Aller au contenu

Connexion VPN (Synology -> Raspberry) refusée


Messages recommandés

Bonjour,

Je me tourne vers vous car cela fait plusieurs jours que je cherche mais que je ne trouve pas...

Mon problème : Je souhaite connecter mon DS716 à un réseau distant dont le serveur OpenVPN est géré par un Raspberry.

Il va de soit que j'arrive très bien à me connecter via mon PC ou mon smartphone au réseau distant via un client OpenVPN. Par contre, ce que je n'arrive pas à faire, c'est de connecter mon NAS à ce foutu réseau !

Voici l'état de ma connexion, comme déjà vécu pas certaine ici :

image.png.77722b02f92ad3a93ae58b322bfe41af.png

Avez-vous une piste à me fournir ? (contenu du .ovpn ?  paramètrage de mon DSM ?...)

Un grand merci par avance pour votre temps et votre expérience ;).

Lien vers le commentaire
Partager sur d’autres sites

Il y a 5 heures, .Shad. a dit :

Sans logs ça va être compliqué...

Que dit le centre de journaux ?

Merci .Shad pour ta réponse. Oui, tu as raison, oups ! J'aurais dû y penser.

Le centre de journaux ne semble rien indiquer rien à propos de l'échec de connexion :

image.thumb.png.84496b8546d87fc68d6fc3f0c9552794.png

 

Voici les fichiers que j'ai dans var/logs

image.thumb.png.3d00e125f4e270c259730dfd46e7d3a8.png

Je ne sais pas vraiment où chercher...

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 9 minutes, .Shad. a dit :

Regarde ce que tu trouves dans messages, éventuellement tu grep derrière :


cat /var/log/messages | grep -C 20 vpn

 

Merci pour ta commande.

Voici ce que j'ai :

2021-03-20T08:58:19+01:00 SYNO716 root: Job pkg-LogCenter-syslog is not running, skip reload service action
2021-03-20T08:59:02+01:00 SYNO716 synoscgi_SYNO.WebStation.HTTP.VHost_1_list[4734]: webvhost.cpp:1035 backend version not available
2021-03-20T08:59:02+01:00 SYNO716 synoscgi_SYNO.WebStation.HTTP.VHost_1_list[4734]: webvhost.cpp:339 Host 81a49fca-f452-11e5-97cc-756173eccf7e content is not valid
2021-03-20T08:59:42+01:00 SYNO716 synoscgi_SYNO.Core.Network.VPN.OpenVPNWithConf_1_create[6147]: synovpn_util.c:106 idx = 0, sz = /usr/bin/openssl
2021-03-20T08:59:42+01:00 SYNO716 synoscgi_SYNO.Core.Network.VPN.OpenVPNWithConf_1_create[6147]: synovpn_util.c:106 idx = 1, sz = x509
2021-03-20T08:59:42+01:00 SYNO716 synoscgi_SYNO.Core.Network.VPN.OpenVPNWithConf_1_create[6147]: synovpn_util.c:106 idx = 2, sz = -noout
2021-03-20T08:59:42+01:00 SYNO716 synoscgi_SYNO.Core.Network.VPN.OpenVPNWithConf_1_create[6147]: synovpn_util.c:106 idx = 3, sz = -hash
2021-03-20T08:59:42+01:00 SYNO716 synoscgi_SYNO.Core.Network.VPN.OpenVPNWithConf_1_create[6147]: synovpn_util.c:106 idx = 4, sz = -in
2021-03-20T08:59:42+01:00 SYNO716 synoscgi_SYNO.Core.Network.VPN.OpenVPNWithConf_1_create[6147]: synovpn_util.c:106 idx = 5, sz = /volume1/@tmp/upload_tmp.61471
2021-03-20T08:59:47+01:00 SYNO716 openvpn[6442]: Options error: No client-side authentication method is specified.  You must use either --cert/--key, --pkcs12, or --auth-user-pass
2021-03-20T08:59:47+01:00 SYNO716 openvpn[6442]: Use --help for more information.
2021-03-20T08:59:48+01:00 SYNO716 gateway_change hook event: NEW 192.168.1.1 on ovs_eth0
2021-03-20T09:01:20+01:00 SYNO716 synovpnc: connection.c:988 Wait 30 seconds; Failed to get net card info 'tun0' [0x3600 net_get_if_info.c:55]
2021-03-20T09:01:20+01:00 SYNO716 synovpnc: connection.c:1303 CreateOVPNConnection(o1616227182) failed
2021-03-20T09:01:20+01:00 SYNO716 synovpnc: synovpnc.c:376 VPN id 'o1616227182' is failed to create
2021-03-20T09:01:21+01:00 SYNO716 gateway_change hook event: DEL 192.168.1.1 on ovs_eth0
2021-03-20T09:03:55+01:00 SYNO716 synoscgi_SYNO.LogCenter.Log_1_list[12768]: SYNO.LogCenter.Log.cpp:181 Fail to get real path (/SYNOSYSLOGDB__ARCH.DB), szRealPath (/SYNOSYSLOGDB__ARCH.DB)
2021-03-20T09:03:55+01:00 SYNO716 synoscgi_SYNO.LogCenter.Log_1_list[13525]: SYNO.LogCenter.Log.cpp:181 Fail to get real path (/SYNOSYSLOGDB__ARCH.DB), szRealPath (/SYNOSYSLOGDB__ARCH.DB)

