[TUTO] [VPS] OpenVPN/Nginx pour l’ouverture de ports en 4G

[PiwiLAbruti]

Concernant l'inscription sur https://hstspreload.org/, il a des préalables à respecter dont :

• The max-age must be at least 31536000 seconds (1 year).

La valeur de max-age dans l'en-tête Strict-Transport-Security renvoyée par DSM est 15768000, soit 6 mois. On peut le voir dans les outils de développement du navigateur : onglet Network, cliquer sur le nom d'hôte de la page d'accueil de DSM (de type document), onglet Headers, section Response headers, en-tête Strict-Transport-Security.

@Einsteinium Tu as eu un retour comme quoi ton domaine était validé ?

[Einsteinium]

Cela prends la racine du domaine pour la validation, j'intègre les entetes et certificats directement le conf de nginx donc cela prends donc le pas sur le nas.

edit : oui validé et déjà actif dans la plus part des navigateurs hormis apple pour le moment

[Alexcaid]

Bonjour,

je ne comprend pas bien le setup de la DMZ dans les users permissions d’openvpnas.

dans mon cas, je veux accéder au port 7000 d’une machine derrière la Gateway client qui établie le VPN.

IP du tunnel en 10.0.0.0/24 et réseau interne derrière la Gateway en 192.168.1.0/24.

Le port 7000 de mon vps OVH est-il forwardé vers le port 7000 de la Gateway interne juste parce que je configure cette DMZ ? Sinon il faut bien dire quelque part que tout paquet reçu sur le port 7000 udp du vps doit être envoyé vers le port 7000 de la Gateway derrière le vpn non ?

 

et ensuite sur la Gateway interne je fais un nouveau port forward vers la machine qui a le service sur le port 7000 (ou alors je dit directement sur la vps la destination finale que je met en DMZ ?).

 

merci

 

[Einsteinium]

une dmz c'est une dmz, il n'y a rien a expliqué... connecte directement la machine au VPS pour faire la dmz sur cette dernière, sinon tu forward du client vers oui

[Alexcaid]

Il y a 7 heures, Einsteinium a dit :

une dmz c'est une dmz, il n'y a rien a expliqué... connecte directement la machine au VPS pour faire la dmz sur cette dernière, sinon tu forward du client vers oui

Mais dans l’image du tuto en DMZ vous mettez « IPEXTERNEDEVOTREVPN ». C’est laquelle? 10.0.0.1 = local adresse sur le serveur ?

[Einsteinium]

Ip externe de votre vpn, ou ip publique du vps si tu préfères

[Domodial]

Bonjour,

Je suis en train de (vouloir) mettre en place votre solution d'accès mais je bloque sur le départ des lignes de commandes.

Mon nom d'administrateur est en fonction de l'OS que j'ai fait installer avec le VPS.
Du coup : passwd root (ne fonctionne pas)

Si je me connect avec root@xxxxx il me demande un mot de passe, mais celui donné par email ne fonctionne pas.

Alors je présume que le nom de login fourni est administrateur.

Pour cela il faut que je fasse : sudo passwd

Et il me demande un nouveau mot de passe.

Ok, je crée un user, vais dans le dossier cd /home/user/

Le dossier est crée, mais lorsque je fais :

sudo apt update && apt -y install ca-certificates wget net-tools gnupg

Les choses s'installent, et termine par un :

Citation

sudo apt update && apt -y install ca-certificates wget net-tools gnupg
Hit:1 http://security.debian.org buster/updates InRelease
Hit:2 http://deb.debian.org/debian buster InRelease
Hit:3 http://deb.debian.org/debian buster-updates InRelease
Hit:4 http://deb.debian.org/debian buster-backports InRelease
Reading package lists... Done
Building dependency tree
Reading state information... Done
72 packages can be upgraded. Run 'apt list --upgradable' to see them.
E: Could not open lock file /var/lib/dpkg/lock-frontend - open (13: Permission denied)
E: Unable to acquire the dpkg frontend lock (/var/lib/dpkg/lock-frontend), are you root?

EDIT : il fallait dans mon cas saisir les commandes avec : sudo su (et donc tout s'installe sans aucunes erreurs)

J'arrive à présent sur la page Openvpn, j'essaye de m'y connecter avec le login admin, et le passe que j'ai changé, il n'est pas reconnu.

