Accès distant avec OpenVPN

[PetitPhoenix]

Bonjour,

 

J'ai un soucis avec un accès distant à mon serveur VPN sur le routeur. J'ai suivi le tuto de @Fenrir (que je remercie par ailleurs énormément pour la qualité de ses contenus fournis et de ses réponses, une vraie référence que j'ai utilisé de nombreuses fois). Il y a eut quelques adaptations car les éléments dans SRM ne sont pas ceux de DSM.

Bon... En gros il marche en LAN avec une ouverture de connexion sur port 1194. Par contre, quand je souhaites me connecter en distant, il semblerait qu'il tente d'ouvrir une connexion via un port UDP entre 1195 et 5000 (j'ai ouvert progressivement certains ports pour voir si ça n'était pas le pare-feu qui bloquait, ce qui semble être le cas).

J'essaye d'ouvrir mes connexions avec mon téléphone Android en passant par la 4G pour avoir clairement une connexion externe sans risque de loopback.

 

Mon architecture est la suivante :

Livebox => Routeur (paramétré en DMZ dans la livebox) => LAN (avec différents serveurs/NAS comme par exemple les redirections http et https que l'on peut voir en port forwarding).

J'ai essayé de passer le niveau de pare-feu dans la live box à faible ou à paramétré en ouvrant le 1194 en UDP mais rien ne change.

Idem, j'avais tenté de supprimer les port forwarding mais que couic.

 

Voici la config VPN:

dev tun
tls-client
remote name.tld 1194
pull
script-security 2
reneg-sec 0
auth SHA512
cipher AES-256-CBC
auth-user-pass
key-direction 1
comp-lzo
explicit-exit-notify
<ca>
-----BEGIN CERTIFICATE-----
  CERTIFICAT
-----END CERTIFICATE-----
</ca>
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
  KEY
-----END OpenVPN Static key V1-----
</tls-auth>

 

[.Shad.]

Il y a 23 heures, PetitPhoenix a dit :

Par contre, quand je souhaites me connecter en distant, il semblerait qu'il tente d'ouvrir une connexion via un port UDP entre 1195 et 5000 (j'ai ouvert progressivement certains ports pour voir si ça n'était pas le pare-feu qui bloquait, ce qui semble être le cas).

Est-ce que tu confonds pas entre le port sortant utilisé par lé périphérique client et le port entrant exposé par le serveur ? Car le port sortant ne t'importe pas, sauf à des fins de contournement d'un blocage de port comme dans certaines entreprises, un périphérique fait comme il l'entend.

Est-ce que le réglage de la DMZ est bien effectif dans ta box ? Aucun problème pour accéder à tes autres périphériques pour lesquels tu as des règles de redirection présente dans ton routeur ?

Ce port 53 ouvert universellement m'interpelle, tu héberges ta propre zone DNS publique ? Si pas, cette règle n'a aucune raison d'exister.

Tu as bien une règle de refus universel à la fin de ta liste de règles ? sinon ton pare-feu ne sert à rien.

Modifié le 1 janvier 2023 par .Shad.

[PetitPhoenix]

Il y a 23 heures, .Shad. a dit :

Est-ce que tu confonds pas entre le port sortant utilisé par lé périphérique client et le port entrant exposé par le serveur ? Car le port sortant ne t'importe pas, sauf à des fins de contournement d'un blocage de port comme dans certaines entreprises, un périphérique fait comme il l'entend.

Alors oui, je peux me tromper 🙂 J'ai précisé le port sortant pour limiter des problématiques de sécurité (usage d'un 1194 pour faire autre chose). Je pense être certain d'avoir mes règles initiales fixant les "IP de destination" & "port sortant" sur "tous" sans succès mais je vais réessayer.

