CyberFr Posté(e) le 23 novembre Posté(e) le 23 novembre Bonjour, Je fais des tests avec un smartphone déconnecté du WI-FI qui accède à Internet avec les données cellulaires. J'ai activé WireGuard sur ma Freebox mais je n'arrive pas à joindre le réseau local du NAS au 192.168.1.2. Je peux par contre accéder à n'importe quel site Web. Je croyais que le VPN se connectait sur le réseau local mais ce n'est pas le cas ici. Il faut sans doute faire une redirection de port mais laquelle ? Merci à tous ceux qui pourront m'aider. Voici le fichier de config que je ne peux modifier puisque l'installation se fait avec un QR Code. Citation [Interface] PrivateKey = ********************** Address = 192.168.27.65/32 DNS = 212.27.38.253 MTU = 1360 [Peer] PublicKey = ************************ Endpoint = 82.67.97.246:52724 AllowedIPs = 0.0.0.0/0, 192.168.27.64/27, 192.168.1.0/24 0 Citer
Mic13710 Posté(e) le 23 novembre Posté(e) le 23 novembre @CyberFr que vient faire cette question dans la section concernant l'installation et la configuration des NAS ? Depuis le temps que vous êtes sur ce forum, ce genre d'erreur ne devrait plus se produire, d'autant que ce n'est pas la première fois vous concernant. Je déplace encore mais c'est la dernière fois. Concernant le fichier de conf, il est tout à fait modifiable directement dans le client Wireguard. Les seuls éléments à ne pas altérer sont les clés, l'adresse de l'interface et l'IP publique de la freebox dans le Peer puisque ces éléments permettent d'identifier le client auprès du serveur. Pour que wireguard puisse atteindre le réseau privé, il faut autoriser le dit réseau dans les AllowedIPs du Peer et il faut aussi autoriser le trafic de l'IP du client à atteindre le réseau. C'est ce qu'on retrouve dans le fichier de conf généré par la freebox. AllowedIPs = 0.0.0.0/0, 192.168.27.64/27, 192.168.X.0/24 (X à remplacer par la plage IP privée de la freebox) Si vous ne voulez pas que le trafic internet passe par la freebox, il faut supprimer 0.0.0.0/0 Et pour atteindre le NAS, il faut bien évidemment que la plage d'IP de Wireguard soit autorisée dans le parefeu, ce qui devrait être le cas si vous avez suivi le tuto sur la sécurisation du NAS. Sinon, il faut y ajouter la plage 192.168.27.64/27. 0 Citer
CyberFr Posté(e) le 23 novembre Auteur Posté(e) le 23 novembre Il y a 2 heures, Mic13710 a dit : @CyberFr que vient faire cette question dans la section concernant l'installation et la configuration des NAS ? Depuis le temps que vous êtes sur ce forum, ce genre d'erreur ne devrait plus se produire, d'autant que ce n'est pas la première fois vous concernant. Je déplace encore mais c'est la dernière fois. Mon but est de joindre l'interface d'administration de DSM en utilisant WireGuard et donc de rendre DSM inaccessible depuis Internet. C'est une mesure qui a un réel rapport avec la sécurité, c'est pourquoi j'ai posé ma question dans le forum « Installation, Démarrage et Configuration » où je trouve qu'elle avait sa place. Je me sers actuellement d'un reverse-proxy pour joindre DSM mais un VPN est nettement plus sûr. J'utilise un smartphone car il est plus facile à isoler du réseau local que mon Mac mais le but est, bien