Connexion VPN (Synology -> Raspberry) refusée

[dbouchy]

Bonjour,

Je me tourne vers vous car cela fait plusieurs jours que je cherche mais que je ne trouve pas...

Mon problème : Je souhaite connecter mon DS716 à un réseau distant dont le serveur OpenVPN est géré par un Raspberry.

Il va de soit que j'arrive très bien à me connecter via mon PC ou mon smartphone au réseau distant via un client OpenVPN. Par contre, ce que je n'arrive pas à faire, c'est de connecter mon NAS à ce foutu réseau !

Voici l'état de ma connexion, comme déjà vécu pas certaine ici :

Avez-vous une piste à me fournir ? (contenu du .ovpn ?  paramètrage de mon DSM ?...)

Un grand merci par avance pour votre temps et votre expérience ;).

[.Shad.]

Sans logs ça va être compliqué...

Que dit le centre de journaux ?

[dbouchy]

Il y a 5 heures, .Shad. a dit :

Sans logs ça va être compliqué...

Que dit le centre de journaux ?

Merci .Shad pour ta réponse. Oui, tu as raison, oups ! J'aurais dû y penser.

Le centre de journaux ne semble rien indiquer rien à propos de l'échec de connexion :

 

Voici les fichiers que j'ai dans var/logs

Je ne sais pas vraiment où chercher...

 

[.Shad.]

Regarde ce que tu trouves dans messages, éventuellement tu grep derrière :

cat /var/log/messages | grep -C 20 vpn

 

[dbouchy]

il y a 9 minutes, .Shad. a dit :

Regarde ce que tu trouves dans messages, éventuellement tu grep derrière :

cat /var/log/messages | grep -C 20 vpn

 

Merci pour ta commande.

Voici ce que j'ai :

2021-03-20T08:58:19+01:00 SYNO716 root: Job pkg-LogCenter-syslog is not running, skip reload service action
2021-03-20T08:59:02+01:00 SYNO716 synoscgi_SYNO.WebStation.HTTP.VHost_1_list[4734]: webvhost.cpp:1035 backend version not available
2021-03-20T08:59:02+01:00 SYNO716 synoscgi_SYNO.WebStation.HTTP.VHost_1_list[4734]: webvhost.cpp:339 Host 81a49fca-f452-11e5-97cc-756173eccf7e content is not valid
2021-03-20T08:59:42+01:00 SYNO716 synoscgi_SYNO.Core.Network.VPN.OpenVPNWithConf_1_create[6147]: synovpn_util.c:106 idx = 0, sz = /usr/bin/openssl
2021-03-20T08:59:42+01:00 SYNO716 synoscgi_SYNO.Core.Network.VPN.OpenVPNWithConf_1_create[6147]: synovpn_util.c:106 idx = 1, sz = x509
2021-03-20T08:59:42+01:00 SYNO716 synoscgi_SYNO.Core.Network.VPN.OpenVPNWithConf_1_create[6147]: synovpn_util.c:106 idx = 2, sz = -noout
2021-03-20T08:59:42+01:00 SYNO716 synoscgi_SYNO.Core.Network.VPN.OpenVPNWithConf_1_create[6147]: synovpn_util.c:106 idx = 3, sz = -hash
2021-03-20T08:59:42+01:00 SYNO716 synoscgi_SYNO.Core.Network.VPN.OpenVPNWithConf_1_create[6147]: synovpn_util.c:106 idx = 4, sz = -in
2021-03-20T08:59:42+01:00 SYNO716 synoscgi_SYNO.Core.Network.VPN.OpenVPNWithConf_1_create[6147]: synovpn_util.c:106 idx = 5, sz = /volume1/@tmp/upload_tmp.61471
2021-03-20T08:59:47+01:00 SYNO716 openvpn[6442]: Options error: No client-side authentication method is specified.  You must use either --cert/--key, --pkcs12, or --auth-user-pass
2021-03-20T08:59:47+01:00 SYNO716 openvpn[6442]: Use --help for more information.
2021-03-20T08:59:48+01:00 SYNO716 gateway_change hook event: NEW 192.168.1.1 on ovs_eth0
2021-03-20T09:01:20+01:00 SYNO716 synovpnc: connection.c:988 Wait 30 seconds; Failed to get net card info 'tun0' [0x3600 net_get_if_info.c:55]
2021-03-20T09:01:20+01:00 SYNO716 synovpnc: connection.c:1303 CreateOVPNConnection(o1616227182) failed
2021-03-20T09:01:20+01:00 SYNO716 synovpnc: synovpnc.c:376 VPN id 'o1616227182' is failed to create
2021-03-20T09:01:21+01:00 SYNO716 gateway_change hook event: DEL 192.168.1.1 on ovs_eth0
2021-03-20T09:03:55+01:00 SYNO716 synoscgi_SYNO.LogCenter.Log_1_list[12768]: SYNO.LogCenter.Log.cpp:181 Fail to get real path (/SYNOSYSLOGDB__ARCH.DB), szRealPath (/SYNOSYSLOGDB__ARCH.DB)
2021-03-20T09:03:55+01:00 SYNO716 synoscgi_SYNO.LogCenter.Log_1_list[13525]: SYNO.LogCenter.Log.cpp:181 Fail to get real path (/SYNOSYSLOGDB__ARCH.DB), szRealPath (/SYNOSYSLOGDB__ARCH.DB)

