Détection OpenVPN mais pas d’accès au NAS par internet

[CyberFr]

il y a 3 minutes, Jeff777 a dit :

Chacun sa croix 

Je compatis @Jeff777.

Modifié le 20 octobre 2021 par CyberFr
Edit : Mais tu peux comme moi faire un copier/coller des certificats directement dans le fichier de config.

[Jeff777]

Pour info. Sur Android lorsque l'on crée un nouveau profile puis sélectionne "select certificate" au lieu de "continue" il propose un certificat appelé cert avec ton nom de domaine en dessous ou bien de sélectionner un certificat pfx ou p12.

Si je prends la deuxième option et sélectionne le p12 créé sur le PC avec openssl puis mets le MdP qui m'a servi à faire le certificat il refuse mon MdP !

Si je fais "autoriser" il prend immédiatement en compte le certificat cert qui est coché plus haut et que l'on ne peut d'ailleurs pas décocher.

Lors de l'utilisation de ce profil la fois suivante on est connecté directement (éventuellement en demandant le MdP utilisateur si on ne l'a pas enregistré lors de la création du profile).

Ma question où se trouve ce certificat cert sur la tablette ? Est-ce finalement celui qui figure dans le fichier de config?

[oracle7]

@Jeff777

Bonjour,

J'essaie de comprendre, c'est bien ce lien que tu as utilisé pour DL OpenSSL ?

Décidément, je n'ai pas eu le même comportement que celui que tu décrit.

Quand je sélectionne "select certificate" il me permet de naviguer jusqu'au répertoire où j'ai stocké le certificat ".pfx" que je sélectionne et il me crée le profil etc ...

Cordialement

oracle7😉

[Jeff777]

il y a 37 minutes, oracle7 a dit :

c'est bien ce lien que tu as utilisé

je télécharge le light en .exe

je l'installe en décochant toute les lignes et en cliquant sur "finish"

c'est là où je m'étais trompé la première fois. Comme rien ne se passait je croyais qu'il n'avait pas été installé.

En fait il faut le chercher dans le menu démarrer

Je lance "Win64 openssl command prompt" je me déplace jusqu'au répertoire où se trouvent mes certificats que j'ai importés du nas. Je lance la commande"openssl pkcs12 -export -out certificat.p12 -inkey privkey.pem -in cert.pem -certfile chain.pem". 

 Après avoir mis deux fois un mot de passe j'obtiens un certificat .p12 dans le répertoire précédent (tu parles de .pfx je vais peut-être essayer ce format qui avait fonctionné avec l'alternative openssl que j'avais utilisée.)

Je transfert ce certificat sur la tablette là où se trouve le fichier de config openvpn.

Je fais un nouveau profil avec le fichier de config openvpn et c'est là qu'avec l'option sélectionner un certificat p12 ou pfx ça foire  avec le mot de passe utilisé précédemment !

Edit : même chose avec le .pfx  

Modifié le 20 octobre 2021 par Jeff777

[Vaad]

@oracle7

Bonjour,

Mon problème c'est que j'arrive bien à établir la connexion vpn, j'ai bien le graphe des débits montant et descendant dans le client et j'ai bien la détection de la connexion donc vpn server, mais après quoique je fasse je n'arrive pas à accéder au nas. Soit ça bloque quelque part, soit c'est moi qui m'y prends mal pour me connecter😅.

[oracle7]

@Jeff777

Bonjour,

Pour te rassurer (si besoin en était) je procède exactement comme tu viens de le décrire.

Pour le MdP, tu n'aurais pas des caractères spéciaux dedans ? Ceci pourrait expliquer cela ...

Cordialement

oracle7😉

@Vaad

Bonjour,

Bon bah c'est bien on avance ! La connexion s'établit.

il y a 18 minutes, Vaad a dit :

mais après quoique je fasse je n'arrive pas à accéder au nas.

Tu peux préciser STP ?

As-tu cocher dans la configuration d'OpenVPN la case " Autoriser aux clients l'accés au server LAN" ?

Ensuite, dans un navigateur Web tapes xxxxx.synology.me (xxxxxx = alias pour ton NAS ou une autre application) et cela devrait le faire si ton Reverse Proxy est bien configuré.

Au pire avec une URL du type "@IPlocaleduNAS:5000" tu devrais atteindre le NAS (avec une alerte de sécurité).

Cordialement

oracle7😉

 

[Jeff777]

il y a 21 minutes, oracle7 a dit :

Pour le MdP, tu n'aurais pas des caractères spéciaux dedans ?

Non que des lettres majuscules minuscules et des chiffres !

[CyberFr]

Il y a 1 heure, Jeff777 a dit :

Non que des lettres majuscules minuscules et des chiffres !

