Accès serveur VPN (L2TP, SSL VPN ou OpenVPN) au travers d'un reverse proxy ?

[MilesTEG1]

Bonjour,

Je suis confronté à un souci d'accès à mon serveur VPN sur mon RT2600AC depuis un wifi "public (eduroam)" qui bloque certains ports et donc bloque la connexion au VPN de mon routeur.

Comment puis-je faire pour faire passer mes connexions VPN par un reverse proxy sur le port 443 ou 80 ? (je ne connais pas exactement les ports autorisés sur le résea wifi eduroam).

Je ne peux pas simplement paramétrer un VPN sur le 443 car j'en ai besoin pour le reverse proxy qui redirige un certain nombre de service.

Dernière précision : mon reverse proxy est SWAG sur mon NAS.

 

Merci d'avance pour votre aide.

++ 
Miles

[church]

Hello !

ça na passe pas même avec le VPN SSL Synology ?

[.Shad.]

Tu peux déjà tester quels ports sont ouverts dans le sens sortant :

netcat -vz -w 1 portquiz.net 80 443 5000 2>&1 | grep succeeded

Ici par exemple, je teste les ports 80 443 et 5000.
Tu peux faire une range aussi, genre 1-5000, mais le créateur du site portquiz.net a mis en place des limitations pour diminuer la charge sur ses serveurs.

Tu pourrais ainsi déplacer ton serveur VPN sur un port autorisé.

 

[MilesTEG1]

Sur mon mac, la commande netcat n'était pas présente, j'ai du l'installer via homebrew, j'espère que c'est bien la même 😅

J'ai ça comme sortie.

J'ai tenté quelques ports, 4443, 81, 82, 8080, 8081, aucun n'est ouvert...
j'ai peur que ce ne soit que le 80 et le 443...

Auquel cas, il me faudra utiliser le port 80...

[.Shad.]

C'est très souvent que sur un réseau fermé, seuls les ports 80 et 443 soient ouverts.
Je pense que tu peux faire cohabiter le serveur VPN en 443 UDP et le Nginx en 443 TCP.

[MilesTEG1]

Je viens de faire un autre essai sur la plage 1-200 : le port 123 est ouvert.

Sinon 

il y a 7 minutes, .Shad. a dit :

Je pense que tu peux faire cohabiter le serveur VPN en 443 UDP et le Nginx en 443 TCP.

Comment je fais ça ?
Si je paramètre le serveur VPN sur le port 443, il va automatiquement savoir que c'est UDP ? 
Mon Routeur redirige le port 443 vers le NAS pour SWAG. Tu penses que c'est faisable que en TCP ? (je n'ai pas vérifié 😅).

[.Shad.]

Dans VPN Server tu peux définir le protocole utilisé, en tout cas sur DSM, SRM aucune idée. A vérifier. 😉 

Je ne connais pas le RT2600 mais tu spécifies normalement le protocole dans tout bon routeur, si tu lui demandes de rediriger 443 TCP vers ton NAS, le 443 UDP du routeur reste a priori exposer.

Pour le port 123 c'est le port de synchronisation temporelle NTP, a priori ton routeur peut faire office de serveur NTP et donc le port ne sera sûrement pas libre.

Modifié le 28 septembre 2023 par .Shad.

[MilesTEG1]

J'ai aussi apparemment le port 465 qui est ouvert :

portquiz.net [35.180.139.74] 443 (https) open
portquiz.net [35.180.139.74] 465 (urd) open

Je regarderais dans l'après-midi sur mon routeur. J'avais oublié qu'on pouvait choisir le type de connexion sur un port 😅

portquiz.net [35.180.139.74] 993 (imaps) open
portquiz.net [35.180.139.74] 995 (pop3s) open

Il y a aussi les ports emails. Vu que je n'ai pas de serveur mail, tu crois que je peux utiliser un de ces ports ?

Idéalement, il me faudrait changer le port du L2TP, car c'est la connexion la plus fiable qui fonctionne bien sur mon mac.
OpenVPN c'est pas stable.

Remarque, je pourrais tenter SSL VPN sur ce port là.

