CyberFr Posté(e) le 18 septembre 2021 Partager Posté(e) le 18 septembre 2021 Lorsque je tente de me connecter sur le Mac en L2TP/IPSec, j'ai droit au message "Echec de l'authentification" alors que j'ai vérifié le nom de l'utilisateur admin, son mot de passe de session et la clé pré-partagée qui ne comporte que des caractères ASCII. Cet utilisateur (moi) a le privilège d'ouvrir une session L2TP/IPSec au niveau de VPN Server. Il n'y a rien de particulier concernant les sessions VPN dans auth.log. Le port 1701 est bloqué par le firewall de la box. Le résultat d'un tcdump effectué lors d'une tentative de connexion montre que les ports 500 et 4500 sont bien transférés par la box. Mais alors que faire ? PS : Concernant le port 80 du firewall, le site Web est "Under Construction" et n'est donc accessible qu'en local. La règle "Tous" est appliquée lors du renouvellement du certificat Let's Encrypt. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
.Shad. Posté(e) le 18 septembre 2021 Partager Posté(e) le 18 septembre 2021 Quelques tests à effectuer : Transférer le port 1701 également depuis la box vers le NAS (je sais bien que ce n'est normalement pas nécessaire, mais vu le nombre de retours depuis DSM 7 sur des problèmes avec L2TP, il faut essayer d'autres choses). Est-ce que tu peux essayer de te connecter sans définir de clé partagée ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CyberFr Posté(e) le 18 septembre 2021 Auteur Partager Posté(e) le 18 septembre 2021 (modifié) Merci @.Shad.. Je vais essayer les tests et faire part des résultats. Modifié le 18 septembre 2021 par CyberFr Je suis sous DSM 6 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CyberFr Posté(e) le 18 septembre 2021 Auteur Partager Posté(e) le 18 septembre 2021 (modifié) J'ai débloqué le port 1701 dans le firewall de la box sans résultat, j'ai toujours droit au même message lors d'une tentative de connexion. VPN Server refuse que la clé pré-partagée ne soit pas renseignée, il est impossible de valider la modification. Coté Mac, c'est pareil, il accepte soi-disant de valider l'opération avec une clé à blanc mais lorsqu'on affiche à nouveau le panneau de configuration, la clé est toujours là... Il faudra peut-être que j'envisage de passer à OpenVPN mais ce serait dommage. Modifié le 18 septembre 2021 par CyberFr 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
.Shad. Posté(e) le 18 septembre 2021 Partager Posté(e) le 18 septembre 2021 Je vais tester du week-end de mettre en place L2TP sur mon NAS pour le test. Modulo le fait que je n'ai pas de client Apple à disposition. 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CyberFr Posté(e) le 18 septembre 2021 Auteur Partager Posté(e) le 18 septembre 2021 Je continue de tester, un peu à l'aveugle mais ça peut passer sur un malentendu 🙂 Merci encore @.Shad.. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CyberFr Posté(e) le 19 septembre 2021 Auteur Partager Posté(e) le 19 septembre 2021 J'ai ajouté un VPN en L2TP sur mon iPhone ... et ça marche. J'ai pu me connecter et surfer. Le problème est donc sur le réseau local, du Mac vers le NAS. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
.Shad. Posté(e) le 19 septembre 2021 Partager Posté(e) le 19 septembre 2021 J'ai mis en place L2TP, j'arrive à me connecter à distance et en local (pas grand intérêt en local) avec Android et Windows. Il faudrait peut-être voir avec quelqu'un qui a un Mac. Cependant j'ai trouvé une option qui débloque certaines personnes qui n'arrivent pas à se connecter depuis le passage à DSM 7 : cd /var/packages/VPNCenter/target/etc/raddb/modules nano mschap_ad Et tu ajoutes --allow-mschapv2 entre --request-nt-key et --username=%{%{Stripped-User-Name}:-%{User-Name:-None}}, ce qui donne : mschap mschap_ad { ntlm_auth = "/usr/local/bin/ntlm_auth --request-nt-key --allow-mschapv2 --username=%{%{Stripped-User-Name}:-%{User-Name:-None}} --challenge=%{mschap:Challenge:-00} --nt-response=%{> with_ntdomain_hack = yes } 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CyberFr Posté(e) le 19 septembre 2021 Auteur Partager Posté(e) le 19 septembre 2021 J'ai fait la modif mais j'ai décidément droit au message "Erreur d'authentification". Au passage, je suis sous macOS Mojave 10.14 et j'ai testé la connexion VPN avec Big Sur, la dernière version de macOS et ça coince aussi. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