Ma compréhension est que mon tel en 4G ouvre une communication sur UDP 1194 (port entrant), ça passe par la box qui fait tout suivre à mon routeur. De là, le routeur qui écoute l'UDP 1194 devrait répondre et là s'il s'amuse à vouloir parler avec un autre port, c'est pas grave, il est open patate (mais il devrait rester en UDP 1194 si je ne m'abuse).

C'est vraiment étrange car j'ai l'impression que mes paramètres sont corrects et que le problème vient du fonctionnement du routeur qui ne marche pas comme il devrait le faire.

 

Il y a 23 heures, .Shad. a dit :

Est-ce que le réglage de la DMZ est bien effectif dans ta box ? Aucun problème pour accéder à tes autres périphériques pour lesquels tu as des règles de redirection présente dans ton routeur ?

Je suppose oui (je précise que la DMZ n'est effective que dans la box, pas sur le routeur). J'arrive bien à accéder à tous mes services depuis l'extérieur via les ports en redirection.

 

Il y a 23 heures, .Shad. a dit :

Ce port 53 ouvert universellement m'interpelle, tu héberges ta propre zone DNS publique ? Si pas, cette règle n'a aucune raison d'exister.

Ma zone DNS n'est effectivement pas publique, c'est un reliquat de test car j'ai un soucis à faire des essais avec mes zones DNS sur un ordi qui fait des résolutions systématiques par des serveurs extérieurs (je ne comprends pas pourquoi d'ailleurs). Je vais enlever cette règle car l'idée est bien que je me connecte en VPN pour profiter de la DNS interne.

 

Il y a 23 heures, .Shad. a dit :

Tu as bien une règle de refus universel à la fin de ta liste de règles ? sinon ton pare-feu ne sert à rien.

Oui, j'ai bien un catch-all refus à la fin, bonne remarque :)

[.Shad.]

On voit assez mal les entêtes des colonnes vu qu'ils sont réduits, et n'ayant pas de routeur Synology je ne peux pas comparer.
J'aurais bien aimé voir l'intitulé complet des colonnes.

Que donnent les logs côté client ? et côté serveur ? Au moment de la connexion.
Si pas consultable dans l'interface de VPN Serveur, c'est a priori dans le fichier /var/log/openvpn.log en SSH.

Modifié le 2 janvier 2023 par .Shad.

[PetitPhoenix]

Re @.Shad.,

 

Voici les infos

Il y a 8 heures, .Shad. a dit :

On voit assez mal les entêtes des colonnes vu qu'ils sont réduits, et n'ayant pas de routeur Synology je ne peux pas comparer.
J'aurais bien aimé voir l'intitulé complet des colonnes.

 

Il y a 8 heures, .Shad. a dit :

Que donnent les logs côté client ? et côté serveur ? Au moment de la connexion.
Si pas consultable dans l'interface de VPN Serveur, c'est a priori dans le fichier /var/log/openvpn.log en SSH.

Pas de log côté client. Dans le logiciel (VPN Plus Server > Journal), il n'y a que les connexions qui ont marché (pas la tentative de tout à l'heure).

et dans /var/log/, je n'ai pas du tout de openvpn.log (j'ai enlevé les .1, .2, etc.) :

