Proxy inversé avec contrôle d'accès

[Jeff777]

il y a 40 minutes, CyberFr a dit :

Ça sert à quoi d'activer le VPN ?

 augmenter la confidentialité de ta connexion. Regarde sur le net c'est mieux expliqué que je ne pourrai le faire (où dans le tuto VPN peut-être 😉)

Quant au résultat de ton test. Il se connecte bien avec l'adresse Openvpn qui est normalement autorisée dans ton profil d'accès. Alors pourquoi lorsqu'il se connecte sur le DSM il change d'IP ???

Tout ce que je vois c'est que dans ta zone locale tu as  ndd  A  iplocale du nas que je n'ai pas. 

On va laisser @.Shad. conclure il semblait avoir une idée.

[CyberFr]

Mais pourquoi l'iPhone me dit que je suis connecté en VPN (L2TP/IPSec ou OpenVPN) alors que le journal du NAS dit le contraire ? Il faudrait que j'interroge des forums Apple sur le sujet.

Il va y avoir très prochainement un iPhone pas cher à vendre sur leboncoin 🤢

[Jeff777]

il y a 17 minutes, CyberFr a dit :

iPhone pas cher

Je pourrais être tenté, car je n'ai pas de smartphone.....mais je n'en veux pas. Na ! 😜

Modifié le 10 octobre 2021 par Jeff777

[CyberFr]

Il y a 13 heures, Jeff777 a dit :

Il y a 14 heures, CyberFr a dit :

Ça sert à quoi d'activer le VPN ?

 augmenter la confidentialité de ta connexion. Regarde sur le net c'est mieux expliqué que je ne pourrai le faire (où dans le tuto VPN peut-être 😉)

Je sais bien à quoi ça sert, du moins je le crois. Je voulais dire que le VPN fonctionne mal sous iOS.

Il y a 13 heures, Jeff777 a dit :

Je pourrais être tenté, car je n'ai pas de smartphone.....mais je n'en veux pas. Na ! 

Étonnant qu'un geek comme toi n'ait pas de smartphone 🙂 Mais sur le fond tu a raison, les smartphones sont très bavards.

[CyberFr]

Il y a 14 heures, .Shad. a dit :

Comme tu as pu le constater chez moi le contrôle d'accès est effectif.

Oui mais je crois me souvenir que le journal des connexions du NAS  (que j'ai malencontreusement effacé) contenait une IP publique et non une adresse en 10.X.X.X.

[Jeff777]

Au fait @CyberFr pour ton problème de connexion VPN, as-tu essayé un autre navigateur ? 

[CyberFr]

Non. Tiens, il faudra que j'essaie.

[Jeff777]

Je te dis cela car sur ma tablette Samsung  j'ai n'ai jamais pu me connecter à mon proxy inverse de l'extérieur avec le navigateur par défaut. ça marchait avec les autres. Mais bon le problème existait sans être en VPN.

[CyberFr]

Il y a quelque chose qui me titille. J'ai entré dans le fichier de config :

# DNS Server sur le NAS
dhcp-option DNS 192.168.1.X

Le fait d'indiquer une IP locale ne pose pas problème ?

[Jeff777]

effectivement j'ai des IP externes et ce qui est demandé c'est l'adresse de tes serveurs DNS donc toi ce serai plutôt ceux d'OVH non?

Edit : Tu peux regarder le log du client Openvpn ça pourrait donner une piste

Modifié le 11 octobre 2021 par Jeff777
Ajout

[CyberFr]

D'un autre coté, il est dit dans le tuto (que je viens de relire pour le coup)  que la rubrique dhcp-option ne doit être renseignée que si redirect-gateway def1 est en commentaire, ce qui n'est pas le cas dans mon fichier de config.

Je vais retirer les lignes dhcp-option et tester, on verra bien. Je ne suis plus à ça près !

[oracle7]

@CyberFr

Bonjour,

il y a 3 minutes, CyberFr a dit :

Je ne suis plus à ça près !

