Aller au contenu

Proxy inversé avec contrôle d'accès


Messages recommandés

il y a 7 minutes, Jeff777 a dit :

Si tu avais bien relu le tuto tu aurais trouvé tout seul 

Ah ben là tu es vache ! 🙂

Dans le tuto, il est indiqué :

Citation

Pour chaque application, il faut renseigner :
   - la source (nom du sous-domaine, protocole (HTTPS) et port (443))
   - la destination (nom d'hôte (localhost quand l'appli est sur le NAS, IP s'il s'agit d'un autre élément du réseau), protocole (HTTP) et port (défini à l'étape précédente)).

Il faut vraiment avoir une loupe pour déceler que la destination est en HTTP.

Lien vers le commentaire
Partager sur d’autres sites

il y a 57 minutes, CyberFr a dit :

Ah ben là tu es vache !

non.... réaliste....ça m'est arrivé assez souvent de mal lire un tuto 😉

il y a 57 minutes, CyberFr a dit :

Il faut vraiment avoir une loupe pour déceler que la destination est en HTTP.

On est impatient d'arrivez au bout et on loupe quelque chose

il y a 57 minutes, CyberFr a dit :

- la destination (nom d'hôte (localhost quand l'appli est sur le NAS, IP s'il s'agit d'un autre élément du réseau), protocole (HTTP) et port (défini à l'étape précédente)).

cela dit si tu déclares le port 5001 tu peux très bien rediriger le proxy vers celui-ci...mais ce n'est pas nécessaire de recrypter en local.

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

@CyberFr

Bonjour,

Avec un peu plus de parano, tu peux aussi réduire (voir ce calculateur d'@IP) la plage d'@IP possibles pour ton VPN. Actuellement avec 10.0.0.0/8 tu autorises 16777214 machines. Cela m'étonnerait que tu en ais autant sur ton réseau local, donc par exemple avec 10.20.0.0/24 tu limiterais à 254 ce qui est déjà bien mieux, non ?

Idem avec 192.168.1.0/16 (65534 machine) en le passant à 192.168.1.0/24 = plus que 254 machines.

Avec 172.16.0.0/12, je te laisse trouver le bon masque CIDR car là si tu fais du Docker la plage est plus difficilement réductible vu que l'on peut utiliser différents sous-réseaux.

Voilà un peu plus de sécurité ... Maintenant c'est toi qui voit ...

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @oracle7,

Elle est parfaite cette calculatrice d'IP. Je l'ai ajoutée à mes bookmarks 🙂

Je ne comprends pourquoi malgré mes ultimes modifications, on n'arrive pas à se connecter en VPN à distance sur le reverse proxy.

Mais que diable suis-je allé faire dans cette galère ? Je craque 🤢

Profil2.jpeg

Lien vers le commentaire
Partager sur d’autres sites

@CyberFr

Bonjour,

Personnellement, cela a toujours été la galère avec L2TP/IpSec 🥴 alors changement de fusil d'épaule et utilisation d'OpenVPN et là plus de soucis.

Mais encore mieux avec mon routeur RT2600ac j'utilise aussi le package VPN Plus Server et le VPN Synology : SSL VPN . Là c'est tout bonnement génial car Hyper simple à mettre en œuvre.

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 1 minute, oracle7 a dit :

Personnellement, cela a toujours été la galère avec L2TP/IpSec 🥴

Je confirme 😉, OPENVPN même avec VPN Serveur du NAS et le contrôle d'accès local/VPN .....pas de problème.

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

il y a 2 minutes, oracle7 a dit :

Non juste pragmatique et réaliste

Si je sors vivant de cette aventure, ce sera du pragmatisme en effet. Dans le cas contraire ç'aura été de la folie !

Mais pu**in qu'est-ce qui m'a pris d'acheter un NAS alors que j'étais si tranquille auparavant 😒

Lien vers le commentaire
Partager sur d’autres sites

OpenVPN me réclame un certificat externe alors que d'après le tuto VPN Server le certificat est inclus dans le fichier de configuration .ovpn. J'imagine que le certificat est ca_bundle.crt mais je n'arrive pas à l'importer : un glisser/déposer est sans effet et il n'existe pas d'option pour importer le certificat à partir d'un chemin d'accès local.

