Aller au contenu

Questions de débutant : WebDav - VPN


Messages recommandés

Bonjour à tous et merci de prendre le temps de me lire :)

Je suis équipé d’un synology 216J et je partage du contenu multimédia avec des membres de ma famille.

J’ai paramétré ces accès par le biais de WebDav et tout fonctionne ;)

 

Parallèlement j’ai mis en place sur mon NAS un Serveur VPN afin que les clients puissent se connecter de manière plus « safe »

Ceci étant dit, je me permets ces petites questions :

-1- Existe-t-il un moyen pour les obliger d’utiliser leur VPN client  afin de lire le contenu multimédia (=>  Pas de VPN client lancé => pas de lecture possible sur mon NAS) ?

-2- J’ai bloqué dans les permissions (\utilisateur\permission) le « Web », cela signifie-t-il que l’utilisateur ne peut pas surfer à travers ma propre connexion lorsque le VPN est actif ?

-3- Question subsidiaire : j’ai un VPN client perso (Seedbox pour ne pas le nommer), j’arrive à le paramétrer sur le Syno par contre je rencontre un problème : en effet lorsque je lance sur un PC client le VPN pour accéder à mon syno, tout marche très bien durant un moment : les 2 VPN marchent de concert mais après une ou deux (voire un peu plus) de déconnexion du client VPN chez le PC distant, il est impossible de se reconnecter au NAS par VPN (sauf si je vire mon VPN Seedbox)

Ai-je loupé une étape ?

Je vous saurais gré si vous pouviez me donner quelques éléments de réponses au débutant que je suis.

Merci d’avance

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Il y a 3 heures, Hy69 a dit :

-1- Existe-t-il un moyen pour les obliger d’utiliser leur VPN client  afin de lire le contenu multimédia (=>  Pas de VPN client lancé => pas de lecture possible sur mon NAS) ?

Il suffit de ne pas autoriser l'accès réseau par d'autres ports que ceux du VPN (il y a un firewall dans le nas).

Il y a 3 heures, Hy69 a dit :

-2- J’ai bloqué dans les permissions (\utilisateur\permission) le « Web », cela signifie-t-il que l’utilisateur ne peut pas surfer à travers ma propre connexion lorsque le VPN est actif ?

Non, pour ça il faut utiliser le vpn OpenVPN et décocher la case "Autoriser aux clients l'accès au serveur LAN"

Il y a 3 heures, Hy69 a dit :

-3- Question subsidiaire : j’ai un VPN client perso (Seedbox pour ne pas le nommer), j’arrive à le paramétrer sur le Syno par contre je rencontre un problème : en effet lorsque je lance sur un PC client le VPN pour accéder à mon syno, tout marche très bien durant un moment : les 2 VPN marchent de concert mais après une ou deux (voire un peu plus) de déconnexion du client VPN chez le PC distant, il est impossible de se reconnecter au NAS par VPN (sauf si je vire mon VPN Seedbox)

je n'utilise pas le client vpn du syno, donc je ne sais pas

Lien vers le commentaire
Partager sur d’autres sites

Merci d'avoir répondu à mes questions :)

Pour ma première question,  je crois avoir fini de piger ^^ (et notamment de l'importance et du fonctionnement de l'ordre des règles), j'attends un retour pour vérifier si j'ai tout bien paramétré.

J'ai bien noté pour l'OpenVpn, j'avais sectionné  le PPTP avec chiffrement exigé par facilité, l'OpenVpn semblait beaucoup plus complexe à paramétrer mais je vais me relancer dans de saines lectures.