entendu, de pouvoir utiliser le VPN sur mon Mac. Le smartphone ne sert que pour des tests. Il y a 2 heures, Mic13710 a dit : Concernant le fichier de conf, il est tout à fait modifiable directement dans le client Wireguard. Les seuls éléments à ne pas altérer sont les clés, l'adresse de l'interface et l'IP publique de la freebox dans le Peer puisque ces éléments permettent d'identifier le client auprès du serveur. Pour que wireguard puisse atteindre le réseau privé, il faut autoriser le dit réseau dans les AllowedIPs du Peer et il faut aussi autoriser le trafic de l'IP du client à atteindre le réseau. C'est ce qu'on retrouve dans le fichier de conf généré par la freebox. Je ne me rappelais pas (et pourtant je l'ai déjà fait mais ne m'en souvenais plus) que l'on peut éditer le fichier de config directement sur le. smartphone. Sur le Mac c'est facile puisqu'il suffit de disposer d'un traitement de texte. Merci pour la piqûre de rappel. Il y a 2 heures, Mic13710 a dit : Si vous ne voulez pas que le trafic internet passe par la freebox, il faut supprimer 0.0.0.0/0 Bizarre parce que lorsque je le supprime, le VPN est inopérant et la Freebox ne voit aucune connexion. Après la modification du fichier de config je parviens à mon but qui est de joindre DSM depuis Wireguard. Merci pour l'aide. 0 Citer
CyberFr Posté(e) le 26 novembre Auteur Posté(e) le 26 novembre Un modérateur peut-il déplacer cette discussion dans le forum où je l'ai postée à l'origine parce que s'agissant de la sécurité de DSM, elle n'a rien à faire dans Le Bar. 0 Citer
Mic13710 Posté(e) le 26 novembre Posté(e) le 26 novembre @CyberFr j'entends bien le caractère sécuritaire. Pour autant cette question ne concerne pas DSM, ni de prés ni de loin. Jusqu'à preuve du contraire, Wireguard est une solution VPN qui n'est pas embarquée dans nos NAS, et c'est bien regrettable mais là n'est pas le débat. Que vous vous en serviez pour joindre votre réseau de manière sécurisée, et donc votre NAS, n'en fait pas pour autant un sujet concernant les produits synology. J'ai moi même beaucoup échangé sur ce protocole et je l'ai fait dans le bar. On pourrait à la limite le mettre dans internet et réseau, mais c'est tout. Il restera donc dans ce forum. 0 Citer
PiwiLAbruti Posté(e) le 26 novembre Posté(e) le 26 novembre Est-ce que le réseau VPN de la Freebox 192.168.27.64/27 est autorisé dans le pare-feu du NAS ? 0 Citer
CyberFr Posté(e) le 26 novembre Auteur Posté(e) le 26 novembre J'ai autorisé 192.168.27.64 \ 255.255.255.0 sur le NAS. J'arrive bien à me connecter depuis le smartphone sur le réseau cellulaire. J'ai coupé le Mac du réseau local en désactivant le réseau dans les réglages système et en interdisant tout partage de connexion. J'ai activé le WI-FI sur un dongle USB, le Mac n'avait donc plus que cet accès à Internet. Lorsque je tente de joindre des sites Web, je ne rencontre aucun problème mais dés que j'active Wireguard il ne se passe plus rien et je n'arrive à joindre aucun site. J'ai provisoirement désactivé le coupe-feu du NAS mais cela ne change rien. Et comme je ne suis pas sur le même réseau local que la Freebox, je ne peux pas y accéder pour voir ce qui se passe au niveau de la connexion VPN. Les fichiers de config Wireguard du smartphone et du Mac sont identiques en dehors des clés d'identification. 0 Citer
