Aller au contenu

[TUTO] VPN Server


Fenrir

Messages recommandés

@Benoit38

Bonjour,

il y a 43 minutes, Benoit38 a dit :

Mais ce qui est étrange, c'est que j'arrive à accéder à ma box en 192.168.1.1

C'est normal car c'est la passerelle du sous réseau local.

Pour ton problème regardes si la solution ne serait pas tout simplement là dans le TUTO VPN Serveur partie "utilisation avancée"

Cordialement

oracle7😏

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Pour info, j'ai fini par réussir 😄 

J'ai décoché "Autoriser les passerelle multiple" sur le NAS, et alors la, magie, le routage statique marchait parfaitement !
Par contre, les routes permanentes ne l’était pas. Du moins elle restaient actives dans la table de routage, mais ne fonctionnaient plus !!!

J'ai donc paramétré l'exécution d'un script, par le planificateur de tache Windows, qui me créer ma route statique, à chaque connexion du VPN. Ça marche parfaitement maintenant.

Bonne journée
Benoît

Modifié par Benoit38
Lien vers le commentaire
Partager sur d’autres sites

@jpfangin

J'arrive après la pluie mais c'est un problème qui avait déjà été abordé par @Elrick et à qui j'avais fait suivre ce lien : https://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/

C'est lié à la déprécation (honteuse) de la mouture d'OpenVPN server utilisée par Synology.
J'ai depuis longtemps arrêté d'utiliser le serveur OpenVPN de DSM, et ait déporté ça sur mon pare-feu dont les paquets eux sont régulièrement mis à jour.

Le lien que j'indique montre ce qu'a mis en place un utilisateur pour malgré tout utiliser DSM pour son accès VPN en le renforçant, mais ça nécessite beaucoup de changements. Je trouve ça autrement plus simple de le mettre dans une VM, un Raspberry, ou plus généralement le déporter sur un périphérique plus libre de configuration...

@Benoit38

Pourquoi as-tu besoin de créer des règles de routage ?
Normalement tu as une option qui permet d'autoriser l'accès aux ressources locales dans la configuration du serveur OpenVPN, ce qui crée automatiquement des règles "ACCEPT" point de vue iptables vers les différentes interfaces de ton NAS (LAN, Docker, Virtual Machine, etc...).
Ou alors tu as besoin d'un réglage plus granulaire ?

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

Il y a 9 heures, .Shad. a dit :

@Benoit38

Pourquoi as-tu besoin de créer des règles de routage ?
Normalement tu as une option qui permet d'autoriser l'accès aux ressources locales dans la configuration du serveur OpenVPN, ce qui crée automatiquement des règles "ACCEPT" point de vue iptables vers les différentes interfaces de ton NAS (LAN, Docker, Virtual Machine, etc...).
Ou alors tu as besoin d'un réglage plus granulaire ?

Bonjour Shad,

J'utilise de préférence L2TP, et il n'y a pas cette option dans ce protocole.
C'est pour accéder à mon nas (Homes ou Dossiers partagés) sans utiliser l'adresse en 10.x.x.x mais celle en 192.x.x.x que je dois faire un routage. Sauf si j'ai loupé qqchose ?!

Modifié par Benoit38
Lien vers le commentaire
Partager sur d’autres sites

Un temps j'avais utilisé le serveur L2TP de DSM et le routage vers les IP locales fonctionnait out-of-the-box.
Te dire pourquoi, je ne sais pas.

En tout cas tu peux aussi mettre en place un serveur DNS qui te permettra d'utiliser les mêmes lecteurs réseaux, que tu sois connecté en local ou en VPN.
Car tu passeras par des noms DNS au lieu des IP, c'est le serveur DNS qui assurera que tu puisses accéder à tes ressources quelque soit l'IP d'origine.

Plus d'informations ici

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour aux contributeurs et merci @Fenrir pour son tuto VPN.

