Bonjour,

Voilà un tuto qui vous permettra de crée un serveur VPN sur votre Syno (testé sur un 207+)

Un VPN (Virtual Private Network) permet de connecter des ordinateur sur un reseau virtuel. Ainsi tout les Pc connectés sur le serveur obtienne une carte reseau virtuelle, qui est interconnecté (routeur) avec toute les autres.

Voilà a quoi peut servir un VPN:

- Faire du jeux en reseau mais chacun chez soit.

- Faire du contrôle à distance sans se soucier des firewall et autre port forwarding.

- Partage de (petits) fichiers.

- Acceder aux partage du syno de l'exterieur

- Se connecter a son reseau d'autre part (non traité ici)

Commencons :

Afin de mettre en place le serveur je me suis basé sur Poptop (pptpd) qui offre le confort d'etre compatible avec le client VPN fourni avec windows.

Mais pour le mettre en place il faudra etre motivé car la route est longue.

Il faut installer la version pptpd d'ipkg:

ipkg install poptop

/opt/etc/init.d/S20poptop stop

on le stop pour etre tranquille.

Déjà Mauvaise nouvelle celle fournie avec ipkg n'est pas adapté il faudra donc en recompiler une en suivant mon tuto. Mais vous ne l'avez pas installée pour rien car l'arboresence et les fichiers de config seront deja en place. Il vous faudra donc récuperer les sources de pptpd j'ai pris la version Stable en cours ici

decompresser le dans votre répertoire de travail.

Il y a un petit patch à appliquer sur les sources sinon les connections ne pourrons pas se faire en revoyant GRE: Discarding packet by header check Mais rassurez vous c'est pas grand chose:

Dans le fichier pptpdefs.h remplacer

struct pptp_gre_header {

        u_int8_t flags;         /* bitfield */

        u_int8_t ver;           /* should be PPTP_GRE_VER (enhanced GRE) */

        u_int16_t protocol;     /* should be PPTP_GRE_PROTO (ppp-encaps) */

        u_int16_t payload_len;  /* size of ppp payload, not inc. gre header */

        u_int16_t call_id;      /* peer's call_id for this session */

        u_int32_t seq;          /* sequence number.  Present if S==1 */

        u_int32_t ack;          /* seq number of highest packet recieved by */

        /* sender in this session */

};

Par:

struct pptp_gre_header {

        u_int8_t flags;         /* bitfield */

        u_int8_t ver;           /* should be PPTP_GRE_VER (enhanced GRE) */

        u_int16_t protocol;     /* should be PPTP_GRE_PROTO (ppp-encaps) */

        u_int16_t payload_len;  /* size of ppp payload, not inc. gre header */

        u_int16_t call_id;      /* peer's call_id for this session */

        u_int32_t seq;          /* sequence number.  Present if S==1 */

        u_int32_t ack;          /* seq number of highest packet recieved by */

        /* sender in this session */

}[color="#FF0000"] __attribute__((packed))[/color];

Une fois compilé il faut recuperer les fichiers :

plugins/pptpd-logwtmp.so

bcrelay

pptpctrl

pptpd

et les mettre au mêmes endroits que ceux installé par ipkg (/opt/sbin/).

Ensuite la version de pppd n'etant aussi pas adapté, pas de reconnaissance des options importantes pour le VPN il faudra y passer aussi.

Là pas de patch à appliquer mais quelques config à faire dans les Makefiles.

Il faut recuperer les sources. ici et decompresser dans un rep de travail.

après un ./configure modifier le Makefile situé a la racine:

Il faut decommenter toutes les lignes de la target all

all:

