[TUTO] VPN Server

[MilesTEG1]

@oracle7 Le soucis c'est que j'ai 3 fichiers quand j'exporte le certificat que j'ai fait sur le nas sur bla.nas.ndd.ovh :
Et si je souhaite l'importer les noms des fichiers ne sont pas super claire quant à l'endroit où les placer...
Je suppose que Clé privée = privkey.pem
Mais les autres... chain.pem va où ? Certificat ? ou Certificat intermédiaire ?

Du coup je n'ai pas le fichier à modifier comme tu le proposes...

Bon après, c'est pas plus compliqué de mettre à jour le certificat sur le routeur directement 🙂

 

Sinon j'ai constaté que les deux certificats que j'ai créé récemment, sont émis par R3 et pas par Let's Encrypt :

C'est normal ? Ou faut que je m'inquiète ?

[Jeff777]

Salut @MilesTEG1

cert.perm  certificat

chain.perm certificat provisoire

fullchain c'est la somme des deux

 

Modifié le 21 décembre 2020 par Jeff777

[MilesTEG1]

@Jeff777 Ok merci, donc si je résume bien avec les fichiers ça donnerais ça :

Clé privée = prikey.pem
Certificat = cert.pem
Certificat intermédiaire : chain.pem

Je tenterais lorsque je devrais renouveller le certificat ^^ Car celui sur le routeur ne sera pas souvent utilisé... J'en ai un autre pour accéder au routeur avec un reverse proxy.

[Jeff777]

oui c'est ça !

Si tu édites les fichiers, qui sont de simples fichiers texte avec l'extension perm, tu verras que fullchain.perm comprend deux certificats cert.perm et chain.perm

[MilesTEG1]

il y a 10 minutes, Jeff777 a dit :

Si tu édites les fichiers, qui sont de simples fichiers texte avec l'extension perm, tu verras que fullchain.perm comprend deux certificats cert.perm et chain.perm

J'ai édité les fichiers, et je ne vois pas de fichier qui contient le contenu des deux autres.
Et je précise que je n'ai pas de fichier fullchain.perm.

 

[Jeff777]

il y a 15 minutes, MilesTEG1 a dit :

J'ai édité les fichiers, et je ne vois pas de fichier qui contient le contenu des deux autres.

C'est normal si tu n'as pas le fichier fullchain c'est lui qui contient les deux autres 😄

[MilesTEG1]

Ok ouf, je commençais à me dire que j'étais dingue ou que je ne comprenais rien à ce que tu disais 😅

[MilesTEG1]

@Jeff777

Ça y est, j'ai résolu le soucis de l'internet via OpenVPN : j'ai décoché la case "Utiliser le DNS manuel".
Et maintenant que ce soit depuis iOS ou depuis macOS, j'accède bien à internet avec l'IP de la LB4 comme ip publique, et j'accède aussi bien aux ressources du LAN 😄

YEAH !

Bon j'ai toujours mon soucis avec SSL VPN...

[MilesTEG1]

Pour la postérité, et pour ceux qui auraient mon soucis avec le SSL VPN, j'ai la solution, merci au support de Synology qui m'a répondu super rapidement ! (demande faite à 13h30, 1ère réponse reçue à 15h17).

Il a fallu que je désinstalle le client du mac : 

En suivant le point 3. de ce lien vers la base de connaissance de Synology. J'avais bien pensé à réinstaller ce client, mais sans le désinstaller au préalable.
Une fois la désinstallation faite, puis la réinstallation, j'ai enfin pu me connecter au SSL VPN 😄 

Il restait un dernier soucis : si j'avais bien accès aux ressources de mon LAN, tout le traffic internet passait par la connexion 4G et pas par le VPN... Il fallait désactiver le split tunneling 😅

Maintenant tout fonctionne super bien 😄

Merci au support Synology qui a été super réactif.

[oracle7]

@MilesTEG1

Bonjour,

il y a 3 minutes, MilesTEG1 a dit :

Il fallait désactiver le split tunneling 

C'est étonnant car chez moi il est activé mais en plus j'ai indiqué (clic sur le bouton "modifier") mon sous-réseau local 192.168.2.0 et là je n'ai jamais eut aucun problème avec SSL VPN.

