Aller au contenu

VPN - J'arrive à me connecter à DSM en local mais pas chez un ami


Messages recommandés

De chez moi, j'arrive à établir une connexion VPN (L2P/IPSec) sans problème mais lorsque je teste chez un ami, la connexion VPN s'établit bien mais je n'arrive pas à me connecter à l'interface d'administration du NAS sur le port sécurisé.

J'utilise pour me connecter un nom de domaine et DNS Server est configuré en conséquence. Faut-il utiliser l'adresse locale, ce qui provoquerait une exception de sécurité au niveau du certificat ?

Pare-feu.jpeg

Lien vers le commentaire
Partager sur d’autres sites

il y a 7 minutes, CyberFr a dit :

Il y était même question d'un bug de DSM !

Je n'ai aucun souci avec le contrôle d'accès.

il y a 8 minutes, CyberFr a dit :

Je n'utilise pas de proxy inversé.

Alors il faudra peut-être ouvrir le port 5001 🙄

Lien vers le commentaire
Partager sur d’autres sites

Et mer*e ! J'ai ouvert le port sécurisé sur la France et tout baigne 🤩 J'arrive à me connecter à l'interface d'administration du NAS depuis l'extérieur.

Mais je croyais que la connexion VPN était vue comme locale sur le NAS et que donc les règles locales s'appliquaient d'où mon erreur.

Merci beaucoup pour ton aide décisive @Jeff777.

Lien vers le commentaire
Partager sur d’autres sites

Pas de quoi.

A vrai dire je n'en était pas vraiment sûr mais je crois que le vpn c'est une sorte de tunnel qui empêche un tiers de voir ce qui se passe mais il n'empêche qu'il faut tout de même passer le parefeu. Peut-être un membre pour fournir une explication plus "technique" ?

Lien vers le commentaire
Partager sur d’autres sites

Pour le coup ça relance l'idée d'utiliser un reverse proxy, idée que j'avais abandonnée à cause de la complexité de mise en œuvre du contrôle d'accès. Cf:  la discussion suivante Reverse Proxy et Profils de Contrôle d'Accès. Et d'ailleurs aucun profil de contrôle d'accès type n'y figure.

Le profil de contrôle d'accès se définit comme un pare-feu ?

Lien vers le commentaire
Partager sur d’autres sites

Merci @oracle7,

10.0.0.0/8 c'est pour le VPN j'imagine.

192.168.2.0/24 Là je ne comprends pas. J'aurais plutôt indiqué spontanément 192.168.1.0/24.

172.16.0.0/12 a quelque chose à voir avec le local host ?

Merci de vérifier que je n'ai pas laissé traîner d'erreurs dans les adresses ainsi transcrites car ce sont celles que je vais utiliser dans la vraie vie.

Lien vers le commentaire
Partager sur d’autres sites

il y a 42 minutes, CyberFr a dit :

c'est pour le VPN j'imagine.

oui

il y a 42 minutes, CyberFr a dit :

192.168.2.0/24 Là je ne comprends pas. J'aurais plutôt indiqué spontanément 192.168.1.0/24.

c'est ton réseau LAN qu'il faut indiquer. si tu as plusieurs LAN ou un doute tu mets 192.168.0.0/16

 

il y a 42 minutes, CyberFr a dit :

172.16.0.0/12

ce sont aussi des adresses privées qui ne peuvent pas être routée sur internet.

EDIT :

Maintenant, ça c'est un profil mais tu peux en avoir plusieurs. J'en ai fait un pour Vaultwarden où j'ai limité l'accès aux appareils sur lesquels je l'ai installé.

Le profil VPN d' @oracle7 tu le configures sur les proxy inversés dont tu veux permettre un accès soit en local soit en externe AVEC VPN.

Ceux où tu veux garder l'accès sans VPN tu ne configures pas le profil d'accès.

