Aller au contenu

[TUTO] [VPS] OpenVPN/Nginx pour l’ouverture de ports en 4G


Messages recommandés

Posté(e) (modifié)
Le 07/08/2021 à 12:15, MarcoLoco5924 a dit :

mais quand je me connecte en SSH sur mon router synology RT2600ac, une fois mon profil opvn copié sur le router, je lance la commande de connexion et j'ai toujours une erreur

Bonsoir,

Tu as importé le profil openVPN et le certificat, dans centre réseau > internet > Paramètres VPN > créer > OpenVPN...

qgdh.png

Puis une fois créer > cliquer sur connecter.

Le 11/08/2021 à 16:27, .Shad. a dit :

lors j'ai cru comprendre qu'une nouvelle mouture de SRM est en préparation, mais quand... ?

Oui basé sur DMS7 au lieu de DSM5 😀 (pour le DS2660ac et MR2200ac). Mais effectivement quand?

 

A noter que le client openVPN de SRM fonctionne avec le serveur VPN de DSM7.

Donc 2.3.11 > 2.4.9

Modifié par maxou56
Posté(e) (modifié)
Le 11/08/2021 à 14:42, .Shad. a dit :

et tu ne devrais plus avoir de problème de négociation TLS.

@MarcoLoco5924 n'évoque pas le certificat, c'est peut être le problème ??

 

946h.png

Modifié par maxou56
Posté(e) (modifié)

Bonjour, merci à tous pour vos réponses. @.Shad. merci pour ta solution alternative mais dans le contexte ou mon router 4G et ma connexion fibre orange ne sont pas en IP fixe il me semble donc important d'avoir mon VPS en serveur et non en client. 

Ensuite les éléments de @maxou56 montrent que le client VPN du SRM pourrait marcher. J'avais fait la démarche proposée mais sans certificats effectivement. Je ne sais pas comment faire mais cela doit être dans la deuxième partie du Tuto.  C'est peut être le problème. Je repars sur cette piste. Encore merci 

Modifié par MarcoLoco5924
Posté(e)
Il y a 13 heures, maxou56 a dit :

@MarcoLoco5924 n'évoque pas le certificat, c'est peut être le problème ??

Quand on exporte un fichier .ovpn depuis Access Server, les certificats sont inclus dans le fichier.
Le certificat, la clé privée et le ca-cert (certificate authority). Je pense que le message que tu as posté est là pour signifier que là aussi, le certificat est embarqué quand on exporte depuis les VPN Synology.

@MarcoLoco5924 C'est très facile à vérifier, tu dois avoir à la fin de ton fichier .ovpn un encart <ca>...</ca>, <cert>..., </cert>, <key>...</key> (plus d'autres éventuellement, suivant les réglages d'Access Server).

il y a 34 minutes, MarcoLoco5924 a dit :

mon router 4G et ma connexion fibre orange ne sont pas en IP fixe il me semble donc important d'avoir mon VPS en serveur et non en client. 

Sauf à vouloir utiliser des applications qui nécessitent une IP fixe (serveur mail par exemple), je ne vois pas ce que ça change si tu as un dynhost.

  • 4 mois après...
Posté(e)

Bonjour a tous, 

Je suis tomber sur ce tuto en faisant des recherches pour contourner le CGNAT de ma connexion 4G. Ce tuto me permettrait donc d'acceder a mon reseau local depuis l'exterieur. Mais j'ai une petite question. Pour rediriger tout mon traffic vers le VPN, je peux configurer le VPN sur mon routeur ? 

  • 2 mois après...
Posté(e)

Bonjour, 

J'aimerai savoir si le tuto est toujours fonctionnel et si il est à jour ?

Je souhaite mettre en place votre solution. Mais je galère avec le reserve proxy.

Merci pour votre réponse 

Posté(e)

Fonctionnel oui, à jour peu être plus forcement, concernant le certificat il y a eu du neuf depuis et on en parle dans les dernières pages.

Maintenant si un bon samaritain peut me fournir un vps, je verrais à actualisé le tutoriel pour debian 11 et les certificats.

Posté(e)

Merci pour la reponse.

Alors j'ai essayé la partie 2 car j'utilise OpenMPTCProuter. J'ai bien accès sur le port 80. Je veux juste pourvoir installer "https" et la redirection vers des ip interne.

Mais je bloque avec certbot ou certbot-auto. Erreur :

 /usr/local/bin/certbot --nginx certonly --rsa-key-size 4096
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Enter email address (used for urgent renewal and security notices)
 (Enter 'c' to cancel): YYYY@ZZZZZ

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server. Do you agree?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: Y

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing, once your first certificate is successfully issued, to
share your email address with the Electronic Frontier Foundation, a founding
partner of the Let's Encrypt project and the non-profit organization that
develops Certbot? We'd like to send you email about our work encrypting the web,
EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: Y
Account registered.

