[TUTO] VPN Server

[Litsip]

Le 13/05/2022 à 16:49, bliz a dit :

Bonjour à tous,

pour openvpn, je viens de passer le port 1194 UDP en port 1194 TCP, le gains de vitesse est terrible en TCP. Je voudrais savoir si cela comporte des risques de le laisser en TCP et peut être me dire si ma configuration est correcte ou si elle peut être améliorée.

Étonné par cette suggestion, j'ai moi même voulu essayer... Et bien mon constat est identique à @bliz :

-> En utilisant le protocole TCP au lieu de l'UDP pour de l'OpenVPN, je multiplie par deux le débit de mes échanges !

Précisions importantes, ces échanges ont lieu dans le cadre d'une connexion OpenVPN Nas to Nas et avec Hyperbackup vers Nas distant.

La configuration du client (Nas distant) est identique à l'exception de "proto udp -> tcp"  :

dev tun
tls-client

remote IP WAN 1194 (VPN serveur)

#float

#redirect-gateway def1

dhcp-option DNS 192.168.2.1 (serveur DNS local du Nas distant)

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto tcp-client

script-security 2


mssfix 1470

comp-lzo

reneg-sec 0

cipher AES-256-CBC

auth SHA512

auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
key-direction 1
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
-----END OpenVPN Static key V1-----

</tls-auth>
verify-x509-name ‘*.NDD.TLD name

Dans ma situation il y'a peut-être un lien avec le fait qu'Hyperbackup utilise déjà du TCP.

En tout cas si quelqu'un a une explication, je suis preneur.

Tu utilises toujours le TCP de ton coté @bliz ?

Modifié le 13 juin 2022 par Litsip

[Litsip]

Le 13/06/2022 à 15:03, bliz a dit :

PS : pour le MTU, j'espère que tu as pris le pire des deux (nas local/nas distant)

J'ai effectivement évalué à partir d'un Pc les deux réseaux LAN, via la technique de @oracle7 mentionnée ici :

 

D'ailleurs @bliz j'ai vu que tu mentionnes toi même la commande mssfix à tes clients OpenVPN.

Est-ce que tu as remarqué qu'il est désormais possible de rentrer le mssfix via DSM, dans l'application VPN server ? Par défaut il est à 1450.

En faisant de la sorte, j'ai essayé avec et sans mssfix dans le fichier de conf. client. Et ça semble fonctionner aussi bien.

 

 

[zendagi]

Le 08/01/2022 à 17:02, wilb12 a dit :

Bonjour,

 

Je souhaiterais avoir un peu d'aide de votre part.

J'ai monté un serveur openvpn sur mon ds213j. j'arrive à me connecter sans pb depuis mon mobile ou un autre réseau.

J'accède bien au réseau local de mon nas et je vois et accède bien toutes les autres machines en 192.168.1.X

Par contre, pour accéder à mon NAS, je suis obligé de mentionner son adresse IP en 10.8.0.X et non en 192.168.1.X.

Je tombe en time out  lorsque je souhaite acceder à mon NAS avec l'adresse IP 192.168.1.X quand je suis connecté en VPN.

Est ce que vous avez une idée ?

Merci

bonjour,

je rencontre le même souci.

est ce que vous avez trouvé une solution par hasard ?

cordialement

[alan.dub]

Bonjour,
Utilisant depuis le début le protocole L2TP (ports UDP), j'aimerais passer l'OpenVPN.
Raison : pouvoir connecter plusieurs comptes utilisateur en même temps, ce que me refuse le protocole L2TP.

Pour ce faire, j'utilise l'app iOS OpenVPN.
Protocole UDP depuis VPN Server du NAS
Redirection du port UDP 1194 de la BOX vers le NAS : OK
Ouverture du port UDP 1194 sur le pare feu du NAS : OK

Fichier openVPN modifié sur les lignes:

remote YOUR_SERVER_IP 1194 : ici IP publique
#redirect-gateway def1 : j’ai supprimé le #
#dhcp-option DNS DNS_IP_ADDRESS : ici IP locale

Tout fonctionne… sauf que je ne passe pas via mon reverse Proxy pour l'anti Pub pour internet.
Après plusieurs essais (et messages d’erreur) d’ajout de Proxy sur l’app, il semble que pour ce faire je dois passer le port 1194 en TCP.

Modifications des UDP en TCP, la connexion du VPN est toujours OK.
Par contre en recréant la connexion au proxy depuis l’app, je n’ai plus le message d’erreur me parlant des ports TCP, mais ce dernier :
There was an error attempting to connect to the selected server.

Là je bloque.

