CyberFr

Avec OpenVPN l'accès distant est refusé. Je pense que décidément il y a un gros problème avec DSM concernant les profils de contrôle d'accès.

OpenVPN me réclame un certificat externe alors que d'après le tuto VPN Server le certificat est inclus dans le fichier de configuration .ovpn. J'imagine que le certificat est ca_bundle.crt mais je n'arrive pas à l'importer : un glisser/déposer est sans effet et il n'existe pas d'option pour importer le certificat à partir d'un chemin d'accès local.

Parce que tu crois @Jeff777 que je vais abattre le boulot en une demie-journée ? 🙃 Je suis plutôt dans la situation du mythe de Sysiphe.

Si je sors vivant de cette aventure, ce sera du pragmatisme en effet. Dans le cas contraire ç'aura été de la folie ! Mais pu**in qu'est-ce qui m'a pris d'acheter un NAS alors que j'étais si tranquille auparavant 😒

Il ne me reste donc plus qu'à reprendre le tuto sur VPN Server et à utiliser OpenVpn 🤢 Ma parole, je dois être maso !

Bonjour @oracle7, Elle est parfaite cette calculatrice d'IP. Je l'ai ajoutée à mes bookmarks 🙂 Je ne comprends pourquoi malgré mes ultimes modifications, on n'arrive pas à se connecter en VPN à distance sur le reverse proxy. Mais que diable suis-je allé faire dans cette galère ? Je craque 🤢

OK. Je vais le rajouter 127.0.0.0/8 pour voir.

J'arrive à me connecter localement mais il semble que le profil de contrôle d'accès que j'ai défini ne soit pas adapté à une connexion à distance en VPN. C'est le dernier coup de collier qui me reste (OUF !) car à part ça tout fonctionne.

Ah ben là tu es vache ! 🙂 Dans le tuto, il est indiqué : Il faut vraiment avoir une loupe pour déceler que la destination est en HTTP.

Bingo ! Après avoir écrit : J'ai modifié le port utilisé dans le reverse proxy en remplaçant le port HTTPS par celui en HTTP et tout baigne 🤩 Bravo @Jeff777. La seule chose qui reste est l'avertissement du Conseiller de sécurité parce que la redirection automatique de HTTP vers HTTPS pour le bureau de DSM est désactivée.

Oui @Jeff777, le port défini dans Réseau > Paramètres de DSM est identique à celui défini dans le reverse proxy. C'est le port HTTPS qui figure dans le reverse proxy.

Je n'ai pas d'erreur de connexion lié au certificat lorsque j'utilise le reverse proxy. Là je ne comprends pas bien.

Bonjour @oracle7, Par chance, car je ne le savais pas, je n'accède pas au reverse proxy par nonduNAS.ndd.fr.

J'essaie d'atteindre l'interface d'administration de DSM. Décidément, je dois être chat noir 😵

@Jeff777 Bonjour, Je vide systématiquement le cache de Firefox avant de faire des essais. Je vais essayer avec un autre navigateur. Je me suis connecté localement et au travers du VPN, l'accès HTTP fonctionne. Les règles de contrôle d'accès interdisent les autres connexions.

J'ai même redémarré le NAS pour voir si tout rentrait dans l'ordre mais ce n'est pas le cas. J'ai suivi le tuto à la lettre et ça ne m'a pas paru compliqué. Alors pourquoi ça ne marche pas vraiment ?

@oracle7, J'entre simplement xxx.ndd.fr sans préciser le port. J'ai essayé http://xxx.ndd.fr et https://xxx.ndd.fr et les deux fonctionnent lorsque la cible est en HTTPS dans le reverse proxy.

@oracle7, J'ai annulé les modifications que j'avais apportées aux réglages du reverse proxy, c'est donc maintenant : https.xxx.ndd.fr http.localhost.port de destination. J'ai décoché "Rediriger automatiquement les connexions HTTP vers HTTPS sur le bureau de DSM" qui était en effet coché auparavant. Le problème est que je me retrouve maintenant avec le message d'erreur décrit au début du fil et ce que je me connecte en HTTP ou HTTPS.

@oracle7, Dans le tuto, on indique la correspondance : https.xxx.ndd.fr http.localhost.port de destination Et comme j'avais le message d'erreur, j'ai modifié le réglage ainsi : https.xxx.ndd.fr https.localhost.port de destination Et là ça fonctionne, que je me connecte en HTTP ou HTTPS. Comprenne qui pourra. Je vais maintenant m'occuper du contrôle d'accès.

Bonjour @oracle7, Je vais vérifier. Merci. Ben, le contenu du fichier .htaccess dans mon dossier web est strictement identique à celui décrit dans le tuto. Ce qui m'étonne, c'est que j'ai cette erreur y compris lorsque j'accède au reverse proxy en HTTPS.

Lorsque j'utilise le reverse proxy fraîchement mis en place, j'ai droit à cette erreur, que j'accède en HTTP ou en HTTPS. Le port 80 n'est pas ouvert dans le pare-feu. J'ai modifié depuis longtemps le fichier .htacces afin de forcer l'accès au site Web en HTTPS. Et cela fonctionne toujours.

Un grand merci @.Shad., J'ai désactivé le foward du port d'administration HTTPS du NAS. C'est ce que j'ai fait. Je l'ai lu, relu et re-relu jusqu'à épuisement 🥱

Je n'ai qu'une tablette pour tester malheureusement. Lorsque depuis le VPN je tape https://ndd.fr:5001 je n'ai aucun avertissement de sécurité mais comme tu l'as justement souligné, il n'est pas normal que je doive fowarder le port 5001 sur la box puisque c'est une connexion locale en principe. Par contre lorsque je suis vraiment en local, chez moi, je n'ai pas à ouvrir ce port. Je peux, mais je ne voudrais pas abuser, te transmettre en privé le ndd et le port pour que tu puisses tester de ton côté.

Voilà, voilà, la connexion VPN étant active. root@DS220:~# netstat -tunlp | grep 5001 tcp 0 0 0.0.0.0:5001 0.0.0.0:* LISTEN 11219/nginx: master tcp6 0 0 :::5001 :::* LISTEN 11219/nginx: master

Bonjour @Jeff777, J'utilise l'adresse 10.2.0.1 parce que c'est l'adresse qui m'est indiqué lorsque je me connecte au VPN.