Aller au contenu

Accès serveur VPN (L2TP, SSL VPN ou OpenVPN) au travers d'un reverse proxy ?


MilesTEG1

Messages recommandés

Bonjour,

Je suis confronté à un souci d'accès à mon serveur VPN sur mon RT2600AC depuis un wifi "public (eduroam)" qui bloque certains ports et donc bloque la connexion au VPN de mon routeur.

Comment puis-je faire pour faire passer mes connexions VPN par un reverse proxy sur le port 443 ou 80 ? (je ne connais pas exactement les ports autorisés sur le résea wifi eduroam).

Je ne peux pas simplement paramétrer un VPN sur le 443 car j'en ai besoin pour le reverse proxy qui redirige un certain nombre de service.

Dernière précision : mon reverse proxy est SWAG sur mon NAS.

 

Merci d'avance pour votre aide.

++ 
Miles

Lien vers le commentaire
Partager sur d’autres sites

Tu peux déjà tester quels ports sont ouverts dans le sens sortant :

netcat -vz -w 1 portquiz.net 80 443 5000 2>&1 | grep succeeded

Ici par exemple, je teste les ports 80 443 et 5000.
Tu peux faire une range aussi, genre 1-5000, mais le créateur du site portquiz.net a mis en place des limitations pour diminuer la charge sur ses serveurs.

Tu pourrais ainsi déplacer ton serveur VPN sur un port autorisé.

 

Lien vers le commentaire
Partager sur d’autres sites

Sur mon mac, la commande netcat n'était pas présente, j'ai du l'installer via homebrew, j'espère que c'est bien la même 😅

J'ai ça comme sortie.

fJ4AO5t.png

7xJVGAr.png

jRiloZf.png

J'ai tenté quelques ports, 4443, 81, 82, 8080, 8081, aucun n'est ouvert...
j'ai peur que ce ne soit que le 80 et le 443...

Auquel cas, il me faudra utiliser le port 80...

Lien vers le commentaire
Partager sur d’autres sites

Je viens de faire un autre essai sur la plage 1-200 : le port 123 est ouvert.

RiJAvfD.png

Sinon 

il y a 7 minutes, .Shad. a dit :

Je pense que tu peux faire cohabiter le serveur VPN en 443 UDP et le Nginx en 443 TCP.

Comment je fais ça ?
Si je paramètre le serveur VPN sur le port 443, il va automatiquement savoir que c'est UDP ? 
Mon Routeur redirige le port 443 vers le NAS pour SWAG. Tu penses que c'est faisable que en TCP ? (je n'ai pas vérifié 😅).

Lien vers le commentaire
Partager sur d’autres sites

Dans VPN Server tu peux définir le protocole utilisé, en tout cas sur DSM, SRM aucune idée. A vérifier. 😉 

Je ne connais pas le RT2600 mais tu spécifies normalement le protocole dans tout bon routeur, si tu lui demandes de rediriger 443 TCP vers ton NAS, le 443 UDP du routeur reste a priori exposer.

Pour le port 123 c'est le port de synchronisation temporelle NTP, a priori ton routeur peut faire office de serveur NTP et donc le port ne sera sûrement pas libre.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

J'ai aussi apparemment le port 465 qui est ouvert :

portquiz.net [35.180.139.74] 443 (https) open
portquiz.net [35.180.139.74] 465 (urd) open

Je regarderais dans l'après-midi sur mon routeur. J'avais oublié qu'on pouvait choisir le type de connexion sur un port 😅

portquiz.net [35.180.139.74] 993 (imaps) open
portquiz.net [35.180.139.74] 995 (pop3s) open

Il y a aussi les ports emails. Vu que je n'ai pas de serveur mail, tu crois que je peux utiliser un de ces ports ?

Idéalement, il me faudrait changer le port du L2TP, car c'est la connexion la plus fiable qui fonctionne bien sur mon mac.
OpenVPN c'est pas stable.

Remarque, je pourrais tenter SSL VPN sur ce port là.

Lien vers le commentaire
Partager sur d’autres sites

Citation

Remarque, je pourrais tenter SSL VPN sur ce port là.

C'est bien pour cela que je t'ai recommandé le protocole Synology (VPN SSL) qui exploite bien le 443 qui sera la plupart du temps ouvert même sur les réseaux Wifi publics ou payants type hotels, réseaux de transport aériens et/ou ferroviaires.

J'avais finalement migré vers ce protocole car il était indépendant de la plateforme et de l'OS et simple à mettre en œuvre : application IOS et Android, Mac, navigateur (sauf Firefox je crois), wifi ou 4G/5G.

A ce jour, je n'ai jamais été dans l'incapacité d'établir un tunnel avec mon routeur en déplacement ou en vacances.

Note : en fonction du mode de connexion (navitageur/appli) et du type de connexion, les perfs sont assez variables.

Modifié par church
Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, church a dit :

Hello !

ça na passe pas même avec le VPN SSL Synology ?

Oh punaise, je n'avais pas vu passer ton message 😱

il y a 29 minutes, church a dit :

C'est bien pour cela que je t'ai recommandé le protocole Synology (VPN SSL) qui exploite bien le 443 qui sera la plupart du temps ouvert même sur les réseaux Wifi publics ou payants type hotels, réseaux de transport aériens et/ou ferroviaires.

J'avais finalement migré vers ce protocole car il était indépendant de la plateforme et de l'OS et simple à mettre en œuvre : application IOS et Android, Mac, navigateur (sauf Firefox je crois), wifi ou 4G/5G.

