Aller au contenu

Messages recommandés

Posté(e) (modifié)

Bonjour,

Avant tout je suis novice en réseau et avec les forums : pardon d'avance si ce sujet a déjà été traité et/ou qu'il n'est pas au bon endroit.

Contexte

  • Je dispose d'un NAS DS418 et d'un routeur MR2200ac.
  • Je souhaiterais (i) accéder à mon NAS à distance via un VPN et (ii) le cacher en configurant mon NAS comme client d'un fournisseur de VPN tiers.
  • Ces modèles de NAS et Routeur permettent tous les deux d'héberger un serveur VPN et/ou d'être client VPN.

Questions

Selon vous, dans le cas général (pour que cela réponde au plus grand nombre), quelle est la meilleure combinaison ?

  • C1 : serveur VPN sur le routeur & client VPN sur le routeur
  • C2 : serveur VPN sur le routeur & client VPN sur le NAS
  • C1 : serveur VPN sur le NAS & client VPN sur le routeur
  • C1 : serveur VPN sur le NAS & client VPN sur le NAS

Dans le cas des choix C1 et C2 comment configurer le port 1701 (Fenrir indique en effet dans son tuto VPN que celui ci doit être ouvert sur la machine qui porte le serveur VPN mais fermé / non forwardé sur le routeu) ?

Et pourquoi ?

Remarques

Je n'ai pas les compétences pour répondre seul à cette questions mais j'ai déjà pensé à plusieurs sujets qui pourraient rentrer en compte.

Sujet #1 : accès à toutes les machines du réseau

  • Probablement plus naturel via un VPN routeur.
  • Ce qui peut-être vu au choix comme une fonction de plus du réseau ou comme une augmentation de la "surface" et donc un risque plus grand pour la sécurise.
  • Je crois para ailleurs que cela est également faisable avec l'option "autoriser les client a accéder au serveur LAN" du NAS.

Sujet #2 : être taillé pour un VPN

  • Je me dis qu'un NAS est probablement mieux taillé (hardware, software) pour faire serveur VPN ?
  • Peut-être des sujets de débit aussi ?

Sujet #3 : Web VPN

  • Je crois comprendre que le paquet VPN Plus Server du routeur permet un accès VPN depuis un navigateur et donc sans configuration des clients ?
  • Je n'ai rien lu de tel sur les paquets NAS. Est-ce également possible ?
  • Quel est l'impact d'un point de vue sécurité ?

Sujet 4# : option passerelle multiple

  • Comme déjà évoqué sur ce forum, il semblerait que l'option "passerelle multiple" soit indispensable pour que le NAS soit client d'un VPN or elle semble amener des anomalies dans le comportement su serveur VPN sur le NAS pour les clients OpenVPN.

Sujet 5# : compatibilité serveur VPN et client VPN

  • Sauf erreur de ma part, j'ai cru lire que le fait d'avoir un serveur VPN sur votre machine (NAS ou Routeur) pouvait nous imposer de devoir être client VPN (si le client est cette même machine) en utilisant un protocole différent du serveur VPN. Exemple OpenVPN pour le serveur impose l'utilisation du L2TP/IPSec en tant que client et vis-versa.
  • Est-ce correct ?
  • Si oui, il a probablement un intérêt à avoir une première machine en tant que serveur VPN et la seconde en tant que client afin de laisser plus de flexibilité sur le serveur VPN en proposant à ses clients OpenVPN et L2TP/IPSec ?

Sujet 6# : autres appareils du réseau

  • Dans le cas où l'on souhaiterait cacher d'autres appareils de son réseau (box domotiques, caméra IP, etc.) un accès VPN sur le routeur pourrait peut-être permettre d'accéder à ces appareils même en cas de bannissement internet (de ces appareils par le routeur) : l'option serveur VPN sur le routeur semblerait alors intéressante.
  • Alternativement, on pourrait conserver un accès à internet à ces appareils (pour les MAJ notamment) mais en les cachant via une configuration en client VPN du routeur.
  • Enfin forcer certains appareils à être derrière un VPN en tant que client (via le routeur) pourrait être contrariant ou à contrario avantageux (TV géolocalisée dans un autre pays et obligeant/permettant une utilisation d'un service de VOD d'un autre pays).
  • Un routeur en client VPN pourrait également permettre de faire bénéficier tous les appareils du réseau d'un antipub.

Sujet 7# : tous ce à quoi je ne pense pas mais vous si !

In fine je pense que la réponse sera à géométrie variable en fonction des besoins et contraintes de chacun mais cela ne dispense pas de nourrir préalablement cette réflexion d'arguments factuels sur chaque sujet, d'autant plus qu'il y probablement beaucoup de sujet non anticipés dans ce post.

Pour info, un premier élément de réponse a été apporté par @Mic13710 dans ce message.

@oracle7 semble également intéressé par ce sujet selon ce post.

A vos claviers et merci d'avance à tous ceux qui pourrons apporter des arguments en faveur d'une configuration ou d'une autre et ainsi nous permettre de faire un choix "éclairé" !


