[TUTO] [VPS] OpenVPN/Nginx pour l’ouverture de ports en 4G

[Astha]

il y a 8 minutes, .Shad. a dit :

Vérifie la version d'OpenVPN de ton serveur et celle de ton client Synology.
Par exemple la 2.5 introduit des options dans le fichier ovpn qui ne sont pas lisibles par un client en 2.4.x

Pour la connaître sur le NAS, en SSH :

openvpn --version

Chez moi sous DSM 7 c'est la 2.4.9

Ok merci beaucoup.

Chez moi, sur le nas, je ne suis toujours pas passer a DSM 7, je suis en DSM 6.2.4-25556 et il m'indique que la version openvpn est la 2.3.17

Sur OpenVpn : 

Access Server version:

2.9.2

Modifié le 15 juillet 2021 par Astha

[.Shad.]

Et sur ton VPS ?

Ca c'est la version d'Access Server, en SSH tu tapes la commande que j'ai donnée plus haut sur ton VPS.

[Astha]

il y a 4 minutes, .Shad. a dit :

Et sur ton VPS ?

Ca c'est la version d'Access Server, en SSH tu tapes la commande que j'ai donnée plus haut sur ton VPS.

Bizarrement, sur le VPS, cela me met : -bash : openvpn: command not found

 

[.Shad.]

On est d'accord qu'OpenVPN AS est installé en dur (pas en docker) sur ton VPS ?
Sinon tu tapes juste "open" et tu appuies sur TAB pour voir toutes les commandes commençant ainsi.
Ca pourrait être openvpn3 si j'en crois la documentation : https://openvpn.net/vpn-server-resources/connecting-to-access-server-with-linux/

En dernier recours, tu ajoutes sudo devant "open" avant d'appuyer sur TAB, pour peu que ton utilisateur ne soit pas un sudoer (mais je pense qu'OpenVPN peut normalement être utilisé en utilisateur régulier).

[Astha]

il y a 27 minutes, .Shad. a dit :

On est d'accord qu'OpenVPN AS est installé en dur (pas en docker) sur ton VPS ?
Sinon tu tapes juste "open" et tu appuies sur TAB pour voir toutes les commandes commençant ainsi.
Ca pourrait être openvpn3 si j'en crois la documentation : https://openvpn.net/vpn-server-resources/connecting-to-access-server-with-linux/

Oui, je confirme, j'ai suivi le tuto ici présent pour l'installation de OpenVPN, donc en dur sur du debian10 (non docker)

apt update && apt -y install ca-certificates wget net-tools gnupg
wget -qO - https://as-repository.openvpn.net/as-repo-public.gpg | apt-key add -
echo "deb http://as-repository.openvpn.net/as/debian buster main">/etc/apt/sources.list.d/openvpn-as-repo.list
apt update && apt -y install openvpn-as

Et je confirme voir le dossier openvpn_as dans /usr/local.

En faisant open puis tab, il me dit qu'il n'a que openssl et openvt en commande possibles.

openssl version donne : OpenSSL 1.1.1d  10 Sep 2019

openvt --version donne = "openvt from kbd 2.0.4"

PS : En root, c'est pareil, je n'ai que les 2 la.

Modifié le 15 juillet 2021 par Astha

[.Shad.]

Bon j'ai vite testé Access Server par Docker, effectivement la version n'apparaît nulle part, le binaire openvpn n'existe pas, ça passe effectivement par un script ovpn-init (qui n'a pas de flag "version" évidemment), mais de ce que je lis depuis la 2.5 (on est à la 2.9.2) c'est bien OpenVPN server 2.5 qui est utilisé.

Tu as donc a priori des options incompatibles dans ton fichier ovpn, c'est généralement juste l'affaire d'un renommage, si tu peux c/c ici le contenu du ton fichier ovpn (en supprimant ton IP/ndd), je vais essayer de te faire la traduction.

Modifié le 15 juillet 2021 par .Shad.

