[TUTO] VPN Server

[oracle7]

@lordatao

Bonjour,

Bien on avance alors !😀

il y a 10 minutes, lordatao a dit :

Pour l'accès à mon NAS, il faut bien lui rentrer son nom de réseau ou son adresse en 192.168.1.XX ?

Oui, --> http://192.168.1.XX:5000 ou https://192.168.1.XX:5001

Pour le log OpenVPN tu peux ajouter ces 2 lignes  :

remote-cert-tls server
auth-nocache

dans le fichier de configuration ".ovpn" pour ne plus avoir de warning dans ton log.

Cordialement

oracle7😉

[Jeff777]

Ben il semble qu'avec l'adresse XXXX.synology.me:5001 tu arrives sur le NAS en https. c'est déjà ça

Et sans le 5001 tu arrives sur le DSM. Tu as un reverse proxy ?

il y a 35 minutes, lordatao a dit :

Pour l'accès à mon NAS, il faut bien lui rentrer son nom de réseau ou son adresse en 192.168.1.XX ?

EDIT :Pour se connecter au DSM en local oui son adresse en 192.168.1.xx:5000 ou 5001 mais si tu as configuré correctement la zone locale tu devrais aussi pouvoir le joindre en local avec son nom de réseau et le port 5001. Si tu as fait un reverse proxy tu peux te passer du port 

Modifié le 5 novembre 2020 par Jeff777

[lordatao]

il y a une heure, Jeff777 a dit :

EDIT :Pour se connecter au DSM en local oui son adresse en 192.168.1.xx:5000 ou 5001 mais si tu as configuré correctement la zone locale tu devrais aussi pouvoir le joindre en local avec son nom de réseau et le port 5001. Si tu as fait un reverse proxy tu peux te passer du port 

Désolé, je suis un peu néophyte sur certaines configurations. qu'est ce que le reverse proxy (tu peux en déduire que je n'en ai pas fait...) ?

Et petite correction, je ne peux plus me connecter avec mon accès DS file (en wifi ou 4G) ou xxxx.synology.me:5001. Qd le 5001 est retiré, je peux me connecter...

Edit : si je comprends bien, le https ne fonctionne plus (5001), c'est ça ?

Modifié le 5 novembre 2020 par lordatao

[oracle7]

@lordatao

Bonjour,

Regardes ce TUTO tout y est expliqué.

il y a 4 minutes, lordatao a dit :

Edit : si je comprends bien, le https ne fonctionne plus (5001), c'est ça ?

Oui et non, peut-être parce que tout simplement le port 443 n'est pas d'une part transféré du routeur vers le NAS et que d'autre part le port 443 n'est pas ouvert sur dans le pare-feu de ton NAS.

Mais lis le TUTO tu comprendras mieux.

Cordialement

oracle7😉

Modifié le 5 novembre 2020 par oracle7

[lordatao]

@oracle7

Bonsoir,

Merci pour le tuto. Je vais regarder cela de plus près. Il faut que je pose tout sur papier afin de le faire tranquillement. Cela permettra de simplifier mes accès. Je crois que j'ai trop de ports ouverts sur la box et le NAS.

J'avais une interrogation sur l'adresse à rentrer dans l'explorateur W10 lorsque je suis en VPN. Il faut rentrer son nom local ou 192.168.1.XX dans la barre d'adresse pour accéder au NAS ? Pas 10.8.0.1 ?

sur la ligne 3 du FW, certains ont mis en adresse 192.168.1.0/255.255.255.0. Est-ce que cela change qq chose ? Dans ce tuto où le problème ressemble un peu au mien... Je ne veux pas faire n'importe quoi. J'ai déjà fait assez de bêtises comme ça 😂

 

[lordatao]

Est-ce normal d'avoir une connexion en public alors que je suis en VPN dans W10 ?

[Jeff777]

On va essayer d'y aller doucement.

il y a une heure, lordatao a dit :

Désolé, je suis un peu néophyte sur certaines configurations. qu'est ce que le reverse proxy (tu peux en déduire que je n'en ai pas fait...) ?

OK donc pas utilisé de reverse proxy. Pour le moment on ne parle pas de reverse proxy.

il y a une heure, lordatao a dit :

Et petite correction, je ne peux plus me connecter avec mon accès DS file (en wifi ou 4G) ou xxxx.synology.me:5001. Qd le 5001 est retiré, je peux me connecter...

Bon on commence à s'y perdre. Peux-tu faire un résumé de ce que tu observes en détaillant chaque essai comme cela: 

1/ Type d'appareil (depuis PC windows, tablette android, smartphone etc),

2/ mode de connexion (ethernet,WI-FI,4G) avec ou non utilisation de OpenVPN 

3/ Adresse complète mise dans le navigateur. 