J'utilisais le VPN de mon entreprise (LT2P) il y a encore quelques mois, et j'ai suivi à la lettre le tuto de Fenrir. Je n'ai installé que le serveur LT2P pour accès à mon DS 415+. Fonctionnement au poil! 👌

Au passage j'ai fait un tour sur le tuto Sécuriser son NAS (merci @Fenrir) ça mange pas de pain!

Cordialement

Audio

Lien vers le commentaire
Partager sur d’autres sites

Le 05/08/2020 à 18:47, .Shad. a dit :

En tout cas tu peux aussi mettre en place un serveur DNS qui te permettra d'utiliser les mêmes lecteurs réseaux, que tu sois connecté en local ou en VPN.
Car tu passeras par des noms DNS au lieu des IP, c'est le serveur DNS qui assurera que tu puisses accéder à tes ressources quelque soit l'IP d'origine.

 

Oui en effet. J'ai commencé à regarder de ce coté la. Mais je suis pas encore assez au point techniquement pour avancer, il faut que je potasse un peu :) 
Mais c'est le prochain objectif...

Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous !

Je viens solliciter votre aide pour mon problème. Après avoir poncer les tutos (et en premier lieu celui-ci) je sèche complètement.

Voila le décor : Je me suis mis en tête de pouvoir accéder à mon NAS en externe via VPN. Pour cela j'ai bien suivi le tuto de ce post, et activer OpenVPN. En gros ça paraissait plutôt simple, je n'avais qu'à ouvrir le port 1194 sur mon firewall et sur ma box, installer le client OpenVPN sur mon PC ou sur mon tel, et mettre la config ovpn et gogo.

J'ai fait tout cela, le client s'est bien connecté que ça soit sur mon PC ou sur mon tel. Sur mon PC j'accède bien à mon nas (je vois mes dossiers tout ça...) via l'adresse en \\10.8.0.1 (je n'ai pas modifier l'adresse local par défaut pour le réseau VPN)

La difficulté arrive maintenant, que ça soit via mon tel (Android) ou via mon PC (Windows), impossible d'accéder aux différents services via un port spécifique, ex : Accès DSM ou DSFile impossible (timeout) via le port 5001 ou à d'autres services mappés sur d'autres ports.

J'ai tout vérifié, j'ai même tenté (très brièvement ^^) de désactiver mon firewall pour le mettre hors de cause. Bref je ne vois pas ce qui coince.

Merci à tous pour votre aide !

Rotou.

 

Lien vers le commentaire
Partager sur d’autres sites

@rotou

Bonjour,

Depuis l'extérieur, pour les applications DSxxx, il faut obligatoirement ajouter le port à l'@ de connexion. Pour DSFile, le port n'est pas 5001 comme tu sembles faire mais 7000, donc 10.8.0.1:7000.

Dans ton fichier de configuration OpenVPN ".ovpn", essaie avec l'option "dhcp-option DNS 10.8.0.1".

Dans DSM "Reseau/Général/paramètres avancés" as-tu coché "Activer les passerelles multiples" ?

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @oracle7,

J'ai fait de nouveaux tests aujourd'hui avec d'autres devices, et le problème reste le même. Par contre, j'ai pu remarquer quelque chose, je ne sais pas si ça veut dire quelque chose mais lorsque je reste connecté avec une connexion locale (le Wifi de ma box) et que je monte le VPN, alors tous les services (DSM, VideoStation, FileStation, TV, ..., tout quoi ^^) sont bien disponibles depuis l'adresse 10.8.0.1. Du coup le problème vient peut être de mon box ?

Autre test, quelque soit le device j'accède bien aux dossiers partagés (en externe + VPN) via l'adresse \\10.8.0.1. Mais toujours rien pour le reste et quelque soit le port...

Je ne sais plus trop où chercher mais ça finira par marcher ^^... Ou pas ...

Rotou.

Lien vers le commentaire
Partager sur d’autres sites

@rotou

Bonjour,

Dans ta box à tu bien transféré (Reseau - NAT/PAT) le port 1194 vers l'@IP de ton NAS ?