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

@CyberFr@Jeff777

Bonjour,

10.0.0.0/8 c'est pour le VPN OpenVPN

172.16.0.0/12 c'est pour le VPN L2TP/IpSec ou du docker

Bien voir que ce sont les sous-réseaux VPN par défaut, ils couvrent toutes les @IP possibles pour eux.

192.168.2.0/24 : c'est mon sous-réseau local cela peut être tout autre chose tant que tu restes dans les plages d'@IP privées.

EDIT Attention à ne pas mélanger les choses : localhost désigne communément l'hôte, la machine support des applications que tu exécutes. Par ex ton NAS pour pour FileStation, DSM, SUrveillane Station, ou ton PC vis à vis de Windows, de Word, Excel etc ...

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

@CyberFr Si j'ai bien compris ce que tu as fait, tu n'aurais pas dû avoir à ouvrir le port 5001. Si tu y accèdes par NDD il se peut que tu passes par Internet au lieu de rester dans ton réseau VPN.

Fais un nslookup depuis le pc de ton ami sur le domaine. Je pense que tu verras l'IP publique et pas l'IP du serveur VPN.

Et normalement, si tu utilises l'IP du serveur VPN au lieu du NDD, ça devrait fonctionner (modulo le message d'avertissement).

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

Il y a 20 heures, .Shad. a dit :

Fais un nslookup depuis le pc de ton ami sur le domaine. Je pense que tu verras l'IP publique et pas l'IP du serveur VPN.

C'est exactement ça, je vois les en-têtes d'OVH et non pas les IP locales.

Il y a 20 heures, .Shad. a dit :

Et normalement, si tu utilises l'IP du serveur VPN au lieu du NDD, ça devrait fonctionner (modulo le message d'avertissement).

Pas vraiment, je me suis connecté sur l'adresse 10.2.0.1 sans succès mais compte tenu du 1er point je n'ai pas insisté.

Je pars du principe que ce qui est fait n'est plus à faire or quand je mets en place le serveur VPN, je me rends compte que ce qui est fait est à refaire concernant DNS Server 😿 Peut-être pas en totalité mais il y a un os dans le caviar.

Lien vers le commentaire
Partager sur d’autres sites

@CyberFr

Bonjour,

il y a 35 minutes, CyberFr a dit :

Pas vraiment, je me suis connecté sur l'adresse 10.2.0.1 sans succès mais compte tenu du 1er point je n'ai pas insisté.

Tout bêtement dans la configuration d'OpenVPN sur le NAS as-tu cochée la case "Autoriser aux clients l'accès au serveur LAN" ?

Idem dans le fichier ovpn.conf, as-tu décommentée la ligne "redirect-gateway def1" et ajouter une ligne "dhcp-option DNS 10.2.0.1" ?

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @oracle7,

Tu n'as pas à t'excuser alors que tu me viens en aide !

Suite au problème rencontré avec DNS Server qui ne résout pas correctement les adresses locales j'ai fait le tour des paramètres et il y a peut-être une erreur dans l'enregistrement de ressource.

ndd.fr       A      86400    192.168.1.x
ndd.fr       NS     86400    ns.ndd.fr
ns.ndd.fr    A      86400    192.168.1.x
www.ndd.fr   CNAME  86400    ndd.fr


Est-ce que quelque chose vous semble erroné ? Je pense à la première ligne qu'il faudrait peut-être supprimer.

Lien vers le commentaire
Partager sur d’autres sites

@CyberFr

Bonjour,

Mes remarques si tu veux bien :

- A la première ligne : 192.168.1.x doit être l'@IP du NAS.

- A la troisième ligne : 192.168.1.x doit être (dans tous les cas, l'@IP de la machine qui supporte DNS Server) :

  • Soit l'@IP locale du NAS si c'est lui qui supporte DNS Server.
  • Soit l'@IP locale du routeur si c'est lui qui supporte DNS Server et que le NAS est placé derrière lui dans son sous-réseau local.

