Accès au NAS distant via VPN

[dbouchy]

Bonjour,

Malgré le fait que j'ai parcouru de long en large le forum (merci aux participants), je m'en remet à vous.

J'ai 2 NAS Synology sur 2 sites distants.

Sur le site 1, le NAS est joignable à l'adresse 192.168.2.5. Le package VPN Server a été installé (j'ai suivi le tuto de @Fenrir) pour offrir une connexion OpenVPN.

 

J'ai ouvert les ports suivants sur la Livebox du site 1 :

 

Sur le site 2, Le NAS est joignable à l'adresse 192.168.1.5. J'ai créer une connexion réseau VPN qui se connecte bien sur le NAS du site 1

J'essaye de sauvegarder des données du NAS 2 sur le NAS 1 en utilisant HyperBackup ou SnapShot Repliquation mais sans succès.

Les connexion ne se font pas.

SnapShotReliquation :

 

 

HyperBackup :

 

Pouvez-vous m'aider dans ma configuration ? Pas besoin de préciser que je ne suis pas informaticien et que mes connaissances sont limitées 🙄

 

[oracle7]

@dbouchy

Bonjour,

Il y a 5 heures, dbouchy a dit :

J'ai 2 NAS Synology sur 2 sites distants

Donc chaque site a sa propre Box avec une @IP externe propre. C'est bien cela ?

Il y a 5 heures, dbouchy a dit :

Sur le site 2, Le NAS est joignable à l'adresse 192.168.1.5. J'ai créer une connexion réseau VPN qui se connecte bien sur le NAS du site 1

Il y a 5 heures, dbouchy a dit :

Sur le site 1, le NAS est joignable à l'adresse 192.168.2.5.

Dans l'hypothèse où tes deux sites sont bien séparés, tel que tu le décris, je ne vois pas comment tu pourrais établir une connexion VPN du site 2 vers le site 1 en utilisant son @IP 192.168.2.5. Cette @IP 192.168.2.5 est son @IP sur le réseau local ce n'est pas son @IP externe. Cette @IP locale n'est pas routable sur Internet. Il en est de même pour l'@IP 192.168.1.5.

Pour établir ta connexion VPN depuis ton client OpenVPN sur ton site 2, tu dois indiquer l'@IP externe du site 1 (donc celle de la box correspondante). Cela se fait dans l'instruction " remote @IP externe 1194 " que tu trouves au début de ton fichier de configuration OpenVPN "xxxxx.ovpn" installé sur le client OpenVPN du site 2. Ensuite une fois la connexion OpenVPN établie alors ton NAS du site 1 a pour @IP 10.0.0.1 et plus 192.168.2.5 et ton client du site 2 a pour @IP 10.0.0.6. Par contre comme tu as coché la case "Autoriser aux clients l'accès au serveur LAN" tous tes périphériques du site1 seront accessibles via leur @IP 192.168.2.x par le client du site2.

Par ailleurs, le port standard d'OpenVPN est le port 1194 et non pas le port 1193 (même si ce dernier est utilisable, ce n'est pas recommandé de le changer).

A noter aussi que si tu établis une connexion OpenVPN du site 2 vers le site 1, tu ne pourras pas établir EN MÊME TEMPS une connexion OpenVPN du site 1 vers le site 2. Ceci parce qu'un NAS ne peut être à la fois Client et Serveur pour un même protocole. Si tu veux une connexion VPN pour chaque sens en même temps il faut utiliser deux protocoles différents. Soit par ex OpenVPN du site 1  vers le site 2 et L2PT/IpSec du site 2 vers le site 1.

Cordialement

oracle7😉

 

Modifié le 21 février 2022 par oracle7

[dbouchy]

Merci pour ton retour @oracle7. Grace à toi (👏👏) j'ai pu trouver mon erreur : je ne renseignais pas la bonne adresse du NAS1 dans ma configuration d'HyperBackup du NAS2. C'était donc normal que cela ne fonctionnait pas !

