Ds216 + OpenVpn + Livebox

[alexbenaim]

Bonjour,

Je souhaite accéder aux données de mon DS216 à distance via OpenVpn. Je pense avoir tout bien configuré mais impossible de faire fonctionner.

- J'ai bien modifié le fichier .opvn en mettant la bonne ip et le bon port 1194
- J'ai une adresse no-ip qui est bien configurée sur la box + sur le synology dans Accès externe et fonctionne correctement (le résultat et le même si je tape sur l'ip en direct)
- Je ne sais pas si il y a un impact mais j'ai changé les ports DSM par défaut (pour plus de sécurité) :

 

SYNOLOGY

- OpenVpn est bien activé sur le port 1194 en UDP

LIVEBOX

- Port 1194 bien redirigé vers le NAS

- Port 1194 ouvert sur le parefeu de la box

OPEN VPN

- Voila le résultat lorsque j'essaye de me connecter : il ne trouve pas l'hote

Wed Jan 25 14:34:46 2017 OpenVPN 2.4.0 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Dec 27 2016
Wed Jan 25 14:34:46 2017 Windows version 6.2 (Windows 8 or greater) 64bit
Wed Jan 25 14:34:46 2017 library versions: OpenSSL 1.0.2i  22 Sep 2016, LZO 2.09
Wed Jan 25 14:34:48 2017 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Wed Jan 25 14:34:48 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]XX.XX.XX.XX:1194
Wed Jan 25 14:34:48 2017 UDP link local (bound): [AF_INET][undef]:1194
Wed Jan 25 14:34:48 2017 UDP link remote: [AF_INET]XX.XX.XX.XX:1194
Wed Jan 25 14:35:49 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Jan 25 14:35:49 2017 TLS Error: TLS handshake failed

 

Avez-vous une idée d'où cela peut venir ? 

Merci d'avance pour votre aide !!

 

 

 

Modifié le 25 janvier 2017 par alexbenaim
Suppression données perso

[Mic13710]

Je ne sais pas si ça peut vous aider à résoudre votre problème, mais vous avez un tuto très bien fait sur le serveur VPN.

[Fenrir]

https://10.8.0.0:22347

[alexbenaim]

Bonsoir,

- @Mic13710J'ai deja suivi le tuto en long en large et en travers et je pense avoir bien tout fait c'est pour cela que je ne comprend pas!

- @Fenrir : effectivement c'est l'ip à mapper mais ça c'est une fois connecté sur le vpn. Le pb c'est qu´il ne trouve pas l´hote 

[Fenrir]

il y a 4 minutes, alexbenaim a dit :

Le pb c'est qu´il ne trouve pas l´hote 

C'est à dire ?

Le message d'erreur exact est ?

Vérifie que dans le firewall du nas tu autorises bien les adresses en 10.8.x.x

en passant, ta 2nde capture de la box, IPSEC-NAT-T - 1194, ça ne s'applique qu'à l'IPSEC-nAT-T, pas à OpenVPN (dit autrement, ça ne sert à rien ici)

[alexbenaim]

Bonjour  @Fenrir

Voici le message d'erreur exact (screenshot supprimé car j'avais laissé l'ip)

Wed Jan 25 14:34:46 2017 OpenVPN 2.4.0 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Dec 27 2016
Wed Jan 25 14:34:46 2017 Windows version 6.2 (Windows 8 or greater) 64bit
Wed Jan 25 14:34:46 2017 library versions: OpenSSL 1.0.2i  22 Sep 2016, LZO 2.09
Wed Jan 25 14:34:48 2017 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Wed Jan 25 14:34:48 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]XX.XX.XX.XX:1194
Wed Jan 25 14:34:48 2017 UDP link local (bound): [AF_INET][undef]:1194
Wed Jan 25 14:34:48 2017 UDP link remote: [AF_INET]XX.XX.XX.XX:1194
Wed Jan 25 14:35:49 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Jan 25 14:35:49 2017 TLS Error: TLS handshake failed

Ok du coup je dois le nommer comment dans le NAT et dans le pare feu ? "OpenVpn" ?

Le firewall du NAS est désactivé.

Merci

 

 

[Fenrir]

Je ne sais pas trop sur une livebox, mais il y a un exemple dans le tuto.

Il est aussi possible que le port 1194 udp soit bloqué en sortie de là où tu test.

[alexbenaim]

Ok merci, malheureusement il n'y a pas d'exemple pour openvpn mais uniquement pour Ipsec :( Et malheureusement j'ai un bug javascript sur la livebox pour ouvrir le port 4500 afin de tester en ipsec! (je vais tenter un reset)

Tu confirme que ça semble venir de l'ouverture de port de la livebox et/ou de la redirection NAT ?

[Fenrir]

il y a 1 minute, alexbenaim a dit :

Ok merci, malheureusement il n'y a pas d'exemple pour openvpn mais uniquement pour Ipsec

Remplace 500 par 1194 et oubli le 4500.

il y a 2 minutes, alexbenaim a dit :

Tu confirme que ça semble venir de l'ouverture de port de la livebox et/ou de la redirection NAT ?

