oracle7 Posté(e) le 16 octobre 2021 Posté(e) le 16 octobre 2021 @CyberFr Bonjour, Tu serais pas un peu "chat noir " ? 🤪🤣 Trêve de plaisanterie, regardes ce que donne un "ping --help" ou "ping ?". Moi j'ai cela sur PC. C:\WINDOWS\system32>ping --help Option incorrecte --help. Utilisation : ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS] [-r count] [-s count] [[-j host-list] | [-k host-list]] [-w timeout] [-R] [-S srcaddr] [-c compartment] [-p] [-4] [-6] nom_cible Options : -t Effectue un test ping sur l’hôte spécifié jusqu’à son arrêt. Pour afficher les statistiques et continuer, appuyez sur Ctrl+Attn. Pour arrêter, appuyez sur Ctrl+C. -a Résout les adresses en noms d’hôtes. -n count Nombre de demandes d’écho à envoyer. -l size Taille du tampon d’envoi. -f Active l’indicateur Ne pas fragmenter dans le paquet (IPv4 uniquement). -i TTL Durée de vie. -v TOS Type de service (IPv4 uniquement. La configuration de ce paramètre n’a aucun effet sur le type de service dans l’en-tête IP). -r count Itinéraire d’enregistrement du nombre de sauts (IPv4 uniquement). -s count Horodatage du nombre de sauts (IPv4 uniquement). -j host-list Itinéraire source libre parmi la liste d’hôtes (IPv4 uniquement). -k host-list Itinéraire source strict parmi la liste d’hôtes (IPv4 uniquement). -w timeout Délai d’attente pour chaque réponse, en millisecondes. -R Utilise l’en-tête de routage pour tester également l’itinéraire inverse (IPv6 uniquement). D’après la RFC 5095, l’utilisation de cet en-tête de routage est déconseillée. Certains systèmes peuvent supprimer des demandes d’écho si cet en-tête est utilisé. -S srcaddr Adresse source à utiliser. -c compartment Identificateur de compartiment de routage. -p Effectue un test ping sur l’adresse de fournisseur de la virtualisation réseau Hyper-V. -4 Force l’utilisation d’IPv4. -6 Force l’utilisation d’IPv6. Cordialement oracle7😉 0 Citer
Jeff777 Posté(e) le 16 octobre 2021 Posté(e) le 16 octobre 2021 il y a 7 minutes, CyberFr a dit : Je crois que je vais revendre mon Mac 🤢 Si ça continue tu deviendra un "MAC giver"...........😶 ...............un peu tiré par les cheveux.. 0 Citer
CyberFr Posté(e) le 16 octobre 2021 Posté(e) le 16 octobre 2021 il y a 14 minutes, oracle7 a dit : Tu serais pas un peu "chat noir " ? 🤪 Et pas qu'un peu ! Finalement j'arrive à passer la commande ping ... si je me connecte en root ! Les explications sur ma machine sont plus verbeuses : -f Flood ping. Outputs packets as fast as they come back or one hundred times per second, which- ever is more. For every ECHO_REQUEST sent a period ``.'' is printed, while for every ECHO_REPLY received a backspace is printed. This provides a rapid display of how many packets are being dropped. Only the super-user may use this option. This can be very hard on a network and should be used with caution. Heureusement, je dispose aussi de Windows 10 via Bootcamp sur le Mac. Ce sont des gens sérieux eux 🙃 Je vais faire le ping dans cet environnement. il y a 17 minutes, Jeff777 a dit : Si ça continue tu deviendra un "MAC giver"...........😶 ...............un peu tiré par les cheveux.. Ne tirez pas sur le pianiste. 0 Citer
oracle7 Posté(e) le 16 octobre 2021 Posté(e) le 16 octobre 2021 @CyberFr Bonjour, Il y a 22 heures, oracle7 a dit : Tu le fais dans une connexion normale depuis ton réseau local sur un PC (fenêtre CMD Windows en mode admin) / Mac (je suppose dans une fenêtre de Terminal, là c'est toi qui sais ...). Mon indication du "mode admin" aurait dû quand même attirer ton attention pour transposer à root sur Mac, non ? Mais pas grave, juste un peu de temps perdu et une petite prise de tête ...🤣 Cordialement oracle7😉 0 Citer
