Besoin d'aide / Linux - Client VPN

[D34 Angel]

Bonjour à tous.

Tout d'abord, veuillez m'excuser de poster, ici, une demande d'aide relative à Linux, je ne savais pas trop où poster et comme ma demande se réfère au serveur VPN du Syno, j'ai choisi ce sous-forum. Les modérateurs peuvent déplacer ce topic s'il en est besoin..

J'ai installé le paquet VPN Server sur mon DS218+ en suivant l'excellent tuto de Fenrir.
Mes besoins étant modestes, je me suis limité au serveur L2TP/IPSec.

Dans son tuto et concernant les clients VPN pour Linux, Fenrir nous a fait part de sa préférence pour strongswan.
Compte tenu que je suis autant novice sur Linux que sur Syno, mes questions arrivent dès que je m'intéresse au client VPN strongswan ... d'où cet appel au secours.

Ma question risque de paraître très bête : Comment installer/utiliser ce client VPN ?
Rem : Je suis sur Linux Mint

Concernant l'installation, Je passe par le gestionnaire de paquets Synaptic.
En filtrant la recherche, je trouve plusieurs paquets relatifs à Strongswan. Je les sélectionne tous pour installation puis j'applique les modifications (installation).
L'installation semble se faire correctement puisque quand je sélectionne à nouveau ces paquets, le gestionnaire me propose de les désinstaller ou de les mettre à jour.

Cependant, lorsque, après installation (et reboot), je recherche strongswan dans mes applis, je ne le trouve pas.
Je me dis alors que ça ne se lance, peut-être, pas comme une appli normale mais plutôt au travers du navigateur (Firefox) ...
mais, si tel est le cas, je ne vois pas comment.

Quelqu'un peut-il m'aider ?

Merci d'avance pour vos réponses

Cordialement
Angel

 

[unPixel]

Bonjour,

Je ne pourrais t'aider car mon PC sous Linux Mint (je suis débutant sur Linux aussi) est un ordinateur fixe chez moi et donc pas d'intérêt pour le VPN contrairement aux smartphones, tablettes et ordinateurs portable que j'ai.

Par contre, tu as essayé de voir des vidéos sur la toile ?

https://www.youtube.com/results?search_query=strongswan

Il y a pas mal de vidéos qui tournent sous Ubuntu (pareil que Mint).

Modifié le 27 mai 2019 par Zeus

[D34 Angel]

Merci Zeus pour ta réponse.

Effectivement, je n'avais pas fait de recherche sur youtube ... et il est vrai qu'il y a, tout de même, pas mal de vidéos ...
mais bon ... il y a beaucoup de choses concernant la config ... alors que je ne sais même pas lancer strongswan.

Je vais poursuivre mes recherches sur des forums (français si possible), j'espère trouver des réponses.
S'il y a, sur ce forum, des spécialistes Linux susceptibles de me guider dans les démarches à suivre, ils sont les bienvenus sur ce topic.
Merci d'avance.

[unPixel]

Là, je suis en train d'utiliser mon ordi sous ma session Windows pour un logiciel non compatible sur Linux alors je ne peux regarder mais dans les paramètres réseau, tu n'as pas déjà ce qu'il faut pour mettre ton serveur ?

[D34 Angel]

Désolé, je ne comprends pas ta question ...

Mon serveur ? Le Syno ?
J'accède à mon nas en local et, concernant le VPN Server, je l'ai paramétré en suivant le tuto de Fenrir. Je n'ai pas rencontré de pb (le tuto est bien fait).
Désormais, je dois activer le client VPN et c'est ce que je n'arrive pas à faire.

Dans mes param réseau, j'ai le détail de mes connexions (wifi, filaire) ... je me répète, je ne comprends pas ta question.

J'ai trouvé, ce matin, un forum français dédié à Linux Mint ... je m'y suis inscrit ... j'aurais probablement des réponses.
Si tel est le cas, je viendrai le signaler ici.

A+

[unPixel]

En faite, je te demandais si de base dans Linux Mint, tu n'avais pas la possibilité dans les paramètres réseau d'ajouter ton serveur VPN justement avant de vouloir utiliser autre chose comme strongswan .

[D34 Angel]

Ah !

Oui, effectivement ... il faut ajouter une nouvelle connexion ... en précisant le type de connexion VPN

Je regarde plus en détail et reviendrai donner des news.

Merci pour le tuyau

[unPixel]

Ok, tiens nous au courant 🙂

 

[D34 Angel]

Bon, je vais encore avoir besoin d'aide 

Lorsque, après en avoir sélectionné le type, je crée une nouvelle connexion, j'arrive sur ce formulaire :

 

Peux-tu, stp, m'aider à le compléter

Gateway
- Adresse : Dois-je mettre mon IP fixe?
- Certificat : ça m'ouvre un explorateur pour aller sélectionner un fichier ... que dois-je aller chercher ?
--- S'agit-il du certificat Let's Encrypt ?  Comment le récupérer sur le Syno  ?

Client
- Authentification : Dois-je choisir "Certificate/private key" ? ( comme sur l'image ci-dessus)

--- Voici les autres choix proposés 

- Certificat : Idem que pour Gateway ... il faut sélectionner un fichier ...
- Private Key : S'agit-il bien de la clé pré-partagée ? (cf. image ci-dessous)

-------

Options : Est-il nécessaire/pertinent d'en cocher ?

Cipher proposals : Euh ... c'est quoi ?

 

Voilà ... Beaucoup de questions  ....  Sais-tu m'aider ?

 

Modifié le 8 juin 2019 par D34 Angel
Oups .... j'ai merdé et j'arrive pas à éditer mon message

[unPixel]

Citation

Gateway
- Adresse : Dois-je mettre mon IP fixe?
- Certificat : ça m'ouvre un explorateur pour aller sélectionner un fichier ... que dois-je aller chercher ?
--- S'agit-il du certificat Let's Encrypt ?  Comment le récupérer sur le Syno  ?

Client
- Authentification : Dois-je choisir "Certificate/private key" ? ( comme sur l'image ci-dessus)

• Adresse : c'est ton IP fixe (internet et pas locale)
• Certificat : pas sûr que ce soit obligatoire sinon c'est bien celui de ton NAS. Si tu veux le récupérer, c'est là ou tu l'as créé, tu as une option pour l'exporter.
• Authentification : c'est le login et pass du membre qui a les droits pour accéder au VPN.

Citation

- Private Key : S'agit-il bien de la clé pré-partagée ? (cf. image ci-dessous)

J'aurai plutôt choisi Pre-shared key puisque tu as une clé pré-partagée (Pre-shared key en anglais) sur ton serveur VPN.

Citation

Options : Est-il nécessaire/pertinent d'en cocher ?

Cipher proposals : Euh ... c'est quoi ?

Je ne sais pas mais essaie sans dans un premier temps 😉

 

[D34 Angel]

 

il y a une heure, Zeus a dit :

Certificat : pas sûr que ce soit obligatoire sinon c'est bien celui de ton NAS.
Si tu veux le récupérer, c'est là ou tu l'as créé, tu as une option pour l'exporter.

Euh ... Quand j'exporte le certificat, j'obtiens un fichier Zip et lorsque j'extrais l'archive, j'obtiens 3 fichiers :

• cert.pem
• chain.pem
• privkey.pem

Quel fichier sélectionner pour le certificat de la rubrique Gateway ?

 

il y a une heure, Zeus a dit :

Authentification : c'est le login et pass du membre qui a les droits pour accéder au VPN.
J'aurai plutôt choisi Pre-shared key puisque tu as une clé pré-partagée (Pre-shared key en anglais) sur ton serveur VPN.

Dans la rubrique Client, 

• Lorsque je choisis "Certificate/private key", j'ai accès aux champs "Certificate" et "Private key" mais pas aux champs "Username" et "Password"
  
   
• Lorsque je choisis "Pre-shared key", c'est l'inverse 
  
  Peut-être la clé pré-partagée doit-elle être saisie au moment de la connexion.

 

[unPixel]

Citation

Euh ... Quand j'exporte le certificat, j'obtiens un fichier Zip et lorsque j'extrais l'archive, j'obtiens 3 fichiers :

• cert.pem
• chain.pem
• privkey.pem

Quel fichier sélectionner pour le certificat de la rubrique Gateway ?