As-tu un client VPN (sous OpenVPN) actif sur ton NAS avec une connexion sortante vers l'extérieur vers un fournisseur VPN Tiers lorsque tu montes ton VPN ? Si d'aventure la réponse est OUI alors saches que tu ne pourras alors pas te connecter depuis l'extérieur vers ton NAS sous VPN. Il y a interférence entre les deux connexion OpenVPN et du coup le VPN "entrant" ne peut fonctionner. Cela pourrais être une explication.

As-tu aussi tout simplement arrêtée et redémarrée proprement ta LiveBox ? Si non fais-le, cela peut éventuellement aider ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @oracle7,

Merci pour ton aide. oui le port est bien transféré, je suppose que de toute façon si c'était pas bon, le tunnel s’établirait pas...

Non je n'ai pas de connexion VPN sortante sur mon NAS, je cherche uniquement à accéder de l'extérieur vers mon NAS de manière sécurisé sans avoir à Forwarder directement les ports des applications qui sont pour certaines peu sécurisées en direct.

Enfin le restart de ma box, j'avoue je ne l'ai pas fait. Je vais tenter sait-on jamais....

Merci en tout cas !

Modifié par rotou
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir.

J'ai finalement trouver la solution !!! Après avoir retourner les configs directement en ssh via putty, et que rien ne semblait clocher , j'ai réaliser un ultime test, je suis passé en TCP au lieu d'UDP. Et là micracle ! tout fonctionne parfaitement !!!

Peut-être le connexion est plus stable en TCP, ce qui posait soucis en UDP je ne sais pas le dire mais bon voilà, c'est réglé ^^ !

Merci à toi @oracle7 de m'avoir écouter et de m'avoir aidé dans ce chemin !

Bonne nuit et à bientôt sur le forum.

Lien vers le commentaire
Partager sur d’autres sites

@rotou

Bon eh bien tant mieux, content pour toi. Affaire (presque) résolue.

Je dis "presque", car c'est quand même étonnant que cela ne marche pas en UDP qui est et reste quand même le protocole STANDARD pour OpenVPN. Cela dit, au pire, tu risques seulement de constater des performances de transfert bien moindre en TCP qu'avec UDP.

A mon humble avis, il conviendrait que tu investigues encore un peu pour pouvoir fonctionner en UDP. A toi de voir ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@oracle7,

Effectivement je pousserai mes investigations pour comprendre pourquoi l'UDP ne fonctionne pas dans mon cas. J'ai plusieurs pistes :

  • Je réalisais mes tests avec une connexion 4G en hotspot depuis mon tel. Il est possible que cette connexion soit instable et créé ces ralentissements en UDP ?...
  • J'ai fais des tests de débits en TCP, et c'est largement suffisant pour mes besoins au vu des services que je souhaite atteindre par le biais du VPN, donc le TCP me convient.
  • J'ai remarqué via telnet que j’atteins bien les adresses et ports depuis le client. Donc je pense que tout mon problème vient de cette lenteur (instabilité ?)en UDP (d'où mes timeout..., malgré que le tunnel est toujours resté actif au niveau d'openVPN).
  • Quand j'en aurai l'occasion ça serait intéressant de monter le tunnel sur une "bonne" connexion internet (pas de la 4G), ça pourrait faire la différence avec l'UDP peut être.
  • Il est possible de ma box opérateur (carré rouge) limite quelque chose sur l'UDP, je ne vois pas pourquoi mais c'est une piste.

Voilà ce qui m'attend, mais de manière plus détendu vu que j'ai une solution qui tourne !

Merci à toi, et à @Fenrir pour son tuto qui donne un certain nombre de bons conseils (j'ai en glané d'autres aussi sur ce forum).

A bientôt !

Bonne fin de journée.

 

Lien vers le commentaire
Partager sur d’autres sites

@rotou

Bonjour,

Maintenant que tu le dis, je ne voudrais pas trop m'avancer mais il est fort possible que ce soit ta connexion 4G en hotspot qui pose problème. Je ne pense pas que ce soit un problème d'instabilité car sinon la connexion OpenVPN "décrocherait" ce qui n'est pas le cas.

