VPN - J'arrive à me connecter à DSM en local mais pas chez un ami

[CyberFr]

J'ai entré le DNS (IP locale) du NAS dans les réglages de L2TP/IPSec, ce qui n'était pas le cas auparavant, et j'ai activé le VPN.

LaX1:~ lionel$ nslookup ndd.fr
Server:		192.168.1.8
Address:	192.168.1.8#53

Name:	ndd.fr
Address: 192.168.1.8

LaX1:~ lionel$ nslookup -querytype=SOA ndd.fr
Server:		192.168.1.8
Address:	192.168.1.8#53

ndd.fr
	origin = ns.ndd.fr
	mail addr = mail.ndd.fr
	serial = 2021100200
	refresh = 43200
	retry = 180
	expire = 1209600
	minimum = 10800

LaX1:~ lionel$ nslookup -querytype=NS ndd.fr
Server:		192.168.1.8
Address:	192.168.1.8#53

ndd.fr	nameserver = ns.ndd.fr.

 

nslookup renvoie bien l'adresse locale du NAS et tout me semble correct.

Mais je peux me connecter à DSM sur https://192.168.1.8:5001 mais pas sur https://10.2.0.1:5001. Dans ce dernier cas, j'ai un timeout.

Modifié le 2 octobre 2021 par CyberFr
Il vaux mieux se relire avant de poster pour éviter les fôtes d'orthographe

[Jeff777]

Le 30/09/2021 à 19:35, oracle7 a dit :

10.0.0.0/8 c'est pour le VPN OpenVPN

172.16.0.0/12 c'est pour le VPN L2TP/IpSec ou du docker

Je suis plutôt sec avec L2T/Ipsec 🤣...mais pourquoi utilises tu le réseau 10.0.0.0/8 alors que @oracle7 donne un autre réseau. C'est vrai que dans la config VPN serveur est toujours donné le réseau 10.0.0.0/8. Attendons les réponses de ceux qui savent 🙂

il y a 25 minutes, CyberFr a dit :

mais pas sur https://10.2.0.1:5001.

 

[CyberFr]

Bonjour @Jeff777,

J'utilise l'adresse 10.2.0.1 parce que c'est l'adresse qui m'est indiqué lorsque je me connecte au VPN.

[.Shad.]

il y a 37 minutes, CyberFr a dit :

Mais je peux me connecter à DSM sur https://192.168.1.8:5001 mais pas sur https://10.2.0.1:5001. Dans ce dernier cas, j'ai un timeout.

On peut vérifier que ton interface émet ou non sur l'IP du serveur VPN, tu te connectes en SSH et tu tapes :

netstat -tunlp | grep 5001

[CyberFr]

il y a 12 minutes, .Shad. a dit :

On peut vérifier que ton interface émet ou non sur l'IP du serveur VPN, tu te connectes en SSH et tu tapes :

netstat -tunlp | grep 5001

Voilà, voilà, la connexion VPN étant active.

root@DS220:~# netstat -tunlp | grep 5001
tcp        0      0 0.0.0.0:5001            0.0.0.0:*               LISTEN      11219/nginx: master
tcp6       0      0 :::5001                 :::*                    LISTEN      11219/nginx: master

[.Shad.]

A priori DSM est donc bien exposé sur le serveur VPN (0.0.0.0 signifie toutes les interfaces du NAS).
Quoiqu'il en soit, lorsque tu tapes https://ndd.fr:5001 ou https://ns.ndd.fr:5001, en étant connecté au serveur VPN sur le PC ou le Mac autrement qu'en local (je ne parle pas d'une tablette ou d'un GSM dans un premier temps), tu as un avertissement de sécurité ? 

Modifié le 2 octobre 2021 par .Shad.

[CyberFr]

Je n'ai qu'une tablette pour tester malheureusement. Lorsque depuis le VPN  je tape https://ndd.fr:5001  je n'ai aucun avertissement de sécurité mais comme tu l'as justement souligné, il n'est pas normal que je doive fowarder le port 5001 sur la box puisque c'est une connexion locale en principe. Par contre lorsque je suis vraiment en local, chez moi, je n'ai pas à ouvrir ce port.

Je peux, mais je ne voudrais pas abuser, te transmettre en privé le ndd et le port pour que tu puisses tester de ton côté.

Modifié le 2 octobre 2021 par CyberFr
Edition https://ns.ndd.fr:5001 déclenche un avertissement de sécurité mais pas https://ndd.fr:5001

[.Shad.]

Pas de souci. Ce serait bien que tu désactives le forward sinon on ne pourra pas trouver le problème.

[oracle7]

@CyberFr

Bonjour,

Juste une question c..., as-tu bien transférés les ports 500 et 4500 de ta box vers le NAS et ouverts/autorisés les ports 500, 1701 et 4500 dans le pare-feu du NAS. Normalement avec L2TP/IpSec il n'y a besoin que ce ces ports.

Sinon, je t'invites à bien relire le TUTO VPN server car on parle de L2TP à plusieurs endroits (plusieurs § différents), l'un d'eux t'a peut-être échappé, non ?

Cordialement

oracle7😉

[CyberFr]

il y a 59 minutes, .Shad. a dit :

Pas de souci. Ce serait bien que tu désactives le forward sinon on ne pourra pas trouver le problème.

Un grand merci @.Shad.,

J'ai désactivé le foward du port d'administration HTTPS du NAS.

il y a 56 minutes, oracle7 a dit :

Juste une question c..., as-tu bien transférés les ports 500 et 4500 de ta box vers le NAS et ouverts/autorisés les ports 500, 1701 et 4500 dans le pare-feu du NAS. Normalement avec L2TP/IpSec il n'y a besoin que ce ces ports.

C'est ce que j'ai fait.

il y a 56 minutes, oracle7 a dit :

Sinon, je t'invites à bien relire le TUTO VPN server car on parle de L2TP à plusieurs endroits (plusieurs § différents), l'un d'eux t'a peut-être échappé, non ?

Je l'ai lu, relu et re-relu jusqu'à épuisement 🥱

Modifié le 2 octobre 2021 par CyberFr
Mais .Shad. si tu veux tester L2TP/IPSec, il faut que je te fournisse d'autres informations. Il suffira de demander.

[.Shad.]

On se fera un Teamviewer plutôt, je te dirai quand je peux.