Problème DDNS et OPenVPN

[Nals]

Bonjour à tous et à toutes,

Je sollicite votre savoir concernant la mise en place de mes accès externes par OpenVPN.

Je possède un DS218Play. J'ai suivi les tutos de sécurisation pour isoler mon NAS puis celui de Fenrir pour la mise en place d'un VPN.

Après plusieurs heures de galères, j'ai réussi à mettre en place ma connexion VPN - quand je me connecte depuis mon réseau mobile, j'ai bien accès à mon réseaux à travers OpenVPN. En revanche, il reste quelques zones d'ombre. (Mes paramètres de configuration ci dessous)

• Impossible de me connecter via mon adresse de domaine DNS synology avec le VPN. J'ai bien les ports 1194 forwardé ainsi que le port HTTPS 5001. Les deux en protocole UDP. Quand je forward mon port 5001 en TCP, la connexion DNS fonctionne mais le VPN est contourné! Pourquoi? J'ai bien le DDNS configuré (voir ci-dessous).
• J'ai le sentiment que j'ai un problème de forward de ports mais je n'arrive pas à comprendre. Mon objectif est de pouvoir avoir accès à mes dossiers dans mon finder sur mon PC à travers ma connexion VPN lorsque je suis hors de mon réseaux et d'accéder à DSM depuis internet hors du réseau local.

 

• Pare feu:

 

• OpenVPN

 

 

• DDNS

Je vous remercie beaucoup!!

Nals

[Mic13710]

Il y a 1 heure, Nals a dit :

Impossible de me connecter via mon adresse de domaine DNS synology avec le VPN.

Je ne comprends pas bien cette phrase. Si vous voulez utiliser votre domaine pour vous connecter au NAS par VPN, c'est avec remote VotreDDNSSynology 1194 dans le fichier de configuration du client. Si par contre, vous voulez utiliser votre domaine une fois la connexion VPN établie, sauf à utiliser un serveur DNS local (autre tuto de Fenrir), ce n'est pas possible. Il faut dans ce cas utiliser les adresses IP locales (192.168.x.x)

[Nals]

Bonjour Mic13710,

Merci beaucoup pour votre retour.

J'aurais effectivement aimé pouvoir me connecter à mon adresse monnom.synology.me lorsque je suis sur mon réseau local ainsi que quand je suis à l'extérieur mais connecté à mon OpenVPN.

Dans OpenVPN j'ai bien indiqué mon nom de domaine à la place de mon IP avant le 1194.

Mais peut-être que, comme vous l'indiquez, cela n'est pas possible. Mais comment expliquer le contournement du VPN lorsque j'ouvre le port 5001 en TCP?

[Mic13710]

il y a 7 minutes, Nals a dit :

lorsque j'ouvre le port 5001 en TCP?

Le port 5001 est en TCP !

Pas sûr que vous passiez par le net. Lorsque vous êtes connecté au VPN, qu'elle IP renvoie en ligne de commande tracert VotreDDNSSynology ?

[Nals]

Je comprends donc que si j'ouvre le port 5001, cela ne peut être qu'en TCP. Il y a alors un problème car cela contourne l'accès du VPN... je ne l'explique pas.

Vous trouverez ci-dessous mes deux tests Tracert . Lorsque j'appelle mon synology avec monnom.synology.me ==> cela renvoie plusieurs types d'adresse IP

 

C:\Users\XXXX>tracert 192.168.X.XX ==> IP de mon NAS

Détermination de l’itinéraire vers SYNOLOGY_ASC [192.168.X.XX]
avec un maximum de 30 sauts :

  1  1557 ms     *        *     SYNOLOGY_ASC [192.168.X.XX]
  2  1438 ms     *        *     SYNOLOGY_ASC [192.168.X.XX]
  3  1421 ms   413 ms   215 ms  192.168.X.XX

Itinéraire déterminé.

 

C:\Users\XXX> tracert monnom.synology.me

Détermination de l’itinéraire vers monnom.synology.me [82.64.192.210]
avec un maximum de 30 sauts :

  1     7 ms     3 ms     4 ms  192.168.198.227
  2     *        *        *     Délai d’attente de la demande dépassé.
  3     *       45 ms     *     192.168.3.30
  4    57 ms    81 ms    39 ms  192.168.255.21
  5    61 ms    58 ms     *     128.177.149.194.te-dns.org [194.149.177.128]
  6     *      152 ms    67 ms  wano5.wanopc.isdnet.net [194.149.173.94]
  7     *        *        *     Délai d’attente de la demande dépassé.
  8     *        *        *     Délai d’attente de la demande dépassé.
  9     *        *        *     Délai d’attente de la demande dépassé.
 10     *        *        *     Délai d’attente de la demande dépassé.
 11     *        *        *     Délai d’attente de la demande dépassé.
 12     *        *      865 ms  82-64-192-210.subs.proxad.net [82.64.192.210]

Itinéraire déterminé.