4/ Résultats obtenus : DSM ou message d'erreur à préciser. (d'ailleurs j'y pense, j'ai eu des soucis avec un navigateur samsung. il peut donc arriver que certains navigateurs te donne une erreur, même après vidage du cache, il faudrait que tu confirmes une erreur par l'utilisation d'un deuxième navigateur)

Avec ce tableau on y verra plus clair (j'espère 🙄)

il y a une heure, lordatao a dit :

sur la ligne 3 du FW, certains ont mis en adresse 192.168.1.0/255.255.255.0. Est-ce que cela change qq chose ? Dans ce tuto où le problème ressemble un peu au mien... Je ne veux pas faire n'importe quoi. J'ai déjà fait assez de bêtises comme ça 😂

laisse comme cela tu as inclus tous les réseaux locaux dont le tien.

il y a 48 minutes, lordatao a dit :

Est-ce normal d'avoir une connexion en public alors que je suis en VPN dans W10 ?

Là aussi tu restes comme cela.

[oracle7]

@lordatao

Bonjour,

il y a une heure, lordatao a dit :

sur la ligne 3 du FW, certains ont mis en adresse 192.168.1.0/255.255.255.0. Est-ce que cela change qq chose ?

OUI dans le sens où dans ce cas on n'autorise que les @IP de la plage 192.168.1.1 à 192.168.1.255 (255 @IP). On est alors plus restrictif car avec 192.168.0.0/255.255.0.0 on autorise toutes les @IP de la plage 192.168.0.1 à 192.168.255.255 (65025 @IP).

il y a 53 minutes, lordatao a dit :

Est-ce normal d'avoir une connexion en public alors que je suis en VPN dans W10 ?

Pour être bien clair, ton PC est connecté en Wifi à ton smartphone 4G ? Si oui alors sauf erreur de ma part je dirai que c'est normal. Mais comme je n'utilise pas ce type de configuration ce qui fait que je ne suis pas sûr de cette réponse.

Comme @Jeff777 vient de te poser tout un tas de questions, je m'arrête là et attends aussi tes réponses à celle-ci car c'est vrai il a raison, cela commence à être un peut confus.

Cordialement

oracle7😉

[lordatao]

@oracle7 @Jeff777

Ok merci pour vos réponses.

Effectivement, une compilation des résultats dans un tableau sera plus claire. Je vous prépare ça.

Je ne touche plus à rien pour l'instant.

[Jeff777]

Très bien. Je pense que c'est important et surtout précise bien ce que tu obtiens car :

Il y a 3 heures, lordatao a dit :

OPenVPN activé et connexion 4G : pas d'accès à mon NAS depuis explorateur W10 et impossible de me connecter à DSM via chrome et mon adresse xxx.synology.me:5001. Par contre, en enlevant le suffixe 5001, je peux me connecter (idem depuis la 4G depuis mon smartphone).

Quand tu dis "je peux me connecter" ça veut dire que tu vois l'image ci-dessus ???

[lordatao]

@oracle7 @Jeff777

Voici le résultat des tests effectués. J'espère que c'est plus clair. 

 

