Détection OpenVPN mais pas d’accès au NAS par internet

[oracle7]

@CyberFr

Bonjour,

Tu serais pas un peu "chat noir " ? 🤪🤣

Trêve de plaisanterie, regardes ce que donne un "ping --help" ou "ping ?". Moi j'ai cela sur PC.

C:\WINDOWS\system32>ping --help
Option incorrecte --help.

Utilisation : ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS]
            [-r count] [-s count] [[-j host-list] | [-k host-list]]
            [-w timeout] [-R] [-S srcaddr] [-c compartment] [-p]
            [-4] [-6] nom_cible

Options :
    -t             Effectue un test ping sur l’hôte spécifié jusqu’à son arrêt.
                   Pour afficher les statistiques et continuer,
                   appuyez sur Ctrl+Attn.
                   Pour arrêter, appuyez sur Ctrl+C.
    -a             Résout les adresses en noms d’hôtes.
    -n count       Nombre de demandes d’écho à envoyer.
    -l size        Taille du tampon d’envoi.
    -f             Active l’indicateur Ne pas fragmenter dans le paquet (IPv4
                   uniquement).
    -i TTL         Durée de vie.
    -v TOS         Type de service (IPv4 uniquement. La
                   configuration de ce paramètre n’a aucun effet sur le type
                   de service dans l’en-tête IP).
    -r count       Itinéraire d’enregistrement du nombre de sauts (IPv4
                   uniquement).
    -s count       Horodatage du nombre de sauts (IPv4 uniquement).
    -j host-list   Itinéraire source libre parmi la liste d’hôtes (IPv4
                   uniquement).
    -k host-list   Itinéraire source strict parmi la liste d’hôtes (IPv4
                   uniquement).
    -w timeout     Délai d’attente pour chaque réponse, en millisecondes.
    -R             Utilise l’en-tête de routage pour tester également
                   l’itinéraire inverse (IPv6 uniquement).
                   D’après la RFC 5095, l’utilisation de cet en-tête de routage
                   est déconseillée. Certains systèmes peuvent supprimer des
                   demandes d’écho si cet en-tête est utilisé.
    -S srcaddr     Adresse source à utiliser.
    -c compartment Identificateur de compartiment de routage.
    -p             Effectue un test ping sur l’adresse de fournisseur
                   de la virtualisation réseau Hyper-V.
    -4             Force l’utilisation d’IPv4.
    -6             Force l’utilisation d’IPv6.

Cordialement

oracle7😉

[Jeff777]

 

 

il y a 7 minutes, CyberFr a dit :

Je crois que je vais revendre mon Mac 🤢

Si ça continue tu deviendra un "MAC giver"...........😶 ...............un peu tiré par les cheveux..

[CyberFr]

il y a 14 minutes, oracle7 a dit :

Tu serais pas un peu "chat noir " ? 🤪

Et pas qu'un peu !

Finalement j'arrive à passer la commande ping ... si je me connecte en root !

Les explications sur ma machine sont plus verbeuses :

-f      Flood ping.  Outputs packets as fast as they come back or one hundred times per second, which-
             ever is more.  For every ECHO_REQUEST sent a period ``.'' is printed, while for every
             ECHO_REPLY received a backspace is printed.  This provides a rapid display of how many
             packets are being dropped.  Only the super-user may use this option.  This can be very
             hard on a network and should be used with caution.

Heureusement, je dispose aussi de Windows 10 via Bootcamp sur le Mac. Ce sont des gens sérieux eux 🙃 Je vais faire le ping dans cet environnement.

il y a 17 minutes, Jeff777 a dit :

Si ça continue tu deviendra un "MAC giver"...........😶 ...............un peu tiré par les cheveux..

Ne tirez pas sur le pianiste.

[oracle7]

@CyberFr

Bonjour,

Il y a 22 heures, oracle7 a dit :

Tu le fais dans une connexion normale depuis ton réseau local sur un PC (fenêtre CMD Windows en mode admin) / Mac (je suppose dans une fenêtre de Terminal, là c'est toi qui sais ...).

Mon indication du "mode admin" aurait dû quand même attirer ton attention pour transposer à root sur Mac, non ?

Mais pas grave, juste un peu de temps perdu et une petite prise de tête ...🤣

Cordialement

oracle7😉

[CyberFr]

il y a 8 minutes, oracle7 a dit :

Mon indication du "mode admin" aurait dû quand même attirer ton attention pour transposer à root sur Mac, non ?

Et zut, ça m'a échappé...

[CyberFr]

Il y a 3 heures, oracle7 a dit :

Trêve de plaisanterie, regardes ce que donne un "ping --help" ou "ping ?". Moi j'ai cela sur PC.

Bonjour @oracle7,

J'ai fait les tests de MTU sous Windows et j'obtiens UNE MTU idéale de 1472, exactement comme toi. J'ai fait les tests de chez moi et sur mon NAS.