        cd chat; $(MAKE) $(MFLAGS) all

        cd pppd/plugins; $(MAKE) $(MFLAGS) all

        cd pppd; $(MAKE) $(MFLAGS) all

        cd pppstats; $(MAKE) $(MFLAGS) all

        cd pppdump; $(MAKE) $(MFLAGS) all

ensuite il faut editer pppd/Makefile

# Uncomment the next 2 lines to include support for Microsoft's

# MS-CHAP authentication protocol.  Also, edit plugins/radius/Makefile.linux.

CHAPMS=y

USE_CRYPT=y

# Don't use MSLANMAN unless you really know what you're doing.

#MSLANMAN=y

# Uncomment the next line to include support for MPPE.  CHAPMS (above) must

# also be enabled.  Also, edit plugins/radius/Makefile.linux.

MPPE=y

Ainsi que pppd/plugins/radius/Makefile

# Uncomment the next line to include support for Microsoft's

# MS-CHAP authentication protocol.

CHAPMS=y

# Uncomment the next line to include support for MPPE.

MPPE=y

# Uncomment the next lint to include support for traffic limiting

MAXOCTETS=y

Activer (Y) CHAPMS, USE_CRYPT et MPPE

et vous pouvez lancer la compilation. et recuperer le binaire pppd et le mettre a la place de celui installé par ipkg (/opt/sbin/)

Il ne vous reste plus qu'a complier les modules du noyau suvant :

arc4.ko

sha1.ko

ppp_mppe.ko

Et les mettre dans /lib/modules/

Ensuite il nous reste plus qu'a configurer le tout

J'ai modifier le fichier de lancement au demarrage /opt/etc/init.d/S20poptop :

#!/bin/sh

#

# Start the PoPToP (PPTP server) daemon

#


start() {

    echo -n "Starting PoPToP server: "

    if [ -n "`pidof pptpd`" ]; then

        echo "Already running"

        return

    fi

    echo 1 > /proc/sys/net/ipv4/ip_forward  [color="#00BB00"]//on active le routage[/color]

    insmod arc4.ko                          [color="#00BB00"]//chargement[/color] 

    insmod sha1.ko                          [color="#00BB00"]//des [/color]

    insmod ppp_mppe.ko                      [color="#00BB00"]//modules[/color]

    /opt/sbin/pptpd -c /opt/etc/pptpd.conf -o /opt/etc/ppp/options.pptpd -p /opt/var/run/pptpd.pid

    echo "Done!"

    return

}

stop() {

    echo -n "Shutting down PoPToP server: "

    /bin/kill `cat /opt/var/run/pptpd.pid` 2>/dev/null

    echo 0 > /proc/sys/net/ipv4/ip_forward

    sleep 1

    rmmod arc4.ko

    rmmod sha1.ko

    rmmod ppp_mppe.ko

    if [ -n "`pidof pptpd`" ]; then

        echo "Failed to stop pptpd"

    fi

    echo "Done!"

    return

}

restart() {

    stop

    start

}


case "$1" in

  start)

        start

        ;;

  stop)

        stop

        ;;

  restart|reload)

        restart

        ;;

  condrestart)

        [ -r /opt/var/run/pptpd.pid ] && restart

        ;;

  *)

        echo "Usage: $0 {start|stop|restart|condrestart}"

        exit 1

esac

exit $?

Dans la sequence de lancement j'autorise le noyau à transferer les paquets. Et je charge les modules avec mppe en dernier.

Pareil mais inversé pour la sequence de stop.

Ensuite configuration de pptpd /opt/etc/pptpd.conf:

#######################################################################

########

# $Id: pptpd.conf 2077 2005-06-10 07:18:16Z jeanfabrice $

#

# Sample Poptop configuration file /etc/pptpd.conf

#

# Changes are effective when pptpd is restarted.

###############################################################################


# TAG: ppp

#       Path to the pppd program, default '/usr/sbin/pppd' on Linux

#

ppp /opt/sbin/pppd    [color="#00BB00"]//chemin de notre binaire modifié de pppd[/color]


# TAG: option

#       Specifies the location of the PPP options file.

#       By default PPP looks in '/etc/ppp/options'

#

option /opt/etc/ppp/options.pptpd    [color="#00BB00"]//chemin du fichier de config de pppd[/color]


# TAG: debug

#       Turns on (more) debugging to syslog

#

#debug


# TAG: stimeout

#       Specifies timeout (in seconds) on starting ctrl connection

#

# stimeout 10


# TAG: noipparam

#       Suppress the passing of the client's IP address to PPP, which is

#       done by default otherwise.

#

#noipparam


# TAG: logwtmp

#       Use wtmp(5) to record client connections and disconnections.

#

logwtmp


# TAG: bcrelay <if>

#       Turns on broadcast relay to clients from interface <if>

#

bcrelay ppp0      [color="#00BB00"]//Fait le relais des broadcast sur l'interface ppp[/color]


# TAG: localip

# TAG: remoteip

#       Specifies the local and remote IP address ranges.

#

#       Any addresses work as long as the local machine takes care of the

#       routing.  But if you want to use MS-Windows networking, you should

#       use IP addresses out of the LAN address space and use the proxyarp

#       option in the pppd options file, or run bcrelay.

#

#       You can specify single IP addresses seperated by commas or you can

#       specify ranges, or both. For example:

#

#               192.168.0.234,192.168.0.245-249,192.168.0.254

#

#       IMPORTANT RESTRICTIONS:

#

#       1. No spaces are permitted between commas or within addresses.

#

#       2. If you give more IP addresses than MAX_CONNECTIONS, it will

#          start at the beginning of the list and go until it gets

#          MAX_CONNECTIONS IPs. Others will be ignored.

#

#       3. No shortcuts in ranges! ie. 234-8 does not mean 234 to 238,

#          you must type 234-238 if you mean this.

#

#       4. If you give a single localIP, that's ok - all local IPs will

#          be set to the given one. You MUST still give at least one remote

#          IP for each simultaneous client.

#

# (Recommended)

localip 192.168.10.1             [color="#00BB00"]//adresse du syno sur le reseau virtuel[/color]

remoteip 192.168.10.10-50   [color="#00BB00"]//Adresse qui seront distribuée[/color]

# or

#localip 192.168.0.234-238,192.168.0.245

#remoteip 192.168.1.234-238,192.168.1.245

Dans ce fichier tout est clair, juste une precision sur bcrelay il permet de relayer le broadcast qui arrive sur l'interface ppp0 aux autre interfaces (ppp1, ppp2 ...). Par "construction" le broadcast est bloqué par un routeur, là le syno agit comme un routeur, comme les jeux videos annonces leur parties par du broadcast, sans bcrelay pas de jeux.

et de pppd /opt/etc/ppp/options.pptpd:

#######################################################################

########

# $Id: options.pptpd 2077 2005-06-10 07:18:16Z jeanfabrice $

#

# Sample Poptop PPP options file /etc/ppp/options.pptpd

# Options used by PPP when a connection arrives from a client.

# This file is pointed to by /etc/pptpd.conf option keyword.

# Changes are effective on the next connection.  See "man pppd".

#

# You are expected to change this file to suit your system.  As

# packaged, it requires PPP 2.4.2 and the kernel MPPE module.

###############################################################################



# Authentication


# Name of the local system for authentication purposes

# (must match the second field in /etc/ppp/chap-secrets entries)

name pptpd   [color="#00BB00"]//comme ecrit ci dessus, doit coller a la deuxième colonne dans le fichier de mot de passe[/color]


# Strip the domain prefix from the username before authentication.

# (applies if you use pppd with chapms-strip-domain patch)

#chapms-strip-domain



# Encryption

# (There have been multiple versions of PPP with encryption support,

# choose with of the following sections you will use.)


[color="#00BB00"]//on refuse les authentification non securisé, et on demande que le tunnel soit crypté[/color]

# BSD licensed ppp-2.4.2 upstream with MPPE only, kernel module ppp_mppe.o

# {{{

refuse-pap

refuse-chap

refuse-mschap

# Require the peer to authenticate itself using MS-CHAPv2 [Microsoft

# Challenge Handshake Authentication Protocol, Version 2] authentication.

require-mschap-v2 

# Require MPPE 128-bit encryption

# (note that MPPE requires the use of MSCHAP-V2 during authentication)

require-mppe-128

# }}}



# OpenSSL licensed ppp-2.4.1 fork with MPPE only, kernel module mppe.o

# {{{

#-chap

#-chapms

# Require the peer to authenticate itself using MS-CHAPv2 [Microsoft

# Challenge Handshake Authentication Protocol, Version 2] authentication.

#+chapms-v2

# Require MPPE encryption

# (note that MPPE requires the use of MSCHAP-V2 during authentication)

#mppe-40        # enable either 40-bit or 128-bit, not both

#mppe-128

#mppe-stateless

# }}}



# Network and Routing


# If pppd is acting as a server for Microsoft Windows clients, this

# option allows pppd to supply one or two DNS (Domain Name Server)

# addresses to the clients.  The first instance of this option

# specifies the primary DNS address; the second instance (if given)

# specifies the secondary DNS address.

#ms-dns 10.0.0.1

#ms-dns 10.0.0.2


# If pppd is acting as a server for Microsoft Windows or "Samba"

# clients, this option allows pppd to supply one or two WINS (Windows

# Internet Name Services) server addresses to the clients.  The first

# instance of this option specifies the primary WINS address; the

# second instance (if given) specifies the secondary WINS address.

ms-wins 192.168.10.1   [color="#00BB00"]//le serveur wins permet de faire circuler les noms de machine sur un reseau routé[/color]

#ms-wins 10.0.0.4


# Add an entry to this system's ARP [Address Resolution Protocol]

# table with the IP address of the peer and the Ethernet address of this

# system.  This will have the effect of making the peer appear to other

# systems to be on the local ethernet.

# (you do not need this if your PPTP server is responsible for routing

# packets to the clients -- James Cameron)

proxyarp


# Debian: do not replace the default route

nodefaultroute


# Logging


# Enable connection debugging facilities.

# (see your syslog configuration for where pppd sends to)

#debug


# Print out all the option values which have been set.

# (often requested by mailing list to verify options)

#dump



# Miscellaneous


# Create a UUCP-style lock file for the pseudo-tty to ensure exclusive

# access.

lock


# Disable BSD-Compress compression

nobsdcomp

Le fichier de mot de passe /opt/etc/ppp/chap-secrets:

# fichier genere par getaccount.php ne pas modifier

# PPP CHAP secrets file.

# See pppd(1) for file format.


# Secrets for authentication using CHAP

# client        server        secret        IP addresses

 guest         pptpd         madmax        *

Le serveur Wins agit un peu comme bcrelay vu plus haut mais pour les noms de machine.

/usr/syno/etc.defaults/smb.conf

[global]

        printcap name=/usr/syno/etc/printcap

        winbind enum groups=yes

        idmap uid=10000-30000

        socket options=TCP_NODELAY

        security=user

        realm=*

        idmap gid=10000-30000

        passdb backend=smbpasswd

        printing=lprng

        wins support=yes              [color="#00BB00"]//ne pas oublier d'activer le serveur Wins sur le Syno[/color]

        winbind enum users=yes

        load printers=yes

        workgroup=CANADA

Voila apres un reboot du syno (où samba restart et poptop start) votre vpn fonctionne. Mais il reste bloqué a 3 connections Max (en comptant les sessions telnet/ssh) voilà une petite modif pour palier à ce probleme

mknod /dev/ptmx c 5 2

chmod 666 /dev/ptmx

mkdir /dev/pts

echo "none /dev/pts devpts gid=5,mode=620 0 0" >> /etc/fstab

mount /dev/pts

Voici mes Sources (Merci a leur auteurs):

http://www.internettablettalk.com/forums/s...ad.php?p=122042

http://www.nabble.com/GRE:-Discarding-pack...-td3945234.html

http://www.synology.com/enu/forum/viewtopi...?f=34&t=858

Il faut installer la version pptpd d'ipkg:

ipkg install poptop

/opt/etc/init.d/S20poptop stop

on le stop pour etre tranquille.

Déjà Mauvaise nouvelle celle fournie avec ipkg n'est pas adapté il faudra donc en recompiler une en suivant mon tuto. Mais vous ne l'avez pas installée pour rien car l'arboresence et les fichiers de config seront deja en place. Il vous faudra donc récuperer les sources de pptpd j'ai pris la version Stable en cours ici

decompresser le dans votre répertoire de travail.

Il y a un petit patch à appliquer sur les sources sinon les connections ne pourrons pas se faire en revoyant GRE: Discarding packet by header check Mais rassurez vous c'est pas grand chose:

Dans le fichier pptpdefs.h remplacer

struct pptp_gre_header {

        u_int8_t flags;         /* bitfield */

        u_int8_t ver;           /* should be PPTP_GRE_VER (enhanced GRE) */

        u_int16_t protocol;     /* should be PPTP_GRE_PROTO (ppp-encaps) */

        u_int16_t payload_len;  /* size of ppp payload, not inc. gre header */

        u_int16_t call_id;      /* peer's call_id for this session */

        u_int32_t seq;          /* sequence number.  Present if S==1 */

        u_int32_t ack;          /* seq number of highest packet recieved by */

        /* sender in this session */

};

