Aller au contenu

[Vpn] Installer Vpntunnel.se Sur Son Synology


gothax

Messages recommandés

et je confirme qu'il faut bien proteger son nas, j'ai du bloqué des ip et finalement désactiver le ssh suite à de multiple tentative de connexion

C'est assez "normal" d'avoir ce genre de tentatives, le fait de changer le port du SSH peut deja en eviter pas mal. Par contre ca provoque des problemes sur certaines fonctionnalité du Synology comme le Network Backup Securisé entre deux Syno... on ne sait pas spécifier le port...

Maintenant si le mot de passe est complexe et que tu bloques l'ip après 5 tentatives, le brute force est quasi impossible... (j'ai bien dit quasi :rolleyes: )

Lien vers le commentaire
Partager sur d’autres sites

  • Réponses 110
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Meilleurs contributeurs dans ce sujet

Images postées

Bonjour giorgio,

Est-ce qu'il possible de bloquer les communications si le VPN est déconnecté ?

Bonjour,

En fait il y a une contrainte assez simple qui nécessite d'avoir le script qui tourne toute les minutes. Quand le VPN se déconnecte (peu importe la raison), l'interace tun0 (ou ppp0) disparait et donc est également effacée d'iptables (iptables n'accepte que des règles pour des interfaces valides). Il n'est donc pas possible d'avoir un iptable qui ne change pas, c'est dynamique.

Si tu fais un jour un drop all sur eth0, tu auras une mauvaise surprise :blink: ton syno deviendra instantanement injoignable et donc il faudra faire un hard reboot pour le récupérer en esperant que tu n'as pas mis le drop all sur l'eth0 dans un script exécuté au démmarage... bref, oublies!

eth0 est ton interface physique primaire et donc elle ne peut pas être soumise a un drop all. En plus, il faut garder en tête que ton VPN crée tun0 au travers d'eth0. C'est un peu comme si tu coupais la branche de l'arbre sur laquelle tu es assis.

Il faut plutot t'arranger pour cibler ce que tu veux bloquer en sortie par eth0, hors VPN donc. Malheureusement le module iptables ipt_owner qui permet de filtrer les packets sortant par user (en toute logique les services que tu veux bloquer sont lancés par des utilisateurs en particuler comme transmission ou sabnzbd, à tout hasard :rolleyes: ) n'est pas inclus dans les paquets fournis dans l'OS.

Il reste la possibilité de le faire basé sur les ports en sortie, encore faut t'il connaitre le range a bloquer, ce qui n'est pas toujours évident. Je vais y jeter un oeil si j'ai le temps.

Il y a moyen en effet, il faut voir ce que tu veux bloquer. Sache déjà que si les ports utilisés pour les réseaux p2p ne sont pas routés vers ton Syno depuis ta box(routeur) et/ou que ton Syno n'est pas dans une DMZ, ils ne peuvent plus se connecter sur les services p2p qui tournent sur ton Syno.

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

OK, je vois mieux.

Est-ce que le port que tu utilise pour te connecter a l'interface web de ton Syno est forwardé depuis ta box ou est-ce que le syno est en DMZ? (perso, la DMZ c'est à proscrire!)

Pour l'accès web, privilégie le HTTPS, c'est deja beaucoup plus securisé. tu peux configurer dans le Syno les restrictions d'accès et forcer le HTTPS/SSL.

Le port par defaut pour le SSL est 5001 sur le syno.

Sinon, le plus simple est effectivement d'utiliser DynDNS ou autre équivalent depuis le Syno (pas depuis la box), il te donnera l'IP publique de l'interface VPN lorsque celui çi est connecté ou l'IP de ta box quand le VPN est OFF.

Après pour y avoir accès de manière transparente, peu importe si VPN ou pas, dépendra de la bonne configuration de ta box avec les bons ports forwardés.

Pour l'accès local, il ne devrait pas y avoir de problème en LAN si ton syno n'est pas dans une DMZ.

Après avoir tout configuré proprement et testé les accès depuis le LAN et le WAN, tu pourras regarder pour sécuriser ton interface VPN.

Bon amusement! ;)

Bonjour,

Ton post est très intéressant.

Malheureusement pour moi qui suis encore débutant sur les NAS je n'arrive pas à le mettre à exécution.

J'ai bien ouvert les ports de ma box (5000 et 5001) et paramétré le DNS.