[oracle7]

@CyberFr

Bonjour,

Et alors, as-tu trouvé comme moi avec cette nouvelle MTU optimisée que depuis l'extérieur en VPN, la vitesse était plus rapide dans l'accès au sites et ou aux applications via Reverse Proxy ?

Cordialement

oracle7😉

[CyberFr]

Bonjour @oracle7,

il y a 20 minutes, oracle7 a dit :

Et alors, as-tu trouvé comme moi avec cette nouvelle MTU optimisée que depuis l'extérieur en VPN, la vitesse était plus rapide dans l'accès au sites et ou aux applications via Reverse Proxy ?

Pour les applications, je n'ai pas encore testé. Par contre l'accès aux sites est plus fluide, plus réactif.

[MilesTEG1]

Il y a 17 heures, CyberFr a dit :

Bonjour @oracle7,

Voilà ce que ça donne sur ma machine

LaX1:~ lionel$ ping www.orange.fr -f -l 1472
ping: -f flag: Operation not permitted
LaX1:~ lionel$ 

Je crois que je vais revendre mon Mac 🤢

Tu as quoi comme version de macOS ?
Sur Big Sur, le flag -f existe bien.

Tu peux aussi utiliser 

man ping

Cela dit, j'ai comme toi, operation not permitted sauf si je lance la commande avec sudo.

Mais j'ai ces messages :

Citation

PING hpo-main.prod.hporange.gslb.fti.net (193.252.133.97): 56 data bytes
.............................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................Request timeout for icmp_seq 1499
.Request timeout for icmp_seq 1500
.Request timeout for icmp_seq 1501
..Request timeout for icmp_seq 1503
.Request timeout for icmp_seq 1504
.Request timeout for icmp_seq 1505
.Request timeout for icmp_seq 1506
.Request timeout for icmp_seq 1507
.Request timeout for icmp_seq 1508
.Request timeout for icmp_seq 1509
.Request timeout for icmp_seq 1510
..Request timeout for icmp_seq 1627
.Request timeout for icmp_seq 1637
.Request timeout for icmp_seq 1642
.Request timeout for icmp_seq 1643
.Request timeout for icmp_seq 1644

...

 

[CyberFr]

Bonjour @MilesTEG1,

J'ai bien l'option ping -f mais l'utilisation n'est pas pratique sur Mac. Le graphique qui en résulte n'est pas vraiment exploitable.

Il y a 8 heures, bliz a dit :

Bon, après le calcul du MTU, il reste encore le RWIN à calculer.

Je laisse ça aux fans des systèmes à fenêtres 🙂

[CyberFr]

Dans le fichier de config, j'ai remplacé "verify-client-cert none" par "verify-client-cert require". Pour le coup, lors de la connexion, le certificat R3 de Let's Encrypt est vérifié. C'est ce qu'indique le log.

Pour m'en assurer, j'ai modifié le certificat ca dans le fichier de config en remplaçant un caractère, le résultat est que la connexion est refusée parce que le certificat est invalide. J'ai fait le test sur le Mac et l'iPhone.

Le certificat R3 se trouve dans le Trousseau d'accès du Mac. Comment a-t-il pu être transféré sur l'iPhone ? Mystère.

Y a-t-il un moyen, au niveau du NAS, d'exiger la présence du certificat et de refuser toute connexion VPN si celui-ci est absent ou invalide ?

[MilesTEG1]

Il y a 3 heures, CyberFr a dit :

Le certificat R3 se trouve dans le Trousseau d'accès du Mac. Comment a-t-il pu être transféré sur l'iPhone ? Mystère.

 

macOS et iOS utilisent le même trousseau si tu le synchronises avec iCloud. Donc pas de mystère pour moi ^^

[CyberFr]

il y a 2 minutes, MilesTEG1 a dit :

macOS et iOS utilisent le même trousseau si tu le synchronises avec iCloud. Donc pas de mystère pour moi

Oui mais je ne les synchronise pas avec iCloud qui est désactivé sur les deux appareils.

[MilesTEG1]

il y a 47 minutes, CyberFr a dit :

Oui mais je ne les synchronise pas avec iCloud qui est désactivé sur les deux appareils.

Hmmm, tu connectes ton iPhone sur ton mac et synchronise la musique ?

[CyberFr]

 

il y a 27 minutes, MilesTEG1 a dit :

Hmmm, tu connectes ton iPhone sur ton mac et synchronise la musique ?

J'utilise Audio Station/DS Audio pour cela.

[MilesTEG1]

bon et bien c'est un mystère...

Après pour le certificat, il est automatiquement récupéré si tu te connectes au domaine, donc ça vient peut-être de là.

[CyberFr]

Il suffit donc que je me connecte au NAS ? Parce que sur l'iPhone je n'entre pas de nom de domaine.

En fait le problème se posera lors du renouvellement du certificat.

