Babou57 Posté(e) le 19 novembre 2020 Partager Posté(e) le 19 novembre 2020 Bonjour à tous. J'ai suivi ce tuto pour configurer un serveur Open VPN: https://www.nas-forum.com/forum/topic/53328-tuto-vpn-server/ Il est vraiment très bien fichu. J'ai suivi à la lettre les étapes. J'ai traité le port 1194 et autorisé aux clients l'accès au serveur LAN. J'ai exporté le certificat et je l'ai intégré correctement dans mon client OpenVPN windows. Lorsque je me connecte, la connexion est réussie. Sauf que quand je tape dans la barre d'adresse 10.8.X.X ou http://10.8.X.X:5000 ou https://10.8.X.X:5001 ou encore 192.168.X.X, https://192.168.X.X:5001 et http://192.168.X.X:5000 je n'accède jamais à DSM. La page charge indéfiniment et on me dit qu'elle n'existe pas. Je m'y prends peut être mal... J'ai un nom de domaine en synology.me également. Pourquoi je ne peux pas y accéder? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 19 novembre 2020 Partager Posté(e) le 19 novembre 2020 (modifié) As tu autorisé les adresses 10.8.x.x dans le firewall du NAS ? Si ce n'est pas déjà fait jette un coup d'œil au tuto de Fenrir sur la sécurité du NAS ici ? Modifié le 19 novembre 2020 par Thierry94 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Babou57 Posté(e) le 19 novembre 2020 Auteur Partager Posté(e) le 19 novembre 2020 (modifié) il y a 52 minutes, Thierry94 a dit : As tu autorisé les adresses 10.8.x.x dans le firewall du NAS ? Si ce n'est pas déjà fait jette un coup d'œil au tuto de Fenrir sur la sécurité du NAS ici ? Merci de ta réponse, oui je l'avais configuré comme dans le tuto justement. Là j'ai désactivé le pare feu pour tester et je constate en fait que le client VPN ne se connecte pas. Il me marque: "Initialization Sequence Completed With Errors" Je vois pas le soucis... j'ai suivi le tuto à la lettre Parmi les erreurs j'ai: "WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set." "DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-256-CBC' to --data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning." "WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info." "WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this" "Warning: route gateway is not reachable on any active network adapters:10.8.X.X" Modifié le 19 novembre 2020 par Babou57 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 19 novembre 2020 Partager Posté(e) le 19 novembre 2020 Tu as quoi dans ton fichier client de configuration OpenVpn ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Babou57 Posté(e) le 20 novembre 2020 Auteur Partager Posté(e) le 20 novembre 2020 (modifié) Le 19/11/2020 à 20:19, Thierry94 a dit : Tu as quoi dans ton fichier client de configuration OpenVpn ? Voici: J'ai mis l'adresse IP publique du NAS et j'ai enlevé le caractère de commentaire à "redirect gateway" car j'ai coché la case "Autoriser aux clients l'accès au serveur LAN" dev tun tls-client remote 78.118.X.X 1194 # The "float" tells OpenVPN to accept authenticated packets from any address, # not only the address which was specified in the --remote option. # This is useful when you are connecting to a peer which holds a dynamic address # such as a dial-in user or DHCP client. # (Please refer to the manual of OpenVPN for more information.) #float # If redirect-gateway is enabled, the client will redirect it's # default network gateway through the VPN. # It means the VPN connection will firstly connect to the VPN Server # and then to the internet. # (Please refer to the manual of OpenVPN for more information.) redirect-gateway def1 # dhcp-option DNS: To set primary domain name server address. # Repeat this option to set secondary DNS server addresses. #dhcp-option DNS DNS_IP_ADDRESS pull # If you want to connect by Server's IPv6 address, you should use # "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode proto udp script-security 2 comp-lzo reneg-sec 0 cipher AES-256-CBC auth SHA512 auth-user-pass <ca> -----BEGIN CERTIFICATE----- Modifié le 21 novembre 2020 par Babou57 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 20 novembre 2020 Partager Posté(e) le 20 novembre 2020 (modifié) Je ne vois rien d'anormal dans ton fichier ... pour info l'option redirect-gateway n'a rien à voir avec l'option "Autoriser aux clients ..." Au fait tu as bien une adresse IP externe fixe