[TUTO] VPN Server

[Skylnex]

Après plusieurs tests, je bloque. Mon VPN fonctionne lorsque je suis connecté en WiFi, lorsque je me mets en 4G, impossible de se connecter.

Je mets des captures de ma config actuelle.

Merci de votre aide.

[Nomalacon]

Bonjour à tous,

Premièrement, merci beaucoup pour ce tuto, mais aussi pour le tuto sur comment sécuriser son NAS.
Même si je ne sais pas si je suis prêt à abandonner le confort d'utilisation de Quickconnect, c'est toujours bon de savoir que c'est une faille de sécurité potentielle.
Idem pour les accès au NAS en direct depuis l’extérieur via IP public + redirection de port.

J'ai atterri sur ce tuto car je cherchais 2 choses :

1. Pouvoir me connecter avec mon IP française depuis l'étranger pour utiliser du contenu accessible uniquement aux IP FR
2. Pouvoir monter certains dossiers partagés de mon NAS directement sur mon PC portable plutôt que de passer par l'interface Web

En local, j'ai déjà monté mon dossiers partagés avec l'adresse suivante \\192.168.86.93\nom_du_dossier

J'ai suivi le tutoriel présenté un page 1 pour mettre en place un OpenVPN vs. L2TP/IPSec car je comprends que c'est le plus simple à mettre place (en tout cas en nombre de ligne sur ce tuto !)
Aussi, j'ai désactivé le firewall du NAS afin de minimiser les causes potentielles de problème le temps de la mise en place.

J'ai donc réussi à mettre en place le tunnel entre mon PC portable et mon NAS en un rien de temps grâce au tutoriel et si en mesure :

• D'utiliser internet avec IP distante avec "redirect-gateway def1"
• D'utiliser internet avec IP locale avec "#redirect-gateway def1"

Donc objectif numéro 1 du VPN accompli 🙂

C'est au niveau de l'objectif numéro 2 que je tourne en rond depuis 2 jours 😞

Dans le paquet VPN Server, si je ne coche pas la case "Autoriser aux clients l'accès au server LAN" je ne vois pas mon réseau local => Ok c'est normal
Cependant, si je coche cette case, je suis en mesure de ping les équipements sur mon réseau local sauf le NAS Synology en 192.168.86.93

En relisant le tuto je comprends que, via le VPN, le NAS n'est pas accessible à cette adresse

Le 13/08/2016 à 17:13, Fenrir a dit :

Votre NAS sera directement accessible à l'adresse 10.8.0.1.

Cependant, même à cette adresse je ne parviens pas à accéder à mon NAS :

• Ni par l'interface Web
• Ni par Windows avec \\10.8.0.1\nom_du_dossier
• Ne répond pas au ping

Donc impossible de monter les dossier partager sur Windows car impossible de trouver le NAS.
Si vous avez une petite idée de ce que je fais mal ça serait formidable !

Une fois que j'arriverais à atteindre le NAS, je comprends qu'il faudra créer une table de routage pour utiliser l'adresse 192.168.86.93 au lieu de 10.xx.xx.xx, comme suggéré en fin de tuto.
Mais ça sera mon étape 3 😉

Merci beaucoup d'avance pour votre aide !

Edit 1 : Peut-être est-il préférable de créer un sujet à part entière ?

Edit 2 : J'ai suivi la procédure pour un VPN L2TP/IPSec et là j'arrive bien à avoir le NAS. Je ne comprends donc pas pourquoi sur OpenVPN ca ne fonctionne pas.

Modifié le 7 avril 2020 par Nomalacon

[.Shad.]

Il y a 23 heures, Nomalacon a dit :

Si vous avez une petite idée de ce que je fais mal ça serait formidable !

Je ne vois pas de raison que ça ne marche pas, surtout si tu as désactivé le pare-feu du NAS.
Quelle est ton IP en tant que client OpenVPN sur le serveur ? 10.8.0.2 ? Voir si depuis le NAS en SSH tu arrives à te pinger sur l'adresse qui t'a été attribuée par le serveur OpenVPN.

En revanche pas besoin de table de routage pour ta remarque suivante, tu ferais mieux de t'orienter vers le paquet DNS Serveur de Synology, qui te permettra de définir un nom de domaine (par exemple nas.local) qui correspondra à 192.168.86.93 si tu es connecté en local, ou 10.8.0.1 si tu es connecté en VPN, par le biais des vues. Il y a un tutoriel écrit par Fenrir à ce sujet.
Par contre la condition c'est que ta box (si pas de routeur séparé) puisse renseigner un autre serveur DNS que sa propre adresse via le serveur DHCP qu'elle intègre.

Pas de raison en l'état de créer un nouveau sujet.

Modifié le 8 avril 2020 par .Shad.

[Nomalacon]

Il y a 13 heures, .Shad. a dit :

Je ne vois pas de raison que ça ne marche pas, surtout si tu as désactivé le pare-feu du NAS.

Ecoute, je ne sais pas pourquoi, mais je viens d'essayer à l'instant et ça a fonctionné tout seul.
Je n'ai strictement rien changé à la configuration pourtant.