[.Shad.]

Il y a 4 heures, dbouchy a dit :

2021-03-20T09:01:20+01:00 SYNO716 synovpnc: connection.c:988 Wait 30 seconds; Failed to get net card info 'tun0' [0x3600 net_get_if_info.c:55]
2021-03-20T09:01:20+01:00 SYNO716 synovpnc: connection.c:1303 CreateOVPNConnection(o1616227182) failed
2021-03-20T09:01:20+01:00 SYNO716 synovpnc: synovpnc.c:376 VPN id 'o1616227182' is failed to create

C'est là que ça a l'air de planter, mais ce n'est pas beaucoup plus limpide.
Tu génères un fichier ovpn depuis ton raspberry ? Tu utilises OpenVPN AS (Access Server) ?

Attention que la version d'OpenVPN des NAS Syno date de ... 4 ans bientôt (juin 2017, oui c'est une honte, surtout pour un service qui concerne la sécurité).
Il y a des grandes chances que le fichier ovpn que tu utilises comporte des options incompatibles ou dépréciées.

Vérifie que ton serveur peut accepter des connexions depuis un client en version 2.3.17

[dbouchy]

il y a une heure, .Shad. a dit :

C'est là que ça a l'air de planter, mais ce n'est pas beaucoup plus limpide.
Tu génères un fichier ovpn depuis ton raspberry ? Tu utilises OpenVPN AS (Access Server) ?

Attention que la version d'OpenVPN des NAS Syno date de ... 4 ans bientôt (juin 2017, oui c'est une honte, surtout pour un service qui concerne la sécurité).
Il y a des grandes chances que le fichier ovpn que tu utilises comporte des options incompatibles ou dépréciées.

Vérifie que ton serveur peut accepter des connexions depuis un client en version 2.3.17

Le fichier .ovpn est généré via le raspberry : https://korben.info/pivpn-transformer-raspberry-pi-serveur-openvpn.html

Lors de l'importation du fichier, le NAS le refusait. J'ai été obligé de modifier  <tls-crypt> *** </tls-crypt>  par  <tls-auth>***</tls-auth>

J'ai aussi regardé la doc des fichiers de configuration d'OpenVPN pour voir ce qui pourrait être à l'origine du problème, sans succès!

La version du serveur est OpenVPN 2.4.0

 

Je vais essayer de trouver un fichier de configuration client issu d'une version 2.3.17 et adapter à la mienne. Si quelqu'un en a un, je suis preneur 😉

 

[dbouchy]

Il y a 3 heures, dbouchy a dit :

Vérifie que ton serveur peut accepter des connexions depuis un client en version 2.3.17

J'ai installé un client windows en version 2.3.17, impossible de se connecter non plus. Grrr!!!