CyberFr Posté(e) le 16 octobre 2021 Posté(e) le 16 octobre 2021 il y a 8 minutes, oracle7 a dit : Mon indication du "mode admin" aurait dû quand même attirer ton attention pour transposer à root sur Mac, non ? Et zut, ça m'a échappé... 0 Citer
CyberFr Posté(e) le 16 octobre 2021 Posté(e) le 16 octobre 2021 Il y a 3 heures, oracle7 a dit : Trêve de plaisanterie, regardes ce que donne un "ping --help" ou "ping ?". Moi j'ai cela sur PC. Bonjour @oracle7, J'ai fait les tests de MTU sous Windows et j'obtiens UNE MTU idéale de 1472, exactement comme toi. J'ai fait les tests de chez moi et sur mon NAS. 0 Citer
oracle7 Posté(e) le 16 octobre 2021 Posté(e) le 16 octobre 2021 @CyberFr Bonjour, Et alors, as-tu trouvé comme moi avec cette nouvelle MTU optimisée que depuis l'extérieur en VPN, la vitesse était plus rapide dans l'accès au sites et ou aux applications via Reverse Proxy ? Cordialement oracle7😉 0 Citer
CyberFr Posté(e) le 16 octobre 2021 Posté(e) le 16 octobre 2021 Bonjour @oracle7, il y a 20 minutes, oracle7 a dit : Et alors, as-tu trouvé comme moi avec cette nouvelle MTU optimisée que depuis l'extérieur en VPN, la vitesse était plus rapide dans l'accès au sites et ou aux applications via Reverse Proxy ? Pour les applications, je n'ai pas encore testé. Par contre l'accès aux sites est plus fluide, plus réactif. 0 Citer
MilesTEG1 Posté(e) le 17 octobre 2021 Posté(e) le 17 octobre 2021 Il y a 17 heures, CyberFr a dit : Bonjour @oracle7, Voilà ce que ça donne sur ma machine LaX1:~ lionel$ ping www.orange.fr -f -l 1472 ping: -f flag: Operation not permitted LaX1:~ lionel$ Je crois que je vais revendre mon Mac 🤢 Tu as quoi comme version de macOS ? Sur Big Sur, le flag -f existe bien. Tu peux aussi utiliser man ping Cela dit, j'ai comme toi, operation not permitted sauf si je lance la commande avec sudo. Mais j'ai ces messages : Citation PING hpo-main.prod.hporange.gslb.fti.net (193.252.133.97): 56 data bytes .............................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................Request timeout for icmp_seq 1499 .Request timeout for icmp_seq 1500 .Request timeout for icmp_seq 1501 ..Request timeout for icmp_seq 1503 .Request timeout for icmp_seq 1504 .Request timeout for icmp_seq 1505 .Request timeout for icmp_seq 1506 .Request timeout for icmp_seq 1507 .Request timeout for icmp_seq 1508 .Request timeout for icmp_seq 1509 .Request timeout for icmp_seq 1510 ..Request timeout for icmp_seq 1627 .Request timeout for icmp_seq 1637 .Request timeout for icmp_seq 1642 .Request timeout for icmp_seq 1643 .Request timeout for icmp_seq 1644 ... 0 Citer
CyberFr Posté(e) le 17 octobre 2021 Posté(e) le 17 octobre 2021 Bonjour @MilesTEG1, J'ai bien l'option ping -f mais l'utilisation n'est pas pratique sur Mac. Le graphique qui en résulte n'est pas vraiment exploitable. Il y a 8 heures, bliz a dit : Bon, après le calcul du MTU, il reste encore le RWIN à calculer. Je laisse ça aux fans des systèmes à fenêtres 🙂 1 Citer
CyberFr Posté(e) le 17 octobre 2021 Posté(e) le 17 octobre 2021 Dans le fichier de config, j'ai remplacé "verify-client-cert none" par "verify-client-cert require". Pour le coup, lors de la connexion, le certificat R3 de Let's Encrypt est vérifié. C'est ce qu'indique le log. Pour m'en assurer, j'ai modifié le certificat ca dans le fichier de config en remplaçant un caractère, le résultat est que la connexion est refusée parce que le certificat est invalide. J'ai fait le test sur le Mac et l'iPhone. Le certificat R3 se trouve dans le Trousseau d'accès du Mac. Comment a-t-il pu être transféré sur l'iPhone ? Mystère. Y a-t-il un moyen, au niveau du NAS, d'exiger la présence du certificat et de refuser toute connexion VPN si celui-ci est absent ou invalide ? 0 Citer