[Mic13710]

Si vous voulez utiliser votre ndd, il faut commencer par mettre en oeuvre un serveur DNS local comme expliqué plus haut (voir tuto de Fenrir sur le serveur DNS).

Ceci ne garantie pas que ça fonctionnera car windows a ses propres modes obscurs de résolution de ndd qui contournent (ou pas) le VPN. Par exemple, mes deux PC sous win10 avec la même configuration et le serveur DNS du NAS en service, l'un passe bien par le DNS local, l'autre passe par le net et je n'ai jamais pu résoudre ce comportement.

[Nals]

Merci beaucoup!

Je vais regarder le tuto DNS alors. Sinon je n'utiliserai que l'accès par l'IP avec le VPN.

Une dernière question 🙂 

Selon vous, est ce normal ce qu'en forwardant le port 5001 l'accès soit possible sans VPN? Est ce un problème de port ou de pare-feu?

Merci beaucoup encore !

[Mic13710]

Si le 5001 est dirigé vers le NAS dans le routeur, il n'y a rien d'anormal puisque vous avez ouvert tous les ports vers l'extérieur (avant dernière règle de votre parefeu). Je vous conseille vivement de revoir cette règle pour limiter l'accès aux seules applications que vous utilisez. Et si vous paramétrez le serveur DNS local, vous pourrez même désactiver le plupart des ports pour ne garder que l'essentiel : 443 et les ports spécifiques à certaines applications (6690 par exemple pour Synology Drive)

[Nals]

Merci beaucoup! Effectivement, j'ai supprimer dans le pare-feu cette avant dernière ligne et le VPN fonctionne.

Pour le DNS, j'ai essayé mais il me semble que j'ai besoin d'obtenir un nom de domaine. Je comprends que le service DDNS de Synology et un serveur DNS ne répondent pas aux mêmes besoins. Je vais me contenter de mon accès par l'adresse IP 🙂 

En revanche, j'ai besoin d'avoir accès à NextCloud qui est sur mon Nas, derrière mon VPN. C'est donc sécurisé. En revanche, j'aimerais toutefois pouvoir échanger des fichiers avec l'extérieur (envoi de liens, synchronisation de mon téléphone, etc). Je vais donc ouvrir les ports 80 et 443. Il me semble que cela suffira. 

Quand vous parler de "limiter l'accès aux seuls appli que j'utilise, vous entendez quoi par cela?

[Mic13710]

il y a 54 minutes, Nals a dit :

j'ai supprimer dans le pare-feu cette avant dernière ligne et le VPN fonctionne.

Il vous faut quand même cette règle mais en la limitant comme je l'ai indiqué pour pouvoir utiliser vos applications en dehors du VPN. Si par exemple vous voulez utiliser Synology Drive, il faudra bien ouvrir le port 6690 sinon l'appli ne pourra pas fonctionner en dehors du VPN. Et s'agissant d'un cloud, ça peut devenir gênant.Il vous faudra de toute manière ouvrir au moins le port 443 pour l'utilisation du reverse proxy dont je parle plus bas.

il y a 41 minutes, Nals a dit :

j'ai besoin d'obtenir un nom de domaine

Vous en avez un, c'est xxx.synology.me. A partir de là, vous pouvez créer autant de domaines de second niveau que vous voulez comme par exemple video.xxx.synology.me, nas.xxx.synology.me. Pour simplifier et ne pas avoir a saisir un CNAME pour chaque domaine, vous pouvez faire une entrée unique CNAME en wildcard *.xxx.synology.me. Cette entrée couvrira tous les domaines yyy.xxx.synology.me.

Mais pour que chaque domaine yyy.xxx.synology.me soit dirigé vers la bonne appli, il faudra paramétrer le reverse proxy du NAS qui pour un domaine donné dirigera la requête vers la bonne application.

Par exemple, pour le ndd https:\\nas.xxx.synology.me, le reverse proxy redirigera la requête vers http://localhost:5000 où localhost est le NAS et 5000 le port http de DSM.

Vous avez un tuto de kawamashi qui traite du reverse proxy.

il y a 52 minutes, Nals a dit :

"limiter l'accès aux seuls appli que j'utilise, vous entendez quoi par cela?

Sans reverse proxy, si vous n'utilisez pas audio station par exemple, inutile d'ouvrir le port correspondant. De même, vous n'ouvrez pas vers l'extérieur des ports http. Uniquement du https.