PiwiLAbruti Posté(e) le 26 novembre Posté(e) le 26 novembre Je ne comprends rien à ton architecture réseau. il y a 47 minutes, CyberFr a dit : J'ai autorisé 192.168.27.64 \ 255.255.255.0 sur le NAS. C'est 192.168.27.64/255.255.255.224 qu'il faut autoriser (ça ne changera rien au problème, mais c'est plus précis). 0 Citer
CyberFr Posté(e) le 26 novembre Auteur Posté(e) le 26 novembre il y a 26 minutes, PiwiLAbruti a dit : C'est 192.168.27.64/255.255.255.224 qu'il faut autoriser (ça ne changera rien au problème, mais c'est plus précis). Modification effectuée. 0 Citer
Mic13710 Posté(e) le 26 novembre Posté(e) le 26 novembre Il y a 1 heure, CyberFr a dit : comme je ne suis pas sur le même réseau local que la Freebox Est-ce à dire qu'il y a un routeur entre la freebox et le réseau du NAS ? Si c'est le cas, alors l'accès au réseau n'est pas possible s'il n'y a pas une passerelle entre les deux. Perso, je ne sais pas s'il est possible de le faire sur une freebox. Peut-être que @PiwiLAbruti a une solution à proposer. 0 Citer
CyberFr Posté(e) le 26 novembre Auteur Posté(e) le 26 novembre il y a 28 minutes, Mic13710 a dit : Est-ce à dire qu'il y a un routeur entre la freebox et le réseau du NAS ? Non mais lorsque j'active Wireguard aucune connexion n'est possible, que ce soit avec le réseau local de la Freebox ou avec un quelconque site Web. J'ai bien un log mais je n'y comprends pas grand chose. 0 Citer
PiwiLAbruti Posté(e) le 26 novembre Posté(e) le 26 novembre Si le VPN ne te sert qu'à accéder au réseau local, il est inutile d'y faire passer le trafic internet du mobile. Dans ce cas, il faut retirer le réseau 0.0.0.0/0 (passerelle par défaut) de l'instruction AllowedIPs de la configuration WireGuard du client. Pour le reste, je ne comprends toujours rien à la façon dont tu fais les tests avec le Mac. L'idéal serait de faire un partage de connexion avec un smartphone pour que le Mac ne soit pas sur le même réseau local que le NAS. 0 Citer
CyberFr Posté(e) le 27 novembre Auteur Posté(e) le 27 novembre Il y a 16 heures, PiwiLAbruti a dit : Dans ce cas, il faut retirer le réseau 0.0.0.0/0 (passerelle par défaut) de l'instruction AllowedIPs de la configuration WireGuard du client. Je ne sais pas comment Free a implémenté Wireguard, je constate simplement sur le smartphone que lorsque je retire le réseau 0.0.0.0/0 des AllowedIPs, toute connexion avec le VPN est coupée. Il y a 16 heures, PiwiLAbruti a dit : Pour le reste, je ne comprends toujours rien à la façon dont tu fais les tests avec le Mac. L'idéal serait de faire un partage de connexion avec un smartphone pour que le Mac ne soit pas sur le même réseau local que le NAS. Je confie ce rôle à un dongle WI-FI qui a son propre réseau et qui remplace le partage de connexion avec le smartphone. Le fichier de config du Mac : [Interface] PrivateKey = **************** Address = 192.168.27.88/32 DNS = 212.27.38.253 MTU = 1360 [Peer] PublicKey = ****************** PresharedKey = ***************** AllowedIPs = 0.0.0.0/0, 192.168.27.64/24, 192.168.1.0/24 Endpoint = 82.67.97.246:52724 0 Citer