Du coup as-tu rester l'ajout de la commande " redirect-gateway ipv6 " spécifique aux Apple ainsi que la commande " client-cert-not-required " ?

Cordialement

oracle7😉

[Jeff777]

Ah oui faut tout essayer. On va y arriver. Mais fais les modifications une par une.

[CyberFr]

Le fait d'avoir retiré les lignes dhcp-option fait que le reverse proxy est cassé même lorsque je me connecte en local.

il y a 36 minutes, Jeff777 a dit :

Tu peux regarder le log du client Openvpn ça pourrait donner une piste

J'ai découvert qu'on avait accès au log. Merci @Jeff777 !

il y a 20 minutes, oracle7 a dit :

Du coup as-tu rester l'ajout de la commande " redirect-gateway ipv6 " spécifique aux Apple ainsi que la commande " client-cert-not-required " ?

C'est fait pour client-cert-not-required.

[CyberFr]

C'est fait aussi pour redirect-gateway ipv6. Soyons fou !

Sérieusement, je crois que je vais le devenir.

[Jeff777]

il y a 41 minutes, Jeff777 a dit :

Mais fais les modifications une par une.

là tu les fais toutes en même temps non ?

[CyberFr]

Pendu pour pendu. Si ça échoue je repartirai d'une sauvegarde du fichier de configuration.

[Jeff777]

Le problème c'est que si ça fonctionne tu n'en connaitras pas la raison. Mais bon tu peux toujours revenir en arrière pas à pas.

[CyberFr]

Bon, le ciel s'éclaircit. J'ai enfin le message de connexion :

User [lionel] from [10.8.0.6] logged in successfully via [DSM].

Alors que je me suis connecté en local !

@Jeff777, tu me reproches d'aller trop vite en besogne alors que j'ai cru comprendre - et c'est toi même qui le disait - que tu étais un peu Kamikaze 🤣

[Jeff777]

il y a une heure, CyberFr a dit :

User [lionel] from [10.8.0.6] logged in successfully via [DSM]

et en 4G avant de faire wifi réseau externe.

Ce n'est pas une question d'être ou non Kamikaze : Là on sait pas ce qui a fait que cela fonctionne. 

[CyberFr]

il y a 13 minutes, Jeff777 a dit :

Ce n'est pas une question d'être ou non Kamikaze : Là on sait pas ce qui a fait que cela fonctionne. 

C'est l'ajout de la ligne "redirect-gateway ipv6" qui a résolu le problème. C'est la toute dernière chose que j'ai ajoutée dans le fichier de config.

@oracle7 a dit qu'il avait trouvé cette information dans des discussions concernant un bug sur iOS. J'ai incorporé le fichier tel quel dans la config d'OpenVPN pour le Mac et ce dernier n'est pas perturbé car la connexion VPN fonctionne avec une adresse de connexion en 10.8.0.X.

[Jeff777]

Bravo à @oracle7 et ça fonctionne en 4G et en WIFI depuis chez ton pote?

Modifié le 11 octobre 2021 par Jeff777

[CyberFr]

Ça fonctionne depuis chez moi ce qui ne présente aucun intérêt mais c'est encourageant. Ce qui est plus intéressant c'est que ça fonctionne aussi en 4G. Le reste est à venir...

[CyberFr]

Le proxy inversé associé à un contrôle d'accès fonctionne dans tous les cas de figure, chez moi, en 4G ou sur un WI-FI hors de chez moi. Le journal des connexions affiche systématiquement une adresse en 10.8.0.X. Champagne ! 🤩

J'en ai bavé des ronds de chapeau mais sans les connaissances techniques de ceux qui sont intervenus dans cette discussion, sans votre aide et votre patience, je n'y serais jamais parvenu.

Un grand merci a tous. À @oracle7, à @Jeff777 et à @.Shad..

Maintenant je vais prendre une année sabbatique 🏄‍♂️

[.Shad.]

Donc c'était bien un problème avec l'IPv6. 🙂 
Hormis la petite coquille dans le sous-réseau du contrôle d'accès tout était bon. 🙂