Du coup, je ne sais plus quoi faire.

Dois-je downgrader ma version serveur ? C'est prendre des risques, non ?

Comment faites vous pour vous connecter à un réseau distant, sans utiliser le VPN sur le NAS, bien sûr ?

Merci pour vos éclairages avisés.

Modifié le 20 mars 2021 par dbouchy

[Juan luis]

il y a 24 minutes, dbouchy a dit :

J'ai installé un client windows en version 2.3.17, impossible de se connecter non plus. Grrr!!!

Du coup, je ne sais plus quoi faire.

Dois-je downgrader ma version serveur ? C'est prendre des risques, non ?

Comment faites vous pour vous connecter à un réseau distant, sans utiliser le VPN sur le NAS, bien sûr ?

Merci pour vos éclairages avisés.

Bonsoir,

Quelle est ta box distante ? Si c'est une freebox , ça fait serveur VPN.

J'utilise un routeur mikroTik pour faire serveur, car la freebox ne sait pas faire  vpn site to site.

[.Shad.]

@dbouchy Je ne dis pas que c'est forcément la différence de version qui fait que cela ne fonctionne pas, mais que c'est une possibilité.
As-tu besoin que le serveur soit sur le Rpi et pas sur le NAS ? Si c'est interchangeable ça pourrait te faciliter la vie.

[dbouchy]

il y a 20 minutes, .Shad. a dit :

As-tu besoin que le serveur soit sur le Rpi et pas sur le NAS ? Si c'est interchangeable ça pourrait te faciliter la vie.

Oui, plus facile mais moins securisé... Je ne préfère pas que mon serveur VPN soit sur le NAS.

Mais comment font les autres ?

[dbouchy]

Il y a 11 heures, dbouchy a dit :

Oui, plus facile mais moins securisé... Je ne préfère pas que mon serveur VPN soit sur le NAS.

Mais comment font les autres ?

Bon, je me réponds... impossible de connecter un client openvpn 2.3 sur un serveur en verison 2.4.

"This is because openvpn v2.3.x does not support ncp-ciphers, only openvpn >2.4."

Bon, sujet clos !

Reste à upgrader ma version d'OpenVPN sur mon NAS mais je crois que je ne suis pas tout seul dans ce cas....

 

[dbouchy]

Il y a 15 heures, Juan luis a dit :

Quelle est ta box distante ? Si c'est une freebox , ça fait serveur VPN.

J'utilise un routeur mikroTik pour faire serveur, car la freebox ne sait pas faire  vpn site to site.

Ma box ne fait pas serveur VPN

[Juan luis]

il y a 29 minutes, dbouchy a dit :

Ma box ne fait pas serveur VPN

As tu essayé en VPN L2TP ?

[dbouchy]

il y a une heure, Juan luis a dit :

As tu essayé en VPN L2TP ?

NON, mais de ce que j'ai lu, cela n'est plus trop recommandé 😞

[aurique]

il y a 14 minutes, dbouchy a dit :

NON, mais de ce que j'ai lu, cela n'est plus trop recommandé 😞

Beaucoup plus qu'OpenVPN en tout cas.

[.Shad.]

Tout dépend de l'utilisation que tu fais du NAS quand il est connecté en VPN. Parce qu'avec Docker ce serait très facile de se connecter sur ton raspberry.

[dbouchy]

Il y a 5 heures, .Shad. a dit :

Tout dépend de l'utilisation que tu fais du NAS quand il est connecté en VPN. Parce qu'avec Docker ce serait très facile de se connecter sur ton raspberry.

L'idée est d'utiliser HyperBackup pour sauvegarder le NAS1 sur le NAS2

Voici le schéma de mon réseau :

 

En ce qui concerne Docker, mes compétences sont nulles.

 

[.Shad.]

Je pense que dans ce cas-là il faudra revoir tes exigences. Tu peux t'orienter vers une solution PiVPN site-to-site : https://www.pivpn.io/ et https://www.raspberrypi.org/forums/viewtopic.php?t=295452

Il faut jouer avec les routes mais ça me semble faisable, et ça te dispense d'utiliser le client vpn du NAS.