Le fichier principal, c'est le cert.pem

Citation

Lorsque je choisis "Pre-shared key", c'est l'inverse 

Essaie et dis nous 😉

Citation

Lorsque je choisis "Certificate/private key", j'ai accès aux champs "Certificate" et "Private key" mais pas aux champs "Username" et "Password"

Tu n'as pas de clé privée et je ne crois pas qu'il y a cette option dans le serveur VPN de Synology.

[D34 Angel]

Je n'y arrive pas !

Lorsque je choisis "Pre-shared key", et même si je renseigne un utilisateur et son password,
je n'ai pas possibilité d'enregistrer (bouton grisé) ... ça me semble bizarre (???)

Lorsque je choisis "Certificate/private key",
dans "Certificate", je sélectionne le fichier cert.pem  (du certificat exporté), comme pour Gateway
dans "Private key", je sélectionne le fichier privkey.pem (du certificat exporté - je ne suis pas sûr de mon coup mais c'est la seule chose qu'il me semble devoir sélectionner)
puis j'enregistre
mais lorsque j'essaie d'ouvrir la connexion, j'ai une notification d'échec (sans plus de précisions).

Dans les deux cas, je ne comprends pas où l'on doit indiquer la clé partagée
Je pensais devoir l'indiquer lors de l'ouverture de la connexion vpn ... mais ça semble ne pas être le cas (rien ne m'est demandé).

Question : Puis-je faire un test en local (comme j'ai essayé) ou bien dois-je impérativement le faire depuis l'extérieur (via internet)?

Je crois que je vais devoir reprendre le tuto de Fenrir et notamment le paragraphe "Que faire si ça ne marche pas ?" ...
mais bon ... je le sens pas bien.

[unPixel]

Oui tu peux tester en local. Au pire, tu testes avec l'IP locale du serveur VPN donc du NAS.

Je vais basculer sur Mint et tester de mon côté mon VPN.

Tu as installé quoi stp pour avoir ces différents choix que je fasse la même chose que toi ?

[D34 Angel]

il y a 28 minutes, Zeus a dit :

Tu as installé quoi stp pour avoir ces différents choix que je fasse la même chose que toi ?

Dans le gestionnaire de paquets Synaptic, j'ai fait une recherche (sur le nom) de strongswan.
J'ai trouvé 17 paquets - je les ai tous installés

Puis, comme tu me l'as suggéré,     Param réseau   >  Ajout connexion  > Sélect type VPN "L2TP/IPSec"  >  créer connexion

 

Modifié le 27 mai 2019 par D34 Angel

[unPixel]

Tu pouvais pas tout simplement faire un "sudo apt get install strongswan " dans le terminal ? Je sais pas si c'était une bonne chose de tout installer. Je teste ça dans la soirée ou demain et je te tiens au courant de mes résultats 😉

 

[D34 Angel]

il y a 8 minutes, Zeus a dit :

Tu pouvais pas tout simplement faire un "sudo apt get install strongswan " dans le terminal ?

Je ne suis pas vraiment à l'aise avec le terminal ... j"avoue préférer les interfaces graphiques.

il y a 9 minutes, Zeus a dit :

Je teste ça dans la soirée ou demain et je te tiens au courant de mes résultats 😉

Merci d'avance

[unPixel]

Bonjour,

Bon et bien j'ai fait quelques tests avec Strongswan et perso, j'ai du passer par de la ligne de commande. Comme je n'en avais pas l'utilité, j'ai vite abandonné.

Je sais pas comment tu as eu l'interface graphique.

Sinon j'ai testé OpenVPN et c'est très simplet et même plus rapide à mettre en place.

On importe le fichier de configuration et on ajoute manuellement l'IP, le login et password et ça suffit pour que ça fonctionne. Et tout ça en interface graphique toi qui n'aime pas trop les lignes de commande.

Modifié le 28 mai 2019 par Zeus

[D34 Angel]

Merci pour ta réponse.

il y a 6 minutes, Zeus a dit :

Je sais pas comment tu as eu l'interface graphique.

Je ne fais rien de particulier.
Quand, dans mes param, je choisis "params réseau", je suis en interface graphique, j'y vois mes connexions (Ethernet et wifi).

=> Je clique sur le "+" pour ajouter une nouvelle connexion ... et je reste en mode graphique.
J'arrive sur le formulaire précédemment affiché.

