[TUTO] [VPS] OpenVPN/Nginx pour l’ouverture de ports en 4G

[Hurlelune]

Bonjour c'est moi . (qui a dit "Oh non pas encore" ? )

Je viens pousser un cri : AAAAAAAAAAAAAAHHHHHH !

J'ai donc bien suivi le tuto, installer un serveur webdav sur le DS218, ouvert le port 5005 sur la dmz d'openvpn et sur le vps  et...

Miracle, Kodi (qui n'arrivait pas à se connecter en ftp) se connecte bien en webdav depuis mon smartphone et la Mibox d'une copine.

Mais depuis 15 jours, plus rien.

Je suis donc reparti de zero, ne trouvant pas le probleme.

Reinstallation de debian9 et d'openvpn sur le vps.

Ouverture des ports.

Identification du NAS à partir du fichier openvpn client (et creation des fichiers de certificats et de clés)

Connexion du NAS sur openvpn ok

et toujours pas d'accès distant depuis Kodi sur le telephone.

Du coup, je me suis dit que le souci venait peut etre de Kodi bien que je n'arrive pas non plus à me connecter à distance avec Filezilla en Ftp (mais là ça me sort que le ftp sur tls n'est pas possible).

J'ai installer un serveur Emby sur le Nas. C'est sympa, l'interface est cool. sur le LAN tout va bien.

Mais impossible de changer l'adresse WAN pour mettre celle du vps. impossible aussi de s'y connecté depuis l'exterieur en passant par le vps bien que le port 8096 soit ouvert.

Donc soit j'ai un probleme de config (mais où ? ) soit y a un soucis avec Freemobile dans le routeur 4G.

Bref, j'ai besoin d'aide, je ne vais quand même pas devoir branché le NAS à la Freebox pour un ADSL minimum 5 fois moins rapide que le routeur 4G.

Alors si quelqu'un a une idée pour que soit lle serveur webdav fonctionne en connexion exterieur, soit changer l'adresse WAN du serveur Emby pour voir si ça passe, je prends.

 

Merci beaucoup.

 

Edit :

Je viens de réinstaller openvpn mais je me suis contenté de le parametrer avant d'ouvrir une connexion avec le NAS.

J'ai toujours un soucis avec Kodi. En revanche, j'accede à Emby depuis l'exterieur.

Donc mon soucis doit se situer à partir de la securisation (etape : Poursuite de l’installation du VPS : ).

Pourtant je repère bien les lignes à editer avec vim...

Modifié le 20 octobre 2019 par Hurlelune

[Dimebag Darrell]

A+ pour mon cas :-)

[Einsteinium]

La suite du tutoriel la semaine prochaine 🙂

[Ugo Wilmouth]

Hello Einsteinium,

Merci pour ton tuto mais les images sont down... Tu pourrais stp les mettre a jour où donner un lien avec le tout ?

Merci!!

[Einsteinium]

Ahhh nan ils ont pas assuré la... y a de l’Abus de l’hébergeur...

bah je viens de faire ma migration vers debian 10 ce matin (ayant profité de la promo blackfriday 1 ans de VPS), je vais faire l’update de tutoriel en le poussant plus loin.

edit : on noelshack a décidé de faire une purge pour privatisé jeux vidéo... sympathique... je reup et actualise debian 10 d’ici ce soir

[Akoumbak]

Bonjour à tous,

je viens de prendre un abo sur ovh, et vais suivre le tuto pour configurer le vps. En revanche il y a une partie des images du tuto que je ne vois pas. Il n y a que chez moi, où pareil pour vous ?

[Invité]

Il y a 4 heures, Akoumbak a dit :

En revanche il y a une partie des images du tuto que je ne vois pas. Il n y a que chez moi, où pareil pour vous ?

Toutes les images était hébergé chez https://www.noelshack.com/.

Depuis fin novembre, il a étaitn décidé, chez noelshack que :

Citation

Noelshack sera dédié exclusivement à l'hébergement d'images pour une utilisation sur jeuxvideo.com. En conséquence, l'ensemble des images qui ne sont pas utilisées sur jeuxvideo.com seront supprimées de Noelshack.

