Aller au contenu

[TUTO] VPN Server


Fenrir

Messages recommandés

Tu as bien autorisé les réseaux 10.* dans le firewall du nas ?

Voici un message normal de connexion OpenVPN depuis Windows vers un Synology :

Citation

Mon Jul 17 22:34:28 2017 OpenVPN 2.4.2 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on May 11 2017
Mon Jul 17 22:34:28 2017 Windows version 6.2 (Windows 8 or greater) 64bit
Mon Jul 17 22:34:28 2017 library versions: OpenSSL 1.0.2k  26 Jan 2017, LZO 2.10
Enter Management Password:
Mon Jul 17 22:34:32 2017 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Mon Jul 17 22:34:32 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]xxx.xxx.xxx.xxx:1194
Mon Jul 17 22:34:32 2017 UDP link local (bound): [AF_INET][undef]:1194
Mon Jul 17 22:34:32 2017 UDP link remote: [AF_INET]xxx.xxx.xxx.xxx:1194
Mon Jul 17 22:34:32 2017 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Mon Jul 17 22:34:33 2017 [mon certificat] Peer Connection Initiated with [AF_INET]xxx.xxx.xxx.xxx:1194
Mon Jul 17 22:34:34 2017 open_tun
Mon Jul 17 22:34:34 2017 TAP-WIN32 device [Ethernet 3] opened: \\.\Global\{16724F63-CA8D-48C0-A011-3E72DEA1D915}.tap
Mon Jul 17 22:34:34 2017 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {16724F63-CA8D-48C0-A011-3E72DEA1D915} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Mon Jul 17 22:34:34 2017 Successful ARP Flush on interface [4] {16724F63-CA8D-48C0-A011-3E72DEA1D915}
Mon Jul 17 22:34:34 2017 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Mon Jul 17 22:34:39 2017 Initialization Sequence Completed

 

Lien vers le commentaire
Partager sur d’autres sites

coté autorisation via le pare feu ras car j'avais rien touché depuis 2mois sur ce sujet, j'ai juste eu ce changement d'adresse ip d'Orange :redface:

Capture2.PNG.edd08125ca271c5e50c2c881d91acdd2.PNG

 

voici la suite de mon fichier log :

Sun Jul 16 21:52:02 2017 OpenVPN 2.4.3 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Jun 20 2017
Sun Jul 16 21:52:02 2017 Windows version 6.1 (Windows 7) 64bit
Sun Jul 16 21:52:02 2017 library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.10
Enter Management Password:
Sun Jul 16 21:52:17 2017 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sun Jul 16 21:52:17 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]xxxxxxxxxxxxxxxxxxxxxxxx:1194
Sun Jul 16 21:52:17 2017 UDP link local (bound): [AF_INET][undef]:1194
Sun Jul 16 21:52:17 2017 UDP link remote: [AF_INET]xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Sun Jul 16 21:53:17 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Jul 16 21:53:17 2017 TLS Error: TLS handshake failed
Sun Jul 16 21:53:17 2017 SIGUSR1[soft,tls-error] received, process restarting
Sun Jul 16 21:53:22 2017 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sun Jul 16 21:53:22 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Sun Jul 16 21:53:22 2017 UDP link local (bound): [AF_INET][undef]:1194
Sun Jul 16 21:53:22 2017 UDP link remote: [AF_INET]xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx:1194
Sun Jul 16 21:54:22 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Jul 16 21:54:22 2017 TLS Error: TLS handshake failed
Sun Jul 16 21:54:22 2017 SIGUSR1[soft,tls-error] received, process restarting
Sun Jul 16 21:54:27 2017 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sun Jul 16 21:54:27 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]xxxxxxxxxxxxxxxxxxxxxxxx:1194
Sun Jul 16 21:54:27 2017 UDP link local (bound): [AF_INET][undef]:1194
Sun Jul 16 21:54:27 2017 UDP link remote: [AF_INET]xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Sun Jul 16 21:55:28 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Jul 16 21:55:28 2017 TLS Error: TLS handshake failed
Sun Jul 16 21:55:28 2017 SIGUSR1[soft,tls-error] received, process restarting

