Aller au contenu

[TUTO] VPN Server


Fenrir

Messages recommandés

à l’instant, Jeff777 a dit :

Ben dis nous quel était le pb ?🙂

Juste qq petits réglages qui à priori n'étaient pas correct, je ne saurais pas te dire lesquels exactement. @.Shad. m'a réglé cela tranquillement nickel... Avec des explications en plus, quoi demander de plus ? Un ENORME MERCI à lui !!!!

Il faut que je règle mes accès sur mes applis mobiles. Ca fonctionne sur le wifi mais pas en 4G. Je verrais cela demain. 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @seb46

J'ai perdu le fil....

Quand tu essaies http://192.168.1.14:5000 tu es en local ou de l'extérieur en VPN ?

Dans panneau de config/réseau/paramètres du DSM les ports 5000 et 5001 sont déclarés dans HTTP et HTTPS.

 

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

En résumé :

Tu te connectes au DSM depuis l'extérieur de ton LAN:

Avec http://192.168.1.14:5000 sur un périphérique android dont client VPN activé

Tu n'y arrives pas avec un périphérique windows 10 le client VPN étant bien activé

C'est ça ?

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

Je ne suis pas un spécialiste de la sécurité mais par expérience, il est facile de détecter , que le port 5001 est ouvert. Un accès par VPN me semble un plus sécurisant. Chez moi en laissant un port ouvert j'avais souvent des tentatives de connexion d'adresses russes et usa.

il y a 12 minutes, Jeff777 a dit :

Avec OpenVPN.

Si quelqu'un sait pourquoi la connexion est possible avec l'adresse VPN mais pas l'adresse locale j'aimerais bien savoir 🙂

Probablement que le serveur VPN synology n'est pas un vrai routeur. D'ailleurs est ce que la connexion VPN vous permet de ressortir sur internet en prenant bien l'adresse IP publique de l’accès du serveur VPN?

Modifié par Juan luis
Lien vers le commentaire
Partager sur d’autres sites

@Jeff777

Bonjour,

il y a 59 minutes, Jeff777 a dit :

Avec OpenVPN.

Si quelqu'un sait pourquoi la connexion est possible avec l'adresse VPN mais pas l'adresse locale j'aimerais bien savoir 

Ce n'est pas spécifique à OpenVPN, mais à tous les protocoles VPN utilisés pour le serveur VPN installé sur le NAS.

Lorsque le client externe établi une connexion VPN avec le Serveur VPN sur le NAS, un tunnel de communication "étanche" qui est créé en parallèle de la connexion internet "normale" entre le client et le NAS.

Dès lors l'@IP du NAS bascule automatiquement sur un réseau local dédié au VPN (10.8.0.0 pour OpenVPN, 10.2.0.0 pour L2TP/IPSec, 172.16.0.0 pour d'autres protocoles VPN, etc ...).

Ton NAS est alors joignable par le client sur l'@IP 10.8.0.1 pour OpenVPN, 10.2.0.0 pour L2TP/IPSec et il fait la passerelle avec le réseau local (192.168.x.0/24) que si tu autorises les clients à accéder au réseau local.

Voilà ce que j'en sais, si cela peut t'avoir aider ...

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, Juan luis a dit :

D'ailleurs est ce que la connexion VPN vous permet de ressortir sur internet en prenant bien l'adresse IP publique de l’accès du serveur VPN?

En se connectant au serveur VPN du NAS de l'extérieur (donc avec l'adresse publique qui figure  dans le fichier de config) on peut surfer sur internet en utilisant sa propre connexion.

Je n'ai pas la possibilité de faire un test mais il me semble bien m'être connecté à mon NAS depuis l'extérieur avec son adresse locale en utilisant un client VPN depuis une tablette.

Edit : merci de ta réponse @oracle7, j'ai effectivement cette option cochée dans les paramètres du VPN. @seb46 tu ne l'as peut-être pas cochée de ton côté ?

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

@seb46

Bonjour,

Si tu te connectes avec cette URL depuis le Wifi du MacDo du coin ou dans un aéroport par ex, alors oui, tu as toutes les chances que ta connexion puisse être espionnée à ton insu par un petit malin.

Par contre si tu établis préalablement une connexion VPN, alors tes échanges ne seront pas lisibles par le même petit malin qui t'espionnait. Au pire il ne verras que des données chiffrées, donc sans la clé de déchiffrement qui va bien, il ne pourra rien en faire.