Mic13710 Posté(e) le 27 novembre Posté(e) le 27 novembre il y a une heure, CyberFr a dit : lorsque je retire le réseau 0.0.0.0/0 des AllowedIPs, toute connexion avec le VPN est coupée. Cela veut simplement dire que les autres IP ne passent pas le tunnel. Et c'est bien ce qui se passe puisque vous n'arrivez pas à rejoindre le réseau. Lorsque Wireguard est connecté, est-ce qu'il y a du transfert en réception avec et sans 0.0.0.0/0 ? 0 Citer
PiwiLAbruti Posté(e) le 27 novembre Posté(e) le 27 novembre (modifié) Avec le fichier de configuration suivant, seul le trafic à destination des réseaux indiqués dans AllowedIPs est envoyé sur le VPN : [Interface] PrivateKey = <base64> Address = 192.168.27.x/32 DNS = 212.27.38.253 MTU = 1360 [Peer] PublicKey = <base64> Endpoint = <publicIP>:<port> AllowedIPs = 192.168.27.64/27, 192.168.1.0/24 PersistentKeepalive = 30 PresharedKey = <base64> Je viens de tester et ça fonctionne parfaitement. Il est toujours étrange que le réseau 192.168.27.64 soit en /24 dans ta configuration alors que j'ai un /27. Il y a 1 heure, CyberFr a dit : Je confie ce rôle à un dongle WI-FI qui a son propre réseau et qui remplace le partage de connexion avec le smartphone. Je ne comprends toujours pas les conditions dans lesquelles tu fais les tests, mais ça pourrait être à l'origine du problème que tu rencontres. Modifié le 27 novembre par PiwiLAbruti 0 Citer
CyberFr Posté(e) le 27 novembre Auteur Posté(e) le 27 novembre il y a 50 minutes, PiwiLAbruti a dit : Je viens de tester et ça fonctionne parfaitement. Il est toujours étrange que le réseau 192.168.27.64 soit en /24 dans ta configuration alors que j'ai un /27. J'ai renoncé au dongle WI-FI et j'ai établi un partage de connexion entre le smartphone et le Mac. J'ai modifié le fichier de config en prenant comme exemple celui que tu fournis : [Interface] PrivateKey = ***** Address = 192.168.27.88/32 DNS = 212.27.38.253 MTU = 1360 [Peer] PublicKey = ***** PresharedKey = XYQWr4nnpiARPgOFicSCQLwlJ2aclQAmXLeXrWwv8kg= AllowedIPs = 0.0.0.0/0, 192.168.27.64/27, 192.168.1.0/24 Endpoint = 82.67.97.246:52724 Je parviens à joindre des sites Web. Mais lorsque je modifie les AllowedIPs en supprimant 0.0.0.0/0 AllowedIPs = 192.168.27.64/27, 192.168.1.0/24 je ne peux joindre aucun site Web pas plus que l'IP locale du NAS or c'est pour joindre DSM en local que je tente de mettre en place un VPN. http://192.168.1.X 0 Citer
PiwiLAbruti Posté(e) le 27 novembre Posté(e) le 27 novembre Une fois connecté, tu dois voir les règles de routage suivantes sur ton Mac (commande netstat -rn dans le Terminal) : Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique 192.168.27.64 255.255.255.224 On-link 192.168.27.88 5 192.168.27.88 255.255.255.255 On-link 192.168.27.88 261 192.168.27.95 255.255.255.255 On-link 192.168.27.88 261 192.168.1.0 255.255.255.0 On-link 192.168.27.88 5 192.168.1.255 255.255.255.255 On-link 192.168.27.88 261 Essaye également de faire un ping vers différentes machines de ton réseau distant (192.168.1.x). 1 Citer