[CyberFr]

J'observe que lorsqu'on dispose d'un routeur Synology, il est possible de définir dans OpenVPN Plus une clé pré-partagée, ce qui suffirai amplement à mes modestes besoins de sécurisation de le connexion. Chez Synology, il y a ceux qui disposent d'un routeur et les autres, cette masse misérable.

[CyberFr]

Voila ce que je lis sur le site de Synology concernant OpenVPN sous DSM 7.

Citation

Chaque fois que VPN Server s'exécute, il copie et utilise automatiquement le certificat affiché dans Panneau de configuration > Sécurité > Certificat. Si vous avez besoin d'utiliser un certificat tiers, importez-le dans Panneau de configuration > Sécurité > Certificat > Ajouter, puis redémarrez VPN Server.

Si je comprends bien, toute connexion VPN est soumise à un contrôle du certificat et est refusée si le certificat est non conforme ou absent coté client. C'est une évolution intéressante par rapport à DSM 6.

[oracle7]

@CyberFr

Bonjour,

il y a 6 minutes, CyberFr a dit :

Si je comprends bien, toute connexion VPN est soumise à un contrôle du certificat et est refusée si le certificat est non conforme ou absent coté client. C'est une évolution intéressante par rapport à DSM 6.

Désolé, mais ce n'est pas ce que dit ta citation, enfin je ne l'ai pas interprété comme toi. Elle dit simplement que quand VPN Server se lance, il va chercher le certificat (a priori celui désigné par défaut) qui est dans DSM et c'est ce certificat, d'ailleurs qui est exporté dans le fichier de config .ovpn que tu recharges ensuite sur ton client OpenVPN. Cette fonctionnalité n'est pas nouvelle par rapport à DSM 6.

Cordialement

oracle7😉

 

[CyberFr]

Bonjour @oracle7,

Caramba, encore raté !

J'ai dit cela parce que la remarque de Synology ne figure pas dans VPN Server sous DSM 6.

[Vaad]

Bonjour à tous !

Désolé pour cette absence de quatre jours, j’étais totalement indisponible et du coup j’ai dû rattraper tous ce qui à été dit depuis et j’avoue il va falloir que je relise tout au moins une fois pour essayer de tout comprendre.😅

@oracle7 j’ai fait les tests que tu m’as conseillé. Le ping et le ssh m’ont bien renvoyé mon ip externe mais pour le test via internet ça fonctionne parce j’ai renseigné le domaine personnalisé dans portail de connexion, je ne sais pas si c’est ça que me demandais. En tout cas de cette façon j’ai bien accès à mon nas depuis le net mais uniquement si j’ai redirigé le port 443 dans les règles NAT et si le port est accepté dans le pare-feu du syno. Le problème c’est que n’importe qui peut tomber sur la page de connexion au nas s’il tape mon nom de domaine dans l’url et ça me gêne un peu.

 Pour les logs j’ai pas encore eu le temps de regarder mais je voulais quand même signe de vie. Je regarde ça pour ce soir.

[CyberFr]

Est-ce que ça sert à quelque chose d'ajouter les certificats <cert> et <key> dans le fichier de config d'OpenVPN sur un smartphone ?

 

dev tun
tls-client

remote 87.88.XXX.XXX 1194

# float

redirect-gateway def1

# ------------
# iOS SPECIFIC
# ------------

redirect-gateway ipv6

dhcp-option DNS 192.168.1.X

pull

proto udp

script-security 2

mssfix 1472

reneg-sec 0

verify-client-cert require

auth SHA512

cipher AES-256-CBC

auth-user-pass

remote-cert-tls server

auth-nocache

key-direction 1

explicit-exit-notify 1

# -------------
# ca_bundle.crt
# -------------

<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>

# ---------
# cert.perm
# ---------

<cert>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>

# ------------
# privkey.perm
# ------------

<key>
-----BEGIN RSA PRIVATE KEY-----
-----END RSA PRIVATE KEY-----
</key>

 

[MilesTEG1]

Je n'ai pas tout ça dans mon .ovpn pour iOS...

J'ai exporté le fichier sur le RT2600AC et j'ai ajouté la dernière ligne.

J'ai donc ceci :

dev tun
tls-client

remote XXXXXXXXXX 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2


reneg-sec 0

auth SHA512

cipher AES-256-CBC

auth-user-pass


key-direction 1

explicit-exit-notify
<ca>

-----BEGIN CERTIFICATE-----
XXXXXXXXXX
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
XXXXXXXXXX
-----END CERTIFICATE-----
</ca>

<tls-auth>

#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
XXXXXXXXXX
-----END OpenVPN Static key V1-----
</tls-auth>

setenv CLIENT_CERT 0

 

Est-ce que l'export via le NAS serait différent ? (hormis ta modif de taille de paquet avec mssfix 1472.

[CyberFr]

@oracle7 a comme toi une entrée <tls-auth>. Mais ce certificat vient d'où ?