Non, je dis juste que ça peut venir de plein d'endroits :

• client
• routeur du client
• routeur du nas
• nas

Avec openvpn tu peux tester en local.

[alexbenaim]

C'est justement précisément ce que j'ai fait. J'ai redirigé le port 1194 vers le synology (cf screenshot de mon post initial) + j'ai ouvert le port 1194.

En local cela fonctionne parfaitement, c'est donc précisément un problème d'ouverture de port. Je vais faire un reset usine de ma livebox car c'est tout à fait anormal de ne pas pouvoir ouvrir le port 4500.

BTW comment voir si un port est filtré en sortie ? 

Si tu as une autre idée je suis preneur !

[Fenrir]

il y a 30 minutes, alexbenaim a dit :

Je vais faire un reset usine de ma livebox car c'est tout à fait anormal de ne pas pouvoir ouvrir le port 4500.

En rédigeant le tuto vpn, plusieurs utilisateurs ont indiqué que certains modèles de Livebox ne laissaient pas passer l'IPSec.

il y a 31 minutes, alexbenaim a dit :

BTW comment voir si un port est filtré en sortie ? 

Difficile de te répondre, il y a plein de manières de faire, mais je doute qu'elles soient à ta portée (je peux me tromper) comme utiliser tcpdump sur le nas.

Personnellement je commencerai par m'assurer que ça fonctionne avec une connexion non filtrée, par exemple depuis un smartphone ou une autre connexion "grand public" (l'adsl des voisins par exemple).

Si ça fonctionne, tu peux considérer que ta conf est bonne et qu'il y a un filtrage en sortie, mais ce n'est pas certain (juste très probable).

Ce que tu peux faire dans ce cas, le temps de tester, c'est modifier ta conf openvpn (sur le syno, le client et la box) pour utiliser le protocole TCP et le port 443 (rarement bloqué).

[alexbenaim]

Ok alors j'ai des avancées :)

- Reset usine livebox fait : Pas de changement

- Essai en IPSec en suivant le tutorial : Ne fonctionne pas et bloque au niveau de la connexion. C'est comme si il ne trouvait pas l'hôte.

- Essai au hasard en modifiant uniquement le port 1194 par 4500 en OpenVPN et la miracle ça fonctionne ! Ce que je ne pige pas c'est que le port 4500 et 1194 ont la meme config sur la box (ouvert et redirigés vers le NAS) donc je ne comprends pas pourquoi ça fonctionne pour l'un et pas pour l'autre. Une idée ?

[Fenrir]

Il y a 10 heures, alexbenaim a dit :

- Essai au hasard en modifiant uniquement le port 1194 par 4500 en OpenVPN et la miracle ça fonctionne ! Ce que je ne pige pas c'est que le port 4500 et 1194 ont la meme config sur la box (ouvert et redirigés vers le NAS) donc je ne comprends pas pourquoi ça fonctionne pour l'un et pas pour l'autre. Une idée ?

L'upnp est bien coupé dans ta box ?

Le port 1194 est bien ouvert depuis là où tu test ?

Sinon j’appelle ça un bug, merci l'agrume

Modifié le 26 janvier 2017 par Fenrir

[alexbenaim]

- Lorsque je coupe l'upnp cela ne fonctionne toujours pas sur le port 1194

- J'ai testé depuis deux endroits différents donc je doute que le 1194 soit coupé en sortie sur ces deux endroits (ou alors j'ai pas de chance). Tu as une commande à me faire taper pour voir si ce port est bloqué en sortie ?

- Je confirme qu'en modifiant le port 1194 en 4500 cela fonctionne en open vpn.

- Lorsque je test en local sur le port 1194 cela fonctionne, donc il doit vraiment y avoir un truc qui ne va pas quelque part avec ce port ou alors j'ai zappé un truc!

[Fenrir]

Tu peux déjà regarder si les trames arrivent sur ton syno

connecte toi en ssh puis sudo tcpdump -n udp dst port 1194

Et tente une connexion, si tu vois des choses, ça arrive sur ton syno, sinon, c'est bloqué avant

[alexbenaim]

Ok donc j'ai fait le test et je n'ai aucun paquet qui arrivent sur le syno. Cela montre bien que la connexion est bloquée avant (à mon sens au niveau du routeur) et que rien n'arrive sur le syno.

J'ai fait le même essai avec le port 4500 et on voit bien dans la console que les paquets passent sans problème.

 

1/ Qu'est-ce que je peux faire de plus ?

2/ Est-ce que c'est grave si ça passe par le port 4500 au lieu du 1194?

[Fenrir]

Il y a 1 heure, alexbenaim a dit :

2/ Est-ce que c'est grave si ça passe par le port 4500 au lieu du 1194?

Pas très propre car ce port est standardisé pour le NAT-T, utilise plutôt un autre numéro de port dispo.

[alexbenaim]

Ok tu peux me donner quelques ports propres pour que je test?

[Fenrir]

http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml