Nano83

@Nolin Donc tu as un PC qui marche et un autre qui ne marche pas. La seule différence est le compte que tu utilises. (différent sur chaque PC) On est d'accord que tu es sur le même réseau distant quand tu testes tes 2 PCs. Donc ça pourrait être un problème de compte. Prends le PC qui marche pas et essaye avec le compte de l'autre qui marche. Si ca fonctionne alors ce n'est pas le PC mais le compte et dans ce cas, va vérifier sur le NAS que le compte qui ne marche pas à bien les droits pour OpenVPN.

Bonjour @Nolin Si tu montes bien le VPN, Si ton NAS répond au ping, Alors il y a de forte chance que cela vienne du firewall du NAS qui n'autorise pas le trafic entrant venant de ton PC à distance. A mon humble avis, il faut vérifier le paramétrage des règles du firewall et les services accessibles depuis le VPN (DSM, file manager, etc.... Tu vas me dire oui mais avant de passer en DSM 7 ca marchait !! certes, sinon reprend la config de A à Z en ré-exportant le fichier de config VPN, peut etre une histoire de certificat.

Tout ton trafic internet passe via ton VPN (donc ton routeur du bureau et plus ta box @home si tu as décoché la ligne ci dessous. redirect-gateway def1 Ton trafic Internet passe par ta box @home si tu n'as pas decommenté la ligne ci-dessous (c'a dire que juste le trafic vers ton bureau passe par le VPN) #redirect-gateway def1 fichier config openvpn: # If redirect-gateway is enabled, the client will redirect it's # default network gateway through the VPN. # It means the VPN connection will firstly connect to the VPN Server # and then to the internet. # (Please refer to the manual of OpenVPN for more information.) redirect-gateway def1 Il faut bien sur que les services smb/cifs soient autorisés pour ton utilisateur VPN. Pour ma part je n'ai jamais touché aux routes!

Aux temps pour moi, j'avais compris que le NAS etait chez toi et que tu voulais t'y connecter depuis l'extérieur (bureau ou autres). En ouvrant le VPN, il ouvre une connexion entre le NAS qui est serveur OpenVPN en 10.8.0.1 et ton PC qui est le client est en 10.8.0.X. A partir de là tu as un tunnel de monté et tu n'es plus en local chez toi sur cette connexion mais en local sur le réseau du bureau donc sur le réseau 192.168.1.X. Tu devrais pouvoir pinger l'ensemble des machines de ton bureau autres que le NAS. tu as essayé ceci déjà ? Après la connexion peut être autorisée (comme tu montes bien le VPN c'est que le port du routeur est ouvert et bien redirigé vers le NAS) mais peut être pas le flux, une histoire de règles de firewall soit dans le NAS soit dans le routeur du boulot.

Salut, Je pense que ton problème est dans l'adresse IP. Tu ouvres ton VPN sur ton PC distant (donc tu es comme si tu étais en local mais via l'adresse 10.8.x.x) et après tu lui demandes d’accéder via l'IP publique au workgroup... smb://45.X.X.X.... Si ca marchait ca serait grave ca voudrait dire que ton le monde pourrait accéder à ton workgroup de l’extérieur 🙂 Il faut que tu mettes une ip locale en 192.168.x.x/workgroup pour accéder. essaye smb://192.168.1.9/workgroup Sinon dans ton fichier de config openvpn il faut autoriser l’accès au LAN aussi pour que le VPN sur DS220+ te permette de voir ton réseau local. Voila j'espère que ca va t'aider.

@.Shad. J'ai monté ma VM sur le NAS et là j'ai bien accès à la page du switch... donc ca me fait un moyen de contournement pour y accéder via le VPN. J'ai jeter un œil au header de la page comme tu me l'indiquais... mais là, ça dépasse le niveau de mes compétences. Merci en tout cas pour les pistes que tu m'as données

@.Shad. Après de multiples recherches, j'ai fini par tombé là-dessus sur le forum Netgear. Ce qui est tout a fait mon cas de figure. Ca semble être un problème de firmware. Je n'avais pas pensé essayer via une VM sur le NAS pour etre en local. Je m'en vais en monter une...

