TAAD Posté(e) le 14 novembre 2021 Posté(e) le 14 novembre 2021 Bonjour, J'utilise un Nas Synology et un MacBook (Neuf, je viens de changer d'ordi). Sur le Macbook, j'accède au NAS via le réseau dans le Finder. Je souhaite pouvoir continuer à y accéder à l'extérieur aussi j'ai installé VPN Server et j'ai configuré OpenVPN. Quand je me connecte en 4G pour tester le VPN : J'accède bien au NAS via l'IP local du NAS L'adresse IP est bien mon adresse ipV6 via mon-ip.com Impossible de trouver mon lecteur réseau impossible d'imprimer sur le réseau Mon fichier de configuration est le suivant : " dev tun tls-client remote XXX.synology.me 7997 # The "float" tells OpenVPN to accept authenticated packets from any address, # not only the address which was specified in the --remote option. # This is useful when you are connecting to a peer which holds a dynamic address # such as a dial-in user or DHCP client. # (Please refer to the manual of OpenVPN for more information.) #float # If redirect-gateway is enabled, the client will redirect it's # default network gateway through the VPN. # It means the VPN connection will firstly connect to the VPN Server # and then to the internet. # (Please refer to the manual of OpenVPN for more information.) redirect-gateway def1 # dhcp-option DNS: To set primary domain name server address. # Repeat this option to set secondary DNS server addresses. #dhcp-option DNS DNS_IP_ADDRESS pull # If you want to connect by Server's IPv6 address, you should use # "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode proto udp script-security 2 reneg-sec 0 cipher AES-256-CBC auth SHA512 auth-user-pass <ca> -----BEGIN CERTIFICATE----- "J'ai supprimer cette partie" -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- "J'ai supprimer cette partie" -----END CERTIFICATE----- </ca> " J'ai suivi ces 2 tutos : https://ilyaptech.fr/creer-une-connexion-vpn-sur-votre-nas-synology-sous-dsm-7/ https://www.maison-et-domotique.com/128725-comment-configurer-un-vpn-sur-un-nas-synology/ Et lu tous ce que j'ai pu trouver sur le forum.. Je ping bien mon nas, j'ai ouvert les ports sur le routeur et le firewall... Pouvez vous m'aider et me dire ce que je n'ai pas fait correctement ? D'avance merci pour votre aide. 0 Citer
oracle7 Posté(e) le 14 novembre 2021 Posté(e) le 14 novembre 2021 @TAAD Bonjour, Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ... Pour commencer, quelle fausse mauvaise idée de changer le port standard d'OpenVPN, il est prévu pour fonctionner en UDP sur le port 1194. Inutile de le changer, tu ne seras pas plus sécurisé pour autant. Vérifies donc que le port 1194 est bien ouvert/autorisé dans le pare-feu du NAS. Essaies d'ajouter cette ligne à ton fichier de configuration .ovpn (après " redirect-gateway def1 "), c'est une spécificité pour le monde iOS : redirect-gateway ipv6 As-tu lu ce TUTO : VPN Server ? Dans la configuration du protocole OpenVPN, as-tu bien cochée la case "Autoriser aux clients l'accés au serveur LAN" ainsi que celle pour "Activer la compression sur la liaison VPN" ? Cordialement oracle7😉 0 Citer