Which names would you like to activate HTTPS for?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: XXXXXXXXXXXX
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel): 1
Requesting a certificate for XXXXXXXXXXXXXX

Certbot failed to authenticate some domains (authenticator: nginx). The Certificate Authority reported these problems:
  Domain: XXXXXXXXXXXXX
  Type:   unauthorized
  Detail: Invalid response from http://XXXXXXXXXXXXXXX/.well-known/acme-challenge/EHBcmoiiaJ9R5ojAo52jugeu7JIBFgFwMwZa4NRMtZo [151.80.140.70]: "<!DOCTYPE HTML PUBLIC \"-//IETF//DTD HTML 2.0//EN\">\n<html><head>\n<title>404 Not Found</title>\n</head><body>\n<h1>Not Found</h1>\n<p"

Hint: The Certificate Authority failed to verify the temporary nginx configuration changes made by Certbot. Ensure the listed domains point to this nginx server and that it is accessible from the internet.

Some challenges have failed.
Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /var/log/letsencrypt/letsencrypt.log or re-run Certbot with -v for more details.

Merci de votre aide.

Posté(e) (modifié)
Le 02/03/2022 à 20:50, Vins9876 a dit :

Alors j'ai essayé la partie 2 car j'utilise OpenMPTCProuter. J'ai bien accès sur le port 80. Je veux juste pourvoir installer "https" et la redirection vers des ip interne.

Bonsoir,

Si tu as OpenMPTCP, il faut géré les ports dans la partie "routeur" (Rasberry, VM...), comme avec un routeur normal. (par défaut 192.168.100.1)

(Tu créais une règle, dans réseau > pare-feu > redirections de port, vers ton NAS)

Essayer de ce connecter, ou modifier sur la partie serveur (sur le VPS hébergé) en OpenVPN? avec le NAS, n'est pas une bonne idée. De plus openVPN est déjà installé mais configuré pour l'agrégation, pas pour une connexion client > serveur classique)

Modifié par maxou56
Posté(e) (modifié)

Merci de votre reponse maxou56

Mais oui, la config du pare-feu est effectué. J'ai bien acces sur IP VPS sur mon site interne. cela n'est pas très compliqué (redirection de port comme un routeur classique)

Maintenant que cela est fait, je voudrais redirigé vers :

un nom de domaine vers un autre site www.google.fr

un nom de sous-domaine vers https://IP_VPS:8080

un nom de sous-domaine vers https://IP_VPS:80

 

Et c'est les https et les redirection de domaine qui me pose probleme.

Merci de m'expliquer comment je peux faire.

Modifié par Vins9876
Posté(e) (modifié)

Bonjour,

Merci @Einsteiniumpour ce super tuto qui est toujours fonctionnel avec quelques variantes (certbot).

Je vous explique mon besoin/soucis.

Cet EXELLENT tuto est pour mettre directement sur un NAS ou equivalent si je ne me trompe pas.

Moi, je l'ai mis sur un routeur (Openwrt, j'ai changé!!).

Comment je peux faire la configuration pour 2 IP interne.

explication : 2 IP interne ->Openwrt ->VPS/VPN -> sous-domaine1 et sous-domaine2.

la config openwrt est ok (ça fonctionner avant)

la config VPS/VPN je pense avoir un soucis mais je ne sais pas.

Pouvez-vous m'aider?

Modifié par Vins9876
Posté(e) (modifié)

Pas bien compris ta demande, les sous-domaines différents c'est pour accéder à des applications différentes ?

Pour citer quelqu'un, tu tapes @ suivi du pseudo de la personne, tu vas voir une liste déroulante apparaître. Comme ça @Vins9876.

C'est au niveau du proxy inversé que le port intervient, pas avant.
Pour rediriger un domaine qui t'appartient vers l'IP (publique j'imagine ?) de ton VPS ça se passe au niveau de la zone DNS publique, chez ton prestataire.

Je ne vois pas ce que le changement pour OpenWRT vient faire ici, à moins de mettre le client VPN sur le routeur ?

Modifié par .Shad.
Posté(e)

Bonjour, 

J'ai enfin réussi à tout mettre en place !! En faite, il faut juste comprendre que c'est comme un routeur.

J'aimerais savoir quelques informations. 

Le HTTPS fonctionnent-il pour les sous-domaine?

Exemple : https://chez_moi.fr (fait avec certbot)

https://Cloud.chez_moi.fr

Il faut refaire certbot pour "https://cloud.chez_moi.fr" ou non?

Et j'ai mis un accès sur mon nas. Mais j'ai accès à des pages que je ne souhaite pas. 

Exemple

Redirection routeur : 192.168.1.150:80 vers VPN:81

Cloud nas-vpn nginx proxy : https://10.15.10.8:81

Mais j'ai accès à mon guide tv qui est inclus dans le dossier web du nas. Et je n'ai pas de port de redirection sur le nas.

Comment bloqué l'accès au reste sauf au cloud?

Merci de votre réponse. 

Posté(e)
Il y a 2 heures, Vins9876 a dit :

Il faut refaire certbot pour "https://cloud.chez_moi.fr" ou non?

Si tu demandes un certificat wildcard, tu valides tous les sous-domaines possibles.
Ca t'évite de devoir en recréer un à chaque ajout de nouvelle URL pour une nouvelle application.