A ce jour, je n'ai jamais été dans l'incapacité d'établir un tunnel avec mon routeur en déplacement ou en vacances.

Note : en fonction du mode de connexion (navitageur/appli) et du type de connexion, les perfs sont assez variables.

Et bien mon SSL VPN passe pas un autre port que le 443, car ce port 443 est redirigé vers le NAS pour son reverse proxy.

Donc si je place SSL VPN sur ce 443, je ne peux plus utiliser le reverse proxy...

Lien vers le commentaire
Partager sur d’autres sites

Je viens de tester la connexion SSL VPN sur le port 5223 et l'OpenVPN sur 443/udp : les deux fonctionnent depuis la connexion 4G de ma femme et la mienne (qui est bien ralentie).

 


Verdict demain si ça fonctionne sur el wifi eduroam.

il y a 1 minute, DcaMan a dit :

Ayant eu le même soucis, Tailscale m'a sauvé et fonctionne vraiment bien pour ces cas là.

J'avoue que je ne suis pas loin de prendre cette option-là ! Mais ça ne m'enchante pas de faire passer mon trafic chez un serveur tiers...

Lien vers le commentaire
Partager sur d’autres sites

Je viens de regarder pour Headscale.
Ça peut être intéressant, mais c'est un peu pénible pour configurer le fichier de configuration pour une installation via docker car la page dédié à docker n'est pas à jour par rapport à ce que j'ai dans le fichier de configuration téléchargé depuis le GH...

Vous n'auriez pas un tuto à jour ?

Lien vers le commentaire
Partager sur d’autres sites

Verdict : ça passe avec le port 5223 pour SSL VPN ! oh Yeah 😁
d27XMoq.png 

J'accède bien à DSM via son IP et aussi via son nom de domaine (merci à mon serveur DNS AdGuard Home) restreint aux IP LAN et VPN :

anmRGNm.png

 

Dernier essai : OpenVPN.

Sur mon iPhone, ça ne veut pas se connecter... (rappel : sur port 443/udp)

Je vois bien dans les logs le "connecting to mon_vpn.ndd.syno:443 (IP_freebox) via UDPv4

Mais ça ne se connecte pas depuis le wifi de mon établissement.

J'ai ça dans le log :

[Sep 29, 2023, 11:21:42] START CONNECTION

[Sep 29, 2023, 11:21:42] ----- OpenVPN Start -----
OpenVPN core 3.git::081bfebe ios arm64 64-bit

[Sep 29, 2023, 11:21:42] OpenVPN core 3.git::081bfebe ios arm64 64-bit

[Sep 29, 2023, 11:21:42] Frame=512/2048/512 mssfix-ctrl=1250

[Sep 29, 2023, 11:21:42] UNUSED OPTIONS
1 [tls-client]
4 [pull]
6 [script-security] [2]
12 [explicit-exit-notify]

[Sep 29, 2023, 11:21:42] EVENT: RESOLVE

[Sep 29, 2023, 11:21:42] Contacting xx.xx.xx.xx:443 via UDP

[Sep 29, 2023, 11:21:42] EVENT: WAIT

[Sep 29, 2023, 11:21:42] Connecting to [mon-vpn.ndd.syno.me]:443 (xx.xx.xx.xx) via UDPv4

[Sep 29, 2023, 11:21:52] Server poll timeout, trying next remote entry...

[Sep 29, 2023, 11:21:52] EVENT: RECONNECTING

[Sep 29, 2023, 11:21:52] EVENT: RESOLVE

[Sep 29, 2023, 11:21:52] Contacting xx.xx.xx.xx:443 via UDP

[Sep 29, 2023, 11:21:52] EVENT: WAIT

[Sep 29, 2023, 11:21:52] Connecting to [mon-vpn.ndd.syno.me]:443 (xx.xx.xx.xx) via UDPv4

[Sep 29, 2023, 11:22:02] Server poll timeout, trying next remote entry...

[Sep 29, 2023, 11:22:02] EVENT: RECONNECTING

[Sep 29, 2023, 11:22:02] EVENT: RESOLVE

[Sep 29, 2023, 11:22:02] Contacting xx.xx.xx.xx:443 via UDP

[Sep 29, 2023, 11:22:02] EVENT: WAIT

[Sep 29, 2023, 11:22:02] Connecting to [mon-vpn.ndd.syno.me]:443 (xx.xx.xx.xx) via UDPv4

[Sep 29, 2023, 11:22:12] EVENT: CONNECTION_TIMEOUT [ERR]

[Sep 29, 2023, 11:22:12] EVENT: DISCONNECTED

[Sep 29, 2023, 11:22:12] EVENT: CORE_THREAD_DONE

[Sep 29, 2023, 11:22:12] EVENT: DISCONNECT_PENDING

[Sep 29, 2023, 11:22:12] Raw stats on disconnect:
  BYTES_OUT : 2580
  PACKETS_OUT : 30
  CONNECTION_TIMEOUT : 1
  N_RECONNECT : 2


[Sep 29, 2023, 11:22:12] Performance stats on disconnect:
  CPU usage (microseconds): 65444
  Network bytes per CPU second: 39423
  Tunnel bytes per CPU second: 0


Quelqu'un a une idée sur ce qui coince ? ma configuration du fichier ovpn  ? Ou bien le wifi qui bloque l'udp sur le port 443 ?

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.