Détection OpenVPN mais pas d’accès au NAS par internet

[MilesTEG1]

il y a 4 minutes, CyberFr a dit :

@oracle7 a comme toi une entrée <tls-auth>. Mais ce certificat vient d'où ?

En ce qui me concerne, c'est le certificat LE du routeur pour mon nom de domaine Synology.

[CyberFr]

Bonjour @MilesTEG1,

Mes certificats viennent du NAS puisque je n'ai pas de routeur. Au départ dans le fichier de config généré par VPN Server, il n'y a que le certificat <ca>. J'ai ajouté les entrées <cert> et <key> mais est-ce vraiment un plus ? Je ne sais pas.

[Jeff777]

Bonjour @CyberFr

C'est à dire qu'à chaque chaque fois que le certificat du Nas sera renouvelé, il faudra que tu corriges ton fichier de config ?

[CyberFr]

Bonjour @Jeff777,

il y a 6 minutes, Jeff777 a dit :

C'est à dire qu'à chaque chaque fois que le certificat du Nas sera renouvelé, il faudra que tu corriges ton fichier de config ?

De toute façon, il faudra que je corrige le fichier de config en cas de renouvellement du certificat puisque le certificat <ca> aura sans doute été modifié lui aussi. Or il figure dans l'export de la configuration de VPN Server.

[CyberFr]

L'avantage en ajoutant les certificats <cert> et <key> et que l'on évite un avertissement d'OpenVPN signalant qu'il manque un certificat extérieur.

[MilesTEG1]

Mon certificat s’est renouvelé plusieurs fois depuis que j’ai mis en route OpenVPN sur le routeur et je n’ai pas eu besoin de récréer le fichier ovpn pour mon smartphone…

comment ça se fait si le certificat change au renouvellement ?

[CyberFr]

il y a 5 minutes, MilesTEG1 a dit :

Mon certificat s’est renouvelé plusieurs fois depuis que j’ai mis en route OpenVPN sur le routeur et je n’ai pas eu besoin de récréer le fichier ovpn pour mon smartphone…

D'après ce que tu dis, si les certificats ne changent pas, il n'est pas nécessaire de toucher au fichier de config. Je n'aurai peut-être pas à le faire. Qui vivra verra. Pour l'instant c'est tout neuf et je manque de recul.

[Jeff777]

Oui c'est mon cas aussi mais je n'ai pas les certificats <cert> et <key> dans la config openVPN.

 

Modifié le 19 octobre 2021 par Jeff777

[MilesTEG1]

Pour les certificats, peut-être que celui généré pour un nom de domaine Synology ne change pas alors que c'est le cas pour un nom de domaine autre ??

[Jeff777]

Il y a 22 heures, MilesTEG1 a dit :

Pour les certificats, peut-être que celui généré pour un nom de domaine Synology ne change pas

Je viens de vérifier (je garde une trace de mes certificats).

Les certificats cert.pem et ndd.cer (fichiers textes qui ne diffèrent que par l'extension) sont identiques entre eux et changent dans les dernières lignes.

Les certificats ca.cer et chain.pem (fichiers textes qui ne diffèrent que par l'extension) sont identiques entre eux et ne changent pas lors du renouvellement. Ils sont composés de deux certificats.

Les certificats fullchain.pem et fullchain.cer (fichiers textes qui ne diffèrent que par l'extension) sont composés de 3 certificats ceux  de cert.pem et de chain.pem

Les clés privkey et ndd.key (fichiers textes qui ne diffèrent que par l'extension) ne changent pas

Merci de me confirmer ....ou non... par vos observations.

J'ai profité de cette discussion pour reprendre la config de Openvpn sur ma tablette Android par utilisation du fichier .pfx au lieu de faire "continuer". J'ai trouvé une méthode pour convertir mon certificat dans un message de @oracle7 avec openssl mais il me fallait prendre un abonnement. J'ai finalement trouvé une alternative gratuite qui fonctionne (https://www.sslshopper.com/ssl-converter.html). EDIT : ne pas utiliser suivre la méthode d'Oracle7

J'ai finalement installé VPN serveur sur le deux nas et peux les joindre avec deux config différentes par proxy inverse.

