Aller au contenu

[Migration DSM 7.2] Tunnel OpenVPN DS218+ vers DS718+ ne monte plus


StéphanH

Messages recommandés

il y a 24 minutes, StéphanH a dit :

Le certificat a changé ?

Si c'est le cas (renouvellement LE) alors il y a une forte probabilité que ce soit ça.

Si tu veux ne pas avoir de problème à chaque renouvellement, il faut plutôt associer le serveur VPN au certificat synology.com par défaut qui lui a une validité bien plus grande que celle des certificats LE. Si tu n'as plus ce certificat, tu peux en créer un autosigné (avec openssl par exemple) d'une durée de validité de 15 ans pour être tranquille.

Lien vers le commentaire
Partager sur d’autres sites

J’ai bien un certificat LE encore valide sur le serveur. 
Mais lorsque  je l’exporte, j’obtiens une dizaine de fichiers. 
comme s’appelle celui qu’il faut importer sur le client ?

Ma question est surtout et aussi de savoir s’il y a un changement sur le package VPN serveur qui pourrait être la cause …

quelqu’un d’autre a-t-il un tunnel OpenVPN entre deux NAS ?

Lien vers le commentaire
Partager sur d’autres sites

il y a 38 minutes, StéphanH a dit :

comme s’appelle celui qu’il faut importer sur le client ?

Il faut d'abord choisir dans DSM le certificat à appliquer au serveur VPN. Le certificat sera intégré au fichier de config openVPN. Il n'y a rien à importer sur le client comme c'était le cas il y a quelques années.

Lien vers le commentaire
Partager sur d’autres sites

Je pense avoir une piste.

Lorsque j'essaie de me connecter à DSM avec le User dédié à la connexion VPN, j'obtiens une popup me disant que pour des raisons de sécurité un mail contenant un code a été expédié à la boite mail déclarée dans ce compte.

Mais je ne reçois pas ce mail ... 

Capturedcran2023-05-2308_21_45.thumb.png.be86e2453439e525a843624c1a87e9c0.png

Modifié par StéphanH
Lien vers le commentaire
Partager sur d’autres sites

Je ne sais pas sur quelle page tu travailles, mais si c'est sur la création d'une interface réseau, alors les choses ont beaucoup évolué sur 7.2 par rapport à 7.1.

Apparemment, il faut maintenant importer le certificat comme à l'ancienne.

Si l'import du certificat associé à DSM ne fonctionne pas, je ne sais pas quoi te dire pour t'aider.

Lien vers le commentaire
Partager sur d’autres sites

Merci Mic13710.

J'étais en modification d'interface existante.

J'ai donc créé un nouveau profil OpenVPN, et là, je peux effectivement importer le fichier .ovpn, dans lequel j'ai simplement renseigné le nom DNS de mon Synology
Mais la connexion n'aboutit pas (et je ne vois rien dans les Log du serveur VPN)

Lien vers le commentaire
Partager sur d’autres sites

il y a 52 minutes, StéphanH a dit :

le nom DNS de mon Synology

Ce n'est pas celui du syno qu'il faut renseigner mais le ndd qui permet d'atteindre le routeur. Ensuite, la redirection du port 1194 vers le NAS se charge de transmettre la demande de connexion au serveur VPN.

Lien vers le commentaire
Partager sur d’autres sites

Oui c’est bien cela. 
je m’étais mal exprimé. 
et c’est la seule chose que je modifie dans le fichier .ovpn  ?

Je vais tester la manip préconisée par Syno pour  désactiver temporairement la vérification du code d’inactivité (connexion du compte depuis le LAN)

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, StéphanH a dit :

et c’est la seule chose que je modifie dans le fichier .ovpn  ?

Il y a d'autres choses comme par exemple dhcp-option DNS qui donne le ou les serveurs DNS à utiliser, modifier "cipher AES-256-CBC" en

"data-ciphers-fallback AES-256-CBC", rajouter "auth-nocache" avant le certificat, et peut-être d'autres bricoles.

 

Lien vers le commentaire
Partager sur d’autres sites

Bon, je n'ai plus d'idées ...

J'ai supprimé toute notion de 2FA sur mon compte dédié VPN. Il se connecte sans souci à DSM.
J'ai généré le certificat et essayé de l'importer dans mon ancienne conf OpenVPN.
J'ai essayé de créer une nouvelle connexion OpenVPN avec import du fichier  .ovpn (avec DDNS)
J'ai dans le doute rebooté tout le monde.

désormais, je ne sais plus comment avancer ...

 

il y a une heure, Mic13710 a dit :

Il y a d'autres choses comme par exemple dhcp-option DNS qui donne le ou les serveurs DNS à utiliser, modifier "cipher AES-256-CBC" en

"data-ciphers-fallback AES-256-CBC", rajouter "auth-nocache" avant le certificat, et peut-être d'autres bricoles.

Aïe ... pas facile de modifier les choses quand on ne sait pas de quoi on parle... Bref, tout ce que je sais, c'est que je n'avais jamais modifié cela avant, et ça fonctionnait ...

 

Et pourquoi ai-je cela de temps en temps dans la console de VPN Serveur :
l'@ mentionnée est bien la mienne mais le user n'est pas le bon...

Capturedcran2023-05-2314_25_44.thumb.png.ab7f0a2095e8732bcb724c9d25746ef8.png-

 

Modifié par StéphanH
Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, StéphanH a dit :

pas facile de modifier les choses quand on ne sait pas de quoi on parle... Bref, tout ce que je sais, c'est que je n'avais jamais modifié cela avant, et ça fonctionnait ...

Ce ne sont pas des modifications obligatoires. Pour la plupart ce sont juste des réglages pour annuler certains messages d'erreur.

A mon avis, tu t'es un peu trop vite précipité pour passer en 7.2. Perso, je vais faire comme d'hab : temporiser avant de franchir le pas. Je vois déjà que certains sont à la peine avec cette nouvelle version. Quelques updates devraient résoudre les toujours trop nombreux problèmes qui sont le lot de chaque nouvelle version. Mais en attendant, je vais me contenter de la 7.1.

Lien vers le commentaire
Partager sur d’autres sites

merci.

J'ai ouvert un ticket chez Synology ....
En attendant, je suis bien coincé.

Je reste toutefois persuadé que je suis bloqué par une bêtise, et pas par un problème technique ...

En changeant un des autres fichiers d'export de mon certificat, j'ai cela :

Capturedcran2023-05-2315_56_18.thumb.png.6da43a1237586cad0c51086617a94d90.png

 

Pour autant, côté client, il me dit que je suis déconnecté ...

 

Lien vers le commentaire
Partager sur d’autres sites

Y a-t-il quelque part un fichier de log un peu plus bavard que l'interface web de VPN Serveur pour me dire où la connexion échoue ?
Il me semble avoir lu cela ici, mais je le retrouve pas le post en question ...

 

Sinon, quelqu'un sait-il ce que c'est que cet OpenSwitch ?
Cela pourrait il mettre le souk dans OpenVPN ?

Capturedcran2023-05-2319_38_56.thumb.png.017fc9cdfdf716cecdddf02b736000b4.png

Modifié par StéphanH
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.