@.Shad. Merci pour ta réponse, je vais regarder cela avec mes petites connaissances, cependant pour le moment je ne suis pas sur place, donc pas moyen de vérifier grand chose via le VPN à part le ping du switch :-(. Sous Chrome j'ai l'erreur suivante: Voici quelques conseils : Vérifier la connexion Vérifier le proxy et le pare-feu ERR_CONNECTION_REFUSED La connexion est forcement ok, je n'ai pas de proxy et à tout hasard j'avais désactivé le parefeu du PC mais pas mieux. Bref, je te donnerai des news, dès que possible.

Bonjour à tous, Je viens vous exposer un petit souci que je n'arrive pas à résoudre. J'ai un VPN serveur OpenVPN qui tourne sans problème sur mon NAS depuis un bon moment. Je peux accéder à tous mes périphériques de mon réseau local à distance via le VPN (NAS/Box/routeur/domotique/VMs etc....) ça fait des années que ça fonctionne sans aucun souci. (D'ailleurs c'est grâce, aux tutos et à la mine d'infos du Forum. merci à lui 🙂) Sauf que... le seul périphérique auquel je ne peux pas accéder via le VPN est mon switch (Netgear GS116e). Je le ping bien mais dès que je veux accéder à son interface c'est impossible. la connexion échoue quelque soit le navigateur. Firefox, Chrome, etc.. En local l'interface d'admin est parfaitement accessible en http://192.168.x.x/login.html Là via le VPN le navigateur me transforme le HTTP en HTTPS et donc ça échoue. J'arrive pas a forcer à rester en http. Il n'y a que ce p... de switch sur lequel je ne peux accéder, l’accès au NAS en http pas de souci, la BOX en http pas de souci etc... Je précise que tous les équipements sont dans le meme réseau 192.168.x.x y compris le switch Je tourne en rond, quelqu'un aurait il une piste ? Pourquoi le navigateur me force seulement pour le switch à passer en https lorsque que je suis via le VPN !! Merci d'avance pour vos lumières.

Ou c'est moi qui n'ai pas compris ton besoin 🙂 (fort probable) Si tu veux continuer à utiliser ton NDD et accéder au NAS via le port 5001 de l’extérieur, il faut en effet laisser les ports/redirections ouverts et ton reverse proxy pour tes sous-domaines/appli et là on peut se demander pourquoi mettre un VPN (à part pour sécuriser l'accès admin sur DSM) Si tu veux accéder à ton NAS uniquement une fois le VPN monté alors il te faut laisser uniquement ouvert le port VPN (ex openvpn port 1194). Une fois ton VPN monté, tu navigues sur ton LAN/NAS comme si tu étais connecté en local plus besoin de NDD comme tu as une IP fixe ou de reverse proxy si tu crées tes alias d'appli en local.

Salut @Fidjial Si tu accèdes à ton NAS de l’extérieur aussi bien sans VPN qu'avec VPN c'est que tu as ouvert ou laissé ouvert un peu trop de ports dans ton parefeu du NAS et Box. Si le but est d’accéder à ton NAS de l’extérieur quuniquement via VPN, il faut revoir ta stratégie de sécurité aussi bien dans ta box que dans ton NAS. (supprimer l'acces quickconnect, supprimer accès Http/Https depuis l'extérieur, etc...) Comme le dit @Jeff777 revoie tes règles de parefeu en n'autorisant que les LAN privés et LAN VPN. Tout le reste doit être bloqué.