 

Modifié par TuringFan
Posté(e)

Et moi alors ? XD

Globalement c’est ce que j’ai, mon nas est connecté à OpenVPN via un VPS, j’y accède à distance et il n’est pas en première ligne, à la base c’est une solution pour avoir une IP fixe via la 4G, mais même quand j’aurais la fibre je garderais, c’est une couche de protection en plus pour l’accès au nas (façon cloudflare maison)

maintenant je peux aussi y connecté le routeur et lui dire tel appareil passe par l’adsl, par la 4G ou par le vpn.

voir mon tutoriel sur le sujet 😉

Posté(e)
Il y a 19 heures, Einsteinium a dit :

Et moi alors ? XD

Globalement c’est ce que j’ai, mon nas est connecté à OpenVPN via un VPS, j’y accède à distance et il n’est pas en première ligne, à la base c’est une solution pour avoir une IP fixe via la 4G, mais même quand j’aurais la fibre je garderais, c’est une couche de protection en plus pour l’accès au nas (façon cloudflare maison)

maintenant je peux aussi y connecté le routeur et lui dire tel appareil passe par l’adsl, par la 4G ou par le vpn.

voir mon tutoriel sur le sujet 😉

@Einsteinium Post à jour pour t'inclure LOL.

Merci pour ton retour.

Je ne maitrise pas les VPS, peux tu stp m'expliquer rapidement l'intérêt de cette configuration ?
Concernant les VPN NAS/RT as tu des arguments techniques ? Je manque vraiment de connaissance pour répondre à ma question et mes différents sujets ...

Merci d'avance,

Posté(e)

Un VPS est un serveur privé virtuel, en gros tu loues à un prestataire une VM qui t'est dédiée et sur laquelle tu fais ce qui te chante.
Dans les premiers prix, ce sont souvent des distributions Linux seulement, et c'est parfaitement suffisant.

Tu peux y installer un serveur VPN dessus, et t'y connecter avec ton NAS ou tout autre périphérique. La connexion 4G ne permet pas d'ouvrir des ports, donc pour contourner le problème, @Einsteinium se connecte en VPN sur son VPS, sur lequel il a aussi un proxy inversé. De là il émule totalement une connexion domestique classique via le réseau filaire.

Pour tes questions, je ne maîtrise pas la gestion du client VPN sur le NAS, pour avoir lu un peu là-dessus il a l'air d'être difficile de différentier de façon fiable quels services passent par le VPN ou non, il y a effectivement l'option des passerelles multiples, pour autant ça me semble beaucoup manquer d'option pour définir de manière plus granulaire la façon dont les applications doivent interagir avec le client VPN.

Moi je passe par Docker pour gérer ça, Virtual DSM est très pratique aussi pour cet aspect-ci, le problème c'est que cela requiert un NAS disposant d'un processeur Intel, ce qui n'est pas le cas du DS418.

Je suis désolé mais je ne pense pas pouvoir t'aider outre mesure...😕

Posté(e)
Il y a 12 heures, .Shad. a dit :

Un VPS est un serveur privé virtuel, en gros tu loues à un prestataire une VM qui t'est dédiée et sur laquelle tu fais ce qui te chante.
Dans les premiers prix, ce sont souvent des distributions Linux seulement, et c'est parfaitement suffisant.

Tu peux y installer un serveur VPN dessus, et t'y connecter avec ton NAS ou tout autre périphérique. La connexion 4G ne permet pas d'ouvrir des ports, donc pour contourner le problème, @Einsteinium se connecte en VPN sur son VPS, sur lequel il a aussi un proxy inversé. De là il émule totalement une connexion domestique classique via le réseau filaire.

Pour tes questions, je ne maîtrise pas la gestion du client VPN sur le NAS, pour avoir lu un peu là-dessus il a l'air d'être difficile de différentier de façon fiable quels services passent par le VPN ou non, il y a effectivement l'option des passerelles multiples, pour autant ça me semble beaucoup manquer d'option pour définir de manière plus granulaire la façon dont les applications doivent interagir avec le client VPN.

Moi je passe par Docker pour gérer ça, Virtual DSM est très pratique aussi pour cet aspect-ci, le problème c'est que cela requiert un NAS disposant d'un processeur Intel, ce qui n'est pas le cas du DS418.

Je suis désolé mais je ne pense pas pouvoir t'aider outre mesure...😕

Merci @.Shad. pour toutes tes  explications.

Pas contre dans la théorie pour l'option VPS mais étant novice je souhaiterais dans un premier temps limiter mon périmètre pour déjà monter en compétence là dessus.

Concernant l'option passerelle multiple je ne comprends pas comment cela se traduit conceptuellement ?

Que sont Docker et Virtual DSM ? Peux tu m'en dire plus là dessus stp.

Merci d'avance,

Posté(e)

Docker c'est de la conteneurisation, tu peux embarquer dans un conteneur un service, conteneur qui n'aura que les dépendances qui lui sont utiles.
Le conteneur utilise les ressources de l'hôte pour le reste.
Ca nécessite de se passer des outils Synology par contre.

Virtual DSM c'est une machine virtuelle de DSM, c'est un deuxième DSM dans lequel tu peux configurer une connexion client VPN pour les applications qui t'intéressent.

Ces deux outils ne sont pas disponibles sur ton modèle de NAS, ils sont réservés à la gamme "+"

Posté(e)
Il y a 10 heures, .Shad. a dit :

Docker c'est de la conteneurisation, tu peux embarquer dans un conteneur un service, conteneur qui n'aura que les dépendances qui lui sont utiles.
Le conteneur utilise les ressources de l'hôte pour le reste.
Ca nécessite de se passer des outils Synology par contre.

Virtual DSM c'est une machine virtuelle de DSM, c'est un deuxième DSM dans lequel tu peux configurer une connexion client VPN pour les applications qui t'intéressent.

Ces deux outils ne sont pas disponibles sur ton modèle de NAS, ils sont réservés à la gamme "+"

Merci pour les explications.

Mais je suis donc le seul à ne pas avoir de NAS "+" et à me poser cette question de VPN RT vs. NAS ?

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.