 

il y a 19 minutes, Zeus a dit :

Sinon j'ai testé OpenVPN et c'est très simplet et même plus rapide à mettre en place.

On importe le fichier de configuration et on ajoute manuellement l'IP, le login et password et ça suffit pour que ça fonctionne. Et tout ça en interface graphique toi qui n'aime pas trop les lignes de commande.

OK, vais m'y pencher et je ferai un retour (probablement dans quelques jours).

 

Par ailleurs, j'attendais ton retour avant de poser des questions ailleurs (forum dédié à Linux Mint).
Si j'ai des réponses, je viendrai en faire part.

Merci bien pour ton aide.

 

[unPixel]

Pour l'interface, je ne l'avais pas après installation de Strongswan 😉

Ok pour le retour, on attend. Peut-être que eux pourront te guider.

[D34 Angel]

Bonjour,

Je n'ai guère eu de réponses concernant le paramétrage du client strongswan.
Je dirais quand-même que, si tu n'as pas eu l'interface graphique, peut-être est-ce dû au fait que tu n'as pas, comme moi, installé tous les paquets relatifs à strongswan - l'un d'eux contenait, peut-être, cette interface (je ne sais pas, c'est juste mon analyse)

Par contre, j'ai paramétré le client OpenVPN (c'était aussi simple que tu le disais). J'ai, donc, fait un test.

Je me suis connecté en externe (depuis chez des amis).
Suis allé sur un site qui me renvoie l'adresse IP.
Un premier essai sans connexion VPN m'a renvoyé l'adresse IP de mes amis (normal).
Pour un deuxième essai j'ai activé la connexion VPN (la connexion s'établit).

Le site devant me renvoyer l'adresse IP m'a renvoyé un message m'indiquant que l'IP ne pouvait pas être décelée car j'utilisais probablement un proxi. Je ne sais pas si c'est normal mais j'en ai déduit (du fait même d'un tel message) que je passais forcément par le VPN.
(Cependant, ne manquerait-il pas "quelque chose" dans la config de mon nas ? ... car le site aurait dû, me semble-t-il, me renvoyer l'adresse IP de chez moi).

Par contre, au bout d'une minute, environ, la connexion est tombée (notification à l'écran). 
Ceci s'est reproduit à chaque nouvelle tentative de connexion.
=> Qu'est-ce qui fait que la connexion ne tient pas ?
=> Y a-t-il une action à faire pour que la connexion ne tombe pas ?

Je n'ai pas eu le temps de faire plus de tests (j'étais attendu -et déjà en retard- pour l'apéro  )

Je ferai un nouveau test prochainement, mais comme pour tester, via internet, je dois le faire depuis chez des voisins/amis, j'ai une question pour optimiser mes tests :
En supposant que la connexion ne tombe pas,
=> Comment dois-je faire pour accéder à DSM ?
==> Faut-il saisir, dans le navigateur, l'adresse IP locale de mon Nas suivie de ":5000", comme je le fais, en local, chez moi ?
(ma connexion VPN m'amenant directement dans mon nas, je ne devrais pas avoir à saisir l'adresse du nas)

Voilà, peut-être as-tu des réponses ... merci d'avance.

Cordialement

[unPixel]

Bonjour,

Tu as lu le tuto de Fenrir ? Tout est expliqué 😉

Et oui, tu devrais obtenir ton adresse IP quand tu consultes un site censé te la donner

Perso, je fais mes tests en 4G sur mon smartphone et ça passe très bien.

Tu peux aussi dans ton reverse proxy si tu en as un mettre une règle pour que tel service ne fonctionne qu'en local et via VPN.

Et ensuite, tu tests ce service via ton VPN qui est censé fonctionner alors que non si tu n'es pas connecté à ton serveur VPN.

[D34 Angel]

Bonjour Zeus

J'ai un peu progressé ... Disons que j'ai créé une connexion VPN (L2TP) sur mon Mac (c'est d'une simplicité enfantine) et que, avec cette connexion, j'ai pu comprendre l'utilisation du VPN (j'arrive à accéder à DSM).
J'ai encore quelques (petites) interrogations, j'irai poser quelques questions en commentaire du tuto de Fenrir (si je ne trouve pas, par moi-même, les réponses).

