Aller au contenu

[TUTO] VPN Server


Fenrir

Messages recommandés

Bonjour,

Grâce à ce super tuto j'ai configuré avec succès un serveur VPN sur mon NAS pour des clients L2TP/IPSec et OpenVPN.

Tout fonctionnait bien et depuis peu voilà ce qui se passe :
 

  1. En local depuis mon PC j'accède à internet et à mon NAS via son IP privée et/ou monNAS.ndd.tld
  2. Sur ce même PC en partage de connexion avec mon iPhone/iPad je lance OpenVPN et le tunnel se monte correctement (confirmé par le client et visible sur le NAS dans la fenêtre Liste de connexions dans VPN Server), je peux accéder à internet (avec l'IP externe de mon routeur) mais je ne peux plus accéder à mon NAS via son IP privée et/ou monNAS.ndd.tld
  3. Depuis un iPhone/iPad en 4G je lance la connexion L2TP/IPSec et le tunnel se monte de façon erratique : à 5 min d'intervalle la connexion peut échouer ou au contraire correctement se faire (dans ce cas confirmé par le client et visible sur le NAS dans la fenêtre Liste de connexions dans VPN Server), pas d'accès à internet et pas d'accès à mon NAS via son IP privée et/ou monNAS.ndd.tld
  4. Depuis un iPhone/iPad en 4G je lance OpenVPN et le tunnel se monte correctement (confirmé par le client et visible sur le NAS dans la fenêtre Liste de connexions dans VPN Server), je peux accéder à internet (avec l'IP externe de mon routeur) mais je ne peux plus accéder à mon NAS via son IP privée et/ou monNAS.ndd.tld

    Edit : quand je dis "pas de connexion internet" ou "pas d'accès au NAS" cela signifie "chargement infini" de la page puis un message d'erreur du type "timed out"

NB
 

  • Pour information pour NAS est derrière un RT Synology lui-même en DMZ de ma Livebox.
  • Le ports 500, 4500 et 1194 en UDP sont configurés de la même façon (règle NAT sur la Livebox, transmission de  port sur le RT, ouvert sur le RT, ouvert sur le NAS) et le port 1701 en UDP n'est ouvert que sur le NAS.
  • Test fait avec ou sans l'option passerelle multiple activée.


Sauf erreur de ma part, je crois avoir lu que @oracle7 a u a eu un problème similaire ?

Pourriez-vous svp m'aider car je suis un peu désemparé face à ce problème.

Modifié par TuringFan
Lien vers le commentaire
Partager sur d’autres sites

il y a 10 minutes, TuringFan a dit :
  1. Depuis un iPhone/iPad en 4G je lance OpenVPN et le tunnel se monte correctement (confirmé par le client et visible sur le NAS dans la fenêtre Liste de connexions dans VPN Server), je peux accéder à internet (avec l'IP externe de mon routeur) mais je ne peux plus accéder à mon NAS via son IP privée et/ou monNAS.ndd.tld

 

Bonjour,

Sur ton iphone tu peux installer l'appli "Reseau" qui peut t'aider à diagnostiquer le soucis. Une fois connecté tu devrais pouvoir faire un ping de l'adresse LAN du NAS.

Pour le reste , au niveau du NAS , il y a peut être des autorisations à valider .

Lien vers le commentaire
Partager sur d’autres sites

@TuringFan

Je confirme, j'ai exactement les mêmes symptômes de dysfonctionnement. Je suis donc avec attention toute proposition de solution viable qui sera apportée à ces problèmes.

Seule différence avec @TuringFan, je n'ai pas d'iPhone, donc c'est perdu pour l'appli "Réseau". Existe-t-il l'équivalent sous Android ?

Sachant par ailleurs, qu'une fois la connexion OpenVPN établie, dans les paramètres d'infos OpenVPN sur le smartphone, je vois bien l'@IP du smartphone en 10.8.0.x et que il m'est impossible de me connecter à internet et pas plus à mon NAS depuis le smartphone.

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

@Juan luis

Merci pour ta réponse, je n'ai effectivement aucune réponse à mes Pings en VPN, aucun problème en local. D'où cela peut il provenir ?

Autre chose que j'ai remarqué c'est que sur mon iPad en local (après avoir fait un on/off du mode avion pour réinitialiser le cache DNS) le DNS est un serveur en 213. qui ne me dit rien alors que le DNS indiqué par le nslookup de mon PC (sur le même réseau et après un flush DNS) indique bien mon NAS ... Pourtant mon iPad trouve bien mon NAS (en local toujours) avec monNAS.ndd.tld : bizarre non ?

Lien vers le commentaire
Partager sur d’autres sites

il y a 28 minutes, TuringFan a dit :

@Juan luis

Merci pour ta réponse, je n'ai effectivement aucune réponse à mes Pings en VPN, aucun problème en local. D'où cela peut il provenir ?

Autre chose que j'ai remarqué c'est que sur mon iPad en local (après avoir fait un on/off du mode avion pour réinitialiser le cache DNS) le DNS est un serveur en 213. qui ne me dit rien alors que le DNS indiqué par le nslookup de mon PC (sur le même réseau et après un flush DNS) indique bien mon NAS ... Pourtant mon iPad trouve bien mon NAS (en local toujours) avec monNAS.ndd.tld : bizarre non ?

Il faut peut être vérifier la conf VPN. Il y aussi un paramètre dans les client VPN "Tout envoyer" qui peut prêter à confusion lorsque seul une partie du trafic passe par le tunnel.

Concernant le DNS c'est à vérifier dans le serveur DHCP.

il y a une heure, oracle7 a dit :

@TuringFan

Je confirme, j'ai exactement les mêmes symptômes de dysfonctionnement. Je suis donc avec attention toute proposition de solution viable qui sera apportée à ces problèmes.

Seule différence avec @TuringFan, je n'ai pas d'iPhone, donc c'est perdu pour l'appli "Réseau". Existe-t-il l'équivalent sous Android ?

 

😉

L'application "IP" sous android peut aider, il y en a plein d'autres.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, Juan luis a dit :

l faut peut être vérifier la conf VPN. Il y aussi un paramètre dans les client VPN "Tout envoyer" qui peut prêter à confusion lorsque seul une partie du trafic passe par le tunnel.

Je crois que par défaut L2TP/IPSec redirige tout le trafic et j'ai également dé-commenté "redirect-gateway def1" dans le fichier de config de mon client OpenVPN : bref sur le papier tout mon trafic est redirigé ce qui devrait mepermettre d'atteindre mon NAS avec son IP privée (en plus de l'adresse du serveur VPN en 10.).

Sur la config, j'ai pensé la même chose mais les tunnels se montent bien ...

Je ne sais pas trop comment faire là ?

Modifié par TuringFan
Lien vers le commentaire
Partager sur d’autres sites

il y a 23 minutes, TuringFan a dit :

Je crois que par défaut L2TP/IPSec redirige tout le trafic et j'ai également dé-commenté "redirect-gateway def1" dans le fichier de config de mon client VPN : bref sur le papier tout mon trafic est redirigé ce qui devrait mepermettre d'atteindre mon NAS avec son IP privée (en plus de l'adresse du serveur VPN en 10.).

Sur la config, j'ai pensé la même chose mais les tunnels se montent bien ...

Je ne sais pas trop comment faire là ?

Je ne suis pas sûr de bien comprendre mais en serveur L2TP , il n'y a pas de fichier de conf pour le client.

Sur un Iphone il y a juste à  utiliser les paramètres de base VPN L2TP.

Lien vers le commentaire
Partager sur d’autres sites

il y a 2 minutes, Juan luis a dit :

Je ne suis pas sûr de bien comprendre mais en serveur L2TP , il n'y a pas de fichier de conf pour le client

Pardon j'ai oublié "Open" dans mon post : c'est rajouté.

