accès nas depuis connexion OpenVPN sur router

[guillb]

bonjour, j'ai une config avec un router asus et 2 nas synology. sur mon DS413 j'ai un vpn nordvpn qui tourne en permanence, et sur mon ds1821 j'ai une installation openvn qui me permet d'accéder à ce nas depuis l'extérieur.

je viens de voir que sur mon routeur j'ai aussi la possibilité d'activer openvpn, pour accéder à l'ensemble des machines de mon réseau local à distance. ça m'intéresse car j'espère que cela me donnera la possibilité d'accéder aussi à mon ds413, sur lequel une install openvpn ne fonctionne pas pour accès à distance si j'ai un un autre vpn qui tourne en permanence.

mon problème est que mes essais d'accès aux nas depuis le local via openvpn sur le routeur n'aboutissent pas. En 4G sur mon tel, quand je lance le vpn client et fais un test ip, j'obtiens bien la confirmation que mon tel est sur le réseau local via openvpn, mais quand après je rentre mes local ip de chacun de mes nas je n'arrive pas à accéder à dsm par exemple.

Je ne sais pas si c'est du à des questions de firewall (activés sur router et nas). QUelqu'un à ce type  deconfig et peut me guider? merci!

Modifié le 15 juin par guillb

[.Shad.]

Est-ce que ton NAS autorise l"accès au sous-réseau délivré par le serveur OpenVPN de ton routeur ?

[guillb]

merci pour la réponse. c'est peut être là que ça pêche effectivement...

j'ai fais une petite recherche sur chatGPT et il me dit de faire les manips suivantes dans le pare-feu. C'est ce que tu veux dire également?

Ajouter une Règle d'Autorisation :

• Cliquez sur Créer pour ajouter une nouvelle règle.
• Interface Réseau : Choisissez l'interface réseau à laquelle la règle s'applique (généralement votre interface LAN principale).
• Adresse IP Source : Saisissez le sous-réseau VPN. Par exemple, si votre sous-réseau VPN est 10.8.0.0/24, entrez 10.8.0.0 et 255.255.255.0.
• Ports : Sélectionnez les ports nécessaires. Par exemple, pour autoriser tout le trafic, choisissez Tous les ports. Pour spécifier des ports particuliers, sélectionnez Ports personnalisés et indiquez les numéros de ports (par exemple, 5000 pour l'interface DSM, 445 pour SMB, etc.).
• Action : Sélectionnez Autoriser.
• Cliquez sur OK pour enregistrer la règle.

Y a d'autres instructions dans le chat avant celle-ci, relatives à la config du routeur, mais je pense que mes config routeur et client sont correctes car sur mon tel quand je lance le client depuis l'extérieur je me trouve tout de suite sur l'ip de mon routeur avec mon fournisseur d'accès, dont je retrouve l'IP si je fais un test d'IP.

[guillb]

Ok, par contre les instructions chatGPT sont pas hyper claires (ou je ne les comprends pas...).

Sur mon routeur, les infos VPN subnet / netmask correspondent aux infos données plus haut (par contre je ne trouve pas l'info 10.8.0.0/24 de sous-réseau VPN sur le routeur, juste les 2 autres adresses en 10.8 et 255)

ensuite je me dirige vers le pare feu routeur (screenshot 1) et là je suppose que je dois aller dans la section Source IP avec specific IP sélectionnée. j'ai sélectionné (screenshot 2) l'option subnet et renseigné les 2 adresses en 10.8 (ip address) et en 255 (champ subnet).

Ensuite, j'ai bien vérifié que cette nouvelle règle soit au dessus de ma règle de blocage de toutes connexions dans le parefeu, mais au global je n'arrive toujours pa à faire ce que je souhaite. est ce qu'il y a quelque chose que j'ai mal configuré, ou une autre étape à faire également?

merci

 

Modifié le 16 juin par guillb

[guillb]

Côté routeur, je sais pas si j'ai une étape à faire également.

ChatGPT me dit ça à ce sujet:

Configurer les routes sur le serveur OpenVPN

Ajoutez une route pour le sous-réseau du serveur OpenVPN afin qu'il connaisse le chemin vers le réseau local où se trouve le NAS. Cela peut être fait dans le fichier de configuration du serveur OpenVPN (server.conf ou openvpn.conf), en ajoutant une ligne comme suit  (screenshot 1):

Remplacez 192.168.1.0 255.255.255.0 par le sous-réseau de votre réseau local.

