Aller au contenu

[TUTO] VPN Server


Fenrir

Messages recommandés

Merci pour ta réponse Mic13710.

Hélas, la livebox ne permet pas de modifier le DNS (forcé sur ceux de Orange, pas le choix grrrrr). Concernant l'utilisation d'un vrai routeur, je n'en ai pas sous la main, et encore une fois merci Orange, car le mode bridge n'est pas non plus disponible... Heureusement que leur fibre à 1go carbure sinon...

Pour OpenVPN et le port 443, quand je l'avais activé je n'arrivais plus à accéder à mes autres services... j'ai du louper un truc!

Modifié par Thesalan
Lien vers le commentaire
Partager sur d’autres sites

il y a 32 minutes, Thesalan a dit :

Pour OpenVPN et le port 443, quand je l'avais activé je n'arrivais plus à accéder à mes autres services... j'ai du louper un truc!

Mon VPN fonctionne sans problème sur le 443. C'est d'ailleurs indiqué comme étant une possibilité dans le tuto de Fenrir. On peut très bien passer en UDP si le serveur distant le permet.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, Thierry94 a dit :

A défaut tu peux associer ton nom de domaine a ton NAS dans la partie DNS de la livebox

En effet, dans la section DNS j'ai ajouté mondomaine.fr comme nom DNS à mon NAS, mais le souci est que je souhaite accéder à mes services via un sous domaine (dsm.mondomaine.fr, audio.mondomaine.fr...) et via un nslookup je peux voir que mondomaine.fr point bien sur l'ip locale, mais pas les sous domaines.

 

Il y a 1 heure, Mic13710 a dit :

Mon VPN fonctionne sans problème sur le 443. C'est d'ailleurs indiqué comme étant une possibilité dans le tuto de Fenrir. On peut très bien passer en UDP si le serveur distant le permet.

Lorsque je défini OpenVPN sur le port 443 j'ai le message suivant qui s'affiche :

image.png.b92525528c8d8baed8be09e29a4013b7.png

Et en effet, après validation tout mes services utilisant le port 443 ne sont plus accessibles (et je les aies tous configurés en https avec le reverse proxy)

Lien vers le commentaire
Partager sur d’autres sites

Etrange. Je ne vois pas comment openVPN pourrait réserver le 443 pour son seul usage. J'ai un NAS que j'ai paramétré sur le 443 pour openVPN et le reverse proxy qui utilise le 443 fonctionne aussi. Par contre, je n'utilise pas web station sur ce NAS.

Le reverse proxy ne fait que rediriger vers les ports des différents services en fonction du ndd.

Lien vers le commentaire
Partager sur d’autres sites

Le 24/11/2019 à 17:55, Mic13710 a dit :

Etrange. Je ne vois pas comment openVPN pourrait réserver le 443 pour son seul usage. J'ai un NAS que j'ai paramétré sur le 443 pour openVPN et le reverse proxy qui utilise le 443 fonctionne aussi. Par contre, je n'utilise pas web station sur ce NAS.

Le reverse proxy ne fait que rediriger vers les ports des différents services en fonction du ndd.

Complément d'info : si j'utilise le port 443 en UDP je n'ai pas ce message, c'est uniquement en TCP!

En revanche en UDP ca n'a pas l'air de fonctionner via la 4G de mon téléphone (réseau Sosh)...

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...
Le 23/10/2019 à 18:48, Axel_88 a dit :

Hello !

Pour ceux qui ont des pb pour se connecter via OpenVPN et tel en 4G Bouygues c'est à dire : on parvient à se connecter avec le VPN mais on ne peut rien faire : pas d’accès au nas, ni web...

Après avoir lu le tuto et les pages de commentaires, il ne me semble pas l'avoir vu mais la solution est de passer en TCP et non UDP... si ça peut vous faire économiser du temps 😄 j'ai eu du mal à trouver...

Merci !!!!!  j'ai aussi tourner en rond avant d'enfin tomber sur ton message 👍, il faudrait rajouter une note au poste de base sur ce problème potentielle.

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

j'ai oublié une chose sur le VPN : 🙂

Si je suis au boulot/amis/voisins sur un de leur PC comment je me connecte au DSM du NAS, de façon très ponctuel c'est a dire sans VPN installé dessus ? est ce possible ? par exemple pour télécharger un document ou pour enregistrer un document ?