TAAD Posté(e) le 14 novembre 2021 Auteur Posté(e) le 14 novembre 2021 @oracle7 Merci pour ton retour. Citation Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ... Il me semble l'avoir fait il y a longtemps quand je m'étais inscrit sur ce forum 😉 Citation 2. Pour commencer, quelle fausse mauvaise idée de changer le port standard d'OpenVPN, il est prévu pour fonctionner en UDP sur le port 1194. Inutile de le changer, tu ne seras pas plus sécurisé pour autant. Vérifies donc que le port 1194 est bien ouvert/autorisé dans le pare-feu du NAS. OK je bascule tout sur 1194 Citation 4. As-tu lu ce TUTO : VPN Server ? Non, j'y vais de ce pas ! Citation 5. Dans la configuration du protocole OpenVPN, as-tu bien cochée la case "Autoriser aux clients l'accés au serveur LAN" ainsi que celle pour "Activer la compression sur la liaison VPN" ? Oui pour le 1er et Non pour le 2ème => Je change ce paramètre. Je vais aller suivre le tutoriel et je te fais un retour. 0 Citer
TAAD Posté(e) le 14 novembre 2021 Auteur Posté(e) le 14 novembre 2021 J'ai une bonne et une mauvaise nouvelle : La bonne nouvelle c'est que j'ai suivi le tutoriel puis je me suis aperçu que le problème était que je devais mapper manuellement le lecteur réseau à partir de l'adresse IP La mauvaise c'est que maintenant j'ai plein de messages d'erreurs du VPN ! Les messages d'erreurs : Avant de me connecter : "Ce VPN fonctionne maintenant, mais pourrait cesser de fonctionner dans une prochaine version de Tunnelblick. Le fichier de configuration OpenVPN pour 'VPNConfig' devrait être mise à jour afin d'être utilisable avec des versions modernes de OpenVPN. Il contient les options OpenVPN suivantes: • 'comp-lzo' a été déprécié dans OpenVPN 2.4 et a été supprimé ou pourrait l'être dans une version ultérieure Tunnelblick utilisera OpenVPN 2.5.3 - OpenSSL v1.1.1l pour connecter cette configuration. Cependant, vous ne pourrez plus vous connecter à ce VPN avec les futures versions de Tunnelblick qui ne contiendront pas de version d'OpenVPN acceptant ces options." Après la connection : "2021-11-14 22:15:10.883290 *Tunnelblick: Warning: DNS server address 172.20.X.X is not a public IP address and is not being routed through the VPN." "2021-11-14 22:15:10.990018 *Tunnelblick: Warning: DNS server address fe80::749e:afff:fe82:xxxxxxx is not a public DNS server known to Tunnelblick and is not being routed through the VPN" Mon nouveau fichier de configuration : " dev tun tls-client remote 82.XX.XX.XX 1194 # The "float" tells OpenVPN to accept authenticated packets from any address, # not only the address which was specified in the --remote option. # This is useful when you are connecting to a peer which holds a dynamic address # such as a dial-in user or DHCP client. # (Please refer to the manual of OpenVPN for more information.) #float # If redirect-gateway is enabled, the client will redirect it's # default network gateway through the VPN. # It means the VPN connection will firstly connect to the VPN Server # and then to the internet. # (Please refer to the manual of OpenVPN for more information.) redirect-gateway def1 redirect-gateway ipv6 # dhcp-option DNS: To set primary domain name server address. # Repeat this option to set secondary DNS server addresses. #dhcp-option DNS DNS_IP_ADDRESS pull # If you want to connect by Server's IPv6 address, you should use # "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode proto udp script-security 2 reneg-sec 0 cipher AES-256-CBC auth SHA512 auth-user-pass comp-lzo <ca> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </ca>" @oracle7 Est ce que ces erreurs sont graves ? Peut on y remédier ? 0 Citer
oracle7 Posté(e) le 15 novembre 2021 Posté(e) le 15 novembre 2021 @TAAD Bonjour, Si j'étais toi je ne m'embêterai pas avec "Tunnelblick", utilises tout simplement le client OpenVPN officiel dans sa version Mac-OS disponible ici. Tu exportes ton fichier de configuration OpenVPN depuis le NAS et tu le recharges dans ton client. C'est pas plus compliqué et adieu les messages d'erreurs liés à la version du serveur OpenVPN et de Tunnelblick. Maintenant c'est toi qui voit ... Cordialement oracle7😉 0 Citer