 

Dans mon routeur, il y a un onlet "Route", je suppose que je dois configurer quelque chose ici aussi non? (screenshot 2)

un truc bête aussi, je ne suis pas sur de savoir ou trouver les infos demandées de manière certaine (network / host IP: c'est celle du routeur?) et netmask

 

[Mic13710]

@guillb Le RT-AX58U est compatible avec Wireguard. S'il n'est pas installé sur votre routeur, il faut faire une mise à jour du firmware vers la version 3.0.0.4.388.xxxxx ou supérieure.

Pourquoi ne pas utiliser cette solution qui est bien plus simple à mettre en oeuvre et beaucoup plus rapide qu'openVPN ?

[guillb]

merci, je ne connaissais pas, j'ai vu l'option wireguard, je vais creuser dans les prochains jours -je ne connaissais pas.

[guillb]

Il y a 6 heures, Mic13710 a dit :

@guillb Le RT-AX58U est compatible avec Wireguard. S'il n'est pas installé sur votre routeur, il faut faire une mise à jour du firmware vers la version 3.0.0.4.388.xxxxx ou supérieure.

Pourquoi ne pas utiliser cette solution qui est bien plus simple à mettre en oeuvre et beaucoup plus rapide qu'openVPN ?

ok je viens de tester et a priori ça correspond tout à fait à  ce que je veux faire, j'arrive bien à accéder à tous mes appareils sur mon réseau local, c'est parfait. Par contre j'ai cru comprendre que si un de mes NAS (DS413) a une connexion nordvpn active configurée sur le nas directement, je ne peux pas y accéder même avec wireguard. quand je désactive la connection NordVPN de ce Nas, aucun problème par contre. Du coup, je "couvre" le NAS DS413 avec NordVPn au niveau du routeur, et quand j'active wireguard depuis mon telephone en 4G, je trouve bien le DS413 sur mon réseau. Y a pas moyen d'y accéder si la connexion nordvpn est sur le nas directement non?

question subsidiaire, y a un wireguard client quelque part pour les vieux mac avec Catalina? j'arrive pas à le trouver...

en tous cas, merci pour les conseils!

[guillb]

bon finalement pas si simple que ça wireguard. je l'ai installé sur une tablette samsung et une surface de microsoft, j'ai suivi les mêmes étapes d'intallation que pour mon tel et là chaque fois que je lance wireguard je ne peux me connecter à aucun appareil de mon réseau local.

comme ma tablette et la surface n'ont pas de 4G, je passe sur par un partage de connexion 4G du téléphone, mais même comme ça ça bloque. J'essaierai encore quand je pourrais me mettre sur d'autres réseaux wifi

[Mic13710]

Il y a 16 heures, guillb a dit :

chaque fois que je lance wireguard je ne peux me connecter à aucun appareil de mon réseau local.

Tout d'abord, il ne peut y avoir qu'une seule instance wireguard sur un compte de l'Asus. Si vous pouvez utiliser les mêmes paramètres sur plusieurs clients, ils ne peuvent pas être connectés simultanément. Si vous voulez le faire, il faut alors paramétrer une connexion spécifique pour chaque client.

Ensuite, ce n'est pas parce que le client indique que la connexion est activée qu'elle est réellement établie. Pour savoir si la connexion est effective, il faut regarder en bas de l'encadré "homologue" s'il y a des transferts. C'est la seule information fiable côté client qui permet de s'assurer que le lien est bien établi. S'il n'y a pas de transfert, il faut vérifier pourquoi et corriger.

Attention aussi au point de terminaison de l'homologue. Si votre IP est dynamique, il faut impérativement indiquer votre DDNS en lieu et place de l'IP. Lors de la connexion, le DDNS sera remplacé par votre IP actuelle.

Vérifiez aussi que les IP autorisées couvrent la totalité de votre plage d'IP privée. Vous devriez avoir quelque chose comme ça : 192.168.x.0/24

[guillb]

bonsoir et merci pour la réponse. Je ne comprends plus rien, aujourd'hui tout fonctionne alors que je n'ai rien changé à mes configs. J'ai bien installé des vpn clients avec pour chacun une config spécifique. Bref, j'ai du tester n'importe comment hier (ce que je ne pense pas, mais bon, je ne vois pas d'autres explications).

[guillb]

allez, j'en remets une petite couche sur le même post. Tout marche niquel, mais je viens de trouver un nouveau challenge. Quand je passe mon mac book sur la connection 4G de mon tel avec le point d'accès mobile, et que je lance wireguard sur le mac, l'icone de mon nas disparait du finder et du coup je ne peux plus accéder à mes dossiers partagés du nas. Quand le mac est sur le réseau wifi local, le nas reapparait dans le finder.

une idée quelqu'un? merci!