CyberFr Posté(e) le 5 octobre 2021 Auteur Posté(e) le 5 octobre 2021 il y a 7 minutes, Jeff777 a dit : Si tu avais bien relu le tuto tu aurais trouvé tout seul Ah ben là tu es vache ! 🙂 Dans le tuto, il est indiqué : Citation Pour chaque application, il faut renseigner : - la source (nom du sous-domaine, protocole (HTTPS) et port (443)) - la destination (nom d'hôte (localhost quand l'appli est sur le NAS, IP s'il s'agit d'un autre élément du réseau), protocole (HTTP) et port (défini à l'étape précédente)). Il faut vraiment avoir une loupe pour déceler que la destination est en HTTP. 0 Citer
Jeff777 Posté(e) le 5 octobre 2021 Posté(e) le 5 octobre 2021 (modifié) il y a 57 minutes, CyberFr a dit : Ah ben là tu es vache ! non.... réaliste....ça m'est arrivé assez souvent de mal lire un tuto 😉 il y a 57 minutes, CyberFr a dit : Il faut vraiment avoir une loupe pour déceler que la destination est en HTTP. On est impatient d'arrivez au bout et on loupe quelque chose il y a 57 minutes, CyberFr a dit : - la destination (nom d'hôte (localhost quand l'appli est sur le NAS, IP s'il s'agit d'un autre élément du réseau), protocole (HTTP) et port (défini à l'étape précédente)). cela dit si tu déclares le port 5001 tu peux très bien rediriger le proxy vers celui-ci...mais ce n'est pas nécessaire de recrypter en local. Modifié le 5 octobre 2021 par Jeff777 0 Citer
CyberFr Posté(e) le 5 octobre 2021 Auteur Posté(e) le 5 octobre 2021 J'arrive à me connecter localement mais il semble que le profil de contrôle d'accès que j'ai défini ne soit pas adapté à une connexion à distance en VPN. C'est le dernier coup de collier qui me reste (OUF !) car à part ça tout fonctionne. 0 Citer
Jeff777 Posté(e) le 5 octobre 2021 Posté(e) le 5 octobre 2021 J'ai la même chose avec le loopback en plus 127.0.0.0/8 0 Citer
CyberFr Posté(e) le 5 octobre 2021 Auteur Posté(e) le 5 octobre 2021 OK. Je vais le rajouter 127.0.0.0/8 pour voir. 0 Citer
oracle7 Posté(e) le 5 octobre 2021 Posté(e) le 5 octobre 2021 @CyberFr Bonjour, Avec un peu plus de parano, tu peux aussi réduire (voir ce calculateur d'@IP) la plage d'@IP possibles pour ton VPN. Actuellement avec 10.0.0.0/8 tu autorises 16777214 machines. Cela m'étonnerait que tu en ais autant sur ton réseau local, donc par exemple avec 10.20.0.0/24 tu limiterais à 254 ce qui est déjà bien mieux, non ? Idem avec 192.168.1.0/16 (65534 machine) en le passant à 192.168.1.0/24 = plus que 254 machines. Avec 172.16.0.0/12, je te laisse trouver le bon masque CIDR car là si tu fais du Docker la plage est plus difficilement réductible vu que l'on peut utiliser différents sous-réseaux. Voilà un peu plus de sécurité ... Maintenant c'est toi qui voit ... Cordialement oracle7😉 0 Citer
CyberFr Posté(e) le 5 octobre 2021 Auteur Posté(e) le 5 octobre 2021 Bonjour @oracle7, Elle est parfaite cette calculatrice d'IP. Je l'ai ajoutée à mes bookmarks 🙂 Je ne comprends pourquoi malgré mes ultimes modifications, on n'arrive pas à se connecter en VPN à distance sur le reverse proxy. Mais que diable suis-je allé faire dans cette galère ? Je craque 🤢 0 Citer
oracle7 Posté(e) le 5 octobre 2021 Posté(e) le 5 octobre 2021 @CyberFr Bonjour, Personnellement, cela a toujours été la galère avec L2TP/IpSec 🥴 alors changement de fusil d'épaule et utilisation d'OpenVPN et là plus de soucis. Mais encore mieux avec mon routeur RT2600ac j'utilise aussi le package VPN Plus Server et le VPN Synology : SSL VPN . Là c'est tout bonnement génial car Hyper simple à mettre en œuvre. Cordialement oracle7😉 0 Citer