Dommage pour moi pour ma dernière question (Client VPN <> Serveur VPN) mais merci beaucoup d'avoir pris le temps de me répondre

 

Lien vers le commentaire
Partager sur d’autres sites

Bon après moultes recherches et essais divers je déclare forfait dans le paramétrage solo du pare-feu :

J'ai simplifié au maximum les règles qui se résument à :

 

    - Toutes les Interfaces : Port : Vpn Server   - Protocole : TCP  - Ip sources : Tous  - Action Autoriser

    - Lan : aucunes règles : et l'option "si aucune règle n'est remplie : Autoriser l’accès" (ça je peux difficilement m'en passer)

     - PPPOE : rien

     - VPN : Ports : Webdav Server    - Protocole : TCP - Ip Sources : Tous - Action Autoriser

              "si aucune règle n'est remplie : "refuser"

J'avais testé en stipulant les IP sources dans la plage de ceux donnés par mon serveur VPN (la plage 10.8.0.0 à 10.8.0.? par défaut) et en rajoutant même une seconde règle interdisant l’accès par toute autre IP

En testant avec mon téléphone android après lui avoir installé un client WebDav et bien tout se lit que ce soit en VPN que sans VPN (en accès internet en ayant désactivé wifi bien sur)

 

En conclusion et bien j'ai pas pigé grand chose sur le fonctionnement du pare feu : une étape que j'ai sautée, une évidence non remarquée ?

 

Merci d'avance si vous pouviez me donner quelques pistes :)

Lien vers le commentaire
Partager sur d’autres sites

Si tu n'as rien ouvert dans ta box (à par les ports du vpn), ça ne devrait pas marcher, sauf si tu utilises quickconnect (qui passe outre les règles, c'est entre autre pour ça que je déconseille de l'utiliser).

Pour règles dans le nas

  1. autorise tout depuis des ip locales (10.0.0.0/8, 172.16.0.0/12 et 192.168.0.0/16)
  2. autorise depuis internet : le vpn
  3. bloque tout le reste
Lien vers le commentaire
Partager sur d’autres sites

Merci de la rapidité de la réponse

 

Je mets des copies écran de mon paramétrage (en espérant que ça soit lisible)

J'ai donc suivi tes instructions : écran tous les interfaces et laissé l'ouverture du WebDav dans l'interface VPN

Petite question au détour l'adresse 176.16..., qu-est ce que c'est ?

 

Par contre ca ne fonctionne pas, je dois merdouiller ailleurs :(

VPN Interface.jpeg

Tte Interface.jpeg

Lien vers le commentaire
Partager sur d’autres sites

Arf ok, j'ai revu ma copie

Profils en pièces jointes : les tailles d'adresse changent pas mal en effet

Néanmoins ce ne veut toujours pas fonctionner

Mon VPN donne une adresse 10.0.0.1 à ma connexion de mon Mobile mais ma connexion WebDav est refusée.

Par contre cette dernière passe si je vire la dernière règle (suppression de tous les ports hormis les précédents autorisés), ce qui est tout a fait logique.

Ah sinon pigé pour le 172... : autre type d'adresse réservés à des réseaux privés (j'utilise l'autre ou les autres en l'occurence)Tte Interface.jpeg

 

VPN Interface.jpeg

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, Hy69 a dit :

Par contre cette dernière passe si je vire la dernière règle (suppression de tous les ports hormis les précédents autorisés), ce qui est tout a fait logique.

La règle de ta seconde capture n'est prise en compte que si celles de la première capture le permettent, ce qui n'est pas le cas ici.

Je te recommande de ne pas faire de règle par interface (eth0, vpn, ...) mais uniquement dans l'écran 'Toutes les interfaces'

Lien vers le commentaire
Partager sur d’autres sites

Ok Merci, je note

J'ai donc recopié cette règle dans le "toutes les interfaces", les autres sont totalement vierges

Ca ne fonctionne malheureusement pas :(

J'avais cru lire que les règles du pare-feu ne concernent que les IP extérieures, hors ici le serveur VPN crée des IP dynamiques qui ne sont donc plus "exterieures", ne serait-ce pas une explication du non fonctionnement ?