[church]

Citation

Remarque, je pourrais tenter SSL VPN sur ce port là.

C'est bien pour cela que je t'ai recommandé le protocole Synology (VPN SSL) qui exploite bien le 443 qui sera la plupart du temps ouvert même sur les réseaux Wifi publics ou payants type hotels, réseaux de transport aériens et/ou ferroviaires.

J'avais finalement migré vers ce protocole car il était indépendant de la plateforme et de l'OS et simple à mettre en œuvre : application IOS et Android, Mac, navigateur (sauf Firefox je crois), wifi ou 4G/5G.

A ce jour, je n'ai jamais été dans l'incapacité d'établir un tunnel avec mon routeur en déplacement ou en vacances.

Note : en fonction du mode de connexion (navitageur/appli) et du type de connexion, les perfs sont assez variables.

Modifié le 28 septembre 2023 par church

[MilesTEG1]

Il y a 3 heures, church a dit :

Hello !

ça na passe pas même avec le VPN SSL Synology ?

Oh punaise, je n'avais pas vu passer ton message 😱

il y a 29 minutes, church a dit :

C'est bien pour cela que je t'ai recommandé le protocole Synology (VPN SSL) qui exploite bien le 443 qui sera la plupart du temps ouvert même sur les réseaux Wifi publics ou payants type hotels, réseaux de transport aériens et/ou ferroviaires.

J'avais finalement migré vers ce protocole car il était indépendant de la plateforme et de l'OS et simple à mettre en œuvre : application IOS et Android, Mac, navigateur (sauf Firefox je crois), wifi ou 4G/5G.

A ce jour, je n'ai jamais été dans l'incapacité d'établir un tunnel avec mon routeur en déplacement ou en vacances.

Note : en fonction du mode de connexion (navitageur/appli) et du type de connexion, les perfs sont assez variables.

Et bien mon SSL VPN passe pas un autre port que le 443, car ce port 443 est redirigé vers le NAS pour son reverse proxy.

Donc si je place SSL VPN sur ce 443, je ne peux plus utiliser le reverse proxy...

[church]

Dans la mesure ou tu n'exploites pas des ports "standards", tu risques donc d'être confronté à ce genre de difficulté quelque soit le protocole, dès lors que tu seras sur un réseau tiers sur lequel tu n'as pas la main en terme d'administration (ouverture des ports)...

[MilesTEG1]

@churchtu peux me confirmer que ssl vpn fonctionne sur du tcp ?

[church]

Dans la mesure ou j'ai mis en place une restriction géographique, j'ai cette règle dans le parfeu :

 

Puisque j'arrive à me connecter d'à peu près n'importe où, je te confirme que ça fonctionne en TCP 😉

Modifié le 28 septembre 2023 par church

[MilesTEG1]

ok, je tente donc l'OpenVPN sur 443/UDP, et le SSL VPN sur le port 5223 que j'ai pu trouver ouvert. Sinon j'essaierais sur le port 80.

[DcaMan]

Ayant eu le même soucis, Tailscale m'a sauvé et fonctionne vraiment bien pour ces cas là.

 

[MilesTEG1]

Je viens de tester la connexion SSL VPN sur le port 5223 et l'OpenVPN sur 443/udp : les deux fonctionnent depuis la connexion 4G de ma femme et la mienne (qui est bien ralentie).

 

Verdict demain si ça fonctionne sur el wifi eduroam.

il y a 1 minute, DcaMan a dit :

Ayant eu le même soucis, Tailscale m'a sauvé et fonctionne vraiment bien pour ces cas là.

J'avoue que je ne suis pas loin de prendre cette option-là ! Mais ça ne m'enchante pas de faire passer mon trafic chez un serveur tiers...

[.Shad.]

Jette un œil à Headscale dans ce cas.

[MilesTEG1]

il y a 28 minutes, .Shad. a dit :

Jette un œil à Headscale dans ce cas.

Ha je ne connais pas du tout, ca m’intrigue.