pour ta box ? Modifié le 20 novembre 2020 par Thierry94 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Babou57 Posté(e) le 21 novembre 2020 Auteur Partager Posté(e) le 21 novembre 2020 (modifié) C'est bizarre car dans le tuto que j'ai suivi, c'est indiqué: Le 13/08/2016 à 17:13, Fenrir a dit : #redirect-gateway def1 selon que vous avez ou non coché la case entourée de rouge (cf plus haut), il faut enlever ou laisser le caractère de commentaire (le #) en début de ligne Après j'y connais pas grand chose. A quoi sert cette ligne? Comment je peux savoir si ma box a une adresse IP publique fixe? Edit: En allant sur ce lien http://www.mon-ip.com/ip-dynamique.php, j'ai pu constater que j'avais une adresse ip fixe. Par contre on ne m'affichait qu'une adresse IP V6, je sais pas si c'est normal. Modifié le 21 novembre 2020 par Babou57 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Jeff777 Posté(e) le 21 novembre 2020 Partager Posté(e) le 21 novembre 2020 Bonjour @Babou57 Je pense que c'est normal...j'ai le même résultat. Si tu veux être certain tu notes ton IPV4, tu redémarres la box et si ton IPV4 n'a pas changé tu es en IP fixe. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Babou57 Posté(e) le 21 novembre 2020 Auteur Partager Posté(e) le 21 novembre 2020 Merci Jeff, j'ai redémarré ma box plusieurs fois depuis que j'ai le NAS (1 mois) et j'ai toujours la même adresse IPV4 publique. Malheureusement je ne vois toujours pas ce qui coince pour le VPN et je suis à cours d'idée... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 21 novembre 2020 Partager Posté(e) le 21 novembre 2020 l'option redirect-gateway permet d'orienter les requêtes internet du client via le VPN. Sans l'option activée lorsque le client est connecté au VPN les requêtes internet passent par la connexion internet de l'endroit ou se trouve le client (4G, Wifi local, ...) Avec l'option activée les requêtes internet du client sont transmises au NAS via le VPN puis passent par la connexion Internet de l'endroit ou se trouve le NAS. Avec cette option activée c'est comme si tu faisais tes requêtes sur ton réseau local. Pour ton problème de connexion peux tu nous montrer les paramètres OpenVpn du NAS, tes règles du firewall et les routages NAT de ta box ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Babou57 Posté(e) le 24 novembre 2020 Auteur Partager Posté(e) le 24 novembre 2020 (modifié) Le 21/11/2020 à 12:26, Thierry94 a dit : l'option redirect-gateway permet d'orienter les requêtes internet du client via le VPN. Sans l'option activée lorsque le client est connecté au VPN les requêtes internet passent par la connexion internet de l'endroit ou se trouve le client (4G, Wifi local, ...) Avec l'option activée les requêtes internet du client sont transmises au NAS via le VPN puis passent par la connexion Internet de l'endroit ou se trouve le NAS. Avec cette option activée c'est comme si tu faisais tes requêtes sur ton réseau local. Pour ton problème de connexion peux tu nous montrer les paramètres OpenVpn du NAS, tes règles du firewall et les routages NAT de ta box ? Voici les captures d'écran. Pour le NAT, l'adresse masquée est l'adresse fixe du NAS (Fixée dans la box internet) Pour les règles de pare feu: 1/ Je refuse toutes les communications venant de Chine/ Mali/ Côte d'Ivoire, etc 2/ J'autorise tout le trafic provenant d'une connexion depuis VPN Serveur 3/ J'autorise tout le trafic provenant des sous-réseaux de Docker. 4/ J'autorise tout le trafic provenant des appareils de mon réseau local. 5/ J'autorise les ports de certaines applications en les sélectionnant directement dans la liste (ports 80, 443, DSM, openVPN, NTP, transferts de fichiers windows etc) 6/ J'autorise le port spécifique SFTP (je désactive cette règle lorsque je ne m'en sers pas) 7/ Je refuse tout le reste Pour le VPN, l'adresse IP masquée sur la capture 2 est celle fixe du NAS Modifié le 27 novembre 2020 par Babou57 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 24 novembre 2020 Partager Posté(e) le 24 novembre 2020 Bon tout à l'air bien correct dans ta configuration ! J'ai relus tous les messages mais je n'ai pas trouvé si le test de connexion OpenVpn que tu faisais était depuis ton réseau local ou depuis l'extérieur. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Babou57 Posté(e) le 24 novembre 2020 Auteur Partager Posté(e) le 24 novembre 2020 (modifié) Je simule une connexion extérieure en connectant mon ordi portable sur la 4g de mon téléphone portable. (fonction point d'accès mobile sur le téléphone et connexion en wifi sur le réseau "Android AP" sur l'ordi portable) Avec mon Wifi Local c'est pareil, la connexion ne se fait pas. Tu crois qu'au lieu de renseigner mon adresse IP publique dans le fichier de config je devrais plutôt renseigner le nom de domaine ndd.synology.me? Modifié le 24 novembre 2020 par Babou57 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Jeff777 Posté(e) le 24 novembre 2020 Partager Posté(e) le 24 novembre 2020 il y a 13 minutes, Babou57 a dit : Tu crois qu'au lieu de renseigner mon adresse IP publique dans le fichier de config je devrais plutôt renseigner le nom de domaine ndd.synology.me? ça ne changera rien à mon avis. Je te propose plutôt le test suivant : à la place de ton adresse publique tu mets ton adresse locale 192.168.x.x et tu fais l'essai en WIFI. Si ça fonctionne remet l'adresse publique et fais un essai en connectant ton laptop sur une autre box. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 24 novembre 2020 Partager Posté(e) le 24 novembre 2020 (modifié) L'ordi portable sur la 4G du smartphone tu n'es pas en simulation mais bien en connexion extérieur réelle ! Quand tu fais des tests en local c'est l'adresse ip locale du nas qu'il faut mettre dans le fichier de config. Pour la mise en place d'OpenVpn il est recommandé de faire tous les tests en local et seulement quand cela marche bien en local de passer à un accès depuis l'extérieur. Edit: Je me suis fais griller par @jeff777 Modifié le 24 novembre 2020 par Thierry94 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Jeff777 Posté(e) le 24 novembre 2020 Partager Posté(e) le 24 novembre 2020 il y a 9 minutes, Thierry94 a dit : Quand tu fais des tests en local c'est l'adresse ip locale du nas qu'il faut mettre dans le fichier de config. Sauf si le loopback fonctionne chez toi. il y a 11 minutes, Thierry94 a dit : Edit: Je me suis fais griller par @jeff777 Pour une fois que c'est pas moi qui me fais griller 🤣 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Babou57 Posté(e) le 27 novembre 2020 Auteur Partager Posté(e) le 27 novembre 2020 Le 24/11/2020 à 18:19, Jeff777 a dit : ça ne changera rien à mon avis. Je te propose plutôt le test suivant : à la place de ton adresse publique tu mets ton adresse locale 192.168.x.x et tu fais l'essai en WIFI. Si ça fonctionne remet l'adresse publique et fais un essai en connectant ton laptop sur une autre box. Le 24/11/2020 à 18:19, Thierry94 a dit : L'ordi portable sur la 4G du smartphone tu n'es pas en simulation mais bien en connexion extérieur réelle ! Quand tu fais des tests en local c'est l'adresse ip locale du nas qu'il faut mettre dans le fichier de config. Pour la mise en place d'OpenVpn il est recommandé de faire tous les tests en local et seulement quand cela marche bien en local de passer à un accès depuis l'extérieur. Edit: Je me suis fais griller par @jeff777 Je viens d'essayer et ça ne fonctionne pas non plus. J'ai essayé également en laissant le caractère de commentaire sur la ligne redirect gateway mais j'ai le même soucis... incompréhensible Lien vers le commentaire Partager sur d’autres sites More sharing options...
Jeff777 Posté(e) le 27 novembre 2020 Partager Posté(e) le 27 novembre 2020 Si ta config est bonne ça peut peut-être venir de l'adaptateur mal instalé ou mal configuré: Lien vers le commentaire Partager sur d’autres sites More sharing options...
Babou57 Posté(e) le 27 novembre 2020 Auteur Partager Posté(e) le 27 novembre 2020 (modifié) ça a l'air d'être bon... par contre j'ai un "OpenVPN Wintun" je ne sais pas à quoi ça correspond. Modifié le 27 novembre 2020 par Babou57 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Jeff777 Posté(e) le 27 novembre 2020 Partager Posté(e) le 27 novembre 2020 Je ne pense pas, j'ai Windows 10 aussi. Ce que je ne comprends pas c'est que là tu as l'air connecté en VPN (pas de croix rouge sur ton tap windows adapteur.) Chez moi la croix rouge disparait lorsque je suis connecté en VPN. Essaie de désactiver le OpenVPN Wintum Lien vers le commentaire Partager sur d’autres sites More sharing options...