Merci d'avance de ton avis

Tte Interface.jpeg

 

Lien vers le commentaire
Partager sur d’autres sites

Ah oui :)

 

Autres Tte Interface.jpeg

 

J'ai limité le WebDav aux IP Dynamiques données par le VPN serveur, et bien malheureusement cela ne fonctionne pas, le pare feu ignore totalement l'autorisation pour les ip 10.0...., comme si il ne se basait que sur l'IP source du client VPN

Par contre si je mets toutes les IP dans la règle WEBDAV => la connexion sans VPN passe (logique on encore aucune interdiction d'IP) mais en me connectant par VPN Rien comme si cette IP dynamique crée par le une appli du NAS était totalement inconnue par le pare feu :(

Merci encore de ta patience et du temps passé pour me dépanner

 

Ps Question subsidiaire : Cette règle WebDav est-elle en soit nécessaire ? en effet tous les ports étant  autorisés sur les Ip locales, la règle WebDav en devient redondante nop ?

Lien vers le commentaire
Partager sur d’autres sites

Ah Merci de cette précision :)

Sinon une idée de la pierre d'achoppement de mes règles ?

Je suis inquiet en lisant sur https://www.synology.com/fr-fr/knowledgebase/SRM/help/SRM/RouterApp/security_firewall le paragraphe suivant :

 

Remarque :

  • Vous pouvez créer jusqu'à 128 règles de pare-feu.
  • Les règles de pare-feu ne s'appliquent qu'au trafic réseau entre Internet et le réseau local hébergé par le Synology Router. Le trafic réseaux au sein du même réseau local ou entre des réseaux locaux câblés et sans fil n'est pas soumis à ces règles.
  • En cas de conflit, différents types de règles sur SRM sont appliquées en priorité dans l'ordre suivant : règles du pare feu >règles de transmission de ports >règles des listes des client UPnP.

 

Pour arriver à mon objectif, je ne vais quand même pas m’équiper d'un firewall matériel (dans l'hypothèse où ça marcherait), ce serait utiliser un marteau de forgeron pour planter un clou :(

 

Merci d'avance :)

Lien vers le commentaire
Partager sur d’autres sites

Pourtant l'article que tu cites est celui de SRM : Synology Router Manager :lol:

Ce qu'on t'a indiqué reste valable.

  • ne peuvent accéder à un port du nas que :
    • les paquets qui sont autorisés dans ton routeur (ta box)
    • et qui sont autorisés dans le parefeu du nas

=> Si tu souhaites pouvoir faire du WebDAV depuis Internet uniquement via un tunnel VPN :

  1. dans la box : n'autorises QUE le vpn à destination du nas (désactive ces salo*eries d'upnp, DMZ, ...)
  2. dans le nas, n'autorises depuis Internet (les ip différentes de celles cités plus haut) que le trafic VPN (si c'est le nas le serveur vpn)
  3. ensuite autorises depuis les IP locales le reste du trafic à laisser passer (ici le webdav)

Si tu souhaites voir les règles qui sont réellement appliquée : sudo iptables -L -v -n

ps : si tu es en ipv6, c'est différent

Lien vers le commentaire
Partager sur d’autres sites

Bon c'est rassurant alors :)

- J'ai nettoyé la box comme indiqué : upnp, dmz virés laissé que le port du VPN ouvert (tout le reste supprimé)

- Dans le Nas les mêmes règles que ma dernière copie écran (c'est bien le Nas qui fait office de serveur VPN)

Autres Tte Interface.jpeg

 

La connexion en VPN sur mon mobile Android marche toujours mais le WebDav me refuse l'accès.

J'ai donc lancé la commande : " sudo iptables -L -v -n "

Je ne peux malheureusement plus joindre de copie écran, néanmoins ça me retourne (si c'est lisible ^^)  :

 

Chain INPUT (policy ACCEPT 375 packets, 78271 bytes)
 pkts bytes target     prot opt in     out     source               destination        
  922  191K DOS_PROTECT  all  --  *      *       0.0.0.0/0            0.0.0.0/0          
  936  194K INPUT_FIREWALL  all  --  *      *       0.0.0.0/0            0.0.0.0/0          

Chain FORWARD (policy ACCEPT 55 packets, 3333 bytes)
 pkts bytes target     prot opt in     out     source               destination        
  337  127K FORWARD_FIREWALL  all  --  *      *       0.0.0.0/0            0.0.0.0/0          

Chain OUTPUT (policy ACCEPT 804 packets, 191K bytes)
 pkts bytes target     prot opt in     out     source               destination        