Peut-être que plusieurs redémarrages côté PC et NAS ont fait l'affaire.

Merci pour la confirmation que mes manipulations semblaient correctes !

Modifié le 8 avril 2020 par Nomalacon

[didier74]

Bonsoir,

Je suis connecté depuis mon téléphone Android avec openVPN, sur DNS server sur mon Nas Synology.

Je souhaiterais profiter de cette connexion VPN pour pouvoir envoyer des e-mails depuis mon téléphone, sans changer la configuration SMTP (bouygues) de mon application mail, réglée sur le FAI (free) de ma box.

Une fois connectée en VPN, si je regarde mon adresse ip publique depuis mon téléphone, elle est différente de mon adresse publique depuis ma box. Je pensais justement que le VPN permettait de conserver depuis l'extérieur, et donc mon téléphone en l'occurrence, la même adresse ip publique que celle que l'on a la maison.

En conséquence, l'envoi d'e-mails depuis mon téléphone, ne fonctionne toujours pas.

Quelqu'un aurait-il la solution s'il vous plaît ?

Par avance, je vous remercie, et vous souhaite une bonne soirée.

 

[maxou56]

Bonsoir, @didier74

Il faut dans les réglages VPN du Téléphone faire transiter tous le trafic via le VPN.

[didier74]

Bonsoir, [mention=47851]didier74[/mention]
Il faut dans les réglages VPN du Téléphone faire transiter tous le trafic via le VPN.

Bonsoir Maxou,

Merci beaucoup pour ta réponse.
Je ne vois rien dans l'application elle-même, dois-je passer par le fichier de configuration .ovpn s'il te plaît ? Que dois-je modifier si tel est le cas s'il te plaît ?

Merci beaucoup.

Envoyé de mon SM-N950F en utilisant Tapatalk

[.Shad.]

Il te faut dé-commenter dans le fichier de configuration ovpn la ligne :

redirect-gateway def1

 

Modifié le 16 avril 2020 par .Shad.

[didier74]

Il te faut dé-commenter dans le fichier de configuration ovpn la ligne :

redirect-gateway def1

 

Un grand merci, cela fonctionne parfaitement à présent, merci beaucoup à tous les deux pour votre aide précieuse. Bonne journée.

Envoyé de mon SM-N950F en utilisant Tapatalk

[nasa]

Bonsoir à tous,

tout d'abord merci beaucoup à Fenrir et à tous les contributeurs du site pour ce Tuto très complet.

J'ai mis en place VPN server sur mon NAS, et toute la mécanique qui va avec (transferts de ports, configuration clients, etc.). Ca fonctionne sans souci.

Je me pose simplement une question "sécurité" : peut/doit-on autoriser VPN server uniquement pour un seul utilisateur créé pour cela et qui n'aurait accès à rien d'autre, et une fois la liaison VPN établie avec ce profil, "changer d'utilisateur" en se loggant avec le profil ayant les droits désirés (solution A) ? Ou bien doit-on autoriser VPN server à tous les utilisateurs ayant besoin de se connecter à distance (solution B) ?

La solution B marche, évidemment, mais elle ne "compartimente" pas les risques : si la liaison VPN est comprise elle donnera au pirate l'accès à des arbos et à des fonctionnalités potentiellement critiques.

Par ailleurs, je suis méfiant à l'idée de saisir dans la configuration des clients VPN les identifiants et mots de passe utilisateur du NAS. Ils sont censés être stockés cryptés, mais honnêtement j'ai l'impression de "laisser la clé sous le paillasson"...

Donc je suis preneur de tout avis/conseil pour une approche de type solution A.

Si vous pensez que le risque est faible voire nul, je peux l'entendre aussi !

Merci d'avance

[TuringFan]

Le 13/08/2016 à 17:13, Fenrir a dit :

Si vous ne savez pas ce qu'est vraiment un VPN, vous devriez vous renseigner avant de lire la suite.

Mais comme peu de personnes feront cette démarche, en voici une description très approximative :

• c'est un ensemble de techniques permettant de relier 2 équipements réseau, par exemple votre PC et votre NAS
• généralement, il fonctionne au dessus du protocole IP et peut donc passer par Internet
• le tout saupoudré de diverses techniques de chiffrement (plus ou moins efficace)

=>on peut donc voir ça comme un très grand câble réseau avec des barbelés autour

Bonjour,

Avant tout merci pour ces tutos super bien fait et qui permettent d'en apprendre chaque jour davantage !

Petite question, existerait il des alternatives (sécurisée) au VPN permettant de ne pas avoir à configurer le client : j'ai lu des choses sur le RDP (Remote Desktop Protocol) et le RDS (Remote Desktop Services) mais je ne sais pas si cela répond à ma question et si c'est adapté à un NAS.

Merci  par avance,

[PiwiLAbruti]

Comme tu sembles vouloir comparer deux protocoles qui n’ont rien à voir, on va simplifier :

Quel est ton besoin ?

