Aller au contenu

[TUTO] VPN Server


Fenrir

Messages recommandés

il y a 7 minutes, Jeff777 a dit :

Je n'utilise pas IPSEC mais je constate que l'on peut paramétrer le nombre de connexions à un compte.

Est-ce que c'est correctement paramétré ?

Oui bien sur je suis a 10 utilisateurs simultanés avec une tolérance de 2 connexions identiques. Mais ça ne change rien. Certain parle d'une incompatibilité entre le NAT et l'IPSEC mais uniquement sur la même IP distante. Donc ça ne semble pas être ça.

il y a 9 minutes, Jeff777 a dit :

Pour utiliser Openvpn il te faut une application client . Lis bien le tuto pour configurer le fichier de conf à installer dans le périphérique.

Ah oui je n'ai pas été très précis dans ma question. Effectivement j'utilise bien le client OpenVPN et d’ailleurs voici ce qu'il me dit :

Tue Nov 03 15:07:33 2020 OpenVPN 2.4.8 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Oct 31 2019
Tue Nov 03 15:07:33 2020 Windows version 6.2 (Windows 8 or greater) 64bit
Tue Nov 03 15:07:33 2020 library versions: OpenSSL 1.1.0l  10 Sep 2019, LZO 2.10
Tue Nov 03 15:07:35 2020 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Tue Nov 03 15:07:35 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]xx.xx.xx.xx:1194
Tue Nov 03 15:07:35 2020 UDP link local (bound): [AF_INET][undef]:1194
Tue Nov 03 15:07:35 2020 UDP link remote: [AF_INET]xx.xx.xx.xx:1194
Tue Nov 03 15:08:36 2020 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Nov 03 15:08:36 2020 TLS Error: TLS handshake failed
Tue Nov 03 15:08:36 2020 SIGUSR1[soft,tls-error] received, process restarting

 

Lien vers le commentaire
Partager sur d’autres sites

@Sagrat

Je pense qu'il y a une erreur dans ton fichier de conf. As-tu correctement copié le certificat et est-ce le bon?

J'ai le même log que toi jusqu'à 

2020 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

C'est le ficher généré par le VPN Center du NAS. J'ai juste ajusté le paramètre "remote" et c'est tout. De plus, lorsque je passe en local la connexion fonctionne. C'est quand je teste depuis une IP extérieure au LAN que ça ne passe plus. Pourtant mes règles de firewall sont bonnes.

 

 

Lien vers le commentaire
Partager sur d’autres sites

Points à vérifier :

1194 UDP autorisé dans le pare feu

Edit port 1194 UDP redirigé de la box (ou routeur) vers le NAS

remote xxx.xxx.xxx.xxx  1194     dans la config   xxx.xxx.xxx.xxx étant ton adresse IP publique

EDIT : Et vérifie que c'est bien le bon certificat qui est dans la conf. Réexporte la conf pour être sûr.

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

@lordatao

Bonjour,

Le fait que ton serveur DNS soit activé n'intervient pas dans le problème de connexion sous VPN.

Parc contre, si tu arrives pas au login de DSM en tapant "https://xxxxx.synology.me:5001" est plus problématique.

Donc pour essayer de comprendre ce qui ce passe, dans une fenêtre de CMD Windows en mode admin, essaies un : "nslookup xxxxx.synology.me", il devrait te donner en retour ton @IP externe (celle de ta box), est-ce le cas ?

Si la réponse est non, comment est défini ton DDNS dans DSM ?, Est-ce bien "xxxxx.synology.me" et pointe-t-il bien sur ton @IP externe ?

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Il y a 23 heures, lordatao a dit :

Dans la configuration de mon NAS, j'ai le DNS server d'activé. Je ne sais pas si cela pose un problème (je n'avais pas d'IP fixe avant d'avoir ma freebox) ?

Bonjour @lordatao

Je ne suis pas sûr de comprendre ce que tu veux dire par là. Peux-tu nous expliquer ?

Tu as une zone locale sur ton NAS?

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

il y a 6 minutes, Jeff777 a dit :

Bonjour @lordatao

Je ne suis pas sûr de comprendre ce que tu veux dire par là. Peux-tu nous expliquer ?

Tu as une zone locale sur ton NAS?

Bonjour @Jeff777

Je veux simplement dire que pour accéder facilement à mon NAS (enfin, je le pensais), je me suis crée une adresse en xxx.synology.me car ma box précédente ne gérait pas l'IP fixe. Je suis donc passé par DNS server pour avoir une adresse fixe et ainsi accéder à distance (sans le VPN) à DS file sur mon téléphone ou ma tablette à distance. Je pensais également pouvoir me connecter aussi facilement via l'explorateur W10 à mon réseau local via le VPN.

Peut-être que mon problème vient de là ? Est-ce que je l'ai bien paramétrer, je ne suis plus sûr de rien...