Très succinctement : par nature et conception, UDP est très largement plus rapide que TCP car il admet de perdre des paquets en route puisque c'est un mode dit "non connecté". A l'inverse, TCP est un mode dit "connecté" de bout en bout. En gros, il établit une connexion avec le destinataire avec lequel il vérifie que chaque paquet est bien arrivé sinon il assure son renvoi. Du coup cela ralenti la communication mais c'est fiable contrairement à UDP.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,
Juste une piste après avoir lu les derniers échanges : en utilisant un portable hotspot en 4g, j'ai eu beaucoup de problèmes, jusqu'au moment où j'ai configuré l'apn utilisé sur le mobile en protocole = ipv4. Alors plus de problème ! Par défaut il était à IPv6. Ça vaut le coup d'essayer .
Côté box opérateur, dans une location de vacances équipée box opérateur historique, pas moyen de faire passer le vpn ! Mais n'ayant pas la main dessus, je me suis rabattu sur un hotspot 4g avec apn ipv4.
Cdt
Bruno78

Envoyé de mon STF-L09 en utilisant Tapatalk

Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous !

Tout d’abord merci à Fenrir mais aussi à tous ceux qui sur le forum aident les débutants comme moi à progresser.
Je viens donc solliciter un peu d’aide ...

Je suis depuis une semaine l’heureux propriétaire d’un Synology DS220+ pour remplacer un DS213 vieillissant.
A cette occasion, j’ai regardé un peu les tutos et je me suis rendu compte que je faisais à peu près n’importe quoi avec mon ancien NAS en terme de sécurité.

Bref, j’ai suivi à la lettre le tutos de Fenrir sur la sécurisation du NAS et donc aussi celui sur VPN serveur (protocole L2TP/IPSec)

Tout se passe bien quand je me connecte au VPN depuis mon iPhone. Par contre si je me déconnecte et que j’essaie de me reconnecter dans la foulée ou quelques minutes plus tard la connexion échoue.
Par contre si je réessaies au bout de quelques heures, je peux finalement me reconnecter une fois, et si je me déconnecte ça ne remarche plus ... et ainsi de suite ...

Est ce que quelqu’un pourrait m’aider à stabiliser cette connexion ?

Je ne sais pas si ça peut être un problème mais j’ai une LiveBox derrière laquelle j’ai un routeur ASUS (j’ai bien entendu réaliser les redirections de ports sur les deux comme dans le tutos).

Merci pour votre aide !


Envoyé de mon iPhone en utilisant Tapatalk

Lien vers le commentaire
Partager sur d’autres sites

Pour ma part je n'ai jamais eu beaucoup de chance avec VPN et Double NAT (ce qui est ton cas a priori, tu rediriges une fois les ports sur ta Livebox et une fois sur ton routeur ASUS).
Soit ça n'arrivait pas à se connecter, soit ça déconnectait de temps à autre.

Essaie de voir si tu ne peux pas utiliser ta box en bridge ou mettre ton routeur dans la DMZ de la Livebox, ainsi le pare-feu de la Livebox n'existera plus aux yeux du routeur ASUS.

Lien vers le commentaire
Partager sur d’autres sites

Merci pour ta réponse, je vais essayer de faire ça voir ce que ça donne.
Il me semble avoir lu que les DMZ pouvait représenter un défaut de sécurité : est ce qu’il y a des réglages particulier à faire sur le routeur Asus pour corriger ça ?

Par contre, j’ai continué de bidouiller et je me suis aperçu que bien que le problème persiste si j’essaie de connecter mon iPhone au VPN (en 4g), si je connecte mon iPad et le MacBook de ma compagne sur l’iPhone en partage de connexion, il n’y a aucun problème de connexion au VPN pour l’iPad et le MacBook ... je suis un peu perplexe ...


Envoyé de mon iPhone en utilisant Tapatalk

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.