Aller au contenu

[OpenVPN] Déconnexion subite - reconnexion impossible


StéphanH

Messages recommandés

Bonjour,

J'utilise un tunnel OpenVPN permanent entre un 218+ (client)  et un 718+ (serveur).

Tout à l'heure, le tunnel est tombé (cela arrive parfois), mais cette fois il refuse de remonter.
J'ai essayé de rebooter tout le monde (les deux NAS, les deux routeurs), rien n'y fait.
Le serveur semble bien voir arriver un client (avec un nom étrange ...), mais cela n'aboutit pas :

532644803_Capturedcran2021-05-2015_40_30.thumb.png.0fa013b27b0296651ec99d5178352df2.png

Je vois que mon certificat Let's Encrtypt (utilisé par le tunnel) expire le 18/08. J'en déduis qu'il a été renouvelé très récemment (Ils sont émis pour 3 mois ??). Est-ce cela qui aura empêché le tunnel de remonter ?

 

Je suis preneur de vos lumières ...

Merci.

Lien vers le commentaire
Partager sur d’autres sites

@StéphanH il est tout à fait possible que ce soit le certificat qui soit la cause du refus de connexion. Pour le certificat du VPN, je ne passe pas par le certificat LE car j'ai effectivement eu le même problème que toi après son renouvellement. J'utilise soit le certificat par défaut du NAS, soit un certificat autosigné avec une validité très éloignée pour ne pas être tributaire des aléas de connexions tous les deux mois.

Regarde aussi au niveau du parefeu si des fois ton IP ne serait pas bloquée.

Lien vers le commentaire
Partager sur d’autres sites

Merci @Mic13710

C'était bien le certificat renouvelé. C'est étrange, car cela fait plusieurs années que je n'avais pas eu de souci avec ce VPN, malgré le renouvellement automatique des certificats LE.

Par contre, j'ai un autre souci ... Une fois le tunnel remonté,  la connexion du client Drive vers le serveur via le tunnel ne se fait plus.  la connexion échoue. 

Je ne vois pas où chercher. Le firewall VPN a l'air correct. je ne vois rien dans les IP bloquées.

Une idée ?

Modifié par StéphanH
Lien vers le commentaire
Partager sur d’autres sites

J'ai ajouté cette règle sur le NAS client et cela fonctionne de nouveau 1606885074_Capturedcran2021-05-2021_07_21.png.3ad21d6d6d374ca9d94729a42483e0bc.png:

192.168.1.0/255.255.255.0 est le masque du LAN sur lequel est le serveur.

192.168.2.6 est l'@IP VPN du NAS Client

Je suppose que cette règle a sauté. pourquoi ?

 

EDIT : Je ne comprends plus. Je perds la connexion aussitôt. Je dois arrêter et relancer Synology Drive sur le client pour retrouver la connexion. Je reboot ...

Modifié par StéphanH
Lien vers le commentaire
Partager sur d’autres sites

J'essaie de résumer ...

Déconnexion subite d'OpenVPN entre les deux NAS, le lendemain du renouvellement du certificat LE utilisé pour le VPN.

Je réimporte le ça_bundle => le VPN remonte, les deux instances de Surveillance station se reconnectent. Le client Drive du Mac se synchronise également.

Je client drive du NAS client ne se reconnecte pas. Ce matin, je supprime la tâche  entre client et serveur, et je la recréé sur l'@IP LAN du serveur (et non pas sur l'@IP VPN). La réconciliation a lieu.

Lien vers le commentaire
Partager sur d’autres sites

je me rends compte d'un autre comportement...

Avant, je me servais depuis les clients de l'@IP VPN du serveur OpenVPN (chez moi : 192.168.2.1).

Depuis cet épisode, je ne peux plus m'en servir. elle n'est plus joignable. J'utilise donc l'IP locale de ce NAS (pour Drive, SurveillanceStation CMS, mes accès à mon LAN distant ...)

De NAS à NAS, ce n'est pas gênant, mais si un jour je repasse chez Orange (donc, sans règle de routage de sous réseau), je serai dans la mouise pour l'avais de mon MAC ...)

Modifié par StéphanH
Lien vers le commentaire
Partager sur d’autres sites

Le 20/05/2021 à 21:29, StéphanH a dit :

Dans le doute, voici les règles du pare-feu sur le serveur :

1178570795_Capturedcran2021-05-2021_31_15.png.02eba1c426402160568a49b078bceb00.png

 

Et tu penses que ces règles sont bonnes ???? Parce que là tu es en open bar

il y a 24 minutes, StéphanH a dit :

Avant, je me servais depuis les clients de l'@IP VPN du serveur OpenVPN (chez moi : 192.168.2.1).

Pourquoi tu n'utilises pas les plages d'IP classiques du VPN en 10.10.x.x ?

Lien vers le commentaire
Partager sur d’autres sites

il y a 2 minutes, Mic13710 a dit :

Et tu penses que ces règles sont bonnes ???? Parce que là tu es en open bar

Pourquoi tu n'utilises pas les plages d'IP classiques du VPN en 10.10.x.x ?

Oui, c'est volontaire. la complexité est dans l'accès au VPN : il faut fournir le bon certificat... ça complique.

Mais une fois dans le VPN, c'est effectivement OpenBar ! 

c'est interdit d'utiliser autre chose que 10.... ???? c'est mal de choisir 192.168 ?

Lien vers le commentaire
Partager sur d’autres sites

C'est toi qui voit, mais là ton parefeu ne sert strictement à rien puisqu'il n'y a pas de règle de refus. Tout passe !

Il faut rajouter une dernière règle qui refuse tout (voir le tuto sur la sécurité).

il y a une heure, StéphanH a dit :

c'est interdit d'utiliser autre chose que 10.... ???? c'est mal de choisir 192.168 ?

A priori non, tu mets ce que tu veux tant qu'il s'agit de plages privées. Mais s'il y a des plages spécifiques, autant les utiliser. Et puis, à lire tes messages, on se mélange les pinceaux car la frontière VPN et réseau n'est pas très claire. Ceci dit, peut-être que la dernière mise à jour ne permet plus d'utiliser autre chose que les 10.10.x.x, ce qui pourrait expliquer ton blocage.

Essaye en autorisant les plages VPN dans le parefeu et change les adresses dans ton serveur VPN pour qu'elles soient dans les 10.10.x.x.

Lien vers le commentaire
Partager sur d’autres sites

Merci pour ta réponse.
Ma copie d’écran masque la ligne du bas de la fenêtre de gestion du pare-feu. Si aucune règle n’est remplie, l’accès est refusé.

En l’occurrence, je n’accepte que des adresses locales (192.168. Et fe80, ainsi que les Ip françaises). Le risque est quand même très limité non ?

J’ai un doute sur les Ip Françaises… je ne souhaite autoriser que des adresses françaises à se connecter au VPN.
Je devrais donc basculer cette règle dans les règles d’accès LAN ?

A l’intérieur du VPN, je ne veux que des IP de mes LAN.

(Rédigé avec Tapatalk)

Lien vers le commentaire
Partager sur d’autres sites

  • 2 mois après...
Le 20/05/2021 à 18:55, Mic13710 a dit :

J'utilise soit le certificat par défaut du NAS

Quand tu fait l'erreur de créer un certificat LE et que tu supprimes le certificat Syno d'origine, tu fais comment pour en recréer un (oui, je sais, c'était trèèès bête de le faire, mais... je l'ai fait !  Me foutrait des baffes)

Merci @Mic13710

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.