Aller au contenu

DSM 7 configuration VPN Server


TAAD

Messages recommandés

@Jeff777

Bonjour,

il y a 41 minutes, Jeff777 a dit :

mais je dois bien être le seul à l'utiliser

Je crains bien que OUI.

Cela dit, n'y a-t-il pas moyen de faire en sorte que les serveurs LE viennent directement dans ta zone DNS publique pour faire leurs contrôles de validité du domaine plutôt que d'aller toi par script recopier les fichiers _acme-challenge_ndd.tlt chez toi ? Ne serait-ce pas plus simple ? Ce n'est qu'une hypothèse ...

Maintenant, ton script de ce que j'en ai vu, ne fait qu'automatiser ce que je fais moi manuellement mais en utilsant la procédure manuelle acme au lieu du mode DNS d'acme. J'ai bon ? Et du coup, tes problèmes ne viendraient-ils pas de là ? Je me demande mais je peux me tromper.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

il y a 33 minutes, oracle7 a dit :

Cela dit, n'y a-t-il pas moyen de faire en sorte que les serveurs LE viennent directement dans ta zone DNS publique pour faire leurs contrôles de validité

Et bien c'est bien ce qui se passe. Le script ne fait qu'utiliser la méthode manuelle (où tu dois enregistrer manuellement dans ta zone les TXT générés) en  automatisant cette procédure. 

Je ne crois pas que le soucis de configuration VPN avec le certificat .pfx vienne de la façon dont le certificat est généré. C'est un pb de mot de passe mais je n'arrive pas à le résoudre.

A ce propos, y a t'il des limitations dans le mot de passe a utiliser pour générer le .pxf et à quoi sert ce mot de passe s'il n'est pas utilisé par la suite ??

Le mot de passe demandé par Android pour extraire les certifificat doit-il être le même que ce dernier ? Tu me parle du mot de passe de l'utilisateur qui a généré le .pfx sous windows, pour moi il est différent !

Lien vers le commentaire
Partager sur d’autres sites

@Jeff777

Bonjour,

il y a 29 minutes, Jeff777 a dit :

A ce propos, y a t'il des limitations dans le mot de passe a utiliser pour générer le .pxf et à quoi sert ce mot de passe s'il n'est pas utilisé par la suite ??

Pour moi il n'y a pas de limitations sauf à respecter pour les caractères des lettres minuscules, majuscules et chiffres uniquement, la longueur n'a pas d'importance mais plus il est long mieux c'est pour la sécurité. Dans tous les cas il faut bannir les caractères dit spéciaux.

Ce MdP de ce que j'en ai compris, mais je peux me tromper, sert à ouvrir la clé privée associée au certificat pour vérifier la concordance avec la clé publique ou quelque chose comme cela.

il y a 33 minutes, Jeff777 a dit :

Le mot de passe demandé par Android pour extraire les certifificat doit-il être le même que ce dernier ?

Oui.

il y a 34 minutes, Jeff777 a dit :

Tu me parle du mot de passe de l'utilisateur qui a généré le .pfx sous windows, pour moi il est différent !

Bah voilà alors le problème. Utilises le même et je penses que cela ira tout de suite mieux.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

il y a 55 minutes, oracle7 a dit :

Utilises le même et je penses que cela ira tout de suite mieux.

Et bien non! Je suis désolé de te voir passer autant de temps sur mon pb !

Je résume comment je m'y suis pris si jamais tu voyais une grosse bêtise:

Sur le PC utilisation de openssl (Win64OpenSSL_Light-3_0_0.exe) en mode administrateur.

Je vais dans le dossier qui contient les certificats .pem

j'utilise la commande :

openssl pkcs12 -export -out mondomaine.pfx -inkey privkey.pem -in fullchain.pem -certfile cert

Mot de passe demandé : je mets le MdP de la session actuelle de mon PC dont l'utilisateur fait partie du groupe admin. Le mot de passe de 9 caractères n'utilise que des lettres minuscules et chiffres.

Le certificat mondomaine.pfx est bien généré dans le même dossier. Je le transfère sur ma tablette Android.