[Astha]

# Automatically generated OpenVPN client config file
# Generated on Thu Jul 15 07:39:26 2021 by vps-b67XXXXX
# Note: this config file contains inline private keys
#       and therefore should be kept confidential!
#       Certificate serial: 4, certificate common name: MONUSER_AUTOLOGIN
#       Expires 2031-07-13 07:39:26
# Note: this configuration is user-locked to the username below
# OVPN_ACCESS_SERVER_USERNAME=MONUSER
# Define the profile name of this particular configuration file
# OVPN_ACCESS_SERVER_PROFILE=MONUSER@51.XXX.XXX.XXX/AUTOLOGIN
# OVPN_ACCESS_SERVER_AUTOLOGIN=1

# Default Cipher
cipher AES-256-CBC
# OVPN_ACCESS_SERVER_CLI_PREF_ALLOW_WEB_IMPORT=True
# OVPN_ACCESS_SERVER_CLI_PREF_BASIC_CLIENT=False
# OVPN_ACCESS_SERVER_CLI_PREF_ENABLE_CONNECT=False
# OVPN_ACCESS_SERVER_CLI_PREF_ENABLE_XD_PROXY=True
# OVPN_ACCESS_SERVER_WSHOST=51.XXX.XXX.XXX:943
# OVPN_ACCESS_SERVER_WEB_CA_BUNDLE_START

# OVPN_ACCESS_SERVER_WEB_CA_BUNDLE_STOP
# OVPN_ACCESS_SERVER_IS_OPENVPN_WEB_CA=1

client
proto udp
nobind
remote 51.XXX.XXX.XXX
port 1194
dev tun
dev-type tun
remote-cert-tls server
tls-version-min 1.2
reneg-sec 604800
verb 3
push-peer-info
 

le reste c'est des certificats/clés/crypt, je suppose pas besoin.

J'ai remplacé mon vrai user par MONUSER, et j'ai mis des XXX sur l'ip.

Merci beaucoup 🙂

 

Modifié le 15 juillet 2021 par Astha

[.Shad.]

Alors, commente la ligne :

cipher AES-256-CBC

qui apparaît deux fois d'ailleurs, essaie dans un premier temps de commenter une des deux lignes et tu réessaies.

Si ça ne fonctionne pas, tu commentes les deux lignes et ajoutes :

data-ciphers AES-128-GCM:AES-256-GCM:AES-256-CBC
data-ciphers-fallback AES-256-CBC

 

Modifié le 15 juillet 2021 par .Shad.

[Astha]

il y a 4 minutes, .Shad. a dit :

Alors, commente la ligne :

cipher AES-256-CBC

qui apparaît deux fois d'ailleurs, essaie dans un premier temps de commenter une des deux lignes et tu réessaies.

Si ça ne fonctionne pas, tu commentes les deux lignes et ajoutes :

data-ciphers AES-128-GCM:AES-256-GCM:AES-256-CBC
data-ciphers-fallback AES-256-CBC

 

Pour les 2 cipher AES-256-CBC, c'est ma faute, il n'y en avait que 1 en réalité.

Je l'ai commenté, toujours le même problème, j'ai ensuite laisser en commenté puis rajouter les deux lignes ci-dessous non commenté et cela m'affiche toujours la même erreur en tentant de rajouter le fichier .ovpn sur synology :

 

data-ciphers AES-128-GCM:AES-256-GCM:AES-256-CBC
data-ciphers-fallback AES-256-CBC

[.Shad.]

Ok on va essayer d'avoir plus d'info, tu te connectes en SSH sur le NAS et tu tapes :

tail -fn 50 /var/log/openvpn.log

tu passes sur DSM et tu essaies de te connecter.

Dans la fenêtre SSH tu auras le log de connexion (a priori, je n'utilise pas le VPN du NAS, que ce soit version serveur ou client), on aura peut-être plus d'information sur les options qui posent problème.

EDIT : Tu remets évidemment la configuration initiale.

Modifié le 15 juillet 2021 par .Shad.

[Astha]

il y a 7 minutes, .Shad. a dit :

Ok on va essayer d'avoir plus d'info, tu te connectes en SSH sur le NAS et tu tapes :

tail -fn 50 /var/log/openvpn.log

tu passes sur DSM et tu essaies de te connecter.

Dans la fenêtre SSH tu auras le log de connexion (a priori, je n'utilise pas le VPN du NAS, que ce soit version serveur ou client), on aura peut-être plus d'information sur les options qui posent problème.

EDIT : Tu remets évidemment la configuration initiale.

Cela ne marchait pas via ssh, je me suis connecté via filezilla, et je vois que le log s'appelle openvpnas.log, je l'ai ouvert pour vérifier et rien ne se rajoute quand j'essaye de mettre le fichier .openvpn sur synology (je peux pas essayer de me connecter, ça ne veut pas me rajouter le OpenVPN)

[.Shad.]

Je suis retombé sur ce sujet :

Mais du coup ça me fait penser à quelque chose, essaie d'ajouter la ligne suivante dans ton .ovpn :

ncp-disable

Mais pas du tout sûr que ça marche.