Donc sur le forum ( et autres sites, sauf JV.com toutes les images ont était supprimées 😞

[Einsteinium]

Voilà désolé pour le retard, update des captures d’écrans que je ne retrouvais plus, je vais pouvoir mettre à jour pour debian 10 et finaliser ce tutoriel

 

correction, oublie des lignes pour l'installation d'openvpn pour debian 10

rédaction de la seconde partie du tutoriel en cours

 

Voilà seconde partie du tutoriel en ligne, j'attends vos retours 😉

[unPixel]

Nickel le boulot que tu as produit sur ce tuto 😉

Ça en aidera certainement quelques un !

[niccok]

Salut à tous !

Bien ce tuto. Je vais m'y coller.

Par contre, la capture VPN settings n'est pas la bonne, c'est selle de Server Network sttings qui est réaffichée une seconde fois.

Je vais tenter d'improviser sur ce point sans la capture. On verra bien... :p

Bye

[Einsteinium]

Le 10/03/2020 à 10:17, niccok a dit :

Salut à tous !

Bien ce tuto. Je vais m'y coller.

Par contre, la capture VPN settings n'est pas la bonne, c'est selle de Server Network sttings qui est réaffichée une seconde fois.

Je vais tenter d'improviser sur ce point sans la capture. On verra bien... 😛

Bye

Je fais la correction de suite

edit : c'est bon 😉

[.Shad.]

Salut,

J'ai loué le plus petit VPS OVH pour m'en faire une sandbox, j'ai testé Wireguard dans un premier temps par curiosité parce qu'on m'en a parlé.
C'est original en cela que ça diffère assez radicalement d'OpenVPN (Wireguard fait du p2p, il n'y a pas vraiment de serveur ni de client).

Ça, c'était pour la petite histoire, ma question est la suivante, je viens de découvrir dans ce tutoriel qu'il y a un pare-feu accessible sur OVH directement.
Question, est-ce que c'est juste une GUI pour ufw pré-installé sur mon VPS ou un pare-feu en amont ? Car ufw c'est bien gentil, mais j'avais installé OpenVPN, avec sa GUI sur le port 943, et j'avais beau ne pas l'avoir autorisé dans ufw, j'y accédais sans problème, donc si le pare-feu OVH marche mieux je suis preneur !

[Einsteinium]

Effectivement un peu beaucoup HS, vue que c'est une option "routeur", rien a voir avec le VPN/VPS dans l'état.

Je vois que tu as un RT2600ac, du coup je ne comprends pas cette utilisation chez toi, ton RT peut parfaitement le faire. (répond en privé pour ne pas HS ici)

Le 16/04/2020 à 08:21, .Shad. a dit :

Salut,

J'ai loué le plus petit VPS OVH pour m'en faire une sandbox, j'ai testé Wireguard dans un premier temps par curiosité parce qu'on m'en a parlé.
C'est original en cela que ça diffère assez radicalement d'OpenVPN (Wireguard fait du p2p, il n'y a pas vraiment de serveur ni de client).

Ça, c'était pour la petite histoire, ma question est la suivante, je viens de découvrir dans ce tutoriel qu'il y a un pare-feu accessible sur OVH directement.
Question, est-ce que c'est juste une GUI pour ufw pré-installé sur mon VPS ou un pare-feu en amont ? Car ufw c'est bien gentil, mais j'avais installé OpenVPN, avec sa GUI sur le port 943, et j'avais beau ne pas l'avoir autorisé dans ufw, j'y accédais sans problème, donc si le pare-feu OVH marche mieux je suis preneur !

Je n'avais pas vue ton message (notification fofo grrrr)

C'est un pare feu en amont qui fait anti-ddos, avant le VPS, c'est pour cela que je n'aborde pas la sujet dans le tutoriel, on ne s'emmerde pas a jouet avec iptable, ufw ou autre.

https://docs.ovh.com/fr/dedicated/firewall-network/

[Einsteinium]

Pour nginx, rajout TLSv1.3 et modification de ssl_ciphers afin de ne garder que les plus robustes, tout en étant compatible avec le plus de navigateur possible...