Sur la tablette je lance Openvpn connect qui est configuré avec un profil qui marche très bien avec "continue" mais cette fois-ci j'essaie d'installer le certificat .pfx créé.

Un mot de passe est demandé, je remet le même:  Comme d'hab, Mot de passe erroné.

Si je recrée le profil, il m'est demandé un utilisateur et mot de passe. J'utilise ceux du nas qui héberge VPN serveur. Le nom d'utilisateur est identique mais pas le mot de passe. Il ne faut pas qu'il soit aussi le même.......au point où on en est 🙄

 

 

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

@Jeff777

Bonjour,

  1. il y a une heure, Jeff777 a dit :

    openssl pkcs12 -export -out mondomaine.pfx -inkey privkey.pem -in fullchain.pem -certfile cert

    là déjà je crois que la syntaxe n'est pas bonne, cela devrait être :
     

    openssl pkcs12 -export -out certificat.p12 -inkey privkey.pem -in cert.pem -certfile chain.pem
  2.  
    il y a une heure, Jeff777 a dit :

    Mot de passe demandé : je mets le MdP de la session actuelle de mon PC

    là, moi je mets le MdP de l'utilisateur du NAS qui a créer le certificat et qui est aussi mon utilisateur courant du NAS.
  3. il y a une heure, Jeff777 a dit :

    Sur la tablette je lance Openvpn connect qui est configuré avec un profil qui marche très bien avec "continue" mais cette fois-ci j'essaie d'installer le certificat .pfx créé.

    Un mot de passe est demandé, je remet le même:

    Dans ce profil OpenVPN  Connect, pour le mot de passe moi je mets le même qu'au point 2.

  4. il y a une heure, Jeff777 a dit :

    Si je recrée le profil, il m'est demandé un utilisateur et mot de passe. J'utilise ceux du nas qui héberge VPN serveur. Le nom d'utilisateur est identique mais pas le mot de passe.

    Là aussi, j'utilise l'utilisateur et son MdP qui a créer le certificat sur le NAS.

En clair, tout au long de la chaîne, j'utilise le même Id d'utilisateur et le même MdP associé. Je ne suis pas sûr que tes changement de MdP même si tu reprends le même Id d'utilisateur, soit une bonne chose et donc que ce soit la source de ton problème. Pourquoi n'harmonises-tu pas  ? Maintenant ce n'est que mon avis ...

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

 

il y a 28 minutes, oracle7 a dit :

là déjà je crois que la syntaxe n'est pas bonne, cela devrait être :

En tout cas ça m'a fait un certificat. Je vais essayer ta méthode

il y a 28 minutes, oracle7 a dit :

là, moi je mets le MdP de l'utilisateur du NAS

Et là j'ai des caractères spéciaux ! va falloir que je change tout!!!!

Note que tu m'avais dit plus haut que c'était correct d'utiliser le mot de passe de l'utilisateur Windows qui générait le .pfx sauf que pour toi c'est le même mot de passe que l'utilisateur du nas qui a généré le certificat. 🤣

il y a 28 minutes, oracle7 a dit :

Dans ce profil OpenVPN  Connect, pour le mot de passe moi je mets le même qu'au point 2.

comme tous tes mots de passe sont les mêmes je ne sais pas lequel je doit mettre ...à moins de faire comme toi ! Mais là c'est logique de se connecter à VPN serveur avec un utilisateur nas et son MdP.

il y a 28 minutes, oracle7 a dit :

Je ne suis pas sûr que tes changement de MdP même si tu reprends le même Id d'utilisateur, soit une bonne chose

ça ne me semble pas anormal d'avoir un mot de passe différent sur mon nas, ma tablette et mon PC même si j'utilise le même nom d'utilisateur. Non ?

 

Bon, si j'ai bien compris, comme il faut utiliser partout le mot de passe de l'utilisateur nas qui a créer le certificat et qu'il ne faut pas de caractères spéciaux, il ne me reste plus qu'à changer ce mot de passe et récréer le certificat du nas avant de créer mon .pfx. Gros boulot...je crois que je vais rester comme cela.