Ne pas utiliser de chiffres ! 🙂

Je dis ça parce que sur mon Mac j'accède à Windows 10 via Bootcamp. J'ai donc à la fois macOS et Windows 10. Lorsque je tape des chiffres sous Windows parce que j'ouvre une session par exemple, je ne peux pas utiliser le clavier numérique et je dois impérativement taper les chiffres qui se trouvent en haut du clavier, accessibles avec la touche MAJ.

Je pense que c'est un problème de driver concernant le clavier sous Windows.

[Jeff777]

il y a 3 minutes, CyberFr a dit :

je dois impérativement taper les chiffres qui se trouvent en haut du clavier

j'ai aussi essayé cela. 

[CyberFr]

@Jeff777, as-tu essayé "admin" ou "NAS" ou "yenamarre" ?

Bon, je sors.

[Jeff777]

J'ai même essayé un mot de passe vide. Il me reste "CyberFrestunâne" ...ah zut y a un accent 🤣

Sérieusement je crois que le problème vient de ce fichier cert qui est sélectionné, OpenVPN l'a trouvé (je ne sais pas où) et il refuse toute alternative. 

[CyberFr]

Chez moi sur OpenVPN Connect, dans la rubrique "Certificates & Tokens", le certificat est affiché et je peux le supprimer en cochant "Remove Certificate".

[Jeff777]

Je n'ai rien de tel 😕. Bon après tout il trouve le certificat et c'est bien là l'essentiel.

[oracle7]

@Jeff777

Bonjour,

De ce que j'ai cru comprendre avec divers TUTOs (EN) sur la toile , lors de la connexion à OpenVPN sur le client portable, lorsqu'on sélectionne un certificat, OpenVPN l'enregistre je ne sais où sur le portable (çà j'ai pas trouvé où du moins sur Android), ensuite selon ces mêmes sites on peut supprimer le fichier du certificat importé car il ne serait plus utile.

Donc  dans ton cas, si j'étais toi, pour tout remettre d'équerre et que cela tourne rond à nouveau 🤪 :

• Je supprimerai d'abord tous les certificats importés sur le Tél portable,
• Je désinstallerais  le client OpenVPN du Tél portable,
• Je rebooterais le Tél portable,
• Je réinstallerais le client OpenVPN depuis Google Play,
• Je chargerais le fichier ".pfx" ou ".p12" de mon certificat ainsi que le fichier de conf ".ovpn" dans un répertoire propre et spécifique sur le Tél portable,
• Je lancerais la création d'un nouveau profil OpenVPN sur le Tél portable tout en sélectionnant le certificat ".pfx" ou ".p12" plus cocher pour enregistrer le MdP,
• Je me connecterais en VPN et si OK je supprimerais (pas obligé, mais bon ...) le fichier du certificat puisque normalement plus utile.

Voilà cela vaut ce que çà vaut mais au moins après cela on sait que tout à été fait clairement, non ?

Cordialement

oracle7😉

[Jeff777]

il y a 3 minutes, oracle7 a dit :

Je supprimerai d'abord tous les certificats importés

justement ça je ne sais pas où ils sont. Je cherche.

Le reste j'avais fait 😒

[oracle7]

@Jeff777

Bonjour,

Sauf erreur de ma part en désinstallant complétement le client OpenVPN + reboot, le certificat devrait être supprimé. Donc après la réinstallation propre, cela devrait le faire, Non ?

Cordialement

oracle7😉

[Jeff777]

@oracle7 j'avais déjà fait et je viens de le refaire.

En fait je pense que l'appli retrouve le certificat, soit dans le fichier de conf (à noter que si j'enlève la partie certificat ça ne marche plus du tout), soit par mon proxy inversé ....je vais tenté l'adresse IP

[Jeff777]

Suite et fin : ça ne fonctionne pas non plus comme cela. Je vais rester avec les profils qui fonctionnent. Merci à vous deux.

[Vaad]

@oracle7

Bonsoir,

Oui la case " Autoriser aux clients l'accés au server LAN" est bien cochée. Du coup j'ai essayé de faire un revers proxy mais quand je tente une connexion ça tourne dans le vide, la page se charge continuellement sans me mettre aucune message donc la aussi y a un truc que j'ai pas dû faire correctement ça commence à me rendre fou 😅. Et rien ne change non plus avec openvpn. Y a vraiment quelque chose que je dois pas comprendre.

Je continue à trifouiller et à faire des tests et je garde espoir 🤣.

[Vaad]

@oracle7

Rebonjour,

J'ai réussi à faire le reverse proxy, j'avais laissé coché l'option de redirection automatique http>https. Donc au moins maintenant j'ai accès au nas à distance !