A présente tout semble être rentrer dans l'ordre.

 

Il y a 4 heures, oracle7 a dit :

Par ailleurs, le port standard d'OpenVPN est le port 1194 et non pas le port 1193 (même si ce dernier est utilisable, ce n'est pas recommandé de le changer).

Au fait, pourquoi cela n'est-il pas recommandé ?

 

Maintenant que j'arrive à réaliser une sauvegarde du NAS2 sur le NAS1 en VPN, je vais chercher comment planifier la tâche suivante :

  - connexion au VPN

  - sauvegarde via HyperBackup

  - déconnexion du VPN

Si vous avez des idées, je vous remercie d'avance 😉

[oracle7]

@dbouchy

Bonjour,

il y a 6 minutes, dbouchy a dit :

Au fait, pourquoi cela n'est-il pas recommandé ?

Parce que tout simplement le port 1194 est le port réservé par l'IANA à OpenVPN d'une part et que les serveurs VPN qui utilisent le protocole OpenVPN n'en utilise pas d'autres. Désolé, je n'en sais pas plus.

 

il y a 11 minutes, dbouchy a dit :

je vais chercher comment planifier la tâche suivante :

A part en écrivant un shell script spécifique lancé par le planificateur de tâches de DSM, mais comme la durée de la sauvegarde peut être variable, programmer la déconnexion du VPN risque de ne pas être simple, mais ce n'est que mon avis ...

Par ailleurs, tu n'es pas sans savoir que durant la sauvegarde, les données peuvent-être cryptées (donc protégées) durant leur transfert, tout comme elles peuvent aussi l'être sur la cible réceptrice. Alors, faire un transfert crypté dans un tunnel VPN c'est pas un peu "ceinture et bretelles" ? Mais c'est toi qui voit ...

Cordialement

oracle7😉

[dbouchy]

il y a 5 minutes, oracle7 a dit :

Par ailleurs, tu n'es pas sans savoir que durant la sauvegarde, les données peuvent-être cryptées (donc protégées) durant leur transfert, tout comme elles peuvent aussi l'être sur la cible réceptrice. Alors, faire un transfert crypté dans un tunnel VPN c'est pas un peu "ceinture et bretelles" ? Mais c'est toi qui voit ...

Oui, je comprends mais je ne sais pas comment faire autrement pour protéger mes NAS1 et 2 sans serveur VPN puis pouvoir y accéder en sécurité à distance.

Mes installations doivent sans doute être optimisées mais je suis un peu limite.

[oracle7]

@dbouchy

Bonjour,

A mon humble avis, je crois qu'il faut distinguer les choses :

• Pour tes sauvegardes via HyperBackUp tu pars d'un site sécurisé pour aller sur un autre site sécurisé et c'est toi qui initie le transfert de données par une méthode sécurisée. Tu maîtrises tout.
• C'est à dissocier des besoins d'accès à tes NAS depuis l'extérieur où là évidemment il est plus que recommandé d'établir une connexion vers tes NAS au travers d'un VPN car sinon tu peux te faire espionner/pirater pendant que la connexion est établie et ce d'autant plus lorsque par ex tu utilises le Wifi d'un hôtel, d'un aéroport ou du MacDo du coin.
• Pour protéger aussi l'accès externe aux NAS, tu as la solution d'utiliser le Reverse Proxy avec un profil d'accès qui protège en plus chaque redirections. Toi seul connait l'URL de connexion d'une part (ce n'est pas simplement une @IP le scanne parmi des milliers), d'autre part, tu passes par un seul port (https 443) et le profil d'accès associé à la redirection filtre les @IP seules autorisées à se connecter. Et je ne te parle pas du pare-feu qui peut bloquer aussi géographiquement certaines @IP ou plages d'@IP. Donc, cela commence à faire beaucoup, non ?

Voilà c'est juste ma vision, mais je peux me tromper ...

Cordialement

oracle7😉