Le changement de passe avec la commande : passwd openvpn a bien abouti.

EDIT 3 : J'ai trouvé, le login administrateur n'est pas admin (comme l'article le laisse à penser) mais Openvpn

Je ne suis pas arrivé au bout, je laisse pour ce soir, mais ça serais cool de modifier le tuto car ce n'est pas du Step by Step.

Après je m'en moque car le boulot est bien maché, mais pour des néophytes ça craint lol

Merci encore à l'auteur !

Modifié le 3 septembre 2020 par Domodial

[Einsteinium]

Les identifiants reçu par mail, sont ceux de root.. donc la logique voudrait que tu sois en root lorsque tu tapes les commandes :)

Pour openvpn... je cite : « On configure désormais OpenVPN via l’interface web, et l’identifiant openvpn »

Donc je ne comprends pas la non plus ta remarque 🙂

[Einsteinium]

Je vous informes que j’abandonne le vps, je passes désormais en direct, si certains (solution de niche) on encore de l'intérêt pour ce dernier dans le temps, j'en assurais sans soucis la maintenance.

Concernant cerbot, j'ai abandonné la version auto, celle de base incluant désormais les api dns, donc si certains veulent, je peux mettre ici à la suite les commandes à réalisés pour cela. J'avais mis en automatique le renouvellement avec reload de nginx au passage, trop feignant de me connecté tous les 3 mois...

[Astha]

Bonjour, j'ai suivi pas a pas le tuto, mais je bloque sur la fin, concernant l'edit du fichier avec la commande : vim /etc/nginx/conf.d/default.conf

Une fois ouvert, et en modifiant bien les noms de domaines / chemin d'accès (préalablement creer en dossier) et ip fixe mis sur openvpn.

J'enregistre et une fois que je lance la commande de restart : /etc/init.d/nginx restart

Cela me met une erreur et je bloque à cet endroit, l'erreur est la suivante :

"[....] Restarting nginx (via systemctl): nginx.serviceJob for nginx.service failed because the control process exited with error code.
See "systemctl status nginx.service" and "journalctl -xe" for details.
 failed!"

Que faire ? Merci d'avance :).
 

[Einsteinium]

Tu as fais un "nginx -t" pour vérifier la config avant de restart ? car si tu restart et qu'il y a des erreurs dans ton config, alors nginx reste planté, tu as du faire une erreur dans ton config, souvent on oublie de bouclé des lignes, envois le moi en message privé que je regardes.

[Einsteinium]

Pour ceux qui veulent faire de la limitation géographique sans passé par une installation fastidieuse, voici un fichier à mettre dans le dossier snippets qui limitera l’accès à la France et la Belgique :

(Contact par MP)

Que l'on appellera par exemple dans un bloc :

    location / {
        include snippets/htaccess.conf;
        proxy_pass https://10.0.0.10:32400;
    }

 

[.Shad.]

C'est une manière de faire du GeoIP pour les services exposés sur le proxy inverse ? Ça m'intéresse !

[boblebricoleur]

Salut à tous, c'était juste pour remercier l'auteur, ça faisait des semaines que j'me pété le crâne, je suis passé d'un fournisseur internet 4G Bouygues à free et avec ces derniers impossible de faire de la redirection, du coup le tuto + du proxy inversé via mon nas synology j'ai pu récupérer l'accès à mes équipements (notamment et surtout jeedom :p)

[Einsteinium]

@boblebricoleur Le meilleur remerciement à me faire, une belle présentation et participé activement au forum maintenant 😁

[boblebricoleur]

Le 30/10/2020 à 19:21, Einsteinium a dit :

@boblebricoleur Le meilleur remerciement à me faire, une belle présentation et participé activement au forum maintenant 😁

J'ai une question, à la fin de ton tuto, tu explique qu'il y aura 2 commandes à taper tout les 3 mois, tu les aurais sous la main ? Ah moins que je les ai ratés dans un des postes ?
Je connais celle pour le renouvellement renew, mais c'est surtout pour éviter les conneries, merci d'avance 😄

[Einsteinium]

Les commandes de certificat, mais comme dit plus haut j’avais changer la méthode sans mettre à jour le tutoriel vue le peu d’engouement 😉

[Astroced]

Bonjour, je suis nouveau sur le forum.