Ceci dit, je n'arrive pas à comprendre pourquoi ça ne veut pas fonctionner sur Linux.
En OpenVPN, la connexion s'établit ... mais elle s'interrompt au bout d'une minute.
En L2TP/IPSec, rien à faire, je n'arrive même pas à établir la connexion.

Concernant L2TP, pour revenir à ce que je disais, en amont dans ce topic relativement à la config de strongswan, je n'avais pas la possibilité d'enregistrer la config de la connexion car le bouton "ENREGISTRER" était grisé (voir image ci-dessous).

Citation

The password to use for authentification against the gateway (min 20 characters for PSKs)

Je croyais, initialement, que je devais indiquer le Password lié au User ... or, il semble que ce soit la clé pré-partagée qu'il faille indiquer dans cette case.

Il en découle, donc, une autre question : Où dois-je indiquer le password du user ?
(Quand j'ai créé la connexion sur mon Mac, j'avais bien 2 cases : une pour le password, l'autre pour la clé).
Bref, comme dit ci-dessus, je n'arrive pas à établir la connexion (et je n'ai aucune trace dans le journal de mon VPN serveur)

 

Pour revenir à OpenVPN, la connexion tombe au bout d'une minute ... As-tu une idée du pourquoi ?

Peut-être y a-t-il d'autres membres (piwi, , Einteinium, MIC13xxx, ....voire, même, Fenrir)  susceptibles de répondre à mes questions ...
Puis-je me permettre de les interpeler ?

Merci d'avance pour tes réponses

Cordialement

En fait, il faut que le Password fasse, au moins, 20 caractères et, lorsque c'est le cas, le bouton "ENREGISTRER" n'est plus grisé.
J'ai vu cette information dans l'info-bulle liée au Password (désolé, je ne peux pas faire de screen de l'info bulle, c'est pourquoi je recopie)

[D34 Angel]

Oups, une partie de mon message n'est pas passée ... (Bizarre ???) donc je reprends :

Message de l'info-bulle :

Citation

The password to use for authentification against the gateway (min 20 characters for PSKs)

Je croyais devoir mettre dans cette case le password lié au user  ... mais il semble qu'il faille y inscrire la clé partagée (ce que j'ai fait)
Il en découle, donc, une autre question : Où dois-je noter le password lié au user ?
Rem: Sur mon Mac, pour la création de la connexion L2TP, j'avais deux cases : une pour le password, l'autre pour la clé partagée.

Quoi qu'il en soit, j'ai tout essayé mais la connexion échoue à chaque fois (rien n’apparaît, d'ailleurs, dans le journal de mon serveur VPN)

 

Concernant le OpenVPN, comme je l'ai dit ci-dessus, la connexion tombe au bout d'une minute
=> As-tu une idée du pourquoi ?

 

Peut-être y a-t-il d'autres personnes (Piwi, Mic13xxxx, Einsteinium, ... ou même Fenrir) susceptibles de répondre à mes questions ...
mais je n'ose pas les interpeler ...

 

As-tu des réponses ?
En tous cas, merci d'avance

 

[unPixel]

Bonjour,

Désolé mais je n'ai jamais reçu de notification par mail suite à tes réponses.

Citation

Où dois-je noter le password lié au user ?

Sur ta capture d'écran, tu as un champ Username et Password. Je suppose donc qu'il faut que tu mettes ton mot de passe utilisateur dans ce champ.

Citation

Concernant le OpenVPN, comme je l'ai dit ci-dessus, la connexion tombe au bout d'une minute

Tu veux dire qu'elle se fait bien la connexion mais qu'elle tombe au bout d'une minute ?

Si oui, je vois pas pourquoi.

Citation

Peut-être y a-t-il d'autres personnes (Piwi, Mic13xxxx, Einsteinium, ... ou même Fenrir) susceptibles de répondre à mes questions ...
mais je n'ose pas les interpeler ...

Ah bon ? Et bien il ne faut pas hésiter. Si jamais ils ont le temps et les connaissances, ils se feront un plaisir de venir t'aider 🙂

Allez, je t'aide un peu.

@Fenrir, @Einsteinium, @PiwiLAbruti, @Mic13710, un membre à besoin de vous 😜