Pour ajouter un proxy, les info à renseigner sur l’app sont les suivantes :

Proxy Friendly Name :
Un nom explicite pour moi

Proxy hostname or IP :
Mon IP local

Port :
3128

Username :
Renseigné ou non

Password :
Renseigné ou non

Use Basic Authentification :
Option coché ou pas cochée

Je bloque complètement ^^
Auriez-vous une idée du pourquoi ?

[alan.dub]

TROUVE !!!

Avec le protocole OpenVPN, si vous voulez aussi utiliser votre Proxy Server (qui a été configuré pour être votre anti pub), il faut que votre .ovpn soit ainsi (toujours via TCP) :

dev tun
tls-client

remote IP_WAN_BOX 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

dhcp-option DNS IP_LAN_NAS
dhcp-option PROXY_HTTP IP_LAN_NAS 3128
dhcp-option PROXY_HTTPS IP_LAN_NAS 3128

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto tcp-client

script-security 2

comp-lzo

reneg-sec 0

cipher AES-256-CBC

auth SHA256

auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----

Modifié le 8 juillet 2022 par alan.dub

[MilesTEG1]

@alan.dub c’est quoi que tu appelles serveur proxy ?

Tu parles du reverse proxy de dsm ? Ou bien d’un serveur dns ? (Autre que celui de la box , comme par exemple dns serveur, ou pihole ou adguard home)

[alan.dub]

Pardon, pourquoi ai-je ici écrit reverse proxy ? Aucune idée 😅

Je voulais bien entendu parler du Proxy Server (paquet de DSM) que j’utilise pour l’anti pub (et plus tard pour aussi bloquer l’accès à certains sites lorsque mes enfants seront plus grands).

L’idée était d’utiliser l’OpenVPN pour accéder au NAS depuis l’extérieur (avec plusieurs comptes simultanément), et accéder au web via le Proxy Server pour virer les pub.

C'est maintenant chose faite. 

[Jeff777]

Il y a 9 heures, alan.dub a dit :

L’idée était d’utiliser l’OpenVPN pour accéder au NAS depuis l’extérieur (avec plusieurs comptes simultanément), et accéder au web via le Proxy Server pour virer les pub.

Bonjour,

J'utilise Openvpn et je peux aller sur internet sans pub en passant par Adguard sur Raspberry.

Quel intérêt présente ta méthode ?

[alan.dub]

Mon anti pub est géré par le NAS (via le paquet proxy server). 
Ça me permettra de ne plus avoir du pub lorsque j’aurais la fibre à la maison (déjà éligible mais ma baie n’est pas encore en place dans le garage).

Une fois fibré, les iPhones auront toujours le VPN activé en 4G.

Aujourd'hui je ne sais pas ce que je pourrais faire d’un raspberry sachant que mon NAS s’occupe de tout (sauf de la partie DHCP…).

Modifié le 9 juillet 2022 par alan.dub

[Jeff777]

il y a 4 minutes, alan.dub a dit :

Mon anti pub est géré par le NAS (via le paquet proxy server)

Tu peux installer adguard en docker. Ce que j'essaie de comprendre c'est ce qu'apporte l'utilisation du proxy serveur. 

[alan.dub]

J’ai un DS418, donc pas de docker. 
C’est avec le proxy server qu’on fait l’anti pub. 
J’ai donné le lien du tuto dans un de mes précédents messages.

[MilesTEG1]

il y a 16 minutes, alan.dub a dit :

J’ai un DS418, donc pas de docker. 
C’est avec le proxy server qu’on fait l’anti pub. 
J’ai donné le lien du tuto dans un de mes précédents messages.

J’ai vu .

 J’ai une question : comment est mis à jour le fichier contenant les ip et ndd à filtrer ? Qui s’en charge ? C’est fréquent ?

[alan.dub]

Tu veux parler des sites à bloquer ou du fichier adservers.reg pour l’anti pub ?

Pour le premier ça sera moi (suivant les besoins par rapport à mes enfants), le deuxième est automatique (tous les samedis).

Modifié le 9 juillet 2022 par alan.dub

[Jeff777]

Il y a 8 heures, alan.dub a dit :

J’ai un DS418, donc pas de docker.

Ah oui. C'est une excellente raison. J'essaierai peut-être, pour voir 😉

[Pasquale]

Bonjour,

Merci pour ce turoriel et celui sur la sécurisation du NAS, très bien réalisés, très clairs.
J'ai quelques connaissances de sécurité, mais cela m'a permis de sécuriser un peu mieux mes deux NAS.
Et de faire mes sauvegardes HyperBackup via le VPN qui tournent parfaitement bien.
Même si pour l'instant, mon NAS destination est encore chez moi, avant de rejoindre son nouveau domicile d'ici quelques jours.