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 7 heures, seb46 a dit :

pour partagé des fichiers du Nas avec des personnes dont je ne connais pas leur accès internet, il est donc préférable de leur faire installer le client Vpn?

Là c'est un peu contraignant. C'est pour cela que la plupart d'entre nous utilise le proxy inversé avec un fichier .htaccess pour forcer le https. Dans ce cas les ports des applications dont 5000 et 5001 ne sont pas ouverts.

Je mettrais un bémol à ce que dit @oracle7. Même si moins sécurisé si tu imposes d'utiliser   https://nomduDSM.synology.me:5001 (https) en fermant le port 5000 c'est déjà bien. D'ailleurs quand tu te connectes à ta banque tu es bien en SSL.

En conclusion j'utilise une connexion VPN lorsque je me connecte à mon NAS de l'extérieur surtout en admin. Les utilisateurs non admin de mon NAS se connectent en https imposé.

J'écris sous couvert de ceux qui savent mieux que moi. Qu'ils n'hésitent pas à corriger mes propos 😉

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 10 heures, seb46 a dit :

@oracle7@Jeff777@Juan luis

Puis je continuer a accéder a mon Nas depuis l'extérieur en utilisant  https://nomduDSM.synology.me:5001 ou est ce qu'il me faut utiliser un VPN?

Merci.

Bonjour,

Sauf erreur de ma part, un petit malin qui lance un scan d'adresses publiques va détecter le port ouvert. De la, il tombera sur la page de connexion et pourra tenter de se connecter et finir par bloquer l’accès à défaut de réussir à rentrer. Avec un VPN , il faut un login password mais aussi une clé partagée bien plus robuste et ensuite le login password de dsm.

Modifié par Juan luis
Lien vers le commentaire
Partager sur d’autres sites

Il y a 10 heures, oracle7 a dit :

Si tu te connectes avec cette URL depuis le Wifi du MacDo du coin ou dans un aéroport par ex, alors oui, tu as toutes les chances que ta connexion puisse être espionnée à ton insu par un petit malin.

Uniquement dans le cas d'une connexion en HTTP.

EN HTTPS, "l'espion" sera effectivement capable de connaitre l'adresse de de navigation, mais tout le contenu sera chiffré.

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...

Salut, je ne sait pas si le tuto est toujours d'actualité mais je n'arrive clairement pas a passer le blocage de ma livebox. je vais essayer d'être le plus explicit.

équipement: FAI: ORANGE livebox v5 avec ONT intégré, Synalogy 712+ sur la BOX en RJ, et un pc portable WIFI & RJ (sa dépend ) 

box orange: adressage IP en DHCP pour les équipements (192.168.1.26 pour le NAS)

privilégie le L2TP/IPSEC pour le VPN

 Dans l'ordre les paramétrage du pare feu dans le NAS: 

Parefeu.PNG.a95101944091ba8bdd4d3d2c713ae40c.PNG

mes réglages pour le L2TP/IPSEC:

2022316093_rglageVPN.PNG.510a94ac2043aa46ddc7f9f2cc0163e6.PNG

 

Paramétrage NAT/PAT dans la livebox :

1698551063_NATPAT.thumb.PNG.48e2e8be30dd0f19f4150d77ac597a50.PNG

 

paramétrage VPN dans windows: 

1803469820_VPNwindows.PNG.7d7f190a36452893be4ae04ba9d37776.PNG

 

et la bah, il veut rien savoir ( je suis pas en loop, je test hors connexion livebox ) il n'arrive pas a se connecter avant même le contrôle des identifiant etc 

a savoir qu'en local, en mettant l'ip 192.168.x de mon nas dans la connexion VPN windows a la place de mon IP public, j'ai accès a mon nas via le 10.2.0.0 donc fonctionnel (Notification de connexion dans le nas également )

 

je me creuse la tête depuis ce matin 🤪 , quelqu'un aurait une idée ? 

merci !!

 

 

LT2P OK.PNG

Lien vers le commentaire
Partager sur d’autres sites

La règle TOUS TOUS REFUSER du pare-feu doit arriver à la toute fin, car la résolution se fait séquentiellement.
Dès que ça arrive à cette règle, ce qui suit ne compte plus.

Et le port 1194 c'est pour OpenVPN, or tu ne t'en sers pas si j'ai bien compris.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.