 

Missing.jpeg

Modifié par CyberFr
Il suffit de clicker sur "SELECT CERTIFICATE" pour pouvoir sélectionner le certificat sur le bureau. Mais il ne veut pas de ca_bundle.crt.
Lien vers le commentaire
Partager sur d’autres sites

@CyberFr

Bonjour,

Sur quel type d'appareil tu as installé ton client OpenVPN ?

Si c'est sur Android alors j'ai ceci en magasin : il suffit d'installer le fichier « .ovpn » normalement, ensuite quand il demande le fameux certificat SSL, là il faut exporter le certificat depuis DSM (onglet sécurité/certificat), qui nous sort des fichiers « .pem » et il faut les convertir en « .pfx » ou en « .p12 » ! Quand l'appli demande le certificat il suffit d'aller le chercher là où tu l'a enregistré et le tour est joué. Tu peux supprimer le fichier « .pfx » par la suite Openvpn a enregistré le certificat je ne sais pas trop où, mais il est conseillé de supprimer celui que tu as importé comme ça, seul l'application Openvpn a accès à ces données.

Pour convertir un fichier ".crt" ou ".pem" en ".p12" ou "pfx", il faut passer par un outil comme OpenSSL sur Windows en ligne de commandes.

Pour cela il faut :

·         Installer sur le PC "OpenSSL".

·         Touche Win + X : et ouvrir une fenêtre de CMD en mode Admin

·         Faire un "cd" sur le répertoire contenant les fichiers .pem

·         Taper la commande : "openssl pkcs12 -export -out certificat.p12 -inkey privkey.pem -in cert.pem -certfile chain.pem"

Ensuite tu importes ton certificat ".p12" sur le smartphone et là il devrait être reconnu par OpenVPN client.

Si c'est sur iOS, désolé je ne connais pas la solution. Peut-être du même genre, je ne sais pas ...

Enfin, pour OpenVPN, il y a toutes les chances que tu ais une @IP dans le sous-réseau 10.8.0.0/24 donc pour le contrôle de profil d'accès il te faut aussi autoriser ce sous-réseau.

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

@oracle7 bonjour,

il y a 7 minutes, oracle7 a dit :

Enfin, pour OpenVPN, il y a toutes les chances que tu ais une @IP dans le sous-réseau 10.8.0.0/24 donc pour le contrôle de profil d'accès il te faut aussi autoriser ce sous-réseau.

C'est ce que j'ai fait et ça ne marche pas pour les accès distants. DSM affiche que la page est introuvable.

profil3.thumb.jpeg.2141a40069083daaabb6f58e783084b7.jpeg

Lien vers le commentaire
Partager sur d’autres sites

J'arrive à me connecter en VPN avec le contrôle d'accès mais il m'est impossible d'atteindre le reverse proxy. Sans le contrôle d'accès je me connecte sur le reverse proxy.

On voit l'IP avec laquelle le téléphone s'est connecté dans le journal des connexions de VPN Server.

 

VPN.jpeg

Lien vers le commentaire
Partager sur d’autres sites

@CyberFr

Bonjour,

Dans la configuration OpenVPN, as-tu cochée la case : "Autoriser aux clients l'accès au serveur LAN" ?

Dans le fichier .ovpn :

  • est-ce que la ligne "redirect-gateway def1" est bien décochée ?
  • as-tu ajouter une ligne "dhcp-option DNS 10.8.0.1" ?

Fais aussi une capture de trames sur le Synology (à faire en root sous SSH) : tcpdump -n -q "udp dst port 1194" pour voir s'il n'y a pas de filtrage entre ton client et ton NAS.

Si tu as DNS Server d'installé sur ton NAS, penses à définir une vue pour le VPN.

Au fait par sécurité, masques ton @IP externe dans ta dernière copie d'écran.

Cordialement

oracle7 😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

il y a 7 minutes, oracle7 a dit :

Si tu as DNS Server d'installé sur ton NAS, penses à définir une vue pour le VPN.

tu prends la vue locale et tu ajoutes le réseau 10.8.0.0/24 dans la liste des IPsources pour la vue LAN

Au fait, le port 1194 est bien ouvert dans le pare-feu du nas et redirigé du routeur vers le nas

Lien vers le commentaire
Partager sur d’autres sites

Il y a 12 heures, oracle7 a dit :

Dans la configuration OpenVPN, as-tu cochée la case : "Autoriser aux clients l'accès au serveur LAN" ?