Bravo aux rédacteurs !

Pascal

[Almogaver]

Merci pour ce tuto qui est très clair. Malheureusement je rencontre un petit souci…

Pour que j’arrive à me connecter au VPN (L2TP) sur iOS, il faut que j’arrête puis relance le paquet sur le NAS. Sinon, j’ai droit à un message d’erreur « le serveur L2TP-VPN ne répond pas. … »

Sur Android je n’ai pas ce problème.

Quelqu’un aurait une idée ?

merci

Modifié le 17 septembre 2022 par babas123
Précisions Android

[alan.dub]

Si ça te fait ça après une déconnexion / reconnexion ou lorsque tu tentes de connecter deux systèmes sous iOS en même temps, je ne dirais pas que c’est « normal »… mais chez moi ça me faisait le même chose ^^

Je ne pouvais connecter qu’un seul système sous iOS à la fois, et lorsque je voulais connecter un autre système sous iOS au VPN, je devais d’abord déconnecter le premier ET attendre +/- 20 minutes ^^

Pour corriger le problème, je suis passé sous… OpenVPN ^^

 

Modifié le 18 septembre 2022 par alan.dub

[alan.dub]

J'ai tout essayé, voir deux de mes messages présents dans ce topic :

 

 

 

Modifié le 18 septembre 2022 par alan.dub

[StephB]

Bonjour à tous !

Je tombe sur un problème dont je ne trouve aucune solution (tellement que c'est simple) sur le net, je pose donc ici pour un peu d'aide, là je suis complètement bloqué.

Il m'est impossible de pouvoir finaliser la configuration d'OpenVPN sur mon Nas en DSM 7.x.x, j'ai continuellement le bouton d'exportation du certificat grisé !? je suis dépité ...

Mes certificats sont tous OK

Auriez-vous une idée lumineuse pour m'enlever cette épine du pieds ?

En tout cas merci pour toutes vos idées.

Steph

 

[Jeff777]

Bonjour,

A vérifier : Quel certificat est attribué au service VPN (paramètres de ta seconde capture d'écran).

[StephB]

Bonjour à tous les deux,

Oui j'ai vérifié et c'est justement tout OK, d'où mon étonnement !?

Auriez-vous une idée ? je ne comprend plus, j'ai essayé de désinstaller et de réinstaller "OpenVPN" mais même souci problème.

En tout cas merci pour vos conseils !

Que je mentionne l'un des trois pour "OpenVPN" même résultat, je n'y comprends rien

Modifié le 24 septembre 2022 par StephB

[Jeff777]

Et en cochant la case : vérifier le CN du serveur ?

[StephB]

Merci à vous tous pour toutes vos aides, sincèrement merci !!

J'ai trouvé, je suis tombé sur ce tuto (en anglais) https://www.wundertech.net/synology-nas-openvpn-server-setup-configuration/ et en suivant à la lettre (donc numéro après numéro !) j'ai enfin eu le bouton en non-grisé, j'ai réussi à donc sauvegarder le fameux fichier et en suivant le tuto ici 

j'ai ma connexion qui fonctionne parfaitement (bon après deux essais de fichier .ovpn) quand même, encore 1000 mercis pour vos soutiens et vos conseils.

Bonne soirée et bon week-end (à l'heure où j'écris ce message)

Steph

[StephB]

Non-non, quand il y a un problème (dans le miens donc), il n'était pas possible d'appuyer sur le bouton "appliquer", car message d'erreur en parlant de certificats (alors que comme montré ici tous étaient OK) et en plus impossible d'avoir le bouton exporter "non-grisé", je tournais donc en rond. Car impossible d'exporter ce fameux fichier de configuration

 

Je ne sais pas si je suis clair !? 

[boun's]

Bonjour à tous

J'ai mis en place un serveur ovpn sur mon mr2200ac distant (au travail) auquel je me connecte sans problème depuis le pc de la maison ou mon portable.

Je suis chez Orange donc je n'ai pas d'ip fixe. J'ai configurer un dyndns synology.me qui me renvoit bien vers l'interface du mr2200ac, ddns que j'ai également renseigné dans mon fichier ovpn de config.

Cela fonctionne très bien depuis mon portable et mon pc, mais ne fonctionne pas depuis mon nas synology ds220 à la maison.

A noter que mon Nas se connecte bien au vpn si je renseigne l'adresse ip externe en dur dans le fichier ovpn, mais pas moyen si je la remplace par XXX.synology.me.

Bizarre cela fonctionne depuis mon pc mais pas depuis mon nas, avec le même fichier ovpn.

Merci de votre aide