CyberFr Posté(e) le 16 novembre 2021 Posté(e) le 16 novembre 2021 Il y a 18 heures, oracle7 a dit : Si j'étais toi je ne m'embêterai pas avec "Tunnelblick", utilises tout simplement le client OpenVPN officiel dans sa version Mac-OS disponible ici. Je suis tout à fait d'accord. Le site d'OpenVPN renvoie directement sur celui de Tunnelblick lorsqu'on indique que l'on dispose d'un Mac. J'ai essayé de configurer les deux (une version OpenVPN et une version Tunnelblick) et j'ai rencontré tellement d'erreurs inexplicables dans le version Tunnelblick que j'ai laissé tomber ce dernier. 0 Citer
TAAD Posté(e) le 16 novembre 2021 Auteur Posté(e) le 16 novembre 2021 Merci pour vos retours. Je ne savais pas qu'il y avait une version OpenVPN pour Mac, j'ai switché et plus d'erreur ! J'ai quelques questions complémentaires : Sur OpenVpn dans la configuration j'ai le message suivant "Missing External Certificate". A quoi cela sert il ? Renforcer la sécurité ? Comment rajouter ce certificat ? Le VPN fonctionne actuellement en IPV4, est ce que ca a un intérêt de basculer sur IPV6? Comment faire car dans la config du VPN Server si je coche "Activer le mode server IPV6" il me demande un préfixe et je ne sais pas quoi mettre? A quoi servent les options "Vérifier la clé d'authentification TLS " & "Vérifier le CN du serveur" ? Faut il les cocher? Encore une fois un grand merci pour votre aide 0 Citer
oracle7 Posté(e) le 16 novembre 2021 Posté(e) le 16 novembre 2021 @TAAD Bonjour, Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait). Il y a 3 heures, TAAD a dit : j'ai le message suivant "Missing External Certificate" A la vue de ton dernier fichier de configuration .ovpn, tu as indiquée une @IP (remote ....) qui doit être ton @IP externe (celle de ta box) et donc pas de nom de domaine. J'espère que cette @IP est fixe et pas dynamique sinon tu auras des problèmes, mais bon ... Donc comme tu ne sembles pas utiliser de nom de domaine, j'en conclue, mais je peux me tromper, que tu n'as probablement pas fait de certificat pour un nom de domaine. Ceci expliquerait alors ton message d'erreur. A voir ... Du coup dans l'esprit, je t'invite à lire et suivre ce TUTO : Pourquoi et comment utiliser un nom de domaine et cela répondra à tes questions (Q1). Je suis personnellement plus réservé sur l'intérêt de l'IPv6 avec le VPN, car cela sous entend que tout par ailleurs soit aussi configuré en IPv6 (box/routeur, périphériques, etc ...) ce qui est rarement le cas chez un particulier. Ceci étant, le préfixe IPv6, tu le trouves au niveau de ta box, normalement. Q3 : ????? quelle outil de configuration OpenVPN utilises-tu, car je n'ai pas ces cases à cocher dans la configuration OpenVPN sous Synology VPN Server ? Cordialement oracle7😉 0 Citer