Modifié par dimgod59
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

A tout hasard sous IOS, je me connecte en VPN au nas par le protocle IPSec/L2tp. jusque la aucun soucis je me déconnecte et je veux me reconnecter par exemple 10min plus tard, il m'est impossible de me reconnecter... (le serveur l2TP ne reponds pas)

Existe t'il un parametre a changer pour pas que cela garde en mémoire une connexion ? sachant que par defaut il y a 3 connexions possible sur le nes mais je suis limiter qu'a 1 seul sur le routeur (si j'ai bien lu le tuto ^^ )

Vous remerciant par avance.

Lien vers le commentaire
Partager sur d’autres sites

Le 09/12/2019 à 20:30, Darknesse a dit :

Merci !!!!!  j'ai aussi tourner en rond avant d'enfin tomber sur ton message 👍, il faudrait rajouter une note au poste de base sur ce problème potentielle.

Pour info, je suis en 4G Bouygues et ça fonctionne un UDP.

******************************************************************

Autre sujet :

Une fois connecté avec OpenVPN, lorsque je rentre l'ip de mon NAS (192.168.1.45) je tombe sur la page web de "mondomaine.fr"

Je suis obligé de mettre le port :5000 pour accèder à DSM.

 

ça me semble normal mais je souhaite confirmation, il me semble avoir lu dans le tuto qu'il suffisait de mettre "mondomaine.fr" pour accéder directement a l'interface de mon NAS....

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Bonsoir,

Je vous demanderais d'être indulgent également car je suis tout nouveau dans le monde Syno.

Alors moi j'ai suivi ce tuto et à ma grande surprise tout fonctionne --> J'ai accès au DSM à l'extérieur de par mon IP local 192.168.X.X.

Mais ce que je voulais, c'est d'y accéder par mon ddns  xxx.synology.me (je trouve ça beaucoup plus ludique même si non recommandé et même si j'ai une ip fixe.

Ma première série de questions est donc: Ou est-ce que je me suis loupé ? Il faut activer quelque chose quelque part? (Je suis en IPsec/L2TP)

Ma deuxième série de questions : Si je veux utiliser les applications mobiles à l'exterieur, est-ce qu'il faut que je me connecte au VPN car je trouve ça assez contraignant ? J'ai cru lire qu'il y a déjà du SSL sur ces applis en iOS mais est-ce bien le cas? 

Je dispose également d'un raspberry à la maison ou je fais tourner Domoticz. Pour ce besoin je route déjà le port 443 pour https. Ce port n'est donc plus disponible pour le Syno.

Est-ce que cela posera problème pour mes projets à venir? Je suppose que le Syno me demandera à un moment ou un autre d'ouvrir ce port?

 

Pour être plus générale je veux une utilisation sécurisée et saine pour accéder au DSM et administrer le NAS depuis l'extérieur --> Ca a priori c'est ok pour moi.

Mais je voudrais également utiliser le NAS à bon escient  (notamment en ce qui concerne les applis DS machin ) et avec une seule adresse à retenir --> xxx.synology.me et basta. C'est possible sans ouvrir le port 5001 ?

Merci beaucoup

Lien vers le commentaire
Partager sur d’autres sites

Salut,

On apprécie que les nouveaux membres se présentent avant de poster, il y a une section du forum qui y est dédiée.

Pour tes questions, plusieurs choses m'interpellent :

Il y a 11 heures, Bajoum a dit :

J'ai accès au DSM à l'extérieur de par mon IP local 192.168.X.X

Là tu es en train de dire que tu arrives à te connecter à ton VPN depuis le réseau local ? Ce n'est pas l'extérieur et ça n'a pas d'intérêt pour une utilisation classique.

Il y a 11 heures, Bajoum a dit :

Mais ce que je voulais, c'est d'y accéder par mon ddns  xxx.synology.me (je trouve ça beaucoup plus ludique même si non recommandé et même si j'ai une ip fixe.

Tu peux toujours configurer le DDNS Synology dans Panneau de configuration -> Accès externe, même si dans ton cas, avec une IP fixe, tu as plus intérêt à utiliser le paquet DNS Serveur de Synology.

Il y a 11 heures, Bajoum a dit :

Ma deuxième série de questions : Si je veux utiliser les applications mobiles à l'exterieur, est-ce qu'il faut que je me connecte au VPN car je trouve ça assez contraignant ? J'ai cru lire qu'il y a déjà du SSL sur ces applis en iOS mais est-ce bien le cas? 

