Meilleur choix pour une utilisation VPN

[Spi]

Bonjour,

Je vais peut-être dépasser un peu du cadre Syno, du coup désolé d'avance mais je cherche à trouver la meilleure solution pour ce que je veux faire. :)

Je possède un DS415+ et un DS215j, les deux sont à des emplacements géographiques distants et j'ai besoin d'un VPN pour:

1) Monter un tunnel entre les deux sites, pour que HyperBackup passe directement dans ce dernier et que les machines des deux réseaux soient accessibles via ce tunnel

2) Pouvoir également accéder à un site ou l'autre, via une connexion VPN à la demande (probablement en l2tp/ipsec quand même), pour pouvoir accéder aux Synos

Vous l'aurez compris le but est de fermer complètement les Synos par rapport au WAN, pour des raisons de sécurité.

 

J'avais à l'époque installé le paquet VPN Server sur le DS215j pour pouvoir accéder au routeur et finir la configuration sans passer par un TeamViewer et monopoliser un pc, il était en L2TP/Ipsec et clairement ça ramait... Maintenant est-ce que le nas ramait, ou étais-ce parce-qu'il tentait de rediriger tout le trafic de mon poste vers ce vpn? Bonne question... J'avais fait ça à l'arrache donc pas de route etc.

Autre information importante... J'utilise un DDNS de chez OVH, pas de possibilité d'avoir une ip fixe.

Au niveau routeur je possède des WNR3500Lv2 qui avec le recul, me semble plus être des jouets qu'autre chose (surtout après avoir travaillé avec des vrais appareils pro...)

 

Je vois donc deux solutions:

1) - Je fais tout ça avec mes Synology, mais j'ai peur que ça rame violemment (avec les backup via le tunnel par exemple), et de ce que j'ai lu c'est un peu le bordel pour spécifier des routes sur ces derniers. Je peux éventuellement le faire sur le routeur, mais bon je ne suis même pas sur que l'option y soit!

2) - J'achète de nouveaux routeurs (à défaut d'être assez riche pour me payer des Fortinet ou Palo Alto héhé), et quelqu'un sur ce forum m'avait conseillé de voir chez Ubiquiti. Je penche actuellement plus vers cette solution qui me semble plus pro et me permettra de gérer mes routes et m'éviter l'achat d'un switch POE car j'envisage d'installer une ou deux caméras. Par contre, je ne sais pas si ces appareils sont:

- Assez puissant pour supporter un tunnel permanent dans lequel passe beaucoup de trafic lors des backups + une connexion externe (moi en somme)

- Vont pouvoir établir ce tunnel en ipsec sur un nom de domaine ou utiliser directement le ddns d'OVH sait-on jamais

 

Voilà voilà, beaucoup d'infos et de questions... J'attends vos réponses avec impatience! :D

[Fenrir]

Il y a plusieurs questions dans ton post.

VPN permanent :

• si aucun des "sites" n'a d'IP fixe, le paquet VPN Server ne sera pas adapté pour relier les 2 syno entre eux. Par contre, si l'un des 2 est en IP fixe, ça devra être lui le serveur (peu importe le sens des backup)

VPN "road warrior" (pour te connecter aux syno) :

• idem, mais moins gênant

Vrai routeur :

• l'ip fixe est moins importante dans ce cas, même si elle reste fortement recommandée
• Ubiquiti propose effectivement des boîtiers très abordables (60€) permettant de faire des VPN site à site, mais il faut tout de même quelques connaissances (ce n'est pas du "clique clique clique")
• niveau perf, les plus petits boîtiers permettent entre 50mbits et 200mbits (en fonction de la conf), pour peu que la connexion Internet suive (upload !!!), tes syno devraient avoir des performances similaires
• les gammes supérieurs peuvent passer le 1Gbits (le tarif n'est évidemment pas le même)

POE :

• un routeur ce n'est pas un switch, même si certains modèles ont quelques ports dispo, ils sont rarement POE
• il existe plusieurs POE (802.3af, 802.3at, Enhanced POE, POE passif 24, POE passif 48, ...), il faut être sûr de la norme dont tu as besoin (certains switch en gèrent plusieurs)
• =>si tu souhaites un switch POE, achète un switch POE

[Spi]

Merci pour tes précisions, je peux donc écarter la possibilité du paquet VPN server, ainsi que le modèle de routeur avec des POE.