TAAD Posté(e) le 16 novembre 2021 Auteur Posté(e) le 16 novembre 2021 @oracle7 Citation 2. A la vue de ton dernier fichier de configuration .ovpn, tu as indiquée une @IP (remote ....) qui doit être ton @IP externe (celle de ta box) et donc pas de nom de domaine. J'espère que cette @IP est fixe et pas dynamique sinon tu auras des problèmes, mais bon ... Donc comme tu ne sembles pas utiliser de nom de domaine, j'en conclue, mais je peux me tromper, que tu n'as probablement pas fait de certificat pour un nom de domaine. Ceci expliquerait alors ton message d'erreur. A voir ... Du coup dans l'esprit, je t'invite à lire et suivre ce TUTO : Pourquoi et comment utiliser un nom de domaine et cela répondra à tes questions (Q1). J'ai un nom de domaine en Synology.me Dans ma config précédente j'avais mis ce nom domaine plutôt que mon @IP (fixe). Dois je utiliser le même certificat ? Comment puis je le récupérer ? Je vais aller voir le tuto les réponses s'y trouve peut être 😉 Citation 4. quelle outil de configuration OpenVPN utilises-tu, car je n'ai pas ces cases à cocher dans la configuration OpenVPN sous Synology VPN Server ? DSM 7.0.1-42218 et VPN Server 1.4.4-2855 0 Citer
TAAD Posté(e) le 16 novembre 2021 Auteur Posté(e) le 16 novembre 2021 il y a 19 minutes, TAAD a dit : @oracle7 J'ai un nom de domaine en Synology.me Dans ma config précédente j'avais mis ce nom domaine plutôt que mon @IP (fixe). Dois je utiliser le même certificat ? Comment puis je le récupérer ? @oracle7 J'ai basculé sur xxx.synology.me et j'ai exporté les certificats par contre je n'arrive pas à les charger dans OpenVPN... 0 Citer
oracle7 Posté(e) le 16 novembre 2021 Posté(e) le 16 novembre 2021 @TAAD Bonjour, Quand tu exportes ton fichier de configuration .opvn, celui-ci contient le certificat qui est marqué par défaut dans DSM. Il est entre les balises <ca> et </ca> du fichier .ovpn. Donc il n'y a pas besoin de le recharger dans OpenVPN. Où as-tu vu qu'il fallait charger le certificat dans OpenVPN ? Cordialement oracle7😉 0 Citer
CyberFr Posté(e) le 16 novembre 2021 Posté(e) le 16 novembre 2021 @TAAD, sauf erreur de ma part tu n'es toujours pas passé par la case présentation ce qui est important si l'on veut obtenir des réponses adaptées à son environnement et à son niveau de connaissances. Dans OpenVPN sur Mac, il y a deux certificats à intégrer, celui délimité par les balises <ca> qui figure dans le fichier exporté par VPN Server comme l'a indiqué @oracle7. Mais aussi un certificat qui est celui de Let's Encrypt transformé en un certificat .p12. Ce certificat doit se trouver dans le trousseau d'accès du Mac, sinon il faut le créer. C'est parce qu'il n'est pas dans ta config OpenVPN que tu as le message "Missing External Certificate". Comme c'est oracle7 qui m'a décrit la méthode, je fait, un synthèse adaptée au Mac de la solution qu'il m'a donnée : 🙂 Il faut rechercher le dossier de sauvegarde du certificat Let's Encrypt de DSM, le dupliquer sur le bureau, lancer le terminal et taper la commande cd sur ce dossier afin d'en faire le dossier par défaut. Taper la commande : openssl pkcs12 -export -out certificat.p12 -inkey privkey.pem -in cert.pem -certfile chain.pem On demande un mot de passe qui doit être celui du compte qui a créé ou renouvelé le certificat Let's Encrypt, il sera demandé lors de l'import du certificat dans OpenVPN. "certificat.p12" est alors créé. Il faut double-clicker dessus afin de l'intégrer au trousseau d'accès. Lancer OpenVPN et choisir "Certificates & Tokens" dans la barre latérale puis importer le certificat p12 qui doit apparaître à ce niveau. Il faut confirmer/valider l'ajout du certificat sinon OpenVPN ignore ce qui a été fait et il faudra recommencer l'import ! 1 Citer