Dans le tuto sur VPN Server il est indiqué

Citation

Par défaut le serveur ne vous laisse accéder qu'au NAS. Si vous cochez cette case, vos clients VPN pourront aussi accéder aux autre ressources de votre réseau (une imprimante réseau par exemple, un autre nas, ...) mais leur accès à Internet passera aussi par le nas. C'est à activer en connaissance de cause.

Je ne l'ai donc pas cochée.

Il y a 12 heures, oracle7 a dit :

est-ce que la ligne "redirect-gateway def1" est bien décochée ?

Là encore j'ai suivi le tuto. Puisque "Autoriser aux clients l'accès au serveur LAN" est décochée, la ligne "redirect-gateway def1" est en commentaire.

Il y a 12 heures, oracle7 a dit :

as-tu ajouter une ligne "dhcp-option DNS 10.8.0.1" ?

Dans le fichier de config il est indiqué

Citation

dhcp-option DNS: To set primary domain name server address.

J'y ai donc entré l'adresse de DNS Server sur le NAS (192.168.1.X) et une adresse DNS de secours (FDN), le tout sur deux lignes.

Il y a 12 heures, oracle7 a dit :

Fais aussi une capture de trames sur le Synology (à faire en root sous SSH) : tcpdump -n -q "udp dst port 1194" pour voir s'il n'y a pas de filtrage entre ton client et ton NAS.

Citation

root@DS220:~# tcpdump -n -q "udp dst port 1194"
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
07:35:16.268516 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 14
07:35:16.272091 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 303
07:35:16.298186 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 22
07:35:16.298229 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 22
07:35:16.300349 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 22
07:35:16.312655 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 472
07:35:16.336437 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 565
07:35:16.474220 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 22
07:35:16.474239 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 56
07:35:16.503716 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 22
07:35:23.748576 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 113
^C
11 packets captured
11 packets received by filter
0 packets dropped by kernel

 

Il y a 12 heures, Jeff777 a dit :

tu prends la vue locale et tu ajoutes le réseau 10.8.0.0/24 dans la liste des IPsources pour la vue LAN

Ce n'est pas redondant avec l'entrée 10.0.0.0/255.0.0.0 qui se trouve déjà dans la vue ? Je vais l'ajouter si vous me confirmez que ce n'est pas le cas.

Il y a 13 heures, oracle7 a dit :

Au fait par sécurité, masques ton @IP externe dans ta dernière copie d'écran.

C'est noté.

Lien vers le commentaire
Partager sur d’autres sites

il y a 15 minutes, CyberFr a dit :

Ce n'est pas redondant avec l'entrée 10.0.0.0/255.0.0.0 qui se trouve déjà dans la vue ? Je vais l'ajouter si vous me confirmez que ce n'est pas le cas.

bien sûr que c'est redondant. Tu peux laisser

 

Il y a 14 heures, Jeff777 a dit :

Essaie de te connecter en VPN sans contrôle d'accès et si ça fonctionne  regarde dans le journal de connexion l'IP que ton téléphone a utilisé.

Fais cela dans le journal de connexion du nas (centre des journaux/journaux;  filtres local et connexion ) pour vérifier qu'il emploie bien une IP en 10.x.x.x d

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, Jeff777 a dit :

Fais cela dans le journal de connexion du nas (centre des journaux/journaux;  filtres local et connexion ) pour vérifier qu'il emploie bien une IP en 10.x.x.x d

Bien vu @Jeff777,

Lorsque le smartphone n'est pas connecté au WI-FI, le journal des connexions du NAS indique son adresse IP publique alors que j'ai activé OpenVPN.  Par contre dans la liste des connexions de VPN Server, l'IP du client est l'IP publique mais l'IP dynamique est 10.8.0.6.

Lorsque j'active le WI-FI, c'est la passerelle locale de la box qui apparaît dans le journal (192.168.1.244).  Dans la liste des connexions l'IP du client est celle de la passerelle mais l'IP dynamique est là encore  10.8.0.6.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.