MilesTEG1 Posté(e) le 17 octobre 2021 Posté(e) le 17 octobre 2021 Il y a 3 heures, CyberFr a dit : Le certificat R3 se trouve dans le Trousseau d'accès du Mac. Comment a-t-il pu être transféré sur l'iPhone ? Mystère. macOS et iOS utilisent le même trousseau si tu le synchronises avec iCloud. Donc pas de mystère pour moi ^^ 0 Citer
CyberFr Posté(e) le 17 octobre 2021 Posté(e) le 17 octobre 2021 il y a 2 minutes, MilesTEG1 a dit : macOS et iOS utilisent le même trousseau si tu le synchronises avec iCloud. Donc pas de mystère pour moi Oui mais je ne les synchronise pas avec iCloud qui est désactivé sur les deux appareils. 0 Citer
MilesTEG1 Posté(e) le 17 octobre 2021 Posté(e) le 17 octobre 2021 il y a 47 minutes, CyberFr a dit : Oui mais je ne les synchronise pas avec iCloud qui est désactivé sur les deux appareils. Hmmm, tu connectes ton iPhone sur ton mac et synchronise la musique ? 0 Citer
CyberFr Posté(e) le 17 octobre 2021 Posté(e) le 17 octobre 2021 il y a 27 minutes, MilesTEG1 a dit : Hmmm, tu connectes ton iPhone sur ton mac et synchronise la musique ? J'utilise Audio Station/DS Audio pour cela. 0 Citer
MilesTEG1 Posté(e) le 17 octobre 2021 Posté(e) le 17 octobre 2021 bon et bien c'est un mystère... Après pour le certificat, il est automatiquement récupéré si tu te connectes au domaine, donc ça vient peut-être de là. 0 Citer
CyberFr Posté(e) le 17 octobre 2021 Posté(e) le 17 octobre 2021 Il suffit donc que je me connecte au NAS ? Parce que sur l'iPhone je n'entre pas de nom de domaine. En fait le problème se posera lors du renouvellement du certificat. 0 Citer
CyberFr Posté(e) le 17 octobre 2021 Posté(e) le 17 octobre 2021 J'observe que lorsqu'on dispose d'un routeur Synology, il est possible de définir dans OpenVPN Plus une clé pré-partagée, ce qui suffirai amplement à mes modestes besoins de sécurisation de le connexion. Chez Synology, il y a ceux qui disposent d'un routeur et les autres, cette masse misérable. 0 Citer
CyberFr Posté(e) le 18 octobre 2021 Posté(e) le 18 octobre 2021 Voila ce que je lis sur le site de Synology concernant OpenVPN sous DSM 7. Citation Chaque fois que VPN Server s'exécute, il copie et utilise automatiquement le certificat affiché dans Panneau de configuration > Sécurité > Certificat. Si vous avez besoin d'utiliser un certificat tiers, importez-le dans Panneau de configuration > Sécurité > Certificat > Ajouter, puis redémarrez VPN Server. Si je comprends bien, toute connexion VPN est soumise à un contrôle du certificat et est refusée si le certificat est non conforme ou absent coté client. C'est une évolution intéressante par rapport à DSM 6. 0 Citer
oracle7 Posté(e) le 18 octobre 2021 Posté(e) le 18 octobre 2021 @CyberFr Bonjour, il y a 6 minutes, CyberFr a dit : Si je comprends bien, toute connexion VPN est soumise à un contrôle du certificat et est refusée si le certificat est non conforme ou absent coté client. C'est une évolution intéressante par rapport à DSM 6. Désolé, mais ce n'est pas ce que dit ta citation, enfin je ne l'ai pas interprété comme toi. Elle dit simplement que quand VPN Server se lance, il va chercher le certificat (a priori celui désigné par défaut) qui est dans DSM et c'est ce certificat, d'ailleurs qui est exporté dans le fichier de config .ovpn que tu recharges ensuite sur ton client OpenVPN. Cette fonctionnalité n'est pas nouvelle par rapport à DSM 6. Cordialement oracle7😉 0 Citer
CyberFr Posté(e) le 18 octobre 2021 Posté(e) le 18 octobre 2021 Bonjour @oracle7, Caramba, encore raté ! J'ai dit cela parce que la remarque de Synology ne figure pas dans VPN Server sous DSM 6. 0 Citer