CyberFr Posté(e) le 27 novembre Auteur Posté(e) le 27 novembre Voilà ce qui est affiché : Last login: Wed Nov 27 04:57:35 on console cyberfr@LAX1 ~ % netstat -rn Routing tables Internet: Destination Gateway Flags Netif Expire default link#18 UCSg utun3 default 172.20.10.1 UGScIg en1 127 127.0.0.1 UCS lo0 127.0.0.1 127.0.0.1 UH lo0 169.254 link#6 UCS en1 ! 172.20.10/28 link#6 UCS en1 ! 172.20.10.1/32 link#6 UCS en1 ! 172.20.10.1 46:35:83:36:86:64 UHLWIir en1 1119 172.20.10.2/32 link#6 UCS en1 ! 192.168.1 link#18 UCS utun3 192.168.27.64/27 link#18 UCS utun3 192.168.27.88 192.168.27.88 UH utun3 212.27.38.253 link#18 UHWIig utun3 224.0.0/4 link#18 UmCS utun3 224.0.0/4 link#6 UmCSI en1 ! 255.255.255.255/32 link#18 UCS utun3 255.255.255.255/32 link#6 UCSI en1 ! Internet6: Destination Gateway Flags Netif Expire default fe80::%utun0 UGcIg utun0 default fe80::%utun1 UGcIg utun1 default fe80::%utun2 UGcIg utun2 ::1 ::1 UHL lo0 fe80::%lo0/64 fe80::1%lo0 UcI lo0 fe80::1%lo0 link#1 UHLI lo0 fe80::%en1/64 link#6 UCI en1 fe80::4b1:94b:af64:5e71%en1 98:9e:63:4a:1:d8 UHLI lo0 fe80::%utun0/64 fe80::1e45:f5ad:40ab:a6af%utun0 UcI utun0 fe80::1e45:f5ad:40ab:a6af%utun0 link#12 UHLI lo0 fe80::%utun1/64 fe80::e6ae:2195:7d78:335f%utun1 UcI utun1 fe80::e6ae:2195:7d78:335f%utun1 link#13 UHLI lo0 fe80::%utun2/64 fe80::ce81:b1c:bd2c:69e%utun2 UcI utun2 fe80::ce81:b1c:bd2c:69e%utun2 link#14 UHLI lo0 ff00::/8 ::1 UmCI lo0 ff00::/8 link#6 UmCI en1 ff00::/8 fe80::1e45:f5ad:40ab:a6af%utun0 UmCI utun0 ff00::/8 fe80::e6ae:2195:7d78:335f%utun1 UmCI utun1 ff00::/8 fe80::ce81:b1c:bd2c:69e%utun2 UmCI utun2 ff01::%lo0/32 ::1 UmCI lo0 ff01::%en1/32 link#6 UmCI en1 ff01::%utun0/32 fe80::1e45:f5ad:40ab:a6af%utun0 UmCI utun0 ff01::%utun1/32 fe80::e6ae:2195:7d78:335f%utun1 UmCI utun1 ff01::%utun2/32 fe80::ce81:b1c:bd2c:69e%utun2 UmCI utun2 ff02::%lo0/32 ::1 UmCI lo0 ff02::%en1/32 link#6 UmCI en1 ff02::%utun0/32 fe80::1e45:f5ad:40ab:a6af%utun0 UmCI utun0 ff02::%utun1/32 fe80::e6ae:2195:7d78:335f%utun1 UmCI utun1 ff02::%utun2/32 fe80::ce81:b1c:bd2c:69e%utun2 UmCI utun2 cyberfr@LAX1 ~ % Merci @PiwiLAbruti pour ton aide. 0 Citer
PiwiLAbruti Posté(e) le 27 novembre Posté(e) le 27 novembre Il y a 3 heures, PiwiLAbruti a dit : Essaye également de faire un ping vers différentes machines de ton réseau distant (192.168.1.x). Ça donne quoi ? 0 Citer
CyberFr Posté(e) le 27 novembre Auteur Posté(e) le 27 novembre Ça donne ça : cyberfr@LAX1 ~ % ping 192.168.1.X PING 192.168.1.X (192.168.1.X): 56 data bytes Request timeout for icmp_seq 0 Request timeout for icmp_seq 1 Request timeout for icmp_seq 2 Request timeout for icmp_seq 3 ^C --- 192.168.1.X ping statistics --- 5 packets transmitted, 0 packets received, 100.0% packet loss cyberfr@LAX1 ~ % Décidément, je n'arrive pas à comprendre pourquoi ça marche sur le smartphone (même si je note une redirection) et pas sur le Mac. 0 Citer
PiwiLAbruti Posté(e) le 27 novembre Posté(e) le 27 novembre Même vers des appareils autres que le NAS ? (toujours adressés en 192.168.1.x) il y a 11 minutes, CyberFr a dit : (même si je note une redirection) Cest-à-dire ? 0 Citer
CyberFr Posté(e) le 27 novembre Auteur Posté(e) le 27 novembre Quand je tape 192.168.1.X sur le smartphone, je vois une instruction "Redirect?" qui s'ajoute à l'URL que je viens de rentrer. 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.