Tu peux très bien exposer les services de ton Synology vers l'extérieur, même si de manière générale il faut essayer d'éviter.
Moi dans mon cas je rends accessible via navigateur et applications android tout ce qui touche au Multimedia, je réserve l'utilisation de Filestation et DSM au réseau local/VPN seulement.
C'est vraiment une question d'utilisation personnelle.
Typiquement au boulot je ne peux pas installer de VPN sur les PC, donc je suis obligé d'exposer mes services via SSL si je veux pouvoir y accéder.

Il y a 12 heures, Bajoum a dit :

Je dispose également d'un raspberry à la maison ou je fais tourner Domoticz. Pour ce besoin je route déjà le port 443 pour https. Ce port n'est donc plus disponible pour le Syno.

Est-ce que cela posera problème pour mes projets à venir? Je suppose que le Syno me demandera à un moment ou un autre d'ouvrir ce port?

La solution à ton problème s'appelle un proxy inversé (reverse proxy).
On a un tutoriel qui y est dédié

 

Lien vers le commentaire
Partager sur d’autres sites

Salut,

J'ai procédé à la présentation. Désolé de mon impatience.

Citation

Là tu es en train de dire que tu arrives à te connecter à ton VPN depuis le réseau local ?

Non, je parle bien de l'accès extérieur. J'ai bien compris qu'en local le VPN n'est d'aucune utilité.

Citation

Tu peux toujours configurer le DDNS Synology dans Panneau de configuration -> Accès externe, même si dans ton cas, avec une IP fixe, tu as plus intérêt à utiliser le paquet DNS Serveur de Synology.

J'ai déjà configurer le DDNS synology avec un certificat let's encrypt et en supprimant le certificat par défaut mais une fois connecté au VPN (pas dans mon LAN, je précise :)), hé bah, je n'ai pas accès au DSM via ce nom d'hôte. Pour accéder au DSM je suis obligé de rentrer l'IP local du NAS. Mais bon après tout pourquoi pas, je trouve que c'est plus simple de rentrer une URL avec le DDNS plutôt qu'une IP LAN.

Si possible je voudrais le faire comme ça surtout que j'ai cru lire que certain le faisait comme ça mais pour moi, ça ne marche pas.

A quoi va me servir le paquet DNS serveur dont tu parles?

Citation

de manière générale il faut essayer d'éviter

Je ne suis vraiment pas fan de la pratique d'ouverture à tout va. J'ai encore trop peu d'expérience pour me rendre compte de l'utilisation personnelle que j'aurai mais j'aimerais vraiment que ma config soit solide pour ne pas à avoir retoucher ça dans un futur plus ou moins proche en me rendant compte que je laisse des failles sur le système.

Citation

La solution à ton problème s'appelle un proxy inversé (reverse proxy)

Là on commence à rentrer dans le vif du sujet ou je vois que j'ai des grosses lacunes.

Je comprends bien à quoi ça sert mais je ne comprends pas comment je vais l'appliquer dans mon cas.

Je rappelle que j'ai un raspberry qui tourne indépendamment du syno. Sur ce raspberry j'ai installer domoticz avec un autre nom d'hôte (en duckDNS) cette fois.

Donc 2 domaines pour un seul port... mais qui va me redirigé où ?

Si je comprends bien là ou tu veux en venir (je suppose plus en fait), je supprime mon DDNS sur le raspberry et je laisse gérer le traffic par le serveur synology en reverse proxy. Mais où vais-je bien pouvoir mettre cette règle ? Dans les paramètres proxi inversé du DSM ?

S'il faut loué un nom de domaine pourquoi pas, je suis pas à 10 balles près mais je ne vois pas comment arrivé au résultat que je veux avec ce tuto

J'ai l'impression qu'il y a plusieurs possibilités  pour arriver à mes fins et que je cherche la bonne pratique (solide et efficace) d'où ma confusion...

Voilà comment je voyais les choses:

- Accès au syno en local --> Bon là rien à faire

- Accès au syno à l'extérieur --> Connexion VPN et roule ma poule (applications mobiles comprises). De toute façon, on va pas voir son contenu toute les 5 minutes. Ce qui serait sympathique quand même serait de pouvoir y accéder via le DDNS synology mais pour l'instant je n'y arrive pas

- Accès à domoticz via le raspberry: Ouverture du port 443, SSL, Let's encrypt, Identification domoticz avec fail2ban de paramétré et c'est parti. Sachant que pour domoticz l'accès y est beaucoup plus fréquent donc le VPN c'est plutôt moyen et pas très waf compatible à mon goût.