Suivant ton modèle de NAS (+), tu pourrais installer VDSM 7 dans VMM, avec un client en 2.4.9 ça devrait fonctionner, ce serait un moyen de vérifier si le problème vient bien de la différence de version 2.3 / 2.5.

Modifié le 15 juillet 2021 par .Shad.

[Astha]

il y a 5 minutes, .Shad. a dit :

Je suis retombé sur ce sujet :

Mais du coup ça me fait penser à quelque chose, essaie d'ajouter la ligne suivante dans ton .ovpn :

ncp-disable

Mais pas du tout sûr que ça marche.

Suivant ton modèle de NAS (+), tu pourrais installer VDSM 7 dans VMM, avec un client en 2.4.9 ça devrait fonctionner, ce serait un moyen de vérifier si le problème vient bien de la différence de version 2.3 / 2.5.

 

Je viens d'essayer, même chose, en faisant commenté ou non, avec les 2 lignes en + ou non.

 

[.Shad.]

Alors il te faut passer sur DSM 7, mais avec un DS220+ tu peux essayer Virtual DSM 7 avant avec Virtual Machine Manager, commence par là.

Ou si quelqu'un a d'autres idées mais de ce que je vois comme retours, l'écart de version rend la chose impossible a priori.

Modifié le 15 juillet 2021 par .Shad.

[Astha]

il y a 9 minutes, .Shad. a dit :

Alors il te faut passer sur DSM 7, mais avec un DS220+ tu peux essayer Virtual DSM 7 avant avec Virtual Machine Manager, commence par là.

Ou si quelqu'un a d'autres idées mais de ce que je vois comme retours, l'écart de version rend la chose impossible a priori.

Ok merci beaucoup pour l'aide, déjà je sais ou est le problème grâce à toi.

Je tenterais DSM 7 du coup, j'avais pas franchi le pas de crainte a ce qu'une incompatibilité arrive.
Après tout est installé sous docker, donc je pense que ça ne peut pas créer de problème.

Modifié le 15 juillet 2021 par Astha

[.Shad.]

Pour ma part je n'ai eu aucun problème, car comme toi quasiment tout tourne sous Docker.
Pense à faire une sauvegarde de tes données importantes avant tout de même, et éventuellement de la configuration séparément. 😉 

[Astha]

Je viens de passer sous DSM 7.0, j'ai refais un profil avec OpenVPN et ça a marché la connexion.

En revanche, j'accède pas a mes liens de sites pour le moment, mais le 1er problème est résolu ^^.

Un grand merci pour l'aide et le temps passé .Shad. 🙂

Edit : Bizarrement, seul 1 de mes liens fonctionne 😮

Modifié le 15 juillet 2021 par Astha

[.Shad.]

Pas de souci, de quels liens parles-tu ?

[Astha]

Les liens que j'ai créer et mis dans vim /etc/nginx/conf.d/default.conf

Dans le parefeu du nas, en Lan1 comme VPN, le port des applications est bien mis en autorisé en TCP pourtant.

Edit : Tout fonctionne, petite erreur dans le fichier conf apparemment, merci .Shad. 🙂

Modifié le 15 juillet 2021 par Astha

[MarcoLoco5924]

Bonjour à tous, 

Merci @Einsteinium pour ce tuto qui correspond exactement à mon besoin. Je viens de déménager je n'ai plus que mon router 4G et je n'arrive plus à accéder à mon router et nas synology depuis l'extérieur. J'ai compris pourquoi et j'ai commencé à implémenter ta solution qui même avec ma prochaine connexion fibre restera pour masquer mon IP fixe comme évoqué.

J'ai commandé et installé mon VPS (sur IONOS car j'avais déjà mon nom de domaine là bas) installé open VPN et fait les premiers réglages en suivant ton tuto. Je bloque sur l'installation du client openvpn... Comment récupérer le fichier profil et surtout comment l'installer sur mon router synology ou mon nas synology (d'ailleurs faut faire la connexion avec lequel ? ) pour faire un premier test. L'idée étant ensuite de toute paramétrer avec mon nom de domaine déjà existant en suivant la partie 2 du tuto. 