TAAD Posté(e) le 16 novembre 2021 Auteur Posté(e) le 16 novembre 2021 @oracle7 Au moment de la connexion, j'ai le message suivant: "Missing external certificate Please choose the external certificate for this profile or continue if your profiles allows to connect without client certificate." Je peux choisir "select certificate" ou "continue" Si je choisi "select certificate" je peux choisir assign dans la rubrique "certificate and key" mais après je ne peux rien importer. Du coup, je choisi continue et ca se connecte 0 Citer
oracle7 Posté(e) le 16 novembre 2021 Posté(e) le 16 novembre 2021 @CyberFr Bonjour, Bien vu 👍 j'avais oublié qu'il était sur Mac et donc cette spécificité. @TAAD Bonjour, Si ton client OpenVPN est sur Android, il faut faire comme sur MAC, importer le certificat (converti en .p12 tel que te l'a décrit @CyberFr) et sélectionner le certificat lors de ta première connexion. Après tout roule ... Cordialement oracle7😉 0 Citer
Jeff777 Posté(e) le 16 novembre 2021 Posté(e) le 16 novembre 2021 (modifié) il y a 9 minutes, oracle7 a dit : et sélectionner le certificat lors de ta première connexion. Après tout roule ... Ouaih ça fait deux mois que j'essaie et impossible d'appliquer le bon mot de passe 😕 Edit :Pas sur Mac pour moi mais sur Android Modifié le 16 novembre 2021 par Jeff777 0 Citer
oracle7 Posté(e) le 16 novembre 2021 Posté(e) le 16 novembre 2021 (modifié) @Jeff777 Bonjour, Sauf erreur de ma part, c'est le MdP de l'utilisateur avec droits d'admin qui a créé le certificat qu'il faut rentrer. Enfin pour moi c'est ce qui marche. EDIT : Sur Android. Cordialement oracle7😉 Modifié le 16 novembre 2021 par oracle7 0 Citer
CyberFr Posté(e) le 16 novembre 2021 Posté(e) le 16 novembre 2021 il y a 2 minutes, Jeff777 a dit : Ouaih ça fait deux mois que j'essaie et impossible d'appliquer le bon mot de passe Je ne suis pas le seul à être chat noir 🙂🙂🙂 0 Citer
Jeff777 Posté(e) le 16 novembre 2021 Posté(e) le 16 novembre 2021 il y a 8 minutes, oracle7 a dit : c'est le MdP de l'utilisateur avec droits d'admin qui a créé le certificat Je sais mais cela ne marche pas 😒. Le pire c'est que j'avais réussi il y a plusieurs mois de cela. 0 Citer
oracle7 Posté(e) le 16 novembre 2021 Posté(e) le 16 novembre 2021 @Jeff777 Bonjour, il y a une heure, Jeff777 a dit : Le pire c'est que j'avais réussi il y a plusieurs mois de cela. Du coup, tu n'aurais pas par hasard modifié ta façon de faire, un détail tout c... Cordialement oracle7😉 0 Citer
Jeff777 Posté(e) le 17 novembre 2021 Posté(e) le 17 novembre 2021 Il y a 14 heures, oracle7 a dit : Sauf erreur de ma part, c'est le MdP de l'utilisateur avec droits d'admin qui a créé le certificat qu'il faut rentrer. Enfin pour moi c'est ce qui marche. EDIT : Sur Android. Bonjour. Pour être sûr tu parles de l'utilisateur Windows qui a créé le .pfx avec openssl sur PC Windows? 0 Citer
oracle7 Posté(e) le 17 novembre 2021 Posté(e) le 17 novembre 2021 @Jeff777 Bonjour, Oui, sachant que dans mon cas l'utilisateur Windows qui a créé le .pfx avec openssl sur PC Windows, a le même ID/MdP que mon utilisateur (avec droits d'admin) NAS qui a créer le certificat LE. Cela dit, voici une autre méthode pour créer le .pfx mais qui nécessite que le script acme.sh (voir mon TUTO) soit installé sur le NAS : Se connecter sous root en SSH au NAS (root a le même MdP que mon utilisateur avec droits d'admin) et taper les commandes suivantes : Nota : "/volume1/Certs" --> est mon répertoire de stockage des fichiers du certificat généré avec acme.sh $ ACME_HOME="/usr/local/share/acme.sh $ CERT_HOME="/volume1/Certs" $ cd $ACME_HOME $ ./acme.sh --toPkcs -d votre-domaine.tld Enter Export Password: Verifying - Enter Export Password: [Mon May 25 20:00:28 CEST 2020] Success, Pfx is exported to: /volume1/Certs/votre-domaine.tld/votre-domaine.tld.pfx « Password » est le mot de passe utilisé pour ouvrir la session SSH. En espérant que cela pourra t'aider. Cordialement oracle7😉 0 Citer