.Shad. Posté(e) le 19 septembre 2021 Partager Posté(e) le 19 septembre 2021 Je ne sais pas si tu fais du double NAT (Box -> NAT -> Routeur -> NAT -> NAS), mais d'expérience L2TP n'aime pas trop trop ce type de configuration. Si ton routeur est dans la DMZ de ta box c'est plus facile pour L2TP. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CyberFr Posté(e) le 19 septembre 2021 Auteur Partager Posté(e) le 19 septembre 2021 Je n'ai pas (encore ?) de routeur. C'est la box qui fait office de routeur, j'ai donc une seule règle NAT (Box -> NAS) sur les ports ouverts dans le pare-feu du NAS. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CyberFr Posté(e) le 21 septembre 2021 Auteur Partager Posté(e) le 21 septembre 2021 Ultime tentative, j'ai coupé le service Ethernet de la box sur le Mac, la box restant bien entendu en service. J'ai connecté le Mac au WI-FI du smartphone afin de ne plus être sur le réseau local. J'ai toujours droit au message "Echec de l'authentification" alors que j'ai vérifié le MDP de session et la clé secrète un million de fois !!! Sur les captures d'écran l'Ethernet est connecté mais il ne l'était pas lors des tests, seul le WI-FI était activé. Bon, je jette l'éponge parce que si je ne peux pas me connecter au VPN depuis l'extérieur, sur un réseau WI-FI public par exemple, je suis bien avancé. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oracle7 Posté(e) le 21 septembre 2021 Partager Posté(e) le 21 septembre 2021 @CyberFr Bonjour, A tout hasard, ton mot de passe ne comporterait-il pas des caractères spéciaux ? Ils peuvent-être la cause de tes problèmes ... Maintenant ce que j'en dis .... Cordialement oracle7😉 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CyberFr Posté(e) le 21 septembre 2021 Auteur Partager Posté(e) le 21 septembre 2021 @oracle7, Merci de me venir en aide. Mon mot de passe de session comporte des caractères non ASCII mais la clé secrète ne comporte que des caractères a-z, A-Z et 0-9. Je ne comprends pas pourquoi la connexion s'effectue sous iOS mais pas sur le Mac qu'il soit sur le réseau local ou pas. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oracle7 Posté(e) le 21 septembre 2021 Partager Posté(e) le 21 septembre 2021 @CyberFr Bonjour, il y a 3 minutes, CyberFr a dit : Mon mot de passe de session comporte des caractères non ASCII C'est ce dont je me doutais un peu, du coup si j'étais toi je modifierais le mot passe pour faire comme pour la clé secrète, n'utiliser que des caractères ascii a-z, A-Z et 0-9. Cela ne te coûte rien d'essayer ... On croit généralement bien faire en ajoutant des caractères spéciaux à ses identifiants/mots de passe et certes humainement cela semble plus difficile à lire(et à se souvenir) mais informatiquement parlant cela n'amène aucune complexité supplémentaire mais plutôt des problèmes car souvent ces caractères spéciaux sont des caractères réservés du système d'exploitation et du coup les interpréteurs de commandes s'y perdent. De plus cryptographiquement parlant un caractère dit spécial n'apporte qu'un bit supplémentaire alors qu'ajouter tout simplement un caractère standard (Majuscule ou minuscule ou chiffre) en apporte onze, ce qui rallonge drastiquement le temps de déchiffrement pour un malveillant. Moralité, les identifiants et surtout les mots de passe, pour être efficaces doivent être très long (au moins > 12 caractères avec que des majuscules ou minuscules ou chiffres). Cordialement oracle7😉 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CyberFr Posté(e) le 21 septembre 2021 Auteur Partager Posté(e) le 21 septembre 2021 @oracle7, je vais suivre ton conseil et reviendrai ici pour faire un retour d'expérience. Merci. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CyberFr Posté(e) le 21 septembre 2021 Auteur Partager Posté(e) le 21 septembre 2021 Dans mes bras @oracle7 😇 J'ai modifié le mot de passe de session en suivant tes conseils et ça marche !!! Cela faisait des jours que je m'arrachais les cheveux et que je n'arrivais plus à dormir la nuit. à cause de ce problème. Un grand merci également à @.Shad. pour son aide. Dernière chose tant qu'on y est, je n'ai pas bien compris la subtilité qui se cache derrière le fait d'envoyer tout le trafic sur la connexion VPN ou pas. Mais là, j'ai le temps. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oracle7 Posté(e) le 21 septembre 2021 Partager Posté(e) le 21 septembre 2021 @CyberFr Bonjour, Bon bah c'est très bien, content pour toi, comme quoi c'est souvent un chose toute bête qui nous cause tous un tas de tracas ...🤣 Cordialement oracle7😉 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.