[ikeke]

CE TUTO NE FONCTIONNE QUE SUR LES SYNO UTILISANT UN KERNEL 2.4.xxx, NE FONCTIONNERA PAS SUR LES KERNEL 2.6.xxx
Testé ok: DS-106. Devrait être ok pour toute la série 106 et 107
Testé pas ok: DS-207 (kernel 2.6.xxx). Pour la même raison il ne fonctionnera sur aucun Syno de la gamme 207 ou 407

Pré-requis :
TELNET et IPKG installés
Télécharger les archives contenant les fichiers de config serveur et client :
http://ikeke.free.fr...Conf-Client.rar
http://ikeke.free.fr...N-Conf-Serv.rar


# Installation du Package OpenVPN #

ipkg update
ipkg install openvpn


# Création de l'interface Réseau Virtuel #

On va maintenant créer l'interface virtuel qui va nous permettre d'avoir un tunnel au sein de notre Syno
mkdir /dev/net
mknod /dev/net/tun c 10 200


# On monte le module TUN dans le noyau #

mkdir /lib/modules/2.4.22-uc0
cp /opt/lib/modules/tun.o /lib/modules/2.4.22-uc0/
insmod tun


# On active le routage au sein du syno #

echo 1 > /proc/sys/net/ipv4/ip_forward


Ok du côté du système Linux du Syno (interface & routage) c'est maintenant prêt, il faut maintenant installer la configuration pour OpenVPN.
Je vous ai mis à dispo une archive tout en un avec des clés RSA présente et un fichier de configuré. Si vous voulez créer vos propres clés, libre à vous, de nombreux sites traitent de ce sujet.
Je vais donc partir du principe que vous allez utiliser, au moins le temps de tester si ca fonctionne, ma config toute prête

Décompresser l'archive ConfigSyno.rar dans le repertoire Public de votre syno, vous devez vous retrouver avec un repertoire config


# On copie dossier config au bon endroit et on donne les droits adéquats #

cp -R /volume1/public/config /opt/etc/openvpn/
cd /opt/etc/openvpn
chown -R root openvpn
chgrp -R root openvpn
chmod -R 755 openvpn


# Fichier de démarrage du VPN #

cp /opt/etc/openvpn/config/S24openvpn /opt/etc/init.d/
chmod 755 /opt/etc/init.d/S24openvpn


# On lance le serveur VPN #

cd /opt/etc/init.d
sh S24openvpn

Le serveur risque de renvoyé la phrase "insmod: A module named tun already exists" ne vous inquiétez pas c'est normal c'est parce qu'on l'a monté un peu plus tot. Néanmoins la ligne semble nécessaire dans le fichier pour que tout soit ok en cas de reboot

Bon ben c'est fini pour la partie Synology...



# Au tour de windows maintenant #

Récupérez OpenVPN pour windows à l'adresse suivante:
http://openvpn.net/r...rc4-install.exe
Cette version est compatible XP/Vista

Lancez l'installation et procéder à l'installation sans changer les options par défaut normalement mais assurez vous juste que l'installation d'OpenVPN GUI est coché.
Le PC peut demander à rebooter

Une fois l'installation terminée, extraire les fichiers de l’archive OpenVPN-Conf-Client.rar dans le répertoire C:\Program Files\OpenVPN\
Si lors de l’extraction un message indique que le fichier existe déjà, dites que vous souhaitez remplacer les fichiers actuels.
ouvrir le fichier client.ovpn et rechercher la section suivante:

Citation

# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote XXXXXX 1194 #mettre l' IP DU SERVEUR suivi du n° de port (par defaut le 1194)
;remote my-server-2 1194

Remplacer XXXXXX par votre nom de domaine si vous en avez un (genre dyndns) ou par votre adresse ip public

Si OpenVPN GUI ne s'est pas lancé, il faut maintenant la lancer. Une icone apparait dans le systray, double cliquez dessus pour lancer la connexion au VPN, une fenetre s'ouvre et au bout de quelques secondes disparait, une info bulle devrait alors vous indiquer que vous etes connecté et vous donner l'adresse


Avec ma config, l'adresse du Syno par le VPN est 192.168.21.1.
Vous pouvez donc essayer d'accéder au syno par telnet en tapant cette adresse.

A noter que vous devez ouvrir le port 1194 en TCP au niveau de votre routeur pour que cela fonctionne à travers internet.


AVERTISSEMENT : Cette configuration « Tout en un » est là pour vous aider à mettre en place rapidement un VPN qui fonctionne (j’ai testé le VPN avec ces clés et cette config sans soucis). Cependant les clés du tuto étant accessible à tout le monde, je vous conseille de générer vos propres clés afin que n’importe qui connaissant votre adresse ip ne vienne jouer les squatteurs.

[NeoNitrous]

:( je peux pas le tester pour le moment, mais ca me parait type top :)
Je vais sur google pour trouver des sites qui traitent de la gen des clé VPN ;)

[ikeke]

Allez je vous mets la procédure pour les clé personnelles

Générer les certificats (clés):

Lancez une console (Démarrer / Exécuter / cmd.exe).