Merci pour tous tes efforts @oracle7

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, Jeff777 a dit :

Mot de passe demandé : je mets le MdP de la session actuelle de mon PC dont l'utilisateur fait partie du groupe admin. Le mot de passe de 9 caractères n'utilise que des lettres minuscules et chiffres.

C'est justement là qu'est le problème comme l'a déjà souligné @oracle7. Et d'ailleurs dans les manips que j'ai décrites pour créer le certificat sur Mac (cf ci-dessus), c'est la même logique, j'utilise un mot de passe cohérent avec celui qui a permis de créer/renouveler le certificat Let's Encrypt. Parce que le NAS n'a pas accès aux comptes créés sous Windows pour vérifier si le mot de passe que tu indiques est valide.

il y a 4 minutes, Jeff777 a dit :

Bon, si j'ai bien compris, comme il faut utiliser partout le mot de passe de l'utilisateur nas qui a créer le certificat et qu'il ne faut pas de caractères spéciaux, il ne me reste plus qu'à changer ce mot de passe et récréer le certificat du nas avant de créer mon .pfx. Gros boulot...je crois que je vais rester comme cela.

Mais non, c'est la dernière ligne droite, tu ne vas pas flancher si près du but 🙃

Lien vers le commentaire
Partager sur d’autres sites

il y a 6 minutes, CyberFr a dit :

Mais non, c'est la dernière ligne droite, tu ne vas pas flancher si près du but

Tu me connais bien ...😉

il y a 8 minutes, CyberFr a dit :

Et d'ailleurs dans les manips que j'ai décrites pour créer le certificat sur Mac

J'ai vu Mac alors je n'ai même pas regardé ....mais j'aurai peut-être dû !

Lien vers le commentaire
Partager sur d’autres sites

@oracle7 @CyberFrJe viens de faire un nouvel essai en employant la commande que vous donnez et en utilisant partout le mot de passe de l'utilisateur NAS qui a créer le certificat LE. Même résultat ! Mot de passe erroné. Je vais m'octroyer une pause ...

Lien vers le commentaire
Partager sur d’autres sites

@Jeff777

Bonjour,

A mon humble avis ne cherches pas plus loin !

Les caractères spéciaux sont à bannir ! Cà passe peut-être pour des systèmes tels que Windows, (Mac je sais pas) mais en tout cas pour un système basé sur UNIX/Linux comme DSM, c'est sûr que ce n'est pas bon. UNIX/Linux, sont aussi très sensibles à la casse notamment dans les Ids, le noms de fichiers, les commandes shell, etc ...

Aller, encore un p'tit effort à tête reposée et cela ira bien ... Le jeu en vaut la chandelle, non ?

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 5 minutes, oracle7 a dit :

Mac je sais pas) mais en tout cas pour un système basé sur UNIX/Linux comme DSM, c'est sûr que ce n'est pas bon.

jusqu'à présent cela ne m'avait pas posé de problème. Même le déploiement du certificat sur les deux nas lors du renouvellement se passe bien malgré les deux mots de passe avec caractères spéciaux. J'hésite et je me demande si le jeu en vaut la chandelle car je ne vois pas trop le gain par rapport à utiliser Openvpn avec  "continue" qui fonctionne très bien.

Lien vers le commentaire
Partager sur d’autres sites

il y a 4 minutes, CyberFr a dit :

as-tu pensé à exporter à nouveau la configuration de VPN Server à la suite au changement du mot de passe de DSM

Pour l'instant j'hésite. Je n'ai pas changé mon mot de passe. Mais oui ce serait à faire...tu fais bien de me le rappeler 😉

Lien vers le commentaire
Partager sur d’autres sites

@oracle7 @CyberFr

Hello world !

Voilà ce que dit Synology dans son aide :

Appuyez sur CONTINUER dans le message contextuel pour poursuivre la connexion. Vous n'avez pas besoin d'importer manuellement un certificat à cette étape car le certificat client a été inclus dans le fichier de configuration.

Alors pourquoi se casser la tête pour importer ce fichu fichier .pfx??

Et pour retirer le message d'erreur il faut mettre dans la config:

setenv CLIENT_CERT 0

j'ai aussi vu

client-cert-not-required

Edit j'ai testé les deux options, les 2 fonctionnent.

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.