[MilesTEG1]

Je viens de regarder pour Headscale.
Ça peut être intéressant, mais c'est un peu pénible pour configurer le fichier de configuration pour une installation via docker car la page dédié à docker n'est pas à jour par rapport à ce que j'ai dans le fichier de configuration téléchargé depuis le GH...

Vous n'auriez pas un tuto à jour ?

[MilesTEG1]

Verdict : ça passe avec le port 5223 pour SSL VPN ! oh Yeah 😁
 

J'accède bien à DSM via son IP et aussi via son nom de domaine (merci à mon serveur DNS AdGuard Home) restreint aux IP LAN et VPN :

 

Dernier essai : OpenVPN.

Sur mon iPhone, ça ne veut pas se connecter... (rappel : sur port 443/udp)

Je vois bien dans les logs le "connecting to mon_vpn.ndd.syno:443 (IP_freebox) via UDPv4

Mais ça ne se connecte pas depuis le wifi de mon établissement.

J'ai ça dans le log :

[Sep 29, 2023, 11:21:42] START CONNECTION

[Sep 29, 2023, 11:21:42] ----- OpenVPN Start -----
OpenVPN core 3.git::081bfebe ios arm64 64-bit

[Sep 29, 2023, 11:21:42] OpenVPN core 3.git::081bfebe ios arm64 64-bit

[Sep 29, 2023, 11:21:42] Frame=512/2048/512 mssfix-ctrl=1250

[Sep 29, 2023, 11:21:42] UNUSED OPTIONS
1 [tls-client]
4 [pull]
6 [script-security] [2]
12 [explicit-exit-notify]

[Sep 29, 2023, 11:21:42] EVENT: RESOLVE

[Sep 29, 2023, 11:21:42] Contacting xx.xx.xx.xx:443 via UDP

[Sep 29, 2023, 11:21:42] EVENT: WAIT

[Sep 29, 2023, 11:21:42] Connecting to [mon-vpn.ndd.syno.me]:443 (xx.xx.xx.xx) via UDPv4

[Sep 29, 2023, 11:21:52] Server poll timeout, trying next remote entry...

[Sep 29, 2023, 11:21:52] EVENT: RECONNECTING

[Sep 29, 2023, 11:21:52] EVENT: RESOLVE

[Sep 29, 2023, 11:21:52] Contacting xx.xx.xx.xx:443 via UDP

[Sep 29, 2023, 11:21:52] EVENT: WAIT

[Sep 29, 2023, 11:21:52] Connecting to [mon-vpn.ndd.syno.me]:443 (xx.xx.xx.xx) via UDPv4

[Sep 29, 2023, 11:22:02] Server poll timeout, trying next remote entry...

[Sep 29, 2023, 11:22:02] EVENT: RECONNECTING

[Sep 29, 2023, 11:22:02] EVENT: RESOLVE

[Sep 29, 2023, 11:22:02] Contacting xx.xx.xx.xx:443 via UDP

[Sep 29, 2023, 11:22:02] EVENT: WAIT

[Sep 29, 2023, 11:22:02] Connecting to [mon-vpn.ndd.syno.me]:443 (xx.xx.xx.xx) via UDPv4

[Sep 29, 2023, 11:22:12] EVENT: CONNECTION_TIMEOUT [ERR]

[Sep 29, 2023, 11:22:12] EVENT: DISCONNECTED

[Sep 29, 2023, 11:22:12] EVENT: CORE_THREAD_DONE

[Sep 29, 2023, 11:22:12] EVENT: DISCONNECT_PENDING

[Sep 29, 2023, 11:22:12] Raw stats on disconnect:
  BYTES_OUT : 2580
  PACKETS_OUT : 30
  CONNECTION_TIMEOUT : 1
  N_RECONNECT : 2


[Sep 29, 2023, 11:22:12] Performance stats on disconnect:
  CPU usage (microseconds): 65444
  Network bytes per CPU second: 39423
  Tunnel bytes per CPU second: 0

Quelqu'un a une idée sur ce qui coince ? ma configuration du fichier ovpn  ? Ou bien le wifi qui bloque l'udp sur le port 443 ?