- A la quatrième ligne, remplaces www.ndd.fr par le wilcard *.ndd.fr. Ainsi tous tes sous-domaines (y compris www) seront pris en compte automatiquement.

- Si d'aventure tu as un second NAS (nommé "nas2") dans le même sous-réseau local alors tu ajoutes une ligne : dsm2.ndd.fr A 86400 192.168.1.y. "dsm2" et pas "nas2" sinon le Reverse Proxy ne fonctionnera pas. C'est du vécu !

- De la même façon, si tu souhaite atteindre une autre machine sur ton sous-réseau local alors tu ajoutes une ligne : monautremachine.ndd.fr A 86400 192.168.1.z.

Enfin dans la partie "Résolution" tu mets comme Redirecteurs 1&2 respectivement : FND (80.67.169.12) et Cloudfare (1.1.1.1) --> serveur DNS respectueux de la vie privée !

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @oracle7,

Il y a 12 heures, oracle7 a dit :

- A la première ligne : 192.168.1.x doit être l'@IP du NAS.

C'est en effet l'IP locale du NAS.

Il y a 12 heures, oracle7 a dit :

A la troisième ligne : 192.168.1.x doit être (dans tous les cas, l'@IP de la machine qui supporte DNS Server) :

  • Soit l'@IP locale du NAS si c'est lui qui supporte DNS Server.
  • Soit l'@IP locale du routeur si c'est lui qui supporte DNS Server et que le NAS est placé derrière lui dans son sous-réseau local.

C'est l'IP locale du NAS qui supporte DNS Server car j'ai désactivé ce service sur la box. Et d'ailleurs si le NAS n'est pas allumé, je ne peux accéder à aucun site.

Il y a 12 heures, oracle7 a dit :

- A la quatrième ligne, remplaces www.ndd.fr par le wilcard *.ndd.fr. Ainsi tous tes sous-domaines (y compris www) seront pris en compte automatiquement.

Je vais le faire.

Il y a 12 heures, oracle7 a dit :

- Si d'aventure tu as un second NAS (nommé "nas2") dans le même sous-réseau local alors tu ajoutes une ligne : dsm2.ndd.fr A 86400 192.168.1.y. "dsm2" et pas "nas2" sinon le Reverse Proxy ne fonctionnera pas. C'est du vécu !

C'est déjà la galère avec un seul NAS, je vais donc  en rester là 🙂

 

Il y a 12 heures, oracle7 a dit :

Enfin dans la partie "Résolution" tu mets comme Redirecteurs 1&2 respectivement : FND (80.67.169.12) et Cloudfare (1.1.1.1) --> serveur DNS respectueux de la vie privée !

J'ai mis 80.67.169.12 et 80.67.169.40 qui sont les DNS de FDN.

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, .Shad. a dit :

Tu obtiens quoi comme erreur ?

Quand je passe par l'adresse VPN 10.2.0.1 pour atteindre DSM de l'extérieur, je n'arrive pas à me connecter tout simplement même si j'indique le numéro de port. Tout le trafic a pourtant été basculé sur le VPN.

Par contre en local, chez moi, un traceroute m'indique bien l'adresse locale du NAS et je n'ai pas besoin d'ouvrir le port sécurisé sur la box. De même si je me connecte par l'adresse locale du NAS mais j'ai bien entendu droit à une alerte de sécurité. En local toujours le nom de domaine me permet d'atteindre DSM sans fowarder aucun port avec ou sans VPN. C'est pourquoi je pensais que mon serveur DNS était bien configuré.

Voilà @.Shad..

Lien vers le commentaire
Partager sur d’autres sites

il y a 12 minutes, CyberFr a dit :

Quand je passe par l'adresse VPN 10.2.0.1 pour atteindre DSM de l'extérieur, je n'arrive pas à me connecter tout simplement même si j'indique le numéro de port.

Fais F12 sur Chrome et regarde la console, soit ça mouline soit tu as un message d'erreur, ça ne peut pas être autrement.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.