Par:

struct pptp_gre_header {

        u_int8_t flags;         /* bitfield */

        u_int8_t ver;           /* should be PPTP_GRE_VER (enhanced GRE) */

        u_int16_t protocol;     /* should be PPTP_GRE_PROTO (ppp-encaps) */

        u_int16_t payload_len;  /* size of ppp payload, not inc. gre header */

        u_int16_t call_id;      /* peer's call_id for this session */

        u_int32_t seq;          /* sequence number.  Present if S==1 */

        u_int32_t ack;          /* seq number of highest packet recieved by */

        /* sender in this session */

}[color="#ff0000"] __attribute__((packed))[/color];

Une fois compilé il faut recuperer les fichiers :

plugins/pptpd-logwtmp.so

bcrelay

pptpctrl

pptpd

Bjr la mise en place du VPN minteresse bcp !!!

cependant je nai pas de pc avec linux installé

je ne peux donc recompiler puisqu'apparement c'est ce qu'il faut faire

etant donné que le ipkg pptp natif ne correspond pas tout a fait

1) Ainsi, n'aurais tu pas cette source pptpd déja recompilée pour que l'on puisse directement appliquer ton tuto?

2) je pensais que le VPN ne pouvais pas s'installer jusqu'a present sur les DS 207+, problème de librairies etc ... c possible appremment ton VPN tourne sans problème?

Pour complément d'information, un serveur VPN n'est utile et indispensable que si l'on a plus de deux PCs entre lesquels on désire monter un VPN. En effet, deux PCs peuvent monter directement un VPN avec les outils qu'intègre Windows, à partir d'XP

oui je confirme que ca fonctionne bien, les parties de Flatout 2 a six en temoignent bien

Pour les binaires compilé si tu n'es pas trop préssé ca peux se faire, mais là j'avoue ne pas avoir des masses temps

oui je confirme que ca fonctionne bien, les parties de Flatout 2 a six en temoignent bien

Pour les binaires compilé si tu n'es pas trop préssé ca peux se faire, mais là j'avoue ne pas avoir des masses temps

Merci bcp, j'attendrais patiemment, c'est gentil

je regarde pour l'instant le VPN avec des yeux tout ronds lol

Je pense pouvoir te faire un petit Zip mardi ou mercredi

Je m'excuse du temps d'attente, je suis un peu debordé ces derniers temps, voilà normalement tout les fichiers necessaires y sont. ici http://dl.free.fr/qnATlE8Y9 (tu as 30 jours pour le telecharger) bon courage

Merci bcp!!!!! je viens de le recupérer, j'essaie toussa d'ici peu et je te tiens au courant

A bientot

Bonjour,

j'ai bien mis en place un serveur openvpn sur mon ds207+ mais maintenant je souhaiterais mettre en place poptop et bénéficier du pptp (avoir accès a mon nas depuis mon iphone via ppptp)

serait il possible de mettre a disposition les fichiers déjà compilés pour le ds 207+ (pour en faire profiter tout ceux qui on le kernel 2.6)??

j'ai bien installé poptop mais le daemon n'a pas l'air de se lancer lorsque l'on attaque le serveur sur le port 1723...

Merci de votre aide

bonne journée

desolé, je n'ai plus les binaires compilés sous la main. j'ai supprimé le Zip il y a peu en plus. je pense que tu devras les recompiler par toi même. Tu pourras t'aider des tutos que j'ai fait (regarde dans ma signature)

Bon courage.

desolé, je n'ai plus les binaires compilés sous la main. j'ai supprimé le Zip il y a peu en plus. je pense que tu devras les recompiler par toi même. Tu pourras t'aider des tutos que j'ai fait (regarde dans ma signature)

Bon courage.

ok :'( Merci quand même

Dommage les fichier sont plus dispo

si quelqu'un pouvait les remettre !!!

merci

essai de contacter babloo.