Est ce que cette façon de faire est pertinente ou peut se faire démonter rapidement?

Merci par avance.

 

Modifié par Bajoum
Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, Bajoum a dit :

A quoi va me servir le paquet DNS serveur dont tu parles?

Justement ce que tu veux faire, grâce aux vues.
L'intérêt c'est qu'en local (et en VPN par exemple), quand tu tapes toto.synology.me ça t'amène à : 192.168.X.X
De l'extérieur, ça pointera sur ton IP publique.
C'est exactement ce que permettent de faire les vues combinées aux zones d'un serveur DNS.
Voir le tutoriel en question pour la mise en œuvre.

Pour le reste, un proxy inversé en quelques mots :

C'est un frontend, qui va permettre de rediriger, suivant des critères définis en amont, un nom de domaine vers un service en particulier, le backend. Généralement c'est le nom de domaine demandé qui va permettre d'orienter la demande vers le périphérique concerné. Il est tout à fait possible de créer des sous-domaines de l'adresse fournie par Synology, en revanche je ne pourrais pas te dire pour DuckDNS, je n'ai jamais utilisé. OVH ou d'autres te proposent en revanche une maîtrise totale de ton nom de domaine, et c'est parfois moins d'1€/an...
Donc tu peux tout à fait définir un sous-domaine, disons que https://domoticz.duckdns.truc renvoie vers http://IP_DOMOTICZ:PORT.
Et le gros avantage du proxy inversé, c'est que tu peux très bien appliquer le certificat LE au niveau du proxy, et donc aucun besoin de le gérer au niveau de l'application, comme tu le fais maintenant.

Je t'invite à lire le tutoriel de la mise en place du paquet DNS serveur et du proxy inversé, ce sont les exactes réponses à tes questions.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

Bonjour

J’ai mon VPN fonctionnel en 3g et j’ai une coquille pour accéder à mes lecteurs réseaux. Mon pc client obtient une ip 10.x.0.y. mais les lecteurs mappés sont en 192.168.1.z et donc inaccessibles. J’ai test d’ajouter un lecteur en 10.x.0.y et cela fonctionne donc problème de route (?):  J’ai essaye sur le pc client en faisant

Route add 192.168.1.0 mask 255.255.255.0 10.x.0.1 (commande validé par l’invité de cmd)

Merci pour le tuto 🙂

j’y suis presque manque le coup de pouce de fin.

Syno 218, routeur freebox v5, openVPN..

Il me faudrait la solution pour pouvoir joindre mes lecteurs (exple: \\192.168.1.x\video au lieu de \\10.x.0.y\video) une fois mon pc sur VPN

Je voulais également savoir que représente  la page 172.16.0.0/255.240.0.0 dans le tuto au niveau des règles d'interface ? merci 

Modifié par shepard01
ajout d'une question
Lien vers le commentaire
Partager sur d’autres sites

Le 07/01/2020 à 18:50, shepard01 a dit :

Je voulais également savoir que représente  la page 172.16.0.0/255.240.0.0 dans le tuto au niveau des règles d'interface ? merci 

Ce sont des adresses privées, qui dans ce cas sont généralement utilisées si tu veux faire des VM/conteneurs sur ton NAS. Ca évite de les mettre sur ton réseau physique en 192.168.x.x.

Lien vers le commentaire
Partager sur d’autres sites

ah d'accord. 

Une petite idée pour mon problème de base ? mon fichier de config j'ai bien mis l'ip public de mon nas et retirer le "#"  de redirect-gateway def1. J'ai vraiment du mal à comprendre comment je peux acceder à mes lecteurs réseaux locaux sans modifier le chemin, actuellement je suis obliger d'avoir deux lecteurs qui pointe au même endroit mais avec deux chemins différents. Un pour quand je suis en remote \\10.8.0.6\monlecteurA  et l'autre quand je suis à la maison en local \\192.168.0.x\monlecteurA. C'est tellement moche lol

Le pire pour moi, c'est que j'ai déjà réussi mais je ne me souviens plus comment j'ai fait (je me déteste tellement pour ça ! ) 

Lien vers le commentaire
Partager sur d’autres sites

Peut-être en reprenant le Tuto "VPN serveur". Le port UDP 1194 (ou celui que tu utilises si ce n'est pas openVPN) a bien été autorisé dans le serveur et redirigé vers le Syno

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.