Test nslookup Adresse IP reconnue               appareil mode de connexion utilisation OpenVpn Adresse complète dans le navigateur Résultats DSM PC W10 Wifi non https://XXXX.synology.me:5001/ Pas d'accès. "Désolé, la page que vous recherchez est introuvable." PC W10 Wifi non http://XXXX.synology.me:5000/ Pas d'accès. "Désolé, la page que vous recherchez est introuvable." PC W10 Wifi non https://XXXX.synology.me/ Accès DSM OK. Cadenas sur le côté pour signaler site sécurisé PC W10 Wifi non http://XXXX.synology.me/ Accès DSM OK PC W10 Wifi non https://192.168.1.36:5001/ Accès DSM OK; Affichage icône rouge site non sécurisé dans chrome PC W10 Wifi non http://192.168.1.36:5000/ Accès DSM OK; Affichage icône grise site non sécurisé dans chrome Smartphone Wifi non https://192.168.1.36:5001/ Accès DSM OK; Affichage icône rouge site non sécurisé dans chrome Smartphone Wifi non http://192.168.1.36:5000/ Accès DSM OK; Affichage icône grise site non sécurisé dans chrome Smartphone Wifi non https://XXXX.synology.me/ Accès DSM OK Smartphone Wifi non http://XXXX.synology.me/ Accès DSM OK Smartphone Wifi non https://XXXX.synology.me:5001/ Pas d'accès. "Désolé, la page que vous recherchez est introuvable." Smartphone Wifi non http://XXXX.synology.me:5000/ Pas d'accès. "Désolé, la page que vous recherchez est introuvable." Smartphone 4G non http://XXXX.synology.me/ Accès DSM OK Smartphone 4G non https://XXXX.synology.me/ Accès DSM OK Smartphone 4G non http://192.168.1.36/ Ne fonctionne pas. Normal, pas sur le LAN PC W10 4G non https://XXXX.synology.me:5001/ Pas d'accès. "Désolé, la page que vous recherchez est introuvable." PC W10 4G non http://XXXX.synology.me:5000/ Pas d'accès. "Désolé, la page que vous recherchez est introuvable." PC W10 4G non https://XXXX.synology.me/ Accès DSM OK PC W10 4G non http://XXXX.synology.me/ Accès DSM OK PC W10 4G non https://192.168.1.36:5001/ Ne fonctionne pas. Normal, pas sur le LAN PC W10 4G oui https://192.168.1.36:5001/ Ne fonctionne pas. Alors que là, ça devrait puisque VPN donc connecté sur le LAN PC W10 4G oui https://XXXX.synology.me/ Accès DSM OK. Cadenas sur le côté pour signaler site sécurisé PC W10 4G oui http://XXXX.synology.me/ Accès DSM OK; Affichage icône grise site non sécurisé dans chrome PC W10 4G oui http://192.168.1.36:5000/ Accès DSM OK PC W10 4G oui https://XXXX.synology.me:5001/ Pas d'accès. "Désolé, la page que vous recherchez est introuvable." PC W10 4G oui http://XXXX.synology.me:5000/ Pas d'accès. "Désolé, la page que vous recherchez est introuvable." PC W10 4G oui http://192.168.1.36:5000/ Ne fonctionne pas. Alors que là, ça devrait puisque VPN donc connecté sur le LAN DS FILE 4G non XXXX.synology.me Pas d'accès DS FILE Wifi non 192.168.1.36 Accès DS file ok DS FILE Wifi non https://XXXX.synology.me/ la connexion a échoué. Veuillez vous assurer que le service webdav sur votre synology NAS est activé

Modifié le 5 novembre 2020 par lordatao

[Jeff777]

Bravo @lordataopour ton boulot! On va y voir plus clair.

Première remarque : Tu fais deux fois le même test. Une fois ça fonctionne mais pas la deuxième fois :

Il y a 8 heures, lordatao a dit :

PC W10 4G oui http://192.168.1.36:5000/ Accès DSM OK

 

Il y a 8 heures, lordatao a dit :

PC W10 4G oui http://192.168.1.36:5000/ Ne fonctionne pas. Alors que là, ça devrait puisque VPN donc connecté sur le LAN

Tu as dû te tromper. Vérifie aussi avec un autre navigareur.

Sinon on constate que xxxx.synology.me mène vers ton DSM sans utiliser le port 5000 ou 5001 c'est curieux.

Je regarde sur tes posts précédents et de ton côté regarde dans ta config là où ces ports sont nommés s'il n'y a pas d'erreur.

Pour DS file nous verrons après, mais déjà il faut résoudre ce pb.

 

Edit après avoir regardé les posts précédents. Puisque pour le moment tu n'utilises pas le reverse proxy, il faudrait que tu ouvres le port 5001 sur le NAS pour accéder à minimum en https avec https://xxxxxx.synology.mi:5001.

D'autres part est-ce que les ports 5000 et 5001 sont déclarés ici : et là :

Modifié le 6 novembre 2020 par Jeff777

[oracle7]

@Jeff777

Bonjour,

Ce qui est bizarre dans cette affaire c'est que les ports 5000 et 5001 semblent bien ouverts dans son pare-feu :

donc il devrait accèder au NAS avec https://xxxxx.synology.me:5001 !

A vérifier tout de même pour lever le doute.

EDIT : Quand je vois cela :

et cela :

C'est comme si un reverse proxy était configuré et cela passe en "normal" et en "VPN". @lordatao c'est le cas O/N ?

Cordialement

oracle7😉

Modifié le 6 novembre 2020 par oracle7

[Jeff777]

@oracle7

Oui tu as raison mais  ce sont les ports qui sont enregistrés dans les paramètres DSM. Je viens de faire l'essai 😉

Donc si ceux-ci ne sont pas 5000 et 5001 cela ne peut pas marcher ! Alors je me demande s'il n'aurait pas mis 80/443 ou rien ! Ce qui expliquerait qu'il arrive sur le DSM avec l'adresse sans port 

Modifié le 6 novembre 2020 par Jeff777

[oracle7]

@Jeff777

Bonjour,

il y a 10 minutes, Jeff777 a dit :

Donc si ceux-ci ne sont pas 5000 et 5001 cela ne peut pas marcher !

Oui c'est fort possible qu'il ait changer ces ports. Toutefois, si ce n'était pas le cas, alors il y aurait un sérieux problème 🥴

Pas facile à trouver ...

