Questions VPN ...

[Rere10500]

Bonjour à toutes et tous.

Je suis passé par le tuto sur la mise en place de VPN, ce qui m'a permis de mettre en place le serveur VPN sur le SYNO (un openVPN et un IPSEC).Dans les deux cas, je peux m'y connecter avec mon client, quand je surf, mon IP a changé.

Dans un autre fil, je lis : "le problème du vpn, c'est qu'il a été détourné de son but premier : permettre de se connecte à un réseau (d'entreprise ou son propre réseau perso) de manière sécurisée et transparente afin d'y travailler et utiliser les service disponibles."

Ca tombe bien parce que moi, je voudrais utiliser un VPN pile poil pour ce qu'il a été conçu  MAIS, j'ai bien l'aspect connexion mais pas l'aspect""transparence et utilisation des services"

Dans le fil du Tuto, j'ai déjà posé quelques questions mais les reponses sont restées un peu obscures  , je m'explique :

Avec openVPN ou IPsec, après connexion, je ne vois pas les autres périphériques réseaux (une imprimante et quelques dossiers partagés). Pour accéder au Syno, sur openVPN je l'ai sur une adresse du type 192.168.1.x (comme si j'étais sur mon réseau d'entreprise), avec IPSEC, je l'ai sur une adresse du type 10.2.0.0 ... alors là, a y est, je ne comprends plus puisque ce n'est pas l'adressage du réseau de l'entreprise. (même si j'ai lu que c'était normal ... )

J'ai bien conscience des lacunes que j'ai pour comprendre les choses mais il me faudrait la possibilité d'accéder à mon réseau d'entreprise en toute transparence, comme si j'étais à mon bureau.

Auriez-vous une idée ou quelques pistes à suivre ? Auriez-vous des livres ou des sites à me conseiller pour mieux cerner le sujet ?

Merci de votre aide

Regis

 

[Fenrir]

Je reste sur ce que je t'ai répondu dans le tuto, le problème ne vient pas du VPN mais de ta manière d'utiliser ton réseau.

En version simplifiée, il existe plusieurs niveaux dans un réseau (on parle de couche, généralement au nombre de 7, en pratique c'est plus complexe), ceux qui t’intéressent sont les suivants :

• niveau 2 : les périphériques sont connectés au même switch et se parlent via leurs adresses mac en ethernet via le protocole ARP (une communication par adresse mac ne peut pas franchir un routeur)
  • broadcast ARP : c'est un usage très particulier de la couche 2 qui permet d'envoyer un messages à toutes les machines du même réseau
• niveau 3 : les périphériques peuvent être séparés par un plusieurs routeurs et utilisent des IP pour se trouver ou franchir ces routeurs
  • broadcast IP : c'est un usage très particulier de la couche 3 qui ne peux fonctionner que dans la couche 2

La fonction que tu utilises, en plus d'être très instable et dangereuse ne peut fonctionner qu'entre machines d'un même domaine de diffusion (sur le même switch pour faire simple) car elle utilise des messages de "broadcast".

• Par analogie on pourrait dire que le broadcast c'est quand des personnes sont dans une même maison et que le routage c'est quand les personnes sont dans des maisons différentes.
• Dans le premier cas, les personnes peuvent se parler directement (plus ou moins facilement en fonction des portes/mur)
• Dans le second elles doivent se téléphoner.
• Ici le numéro de téléphone c'est l'adresse IP et l'opérateur telecom c'est le routeur.
• Sans essayer tous les n° (que tu dois connaitre), tu ne peux pas savoir qui est dans la maison d'en face.
• Pour éviter de retenir tous les n° de téléphone, on utilise un annuaire, en réseau c'est le DNS qui joue ce rôle.
• Et le VPN c'est simplement un téléphone chiffré.

=>dans ton cas, la fonction de découverte des périphériques du réseau ne pourra pas fonctionner, tu dois donc adresser les machines avec leurs adresses IP (ou noms DNS)

S'il s'agit d'un usage "entreprise", tu dois avoir un serveur DNS (ou WINS si l'admin n'est pas sorti des années 90), si ce n'est pas le cas, c'est que le réseau de l'entreprise est à refaire. S'il s'agit de ton réseau personnel, tu peux utiliser le serveur DNS de ton NAS (il y a aussi un tuto).

Pour détailler plus il faudrait que je te fasse un cours réseau accéléré, mais ce n'est ni le lieu ni l'heure .

nb : OpenVPN permet de faire des VPN de niveau 2 mais ce n'est pas proposé par Synology car c'est rarement utile et vraiment pas propre ni efficace. Il existe aussi des systèmes permettant de retransmettre les messages de broadcast entre différents réseaux, mais ça dépasse de très loin tes compétences.

ps : un peu de lecture

• https://fr.wikipedia.org/wiki/Modèle_OSI
• https://fr.wikipedia.org/wiki/Address_Resolution_Protocol
• https://fr.wikipedia.org/wiki/Internet_Protocol
• https://fr.wikipedia.org/wiki/Broadcast_(informatique)
• https://fr.wikipedia.org/wiki/Routage
• https://fr.wikipedia.org/wiki/Domain_Name_System

[Rere10500]

Bonjour Fenrir

et merci pour ces précisions, des explications simples et claires ! Je comprends maintenant mieux pourquoi je ne trouve pas les ressources de la maison d'à côté 

C'est effectivement un réseau d'entreprise mal fait ... pour résumer, ce sont des machines connectées à un switch quoi.

Je vais relever toutes les adresse IP, et vraisemblablement mettre un serveur DNS (avec le NAS synology du reseau).

Encore merci, je ne dis pas que je n'aurai pas d'autres questions d'ici peu ...

Regis

PS :  "Il existe aussi des systèmes permettant de retransmettre les messages de broadcast entre différents réseaux, mais ça dépasse de très loin tes compétences." : je verrai ça le prochain coup ...