Jeff777 Posté(e) le 5 octobre 2021 Posté(e) le 5 octobre 2021 (modifié) il y a 1 minute, oracle7 a dit : Personnellement, cela a toujours été la galère avec L2TP/IpSec 🥴 Je confirme 😉, OPENVPN même avec VPN Serveur du NAS et le contrôle d'accès local/VPN .....pas de problème. Modifié le 5 octobre 2021 par Jeff777 0 Citer
CyberFr Posté(e) le 5 octobre 2021 Auteur Posté(e) le 5 octobre 2021 Il ne me reste donc plus qu'à reprendre le tuto sur VPN Server et à utiliser OpenVpn 🤢 Ma parole, je dois être maso ! 0 Citer
oracle7 Posté(e) le 5 octobre 2021 Posté(e) le 5 octobre 2021 @CyberFr Bonjour, il y a 11 minutes, CyberFr a dit : Ma parole, je dois être maso ! Non juste pragmatique et réaliste 🤣 Cordialement oracle7😉 0 Citer
CyberFr Posté(e) le 5 octobre 2021 Auteur Posté(e) le 5 octobre 2021 il y a 2 minutes, oracle7 a dit : Non juste pragmatique et réaliste Si je sors vivant de cette aventure, ce sera du pragmatisme en effet. Dans le cas contraire ç'aura été de la folie ! Mais pu**in qu'est-ce qui m'a pris d'acheter un NAS alors que j'étais si tranquille auparavant 😒 1 Citer
Jeff777 Posté(e) le 5 octobre 2021 Posté(e) le 5 octobre 2021 il y a 27 minutes, CyberFr a dit : Si je sors vivant de cette aventure, Vas prendre l'air, prendre une bière et tu seras d'attaque pour la suite 😅 0 Citer
CyberFr Posté(e) le 5 octobre 2021 Auteur Posté(e) le 5 octobre 2021 Parce que tu crois @Jeff777 que je vais abattre le boulot en une demie-journée ? 🙃 Je suis plutôt dans la situation du mythe de Sysiphe. 0 Citer
CyberFr Posté(e) le 5 octobre 2021 Auteur Posté(e) le 5 octobre 2021 (modifié) OpenVPN me réclame un certificat externe alors que d'après le tuto VPN Server le certificat est inclus dans le fichier de configuration .ovpn. J'imagine que le certificat est ca_bundle.crt mais je n'arrive pas à l'importer : un glisser/déposer est sans effet et il n'existe pas d'option pour importer le certificat à partir d'un chemin d'accès local. Modifié le 5 octobre 2021 par CyberFr Il suffit de clicker sur "SELECT CERTIFICATE" pour pouvoir sélectionner le certificat sur le bureau. Mais il ne veut pas de ca_bundle.crt. 0 Citer
CyberFr Posté(e) le 5 octobre 2021 Auteur Posté(e) le 5 octobre 2021 Avec OpenVPN l'accès distant est refusé. Je pense que décidément il y a un gros problème avec DSM concernant les profils de contrôle d'accès. 0 Citer
oracle7 Posté(e) le 5 octobre 2021 Posté(e) le 5 octobre 2021 @CyberFr Bonjour, Sur quel type d'appareil tu as installé ton client OpenVPN ? Si c'est sur Android alors j'ai ceci en magasin : il suffit d'installer le fichier « .ovpn » normalement, ensuite quand il demande le fameux certificat SSL, là il faut exporter le certificat depuis DSM (onglet sécurité/certificat), qui nous sort des fichiers « .pem » et il faut les convertir en « .pfx » ou en « .p12 » ! Quand l'appli demande le certificat il suffit d'aller le chercher là où tu l'a enregistré et le tour est joué. Tu peux supprimer le fichier « .pfx » par la suite Openvpn a enregistré le certificat je ne sais pas trop où, mais il est conseillé de supprimer celui que tu as importé comme ça, seul l'application Openvpn a accès à ces données. Pour convertir un fichier ".crt" ou ".pem" en ".p12" ou "pfx", il faut passer par un outil comme OpenSSL sur Windows en ligne de commandes. Pour cela il faut : · Installer sur le PC "OpenSSL". · Touche Win + X : et ouvrir une fenêtre de CMD en mode Admin · Faire un "cd" sur le