Lien vers le commentaire
Partager sur d’autres sites

Il y a 4 heures, dbouchy a dit :

2021-03-20T09:01:20+01:00 SYNO716 synovpnc: connection.c:988 Wait 30 seconds; Failed to get net card info 'tun0' [0x3600 net_get_if_info.c:55]
2021-03-20T09:01:20+01:00 SYNO716 synovpnc: connection.c:1303 CreateOVPNConnection(o1616227182) failed
2021-03-20T09:01:20+01:00 SYNO716 synovpnc: synovpnc.c:376 VPN id 'o1616227182' is failed to create

C'est là que ça a l'air de planter, mais ce n'est pas beaucoup plus limpide.
Tu génères un fichier ovpn depuis ton raspberry ? Tu utilises OpenVPN AS (Access Server) ?

Attention que la version d'OpenVPN des NAS Syno date de ... 4 ans bientôt (juin 2017, oui c'est une honte, surtout pour un service qui concerne la sécurité).
Il y a des grandes chances que le fichier ovpn que tu utilises comporte des options incompatibles ou dépréciées.

Vérifie que ton serveur peut accepter des connexions depuis un client en version 2.3.17

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, .Shad. a dit :

C'est là que ça a l'air de planter, mais ce n'est pas beaucoup plus limpide.
Tu génères un fichier ovpn depuis ton raspberry ? Tu utilises OpenVPN AS (Access Server) ?

Attention que la version d'OpenVPN des NAS Syno date de ... 4 ans bientôt (juin 2017, oui c'est une honte, surtout pour un service qui concerne la sécurité).
Il y a des grandes chances que le fichier ovpn que tu utilises comporte des options incompatibles ou dépréciées.

Vérifie que ton serveur peut accepter des connexions depuis un client en version 2.3.17

Le fichier .ovpn est généré via le raspberry : https://korben.info/pivpn-transformer-raspberry-pi-serveur-openvpn.html

Lors de l'importation du fichier, le NAS le refusait. J'ai été obligé de modifier  <tls-crypt> *** </tls-crypt>  par  <tls-auth>***</tls-auth>

J'ai aussi regardé la doc des fichiers de configuration d'OpenVPN pour voir ce qui pourrait être à l'origine du problème, sans succès!

La version du serveur est OpenVPN 2.4.0

 

Je vais essayer de trouver un fichier de configuration client issu d'une version 2.3.17 et adapter à la mienne. Si quelqu'un en a un, je suis preneur 😉

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, dbouchy a dit :

Vérifie que ton serveur peut accepter des connexions depuis un client en version 2.3.17

J'ai installé un client windows en version 2.3.17, impossible de se connecter non plus. Grrr!!!

Du coup, je ne sais plus quoi faire.

Dois-je downgrader ma version serveur ? C'est prendre des risques, non ?

Comment faites vous pour vous connecter à un réseau distant, sans utiliser le VPN sur le NAS, bien sûr ?

Merci pour vos éclairages avisés.

Modifié par dbouchy
Lien vers le commentaire
Partager sur d’autres sites

il y a 24 minutes, dbouchy a dit :

J'ai installé un client windows en version 2.3.17, impossible de se connecter non plus. Grrr!!!

Du coup, je ne sais plus quoi faire.

Dois-je downgrader ma version serveur ? C'est prendre des risques, non ?

Comment faites vous pour vous connecter à un réseau distant, sans utiliser le VPN sur le NAS, bien sûr ?

Merci pour vos éclairages avisés.

Bonsoir,

Quelle est ta box distante ? Si c'est une freebox , ça fait serveur VPN.

J'utilise un routeur mikroTik pour faire serveur, car la freebox ne sait pas faire  vpn site to site.

Lien vers le commentaire
Partager sur d’autres sites

il y a 20 minutes, .Shad. a dit :

As-tu besoin que le serveur soit sur le Rpi et pas sur le NAS ? Si c'est interchangeable ça pourrait te faciliter la vie.

Oui, plus facile mais moins securisé... Je ne préfère pas que mon serveur VPN soit sur le NAS.

Mais comment font les autres ?

Lien vers le commentaire
Partager sur d’autres sites

Il y a 11 heures, dbouchy a dit :

Oui, plus facile mais moins securisé... Je ne préfère pas que mon serveur VPN soit sur le NAS.

Mais comment font les autres ?

Bon, je me réponds... impossible de connecter un client openvpn 2.3 sur un serveur en verison 2.4.

"This is because openvpn v2.3.x does not support ncp-ciphers, only openvpn >2.4."