Citation

> cd C:\Program Files\OpenVPN\easy-rsa
> init-config

editez le fichiez vars.bat qui se trouve normalement dans C:\Program Files\OpenVPN\easy-rsa:


Ce qu’il y a à modifier (aucun champ ne doit être laissé vide) :

set KEY_COUNTRY=FR
set KEY_PROVINCE=RX  
set KEY_CITY=Roubaix
set KEY_ORG=MonEntreprise
set KEY_EMAIL=example@monentreprise.net

Ensuite en console:

Citation

> vars
> clean-all
> build-ca
> build-key-server server
> build-dh
> openvpn --genkey --secret ta.key

Génération des certificats et clés pour les clients. Chaque nom doit être unique et mettez le « common name » correspondant à chaque nouveau certificat « client1 », « client2 », etc.
Pour le reste, contentez-vous de valider en tapant entrée à chaque fois et répondez deux fois « y » aux questions à la fin pour la signature des certificats.

Citation

> build-key client1
> build-key client2
> build-key client3

Ouvrez une fenêtre explorateur et allez dans
C:\Program Files\OpenVPN\easy-rsa\keys

Sur le serveur, copiez « ca.crt », « server.crt », « server.key », « dh1024.pem » et « ta.key »

Sur chaque client, vous devez copier : « ca.crt », « clientx.crt », « clientx.key », « ta.key » leur correspondant dans C:\Program Files\OpenVPN\config

Le fichier « ca.key » devrait être gardé hors ligne.
Le répertoire C:\Program Files\OpenVPN\easy-rsa peut être effacé.


C'est fini

[NeoNitrous]

:shok: Super j'ai eu un peut du mal a trouver un truc concret pour la gen des clés :hi:

a croire que je suis un NeoBoulet en ce moment :P

[ikeke]

NeoNitrous, le 16-07-2007 10:52, dit :

a croire que je suis un NeoBoulet en ce moment :P

T'as besoin de vitamines :D

[NeoNitrous]

vitamine = vacances ?
vacances = pas possible cette année :'(

[ikeke]

NeoNitrous, le 16-07-2007 12:25, dit :

vitamine = vacances ?
vacances = pas possible cette année :'(

euh non vitamine = jeux de fruit, magnéB6, VitamineC :D
Mince... pourquoi pas de vacance ? nouveau boulot ?

[NeoNitrous]

oui exact nouveau job, apres mon licenciment a bordeaux, je suis revenu chez moi dans le Sud "montpellier" et j'ai un nouveau job donc peut etre si je suis gentil et que je crois au pere noel (OUI TRES FORT) j'aurai une semaine en Aout :D

Mais on qd la boite est fermer je ne vois pas ce que je ferai devant la porte du batiment :D la manche :P

[cutterman]

Question :
Mon routeur (WRT54GS) avec firmware alternatif installé (Alchemy) me permet de créer un tunnet vpn (j'y connais rien hein, juste bidouilleur, alors pas sûr des termes utilisés...).
Ainsi, une fois le service configuré, je crée une connexion réseau à distance sous Windows, mon ip fixe, login + mdp, et ça roule'z, je me connecte à mon réseau@home.

Que peut m'apporter de plus l'installation d'open vpn sur mon Syno ?

[NeoNitrous]

Si ton routeur fait VPN c'est bonheur, le Syno ne t'apportera rien de plus (je pense)
utilise plutot le VPN de ton routeur pour alleger la charge du Syno ;)

[asmatt]

Lu,

Pouvez-vous m'expliquer quelle types d'utilisation vous faites avec un VPN ?

Je n'ai pas encore trop compris le principe. :)

Merci

;)

[ikeke]

asmatt, le 24-07-2007 16:36, dit :

Lu,

Pouvez-vous m'expliquer quelle types d'utilisation vous faites avec un VPN ?

Je n'ai pas encore trop compris le principe. :)

Merci

;)

Perso ca me permets d'accéder à mes partages Windows depuis le boulot à travers internet tout en gardant un haut niveau de sécurité.
J'ai également installé Squid qui est un proxy web, ca me permet d'avoir l'acces complet à Internet par le biais du VPN alors que si j'utilise le proxy du boulot de très nombreux sites sont bloqués.

[meded]

Salut tout le monde, je viens d'installer la version gui openvpn sur un poste windows vista malheureusement je n'arrive pas à me connecter à mon serveur vpn , l'erreur que m'affiche le client est :"l'adresse demandée n'est pas valide dans contexte. (code=10049)".

alors que sur un autre poste windows XP le client vpn se connecte sans problème quelqu'un a une suggestion merci

[cutterman]

ikeke, le 24-07-2007 17:32, dit :

Perso ca me permets d'accéder à mes partages Windows depuis le boulot à travers internet tout en gardant un haut niveau de sécurité.
J'ai également installé Squid qui est un proxy web, ca me permet d'avoir l'acces complet à Internet par le biais du VPN alors que si j'utilise le proxy du boulot de très nombreux sites sont bloqués.

Perso, j'ai même pas eu à installer de proxy pour pouvoir utiliser ma connexion@home... simplement à indiquer mes dns free sur ma connexion à distance...