.Shad. Posté(e) le 27 novembre 2020 Partager Posté(e) le 27 novembre 2020 Le 19/11/2020 à 16:32, Babou57 a dit : "WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set." "DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-256-CBC' to --data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning." "WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info." "WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this" Ces avertissements sont dus à la version combien obsolète de OpenVPN dans DSM. Tu ne peux pas y faire grand chose, à part rajouter quelques paramètres dans le fichier ovpn, dans les faits ça ne changera rien. Le problème vient visiblement de là : Le 19/11/2020 à 16:32, Babou57 a dit : "Warning: route gateway is not reachable on any active network adapters:10.8.X.X" Comme @Jeff777 je privilégierais un problème avec Windows. Tu peux essayer de déinstaller OpenVPN et TAP-adapter de Windows, et réinstaller. En dernier recours, quelques pistes, en espérant que tu trouves une solution : https://www.systemmen.com/security/vpn/fix-openvpn-route-gateway-is-not-reachable-261.html https://forums.openvpn.net/viewtopic.php?t=12362 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Babou57 Posté(e) le 29 novembre 2020 Auteur Partager Posté(e) le 29 novembre 2020 Le 27/11/2020 à 12:49, Jeff777 a dit : Chez moi la croix rouge disparait lorsque je suis connecté en VPN. Essaie de désactiver le OpenVPN Wintum Le 27/11/2020 à 15:58, .Shad. a dit : Comme @Jeff777 je privilégierais un problème avec Windows. Tu peux essayer de déinstaller OpenVPN et TAP-adapter de Windows, et réinstaller. Merci beaucoup à tous les 2! Chez moi le TAP-adaptater était tout le temps "connecté" (donc sans croix rouge) même quand je quittais OpenVPN. J'ai suivi vos conseils et j'ai désinstallé OpenVPN de fond en comble. J'ai installé OpenVPN Connect (que je ne connaissais pas mais c'est le premier téléchargement du site officiel OpenVPN). Je l'ai lancé et j'ai intégré le fichier de configuration. On m'a demandé le certificat externe qui va avec mais bizarrement il ne le trouve pas (alors qu'il était dans le même dossier). J'ai fait "continuer quand même" et là ça a fonctionné! Du coup comme je trouvais le logiciel un peu lourd, je me suis décidé à réinstaller OpenVPN client. Cette fois, dans la config d'installation j'ai sélectionné le strict minimum: open client, driver TAP-adaptater. J'ai décoché Wintun driver, VPN service, Configuration samples et tout le reste. Pour la copie du fichier de config, je l'ai copier directement sous Program Files/openVPN/config. Avant je l'avais copié dans User/OpenVPN/config. Je n'ai copié QUE le fichier de config et pas le certificat avec comme avant. En retentant de me connecter... ça a fonctionné aussi! C'est nickel, je peux accéder à l'interface DSM en 4G via adresse IP locale et 10.8.X.X en port 5000 ou 5001! Je peux même accéder à l'interface de ma box internet en 4G mais je pense que c'est normal puisque j'ai coché la case "Autoriser aux clients l'accès au serveur LAN" c'est cela? Par contre je ne peux pas accéder à DSM via mon nom de domaine en synology.me. C'est normal? Il faudrait que ma box internet fasse du loopback pour cela si j'ai bien compris? Merci beaucoup en tout cas! Lien vers le commentaire Partager sur d’autres sites More sharing options...
Jeff777 Posté(e) le 29 novembre 2020 Partager Posté(e) le 29 novembre 2020 Content pour toi @Babou57 Pour arriver sur le dsm il faut faire nomdedomaine :5001 ou alors avoir un proxy inverse dsm.nomdedomaine avec une redirection vers iplocalenas:5000. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Babou57 Posté(e) le 29 novembre 2020 Auteur Partager Posté(e) le 29 novembre 2020 Merci @Jeff777 pour l'idée du proxy inversé! Par contre ça me fera ouvrir DSM via le port 443 au lieu du port 5001 directement... ça revient un peu au même je trouve. Ce que je ne comprends pas c'est pourquoi je ne peux pas me connecter à DSM en wifi local via mon nom de domaine synology.me si je ne traite pas le port 5001 (box et pare feu)? Sur un autre post, on m'a dit que ça vient peut être du fait que je passe par l'extérieur car la résolution DNS interne ne permet pas de savoir que c'est le NAS que je cherche à atteindre. Il y aurait plusieurs solutions à ce problème : - avoir une box qui fait du loopback: comment savoir si c'est le cas? - mettre en place un serveur DNS local: ça a l'air trop complexe pour moi - modifier le fichiers hosts de tes clients: comment faire cela? J'y suis presque en tout cas! Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 29 novembre 2020 Partager Posté(e) le 29 novembre 2020 @Babou57 J'ai fermé le sujet car le problème initial est maintenant résolu et vos demandes supplémentaires sont hors sujet. Le problème est maintenant résolu. N'hésitez pas à ouvrir un nouveau message en cas de problème. Ceci est une réponse automatique. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés