Fenrir Posté(e) le 4 janvier 2018 Auteur Partager Posté(e) le 4 janvier 2018 Si c'est le routeur qui fait serveur ipsec/l2tp, il faut effectivement ajuster les règles. Mon tuto est valable pour un serveur VPN derrière un NAT (routeur/box/...) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Francoporto Posté(e) le 9 janvier 2018 Partager Posté(e) le 9 janvier 2018 Hey salut, encore merci pour ce tuto très simple très clair c'est appréciable aussi très appréciable de savoir des choses qu'on aurait peut-être pas trouvé soit même comme l'inefficacité du PPTP et le port 1701 à ne pas ouvrir sur le routeur. Ce qui est dommage c'est que les Freebox le L2TP/IPSEC, j'espère que ce sera le cas avec les Freebox V7 qui sortiront bientôt. Petite question de réseau général, c'est pas gênant d'utiliser des protocoles UDP ? Lorsqu'on établit la connexion on a pas besoin de flag SYNC/ACK pour qu'il n'y ait pas de problème ? C'est comme le TFTP je comprends pas pourquoi c'est en UDP ;( 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 10 janvier 2018 Auteur Partager Posté(e) le 10 janvier 2018 (modifié) Le 13/08/2016 à 17:13, Fenrir a dit : il est nettement plus efficace (en terme de débit et de stabilité) d'utiliser le protocole UDP Dans le cas d'un tunnel, les mécanismes d'intégrité sont ceux du protocole "interne" (les tunnels ont certains mécanismes eux aussi, mais trop long à détailler) => si tu surf via un VPN, tu fais du tcp dans de l'udp, donc tu as bien les SYNC/ACK/... et en cas de perte de paquet (de ton appli ou du tunnel), tu disposes des mécanismes de TCP pour corriger. Mais tu as le droit de faire un tunnel en TCP (openvpn le permet), c'est juste moins efficace (entête plus gros donc tunnel plus petit et plus de choses à gérer donc moins performant). edit : TCP c'est lourd et ça coute cher mais c'est fiable UDP c'est léger et ça ne coute presque rien T(trivial) FTP Modifié le 10 janvier 2018 par Fenrir 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Francoporto Posté(e) le 11 janvier 2018 Partager Posté(e) le 11 janvier 2018 Ok merci pour ta réponse :) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
TwooNiis_ Posté(e) le 15 janvier 2018 Partager Posté(e) le 15 janvier 2018 Bonjour, Merci pour le tuto Je ne comprends pas comment configurer les tables de routage pour que tout le trafic ne passe pas par le VPN Dans mon cas je voudrais que le vpn assure la connexion entre le client et mon réseau local (pour que le protocole SMB fonctionne)et que le reste du flux passe par la connexion "normal sans VPN" les 2 réseaux sont en ip fixe chez orange, Si je n'ai pas été clair n'hésitez pas a me demander. Merci d'avance 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 16 janvier 2018 Auteur Partager Posté(e) le 16 janvier 2018 Pour les tables de routage, j'ai mis quelques exemple pour windows/linux, qu'est ce que tu ne comprends pas ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 17 janvier 2018 Partager Posté(e) le 17 janvier 2018 Le 15/01/2018 à 23:55, TwooNiis_ a dit : Dans mon cas je voudrais que le vpn assure la connexion entre le client et mon réseau local (pour que le protocole SMB fonctionne)et que le reste du flux passe par la connexion "normal sans VPN" Une fois connecté au VPN, il suffit d’utiliser l’adresses locale (privée) du NAS pour monter un lecteur réseau via SMB. Pour utiliser le reste des protocoles hors VPN, il faut utiliser l’adresse IP publique. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
TwooNiis_ Posté(e) le 17 janvier 2018 Partager Posté(e) le 17 janvier 2018 Il y a 12 heures, Fenrir a dit : Pour les tables de routage, j'ai mis quelques exemple pour windows/linux, qu'est ce que tu ne comprends pas ? Je ne comprends pas comment configurer les tables de routage sur windows pour que le flux qui n'est pas à destination du nas ne passe pas par le VPN et pour que le flux qui lui est à destination du Nas passe par le VPN je vous laisse un petit schéma cela sera peut être plus compréhensible Il y a 6 heures, PiwiLAbruti a dit : Une fois connecté au VPN, il suffit d’utiliser l’adresses locale (privée) du NAS pour monter un lecteur réseau via SMB. Pour utiliser le reste des protocoles hors VPN, il faut utiliser l’adresse IP publique. Je sais, mais ce n'est pas ça mon problème. Mon problème est que je veux que le flux qui n'est pas à destination du nas ne passe pas par le VPN et pour que le flux qui lui est à destination du Nas passe par le VPN 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oli.oli Posté(e) le 17 janvier 2018 Partager Posté(e) le 17 janvier 2018 Hello, La question est : que veux-tu