Vaad Posté(e) le 19 octobre 2021 Auteur Posté(e) le 19 octobre 2021 Bonjour à tous ! Désolé pour cette absence de quatre jours, j’étais totalement indisponible et du coup j’ai dû rattraper tous ce qui à été dit depuis et j’avoue il va falloir que je relise tout au moins une fois pour essayer de tout comprendre.😅 @oracle7 j’ai fait les tests que tu m’as conseillé. Le ping et le ssh m’ont bien renvoyé mon ip externe mais pour le test via internet ça fonctionne parce j’ai renseigné le domaine personnalisé dans portail de connexion, je ne sais pas si c’est ça que me demandais. En tout cas de cette façon j’ai bien accès à mon nas depuis le net mais uniquement si j’ai redirigé le port 443 dans les règles NAT et si le port est accepté dans le pare-feu du syno. Le problème c’est que n’importe qui peut tomber sur la page de connexion au nas s’il tape mon nom de domaine dans l’url et ça me gêne un peu. Pour les logs j’ai pas encore eu le temps de regarder mais je voulais quand même signe de vie. Je regarde ça pour ce soir. 0 Citer
CyberFr Posté(e) le 19 octobre 2021 Posté(e) le 19 octobre 2021 Est-ce que ça sert à quelque chose d'ajouter les certificats <cert> et <key> dans le fichier de config d'OpenVPN sur un smartphone ? dev tun tls-client remote 87.88.XXX.XXX 1194 # float redirect-gateway def1 # ------------ # iOS SPECIFIC # ------------ redirect-gateway ipv6 dhcp-option DNS 192.168.1.X pull proto udp script-security 2 mssfix 1472 reneg-sec 0 verify-client-cert require auth SHA512 cipher AES-256-CBC auth-user-pass remote-cert-tls server auth-nocache key-direction 1 explicit-exit-notify 1 # ------------- # ca_bundle.crt # ------------- <ca> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </ca> # --------- # cert.perm # --------- <cert> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </cert> # ------------ # privkey.perm # ------------ <key> -----BEGIN RSA PRIVATE KEY----- -----END RSA PRIVATE KEY----- </key> 0 Citer
MilesTEG1 Posté(e) le 19 octobre 2021 Posté(e) le 19 octobre 2021 Je n'ai pas tout ça dans mon .ovpn pour iOS... J'ai exporté le fichier sur le RT2600AC et j'ai ajouté la dernière ligne. J'ai donc ceci : dev tun tls-client remote XXXXXXXXXX 1194 # The "float" tells OpenVPN to accept authenticated packets from any address, # not only the address which was specified in the --remote option. # This is useful when you are connecting to a peer which holds a dynamic address # such as a dial-in user or DHCP client. # (Please refer to the manual of OpenVPN for more information.) #float # If redirect-gateway is enabled, the client will redirect it's # default network gateway through the VPN. # It means the VPN connection will firstly connect to the VPN Server # and then to the internet. # (Please refer to the manual of OpenVPN for more information.) redirect-gateway def1 # dhcp-option DNS: To set primary domain name server address. # Repeat this option to set secondary DNS server addresses. #dhcp-option DNS DNS_IP_ADDRESS pull # If you want to connect by Server's IPv6 address, you should use # "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode proto udp script-security 2 reneg-sec 0 auth SHA512 cipher AES-256-CBC auth-user-pass key-direction 1 explicit-exit-notify <ca> -----BEGIN CERTIFICATE----- XXXXXXXXXX -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- XXXXXXXXXX -----END CERTIFICATE----- </ca> <tls-auth> # # 2048 bit OpenVPN static key # -----BEGIN OpenVPN Static key V1----- XXXXXXXXXX -----END OpenVPN Static key V1----- </tls-auth> setenv CLIENT_CERT 0 Est-ce que l'export via le NAS serait différent ? (hormis ta modif de taille de paquet avec mssfix 1472. 0 Citer
CyberFr Posté(e) le 19 octobre 2021 Posté(e) le 19 octobre 2021 @oracle7 a comme toi une entrée <tls-auth>. Mais ce certificat vient d'où ? 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.