répertoire contenant les fichiers .pem · Taper la commande : "openssl pkcs12 -export -out certificat.p12 -inkey privkey.pem -in cert.pem -certfile chain.pem" Ensuite tu importes ton certificat ".p12" sur le smartphone et là il devrait être reconnu par OpenVPN client. Si c'est sur iOS, désolé je ne connais pas la solution. Peut-être du même genre, je ne sais pas ... Enfin, pour OpenVPN, il y a toutes les chances que tu ais une @IP dans le sous-réseau 10.8.0.0/24 donc pour le contrôle de profil d'accès il te faut aussi autoriser ce sous-réseau. Cordialement oracle7😉 1 Citer
CyberFr Posté(e) le 5 octobre 2021 Auteur Posté(e) le 5 octobre 2021 @oracle7 bonjour, il y a 7 minutes, oracle7 a dit : Enfin, pour OpenVPN, il y a toutes les chances que tu ais une @IP dans le sous-réseau 10.8.0.0/24 donc pour le contrôle de profil d'accès il te faut aussi autoriser ce sous-réseau. C'est ce que j'ai fait et ça ne marche pas pour les accès distants. DSM affiche que la page est introuvable. 0 Citer
Jeff777 Posté(e) le 5 octobre 2021 Posté(e) le 5 octobre 2021 Essaie de te connecter en VPN sans contrôle d'accès et si ça fonctionne regarde dans le journal de connexion l'IP que ton téléphone a utilisé. 0 Citer
CyberFr Posté(e) le 5 octobre 2021 Auteur Posté(e) le 5 octobre 2021 J'arrive à me connecter en VPN avec le contrôle d'accès mais il m'est impossible d'atteindre le reverse proxy. Sans le contrôle d'accès je me connecte sur le reverse proxy. On voit l'IP avec laquelle le téléphone s'est connecté dans le journal des connexions de VPN Server. 0 Citer
oracle7 Posté(e) le 5 octobre 2021 Posté(e) le 5 octobre 2021 (modifié) @CyberFr Bonjour, Dans la configuration OpenVPN, as-tu cochée la case : "Autoriser aux clients l'accès au serveur LAN" ? Dans le fichier .ovpn : est-ce que la ligne "redirect-gateway def1" est bien décochée ? as-tu ajouter une ligne "dhcp-option DNS 10.8.0.1" ? Fais aussi une capture de trames sur le Synology (à faire en root sous SSH) : tcpdump -n -q "udp dst port 1194" pour voir s'il n'y a pas de filtrage entre ton client et ton NAS. Si tu as DNS Server d'installé sur ton NAS, penses à définir une vue pour le VPN. Au fait par sécurité, masques ton @IP externe dans ta dernière copie d'écran. Cordialement oracle7 😉 Modifié le 5 octobre 2021 par oracle7 1 Citer
Jeff777 Posté(e) le 5 octobre 2021 Posté(e) le 5 octobre 2021 il y a 7 minutes, oracle7 a dit : Si tu as DNS Server d'installé sur ton NAS, penses à définir une vue pour le VPN. tu prends la vue locale et tu ajoutes le réseau 10.8.0.0/24 dans la liste des IPsources pour la vue LAN Au fait, le port 1194 est bien ouvert dans le pare-feu du nas et redirigé du routeur vers le nas 0 Citer
CyberFr Posté(e) le 6 octobre 2021 Auteur Posté(e) le 6 octobre 2021 Il y a 12 heures, oracle7 a dit : Dans la configuration OpenVPN, as-tu cochée la case : "Autoriser aux clients l'accès au serveur LAN" ? Dans le tuto sur VPN Server il est indiqué Citation Par défaut le serveur ne vous laisse accéder qu'au NAS. Si vous cochez cette case, vos clients VPN pourront aussi accéder aux autre ressources de votre réseau (une imprimante réseau par exemple, un autre nas, ...) mais leur accès à Internet passera aussi par le nas. C'est à activer en connaissance de cause. Je ne l'ai donc pas cochée. Il y a 12 heures, oracle7 a dit : est-ce que la ligne "redirect-gateway def1" est bien décochée ? Là encore j'ai suivi le tuto. Puisque "Autoriser aux clients l'accès au serveur LAN" est décochée, la