@Pascalou59 Non la tu l'as commenté en ajoutant le # (la ligne devient un commentaire) moi je parlais de de-quoter comme ci dessous verify-x509-name mondomaine.com name mais il parait qu'avec le double quote ca marche aussi cependant je n'ai pas essayé cette seconde version verify-x509-name "mondomaine.com" name

@Jeff777@Pascalou59@MilesTEG1 Bon j'ai trouvé la solution au problème en cherchant sur le net. A priori c'est connu sur la dernière version du client OpenVPN Connect (3.3.6) A la création du serveur OpenVPN sur le NAS et quand on coche l'option Vérifier le CN du serveur. Dans le fichier de conf exporté, la ligne suivante est ajoutée en fin de fichier verify-x509-name 'mon.nom.domaine.fr' name ceci qui conduit au message d'erreur suivant lors de l'utilisation de cette conf sous OpenVPN Connect 3.3.6 Pour résoudre le problème il faut enlever les quote ou les remplacer par des doubles quote sur la ligne de commande dans le fichier de conf .opvn La ligne devient verify-x509-name mon.nom.domaine.fr name Et après ça marche !!! Merci pour votre aide à tous. Je laisse ici le fichier de config dev tun tls-client remote mon.nom.domaine.fr 1194 # The "float" tells OpenVPN to accept authenticated packets from any address, # not only the address which was specified in the --remote option. # This is useful when you are connecting to a peer which holds a dynamic address # such as a dial-in user or DHCP client. # (Please refer to the manual of OpenVPN for more information.) #float # If redirect-gateway is enabled, the client will redirect it's # default network gateway through the VPN. # It means the VPN connection will firstly connect to the VPN Server # and then to the internet. # (Please refer to the manual of OpenVPN for more information.) redirect-gateway def1 # dhcp-option DNS: To set primary domain name server address. # Repeat this option to set secondary DNS server addresses. #dhcp-option DNS DNS_IP_ADDRESS pull # If you want to connect by Server's IPv6 address, you should use # "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode proto udp script-security 2 reneg-sec 0 cipher AES-256-CBC data-ciphers 'AES-256-CBC' auth SHA512 auth-nocache auth-user-pass <ca> -----BEGIN CERTIFICATE----- # ici votre certificat -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- # ici votre certificat -----END CERTIFICATE----- </ca> key-direction 1 <tls-auth> # # 2048 bit OpenVPN static key # -----BEGIN OpenVPN Static key V1----- # ici votre clé -----END OpenVPN Static key V1----- </tls-auth> verify-x509-name mon.nom.domaine.fr name

@Jeff777 j'ai changé le certificat du NAS autosigné par celui du RT let's encrypt et ça donne la même chose. Ok sous OpenVPN GUI Nok sous OpenVPN Connect Si je décoche l'option Vérifier le CN du serveur. qui supprime donc dans le fichier .ovpn verify-x509-name 'mon.nom.domaine.fr' name Alors là ça marche sur les 2 clients mais j'ai de nouveau le warning sur le client OpenVPN Connect WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. Maintenant reste comprendre pourquoi la verif CN met le bazar

@Jeff777 pas bête cette idée ! Celui sur le NAS est un autosigné Syno qui somme toute fonctionne très bien sous le client OpenVPN GUI mais pas sous le client OpenVPN Connect (les deux clients étant sur le même PC). J'ai un certificat let's encrypt sur mon RT2600, je peux l'importer sous le NAS ? ou faut-il que j'en fasse un autre pour le NAS ?

@Jeff777 Merci pour le lien, je vais essayer. Je suis d'accord avec toi que si l'on clique sur continuer il passe outre et se sert du certificat déjà dans le fichier .ovpn. Si tu veux enlever cette fenêtre il faut mettre dans le fichier la commande "setenv CLIENT_CERT 0" d’après la littérature du net mais c'est pas bien propre. Mon problème apparait juste après cette phase et c'est lié à l'activation des options dans le serveur openvpn du nas. Vérifier la clé d'authentification TLS Vérifier le CN du serveur. Sans celles-ci ça marche donc je suppose qu'il doit peut être manquer une clé ta.key pour le handshake pour la verif d'authentification TLS (pas sur ce que je dis) ou dans la vérif du CN serveur. Je continue à creuser.