Sur mon client L2TP/IPSec : pas d'option, le trafic est par défaut entièrement redirigé
Sur mon client OpenVPN : je l'ai configuré pour que ce soit la même chose

Lien vers le commentaire
Partager sur d’autres sites

@TuringFan et @Juan luis

A l'instant avec une connexion OpenVPN établie depuis mon smartphone et en tapant "https://10.8.0.1:5001" dans un navigateur j'ai pu me connecter à DSM.

N'en croyant mes yeux, j'ai tué la connexion et je l'ai relancée pour voir sa reproductibilié. Je vous le donne en mille : cela n'a pas marché, la connexion reste maintenant bloquée à 80% d'avancement. Après 2 minutes je l'ai arrêtée.

J'ai comme l'impression que c'est le NAS qui ne répond pas bien, mais ce n'est qu'une impression ....

Par ailleurs, avec la connexion OpenVPN établie, j'ai aussi essayé une URL internet mais là pareil : rien ne marche : message de FireFox : "connexion échouée" !

Voilà pour un retour d'expérience.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

il y a 23 minutes, TuringFan a dit :



Sur mon client L2TP/IPSec : pas d'option, le trafic est par défaut entièrement redirigé
 

De quel client s'agit il ? une appli ajoutée ou les paramètres VPN iphone standard ? Lorsque le tunnel est monté on peut voir l'adresse IP reçue .

Ensuite c'est comme si le iphone connecté en 4G se retrouvait sur le LAN du serveur.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, Juan luis a dit :

De quel client s'agit il ? une appli ajoutée ou les paramètres VPN iphone standard ? Lorsque le tunnel est monté on peut voir l'adresse IP reçue .

Ensuite c'est comme si le iphone connecté en 4G se retrouvait sur le LAN du serveur.

Sur un iPhone en standard, oui je vois bien l'IP en 10. et la connexion sur le serveur VPN du NAS.

Il y a 3 heures, oracle7 a dit :

@TuringFan et @Juan luis

A l'instant avec une connexion OpenVPN établie depuis mon smartphone et en tapant "https://10.8.0.1:5001" dans un navigateur j'ai pu me connecter à DSM.

N'en croyant mes yeux, j'ai tué la connexion et je l'ai relancée pour voir sa reproductibilié. Je vous le donne en mille : cela n'a pas marché, la connexion reste maintenant bloquée à 80% d'avancement. Après 2 minutes je l'ai arrêtée.

J'ai comme l'impression que c'est le NAS qui ne répond pas bien, mais ce n'est qu'une impression ....

Par ailleurs, avec la connexion OpenVPN établie, j'ai aussi essayé une URL internet mais là pareil : rien ne marche : message de FireFox : "connexion échouée" !

Voilà pour un retour d'expérience.

Cordialement

oracle7😉

Comportement analogue à connexions mes erratiques que j'observe avec mes clients en L2TP/IPSec : je me demande si le sujet vient du NAS (qui en direct sur la Livebox se comportait bien) ou du RT (qui possède des options de blocage / autorisations des protocoles VPN) ?

J'ai rien trouvé sur le sujet ...

Modifié par TuringFan
Lien vers le commentaire
Partager sur d’autres sites

@TuringFan

Désolé, je vais te décevoir mais je constate toujours les mêmes comportements erratiques.

En plus, j'ai même eu une connexion OpenVPN établie en IPv6 avec un DNS Ipv6 et une IP locale en IPv6.

Arrêt connexion et relancée, cette fois une connexion IPv4 s'est faite. A ce moment là j'ai tapé "https://10.8.0.1:5001" et j'ai eu un message comme quoi la connexion n'était pas sécurisée (normal mon certificat LE n'intègre pas d'@IP en 10.x.x.x) j'ai donc passé outre et là connexion établie avec le NAS.

Ensuite comme par hazard, après avoir tué cette connexion "réussie", j'ai relancer une nouvelle connexion et là nouvel échec !

Il y a bien un problème quelque part ! mais je suis obstiné (mais pas têtu !) et avec toi et d'autres, on finira bien par trouver LA solution.