ligne "redirect-gateway def1" est en commentaire. Il y a 12 heures, oracle7 a dit : as-tu ajouter une ligne "dhcp-option DNS 10.8.0.1" ? Dans le fichier de config il est indiqué Citation dhcp-option DNS: To set primary domain name server address. J'y ai donc entré l'adresse de DNS Server sur le NAS (192.168.1.X) et une adresse DNS de secours (FDN), le tout sur deux lignes. Il y a 12 heures, oracle7 a dit : Fais aussi une capture de trames sur le Synology (à faire en root sous SSH) : tcpdump -n -q "udp dst port 1194" pour voir s'il n'y a pas de filtrage entre ton client et ton NAS. Citation root@DS220:~# tcpdump -n -q "udp dst port 1194" tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes 07:35:16.268516 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 14 07:35:16.272091 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 303 07:35:16.298186 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 22 07:35:16.298229 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 22 07:35:16.300349 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 22 07:35:16.312655 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 472 07:35:16.336437 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 565 07:35:16.474220 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 22 07:35:16.474239 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 56 07:35:16.503716 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 22 07:35:23.748576 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 113 ^C 11 packets captured 11 packets received by filter 0 packets dropped by kernel Il y a 12 heures, Jeff777 a dit : tu prends la vue locale et tu ajoutes le réseau 10.8.0.0/24 dans la liste des IPsources pour la vue LAN Ce n'est pas redondant avec l'entrée 10.0.0.0/255.0.0.0 qui se trouve déjà dans la vue ? Je vais l'ajouter si vous me confirmez que ce n'est pas le cas. Il y a 13 heures, oracle7 a dit : Au fait par sécurité, masques ton @IP externe dans ta dernière copie d'écran. C'est noté. 0 Citer
Jeff777 Posté(e) le 6 octobre 2021 Posté(e) le 6 octobre 2021 il y a 15 minutes, CyberFr a dit : Ce n'est pas redondant avec l'entrée 10.0.0.0/255.0.0.0 qui se trouve déjà dans la vue ? Je vais l'ajouter si vous me confirmez que ce n'est pas le cas. bien sûr que c'est redondant. Tu peux laisser Il y a 14 heures, Jeff777 a dit : Essaie de te connecter en VPN sans contrôle d'accès et si ça fonctionne regarde dans le journal de connexion l'IP que ton téléphone a utilisé. Fais cela dans le journal de connexion du nas (centre des journaux/journaux; filtres : local et connexion ) pour vérifier qu'il emploie bien une IP en 10.x.x.x d 0 Citer
CyberFr Posté(e) le 6 octobre 2021 Auteur Posté(e) le 6 octobre 2021 il y a une heure, Jeff777 a dit : Fais cela dans le journal de connexion du nas (centre des journaux/journaux; filtres : local et connexion ) pour vérifier qu'il emploie bien une IP en 10.x.x.x d Bien vu @Jeff777, Lorsque le smartphone n'est pas connecté au WI-FI, le journal des connexions du NAS indique son adresse IP publique alors que j'ai activé OpenVPN. Par contre dans la liste des connexions de VPN Server, l'IP du client est l'IP publique mais l'IP dynamique est 10.8.0.6. Lorsque j'active le WI-FI, c'est la passerelle locale de la box qui apparaît dans le journal (192.168.1.244). Dans la liste des connexions l'IP du client est celle de la passerelle mais l'IP dynamique est là encore 10.8.0.6. 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.