faire exactement? N'autoriser que le SMB vers le VPN (ça veut dire tout bloquer sauf le SMB, et ça, c'est plus compliqué) Ou que tout le trafic Internet ne passe pas pas le VPN (ça veut dire que dès que tu veux atteindre une IP en 10.2.0.x, tu passeras par le VPN, pour accéder au DSM par exemple). Si tu veux que seul l'Internet ne passe pas par le NAS, tu commentes la ligne suivante dans ton fichier ".openvpn" (il me semble d'ailleurs qu'elle est commentée par défaut) : redirect-gateway def1 ça veut dire que tout ton trafic Internet passe par la passerelle par défaut et non par le VPN et que ton SMB passera par le VPN puisque tu attaqueras une IP en 10.2.0.x Pour vérifier, tu testes ton IP publique sur le site distant et tu dois avoir la même, avec ou sans VPN activé. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
TwooNiis_ Posté(e) le 17 janvier 2018 Partager Posté(e) le 17 janvier 2018 (modifié) Oui c'est l'idée comme tu dis " tout le trafic Internet ne passe pas pas le VPN (ça veut dire que dès que tu veux atteindre une IP en 10.2.0.x, tu passeras par le VPN, pour accéder au DSM par exemple)" Mais je ne suis pas en open VPN je suis en l2tp/ipsec Modifié le 28 janvier 2018 par Mic13710 inutile de répéter le message précédent si ça n'apporte rien de plus à la compréhension 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 17 janvier 2018 Partager Posté(e) le 17 janvier 2018 Ça se configure au niveau du client VPN, c’est une option du type "Tout envoyer sur le VPN" qu’il faut décocher dans les paramètres avancés. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 17 janvier 2018 Auteur Partager Posté(e) le 17 janvier 2018 Et il faut bien utiliser l'adresse "vpn" du nas, celle en 10.xxxxx 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
TwooNiis_ Posté(e) le 17 janvier 2018 Partager Posté(e) le 17 janvier 2018 J'ai trouvé l'option qui veux à peu près dire tout envoyer sur le vpn. c'est marqué dans le tuto. J'ai décoché et redémarré la connexion vpn c'est comme si je n'avais aucun vpn activé je ne peux pas accéder au réseau local distant. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Apolinaire Posté(e) le 17 janvier 2018 Partager Posté(e) le 17 janvier 2018 Le 09/01/2018 à 16:06, Francoporto a dit : Ce qui est dommage c'est que les Freebox le L2TP/IPSEC, j'espère que ce sera le cas avec les Freebox V7 qui sortiront bientôt. Bonjour, Ta phrase m'interpelle. Y-a-t'il un problème particulier pour faire du VPN L2TP/IPSEC derrière une Freebox ? Parce que mon NAS est derrière une Freebox Révolution. J'ai suivi le tuto de Fenrir, que je remercie beaucoup, pour créer un serveur VPN L2TP/IPSEC sur mon NAS. J'ai fait bien attention aux points suivants : - sur le NAS : paramètres généraux et Privilèges réglés. Ports 1701, 500 et 4500 ouverts. Plage d'adresses IP 10.2.0.0 à 10.2.0.255. Configuration du pare-feu comme sur le tuto : OK. Clé pré-partagée créée. - sur la Freebox : ports 500 et 4500 forwardés sur l'adresse du NAS. - sur mon PC portable : création de la clé de registre. Création de la connexion VPN. Connecté en 4G avec le PC portable (Win10-64b), je vois bien cette connexion dans les connexions disponibles. Je clique dessus (NB : j'ai entré mon logon et mon mot de passe du NAS dans les paramètres de la connexion). Il me dit "Connexion en en cours à <adresse IP de ma Freebox>", tourne un moment et finit par : "La tentative de connexion L2TP a échoué parce que la couche de sécurité a rencontré une erreur de traitement au cours des négociations initiales avec l'ordinateur distant." Dans le journal de VPN Serveur du NAS je ne vois rien d'autre que : "Server was started" à une heure bien antérieure à ma tentative de connexion externe. C'est déjà ça... mais ça fait pas tout ! Selon les conseils de Fenrir, j'ai relu ligne à ligne le tuto ; j'ai fini par supprimer la connexion VPN et j'ai tout recommencé à zéro, j'ai encore relu (!!!) plusieurs fois le tuto, mais rien à faire, j'arrive toujours au même résultat. Là, je ne sais plus où regarder... Merci de votre aide. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Apolinaire Posté(e) le 18 janvier 2018 Partager Posté(e) le 18 janvier 2018 Bonjour, J'ai testé le trafic sur les ports 500 et 4500 comme le propose Fenrir dans son tuto. Aïe aïe aïe... Y'a pas l'air de se passer grand-chose quand j'essaie de me connecter au VPN sur mon PC portable branché en 4G. Évidemment, je suis toujours planté. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 18 janvier 2018 Partager Posté(e) le 18 janvier 2018 Et en vous connectant à partir d'une autre ligne (voisin, famille, copain) ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Apolinaire Posté(e) le 18 janvier 2018 Partager Posté(e) le 18 janvier 2018 Mais je crois bien être sur une autre ligne ! Mon PC de bureau (avec lequel je surveille mon NAS et comme ci-dessus le trafic) est connecté à internet via ma Freebox Révolution. Mon PC portable (à côté) est connecté à internet via un partage de connexion 4G sur smartphone. Il est donc virtuellement à l'extérieur ! D'ailleurs, l'analyse de son adresse IP public le situe à au moins 30 km de chez moi ! Loin de ma Freebox et de mon NAS. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 18 janvier 2018 Partager Posté(e) le 18 janvier 2018 Je suis d'accord, mais qui vous dit que le problème de connexion ne vient pas de votre connexion 4G ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Apolinaire Posté(e) le 18 janvier 2018 Partager Posté(e) le 18 janvier 2018 Avant de poser ma question sur le forum, j'avais passé l'après-midi d'avant-hier via TeamViewer sur le PC d'un cousin situé dans l'Hérault (j'habite en Ile-de-France) pour "attaquer" mon NAS par VPN. J'arrivais au même blocage. Ensuite, par respect pour sa vie privée et son temps libre, j'ai décidé de passer par le 4G, ce qui me permet de faire une foultitude de tests dans la même journée sans ennuyer la terre entière. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 18 janvier 2018 Partager Posté(e) le 18 janvier 2018 Avez-vous essayé avec OpenVPN ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Apolinaire Posté(e) le 18 janvier 2018 Partager Posté(e) le 18 janvier 2018 Non, pas encore. Je souhaitais vraiment passer par L2TP/IPSec. Caprice d'un type qui a beaucoup lu Fenrir Mais je crois que je vais y être obligé... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Apolinaire Posté(e) le 19 janvier 2018 Partager Posté(e) le 19 janvier 2018 Bonjour, Eh bien voilà, j'ai essayé OpenVPN. Même pas drôle : tout a fonctionné du premier coup ! Aussi bien en tentant une connexion avec un PC interne au réseau qu'avec un PC externe. J'ai quand même 2 interrogations. A la connexion VPN j'ai : Je suis allé voir à l'adresse indiquée mais je n'ai pas tout compris. Il semblerait que je doive mettre "remote-cert-tls server" dans ma configuration client... Mouais... Comment qu'on fait ? J'ai demandé et obtenu un certificat Let's Encrypt que j'ai mis en "default" sur le NAS. Et après ? C'est pas tout, une fois connecté en VPN, voilà ce que me raconte mon Firefox chéri : Comment ça "Connexion non sécurisée" ? C'était justement pour la sécurité que je cherchais à me connecter en VPN. J'avoue ne pas tout comprendre. Si vous pouvez éclaircir ma lanterne, merci. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oli.oli Posté(e) le 20 janvier 2018 Partager Posté(e) le 20 janvier 2018 Bonjour, Les choses n'ont pas été faite dans l'ordre... Il faut d'abord installer le certificat Let's Encrypt puis refaire la conf OpenVPN, tu utiliseras ton certificat Let's Encrypt au lieu de celui auto-signé. Pour le Firefox, c'est normal, ton serveur doit probablement utiliser le certificat Let's Encrypt associé à ton domaine "public" et tu accèdes à ton NAS par la patte "privée" de ton réseau (grâce au VPN). Donc, tu te connectes sur ton NAS par le 10.8.0.1 et le NAS présente le certificat "ton.domaine.com" => Firefox dit : Attention, ce n'est pas cohérent! Mais toi, tu sais que c'est OK. Pour vérifier tout ça, regarde dans le détail de l'alerte ( le ">" à droite de ton message). 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 22 janvier 2018 Auteur Partager Posté(e) le 22 janvier 2018 Pour le message, c'est simplement qu'OpenVPN permet d'utiliser une authentification par certificat en plus (ou à la place) d'un login/password. Synology ne laisse pas cette possibilité => ce warning peut être ignoré. Pour l'IPsec, si le transfert de ports est correctement fait (500 et 4500 en UDP) mais qu'aucun trafic ne parvient au nas, il n'y a pas 36 causes : le client est mal configuré le client bloque le trafic l'adresse n'est pas bonne l'opérateur source (ou un FW en entreprise) bloque le trafic l'opérateur cible (ou un FW en entreprise) bloque le trafic la box cible bloque le trafic Je sais que certaines livebox ont ce comportement détestable, peut être que les freebox aussi, mais je ne peux pas tester. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 22 janvier 2018 Partager Posté(e) le 22 janvier 2018 Il y a 3 heures, Fenrir a dit : peut être que les freebox aussi, mais je ne peux pas tester Aucun problème à signaler côté Freebox . 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.