Finalement j'ai retrouvé le Zip magique

Si ca t'interesse toujours le voici http://dl.free.fr/jbhpGvg1X comme d'hab tu as 30 jours

Finalement j'ai retrouvé le Zip magique

Si ca t'interesse toujours le voici http://dl.free.fr/jbhpGvg1X comme d'hab tu as 30 jours

Super!!!! Sa va bien me depanner merci beaucoup je test ca ce soir et jte tiens au courant

Bye

Salut,

alors jai tout bien suivi mais j'ai un soucis, le port 1723 sur le syno reste fermé donc le daemon n'écoute pas sur le port. Lorsque je fait l'install classique sans rien modifier j'ai bien mon port qui est ouvert mais dès lors que je reboot mon syno après les modifs des fichiers de conf le port se ferme et pas moyen d'y accéder.

Je ne sait plus trop ou chercher ...

Merci de ton aide

à première vue, comme un port n'est ouvert que par l'application qui écoute, vérifie que le pptpd tourne bien.

<br />à première vue, comme un port n'est ouvert que par l'application qui écoute, vérifie que le pptpd tourne bien.<br />

<br /><br /><br />

Bon en effet après un ps -aux ou un top je ne vois null part le processus poptop tourné, meme apres un /opt/etc/init.d/S20poptop start, stop ou restart...

je ne comprend pas pourquoi il ne se lance plus...

la il faut eplucher les logs, mon premier reflexe serait peut etre de rechercher une boulette dan ton fichier de config. et pour symplifier la recherche, essais de le lancer en console, avec les memes parametre que le lancement au boot. tu seraas vite fixe. ou sinon /var/log/ te montrera le chemin

la il faut eplucher les logs, mon premier reflexe serait peut etre de rechercher une boulette dan ton fichier de config. et pour symplifier la recherche, essais de le lancer en console, avec les memes parametre que le lancement au boot. tu seraas vite fixe. ou sinon /var/log/ te montrera le chemin

J'ai l'impression qu'il me manque le processus pptpd.pid j'ai cherché dans les fichiers mais il n'y est pas...

le fichier pptpd.pid est gere par le script de demarrage de pptpd. il sert de drapeau pour ce script afin qu'il ne le lance pas une seconde fois. regarde dans le script pour mieux comprendre son fonctionnement.

sinon qu'a donne le lancement depuis une console ?

le fichier pptpd.pid est gere par le script de demarrage de pptpd. il sert de drapeau pour ce script afin qu'il ne le lance pas une seconde fois. regarde dans le script pour mieux comprendre son fonctionnement.

sinon qu'a donne le lancement depuis une console ?

Salut,

Desole de ne repondre que maintenant mais je netais pas dispo, pour ce qui est du port il est bien ouvert, jai relancer pptpd et le port ecoute bien, mais lorsque je me connecte avec un pc la connexion ne s'etablie pas. Qu'appel tu un lancement depuis la console?

Quelqu'un a t'il fait marcher poptop avec un ds 207+? Car la je seche je ne sait plus trop ou chercher a part refaire le tuto avec les fichiers compilés.

Merci de ton aide mais je donne ma langue au chat

deja je te confirme que ca fonctionne sur un 207+.

apres pour le lancement en console, c'etait pour voir les eventuels message d'erreurs au lancement de pptpd. (mauvaise config, ou autre)

mais si il se lance essais plutot de voir ce qu'il te donne comme erreurs dans /var/log/messages quand tu tentes une connection.

avec ceci je pourrai peut etre t'aider.

Déjà probleme je n'est aucune entrée dans /var/log/messages lorsque je fais une tentative de connexion, lorsque je lance pptpd je vois bien le processus avec un ps -aux.

sinon avec les fichiers que tu m'as donné il faut bien prendre le tuto à partir de:

Ensuite il nous reste plus qu'a configurer le tout

J'ai modifier le fichier de lancement au demarrage /opt/etc/init.d/S20poptop :

....

???

Il faut quand même faire l'install du paquet ipkg de poptop avant d'attaquer la config sinon ca ne fonctionnera pas.

L'ideal serait que tu reprennes le tuto du début sauf la compilation.

pour le /var/log/messages je ne suis plus sûr, verifies dans les autres fichiers.

Puis ce tuto était basée sur une config synology qui est assez ancienne maintenant. après il faut peut etre tout reprendre à zero.

en gros pptpd est le deamon qui recupere les demandes de connexions et qui lance les connexions (avec ppp) quand le client a passé l'autentification.