[TUTO] VPN Server

[GeoGregg]

j'ai téléchargé openvpn 2.4.3 , je me trouve avec un paquet de fichiers dossiers...je ne sais qu'en faire!

Je me suis lancé encore dans un truc là......

Modifié le 18 septembre 2017 par GeoGregg

[Mic13710]

D'autant qu'à vous lire, j'ai vraiment l'impression que vous ne savez pas (encore) à quoi sert le serveur VPN de nos NAS. Je me trompe ?

[GeoGregg]

je fais des efforts pour comprendre mais je ne suis pas un pro! (je découvre)

[Mic13710]

OK pour la réalisation, nous sommes tous passé par là. Mais ma question concerne la finalité. Qu'est-ce que vous souhaitez faire une fois que vous aurez (tant bien que mal) fait fonctionner le serveur VPN ? Qu'est-ce que vous en attendez ?

[GeoGregg]

En premier sauvegarder tous mes disques dur, ensuite partager des photos, des films et pouvoir consulter tout çà depuis mon smartphone. (en sécurité ou presque))

[Mic13710]

Vous n'avez pas forcément besoin du serveur VPN pour faire tout ça.

• Sauvegarde des disques durs, on peut certes le faire au travers du VPN mais c'est en principe plus efficace et surtout plus rapide en local
• Partage de photos, films etc... vous avez les applications multimedia dédiées
• Consulter depuis un smartphone, tablette, vous avez les applications DS dédiées

[GeoGregg]

Je pensais que je serais plus sécurisé avec un serveur VPN. Si je peux m'en passer ça m'arrange vu que je ne suis pas très fort sur le sujet.

 

[Fenrir]

Dans les besoins il y a avait aussi : administrer le nas depuis Internet

Si ce n'est plus d'actualité, tu peux effectivement mettre de coté le VPN

Il y a 11 heures, GeoGregg a dit :

j'ai téléchargé openvpn 2.4.3 , je me trouve avec un paquet de fichiers dossiers...je ne sais qu'en faire!

Tu as du te tromper de fichier et prendre le code source au lieu du fichier d'installation, lien direct : https://swupdate.openvpn.org/community/releases/openvpn-install-2.4.3-I602.exe

[Mic13710]

Il y a 1 heure, Fenrir a dit :

Dans les besoins il y a avait aussi : administrer le nas depuis Internet

C'est bien pour cela que je posais la question de son usage. Comme l'administration à distance n'est pas l'objectif, vu les difficultés rencontrées par GeoGregg pour le mettre en place, le serveur VPN ne présente guère d'intérêt.

[GeoGregg]

Il y a 6 heures, Fenrir a dit :

: administrer le nas depuis Internet

Si je comprends, c'est administrer le nas depuis mon PC en passant par internet! (mais vu ma config, je peux passer aussi en local) 

[Mic13710]

Le serveur VPN n'est utile que pour se connecter au NAS depuis l'extérieur, essentiellement pour l'administrer à distance. En local, ça n'a pas d'intérêt.

[GeoGregg]

Ok, donc je vais faire simple: je vais commencer sans VPN car j'en ai pas besoin pour l'instant et je vais apprendre à connaître le bon fonctionnement du NAS.

Ce forum va me permettre d'avancer correctement.

En attendant, je vous remercie tous pour votre aide précieuse. (bien que j'aurais surement besoin de vous encore)

[Mic13710]

Il y a 3 heures, GeoGregg a dit :

Ok, donc je vais faire simple: je vais commencer sans VPN

C'est plus sage en effet.

[GeoGregg]

Tout fonctionne, à part les liens partagés. J'ai un message: "ce site est inaccessible......000000.synology.me  a mis trop de temps à répondre"

[Fenrir]

Port non ouvert et/ou port dans le lien pas bon => dans un cas comme dans l'autre ce n'est plus lié au VPN.

[GeoGregg]

Merci, je vais essayer de trouver.

C'était çà!!!

Modifié le 19 septembre 2017 par GeoGregg

[mandrax981]

Bonjour,

Merci pour ce super tuto !

Est il possible d'implémenter une authentification tls et/ou une authentification par certificat client ? 

De base, je ne trouve pas que l'implémentation d'Openvpn par Synology soit très sécurisante.

Merci

[Fenrir]

La conf proposée par Synology est effectivement basiques, mais suffisante pour la plupart des besoins.

Si tu souhaites aller plus loin, il faudra modifier les scripts de Synology, mais chaque mise à jour risque de les faire sauter.

[mandrax981]

Bonjour Fenrir,

 

Ok merci pour ton retour, je vais donc laisser comme ça la configuration de base.

 

Excellente journée,

[Rere10500]

Bonjour à toutes et tous et merci pour ce tuto tres clair.

