[Résolu] Connection à Openvpn impossible

[Spudboy]

Bonjour,

Je possède un NAS DS220+ à jour (DSM 7.1.1-42962 Update 3) et impossible de me connecter à distance via Openvpn. Ma redirection de port via ma box est bonne, ca j'en suis sur.

Le truc qui m'interpelle, c'est que je suis en IPV4 via mon provider internet, j'ai donc désactivé ipv6 dans la config d'openvpn.

Mais une foi lancé le process via la page web, je me connecte en ssh dans un terminal sur le nas je vois ceci dans le fichier de config d'openvpn:

J'ai beau le changer par udp à la main ou refaire la config dans l'interface web ca revient toujours.

Est ce déjà arrivé à l'un d'entre vous ? Et si mon probléme vient bien de la, comment le corriger ?

Merci!

Modifié le 30 janvier 2023 par Spudboy

[Jeff777]

Bonjour,

Avec quel appareil tu te connectes à distance sur ton nas ? 

Le port que tu utilises n'est pas le port par défaut. Ce n'est pas une erreur de frappe ? C'est bien celui-ci qui est utilisé pour la redirection et dans le parefeu ?

[Spudboy]

Avec mon téléphone portable ou un laptop. C'est bien le port utilisé pour la redirection de ports et le part feu.

[Jeff777]

Essaie d'activer l'IPV6

Non pardon pas sur Openvpn, chez ton fournisseur d'accès si possible. Quel est-il d'ailleurs ?

Avant cela peux - tu confirmer que tu as bien une IP fullstack.

Modifié le 27 janvier 2023 par Jeff777

[Spudboy]

Dans la conf d'openvpn? Ca ne change rien.

Edit chez mon fournisseur, impossible. Je suis chez bougues. Et c'est bien une IP dédié.

Avant l'upgrade vers DSM 7 ca fonctionnait sans soucis

Modifié le 27 janvier 2023 par Spudboy

[Jeff777]

Il y a 1 heure, Spudboy a dit :

J'ai beau le changer par udp à la main ou refaire la config dans l'interface web ca revient toujours.

Exporte ta config depuis le nas vérifie que tu as bien proto udp et réimporte là dans ton téléphone et laptop.

il y a 28 minutes, Spudboy a dit :

Avant l'upgrade vers DSM 7 ca fonctionnait sans soucis

Je ne pense pas que DSM7 en soit la cause. ça fonctionne toujours chez moi.

[Spudboy]

config réexporter et qui semble bonne,

Mais toujours udp6 sur le serveur. Et ca failed sur mon téléphone/laptop. Dans les journaux d'openvpn je ne vois même pas de tentatives de connection de logger (j'ai bien mis mon ip externe dans la config).

Je suis d'accord, je vois pas le rapport avec DSM 7 non plus, mais le faites et que depuis la maj j'ai ce phénomène trop bizarre.

[Jeff777]

Le laptop il est sous windows ?

 

[oracle7]

@Spudboy

Bonjour,

Si je peux me permettre, as-tu refais ton profil de connexion OpenVPN sur ton Tél/laptop avec le nouveau fichier ce configuration .ovpn corrigé ?

Cordialement

oracle7😉

[Spudboy]

il y a 47 minutes, Jeff777 a dit :

Le laptop il est sous windows ?

 

Sous Linux Mint

Et j'ai bien refait le fichier de conf, réimporter sur le laptop et sur le téléphone

 

[Jeff777]

Si tu as un PC sous windows essaie ton fichier de conf pour voir si cela fonctionne.

[Spudboy]

Pareil sur un windows.

J'ai un netstat comme on peut voir openvpn est en ecoute sur ipv6 uniquement

alors que mon ip est en ipv4

[Jeff777]

il y a 33 minutes, Spudboy a dit :

openvpn est en ecoute sur ipv6 uniquement

Montre nous ton fichier de conf en cachant ton IP publique

il y a 31 minutes, bliz a dit :

Bouygues ne fait elle pas les ip partagées ?

il avait répondu:

Il y a 5 heures, Spudboy a dit :

Je suis chez bougues. Et c'est bien une IP dédié.

 

[Spudboy]

Coté serveur

push "route 192.168.2.0 255.255.255.0"
push "route 10.8.0.0 255.255.255.0"
dev tun

management /var/run/openvpn.sock unix

server 10.8.0.0 255.255.255.0


dh /var/packages/VPNCenter/target/etc/openvpn/keys/dh3072.pem
ca /var/packages/VPNCenter/target/etc/openvpn/keys/ca.crt
cert /var/packages/VPNCenter/target/etc/openvpn/keys/server.crt
key /var/packages/VPNCenter/target/etc/openvpn/keys/server.key

max-clients 5

comp-lzo

persist-tun
persist-key

verb 3

#log-append /var/log/openvpn.log

keepalive 10 60
reneg-sec 0

plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf
verify-client-cert none
username-as-common-name
duplicate-cn

status /tmp/ovpn_status_2_result 30
status-version 2
proto udp6
port 11194
cipher AES-256-CBC
auth SHA512
mssfix 1450

et coté client

dev tun
tls-client

remote $MY_IP 11194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2


comp-lzo

reneg-sec 0

cipher AES-256-CBC

auth SHA512

auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
....
-----END CERTIFICATE-----

</ca>

 

[oracle7]

Bonjour,

A titre de comparaison, j'ai VPN Plus Server d'installé sur mon routeur (mode serveur IPv6 non activé), quand je regarde en SSH le fichier de conf .ovpn dans /usr/syno/etc/packages/VPNPlusServer/openvpn, comme @Spudboy j'ai l'instruction "proto udp6" dans ce fichier.