Bon, sujet clos !

Reste à upgrader ma version d'OpenVPN sur mon NAS mais je crois que je ne suis pas tout seul dans ce cas....

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 5 heures, .Shad. a dit :

Tout dépend de l'utilisation que tu fais du NAS quand il est connecté en VPN. Parce qu'avec Docker ce serait très facile de se connecter sur ton raspberry.

L'idée est d'utiliser HyperBackup pour sauvegarder le NAS1 sur le NAS2

Voici le schéma de mon réseau :

image.thumb.png.31d4e5e91980f31a7149d8251435651e.png

 

En ce qui concerne Docker, mes compétences sont nulles.

 

Lien vers le commentaire
Partager sur d’autres sites

Je pense que dans ce cas-là il faudra revoir tes exigences. Tu peux t'orienter vers une solution PiVPN site-to-site : https://www.pivpn.io/ et https://www.raspberrypi.org/forums/viewtopic.php?t=295452

Il faut jouer avec les routes mais ça me semble faisable, et ça te dispense d'utiliser le client vpn du NAS.

Lien vers le commentaire
Partager sur d’autres sites

Merci pour ton retour .Shad, c'est top !

Une question : que dois-je revoir comme exigences ? je n'ai pas compris

Pour le site to site, j'y avais pensé. Mais sans réussite : j'ai installé un client OpenVPN sur le Raspberry1 qui se connecte bien au Raspberry2. Jusque là, ça va.

Mais à travers une autre console putty sur le Raspberry1, impossible de pinger mon NAS.

Je pense que tu as raison pour les routes, mais je ne sais pas comment faire tout cela....

Je vais avancer et chercher.

Un gros merci.

PS : je prends toute aide généreuse 😉

Modifié par dbouchy
Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, dbouchy a dit :

Merci pour ton retour .Shad, c'est top !

Une question : que dois-je revoir comme exigences ? je n'ai pas compris

Pour le site to site, j'y avais pensé. Mais sans réussite : j'ai installé un client OpenVPN sur le Raspberry1 qui se connecte bien au Raspberry2. Jusque là, ça va.

Mais à travers une autre console putty sur le Raspberry1, impossible de pinger mon NAS.

Je pense que tu as raison pour les routes, mais je ne sais pas comment faire tout cela....

Je vais avancer et chercher.

Un gros merci.

PS : je prends toute aide généreuse 😉

Bonsoir,

 

Déjà au niveau du routage , pour les NAS il faut que l'IP  passerelle soit l' IP des raspberry.

 

 

Modifié par Juan luis
Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, dbouchy a dit :

Une question : que dois-je revoir comme exigences ? je n'ai pas compris

Il y a des solutions plus simples à mettre en place via Docker.
Moi à ta place je regarderais Wireguard (dispo aussi via PiVPN), globalement plus simple à mettre en place, et tu trouveras plus d'informations pour faire un VPN site-à-site.

Et en terme de performances, bien meilleur qu'OpenVPN. 😉 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 11 heures, dbouchy a dit :

L'idée est d'utiliser HyperBackup pour sauvegarder le NAS1 sur le NAS2

Voici le schéma de mon réseau :

image.thumb.png.31d4e5e91980f31a7149d8251435651e.png

 

En ce qui concerne Docker, mes compétences sont nulles.

 

Bonjour,

Je pense que tu ne devrais pas utiliser le même reseau IP privé sur tes deux sites . Mais plutôt  site 1 : 192.168.1.0, site 2: 192.168.2.0.

Ça dépend bien sûr du masque de réseau qui n'est pas précisé dans le schéma, mais si c'est de la classe C c'est mort.  Il sera impossible de router d'un site à l' autre.

Modifié par Juan luis
Lien vers le commentaire
Partager sur d’autres sites

Il y a 10 heures, .Shad. a dit :

Il y a des solutions plus simples à mettre en place via Docker.
Moi à ta place je regarderais Wireguard (dispo aussi via PiVPN), globalement plus simple à mettre en place, et tu trouveras plus d'informations pour faire un VPN site-à-site.

Et en terme de performances, bien meilleur qu'OpenVPN. 😉 

Bonjour,

Peut être plus simple , mais n'est ce pas la" branche sur laquelle on est assis"

J'utilise un NAS distant pour faire mes précieuses sauvegardes. Mais je sauvegarde pas 24/24H 365J/an et comme je ne suis pas normal, j'éteins mon NAS parfois plusieurs semaines, surtout  en juillet /aout.

A distance , j'allume et j’éteins le NAS grâce au "paquet magique"

A mon avis il est préférable que la partie VPN soit dissociée du NAS de backup.

Modifié par Juan luis
Lien vers le commentaire
Partager sur d’autres sites

Tout dépend l'utilisation qu'on prévoit d'en avoir, je précise aussi que PiVPN propose les mêmes fonctionnalités de ce qu'on peut lire sur leur site (et j'en avais déjà entendu parler). et dans ce cas-là c'est totalement dissocié du NAS.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.