Concernant les connaissances réseau ne t'en fais pas, je suis ingénieur système de formation, j'ai bossé également un an comme security engineer donc même si je gérais des firewalls et pas des routeurs ça devrait être dans mes cordes de faire un adressage réseau correct car j'ai reçu de bonnes bases. Puis justement, je ne veux pas de routeur clic clic, j'essaie que mon réseau privé soit aussi pro que possible car je fais pas mal de choses. :) Et puis ce sera l'occasion de dépoussiérer mes vieilles connaissances réseaux. :)

Niveau perfs avec nos connexions pourries en Belgique ce sera déjà un miracle si j'arrive à uploader en 50mbits! Pour info pourquoi est-ce que dans le cas du routeur l'ip fixe est tellement recommandée? Je t'avoue que je ne sais pas comment fonctionnent nos providers, ça dépend chez qui tu es... mais je ne pense pas qu'ils renouvellent le bail tant que tu ne redémarres pas la box. Dans tous les cas je peux tenter de monter le tunnel sur une ipv6 vu que le deuxième site est chez un provider qui le gère et que je passerais bientôt chez le même, et peut-être qu'elles ne changent pas. En ipv4 par contre c'est certain qu'elles changent toutes les 36 ou 48h si je me souviens bien. Et malheureusement, une ip fixe n'est pas envisageable... Soit les providers ne la proposent pas, soit c'est 50-100€ par mois.

[Fenrir]

Tu peux tenter le paquet VPN Server, pour faire un PoC, mais sauf à aller bidouiller le nas, la connexion ne va pas remonter lors du changement d'ip. Tu as un exemple pour "simuler" un VPN s2s (site à site) avec un ras (remote access server/client-serveur) en jouant avec les routes (ici), mais ce n'est pas stable et impose pas mal de contraintes.

Si je devais faire ça avec mon syno, j'utiliserai directement un docker, le linux de synology est trop pauvre et trop "custom" (ce qui est normal, c'est un nas avant tout).

Avec un routeur Ubiquiti, tu as un vrai système d'exploitation (en l’occurrence c'est une Debian) "équipé" pour faire du réseau (ça vaut mieux pour un routeur), donc tu peux plus facilement automatiser la reconnexion en cas de changement d'adresse (et faire plein d'autres choses).

Et la raison (hors pb de sécurité) pour laquelle une IP fixe est plus que recommandée, c'est qu'un VPN s2s ce n'est pas un ras. En s2s, on interconnecte des réseaux, en ras le serveur vpn est un point de terminaison qui attribut des adresses aux clients (exception faite des bridges).

Si l'ip change d'un coté ou de l'autre, il faut potentiellement recalculer toute la topologie des 2 cotés avant de pouvoir remonter le tunnel. S'il n'y a qu'un seul tunnel s2s, c'est encore gérable, mais si tu as plusieurs tunnels, comment identifier que l'un d'eux est tombé suite à un changement d'ip (vs une simple perte de paquets) et comment identifier le site qui tente de se reconnecter (ou s'y reconnecter) si son identifiant (son ip) change ?

Pour ce qui est du changement d'IP, ça dépend beaucoup des FAI, certains la change à chaque déconnexion, d'autres toutes les n heures (ils provoquent une déco), d'autres jamais.

Enfin pour les tunnels IPv6, c'est encore assez mal implémenté (ce qui est dommage étant donné qu'ipsec a été créé pour ipv6 puis adapté à ipv4), donc je ne le recommande pas.

J'allais oublier, pour faire un s2s, il faut être en frontal, pas derrière un NAT (sauf à faire du 1-1).

-----------

Tout ça c'est la théorie, en pratique si tu es joueur, tu peux encapsuler les tunnels (par exemple un GRE dans lequel tu montes ton s2s ikev2) ou utiliser des bridges ssl (comme openvpn avec des interfaces tap). Tu combines ça à des VTI et à un routage dynamique (ospf par exemple) et en quelques heures de travail, tu as une interco entre tes 2 sites qui se gère toute seule.

Et pour le ras, utilises OpenVPN sur les Syno, ça marche très bien (faire du s2s et du ras en ipsec sur le même boitier c'est un enfer)

-----------

ps : si tu veux te lancer la dedans, n'hésite pas à me solliciter, c'est le genre de projet qui m’intéresse, par contre il faudra peut être le faire en dehors du forum, car ça sera totalement hors sujet (et hors de portée de la plupart des membres, même si j'en connais certains qui seront intéressés)

[Spi]

Mhhhh ben écoute je suis convaincu, après heureusement effectivement il n'y a qu'un seul tunnel à monter donc ça facilitera la tâche et je te remercie pour ta proposition!
Je vais regarder pour commander les routeurs d'ici quelques jours et réfléchir à l'implémentation, ton aide sera fortement appréciée et si des gens sont intéressés de suivre le projet on peu éventuellement les inclures en passant par un forum réseau ou autre moyen de communication.