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

@oracle7 et @Juan luis

Grosse avancée de mon côté.

J'ai remarqué qu'en changeant imposant le DNS manuellement du L2TP par celui de Google 8.8.8.8 j'ai (i) accès à internet depuis mon client et (ii) accès à mon NAS avec l'adresse du serveur VPN en 10. !

Incapable de correctement interpréter cela seul mais visiblement ça vient de notre DNS Server ...

Lien vers le commentaire
Partager sur d’autres sites

@TuringFan

il y a 7 minutes, TuringFan a dit :

'ai remarqué qu'en changeant imposant le DNS manuellement du L2TP par celui de Google 8.8.8.8 j'ai (i) accès à internet depuis mon client et (ii) accès à mon NAS avec l'adresse du serveur VPN en 10. !

OK, mais cette imposition manuelle de DNS n'est valable que pour L2TP, on ne peut pas agir de même en OpenVPN 😟😟😟

Tant mieux si cela marche en L2TP, mais dommage, car pour moi OpenVPN est plus sécure que L2TP/IPsec.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@oracle7

Je confirme, je viens de faire le test avec les deux protocoles L2TP/IPSec et OpenVPN : en imposant le DNS de Google cela fonctionne pour l'accès internet et l'accès au NAS mais uniquement avec l'IP VPN en 10.

à l’instant, oracle7 a dit :

OK, mais cette imposition manuelle de DNS n'est valable que pour L2TP, on ne peut pas agir de même en OpenVPN 😟😟😟

Tu peux le changer dans le fichier de configuration en dé-commentant la ligne dhcp et en indiquant l'IP du DNS : en revanche sans ton DNS, adieu la connexion en monNAS.ndd.tld ...
Sinon les applis sur ipad/iphone (mais j'imagine que c'est pareil sur Android) possèdent une option DNS fallback qui quand elle est activée redirige automatiquement vers le DNS google

à l’instant, oracle7 a dit :

OpenVPN est plus sécure que L2TP/IPsec

Pourquoi ? J'avais réussi à trouver un arbitrage clair la dessus justement, ça m’intéresse.

Modifié par TuringFan
Lien vers le commentaire
Partager sur d’autres sites

@TuringFan

il y a 10 minutes, TuringFan a dit :

Tu peux le changer dans le fichier de configuration en dé-commentant la ligne dhcp et en indiquant l'IP du DNS

????? Mais c'est ce que j'ai depuis le début : "dhcp-option DNS 10.8.0.1". Je suis perdu ...

il y a 13 minutes, TuringFan a dit :

Pourquoi ? J'avais réussi à trouver un arbitrage clair la dessus justement, ça m’intéresse.

En fait, j'ai toujours lu cela ici et ailleurs sur le net et je dirais en plus, qu'avec OpenVPN on peut régler et notamment augmenter la clé de chiffrement, chose qu'il me semble pas possible avec L2TP/IPsec à ma connaissance (je dis cela sous réserves et je peux me tromper).

Regardes cet article pour info, c'est une bonne synthèse sur ces protocoles.

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 3 minutes, oracle7 a dit :

????? Mais c'est ce que j'ai depuis le début : "dhcp-option DNS 10.8.0.1". Je suis perdu ...

Ok moi je l'avais laissé commenté ce qui faisait que mon client OpenVPN utilisait le DNS imposé par le serveur VPN du NAS donc celui de mon réseau local donc celui imposé par le DHCP de mon routeur donc mon NAS ...

Par contre as tu essayé de jouer avec le commentaire de redirection du trafic car je crois que les deux peuvent être liés dans certains cas.

Merci pour l'article.