Cordialement

oracle7😉

[MilesTEG1]

@oracle7 Bah je sais pas du coup... Je sais qu'avec le traffic internet ne passait pas intégralement dans le VPN... Et sans oui.
Tu es sur qu'avec l'option ton traffic internet passe bien par le VPN ?
Vérifie ton ip avec et sans le VPN : http://ip.lafibre.info/ 

[oracle7]

@MilesTEG1

Bonjour,

Là tu as mis le doute dans mon esprit🥴.

Connecté avec VPN SSL ou non depuis mon smartphone 4G, ip.lafibre.info (dans un navigateur web du smartphone) me donne toujours l'@IP publique de mon smartphone.

Cela dit, tout ce qui est à destination du réseau local passe bien par le VPN, et le reste bah ... maintenant je ne sais plus dire. a priori, je dirai que cela passe aussi par le VPN, vu le ralentissement de débit constaté.

Cordialement

oracle7😉

[MilesTEG1]

@oracle7 Et ben si tu as la même IP en passant par le VPN et depuis ton smartphone en 4G, ça veut dire que ton traffic internet ne passe pas par le VPN.
Après ce n'est peut-être pas ce que tu souhaites, ou bien tu t"en fiches ^^

Mais moi je voulais que tout le traffic, internet compris, passe par le VPN 😉

 

[oracle7]

@MilesTEG1

Bonjour,

Du coup, je suis vraiment perdu. Je viens de décocher le "Split tunneling" et étant connecté avec SSL VPN (activité vue sur VPN Server) la ip.lafibre.info (dans un navigateur web du smartphone 4G) me donne maintenant l'@IP publique de ma box. C'est normal çà ?

Qu'est-ce qu'on doit avoir pour être sûr ? Sinon, quand le "Split tunneling" est activé, il n'y a que le traffic à destination de mon réseau local qui passe par le VPN ? Si c'est cela, c'est parfait pour moi car je veux juste que ce type de connexion soit "sécurisée".

Cordialement

oracle7😉

[ACDC]

Bonjour à tous, quel sont les débits à espérer d'une connexion avec VPNServer avec OpenVPN sur NAS DS1618+ ?

Là ou se trouve le NAS j'ai un connexion effective de 500Mb/s en Download et 100Mb/s en Upload. Là ou se trouve mon PC portable j'ai une connexion de 200Mb/s en Download et 100Mb/s en Upload

Lorsque je DL un fichier via le DSM et FileStation je suis bien à 12Mo/s donc mes 100Mb/s d'Upload

Lorsque je passe par le VPN je suis à 2Mo/s au grand maximum. Je suis en UDP.

[MilesTEG1]

Il y a 2 heures, oracle7 a dit :

Du coup, je suis vraiment perdu. Je viens de décocher le "Split tunneling" et étant connecté avec SSL VPN (activité vue sur VPN Server) la ip.lafibre.info (dans un navigateur web du smartphone 4G) me donne maintenant l'@IP publique de ma box. C'est normal çà ?

@oracle7

Oui c’est normal et c’est ce que je cherchait. Tout le traffic internet passe par le vpn qui est sur ton routeur lui même relié à ta box. Donc si tout le traffic passe par le vpn, depuis un navigateur sur ton smartphone tu verras donc l’adresse IP publique de ta Box 😊

Mais si tu actives le tunneling Ron traffic internet passe par ta 4G donc pas par ta Box.

Après ce n’est pas forcément gênant, tout dépend de ce que tu veux faire .

en ayant le vpn sur le routeur je peux maintenant bénéficier de AdGuard quand je suis connecté au VPN : mega plus par rapport à avant quand ça passait par le nas car là le nas ne pouvait pas joindre le serveur dns de adguard qui est dans un conteneur.

Bref j’ai gagné sur plusieurs plans avec ce routeur 😁

/mode très content de mon achat d’anniversaire 😜

Il y a 2 heures, oracle7 a dit :

Qu'est-ce qu'on doit avoir pour être sûr ? Sinon, quand le "Split tunneling" est activé, il n'y a que le traffic à destination de mon réseau local qui passe par le VPN ? Si c'est cela, c'est parfait pour moi car je veux juste que ce type de connexion soit "sécurisée".

Alors je n’ai pas vraiment saisi le fonctionnement du split tunneling, mais  oui activé, ton traffic web ne passe pas par le vpn mais par la connexion d’où tu inities la connexion vpn.
Donc pour toi c’est ce comportement que tu recherches 😊

 

@Dark-Spirit

ca va dépendre des cpu des deux périphériques connectés au VPN : donc ton pc et le nas.

Fait un Speedtest test avec et dans le nas ou un iperf3 en ligne de commande.

Mais du coup tu m’as donné envie de tester le débit avec le vpn et sans 😊 

@oracle7

@Dark-Spirit

les @machin n’ont pas fonctionné dans le message précédent ... je suis sur mobile.

[oracle7]

@MilesTEG1

Bonjour,

👍👏 MERCI beaucoup pour tes explications. 😊 Maintenant j'ai compris, c'est bien plus clair dans ma "p'tite caboche" 😛

Cordialement

oracle7😉

[ACDC]

il y a 25 minutes, MilesTEG1 a dit :

@oracle7

Oui c’est normal et c’est ce que je cherchait. Tout le traffic internet passe par le vpn qui est sur ton routeur lui même relié à ta box. Donc si tout le traffic passe par le vpn, depuis un navigateur sur ton smartphone tu verras donc l’adresse IP publique de ta Box 😊

Mais si tu actives le tunneling Ron traffic internet passe par ta 4G donc pas par ta Box.

Après ce n’est pas forcément gênant, tout dépend de ce que tu veux faire .

en ayant le vpn sur le routeur je peux maintenant bénéficier de AdGuard quand je suis connecté au VPN : mega plus par rapport à avant quand ça passait par le nas car là le nas ne pouvait pas joindre le serveur dns de adguard qui est dans un conteneur.

Bref j’ai gagné sur plusieurs plans avec ce routeur 😁

/mode très content de mon achat d’anniversaire 😜

Alors je n’ai pas vraiment saisi le fonctionnement du split tunneling, mais  oui activé, ton traffic web ne passe pas par le vpn mais par la connexion d’où tu inities la connexion vpn.
Donc pour toi c’est ce comportement que tu recherches 😊

 

@Dark-Spirit

ca va dépendre des cpu des deux périphériques connectés au VPN : donc ton pc et le nas.

Fait un Speedtest test avec et dans le nas ou un iperf3 en ligne de commande.

Mais du coup tu m’as donné envie de tester le débit avec le vpn et sans 😊 

@oracle7

@Dark-Spirit

les @machin n’ont pas fonctionné dans le message précédent ... je suis sur mobile.

Le CPU n'est certainement pas un soucis, Lenovo T14 avec i5 de 10ème Gen, speedtest à plus de 250Mb en 4G suivant les endroit où je me trouve. 

Pour le CPU du NAS je suppose qu'il devrait être capable d'aller jusqu'à 100Mb/s, DS1618+, comment je peux faire un speedtest depuis le NAS ? En transfert local je sature sans soucis mon réseau 1Gb/s 

[MilesTEG1]

@Dark-Spirit

Avec le VPN en L2TP depuis mon mac qui utilise le partage de connexion 4G à la campagne, donc pas un gros débit :

Ça fluctue là aussi 😮 mais un peu moins...

Depuis le même mac avec le partage de connexion, mais sans VPN :
Ça fluctue à mort 😮 

 

Bon mes tests ne sont pas très concluants... ni très comparables... même si je n'ai pas bougé d'un pouce le téléphone...
 

[ACDC]

@MilesTEG1 

Effectivement débits assez instable et faible, il faudrait tester avec une meilleures connexion, moi j'arrive à maxi 20Mb/s avec le VPN et à plus de 200Mb/s sans le VPN, j'ai une carte sim directement dans le Laptop car le partage de connexion se fait en wifi 2,4ghz et est limité autour des 50Mb/s.

[MilesTEG1]

@Dark-Spirit
Je suis avec ma connexion 4G, donc de base pas très stable.
Avec une connexion VPN OpenVPN, j'ai de meilleurs débits :

Avec le SSL VPN :

 

Ça me semble plus stable et mieux dans ces deux modes de VPN.
Bon après, le L2TP il me semble que c'est celui qui chiffre le mieux.

@oracle7 Pour le SSL VPN, il m'a été conseillé ces réglages de chiffrements :

C'est bien plus sécurisé que le SSLv3 qui est à priori obsolète d'après ceux qui m'ont conseillé ça sur le forum synology officiel.

 

Sinon je n'avais pas fait attention, mais je n'avais pas paramétré le serveur DNS dans la configuration des VPN XD du coup ça ne passait pas par mon AdGuard Home.
j'ai ajouté ça dans le fichier ovpn pour OpenVPN :

dhcp-option DNS 192.168.2.200
dhcp-option DNS 9.9.9.9

Mais il ne faut surtout pas que je mette quelque chose dans "Utiliser le DNS manuel", l'option doit rester décochée...
Pour L2TP, par contre, il faut la cocher et mettre l'IP du serveur DNS.
Je vois bien dans AdGuard les IP que j'ai depuis mon MBA en passant par les VPN 🙂 
Par contre, je ne suis pas sur d'avoir une IP fixe pour la connexion en VPN XD

 

 

[oracle7]

@MilesTEG1

Bonjour,

Merci pour l'info des paramètres de sécurité de VPN SSL. Je mets à jour de suite.

Pour ce qui est du serveur DNS dans le fichier de configuration d'OpenVPN, j'ai mis tout simplement l'@IP du NAS dans le sous-réseau VPN.

Cordialement

oracle7😉

[MilesTEG1]

il y a 45 minutes, oracle7 a dit :

Pour ce qui est du serveur DNS dans le fichier de configuration d'OpenVPN, j'ai mis tout simplement l'@IP du NAS dans le sous-réseau VPN.

Tu as fais quelque chose de différent par rapport à ce que j’ai décrit ??

si c’est le cas je suis prenneur 😊

[.Shad.]

Un peu étrange votre discussion concernant les débits 😄 

Grosso modo, à connexion égale (encore faut-il qu'elle ne fluctue pas comme la tienne @MilesTEG1), ce qui influe :

- La connexion montante du serveur (au mieux égale, très souvent inférieure à la vitesse descendante).
- Le protocole UDP plus rapide contre TCP plus stable
- L'algorithme de chiffrement

Généralement, si tous les feux sont au vert, on constate une perte de débit allant de 5 à 15%, suivant le type de VPN.
Pour la performance pure, c'est plutôt vers Wireguard qui faut s'orienter.
OpenVPN n'est pas loin derrière.

[ACDC]

Il y a 9 heures, .Shad. a dit :

Un peu étrange votre discussion concernant les débits 😄 

Grosso modo, à connexion égale (encore faut-il qu'elle ne fluctue pas comme la tienne @MilesTEG1), ce qui influe :

- La connexion montante du serveur (au mieux égale, très souvent inférieure à la vitesse descendante).
- Le protocole UDP plus rapide contre TCP plus stable
- L'algorithme de chiffrement

Généralement, si tous les feux sont au vert, on constate une perte de débit allant de 5 à 15%, suivant le type de VPN.
Pour la performance pure, c'est plutôt vers Wireguard qui faut s'orienter.
OpenVPN n'est pas loin derrière.

Salut, oui c'est étrange, selon tes infos je devrais avoir des vitesse autour des 80-90Mb/s mais je plafonne à 20Mb/s

Voici ma  config VPN Server

Et voici mon fichier .openvpn

 

Modifié le 24 décembre 2020 par Dark-Spirit