Fenrir

Pour faire passerelle VPN un raspberry est aussi rapide qu'un syno et un ERX c'est un modèle de routeur pas cher d'Ubiquiti. Dans mon poste précédent j'ai fait une coquille, le VPN entre les 2 nas peut être le même que l'un ou l'autre des VPN client->nas à la condition que le sens de connexion (nasA vers nasB ou nasB vers nasA) soit toujours le même.

non, un service n'utilise qu'un seul certificat à un moment donné (mais tous les services ne sont pas obligés d'utiliser le même, c'est pour ça que tu peux en avoir plusieurs). cf tuto sécurité Et pour la notification, cf tuto dns

@knightchanse on se rapproche d'un besoin d'entreprise, je te recommande d’investir dans une paire d'appliance VPN (ça peut être 2 rapsberry, 2 erx ou des trucs bien plus gros/cher). Un VPN ça marche toujours dans les 2 sens, donc le reste n'est qu'une histoire de routes. La première chose à faire est de s'assurer de ne pas utiliser 2 fois le même réseau => tu as 3 équipements (nasA, nasB, ton pc) chacun doit pouvoir parler autres 2 autres il faut donc 6 réseaux différents : lan nasA lan nasB lan pc vpn entre les 2 nas vpn pc vers nasA vpn pc vers nasB si nas A et B n'ont pas à parler à des équipements situés derrière le voisin, les lan A et B peuvent être les mêmes (pas bien mais pas grave) si le pc n'a pas à parler à des équipements situés derrière le voisin, les lan A ou B et celui du PC peuvent être les mêmes (pas bien mais pas grave) =>tu peux avoir les même LAN partout PAR CONTRE, les réseaux VPN entre les pairs doivent tous être différents Enfin, pour le nas A vers nas B (ou l'inverse), tu choisis le sens que tu veux

PPTP => pas de support ici (en tout cas de ma part)

Tu accèdes bien à ton nas avec l'adresse monnas.synology.me ? Tu as bien supprimé l'ancien certificat autosigné ?

Je n'avais pas regardé (my bad), je pensais que c'était un paquet générique, mais ça ne change rien au fait que sans pouvoir tester, je ne peux pas faire de tuto

@Einsteinium VPN plus n'est pas disponible sur tous les modèles, les miens n'y ont pas accès par exemple.

10€ c'est peut être pas cher, ou très (je n'ai pas testé), mais il faut aussi un nas compatible => je ne peux pas tester => je ne fais pas de doc/tuto sur un truc que je n'ai pas testé moi même en détails, surtout si c'est lié à de la sécurité.

@Einsteinium si tu m'offres la licence et le routeur, pas de problèmes

Non, ce n'est pas obligatoire, mais ça peut aider dans certains cas (avec certaines appli).

Ce n'est pas une obligation, même si le nas est accessible depuis Internet, c'est à voir selon les besoins.

non une capture d'écran ? (il y a plein d'endroits avec domaine)

ça implique que le client est en mesure de faire une résolution DNS, que ce nom de domaine est bien résolu, sans usurpation et qu'il est bien uptodate. ça laisse aussi moins de traces ps : nom d'hôte, c'est le nom local de la machine, seule la machine et ses proche le connaissent (son prénom si tu veux), il n'est pas nécessairement lié au nom de domaine (une machine peut se nommer toto et être accessible via www.machin.com) nom de domaine, c'est un nom lié aux DNS, on passe par un serveur DNS pour le résoudre, c'est le nom "public" que tout le monde peut identifier sans ambiguïté (nom complet avec adresse postale si tu veux)