[dbouchy]

Merci pour ton retour .Shad, c'est top !

Une question : que dois-je revoir comme exigences ? je n'ai pas compris

Pour le site to site, j'y avais pensé. Mais sans réussite : j'ai installé un client OpenVPN sur le Raspberry1 qui se connecte bien au Raspberry2. Jusque là, ça va.

Mais à travers une autre console putty sur le Raspberry1, impossible de pinger mon NAS.

Je pense que tu as raison pour les routes, mais je ne sais pas comment faire tout cela....

Je vais avancer et chercher.

Un gros merci.

PS : je prends toute aide généreuse 😉

Modifié le 21 mars 2021 par dbouchy

[Juan luis]

il y a une heure, dbouchy a dit :

Merci pour ton retour .Shad, c'est top !

Une question : que dois-je revoir comme exigences ? je n'ai pas compris

Pour le site to site, j'y avais pensé. Mais sans réussite : j'ai installé un client OpenVPN sur le Raspberry1 qui se connecte bien au Raspberry2. Jusque là, ça va.

Mais à travers une autre console putty sur le Raspberry1, impossible de pinger mon NAS.

Je pense que tu as raison pour les routes, mais je ne sais pas comment faire tout cela....

Je vais avancer et chercher.

Un gros merci.

PS : je prends toute aide généreuse 😉

Bonsoir,

 

Déjà au niveau du routage , pour les NAS il faut que l'IP  passerelle soit l' IP des raspberry.

 

 

Modifié le 21 mars 2021 par Juan luis

[.Shad.]

il y a une heure, dbouchy a dit :

Une question : que dois-je revoir comme exigences ? je n'ai pas compris

Il y a des solutions plus simples à mettre en place via Docker.
Moi à ta place je regarderais Wireguard (dispo aussi via PiVPN), globalement plus simple à mettre en place, et tu trouveras plus d'informations pour faire un VPN site-à-site.

Et en terme de performances, bien meilleur qu'OpenVPN. 😉 

[Juan luis]

Il y a 11 heures, dbouchy a dit :

L'idée est d'utiliser HyperBackup pour sauvegarder le NAS1 sur le NAS2

Voici le schéma de mon réseau :

 

En ce qui concerne Docker, mes compétences sont nulles.

 

Bonjour,

Je pense que tu ne devrais pas utiliser le même reseau IP privé sur tes deux sites . Mais plutôt  site 1 : 192.168.1.0, site 2: 192.168.2.0.

Ça dépend bien sûr du masque de réseau qui n'est pas précisé dans le schéma, mais si c'est de la classe C c'est mort.  Il sera impossible de router d'un site à l' autre.

Modifié le 22 mars 2021 par Juan luis

[Juan luis]

Il y a 10 heures, .Shad. a dit :

Il y a des solutions plus simples à mettre en place via Docker.
Moi à ta place je regarderais Wireguard (dispo aussi via PiVPN), globalement plus simple à mettre en place, et tu trouveras plus d'informations pour faire un VPN site-à-site.

Et en terme de performances, bien meilleur qu'OpenVPN. 😉 

Bonjour,

Peut être plus simple , mais n'est ce pas la" branche sur laquelle on est assis"

J'utilise un NAS distant pour faire mes précieuses sauvegardes. Mais je sauvegarde pas 24/24H 365J/an et comme je ne suis pas normal, j'éteins mon NAS parfois plusieurs semaines, surtout  en juillet /aout.

A distance , j'allume et j’éteins le NAS grâce au "paquet magique"

A mon avis il est préférable que la partie VPN soit dissociée du NAS de backup.

Modifié le 22 mars 2021 par Juan luis

[.Shad.]

Tout dépend l'utilisation qu'on prévoit d'en avoir, je précise aussi que PiVPN propose les mêmes fonctionnalités de ce qu'on peut lire sur leur site (et j'en avais déjà entendu parler). et dans ce cas-là c'est totalement dissocié du NAS.