Chain DOS_PROTECT (1 references)
 pkts bytes target     prot opt in     out     source               destination        
    0     0 RETURN     icmp --  eth0   *       0.0.0.0/0            0.0.0.0/0            icmptype 8 limit: avg 1/sec burst 5
    0     0 DROP       icmp --  eth0   *       0.0.0.0/0            0.0.0.0/0            icmptype 8
    0     0 RETURN     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x17/0x04 limit: avg 1/sec burst 5
    0     0 DROP       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x17/0x04
    4   208 RETURN     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x17/0x02 limit: avg 10000/sec burst 100
    0     0 DROP       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x17/0x02

Chain FORWARD_FIREWALL (1 references)
 pkts bytes target     prot opt in     out     source               destination        
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0          
  282  124K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
   55  3333 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            source IP range 10.0.0.0-10.255.255.255
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            source IP range 172.16.0.0-172.31.255.255
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            source IP range 192.168.0.0-192.168.255.255
    0     0 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:1723
    0     0 RETURN     47   --  *      *       0.0.0.0/0            0.0.0.0/0          
    0     0 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            source IP range 10.0.0.0-10.255.255.255 multiport dports 5005,5006
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0          
    0     0 RETURN     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0          
    0     0 RETURN     all  --  ppp201 *       0.0.0.0/0            0.0.0.0/0          
    0     0 RETURN     all  --  ppp202 *       0.0.0.0/0            0.0.0.0/0          

Chain INPUT_FIREWALL (1 references)
 pkts bytes target     prot opt in     out     source               destination        
  208 25990 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0          
  343 88239 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
   42  3276 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            source IP range 10.0.0.0-10.255.255.255
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            source IP range 172.16.0.0-172.31.255.255
   80 16810 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            source IP range 192.168.0.0-192.168.255.255
    0     0 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:1723
  263 59928 RETURN     47   --  *      *       0.0.0.0/0            0.0.0.0/0          
    0     0 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            source IP range 10.0.0.0-10.255.255.255 multiport dports 5005,5006
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0          
    0     0 RETURN     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0          
    0     0 RETURN     all  --  ppp201 *       0.0.0.0/0            0.0.0.0/0          
    0     0 RETURN     all  --  ppp202 *       0.0.0.0/0            0.0.0.0/0          

 

Je vois dans la dernière colonne les règles qui ont l'air Ok, mais je ne comprends pas grand chose d'autres, est-ce que ça peut donner une idée où le bât blesse ?

Merci d'avance

 

Lien vers le commentaire
Partager sur d’autres sites

Les règles sont ok.

Je pense que tu tests avec la mauvaise adresse.

Du point de vue de ton client VPN (pptp) ton nas a comme adresse : 10.0.0.0

Tu as donc 2 choses à faire :

  1. ne pas utiliser pptp : autant ouvrir directement depuis Internet, ça sera PLUS sécurisé
  2. utiliser la bonne adresse pour atteindre le nas
    1. IPSec/L2TP : 10.2.0.0
    2. OpenVPN : 10.8.0.0
  3. ou configurer une route sur le poste client pour qu'il sache que ton nas est derrière le routeur 10.x.0.0

nb : si tu utilises OpenVPN, c'est une case à cocher dans le nas pour que ça marche tout seul.

Lien vers le commentaire
Partager sur d’autres sites

Bon ben un grand merci à Fenrir, pour sa patience et ses explications claires qui ont fini d'atteindre ma pauvre cervelle :)

Pour Info mon erreur depuis le début, grossière je l'avoue mais pour un débutant ce n’était pas si évident et pour info (si jamais tu rencontres une personne avec des problèmes similaires), je mettais comme adresse dans le WebDav : machin.synology.me en lieu et place des 10.?.0.0 => oui oui on peut rire :)

 

Je n'ai aucun problème pour paramétrer les L2TP et OpenVPN sur mon phone android et le WebDav fonctionne nickel, par contre j'ai plus de difficultés sur mon w10.

 

Toute ma gratitude Fenrir :razz:

 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.