Il y a 2 heures, Vins9876 a dit :

Exemple

Redirection routeur : 192.168.1.150:80 vers VPN:81

Cloud nas-vpn nginx proxy : https://10.15.10.8:81

Mais j'ai accès à mon guide tv qui est inclus dans le dossier web du nas. Et je n'ai pas de port de redirection sur le nas.

Comment bloqué l'accès au reste sauf au cloud?

Tu peux réexpliquer ? pas très clair pour moi tout du moins. 🙂 

Posté(e)

Merci de votre aide.

Concernant HTTPS :

OK. Alors pourquoi sur mon navigateur, le HTTPS est barré?

Blocage acces :

J'ai un nas synology. J'ai mis dans le dossier web le dossiers nextcloud. Qui me donne en local : https://192.168.1.150/nextcloud/index.php et j'ai un guideTV, que j'ai fait pareil : https://192.168.1.150/TVguide/index.php.

J'ai mis l'acces exterieur pour mon cloud : https://cloud.chez_moi.fr/nextcloud/index.php

Mais j'ai aussi accès à mon guideTV :

https://cloud.chez_moi.fr/TVguide/index.php

 

Comment faire pour bloquer (qui ne soit pas en accès exterieur) l'accès à mon guideTV?

Merci de votre aide

  • 4 mois après...
Posté(e)

Merci pour ce tuto,

J'essai de l'adapter pour mes besoins, à savoir rediriger un domaine avec un dual wan en permutation.

J'ai suivi la première parti du tuto sans problème, j'arrive à redirigé 1 port. Mais comment faire pour redirigé plusieurs port ? Je connecte le VPN sur mon routeur et mon domaine redirige sur plusieurs port.

Dans la documentation je trouve ceci :

Citation
  • If you specify an IP address only for the DMZ value, it will redirect all ports to the VPN client. Be aware that if you do this on the IP that is used by the Access Server itself for its web and VPN tunnel daemons you would effectively be cutting yourself off from access to your Access Server. You should only do this on secondary IP addresses, not the primary one.

Mais comme il est dit si je me déconnecte du vpn je n'ai plus aucun accès.

Je n'ai pas réussi non plus à faire une règles iptables, j'ai l'impression qu'elle ne sont pas prise en compte.

Si vous avez une idée, je suis preneur 😉

Merci de votre aide

Posté(e)
Il y a 4 heures, cmathias a dit :

j'arrive à redirigé 1 port. Mais comment faire pour redirigé plusieurs port ?

Et bien tu rajoutes un virgule entre chaque port, exemple :

32400,5000,5001,5002,3001

ou

32400,5000-5002,3001

😉

 

Posté(e)
Il y a 17 heures, Einsteinium a dit :

Et bien tu rajoutes un virgule entre chaque port, exemple :

Malheureusement ça ne fonctionne pas.

Citation

IPVPS:tcp/443,5000-50001,80,8443 does not have a valid port number

 

Posté(e) (modifié)
il y a 15 minutes, Einsteinium a dit :

Oui mais à chaque port il faut préciser le protocole et pas seulement sur le premier, je l’avais oublié celui là 🙂

Donc comme ceci ?

IPVPS:tcp/443,tcp/5001

Mais il n'accepte pas la modification (il agit comme si aucune modification n'a été apporté) 

Quand je rouvre mon utilisateur la modification a disparu et aucune mise à jour à appliqué.

 

Et via ssh :

root@*******:/usr/local/openvpn_as/scripts# ./sacli --user cmathias --key "dmz_ip.0" --value "IPVPS:tcp/443,tcp/5001" UserPropPut
[True, {}]
root@*************:/usr/local/openvpn_as/scripts# ./sacli start
RunStart warm None
{
  "active_profile": "Default",
  "errors": {
    "USERDB.cmathias.dmz_ip.0": [
      [
        "error",
        "IPProtoPort: parse error: must be in the form IP[:proto/start_port[-end_port]]: util/cdict:354,net/ipt:487 (ValueError)"
      ]
    ],
    "iptables_openvpn": [
      [
        "error",
        "service failed to validate"
      ]
    ]
  },
  "last_restarted": "Thu Jul 28 09:09:15 2022",
  "service_status": {
    "api": "on",
    "auth": "on",
    "bridge": "on",
    "client_query": "on",
    "crl": "on",
    "daemon_pre": "on",
    "db_push": "on",
    "ip6tables_live": "on",
    "ip6tables_openvpn": "on",
    "iptables_live": "on",
    "iptables_openvpn": "on",
    "iptables_web": "on",
    "log": "on",
    "openvpn_0": "on",
    "subscription": "on",
    "user": "on",
    "web": "on"
  }
}
WILL_RESTART []
ERROR: restart failed (ERRBACK)

 

Modifié par cmathias
Posté(e)

Bingo !

Merci !

Pour info j'ai réussi à adapter la configuration pour les clients openvpn qui date un peut (je pense notamment à dsm6 ou aux routeur synology)

Il suffit de désactiver "tls-crypt" dans "advanced vpn" et de configurer à la place "tls-auth"

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.