J'ai mis en place un VPN dans le but de pouvoir accéder au réseau local de l'entreprise à distance (dossiers partagés et imprimante par exemple).

J'arrive à me connecter à travers le VPN : j'ai vérifié mon IP et c'est bien celle de la BOX de la boite. J'ai vérifié que je tombais bien sur le NAS en tapant sont adresse IP en 192.168.1.x. Je suis donc bien sur le reseau de l'entreprise.

Mais voila, lorsque je vais dans "reseau", je ne vois pas le reste du réseau de l'entreprise. J'ai bien coché la case idoine dans la config VPN sur le NAS ("Autoriser aux clients l'acces au serveur LAN") et decommenté la ligne indiquée dans le fichier de config ("#redirect-gateway def1"). Ai-je loupé une étape ?

Merci de votre aide

Régis

Modifié le 3 octobre 2017 par Rere10500

[Fenrir]

il y a 5 minutes, Rere10500 a dit :

lorsque je vais dans "reseau"

Il faut oublier ça, c'est un gadget windows/mac qui ne marche qu'en local (c'est du broadcast, donc niveau 2 du modèle OSI) et encore, pas toujours.

Si tu souhaites joindre des équipements situés "plus loin", il faut les adresser directement (ip/dns).

[JajaNas]

Le 13/08/2016 à 17:13, Fenrir a dit :

remote YOUR_SERVER_IP 1194

• il faut remplacer YOUR_SERVER_IP par l'adresse IP publique utilisée pour joindre votre nas (c'est probablement votre IP publique)
• même si c'est déconseillé, vous pouvez spécifier un nom de domaine à la place de l'adresse IP

Questions à tiroirs de béotien :

Mon adresse IP publique est-elle bien la même adresse IP externe que l'on retrouve dans Accès externe>DDNS>Adresse externe (IPv4) (c-à-d en fait l'adresse IPv4 WAN de ma Livebox) ?

Si oui, cela veut dire que le fichier de configuration VPNConfig.opvn devient obsolète dès que le FAI rafraîchit l'adresse Wan de la box, exact?

Donc que faire?

[Rere10500]

il y a 5 minutes, Fenrir a dit :

Il faut oublier ça, c'est un gadget windows/mac qui ne marche qu'en local (c'est du broadcast, donc niveau 2 du modèle OSI) et encore, pas toujours.

Si tu souhaites joindre des équipements situés "plus loin", il faut les adresser directement (ip/dns).

Merci pour ta réponse.

Mais c'est vachement pas pratique ! :)

Je ne connais pas forcément les adresses IP de tous les postes pour aller chercher un fichier dans un dossier partagé ... Comment résoudre ce problème ?

Regis

[Fenrir]

il y a 1 minute, JajaNas a dit :

Mon adresse IP publique est-elle bien la même adresse IP externe que l'on retrouve dans Accès externe>DDNS>Adresse externe (IPv4) (c-à-d en fait l'adresse IPv4 WAN de ma Livebox) ?

Normalement oui

il y a 1 minute, JajaNas a dit :

Si oui, cela veut dire que le fichier de configuration VPNConfig.opvn devient obsolète dès que le FAI rafraîchit l'adresse Wan de la box, exact?

Oui

il y a 1 minute, JajaNas a dit :

Donc que faire?

Le 13/08/2016 à 17:13, Fenrir a dit :

même si c'est déconseillé, vous pouvez spécifier un nom de domaine à la place de l'adresse IP

ou arriver à faire comprendre à vos FAI que de plus en plus d'utilisateur aimeraient disposer d'une IP fixe (sans devoir payer 50% de plus), économiquement c'est un non sens d'utiliser des ip dynamiques ... sauf à vouloir empêcher les clients de s'héberger ...

il y a 1 minute, Rere10500 a dit :

Mais c'est vachement pas pratique ! :)

ce type de fonction c'est exactement la même chose que de se retrouver dans une foule avec tout le monde qui parle en même temps => fatiguant, plus consommateur en énergie (en bande passante), pas fiable, pas sécurisé (c'est un des principaux vecteur de propagation des virus en entreprise) ...

à l’instant, Rere10500 a dit :

Je ne connais pas forcément les adresses IP de tous les postes pour aller chercher un fichier dans un dossier partagé ... Comment résoudre ce problème ?

Il suffit d'avoir un réseau correctement géré (dns dynamique par exemple ou encore attribution dhcp fixe).

[JajaNas]

il y a 1 minute, Fenrir a dit :

même si c'est déconseillé, vous pouvez spécifier un nom de domaine à la place de l'adresse IP

Le nom de domaine ce n'est pas monnas.synology.me (Accès externe>DDNS)  ou synology.me n'est-ce pas?