Toutefois lors de l'activation du VPN, le changement ne s'effectue pas du tout et je ne peux plus me connecter depuis l'extérieur.

Que faire ? Merci d'avance

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

MISE A JOUR DE MON TUTORIEL EN TENANT COMPTE DES MODIFICATIONS DES FICHIERS

CONFIGURER VPNTUNNEL avec DSM 5.X

Tout d'abord merci à Oniric (mais aussi mmnospam) pour avoir complété avantageusement ma première version du tutoriel.

Avec DSM 5 une nouvelle interface nous est proposée, certains ont pu être perdu pour configurer leur VPN

Tout d'abord ouvrer le panneau de configuration / Connectivité / Réseau / onglet Interface réseau :

27505420140330095058SynologyDiskStationD

Ensuite cliquer sur Créer / Créer un profil VPN

81320120140330095342SynologyDiskStationD

Choisissez OpenVPN

11979120140330095426SynologyDiskStationD

Ensuite remplissez les champs de configuration venant de VPN Tunnel :

39359420140330095640SynologyDiskStationD

Ensuite cliquer sur Reconnexion automatique et Appliquer :

36038420140330095926SynologyDiskStationD

Ensuite nous allons ouvrir la connexion SSH :

70702920140330102543SynologyDiskStationD

puis ici :

57701820140330102608SynologyDiskStationD

Lancer ensuite Putty que vous trouverez chez gratilog

Configurer votre IP et le port 22 puis Open

Une fenêtre dos apparaît:

login : root

mdp : votremotdepasse

taper

cd /usr/syno/etc/synovpnclient/openvpn/

Puis lister vos fichiers avec ls :

38712020140330102938192168014PuTTY.png

puis éditer avec vi vos fichiers client_xxxx en tapant :

vi client_xxxx

59049720140330103421192168014PuTTY.png

A l'aider de ce site http://www.di.u-psud.fr/machine/aide/vi.html remplacer la ligne indiquée par ce que je vous montre en dessous :

35826820140330104015192168014PuTTY.png

pour quitter l'éditeur vi taper :wq

Quelques instructions de vi :

  • i pour éditer
  • esc pour quitter l'édition
  • yy : copier une ligne
  • p : coller les lignes à un endroit donné
  • dd pour effacer une ligne

Puis quitter la fenêtre dos de Putty en tapant exit

Fermer le service SSH !!!

Modifié par gothax
Lien vers le commentaire
Partager sur d’autres sites

Pour se connecter cliquer sur le lien puis connecter

12278320140330110138SynologyDiskStationD

FAQ :

  • Comment savoir quel certificat utiliser :

Editer par exemple le fichier NL-openvpn.conf que vous avez téléchargé chez VPNTunnel

client
dev tun 
proto udp 
nobind

; CERT
ns-cert-type server
cipher BF-CBC

; HOST
remote-random
remote nl-vpn.vpntunnel.se 7001
remote nl-vpn.vpntunnel.se 7002
remote nl-vpn.vpntunnel.se 7003
remote nl-vpn.vpntunnel.se 7004
remote nl-vpn.vpntunnel.se 7005
remote nl-vpn.vpntunnel.se 7006
remote nl-vpn.vpntunnel.se 7007
remote nl-vpn.vpntunnel.se 7008

resolv-retry infinite

; AUTH
auth-user-pass
persist-key
persist-tun

comp-lzo
verb 3
<ca>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</ca>

Si vous éditez également les certificats de VPNTunnel ca1.crt cela correspond au code <ca>...</ca> juste au dessus. Donc les serveurs Hollandais fonctionnent avec le ca1.crt

  • Quels sont les serveurs qui fonctionnent actuellement :

Au 30 mars 2014:

- Suede / certificat ca1.crt ::::: fonctionne

- Pays bas / certificat ca1.crt ::::: fonctionne

- Roumanie / certificat ca1.crt ::::: ne fonctionne pas

Modifié par gothax
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Depuis le passage en version 5, je n'arrive plus à le faire fonctionner, alors qu'avant ça marchait parfaitement :-(

Ca me dit que la connexion a échouée et de vérifer l'adresse du serveur et ma config de firewall. Mais je n'y ai pas touché.

Est-ce qu vous avez une idée ?