Voici les réglages de DNS Server

2002388640_Capturedcran2020-11-04184520.png.027faf6b74daa0ec047e6843a183a129.png

1880757881_Capturedcran2020-11-04184548.thumb.png.b96367753a896661c1bbd6a9cdf697a1.png

Lien vers le commentaire
Partager sur d’autres sites

il y a 3 minutes, Jeff777 a dit :

On dirait que ton DNS ne connait pas XXXX.synology.me

Il faudrait  XXXX.synology.me CNAME ns.synology.me

Tu dois avoir cet enregistrement dans ta zone publique chez ton registrar puisque en 4G tu as une réponse correcte.

Euh... Je n'ai pas tout compris. excuse moi... 

ma connexion en xxx.synology.me fonctionne bien en 4G ou en wifi distant. J'accède à mon DSM sans souci. c'est lorsque j'active le vpn que cela ne fonctionne plus et que je ne peux accéder à mon réseau local.

J'ai suivi un tuto sur le forum il me semble pour régler mon DNS server et me passer de quickconnect.

Lien vers le commentaire
Partager sur d’autres sites

@lordatao et @Jeff777

Bonjour,

Il y a un truc qui m'interpelle dans cette affaire avec le serveur DNS que @lordatao a créé.

Sauf erreur de ma part, autant Synology permet l'usage d'un domaine xxxxx.synology.me à des fins de DDNS lorsque l'on a une @IP externe dynamique ET que l'on ne dispose pas d'un domaine personnel, autant je ne suis pas sûr du tout que l'on puisse utiliser un domaine du type ns.synology.me comme serveur DNS (même local).

Pour la simple raison que l'on ne maitrise pas le domaine synology.me (on n'en est pas propriétaire).

@Jeff777 j'ai bon ?

Auquel cas, la définition faite du serveur DNS local, ne serait pas bonne et pourrait expliquer les problèmes rencontrés. J'ai bon ou pas ?

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Je crois que c'est ns.xxxx.synology.me son serveur DNS. Effectivement je suis allé trop vite j'ai considéré synology.me comme son domaine🙄

Il y a 1 heure, lordatao a dit :

Je viens de tester nslookup en cmd. Pas de souci, cela renvoi bien sur mon IP externe (celle de ma freebox). J'ai fait le test en étant connecté sur mon wifi sans allumer le VPN.

Fais la même chose avec le VPN activé.

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

@lordatao

Bonjour,

Pour ton Serveur DNS, je ne suis pas sûr qu'il soit judicieux de prendre comme redirecteurs des serveurs DNS d'Orange (réputés comme "menteurs"). Si j'étais toi j'indiquerai plutôt des serveurs DNS "libres" du type ceux de FND 80.67.169.12 et 80.67.169.40 (car ils sont fiables et respectent notre vie privée) ou autres. C'est toi qui voit ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@lordatao

Bonjour,

il y a 2 minutes, lordatao a dit :

je tombe bien sur mon IP internet (sur mon wifi)...

OK c'est normal puisque tu te connectes en wifi avec ton réseau local. De toutes façons, un nslookup xxxxx.synology.me 1.1.1.1 te renverra toujours ton @IP externe que tu soit connecté ou pas en VPN car xxxxx.synology.me est ton DDNS.

En 4G une fois le VPN connecté, si tu tapes dans un navigateur Web sur le smartphone "http://10.8.0.1:5000" est-ce que tu atteins bien le login de DSM ?

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@oracle7

Je viens de faire un tour dans les paramètres de ma freebox.

Je viens de m'apercevoir que l'UPNP était actif avec pleins de redirections. Je ne sais si cela peut venir de là. J'ai désactivé le service du coup.

1183844239_Capturedcran2020-11-04213844.png.35fd1d658c871074029c1c3427c8e668.png

il y a une heure, oracle7 a dit :

En 4G une fois le VPN connecté, si tu tapes dans un navigateur Web sur le smartphone "http://10.8.0.1:5000" est-ce que tu atteins bien le login de DSM ?

Je vais tester et je te redis.

Je commence à me dire que ma freebox et mon NAS sont complètement mal réglés. Existe-t-il un moyen de faire un reset "soft" de DSM (sans toucher aux données sur les DD) pour reprendre une configuration saine ? 

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, oracle7 a dit :

OK c'est normal puisque tu te connectes en wifi avec ton réseau local. De toutes façons, un nslookup xxxxx.synology.me 1.1.1.1 te renverra toujours ton @IP externe que tu soit connecté ou pas en VPN car xxxxx.synology.me est ton DDNS.

sauf que là en réseau local ça devrait pointer vers l'IP locale telle que définie dans la zone locale (c'est exactement ce que j'observe chez moi) si tu ne mets pas 1.1.1.1.

Je ne suis pas très sûr à 100% et je reste très prudent mais si tu es en VPN tu tentes de te connecter par ton IP publique depuis ton réseau local...à moins de faire du loopback tu n'y arriveras pas. Edit : je viens de voir ton post ci-dessus tu as une freebox donc du loopback !