[Frederic_]

Bonjour, je viens de finir le tuto, et je ne pointe pas (avec l'ip et la même pour le domaine du coup) sur le serveur : port 2087, j'ai bien ouvert le port sur le firewall, j'ai fait meme un test en ouvrant le firewall mais meme problème, j'ai bien connecté le vpn au nas

 

Désolé pour m'es explication un peu flou 

Merci

Modifié le 18 mai 2020 par Frederic_

[bruno78]

Bonjour,

j'ai une question spécifique à OpenVPN : je constate que le VPN est reseté et ré-établi immédiatement, à l'initiative du serveur (donc du VPS OVH), toutes les 24h heures. Cela ne me gêne pas en soit, mis je ne me souviens pas l'avoir configuré quelque part. Et en particulier cela se produit tous les jours à 17:59 à quelques secondes prêt. Je préfèrerai pouvoir fixer cet horaire dans la nuit. Il y a t'il un paramètre à configurer ?

Bruno78

[bruno78]

Bonjour,

• ayant repris un peu la documentation (oui c'est quand même bien utile !), la déconnexion toutes les 24 heures correspond au token de session, dont la valeur par défaut et de 86400sec, soit 24h.  Mais comme à présent, suite à la mise à jour auto cette nuit à 03:00, le VPN a été redémarré à cette heure là, dorénavant le tunnel va redémarrer toutes les nuits à 03:00. Ça ne me gêne pas, d'autant que la reconnexion est quasi immédiate.
• Par contre, je me demande comment fonctionne le FW mis à disposition par OVH :
  • j'ai suivi scrupuleusement ce tuto d' @Einsteinium. Tous les problèmes rencontrés se situaient en fait entre la chaise et le clavier .... Très beau TUTO ! Plus que par réelle nécessité, cela permet d'apprendre.
  • une fois compris à peu prêt le principe, je coince sur le FW, parce que :
    • j'utilise la partie proxy, et donc renvoie vers un virtual host de mon SYNO.  OK
    • et donc pas besoin d'ouverture de port (DMZ) sur OpenVPN. OK
    • sur le FW d'OVH, je n'autorise spécifiquement que les ports 443, 1194, 943 et un port SSL (autre que 22) et je bloque tout le reste.
    • => je ne vois donc pas comment le bloc #1 de /etc/nginx/conf.d/default.conf ( la redirection http vers https ) peut fonctionner, puisque cela suppose que le port 80 passe le FW d'OVH sur le VPS ??
  • Par contre, ce blocage du port 80 semble opérationnel si on cherche à atteindre le serveur nginx que l'on a configuré sur le VPS. Je n'atteints le serveur nginx du VPS que si je passe par le https sur 443. Le http sur 80 est bien bloqué (et pas redirigé vers https).
• j'aurai tendance à conclure que le trafic entant par le VPN OpenVPN ne passe pas par le FW de la VPS d'OVH. Ce trafic ne sera filtré que par le FW du NAS en entrée du NAS.

Est-ce que cela correspond à ce que vous observez ? Est-ce le comportement normal ?

Merci

[Einsteinium]

Merci pour ton retour, dommage que j'ai des mails de notification qui passe en indésirable, toujours sur mes topics ^^'

Effectivement si tu n'utilises pas le port http, tu peux supprimé le premier bloc, pour ma part il n'existe plus est j'ai supprimé 2/3 des tentatives d'attaques sur le serveur par des bots.

Dans l'ordre de l'extérieur : FW ovh => VPS => FW nas, la tu n'as pas ouvert dans le FW ovh le port 80, donc c'est logique que ton VPS ne réponde pas à la redirection du premier bloc dans nginx, si tu as bien définie toutes les règles bien sur.

Maintenant tu peux enregistré ton domaine sur https://hstspreload.org, cela permettra aux différents navigateurs de passé nativement en https ton site.

