[Résolu] La connexion L2TP/IPSec ne fonctionne pas

[CyberFr]

Bonjour,

Je pense pourtant avoir suivi à la lettre les instructions du [TUTO] VPN Server de @Fenrir. Le client VPN sur le Mac dit laconiquement :

"Le serveur L2TP-VPN ne répond pas. Essayez de vous reconnecter. Si le problème persiste, vérifiez vos réglages et contactez votre administrateur."

Je suis certain que le mot de passe associé à mon compte est correct de même que la clé secrète ou l'IP publique du NAS. Je joins les copies d'écran de mes différents réglages. Le seul à pouvoir utiliser le service L2TP/IPSec dans les privilèges, c'est moi.

Je dois être maudit avec les VPN !  Merci à ceux qui pourront me venir en aide.

 

 

 

COUPE-FEU DE DSM

 

 

CONFIGURATION DU CLIENT SUR MAC

 

 

 

Modifié il y a 20 heures par CyberFr

[PiwiLAbruti]

IPSec/L2TP est bien plus capricieux à configurer que WireGuard.

Vu les soucis déjà rencontrés avec WireGuard, je te souhaite bonne chance 😅

[goerges]

Salut,

Perso, j'essayerais d'être un peu plus méthodique.

Essaye en désactivant temporairement le firewall pour tes essais

Active dans la config du NAS "Enable SHA2 compatrible mode (96 bit)"

Essaye ton Mac sur un autre VPN si possible.

Je dis ça car j'ai eu pas mal de problèmes avec des clients Windows, parfois ça fonctionnait, parfois pas !

Je mets quand même l'onglet qui posait problème sous Windows.

Il y a peut-être le même genre de config sous Mac( que je ne connais pas)

 

Georges

 

[CyberFr]

Il y a 17 heures, PiwiLAbruti a dit :

Vu les soucis déjà rencontrés avec WireGuard, je te souhaite bonne chance

Certes mais pour Wireguard, entre le Mac et le NAS il y avait un autre intervenant, Free dont l'implémentation du protocole est opaque et semble poser problème. C'est ce qui ressort de discussions que j'ai lues sur le Web.

L'avantage avec L2TP/IPSec c'est que cet intermédiaire disparaît et que ça se règle directement entre le Mac et le NAS. Maintenant, s'il faut une boule de cristal pour le faire fonctionner alors que j'ai simplement suivi les instructions du tuto, autant laisser tomber en effet.

Il y a 10 heures, goerges a dit :

Essaye en désactivant temporairement le firewall pour tes essais

C'est fait.

Il y a 10 heures, goerges a dit :

Active dans la config du NAS "Enable SHA2 compatrible mode (96 bit)"

Je vais essayer. Merci.

[goerges]

Et tant qu'aà faire, j'essayerais d'abord en local pour éliminer un intermédiaire supplémentaire ( le FAI).

Et essayer avec un client Windows si tu en as un.

Au pire tu crées un "fake account" et tu demandes à quelqu'un du forum de s'y connecter... 🙂

Georges.

[CyberFr]

il y a une heure, goerges a dit :

Et tant qu'aà faire, j'essayerais d'abord en local pour éliminer un intermédiaire supplémentaire ( le FAI).

C'est déjà fait.

Des caractères diacritiques (#, @) dans mon mot de passe sur le NAS posaient problème, j'ai donc créé un utilisateur dédié avec un mot de passe ne comportant que des caractères dans la plage a-z, A-Z, 0-9.

Depuis j'arrive à me connecter quand j'indique comme serveur l'IP locale du NAS. Mais lorsque j'indique son IP publique les ennuis recommencent...  Ce qui m'étonne c'est que le message d'avertissement dit que le serveur ne répond pas. Ce n'est pas un problème de coupe-feu puisque pour l'instant je suis en local où le coupe-feu laisse tout passer.

Modifié dimanche à 10:27 par CyberFr

[CyberFr]

Un fois de plus le problème se situait entre la chaise et le clavier. J'ai bien fowardé le port 4500 de la Freebox vers le NAS mais en TCP  au lieu de choisir UDP ! J'ai pourtant posté de belles copies d'écran mais personne n'a remarqué cette grossière erreur 🙃

Après rectification tout marche bien mieux et je peux voir dans VPN Server que je suis connecté. Mais je n'arrive pas à joindre le réseau local sur 10.8.0.1 ou 192.168.1.X. J'ai joué sur le réglage "Envoyer tout le trafic sur la connexion VPN" pour tenter de joindre 192.168.1.X mais en vain. J'ai raté quelque chose ?

[PiwiLAbruti]

Le réglage Envoyer tout le trafic sur la connexion VPN doit être activé, sans quoi les réseaux autres que 10.8.0.0/29 seront injoignables.

Sans surprise, ce sont les mêmes symptômes qu'avec Wireguard.

As-tu essayé avec un iPhone ?

[CyberFr]

Ça y est, le VPN fonctionne et je peux accéder au réseau local 😀 Il fallait désactiver les passerelles multiples dans les réglages avancés du réseau. DSM ne sera plus accessible qu'en local et non derrière un reverse-proxy ce qui améliore nettement la sécurité du NAS.

Méfiez-vous car j'accède au forum depuis mon VPN 😀

il y a 6 minutes, PiwiLAbruti a dit :

Le réglage Envoyer tout le trafic sur la connexion VPN doit être activé, sans quoi les réseaux autres que 10.8.0.0/29 seront injoignables.

Merci pour ton aide qui m'a permis de cerner les problèmes et d'avancer.

J'ajoute que j'accède aux IP locales en 192.168.1.X.

[PiwiLAbruti]

C'est ce qui devait également poser problème à WireGuard.

 

ProTip :

Si tu ne souhaites pas faire passer tout ton trafic internet par le VPN du NAS, il faut décocher la case précédente et ajouter une route statique vers 192.168.1/24 sur le client. C'est automatisable avec un script ip-up comme sur Linux en créant le fichier de script /etc/ppp/ip-up et en le rendant exécutable :

chmod 0755 /etc/ppp/ip-up

Contenu du script :

#!/bin/sh
/sbin/route add 192.168.1.0/24 -interface $1

Ainsi, à chaque connexion au VPN, le script sera automatiquement exécuté et seul le trafic à destination du réseau 192.168.1/24 passera par le VPN.

Dans WireGuard, cette configuration est possible en retirant les destinations  0.0.0.0/0 et ::/0 indiquées dans l'instruction AllowedIPs et en y ajoutant 192.168.1.0/24.

[CyberFr]

Ou là là !!!

Ça marche comme ça et j'accède bien aux adresses 192.168.1/24, alors je ne touche plus à rien de peur de tout casser !

Je ne suis pas comme toi qui mange du VPN tous les matins au petit déjeuner 😀