Il y a un truc qui ne veut pas changer d'état dans le syno à mon avis. Je pense vraiment que tout est lié à ce changement d'adresse ip chez orange

 

 

 

Capture3.thumb.PNG.e49a959c34a5edc12df321ec00008485.PNG

Lien vers le commentaire
Partager sur d’autres sites

Salut Fenrir,

du coup certificat valide car quand je clique dessus sous windows 7, il me dit valide jusqu'en 2037

Coté cipher, bah j'ai découvert ce mot donc merci :biggrin:

En local, je ne peux pas le tester car il est à 1h30 de chez moi.

Du coup, je me suis pencher sur l'idée d'un problème de connexion. J'ai adressé le port 1194 sur un mes pc mais rien. J'ai rebooté la livebox à distance et ça m'a encore changé d'adresse public.:redface:

J'ai ensuite découvert que mon syno était maintenant adressé sur ma box depuis son lan 2.

Je suis rentré dans celui-ci pour configurer le lan 1 en prioritaire et Hop sa fonctionne.

Avant le reboot de la livebox rien ne laissait paraitre cette priorité sur la box, le deuxieme problème de la livebox est qu'elle adresse aux redirections de port "nat" un nom de machine plutot qu'une adresse ip du coup plus difficile à déceler si deux lan. J'avais anticiper ce problème en forcant à inscrire l'ip locale pour openvpn sue la livebox mais le problème était plus en amont sur mon syno.

 

ERREUR.thumb.PNG.ad9871fe002d55693111de6e2eab87c0.PNG

 

Astuce/Soluce pour les suivants :rolleyes:

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, boris21dd a dit :

du coup certificat valide car quand je clique dessus sous windows 7, il me dit valide jusqu'en 2037

c'est donc un certificat autosigné

Il y a 1 heure, boris21dd a dit :

J'ai ensuite découvert que mon syno était maintenant adressé sur ma box depuis son lan 2.

Il ne faut pas connecter les 2 ports de ton nas sauf à savoir ce que ça implique, surtout avec les même paramètres et sur le même réseau !!

Ça n'ira pas plus vite et ça peut créer plein de problèmes (comme celui que tu as rencontré mais pas que).

Si tu tiens vraiment à brancher les 2 cartes, il faut les configurer en "Bond" (choisi Adaptative Load Balancing)

Lien vers le commentaire
Partager sur d’autres sites

Hello.
Merci pour le tuto :glasses:

Ça fonctionne très bien depuis iOS11 et aussi macOS Sierra.

Par contre, pour Sierra, il y a un petit soucis si le mot de passe du compte contient une lettre accentuée (et peut être certains caractères spéciaux)... La connexion est impossible :

e87b50f911cb51555fd3bb0b2bfcdd93906619ad

Je précise que je copiais collais depuis KeePass mes mots de passe, donc pas d'erreur de saisie ;)

J'ai essayé d'autres compte sur le NAS, et ça faisait pareil lorsqu'il y avait des caractères accentués et/ou des caractères spéciaux. Un des caractères suivant causait le même soucis que la lettre accentuée "^~<(){}

Je n'ai pas poussé l'investigation plus loin sur quel était le caractère en cause...
J'ai donc créé un utilisateur dédié au VPN avec un long mot de passe avec chiffres/lettre (min/MAJ) et un caractère &.

Sinon le mot de passe qui ne fonctionnait pas sur macOS fonctionne très bien avec iOS :eek::surprised: J'ai pas compris sur le coup car j'ai commencé avec iOS... donc ça fonctionnait bien, sauf avec Sierra.

Voilà pour ma petite pierre...