 

Modifié le 20 octobre 2021 par Jeff777

[MilesTEG1]

Ouah, tu gardes tous tes certificats 😄 
Moi je laisse faire le NAS ou le routeur et ils se débrouillent 😛 
Du coup je ne pourrais pas confirmer ou infirmer ce que tu dis précédemment...

[Jeff777]

il y a une heure, MilesTEG1 a dit :

Ouah, tu gardes tous tes certificats

Quand j'ai aidé Shad pour développer le script de renouvellement ça m'a permis de faire plusieurs essais de renouvellement en remettant les anciens fichiers.

Modifié le 19 octobre 2021 par Jeff777

[CyberFr]

J'en ai terminé avec OpenVPN. J'ai utilisé pour la première fois VPN Server et j'ai installé dans la foulée un reverse proxy afin de me connecter en toute sécurité à DSM. Certains membres du forum - ils se reconnaitront - m'ont bien aidé sur ce coup là.

J'ai dit il y a peu que c'en était fini mais j'ai donné un dernier coup de collier afin que le certificat LE soit bien pris en compte dans le fichier de config d'OpenVPN. L'avertissement sur l'absence de certificat externe lors de l'établissement de la connexion m'embêtait un peu car il traduisait une faille de sécurité. J'ai intégré le certificat aussi bien sur le Mac (même si ça ne sert pas à grand chose à part à tester) que sur l'iPhone, je passe donc à autre chose satisfait d'en avoir terminé. Et satisfait surtout que ça fonctionne.

[Jeff777]

Il y a 9 heures, CyberFr a dit :

Est-ce que ça sert à quelque chose d'ajouter les certificats <cert> et <key> dans le fichier de config d'OpenVPN sur un smartphone ?

Je ne les ai pas mis. mon fichier de config :

 

dev tun
tls-client
remote-cert-tls server
auth-nocache
remote openvpn.ndd 1194  # reverse proxy

redirect-gateway def1

dhcp-option DNS 78.xxx.xxx.xxx
dhcp-option DNS 2a01:...

pull
proto udp

script-security 2
comp-lzo

reneg-sec 0

cipher AES-256-CBC

auth SHA256

auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

</ca>

 

 

Sur Android lorsque j'ai eu la notification continuer ou installer un certificat .pfx  j'ai installé ce certificat (cert.pem et privkey.pem convertis)

Je n'ai pas de notification dans les logs concernant une absence de certificat externe.

@CyberFr en quoi ta démarche est-elle différente..si elle l'est !..tu n'es pas obligé de répondre si tu en as ras la casquette 😉

 

[Vaad]

@bliz j'ai oublié de te répondre mais oui les privilèges sont bien mis dans VPN serveur

Après je vois que le reverse proxy revient assez souvent dans les discutions comme le dit @CyberFr. Est-ce mieux qu'un VPN ? Et plus facile à mettre en place ? 😅

@oracle7 Je suis en train de regarder le log, est-ce que tu as besoin de tout ou d'une partie en particulier ? Parce qu'il est assez long.

[CyberFr]

Bonjour @Jeff777,

il y a 5 minutes, Jeff777 a dit :

Sur Android lorsque j'ai eu la notification continuer ou installer un certificat .pfx  j'ai installé ce certificat (cert.pem et privkey.pem convertis)

Justement c'est la différence, sur iOS il est difficile d'importer un fichier sans passer par iTunes (Big Brother). Ce que j'ai fait sans problème sur le Mac. Et quand j'ai tenté d'importer le fichier .p12 (ou .pfx), OpenVPN Connect l'a bien reconnu sur iOS mais à moitié puisqu'il n'a pas affiché le nom réel du certificat qui est celui du nom de domaine.

Dans le doute j'ai fait un copier coller du contenu de cert.perm et de privkey.perm directement dans le fichier de config. Et je n'ai plus l'avertissement sur l'absence de certificat.