[Kramlech]

Hélas, beaucoup de personnes mettent la charrue avant les boeuf : il regardent si les outils peuvent répondre à leurs besoins, sans avoir clairement définis leurs besoins  ...

[TuringFan]

Il y a 11 heures, PiwiLAbruti a dit :

Comme tu sembles vouloir comparer deux protocoles qui n’ont rien à voir, on va simplifier :

Quel est ton besoin ?

Bonjour,

@PiwiLAbruti merci pour tes réponses ici et ailleurs.

Dans l'idéal je souhaiterais pouvoir accéder à mon NAS à distance avec un bon niveau de sécurité (de l'ordre de celui offert par le montage d'un tunnel VPN) mais depuis n'importe quel client (dont certains dont je ne serai éventuellement pas administrateur).

J'ai bien conscience de vouloir le beurre et l'argent du beurre.. J'imagine donc qu'il y a des inconvénients aux RDP et RDS.

Je pose également la question par curiosité intellectuelle pour en apprendre davantage.

[PiwiLAbruti]

Ni RDP, ni RDS ne te permettront d’accéder à ton NAS à distance. Je te laisse le soin de te renseigner sur ces protocoles si tu veux en savoir plus.

À quels services de ton NAS souhaites-tu accéder à distance ? (le VPN n’est pas nécessairement la meilleure solution)

 

[TuringFan]

Le 20/04/2020 à 23:15, PiwiLAbruti a dit :

Ni RDP, ni RDS ne te permettront d’accéder à ton NAS à distance. Je te laisse le soin de te renseigner sur ces protocoles si tu veux en savoir plus.

À quels services de ton NAS souhaites-tu accéder à distance ? (le VPN n’est pas nécessairement la meilleure solution)

 

Bonjour,

Dans un premier temps, au moins aux fonctions de "Drive" du NAS pour permettre la consultation et le stockage de fichiers.

Merci,

[PiwiLAbruti]

Je n’utilise pas Synology Drive, mais le VPN ne me parait pas nécessaire pour ce service.

Je laisse la main à ceux qui l’utilisent.

[.Shad.]

En effet, Drive fonctionne très bien par le port 6690 en externe, n'autoriser son fonctionnement que par le VPN me semble contre-productif au regard du principe même de l'application (synchronisation continue).

[PiwiLAbruti]

Par contre, il convient de sécuriser correctement ce service en limitant sa surface d’exposition (pare-feu) et en utilisant des mots de passe forts.

[TuringFan]

@PiwiLAbruti et @.Shad.,


Merci pour vis réponse,

Je débute encore et ne maitrise finement les nuances mais l'idée est de pouvoir me servir du NAS notamment pour consulter, télécharger et déposer des documents (documents, fichiers, photos, vidéos, etc.) mais aussi, si possible, pour synchroniser des notes (type OneNote) et pour avoir accès à un outil de gestion des mdp (type KeePass ou équivalent).

Mais en réalité je ne me rends pas encore compte de tous ce que je peux faire avec le NAS et j'ai du mal à avoir une vision là dessus.

Je pensais que le mieux était de le faire en se connectant au DSM via un VPN et de se "balader" dans FileStation pour le faire mais je comprends de vos commentaires que le Paquet Drive permet de le faire directement depuis un Terminal et de façon sécurisé même sans VPN : est-ce bien ça ?

Concrètement que signifie "limiter sa surface d'exposition ici" ? Donner des droits à un nombre limité d'utilisateurs ? D'appareils (si oui comment le paramétrer) ? A une portion spécifique des dossiers (un dossier "perso" par utilisateur par exemple) ?

Merci d'avance,

[.Shad.]

Ca veut dire configurer le pare-feu de la manière la plus restrictive que possible.
Si tu n'y accèdes que depuis des IP fixes, tu peux limiter à ces IP là, tu peux aussi imposer des limites depuis l'emplacement, par exemple ne limiter qu'à la France.
Voir tutoriel sur la sécurisation du NAS.

[PiwiLAbruti]

Il y a 4 heures, TuringFan a dit :

Mais en réalité je ne me rends pas encore compte de tous ce que je peux faire avec le NAS et j'ai du mal à avoir une vision là dessus.

Et c’est bien pour ça qu’en tu galères.

Peu importe ce que peut faire faire le NAS, le plus important est de savoir ce que tu veux faire.

[toom2o]

Merci Fenrir pour ton tuto (et tes autres tuto aussi) ! 

Je fais face à un blocage dans la mise en place de ma connexion VPN L2TP/IPSec entre mon poste client et mon serveur. 

Mon NAS est connecté à un routeur Freebox Delta. Freebox OS v4.1 me permet de faire un routage de port mais en l'occurence pas ceux qui m'intéressent (500, 4500) .

A votre avis quel serait la solution pour contourner ce bloquage ?

Si quelqu'un à une idée, merci de votre aide 😉 

Tom

 

[PiwiLAbruti]

Il faut que tu fasses une demande d’IP fullstack auprès de Free, dans ton compte client.

[toom2o]

@PiwiLAbruti thks ! Il me manquait cette info 😉