Je vais continuer de creuser ce sujet nouveau pour moi mais je suis preneur de petits coups de pouces s'il y en a. 😄

[Einsteinium]

Le 25/07/2019 à 19:39, Einsteinium a dit :

Voilà si vous n’avez pas de domaine et faites de l’ouverture de port directement à travers OpenVPN, le tutoriel est fini pour vous, vous récupérez le profil client.opvn pour connecté votre nas à cette adresse en utilisant notre utilisateur précédemment créé :

https://ipdevotrevps:943

Tu récupères le profil en te connectant sur cette page 🙂

[MarcoLoco5924]

Merci bcp @Einsteinium pour ton retour très rapide. Effectivement je suis allé trop vite et j'avais pas vu l'adresse proposée avec celle utilisée précédemment pour l'admin... désolé j'ai pas brillé sur ce coup là. J'ai pu exporter mon profil mais quand je me connecte en SSH sur mon router synology RT2600ac, une fois mon profil opvn copié sur le router, je lance la commande de connexion et j'ai toujours une erreur

openvpn --config Prf8_ssTls.ovpn 
Options error: Unrecognized option or missing parameter(s) in Prf8_ssTls.ovpn:61: tls-crypt (2.3.11)
Use --help for more information.

J'ai bien essayé de commenter la partie avec <tls-script>. Je vais plus loin mais au final j'ai une erreur 

Sat Aug  7 12:08:19 2021 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sat Aug  7 12:08:19 2021 SYNO_ERR_CERT
Sat Aug  7 12:08:19 2021 TLS Error: TLS handshake failed
Sa

Donc j'ai bien un problème, selon moi, dans mon fichier de config opvpn... Si vous avez des idées ou si vous avez déjà fait ce montage... Mon objectif est à terme de rajouter mon nom de domaine et certificat et tout mettre sur le VPS pour ensuite accéder à mon router syno qui lui est connecté à internet via Fibre et router4G. En effet depuis mon déménagement je n'avais plus que le router 4G et comme largement expliqué je ne pouvais plus accéder à mes services à distances. Donc ce qui est proposé dans cet article est top via le VPS et je compte bien le mettre en oeuvre en progressant ainsi sur le sujet VPN. 

Merci à vous 

[.Shad.]

Le 07/08/2021 à 12:15, MarcoLoco5924 a dit :

Unrecognized option or missing parameter(s) in Prf8_ssTls.ovpn:61: tls-crypt (2.3.11)

tls-crypt est une option uniquement disponible pour les versions d'OpenVPN 2.4+
Le problème étant qu'OpenVPN Access Server est en 2.5.x et que la version d'OpenVPN sur ton RT est la 2.3.11 (On parle de Mai 2016, ça se pose là en terme de sécurité /ggsyno).

Si ton NAS est sous DSM 7 la version d'OpenVPN est passée à la 2.4.9, et tu ne devrais plus avoir de problème de négociation TLS.
 

[MarcoLoco5924]

Merci @.Shad.. effectivement après avoir parcouru différents forums j'en suis arrivé à la même conclusion à savoir une version d'openVPN sur mon router synology trop ancienne. A priori impossible d'updater openvpn à la main sur SRM... Merci pour ta confirmation. Je ne suis pas passé en DSM 7 mais c'est surement l'occasion. 

Après  j'aurai préféré mettre le tunnel directement depuis mon router donc sur SRM. Si je le mets sur mon Nas (passé en DSM7) est ce que je pourrai aussi accéder à mon router en accès a distance via le vpn en passant par mon nas ?  

[.Shad.]

Non OpenVPN n'est pas upgradable sur SRM, alors j'ai cru comprendre qu'une nouvelle mouture de SRM est en préparation, mais quand... ?

Une solution, mais qui n'a plus rien à voir avec ce tutoriel, c'est que le VPS soit client VPN du NAS ou du RT (inversion des rôles client-serveur). Ca reviendrait au même en terme de fonctionnalités. Sur le RT tu as l'avantage d'avoir toutes les tables de routage et donc je pense qu'avec un paramétrage correct tu pourrais atteindre tout équipement de ton réseau local depuis l'extérieur, même s'il n'est pas client VPN.

L'autre solution c'est d'avoir le proxy inversé sur le NAS et qu'il soit le serveur OpenVPN, puis de faire de la redirection de port sur le VPS ; tout ce qui arrive sur les ports 80/443 est redirigé vers le NAS. A la manière de ce que l'on peut faire sur une box. Il faut jouer avec iptables sur le VPS pour ça, de ce que j'ai feuilleté ça n'a pas l'air sorcier.

Alors après si tu trouves moyen de formatter ton fichier de config ovpn pour le rendre acceptable par Access Server c'est aussi une solution, mais j'ai déjà creusé ce sujet par le passé, la doc d'OpenVPN est illisible et brouillonne je trouve, je n'ai jamais réussi à parvenir à mes fins (2.3 vers 2.5).

Modifié le 11 août 2021 par .Shad.