https://usdl.synology.com/download/DSM/release/

@balthazar C'est Apple qui nomme les choses bizarrement, ikev2 c'est aussi de l'ipsec, quand ils disent ipsec c'est celui de cisco et ipsec/l2tp c'est noté l2tp seul => L2TP avec un syno comme serveur à toi de voir, si ta connexion est bonne (up+down de la box), tu peux laisser connecté h24, mais ça consomme un peu de batterie pour que ça fonctionne en local, il faut une conf réseau adaptée selon que tu coches ou non la case, tout le trafic passe ou non par ton nas, ce n'est pas recommandé au travail @Gulliver42 Qui a le problème, la box du client ou du serveur ? Dans un cas comme dans l'autre c'est curieux

routeur B si tu te connectes depuis Internet (ou depuis routeur A) Le fichier de configuration est généré par l'application VPN Server du syno juste après avoir enregistré, il faut l'exporter (c'est un zip). Dans ta capture : équipement / adresse IP => indique l'ip privée du nas (probablement un truc du genre 192.168.....)

Ces 2 ports ne servent pas à la même chose. Le port 25 est un port de communication entre serveurs, pour recevoir des mails depuis d'autres serveurs (par exemple gmail), le port 25 doit être ouvert entrée Le port 587 (ou 465 en version obsolète) sert pour la communication client vers serveur =>pour héberger un serveur mail (un MX), le port 25 doit être ouvert dans les 2 sens (entrée et sortie) Toute autre manière de faire n'est pas propre et risque de faire réagir les antispam.

Vérifie l'adresse publique de ton nas

Celui qui convient à la situation, j'en parle au début du tuto.

Pour l'ipsec, il y a sûrement un mauvais réglage qui traîne ou qui est absent, mais un bug n'est pas à exclure, il faudrait regarder en détails l'ensemble des éléments. IPSec/L2TP est souvent plus performant car il utilise des fonctions matérielles (y compris coté client), contrairement à openvpn qui est 100% logiciel sauf rares exceptions. OpenVPN reste néanmoins largement suffisant pour la plupart des besoins.

Essaye de lui donner les droits complets sur le dossier.

Le firewall du nas doit bloquer une partie du trafic, il faut autoriser : depuis tout ou partie d'Internet vers le nas pour les 3 ports depuis 10.0.0.0/8 vers le nas pour les ports que tu souhaites utiliser

@ers31 : dhcp car : si tu changes de routeur ton nas restera accessible (si le firewall est bien configuré) tu pourras réattribuer des ip fixes (via dhcp) de manière centralisée à tous tes équipements depuis un point unique, ton routeur même si tu ne changes pas, ça limite les risques de conflit d'ip puisque le dhcp n’attribue pas une ip qu'il voit affectée (en dhcp ou en statique) à un autre équipement @Apolinaire : pb de conf coté client très probablement, revérifie le secret (pour tester, mets un truc simple genre secret20180124) et le type de tunnel (ça dépend du client, par défaut c'est souvent ikev2 => qui n'est pas géré par les syno) tu peux aussi tester avec un autre périphérique (smartphone par exemple)

99% des réglages du soft de gestion ne concernent pas les bornes, ce soft permet de gérer tous les périphériques unifi (bornes, switch, firewall et routeur). Tu as juste à configurer ceci : Settings (la roue dentées) Controller : smtp si tu veux les notifications (il faudra les configurer, ça spam pas mal) => seulement utile si ton contrôleur (le soft) tourne H24 Maintenance : pour la rétention des données (stats) => seulement utile si ton contrôleur (le soft) tourne H24 Wireless Networks : ici tu créés ton ou tes SSID avec les bonnes options Ensuite tu peux faire des réglages spécifiques sur la borne dans Device => clique sur la borne => Config : General : Alias : pour lui mettre un petit nom LED : si besoin Radios : RADIO 2G Channel Witdh : HT20 Channel : auto Transmit Power : auto RADIO 5G Channel Witdh : VHT80 sauf si tu as des interférences (voisins ...) Channel : auto Transmit Power : auto Network : DHCP c'est mieux, avec assignation statique depuis le serveur dhcp non seulement on peut, mais tu n'as pas le choix, il s'agit de BORNES WIFI, pas de routeurs qui font machines à café

pas pour un particulier