TAAD Posté(e) le 17 novembre 2021 Auteur Posté(e) le 17 novembre 2021 (modifié) Il y a 17 heures, CyberFr a dit : @TAAD, sauf erreur de ma part tu n'es toujours pas passé par la case présentation ce qui est important si l'on veut obtenir des réponses adaptées à son environnement et à son niveau de connaissances. C'est fait ! Au sujet de mon niveau de connaissance je me définirai comme un amateur éclairé 😉 Je ne suis pas développeur mais avec un peu d'aide je me débrouille... Citation Dans OpenVPN sur Mac, il y a deux certificats à intégrer, celui délimité par les balises <ca> qui figure dans le fichier exporté par VPN Server comme l'a indiqué @oracle7. Mais aussi un certificat qui est celui de Let's Encrypt transformé en un certificat .p12. Ce certificat doit se trouver dans le trousseau d'accès du Mac, sinon il faut le créer. C'est parce qu'il n'est pas dans ta config OpenVPN que tu as le message "Missing External Certificate". Comme c'est oracle7 qui m'a décrit la méthode, je fait, un synthèse adaptée au Mac de la solution qu'il m'a donnée : 🙂 Il faut rechercher le dossier de sauvegarde du certificat Let's Encrypt de DSM, le dupliquer sur le bureau, lancer le terminal et taper la commande cd sur ce dossier afin d'en faire le dossier par défaut. Taper la commande : openssl pkcs12 -export -out certificat.p12 -inkey privkey.pem -in cert.pem -certfile chain.pem On demande un mot de passe qui doit être celui du compte qui a créé ou renouvelé le certificat Let's Encrypt, il sera demandé lors de l'import du certificat dans OpenVPN. "certificat.p12" est alors créé. Il faut double-clicker dessus afin de l'intégrer au trousseau d'accès. Lancer OpenVPN et choisir "Certificates & Tokens" dans la barre latérale puis importer le certificat p12 qui doit apparaître à ce niveau. Il faut confirmer/valider l'ajout du certificat sinon OpenVPN ignore ce qui a été fait et il faudra recommencer l'import ! @oracle7 @CyberFr Merci pour votre aide je n'aurais pas trouvé sans vous. EDIT: Je vais essayer de faire cette manipulation, je vous tiens au courant. EDIT 2: J'ai suivi la procédure et tout fonctionne ! Encore Merci ! Modifié le 17 novembre 2021 par TAAD 0 Citer
Jeff777 Posté(e) le 17 novembre 2021 Posté(e) le 17 novembre 2021 il y a 52 minutes, oracle7 a dit : Cela dit, voici une autre méthode pour créer le .pfx mais qui nécessite que le script acme.sh (voir mon TUTO) soit installé sur le NAS pas plus de succès. Après ./acme.sh --toPkcs -d votre-domaine.tld rien ne m'est demandé et si je rentre un MdP il est écrit en clair.🙄 0 Citer
oracle7 Posté(e) le 17 novembre 2021 Posté(e) le 17 novembre 2021 @Jeff777 Bonjour, il y a 28 minutes, Jeff777 a dit : rien ne m'est demandé et si je rentre un MdP il est écrit en clair. ??? Je te crois volontiers mais c'est pas possible cà doit te demander un MdP. Je ne ne comprend pas 😟 Désolé, mais je crains que tu n'ais certainement autre chose de mal configuré ailleurs, mais quoi ? Comme cela je ne vois pas. Habituellement, tu génères comment ton certificat LE ? quelle méthode ? Cordialement oracle7😟 0 Citer
Jeff777 Posté(e) le 17 novembre 2021 Posté(e) le 17 novembre 2021 il y a 3 minutes, oracle7 a dit : quelle méthode ? Celle-ci (mais je dois bien être le seul à l'utiliser 🤣) : 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.