Sinon, l'intérêt est effectivement d'avoir accès à son réseau sans soucis.

[ikeke]

cutterman, le 24-07-2007 19:20, dit :

Perso, j'ai même pas eu à installer de proxy pour pouvoir utiliser ma connexion@home... simplement à indiquer mes dns free sur ma connexion à distance...

Effectivement c'est possible de fonctionner de cette façon, l'interet de squid etant de fournir un cache http qui accelere grandement la navigation.

[cutterman]

ikeke, le 24-07-2007 19:23, dit :

Effectivement c'est possible de fonctionner de cette façon, l'interet de squid etant de fournir un cache http qui accelere grandement la navigation.

Mais ce proxy, tu l'as installé sur le Syno ?

Sinon, niveau vitesse navigation, aucun soucis, j'ai du 1Mb sortant chez moi...

[ikeke]

cutterman, le 24-07-2007 20:17, dit :

Mais ce proxy, tu l'as installé sur le Syno ?

Sinon, niveau vitesse navigation, aucun soucis, j'ai du 1Mb sortant chez moi...

Oui c'est un package installable avec ipkg, suffit juste de configurer et initialiser le cache et c'est parti ;)
Moi aussi j'ai du 1 Mb mais on voit bien la diiférence...

[cutterman]

ikeke, le 24-07-2007 21:11, dit :

Oui c'est un package installable avec ipkg, suffit juste de configurer et initialiser le cache et c'est parti ;)
Moi aussi j'ai du 1 Mb mais on voit bien la diiférence...

Ok, j'ai tenté l'install mais, j'a eu ce message :

Citation

J'ai eu ça à l'install :

Configuring squid
create default cache and logs dir
FATAL: Could not determine fully qualified hostname. Please set 'visible_hostname'

Squid Cache (Version 2.6.STABLE9): Terminated abnormally.
CPU Usage: 0.030 seconds = 0.020 user + 0.010 sys
Maximum Resident Size: 0 KB
Page faults with physical i/o: 280
Aborted (core dumped)

You should review the configuration file /opt/etc/squid/squid.conf,
make any necessary change, and complete the install by running -
/opt/etc/init.d/S80squid start

C'est grave Doc' ?

Le fichier squid.conf s'édite tout simplement avec le bloc note ?
Et dernière question, il dit "complete the install by running....", je run comment ? :D

[ikeke]

cutterman, le 25-07-2007 16:11, dit :

Ok, j'ai tenté l'install mais, j'a eu ce message :
C'est grave Doc' ?

Le fichier squid.conf s'édite tout simplement avec le bloc note ?
Et dernière question, il dit "complete the install by running....", je run comment ? :D

Le fichier squid.conf fourni avec le package squid est complétement pourri, en voici un fonctionnel:

Citation

cache_mgr bigbrother@is_watching_you
visible_hostname syno
cache_mem 8 MB
cache_dir ufs /opt/var/squid/cache 100 16 256
negative_dns_ttl 10 second
connect_timeout 60 second
read_timeout 80 second
request_timeout 80 second

cache_access_log /opt/var/squid/logs/access.log
cache_log /opt/var/squid/logs/debug
cache_store_log /opt/var/squid/logs/storage

hierarchy_stoplist on
http_port 3128
# Global ACL-Definitions (Access control lists)

acl idents ident REQUIRED
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl all src 0.0.0.0/0.0.0.0
acl intern dst 192.168.21.0/255.255.255.0
acl FTP proto FTP
always_direct allow FTP
acl Allowed_Ports port 80 99 443 21 563 488 777 210 1025-65535
acl yourLAN src 192.168.21.0/255.255.255.0

#http_access definition
http_access allow idents
http_access allow all
http_access allow intern
http_access deny manager all
http_access allow yourLAN
http_access deny all

icp_access deny all
miss_access allow all
always_direct allow intern

Les lignes:
acl intern dst 192.168.21.0/255.255.255.0
acl yourLAN src 192.168.21.0/255.255.255.0
sont à modifier pour mettre l'adresse de ton réseau VPN

ensuite si ma mémoire est bonne tu devras faire un squid -z pour initialiser le cache... Il est possible que tu sois obligé de créer le repertoire cache à la main et lui filer les droits d'acces.

Pour l'édition de fichier de config linux, je déconseille le bloc note qui a tendance a rajouter des caracteres de fin de ligne non visibles qui sont malheureusement interprété sous linux ce qui cause parfois des erreurs de script
Pour éditer sous Windows je te conseille de telecharger l'excellent freeware Notepad ++
Sinon l'ideal c'est d'installer Winscp 3 qui permet de se connecter en SSH sur le syno et d'avoir une interface graphique style explorer. il contient un editeur de fichier qui ne pose pas de probleme, j'utilise quasiment que ces 2 précédents logiciels

[asmatt]

lu,

dans OpenVpn GUI, j'obtiens le message :

TCP: connect to 88.160.137.38:1194 failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)

J'ai ouvert sur ma Freebox le port 1194 TCP.

une idée d'où peut venir le problème ?

;)