Maintenant j'ai deux questions :

1er question, pour aller plus loin et parce que j'aime bien trafiquer les paramétrages 🤣, j'ai cru comprendre qu'il était possible d'associer openvpn avec le reverse proxy. Est-ce que cela veut dire que si c'est configuré correctement le seul moyen d'accéder au nas via le reverse proxy ce sera uniquement si le vpn est actif ? Par exemple je tape filestation.ndd.fr dans le navigateur ça ne marche pas mais si j'active openvpn et que le tape filestation.ndd.fr la ça m'envoie bien sur file station ? Mais bon ça c'est vraiment pour chipoter 😂.

2eme question, est-il possible de monter un emplacement réseau ou lecteur réseau sur le pc avec le reverse proxy ?

En tout cas merci pour vos réponses !

 

[Jeff777]

Bonjour @Vaad

Tu n'as pas suivi le tuto ! L'option de redirection automatique ne doit pas être utilisée elle fait bugger le proxy inversé. Il faut utiliser un fichier .htaccess. A moins que le problème soit corrigé mais ce serait un scoop.

il y a 17 minutes, Vaad a dit :

possible d'associer openvpn avec le reverse proxy

dans le fichier de configuration du client d'openvpn tu peux mettre un reverse proxy à la place de ton adresse IP.

Le reverse proxy sera configuré  https://vpn.ndd ==>http://iplocalnas:1194

il y a 20 minutes, Vaad a dit :

Est-ce que cela veut dire que si c'est configuré correctement le seul moyen d'accéder au nas via le reverse proxy ce sera uniquement si le vpn est actif

Oui c'est possible. Pour faire cela il  faut bloquer l'accès au DSM et à certaines applications sensibles du Nas en activant le contrôle d'accès sur les entrées correspondantes du proxy inversé. Il faut sélectionner un profil, paramétré au préalable, qui permet la connexion aux IP locales et aux Ip vpn (10.0.0.0/8). Pour les applications que l'on veut laisser libres d'accès ( accès cependant piloté par les droits + MdP) on ne configure pas le contrôle d'accès.

Donc un utilisateur qui à un client VPN correctement paramétré pourra se connecter à toutes les applications (à la condition d'avoir les droits pour appli + MdP).

Un utilisateur sans VPN pourra se connecter à toutes les applications sans contrôle d'accès (à la condition d'avoir les droits pour appli + MdP).

Le profil d'accès peut même restreindre  l'accès à certains périphériques du réseau local.

il y a 42 minutes, Vaad a dit :

est-il possible de monter un emplacement réseau ou lecteur réseau sur le pc avec le reverse proxy ?

Je ne crois pas. Quel en serait l'intérêt ?

[oracle7]

@Vaad

Bonjour,

Bon bah voilà çà marche et tant mieux, content pour toi, @Jeff777 t'a répondu, je n'aurais pas mieux dit et n'oublies pas de configurer un fichier .htaccess (voir TUTO du RP).

Cordialement

oracle7😉

[Vaad]

Merci , vous m'avez bien aidé !

@Jeff777 je vais me pencher sur tes réponses. J'avais bien suivi le tuto du reverse proxy mais j'avais juste oublié de décocher l'option 😅, j'utilise bien le fichier .htaccess.

L'intérêt de m'emplacement ou lecteur réseau serait pour file station, pour accéder à mes documents stockés sur le nas directement depuis mon explo de fichiers sans forcément passer par le navigateur mais la je pinaille je te l'accorde 😁.

@oracle7 Merci beaucoup pour tes réponses 😄

[CyberFr]

Le 20/10/2021 à 10:50, Jeff777 a dit :

Si je prends la deuxième option et sélectionne le p12 créé sur le PC avec openssl puis mets le MdP qui m'a servi à faire le certificat il refuse mon MdP !

Je réagis un peu tard, désolé.

Je vais peut-être dire une bêtise mais je me demande si le mot de passe indiqué lors de la création du certificat p12 ne doit pas correspondre au mot de passe de celui qui a fait la demande de renouvellement du certificat Let's Encrypt ou pour le moins du mot de passe d'un administrateur du NAS.

Parce que j'ai été confronté à ce problème de mot de passe refusé. Pour le coup, lors de la création du certificat, j'ai indiqué comme mot de passe, celui de mon compte admnin, un peu par hasard et là tout s'est bien passé.

[oracle7]

@CyberFr

Bonjour,

il y a 51 minutes, CyberFr a dit :

Je vais peut-être dire une bêtise mais je me demande si le mot de passe indiqué lors de la création du certificat p12 ne doit pas correspondre au mot de passe de celui qui a fait la demande de renouvellement du certificat Let's Encrypt ou pour le moins du mot de passe d'un administrateur du NAS.

Pour moi tu ne dis pas de bêtise, j'ai procédé comme cela et effectivement je n'ai jamais eut aucun soucis.

De toutes façons, il est vrai aussi que toutes mes configurations se font toujours avec le même compte user ayant les droits d'admin. Du coup peut-être aussi que cela masque certaines choses, va savoir ...

Cordialement

oracle7😉