[oracle7]

@Vaad

Bonjour,

Il y a 14 heures, Vaad a dit :

Le problème c’est que n’importe qui peut tomber sur la page de connexion au nas s’il tape mon nom de domaine dans l’url et ça me gêne un peu.

Tu peux facilement résoudre ce problème en te connectant via VPN et en ajoutant un profil de contrôle d'accès pour ton URL qui te permet d'accéder au NAS. Ce profil n'acceptera que les le @IP du sous-réseau du VPN ainsi que tes @IP d'origine ton sous-réseau local. C'est super efficace. Tu peux même étendre ce principe aux autres URL de ton Reverse Proxy.

Il y a 1 heure, Vaad a dit :

Après je vois que le reverse proxy revient assez souvent dans les discutions comme le dit @CyberFr. Est-ce mieux qu'un VPN ? Et plus facile à mettre en place ? 

Ce n'est pas la même chose :

Le Reverse Proxy te permet d'accéder à ton NAS et ses applications/services via une URL du type xxxxx.tonDomaine.tld en passant uniquement par le port 443 sécurisé. Le RP écoute en permanence ce port 443 et il redirige selon le "xxxxx" de l'URL vers l'application/service concerné sur son port interne. Ce dernier est ainsi masqué des utilisateurs extérieurs.

Pour faire simple, le VPN lui te permet d'établir une connexion sécurisée à ton NAS au travers d'un tunnel étanche de l'extérieur. Ainsi ton flux Internet vers le NAS est protégé des regards indiscrets.

Maintenant tu peux très bien cumuler les avantages du RP au travers d'une connexion VPN ( = ceinture plus bretelles 🤪) ce qui sécurise encore plus tes accès externe au NAS.

@CyberFr

Bonjour,

Il y a 11 heures, CyberFr a dit :

J'ai ajouté les entrées <cert> et <key> mais est-ce vraiment un plus ?

Je ne saurais te répondre mais comme @Jeff777 je n'ai pas cela dans mon fichier .opvn et je m'en passe très bien.

Il y a 4 heures, Jeff777 a dit :

J'ai trouvé une méthode pour convertir mon certificat dans un message de @oracle7 avec openssl mais il me fallait prendre un abonnement. J'ai finalement trouvé une alternative gratuite qui fonctionne (https://www.sslshopper.com/ssl-converter.html).

Quel abonnement ? tu dois confondre car OpenSSL est une application free sur PC.

Après ton alternative avec sslshopper.com n'est pas très sécure car lorsque tu renseignes les champs sur leur site tu leur donnes ton certificat, et tu ne sauras jamais ce qu'ils peuvent en faire à ton insu. 🤨🥴 Maintenant ce que j'en dis  ...

Cordialement

oracle7😉

 

 

Modifié le 19 octobre 2021 par oracle7

[Jeff777]

il y a 41 minutes, oracle7 a dit :

tu dois confondre car OpenSSL est une application free sur PC.

Elle l'était.  En utilisant ton lien il fallait cocher une option pour télécharger l'appli et ça m'a emmené sur Paypal

le lien est dans ce post :

 

et j'obtiens ceci en installant l'appli :

Depuis que tu as mis ce lien il y a eu tellement de téléchargement que le développeur a eu idée de faire payer 😉

 

 

 

Modifié le 19 octobre 2021 par Jeff777

[oracle7]

@Jeff777

Bonjour,

Je viens de re DL l'application OpenSSL depuis le lien en question. Je l'ai réinstallée pour me mettre à jour. Jusque là tout est OK et au final il y a effectivement l'écran de donation mais si tu décoches la seule case cochée et que tu cliques sur finish, l'application est bien opérationnelle et gratuite !!!

EDIT : J'ai cliqué sur le lien "EXE" de la version Win64 OpenSSL v3.0.0 et je n'ai pas eu de redirection vers Paypal, bizarre ton affaire ???