-rw-r-----    1 root     root          4007 Jan  2 20:08 auth.log
-rw-r--r--    1 root     root         49938 Jan  1  2022 cnssdaemon.log
-rw-r-----    1 root     root         90169 Jan  2 11:41 dhcp-client.log
-rw-r--r--    1 root     root        142795 Dec 29 09:20 dmesg
-rw-r--r--    1 root     root         54356 Jan  1  2022 dmesg.1.xz
-rw-r--r--    1 root     root         30492 Jan  1  1970 dpkg.log
-rw-r--r--    1 root     root         20146 Jan  1  1970 dpkg_upgrade.log
-rw-r--r--    1 root     root           799 Jan  1  1970 fsck.sda6
-rw-r-----    1 root     root           784 Jan  1  2022 gcpd.log
drwxr-xr-x    2 root     root          4096 Jan  1  2022 httpd
-rw-r-----    1 root     root       9668897 Jan  2 20:04 kern.log
-rw-r--r--    1 root     root          7821 Jan  1  2022 log.nmbd
drwx------    2 root     root          4096 Jan  1 04:20 mesh
-rw-r-----    1 root     root       9944186 Jan  2 20:07 messages
-rw-r-----    1 root     root         83250 Jan  2 07:26 ngfw.log
-rw-r-----    1 root     root         49115 Jan  2 09:59 safeaccess.log
drwxr-xr-x    2 root     root          4096 Jan  7  2022 samba
-rw-r-----    1 root     root         30151 Jan  1  2022 scemd.log
-rw-r-----    1 root     root         18348 Jan  1  2022 synodevicecored.log
-rw-r-----    1 root     root         43118 Jan  2 12:10 synodeviced.log
-rw-r--r--    1 root     root          6945 Jan  1  1970 synoinfo.conf.bad
drwx------    2 root     root          4096 Jan  2 20:07 synolog
-rw-r-----    1 root     root       1289341 Jan  2 20:08 synonetd.log
-rw-r-----    1 root     root        112908 Dec 31 01:20 synonetd.log.1.xz
-rw-r--r--    1 root     root         11079 Dec 29 09:20 synopkg.log
-rw-------    1 root     root           334 Jan  1  2022 synorelayd.log
-rw-r-----    1 root     root        161939 Jan  2 20:07 synoservice.log
-rw-r--r--    1 root     root           834 Jan  1  1970 synoupdate.log
-rw-r-----    1 root     root          5201 Dec 29 10:20 synowifi.log
-rw-r--r--    1 root     root           459 Dec 29 09:20 synowolagentd.log
-rw-r-----    1 root     root         29919 Jan  1 04:20 syslog.log
-rw-r--r--    1 root     root           435 Jan  1  2022 ulogd-dhcp.log
drwxr-xr-x    2 root     root          4096 Jan  1 18:20 upstart
-rw-r-----    1 root     root       1891573 Jan  2 20:04 wifi.log

 

[.Shad.]

@PetitPhoenix

Hmm ok, donc SRM gère ses logs différemment de DSM, pourquoi faire simple en effet ?
Tu peux jeter un oeil à syslog et messages, c'est là que sont repris la plupart des logs.

Pour ta règle, je pense qu'elle déconne car tu attends que le port source soit 1194, hors ce n'est pas nécessairement le cas, même quasi aucune chance comme expliqué plus haut, un périphérique, sauf à router son trafic externe, utilisera le port qu'il désire pour initier une connexion distante. Si tu mets Tous à la place de 1194 tu devrais obtenir quelque chose. D'ailleurs un périphérique privilégie généralement les ports > 32000, car ce sont des ports non réservés par les applications système classiques ( ~< à 1000 généralement).

Réseau principal c'est quoi ? Pour moi faut mettre Tous ici, ou appliquer un filtrage GeoIP c'est préférable.

Modifié le 3 janvier 2023 par .Shad.

[PetitPhoenix]

Ok, ça marche en mettant tous, ma compréhension était clairement erronée, il ouvre sur nawak 10000+ 🙂 Merci pour ta patience.

Pour le réseau principal, c'était une erreur reliquat de test. En effet, j'ai mis "Internet" mais ça ne change rien car j'ai tout ouvert en dessous.

Pour le filtrage GEOIP, j'aurais bien voulu laisser ouvert car je ne suis pas toujours en France. Mais bon, c'est vraiment risqué pour quelques déplacements non?

[.Shad.]

Si tu changes souvent de pays oui, moi par exemple je suis français résident belge, j'ouvre les 2 pays.
A toi de voir.

Non je ne trouve pas ça spécialement risqué avec OpenVPN, avec mdp fort + certificat client, je ne vois pas trop ce qu'il pourrait t'arriver.