pour détecter un trafic VPN.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.