Limite même si ça sort un peu du cadre du forum je pourrais synthétiser tout ça et en faire un tuto, ça servirait probablement à quelques personnes ici!

[Fenrir]

Pour les modèles de routeur, tu as déjà choisi ?

[StéphanH]

Il y a plusieurs questions dans ton post.
VPN permanent :

• si aucun des "sites" n'a d'IP fixe, le paquet VPN Server ne sera pas adapté pour relier les 2 syno entre eux.
  

J'ai un NAS en IP dynamique et l'autre en IP privée (3G), et j'ai un VPN permanent entre les deux.
À chaque renouvellement du bail de la Box en IP dynamique, le NAS client tente de lui même de rétablir le tunnel.


Rédigé avec Tapatalk

[Fenrir]

En fait ici il voulait un tunnel permanent entre ses 2 réseaux, pas seulement les nas. Si la box change d'ip, il faudra un certain temps avant que le ddns ne se mette à jour et que les caches DNS expirent, la dernière fois que j'ai tenté cette conf (il y a environ 1 an), ça a prit trop de temps => le nas a abandonné (au bout de x essais)

Mais ça a peut être changé, dans ce cas c'est une bonne nouvelle.

[StéphanH]

Du côte de mon NAS client VPN, j'ai mis une règle sur le routeur (la "box" 3G qui route le sous réseau du LAN du NAS maître, et je peux me connecter sans problème à un équipement du LAN distant de cette façon.
Cela ne fonctionne pas dans l'autre sens, les Livebox grand public ne proposant pas de router un sous réseau.

En ce qui concerne le renouvellement d'IP, chez moi, c'est une fois par semaine à heure fixe, donc ce n'est vraiment pas une contrainte forte, d'autant que depuis que j'ai remplacé les DNS SFR par ceux de Google sur le routeur 3G, la reconnexion est immédiate après le renouvellement d'IP


Rédigé avec Tapatalk

[Spi]

Le 27/05/2017 à 14:27, Fenrir a dit :

Pour les modèles de routeur, tu as déjà choisi ?

@Fenrir Je penchais vers les routeur Ubiquiti Edgerouter vu que on laisse tomber le POE, si j'achète des caméras je mettrais un switch qui s'en charge ou un adaptateur mais on verra. Du coup pas d'utilité de prendre le modèle au dessus vu qu'on a pas de fibre en Belgique.

Tu voyais autre chose en routeur pro pas hors de prix? Je peux encore changer d'avis, sinon je suis livré demain!

 

Le 27/05/2017 à 15:01, StéphanH a dit :

Du côte de mon NAS client VPN, j'ai mis une règle sur le routeur (la "box" 3G qui route le sous réseau du LAN du NAS maître, et je peux me connecter sans problème à un équipement du LAN distant de cette façon.
Cela ne fonctionne pas dans l'autre sens, les Livebox grand public ne proposant pas de router un sous réseau.

En ce qui concerne le renouvellement d'IP, chez moi, c'est une fois par semaine à heure fixe, donc ce n'est vraiment pas une contrainte forte, d'autant que depuis que j'ai remplacé les DNS SFR par ceux de Google sur le routeur 3G, la reconnexion est immédiate après le renouvellement d'IP


Rédigé avec Tapatalk

Merci pour tes précisions! J'aurais bien poussé les tests plus loin mais comme l'a dit Fenrir j'ai besoin d'un tunnel permanent, et je préfère dédier un appareil à ça. Par contre je serais curieux de voir quand les ip sont mises à jour chez mon provider... Il faudrait que je check ça à l'occasion.

Modifié le 29 mai 2017 par Spi

[Fenrir]

L'ERX est très bien pour un particulier.

[Spi]

Parfait dans ce cas, la suite demain!

[Fenrir]

J’avais un peu de temps cet après midi :