Par contre quand j'exporte la configuration openvpn, le fichier de conf .ovpn généré comporte lui l'instruction "proto udp".

Enfin dans le log d'une connexion openvpn depuis l'extérieur avec un tél 4G je vois que la connexion openvpn est en IPv6. Précision : avant la connexion VPN, mon tél 4G était connecté au réseau en IPv6. Y-a-t-il un lien de cause à effet, je ne saurais dire.

Mais effectivement on croit se connecter en IPv4 et c'est en fait en IPv6 ce qui a de quoi interpeler aussi.

Au final est-ce vraiment génant car une fois connecté, je navique sans problème sur mon réseau local avec des @IPv4s pour atteindre mes périphérique.

@Jeff777 ton avis STP ?

Cordialement

oracle7😉

 

[Spudboy]

ouais je me suis focus sur udp6 car c'est le seul truc louche que j'ai vu, ca se trouve c'est pas ca.

Quand je tente de me connecter avec mon téléphone dans DSM sur l'appli VPN Server dans Lits de connection je vois bien l'ip de mon téléphone tenter de s'y connecter mais qui failed. Au moins la redirection de port marche c'est déjà pas ca.

[Jeff777]

il y a 29 minutes, oracle7 a dit :

ton avis STP ?

Je sais pas dire j'utilise les deux (IPV4 et IPV6). De plus avec mes introductions de pihole dans les deux nas il faut que je revois mon Openvpn 😅

@Spudboy  où trouves tu le fichier de config côté serveur ?

[Spudboy]

Il y a 17 heures, Jeff777 a dit :

@Spudboy  où trouves tu le fichier de config côté serveur ?

Ici /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf

[Jeff777]

J'avais essayé jusqu'à VPNCenter mais j'ai dû rater la suite.

En tout cas voici comment ça se passe chez moi. Mais je pense que tu devrais essayer le port 1194 par défaut.

 

push "route 10.8.0.0 255.255.255.0"
dev tun

management /var/run/openvpn.sock unix

server 10.8.0.0 255.255.255.0

dh /var/packages/VPNCenter/target/etc/openvpn/keys/dh3072.pem
ca /var/packages/VPNCenter/target/etc/openvpn/keys/ca.crt
cert /var/packages/VPNCenter/target/etc/openvpn/keys/server.crt
key /var/packages/VPNCenter/target/etc/openvpn/keys/server.key

max-clients 5

comp-lzo

persist-tun
persist-key

""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""
dev tun
tls-client

remote monIPV4 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2

comp-lzo

reneg-sec 0

cipher AES-256-CBC

auth SHA256

auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

</ca>
verify-x509-name 'ndd' name

Modifié le 28 janvier 2023 par Jeff777

[Spudboy]

j'ai remis le port 1194 par defaut, ca ne change rien. Dans la liste de connections de VPN Server je vois des tentatives avec un utilisateur UNDEF qui n'aboutissent pas (mon user/password est bon).

[Mic13710]

Il y a 1 heure, Jeff777 a dit :

verify-x509-name 'ndd' name

Salut Jeff, il faut soit supprimer les simples quote ('), soit les remplacer par des doubles quote (") sinon cette ligne n'est pas acceptée sous android.

Mais ça tu le sais déjà 😉

 

[Spudboy]

il y a 47 minutes, Mic13710 a dit :

Salut Jeff, il faut soit supprimer les simples quote ('), soit les remplacer par des doubles quote (") sinon cette ligne n'est pas acceptée sous android.

Mais ça tu le sais déjà 😉

 

Bizarre aussi ca je l'ai pas dans ma conf coté client

[Jeff777]

Bonjour @Mic13710

Bien vu je ne me souvenais pas de cette limitation ( Alzeichose..ou qq chose comme ça.).

Sauf que cette config, elle sort directement d'un export de VPNServeur configuré de neuf depuis que j'ai la fibre et je ne détecte pas d'erreur lorsque je me connecte en VPN. Alors....est-ce que la limitation n'existe plus ???

il y a 8 minutes, Spudboy a dit :

Bizarre aussi ca je l'ai pas dans ma conf coté client

Normal, tu n'as pas coché la case de vérif du certificat dans la conf de VPN serveur

[Spudboy]

J'ai fait des tests depuis d'autres wifi extérieur desfois que ce soit l'ip via la 5g qui merde, j'ai le même probléme. Par contre si je suis connecté à mon wifi et que je connecte le vpn (ca n'a aucun sens de le faire on est d'accord mais je ne sais tellement plus quoi faire...) ben la, ca marche! Du coup je commence à suspecter ma box (elle aussi chez bouygues)

[Spudboy]

J'ai trouvé enfin!! En suivant ce post : https://community.synology.com/enu/forum/1/post/141468

J'ai switché sur tcp et mis ces modifs dans la conf client d'openvpn

 

Citation

proto tcp-client

script-security 2

comp-lzo

reneg-sec 0

cipher AES-256-CBC

auth SHA512
link-mtu 1604
keysize 256
auth-user-pass