Cordialement

oracle7😉

[Jeff777]

On a déjà écarté le reverse proxy et cela m'étonnerait que @lordatao en ai fait un par hasard

[oracle7]

@Jeff777

Bonjour,

Une réflexion peut-être idiote, mais ne serait-ce pas aussi la définition de son DNS serveur qui mettrait la pagaille ?

Je m'avance sur ce point car @Fenrir dit bien dans son TUTO (en rouge dans la partie zone locale) qu'il déconseillait fortement de configurer un DNS serveur avec un domaine que l'on ne maitrise pas en tant que propriétaire : en l'occurrence xxxxx.synology.me. Ton avis STP ?

Cordialement

oracle7😉

[Jeff777]

Sa zone locale est limitée aux adresses locales donc ce que tu dis ne suffit pas à expliquer ceci :

Il y a 15 heures, lordatao a dit :

Smartphone 4G non http://XXXX.synology.me/ Accès DSM OK

Smartphone 4G non https://XXXX.synology.me/ Accès DSM OK

Attendons ce que dit @lordataosur le paramétrage du DSM dans la config/réseau. 

 

 

 

Modifié le 6 novembre 2020 par Jeff777

[lordatao]

@oracle7 @Jeff777 @Thierry94

Messieurs bonsoir et encore merci pour votre aide.

Je viens de reprendre à zéro la configuration en étant le plus basique (juste le réglage pour l'accès au VPN, le reste, je verrais plus tard lorsque le VPN fonctionnera). Le résultat est toujours le même. La connexion du VPN se fait, le tunnel à l'air établi mais aucune connexion sur l'explorateur W10.

Voici les réglages de ma freebox V6

Je n'ai ouvert que les 2 ports.

L'UPN est désactivé.

Mes adresses sont réglées comme tel.

Voici ce que j'ai en réseau local et que je veux obtenir via le vpn.

Voici maintenant les réglages de mon NAS

Voici le fichier de configuration du VPN

Une fois connecté, voici ce que j'obtiens lorsque je tente de me connecter au nas

Voilà l'ensemble de mes réglages. Je ne vois pas ce qui bloque (je pense avoir fait les bons réglages mais je ne suis absolument pas un expert...)

Si ces éléments peuvent éclairer votre expertise, je suis preneur des différents réglages à réaliser avant de penser aux autres connexions (DS file sur mon mobile, Plex..., je verrais cela plus tard).

[Jeff777]

Euh... je n'ai pas tout lu car je vais devoir m'absenter. Mais je reviens sur la question ci-dessus. 

As-tu ceci dans ton paramétrage :

 

Modifié le 6 novembre 2020 par Jeff777

[lordatao]

@Jeff777

Voici ce que j'ai

 

[Jeff777]

@lordatao

Décoche "activer un domaine spécialisé".

Modifié le 6 novembre 2020 par Jeff777

[lordatao]

@Jeff777

Est-ce que je dois cocher la case "activer l'en-tête "server"" comme sur ton image ?

 

[oracle7]

@lordatao

Bonjour,

Si tu définis une plage DHCP dans ton routeur allant de 192.168.1.2 à 50, tu ne peux pas alors définir l'@IP 192.168.1.36 pour ton NAS.

Ce dernier doit avoir une @IP fixée par un bail statique EN DEHORS de la plage d'attribution automatique du DHCP sinon tu risque qu'un périphérique se connectant se voit attribuer cette même @IP d'où conflit et c'est pas bon pour le réseau.

Dans ton fichier de config .ovpn l'instruction "dhcp-option DNS" doit être "dhcp-option DNS 10.8.0.1" (@IP du NAS en VPN) et non pas "dhcp-option DNS 192.168.1.254".

Sinon mis à part la bonne remarque de @Jeff777, cela me semble bon a priori.

EDIT : Oui il faut cocher la case "Activer l'en-tête "server" dans les réponses HTTP"

Cordialement

oracle7😉

Modifié le 6 novembre 2020 par oracle7

[.Shad.]

@lordatao

Peux-tu s'il-te-plaît re-commenter les options dhcp-option et redirect-gateway def1 ?
Ces options ne sont pas nécessaires pour qu'un serveur OpenVPN fonctionne, le temps de debugger la situation au moins.

On va faire un petit test tout bête, tu vas éditer le fichier hosts de Windows 10 (C:\Windows\ System32\drivers\etc\hosts) en ajoutant :

192.168.1.36          nas.test
10.8.0.1              nas.test

Tu te déconnectes du VPN, puis tu mappes le lecteur réseau video en entrant l'adresse :

\\nas.test\video

Tu tentes d'y accéder. Si ça fonctionne, tu te connectes au VPN et tu essaies de nouveau de parcourir le dossier partagé. As-tu toujours une erreur ?