Site1

set interfaces vti vti0 address 1.1.1.1/30
set firewall options mss-clamp interface-type vti
set firewall options mss-clamp mss 1350
commit
set vpn ipsec auto-firewall-nat-exclude disable
set vpn ipsec esp-group Site1 compression disable
set vpn ipsec esp-group Site1 lifetime 86400
set vpn ipsec esp-group Site1 mode tunnel
set vpn ipsec esp-group Site1 pfs enable
set vpn ipsec esp-group Site1 proposal 1 encryption aes256
set vpn ipsec esp-group Site1 proposal 1 hash sha256
set vpn ipsec ike-group Site1 dead-peer-detection action restart
set vpn ipsec ike-group Site1 dead-peer-detection interval 30
set vpn ipsec ike-group Site1 dead-peer-detection timeout 60
set vpn ipsec ike-group Site1 ikev2-reauth no
set vpn ipsec ike-group Site1 key-exchange ikev2
set vpn ipsec ike-group Site1 lifetime 86400
set vpn ipsec ike-group Site1 proposal 1 dh-group 2
set vpn ipsec ike-group Site1 proposal 1 encryption aes256
set vpn ipsec ike-group Site1 proposal 1 hash sha256
set vpn ipsec ipsec-interfaces interface switch0
set vpn ipsec nat-networks allowed-network 0.0.0.0/0
set vpn ipsec nat-traversal enable
set vpn ipsec site-to-site peer IP.DU.SITE.2 authentication id Site1
set vpn ipsec site-to-site peer IP.DU.SITE.2 authentication mode pre-shared-secret
set vpn ipsec site-to-site peer IP.DU.SITE.2 authentication pre-shared-secret SecretPartagé
set vpn ipsec site-to-site peer IP.DU.SITE.2 authentication remote-id Site2
set vpn ipsec site-to-site peer IP.DU.SITE.2 connection-type initiate
set vpn ipsec site-to-site peer IP.DU.SITE.2 ike-group Site1
set vpn ipsec site-to-site peer IP.DU.SITE.2 ikev2-reauth inherit
set vpn ipsec site-to-site peer IP.DU.SITE.2 local-address IP.DU.SITE.1
set vpn ipsec site-to-site peer IP.DU.SITE.2 vti bind vti0
set vpn ipsec site-to-site peer IP.DU.SITE.2 vti esp-group Site1
commit
set protocols static interface-route LAN.DU.SITE.2/XX next-hop-interface vti0
commit;save;exit

Site2

set interfaces vti vti0 address 1.1.1.2/30
set firewall options mss-clamp interface-type vti
set firewall options mss-clamp mss 1350
commit
set vpn ipsec auto-firewall-nat-exclude disable
set vpn ipsec esp-group Site2 compression disable
set vpn ipsec esp-group Site2 lifetime 86400
set vpn ipsec esp-group Site2 mode tunnel
set vpn ipsec esp-group Site2 pfs enable
set vpn ipsec esp-group Site2 proposal 1 encryption aes256
set vpn ipsec esp-group Site2 proposal 1 hash sha256
set vpn ipsec ike-group Site2 dead-peer-detection action restart
set vpn ipsec ike-group Site2 dead-peer-detection interval 30
set vpn ipsec ike-group Site2 dead-peer-detection timeout 60
set vpn ipsec ike-group Site2 ikev2-reauth no
set vpn ipsec ike-group Site2 key-exchange ikev2
set vpn ipsec ike-group Site2 lifetime 86400
set vpn ipsec ike-group Site2 proposal 1 dh-group 2
set vpn ipsec ike-group Site2 proposal 1 encryption aes256
set vpn ipsec ike-group Site2 proposal 1 hash sha256
set vpn ipsec ipsec-interfaces interface eth0
set vpn ipsec nat-networks allowed-network 0.0.0.0/0
set vpn ipsec nat-traversal enable
set vpn ipsec site-to-site peer IP.DU.SITE.1 authentication id Site2
set vpn ipsec site-to-site peer IP.DU.SITE.1 authentication mode pre-shared-secret
set vpn ipsec site-to-site peer IP.DU.SITE.1 authentication pre-shared-secret SecretPartagé
set vpn ipsec site-to-site peer IP.DU.SITE.1 authentication remote-id Site1
set vpn ipsec site-to-site peer IP.DU.SITE.1 connection-type initiate
set vpn ipsec site-to-site peer IP.DU.SITE.1 ike-group Site2
set vpn ipsec site-to-site peer IP.DU.SITE.1 ikev2-reauth inherit
set vpn ipsec site-to-site peer IP.DU.SITE.1 local-address IP.DU.SITE.2
set vpn ipsec site-to-site peer IP.DU.SITE.1 vti bind vti0
set vpn ipsec site-to-site peer IP.DU.SITE.1 vti esp-group Site2
commit
set protocols static interface-route LAN.DU.SITE.1/XX next-hop-interface vti0
commit;save;exit

Les 2 LAN doivent évidemment utiliser des plans d'adressage différents et les règles de FW doivent être correctement ajustées.

Toutes les lignes de conf ne sont pas nécessaires, mais ça permet de faire de l'ikev1 ou v2 au choix en changeant un mot clef (key-exchange).

La conf par du principe que les routeurs sont en frontal du NET (sinon il faut faire quelques ajustements) et que les IP sont fixes mais c'est aussi utilisable avec des "ID" ou des enregistrements DNS (il faudra peut être passer en MOBIKE si les adresses changent).

J'utilise un secret partagé, mais on peut utiliser un certificat.

Modifié le 30 juin 2017 par Fenrir
Configuration MSS