Faudrait voir quel caractère empêche la connexion :glasses:

 

@+
Miles

 

Lien vers le commentaire
Partager sur d’autres sites

Bon juste pour dire que tu es mon héros, j'ai cherché partout sur plein de forums et tu es le seul à parler de la fameuse clé de registre qui a tout solutionné donc un grand merci à toi, par contre j'aurais une petite question, j'ai une livebox et j'ai ouvert les ports 4500 et 500 en UDP dans le pare-feu de la box, est ce necessaire ou je peux l'enlever?

Merci d'avance et encore merci pour ce super tuto ;)

Lien vers le commentaire
Partager sur d’autres sites

@Fenrir J'ai une petite question :rolleyes: (oui encore :lol:), j'ai mis dans la configuration du VPN l'IP 192.168.2.1. Et lorsque mon mac y est connecté, j'accède au NAS avec 192.168.1.20 (son IP LAN donnée par la LiveBox).

Ma question est donc : à quoi correspond exactement l'IP 192.168.2.1 ? Juste le serveur VPN (à distinguer du NAS lui même) ?

Lien vers le commentaire
Partager sur d’autres sites

il y a 45 minutes, MilesTEG1 a dit :

j'ai mis dans la configuration du VPN l'IP 192.168.2.1

où ça ?

Si c'est à la place des adresses en 10.x.x.x, ça correspond au réseau VPN et l'adresse 192.168.2.1 est celle de l'interface VPN du NAS.

nb : pourquoi changer ce paramètre ? ça ne t'apportera probablement que des problèmes

Lien vers le commentaire
Partager sur d’autres sites

Oui c'est ça, ç la place des 10.X.X.X. J'avais donc bien saisi que c'était l'adresse du VPN interface.
Pourquoi j'ai changé ce paramètre... je sais pas, une adresse en 10.X.X.X me semblait étrange :rolleyes:

C'est risqué alors ? Je remets par défaut ?

Modifié par Mic13710
inutile de répéter le message précédent si ça n'apporte rien de plus à la compréhension
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

tout d'abord, merci pour ce tuto, il est très clair.

 

Par contre, j'ai un soucis, et je ne comprends vraiment pas d'où cela peut venir.

 

J'ai configuré mon synology en suivant le tuto (OpenVPN, L2TP/IPSec).

J'ai bien ouvert les ports sur le syno, et redirigé les bon ports sur mon routeur.

J'ai ensuite configuré mon smartphone(android) en L2TP/IPSec, je teste, et ça se connecte.

Je vais sur mon-ip.com pour m'assurer que ça fonctionne bien, et paf, non, je ne retrouve pas l'adresse IP externe du synology.

Je vais voir sur le syno, je suis bien connecté. Par contre, dans les logs du VPN, il y a environ 10ko de trafic  alors que j'ai navigué, ouvert une video youtube pour tester la vitesse.

Je configure OpenVPN, et je retrouve les mêmes symptomes.

 

Le tunnel vpn semble s'être bien créé, mais il est inutilisé

 

Quelqu'un aurait une idée d'une piste pour résoudre mon problème ?

 

Lien vers le commentaire
Partager sur d’autres sites

Tu n'as pas redirigé le trafic

Pour openvpn c'est ça

08.png

et

 

Le 8/13/2016 à 17:13, Fenrir a dit :

#redirect-gateway def1

  • selon que vous avez ou non coché la case entourée de rouge (cf plus haut), il faut enlever ou laisser le caractère de commentaire (le #) en début de ligne

--

Pour L2TP/IPSec, c'est par défaut autorisé coté serveur, c'est aux clients de choisir (sur certains c'est ON par défaut, sur d'autres non).

=>ça dépend de ton smartphone

Lien vers le commentaire
Partager sur d’autres sites

Bien vu l'ajout des règles de routage :wink:

Je viens de voir que j'ai laissé ça dans le README sur Github :

Citation

This readme will be updated with a complete guide, and special tips for Synology NASes.

:mrgreen:

Va falloir que je m'y colle, ça complètera l'ajout automatique des règles de routage sous Linux/Mac.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.