Aller au contenu

Messages recommandés

Posté(e)

Lorsque je tente de me connecter sur le Mac en L2TP/IPSec, j'ai droit au message "Echec de l'authentification" alors que j'ai vérifié le nom de l'utilisateur admin, son mot de passe de session et la clé pré-partagée qui ne comporte que des caractères ASCII. Cet utilisateur (moi) a le privilège d'ouvrir une session L2TP/IPSec au niveau de VPN Server.

Il n'y a rien de particulier concernant les sessions VPN dans auth.log.

Le port 1701 est bloqué par le firewall de la box. Le résultat d'un tcdump effectué lors d'une tentative de connexion montre que les ports 500 et 4500 sont bien transférés par la box. Mais alors que faire ?

PS : Concernant le port 80 du firewall, le site Web est "Under Construction" et n'est donc accessible qu'en local. La règle "Tous" est appliquée lors du renouvellement du certificat Let's Encrypt.

tcdump.jpeg

pare-feu.jpeg

Posté(e)

Quelques tests à effectuer :

  • Transférer le port 1701 également depuis la box vers le NAS (je sais bien que ce n'est normalement pas nécessaire, mais vu le nombre de retours depuis DSM 7 sur des problèmes avec L2TP, il faut essayer d'autres choses).
  • Est-ce que tu peux essayer de te connecter sans définir de clé partagée ?
Posté(e) (modifié)

J'ai débloqué le port 1701 dans le firewall de la box sans résultat, j'ai toujours droit au même message lors d'une tentative de connexion.

VPN Server refuse que la clé pré-partagée ne soit pas renseignée, il est impossible de valider la modification. Coté Mac, c'est pareil, il accepte soi-disant de valider l'opération avec une clé à blanc mais lorsqu'on affiche à nouveau le panneau de configuration, la clé est toujours là...

Il faudra peut-être que j'envisage de passer à OpenVPN mais ce serait dommage.

Modifié par CyberFr
Posté(e)

J'ai mis en place L2TP, j'arrive à me connecter à distance et en local (pas grand intérêt en local) avec Android et Windows.
Il faudrait peut-être voir avec quelqu'un qui a un Mac.

Cependant j'ai trouvé une option qui débloque certaines personnes qui n'arrivent pas à se connecter depuis le passage à DSM 7 :

cd /var/packages/VPNCenter/target/etc/raddb/modules
nano mschap_ad

Et tu ajoutes --allow-mschapv2 entre --request-nt-key et --username=%{%{Stripped-User-Name}:-%{User-Name:-None}}, ce qui donne :

mschap mschap_ad {
        ntlm_auth = "/usr/local/bin/ntlm_auth --request-nt-key --allow-mschapv2 --username=%{%{Stripped-User-Name}:-%{User-Name:-None}} --challenge=%{mschap:Challenge:-00} --nt-response=%{>
        with_ntdomain_hack = yes
}

 

Posté(e)

J'ai fait la modif mais j'ai décidément droit au message "Erreur d'authentification". Au passage, je suis sous macOS Mojave 10.14 et j'ai testé la connexion VPN avec Big Sur, la dernière version de macOS et ça coince aussi.

Posté(e)

Je ne sais pas si tu fais du double NAT (Box -> NAT -> Routeur -> NAT -> NAS), mais d'expérience L2TP n'aime pas trop trop ce type de configuration.
Si ton routeur est dans la DMZ de ta box c'est plus facile pour L2TP.

Posté(e)

Je n'ai pas (encore ?) de routeur. C'est la box qui fait office de routeur, j'ai donc une seule règle NAT (Box -> NAS) sur les ports ouverts dans le pare-feu du NAS.

Posté(e)

Ultime tentative, j'ai coupé le service Ethernet de la box sur le Mac, la box restant bien entendu en service. J'ai connecté le Mac au WI-FI du smartphone afin de ne plus être sur le réseau local. J'ai toujours droit au message "Echec de l'authentification" alors que j'ai vérifié le MDP de session et la clé secrète un million de fois !!!

Sur les captures d'écran l'Ethernet est connecté mais il ne l'était pas lors des tests, seul le WI-FI était activé.

Bon, je jette l'éponge parce que si je ne peux pas me connecter au VPN depuis l'extérieur, sur un réseau WI-FI public par exemple, je suis bien avancé.

PJ1.jpg

PJ2.jpg

PJ3.jpg

PJ4.jpg

PJ5.jpg

PJ6.jpg

Posté(e)

@oracle7,

Merci de me venir en aide.

Mon mot de passe de session comporte des caractères non ASCII mais la clé secrète ne comporte que des caractères a-z, A-Z  et 0-9. Je ne comprends pas pourquoi la connexion s'effectue sous iOS mais pas sur le Mac qu'il soit sur le réseau local ou pas.

Posté(e)

@CyberFr

Bonjour,

il y a 3 minutes, CyberFr a dit :

Mon mot de passe de session comporte des caractères non ASCII

C'est ce dont je me doutais un peu, du coup si j'étais toi je modifierais le mot passe pour faire comme pour la clé secrète, n'utiliser que des caractères ascii a-z, A-Z  et 0-9. Cela ne te coûte rien d'essayer ...

On croit généralement bien faire en ajoutant des caractères spéciaux à ses identifiants/mots de passe et certes humainement cela semble plus difficile à lire(et à se souvenir) mais informatiquement parlant cela n'amène aucune complexité supplémentaire mais plutôt des problèmes car souvent ces caractères spéciaux sont des caractères réservés du système d'exploitation et du coup les interpréteurs de commandes s'y perdent. De plus cryptographiquement parlant un caractère dit spécial n'apporte qu'un bit supplémentaire alors qu'ajouter tout simplement un caractère standard (Majuscule ou minuscule ou chiffre) en apporte onze, ce qui rallonge drastiquement le temps de déchiffrement pour un malveillant.

Moralité, les identifiants et surtout les mots de passe, pour être efficaces doivent être très long (au moins > 12 caractères avec que des majuscules ou minuscules ou chiffres).

Cordialement

oracle7😉

 

 

Posté(e)

Dans mes bras @oracle7 😇

J'ai modifié le mot de passe de session en suivant tes conseils et ça marche !!! Cela faisait des jours que je m'arrachais les cheveux et que je n'arrivais plus à dormir la nuit. à cause de ce problème. Un grand merci également à @.Shad. pour son aide.

Dernière chose tant qu'on y est, je n'ai pas bien compris la subtilité qui se cache derrière le fait d'envoyer tout le trafic sur la connexion VPN ou pas. Mais là, j'ai le temps.

  • CyberFr a modifié le titre en [Résolu] VPN Server ne fonctionne pas...

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.