Je vais mettre à jour le tutoriel bientôt, en passant de certbot-auto a certbot avec l'enregistrement via api chez ovh (en limitant l'api strictement au domaine et l'ip du serveur au passage) d'un wildcard avec renouvellement auto (Donc plus qu'un seul et unique certificat)

[bruno78]

Merci @Einsteinium,

1. je vais reprendre le sujet et refaire quelques tests en suivants tes indications.
2. En ce qui concerne HSTS, j'avais cru comprendre que c'était irreversible ? Càd. une fois activé, on ne peut plus repasser en http ? je vais aller voir https://hstspreload.org
3. très interessé par le dernier point (wild card avec renouvellement auto). De mon côté je regarde ce problème de renouvellement auto d'un wildcard sur DSM (cf tuto de @oracle7). Ca avance doucement, le problème étant le déployement automatique des services sur le nouveau certificat renouvellé dans DSM)

[Juan luis]

Le 14/06/2020 à 18:02, bruno78 a dit :

Bonjour,

• ayant repris un peu la documentation (oui c'est quand même bien utile !), la déconnexion toutes les 24 heures correspond au token de session, dont la valeur par défaut et de 86400sec, soit 24h.  Mais comme à présent, suite à la mise à jour auto cette nuit à 03:00, le VPN a été redémarré à cette heure là, dorénavant le tunnel va redémarrer toutes les nuits à 03:00. Ça ne me gêne pas, d'autant que la reconnexion est quasi immédiate.
•  
• j'aurai tendance à conclure que le trafic entant par le VPN OpenVPN ne passe pas par le FW de la VPS d'OVH. Ce trafic ne sera filtré que par le FW du NAS en entrée du NAS.

Est-ce que cela correspond à ce que vous observez ? Est-ce le comportement normal ?

Merci

Bonjour,

Je me permet d'intervenir sur ce sujet en tant que utilisateur de VPN à travers le réseau Freemobile 4G.

--Sur freemobile , il y a un timer qui coupe les connexions toutes les 12 H. Le tunnel d'un VPN se coupe toutes les 12 H.La coupure est pratiquement transparente pour l'utilisateur .

Si l'on veut  synchroniser les coupures à certaines heures, on peut toujours utiliser un programmateur de reboots du routeur à certaines heures.

--Freemobile utilise un double NAT, ce qui rend impossible les connexions  entrantes , donc on ne peut qu'établir un tunnel sortant (client) vers un serveur.

Le trafic peut rentrer via le tunnel, mais du coup le FW du routeur ou du NAS ne peut pas voir ce trafic. Idem pour les translations de ports : inutile si on est derrière un routeur 4G.

Les translations de ports sont à effectuer coté  passerelle vers serveur (vpn).

Modifié le 24 juin 2020 par Juan luis

[Einsteinium]

@bruno78

2. C’est réversible, mais étant inscrit en dur dans les navigateurs, il faudra quelques semaines pour que cela soit désactivé.

3. Pour sa que même quand j’aurais la fibre j’utiliserai toujours le VPS, le VPS gère le certificat et je reste avec un auto signé sur le nas qui n’est visible lui que localement.

@Juan luis C’est tout l’intérêt de ce tutoriel, ouvrir des ports vers le nas en 4G, le nas à un FW pour le vpn au passage.

[Juan luis]

il y a 19 minutes, Einsteinium a dit :

 

@Juan luis C’est tout l’intérêt de ce tutoriel, ouvrir des ports vers le nas en 4G, le nas à un FW pour le vpn au passage.

Justement ,j'aimerai bien utiliser le FW du NAS car le mien , sur mon serveur, est compliqué , est il associé au client VPN ?

[Einsteinium]

Dans le réglage fin du FW, dans l’interface VPN, c’est ici qu’il faut mettre les règles. (C’est associer aussi bien au client du nas, que au paquet server si installé)

[Alexcaid]

Bonjour,

Petite question: je veux accéder à un service sur un système (domotique) qui ne sait pas établir un VPN. Mon idée est donc de faire établir le vpn par mon routeur 4G (ou une autre passerelle type UniFi Secure Gateway) et de faire un port forwarding depuis cette passerelle vers mon serveur domotique. Est-ce que cela fonctionnera ainsi?

Merci

 

[Einsteinium]

Oui pas de soucis.

Pour information, malgré la fibre je maintiendrais le topic à jour, j'utilise toujours le VPS afin de ne pas ouvrir directement mon nas sur internet et cela bride aussi le débit du partage naturellement, le vps ayant une connection 100mbits, j'envisage de passait sur un 250mbits au prochain blackfriday néanmoins.

J'ai inscrit mon domaine sur https://hstspreload.org/, j'ai désactivé le port 80 aussi, réduisant de 80% les attaques sur le serveur par des bots.