Cordialement

oracle7😉

Modifié le 19 octobre 2021 par oracle7

[Vaad]

Avant de penser à ceinture et bretelles ça serait déjà pas mal que la ceinture fonctionne 🤣 je n'arrive toujours pas à faire marcher OpenVPN.

@oracle7 je ne sais pas si tu as vu mon message un peu plus haut mais les test ping et ssh que tu m'as conseillé m'ont bien renvoyé mon ip publique par contre pour le test via internet ça fonctionne parce j’ai renseigné le domaine personnalisé dans portail de connexion et que j’ai redirigé le port 443 dans les règles NAT autorisé dans le pare-feu du syno ce qui ressemble à un pseudo reverse proxy quand je lis ton message précédent. Je ne sais pas si c'est de ça dont tu parlais avec le test extérieur dans un navigateur web

[oracle7]

@Vaad

Bonjour,

Oui j'ai vu ton messages un peu plus haut,  c'était juste po tester qu'avec ton nom d'hôte ddns.synology.me que tu atteingnais bien ton NAS (URL = http://ddns.synology.me:5000). Le nom d'hôte est normalement défini dans Accés externe / Avancé (au moins pour DSM6, pour DSM7 il a peut-être migré dans un autre écran).

Le domaine personnalisé dont tu parles c'est autre chose (même s'il peut être identique à ton nom d'hôte) qui est effectivement utilisé dans le Reverse Proxy.

Sinon, qu'est-ce qui ne marche pas avec OpenVPN ? Tu as des messages d'erreurs ? Ta connexion ne s'établit pas ?

Cordialement

oracle7😉

Modifié le 19 octobre 2021 par oracle7

[Jeff777]

Il y a 2 heures, oracle7 a dit :

l'application est bien opérationnelle et gratuite !!!

Elle l'est peut-être si l'ancienne version est déjà installée. Tu penses bien que j'ai essayé avec la case décochée ...il ne se passe rien mais peut-être que cela vient de mon windows. Je regarderai demain.

et si je laisse la case cochée :

Merci

[Jeff777]

Edit: Non cela ne vient pas de mon Windows. En relisant ce qui est écrit :

The application may be launched by selecting the installed shortcuts

Click "Finish" to exit Setup

il est évident que si tu ne sélectionnes rien tu quittes l'installation 

Re-edit : et pourtant le programme a été installé silencieusement. 😆

 

Modifié le 19 octobre 2021 par Jeff777

[CyberFr]

Bonjour @oracle7,

Il y a 13 heures, oracle7 a dit :

Je ne saurais te répondre mais comme @Jeff777 je n'ai pas cela dans mon fichier .opvn et je m'en passe très bien.

Mais tu disposes du certificat "-----BEGIN OpenVPN Static key V1-----" délivré par ton routeur et je n'ai pas de routeur. @Jeff777 a pu transférer le certificat sous Android. J'ai ajouté les entrées <cert> et <key> uniquement dans le fichier de config du smartphone parce que je n'ai pas pu faire reconnaître le certificat à OpenVPN Connect. Par contre sur le Mac, aucun problème.

Je pense que mon problème vient du trousseau d'accès iCloud qui n'est pas synchronisé entre le Mac et l'iPhone. Mais Apple me gonfle car quand je veux mettre à jour mes identifiants iCloud, on me demande le mot de passe de session du Mac (Quel rapport avec la choucroute ?) et le code de dévérouillage de l'iPhone !!! De plus je n'ai pas modifié mes identifiants iCloud alors pourquoi me demande-t-on de les mettre à jour ?

[Jeff777]

Salut @CyberFr

Si ça peut te consoler depuis que je me suis aperçu qu'OpenSSL avait finalement été installé sur mon PC j'ai voulu recréer un nouveau fichier .p12 avec un nouveau mot de passe. Je l'obtiens bien mais impossible de le prendre en compte sur la tablette. Pour refaire un profil après avoir supprimé le précédent je sélectionne le nouveau px12 puis donne le nouveau mot de passe et il est refusé ! Chacun sa croix 😒

Modifié le 20 octobre 2021 par Jeff777