Un grand merci à Einsteinium grâce à qui j'ai enfin réussi à ouvrir un port vers un serveur hébergé derrière un serveur 4G en site isolé !!!

J'arrive à ouvrir un seul port grâce à la DMZ en utilisant IPDUVPS:tcp/port comme indiqué dans le tuto et c'est déjà génial, mais je souhaiterais pouvoir ouvrir plusieurs ports...

J'ai essayé en mettant juste IPDUVPS dans DMZ mais bien entendu, tous les ports étant ainsi renvoyé vers le client j'ai perdu l'accès à l'interface de config de OPENVPN sur le port 943, la possibilité pour les clients de se connecter sur le port 1194, l'accès en SSH... Bref petite erreur de ma part qui m'a value une reinstall complète de Debian sur le VPS. Rien de bien méchant, je teste pour le moment et avec le tuto c'est vraiment vite fait...

Ma question donc : Comment ouvrir plusieurs ports vers un même client (sans avoir à utiliser une gateway matérielle) ? Je suppose que ma seule option est d'utiliser iptables mais je débute et n'y comprends rien !

Est-ce que qqu'un ici pourrait faire un petit tuto pour compléter ce qui a déjà été écrit ici. Un exemple complet expliquant comment forwarder les ports 80, 81 et 82 par exemple vers un client en 10.0.0.10 par exemple.

Ma reconnaissance éternelle en échange ;-) Merci

 

[Einsteinium]

Merci.

Et bien il suffit de faire un retour à la ligne et de remettre en partant du même principe ip externe port

[Astroced]

Merci mais seule la première ligne est prise en compte... 

[Tookie]

Bonjour,

Tout d'abord, merci pour ce super tuto, c'est bien utile quand t'es en zone blanche et que t'as que de la 4G.

Tout fonctionnait bien depuis un mois, aucun soucis. Mais depuis quelques jours, j'ai une perte de connexion journalière sur l'interface VPN du syno. J'ai l'impression que le VPS plante, je n'y ai meme plus accès en SSH. Obligé de forcer un reboot depuis OVH.
J'ai rien vu d'anormal dans les logs, mais je suis loin d'être expert en Debian..

Je suis le seul à qui ca arrive ? Quelqu'un a une idée pour dépanner ?

En sachant que j'utilise uniquement le VPN, j'ai pas installé la partie nom de domaine, je n'en ai pas besoin. (J'utilise le nom de domaine du syno)

Merci !

[boblebricoleur]

Le 15/12/2020 à 17:40, Tookie a dit :

Bonjour,

Tout d'abord, merci pour ce super tuto, c'est bien utile quand t'es en zone blanche et que t'as que de la 4G.

Tout fonctionnait bien depuis un mois, aucun soucis. Mais depuis quelques jours, j'ai une perte de connexion journalière sur l'interface VPN du syno. J'ai l'impression que le VPS plante, je n'y ai meme plus accès en SSH. Obligé de forcer un reboot depuis OVH.
J'ai rien vu d'anormal dans les logs, mais je suis loin d'être expert en Debian..

Je suis le seul à qui ca arrive ? Quelqu'un a une idée pour dépanner ?

En sachant que j'utilise uniquement le VPN, j'ai pas installé la partie nom de domaine, je n'en ai pas besoin. (J'utilise le nom de domaine du syno)

Merci !

Bah je pensais être le seul, je dois reboot le VPS via le manager d'ovh au moins une fois par jour, j'arrive pas à trouver la merde, j'ai lancé un ticket chez ovh pas de nouvelle pour le moment.

[Astha]

J'ai exactement le même problème, environ 1 fois par jour, obliger de reboot le VPS pour que je puisse me reconnecter. Je suis aller jusqu'au bout du tutoriel pour ma part.

Modifié le 20 décembre 2020 par Astha

[Tookie]

Salut les gars, 

Plus besoin de reboot depuis 3 jours pour ma part. Je pense, avec vos retour, que c'était effectivement un soucis avec OVH. 
En tout cas c'est chiant vu que le synology se reconnecte pas tout seul.. Si ca peut aider certain, j'ai activé le packet teanviewer, et je l'ai affilié a un compte gratuit. Ca permet de relancer la co VPN assez facilement 🙂

Bonne journée a tous

[Astha]

Pour ma part, ça a redéconnecté il y a 8 minutes, donc toujours le cas ^^.