Bon je n'ai jamais pratiqué le DDNS c'est peut-être différent d'un domaine sur IP fixe.

@lordatao

Je peux complètement me planter mais vérifie quand même que ta zone est bien utilisée pour toutes les IP locales (4 sous-réseaux décrits plus hauts et que tu as bien paramétré la vue locale (reprends le tuto de Fenrir sur DNS serveur)

 

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

il y a 5 minutes, Jeff777 a dit :

Je peux complètement me planter mais vérifie quand même que ta zone est bien utilisée pour toutes les IP locales (4 sous-réseaux décrits plus hauts et que tu as bien paramétré la vue locale (reprends le tuto de Fenrir sur DNS serveur)

@Jeff777

Ok. je regarde le tuto.

Je vais également tout effacer les réglages pour tout reprendre à zéro. A force de manipuler ma config, plus rien ne fonctionne 😅

est ce que j'ai vraiment besoin du DNS serveur pour utiliser ma connexion en xxxx.synology.me ? J'ai une IP fixe mais si je change d'opérateur box, l'adresse en synology.me est bien pratique et plus facile à retenir...

Je pense que j'ai lu tellement du tuto que j'ai fini par faire n'importe quoi... Et voilà le résultat !

Lien vers le commentaire
Partager sur d’autres sites

Avant de tout effacer vérifie que le sous réseau 10.0.0.0 255.0.0.0   est bien listé dans les limitations d'IP.

Voilà ce que dit Fenrir à la fin du tuto sur la zone locale:

nb : vous pouvez aussi créer une vue dédiée à vos clients VPN afin qu'ils puissent atteindre votre nas via son adresse en 10.x (cf tuto vpn) simplement en entrant un nom DNS, il faudra juste bien penser à le limiter aux adresses VPN (en 10.x).

Ce n'est pas nécessaire de créer une vue dédiée mais il faut absolument que le sous-réseau VPN soit dans la limitation de la zone locale que tu as créé.

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

@Jeff777

Je viens de reprendre complètement les parametres du serveur DNS suivant le tuto de @Fenrir 

Les réponses en nslookup sont positives pour le moment.

J'ai simplement un message de DSM lorsque je créé une vue dédiée à mon client vpn et que je veux lui attribuer une zone. Il me la refuse.

147268693_Capturedcran2020-11-04223527.thumb.png.439aec2097606dadd05cc62a30318af0.png

Merci pour l'aide de ce soir... Je vais aller me coucher et je verrais pour reprendre les réglages de la box et du NAS demain soir. Mais j'ai au moins avancé sur les réglages du DNS car ce n'était pas complet au niveau des réglages (pas de zone attribuée ni de vues...)

Bonne nuit 😴😉

Lien vers le commentaire
Partager sur d’autres sites

@lordatao

Comme je t'ai dit plus haut, il n'est pas nécessaire de faire une zone dédiée VPN.

Tu ne fais qu'une seule zone que tu limites aux 4 sous-réseaux locaux (dont 10.0.0.0 pour le VPN) et tu l'affectes à une seule vue LAN.

 

Lien vers le commentaire
Partager sur d’autres sites

@Jeff777

Bonjour,

Après plusieurs test nslookup sur différents PC (et notamment depuis mon PC de boulot connecté à mon VPN entreprise), j'obtiens les bonnes réponses !! Je reçois bien mon adresse IP internet en réponse. C'est déjà un bon début, c'est bien réglé. Je vais reprendre le tuto à zéro puisque le DNS fonctionne comme il faut. J'ai également changé mes serveurs DNS par ceux de FDN. C'est mieux...

Lien vers le commentaire
Partager sur d’autres sites

@Jeff777 @oracle7

Bon, j'ai tout repris à zéro. Il y avait 2/3 choses qui n'allait pas dans les adresses et sous réseau.

J'ai repris correctement le tuto du dns server et celui sécuriser les accès à son nas. J'ai également repris doucement ce tuto, et tout reparamètrer tranquillement. Normalement, tout devrait être bon... Hé bien non !! 

OPenVPN activé et connexion 4G : pas d'accès à mon NAS depuis explorateur W10 et impossible de me connecter à DSM via chrome et mon adresse xxx.synology.me:5001. Par contre, en enlevant le suffixe 5001, je peux me connecter (idem depuis la 4G depuis mon smartphone).

1651955098_Capturedcran2020-11-05184200.thumb.png.049d10714d496a03be8e49f1881663ce.png

Pour l'accès à mon NAS, il faut bien lui rentrer son nom de réseau ou son adresse en 192.168.1.XX ?

Je vous joins le fichier log d'open vpn si ca peut aider...

VPNConfig.log

Edit : J'ai une nouvelle icone de réseau qui est apparue dans la barre des tâches. Je pense donc que tout n'est pas perdu...

Modifié par lordatao
MAJ
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.