Merci

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Bonsoir,

Est-ce que ce Tuto fonctionne que pour vpntunel ou on peut l'utiliser pour un autre fournisseur comme FreedomIp ou Ironsocket?

Chez Ironsocket ils m'ont envoyé un tuto plutôt bien fait avec copies d'écrans mais c'est super complexe. J'ai pourtant réussi à aller jusqu'au bout mais malheureusement ça ne fonctionne toujours pas. C'est vraiment galère de faire fonctionner ce VPN, je ne sais pas si avant le DSM 5 c'était mieux mais là...

J'ai réussi en PP2P et L2TP mais avec Dyndns.org je vois toujours mon adresse Ip française.

Cordialement

Lien vers le commentaire
Partager sur d’autres sites

le principe est le même pour tous les VPN maintenant faut voir ce que te fournissent ces sociétés de VPN en terme de fichiers conf (edit : chez FreedomIp tu disposes des fichiers conf dans la rubrique installation sous ubuntu)

Modifié par gothax
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir et merci beaucoup pour ce tuto qui m'a bien servi mais face auquel je suis maintenant démuni.

Je m'explique: voici une dizaine de jours j'ai suivi le tuto à la lettre (pour DSM 5) et j'ai configuré le vpn uk sans problème.

Auourd'hui, le vpn ne se reconnecte plus, je décide donc de reconfigurer un nouveau tunnel pour des ip autres que UK.

Pas de bol, arrivé à l'edition des fichier client (j'en trouve 4 dont un client_xxxx) ils sont comme vides (en bas de page : 1/1 100% et non 2/13 15% comme sur le tuto).Je ne sais donc pas trop quoi éditer.

quelqu'un pourrait-il m'aider?

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

je n'avance pas sur mon problème, j'ai réessayé, reréessayé encore et encore, créé d'autres profils vpn mais je n'ai pas de meilleur résultat: "la connexion a échoué ou le certificat a expiré. Veuillez utiliser un certificat valide émis par le serveur vpn et réessayez".

Quelque chose me dit qu'à force de bidouiller je n'ai fait que compliquer les choses.

Pensez-vous qu'il est possible d'effacer les fichiers config (via putty par exemple) pour tout reprendre à zéro?

Merci pour votre aide.

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

Moi j'ai fini par configurer mon VPN Ironsocket j'ai eu les mêmes soucis, oui on peut effacer les fichiers et faire le ménage dans les répertoires mais attention aux fausses manips!

Déjà supprimer toutes les connexions existantes depuis l'interface puis avec Putty utiliser les commandes rm voir: http://doc.ubuntu-fr.org/tutoriel/comment_supprimer_un_fichier j'ai même réussi à les déplacer car j'étais dans le mauvais répertoire!

Bon courage

Lien vers le commentaire
Partager sur d’autres sites

Merci pour ta réponse.

j'ai supprimé les connexions et recommencé, mais rien de neuf. Mais quel serait le chemin des fichiers à supprimer d'après toi? Il est vrai que mes compétences sont assez limitées...

J'ai pensé à une autre solution:

sauvegarder ma configuration de nas (utilisateurs, groupes, etc.), restaurer le nas par défaut avant de restaure ma configuration. Là j'imagine que mes fichiers config du nas seraient néttoyés. Bon il faudrait pas que ça me formate mes disques non plus;..

Est-ce que tu penses que ça pourrait le faire et surtout m'éviter une fausse manip lourde de conséquence?

Lien vers le commentaire
Partager sur d’autres sites

Tu sais je découvre mon équipement! Je ne connais pas grand chose et je ne sais même pas encore comment on sauvegarde tout ça.

Il faut effacer le répertoire keys et reprendre depuis le début.

Par MP je t'envois la configuration pour mon VPN, il y a des photos d'écrans ça aide

Lien vers le commentaire
Partager sur d’autres sites

C'est très gentil, j'attend ton MP parce que là je sais pas trop par où commencer. Surtout qu'il y a encore quelques jours tout marchait pour le mieux. Effacer le répertoire keys ça me semble déjà une montagne à gravir alors avec des photos ça pourrait bien m'aider.

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

bjr à tous,

merci pour le tuto, super et si çà peut aider allez voir les scripts d' argenos et cedcox dans la rubrique "arrêt automatique DownloadStation" , cela ma bien aidé pour certaines config.....

cordialement,

roy

Modifié par roypelikan
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.