Bonsoir à tous,
Hébergeant sur un serveur privé (VPS) un serveur VPN, j'ai souhaité pouvoir configurer une connexion sur mon Synology afin d'en profiter. Ayant pas mal galéré pour la faire fonctionner, j'ai souhaité partager mon expérience.
1- Pour le setup de la connexion (DSM 5.2), je suis allé dans "Panneau de configuration / Reseau / Interface réseau / Créer un profil VPN
2- Sélectionner le profil openVPN
3- Configurer la connexion avec les paramètres de l’utilisateur déclaré sur le serveur VPN.
NB : dans « Certificat », chargé le certificat de l’autorité de certification OpenVPN. Ce dernier se trouve dans le fichier « client.ovpn » téléchargeable via l’interface web de son serveur VPN (en se connectant avec le user/mdp de l’utilisateur qui sera utilisé pour la connexion via le Synology). Le certificat se trouve entre les balises <ca> et </ca>. Faire un copier / coller à partir de la ligne BEGIN CERTIFICATE jusqu’à la ligne END CERTIFICATE incluse et enregistrer le tout dans un fichier ca.crt
4- Cliquer sur suivant et dans la fenêtre suivante, cocher toutes les cases
5- Se connecter en SSH (root) sur son Synology et executer la commande suivante
cd /usr/syno/etc/synovpnclient/openvpn
6- Editer avec vi le fichier client_***** qui contient les paramètres de connexion à éditer
A la fin du fichier, ajouter les lignes suivantes et sauvegarder
#ajout
ns-cert-type server
cert user.crt
key user.key
tls-auth tls.key 1
log openvpn.log
up /usr/syno/etc/synovpnclient/openvpn/maj_iptables_tun0.sh
#fin ajout
7- Créer avec vi le fichier user.crt (il s’agit du certificat correspondant au user utiliser. On le trouve entre les balises <cert> et </cert>)
8- Créer avec vi le fichier user.key (c’est la clé privée disponible entre les balises <key> et </key>
9- Créer avec vi le fichier tls.key (clé de chiffrement du tunnel je pense. Disponible entre les balises <tls-auth> et </tls-auth>
10- Créer avec vi le script maj_iptables_tun0.sh pour sécuriser l’interface tun0 ouverte une fois la connection VPN établie (cf. http://www.nas-forum.com/forum/topic/28874-vpn-installer-vpntunnelse-sur-son-synology/?page=1)
#!/bin/sh
#
iptables="/sbin/iptables"
### Ouverture ports entrant pour Download Station ###
iptables -A INPUT -i tun0 -p tcp --destination-port 5000 -j ACCEPT
### On interdit tout autre port entrant ###
iptables -A INPUT -i tun0 -p tcp -j DROP
iptables -A INPUT -i tun0 -p udp -j DROP
iptables -A INPUT -i tun0 -p icmp -j DROP
NB : rendre ce script exécutable via la commande chmod +x maj_iptables_tun0.sh
11- Créer le fichier de log (pratique pour diagnostiquer un problème)
touch openvpn.log
En espérant que ces informations vous aideront
Christophe