Lien vers le commentaire
Partager sur d’autres sites

@oracle7

Ma situation à date :

J'ai mis à jour les paquets VPN Server et DNS Server
J'ai désactivé le L2TP/IPSec et l'OpenVPN puis j'ai réactivé les deux

J'ai redémarré mon client
J'ai indiqué l'adresse locale de mon DNS dans la partie "Interface principale" du menu DHCP du centre réseau
Je n'ai indiqué aucune adresse dans la partie "Configuration manuelle du DNS" du menu DHCP du centre réseau
DHCP du NAS désactivé
J'ai indiqué l'IP de mon RT dans le DNS du L2TP (config sur VPN Server) et de OpenVPN (ficher de config)

Maintenant mon L2TP à bien accès à internet et à mon RT avec monRT.ndd.tld mais pour accéder à mon NAS seul l'IP en 10. fonctionne, impossible d'y accéder avec monNAS.ndd.tld : incompréhensible !
L'OpenVPn à bien accès à Internet et à mon NAS avec l'IP en 10.

Bref, j'ai du mal à identifier les paramètres à modifier ...

Lien vers le commentaire
Partager sur d’autres sites

Il y a 13 heures, TuringFan a dit :



J'ai mis à jour les paquets VPN Server et DNS Server
J'ai désactivé le L2TP/IPSec et l'OpenVPN puis j'ai réactivé les deux

J'ai redémarré mon client
J'ai indiqué l'adresse locale de mon DNS dans la partie "Interface principale" du menu DHCP du centre réseau
Je n'ai indiqué aucune adresse dans la partie "Configuration manuelle du DNS" du menu DHCP du centre réseau
DHCP du NAS désactivé
J'ai indiqué l'IP de mon RT dans le DNS du L2TP (config sur VPN Server) et de OpenVPN (ficher de config)

Maintenant mon L2TP à bien accès à internet et à mon RT avec monRT.ndd.tld mais pour accéder à mon NAS seul l'IP en 10. fonctionne, impossible d'y accéder avec monNAS.ndd.tld : incompréhensible !
L'OpenVPn à bien accès à Internet et à mon NAS avec l'IP en 10.

Bref, j'ai du mal à identifier les paramètres à modifier ...

Bonjour,

C'est juste des conseils , mais vous devriez avancer pas à pas.

1)Vous devez choisir L2TP ou Open VPN , un des deux selon vos préférences.Les deux doivent donner le même résultat en routage IP.

Il faut aussi bien garder à l'esprit qu'on ne "rentre pas dans un VPN comme dans un moulin"

2) Vérifier le routage IP. Bien vérifier que vous allez sur le LAN du serveur, sur internet avec l'adresse IP du serveur, vous aller sur le NAS avec l'adresse privée

3) Quand tout est OK alors seulement la partie DNS.

 

Lien vers le commentaire
Partager sur d’autres sites

Le 16/05/2020 à 11:44, Juan luis a dit :

Bonjour,

C'est juste des conseils , mais vous devriez avancer pas à pas.

1)Vous devez choisir L2TP ou Open VPN , un des deux selon vos préférences.Les deux doivent donner le même résultat en routage IP.

Il faut aussi bien garder à l'esprit qu'on ne "rentre pas dans un VPN comme dans un moulin"

2) Vérifier le routage IP. Bien vérifier que vous allez sur le LAN du serveur, sur internet avec l'adresse IP du serveur, vous aller sur le NAS avec l'adresse privée

3) Quand tout est OK alors seulement la partie DNS.

 

C'est exactement ce que nous avons fait, et tout roulait côté VPN avant d'attaquer le DNS puis les deux coexistait de façon parfaitement fonctionnelles mais depuis peu  nous avons des problèmes sur le VPN. le plus étrange c'est que ce problème de VPN est intervenu en même temps chez @oracle7 et moi ! Sans modification significative de la configuration (de mon côté au moins). Bref cela fait penser à un changement côté NAS / Synology.

Lien vers le commentaire
Partager sur d’autres sites

 @oracle7 et @Juan luis, j'ai l'impression qu'un problème de fonctionnement conjoint VPN (serveur et:ou client) + DNS est rencontré par d'autres membres du forum comme @Jalan 

J'ai également remonté le point dans le sujet DNS, en espérant obtenir de l'aide ...

 

Modifié par TuringFan
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.