@Pascalou59 Je veux bien essayer par contre le certificat du serveur NAS Syno est un .pem et sous OpenVPN Connect, ca ne semble accepter que les formats .p12 ou .pkcs12 ou .pfx A priori il faut le convertir d'après ce que je trouve ?!? De plus les formats d'export ne sont pas les mêmes selon que tu sois sur NAS ou routeur Syno L'export du certificat d'un RT2600 te donne des certificats CA.crt / server.crt / server-ca.crt + clés privées L'export du certificat d'un NAS DSM 7 te donne un fichier cert.pem + clé privée

@MilesTEG1 Merci, le fichier README.txt ne précise rien pour les mobiles mais ça ne vient pas de là car je suis sous Android et de plus j'ai mis OpenVPN Connect sur le PC pour vérifier que ça ne venait pas du mobile et c'est le même message d'erreur. C'est une histoire de certificat sur le client mais lequel faut-il mettre ?... je suis trop noob sur les certificats pour trouver. Donc pour resumer, sur un même PC(win10) avec le même fichier de conf .ovpn par OpenVPN Connect ca marche pas mais pas par OpenVPN GUI ca marche.

Bonjour à tous, J'utilise OpenVPN depuis pas mal de temps sans soucis. (DSM6 ou DSM7) Je me connecte: sur PC via OpenVPN GUI sur mobile via OpenVPN connect Depuis DSM 7 dans VPN Server pour configurer le serveur OPENVPN, il est possible de cocher Vérifier la clé d'authentification TLS Vérifier le CN du serveur. Ce que j'ai tenté. J'ai donc exporté le nouveau fichier de conf et importé dans les deux clients. Sur le PC via OpenVPN GUI ça marche nickel RAS pas de warning Sur le mobile via OpenVPN Connect là j'ai le message: Donc il me semble qu'il me manque un certificat à priori du client sur le mobile. Je suis allé voir dans les certificats d'OpenVPN connect et là on me demande d'importer des fichiers au format .p12 ou .pkcs12. Ou trouver/créer ce certificat ? Je vois pas trop comment faire pour résoudre le problème. Quelqu'un aurait il une idée ?... A part revenir comme avant en décochant les 2 options 🙂 Merci d'avance pour votre support.

Bonjour, Après des DS214SE / DS214 / DS214+ je me modernise et passe sur un DS720+ A cette occasion je vais migrer Domoticz installé par paquet Jadhal sur mon DS214 a une solution Domoticz sur VM Linux Debian sur le 720+ J'ai crée ma VM, installé mon Debian maintenant je me pose la question comment faire pour sauvegarder ma belle VM toute belle toute neuve. En cherchant dans la littérature, je vois différentes méthodes. 1/ Exporter la VM (accessible dans VMM) action manuelle 2/ Faire un plan de protection via instantané en local (possible dans VMM) action automatisée 3/ Faire un plan de protection via instantané en local et réplication à distance sur NAS distant mais nécessite d'investir dans VMM Pro (nécessite un budget pour l'achat de la licence. Pas trop dans mon optique). 4/ via Hyperbackup for business avec Gérer VMware vSphere mais la je nage un peu avec l'EXSi ma premiere question : J’hésite donc entre le 1 et le 2 mais ne sais pas quelle est la meilleure méthode, avez vous des REX sur le sujet ?, je suis preneur. La 4 eme solution me semble pas encore à ma portée pour le moment... ma seconde question : la VM est une debian qui tourne en permanence comme c'est pour ma domotique. Faut il arrêter la VM a chaque fois que l'on veut faire un export? Dans le cas d'instantané local, le fait que la VM tourne n’empêche pas la création de ces instantanés ? Merci pour votre aide :-)

Oui c'est moi qui l'ait modifié dans mes multiples tentatives mais je pourrai retourner au reseau 172.x.x.x du RT car oui sur le RT d'origine le réseau openVPN est en 172 et pas en 10 comme sur un NAS. D'ailleurs ce serait intéressant d'essayer La case "Accès au LAN" était cochée et cependant ça ne fonctionnait pas. La preuve que la case etait cochée est que je me retrouvais bien dans le LAN du RT avecc accès aux machines dessus mais impossible de remonter à travers le RT pour rejoindre le routeur 4G en amont. Alors que sans le VPN on remonte très bien vers le routeur 4G Merci c'est clair j'ai encore des choses à faire... Allez hop allons voir pourquoi ce satané https ne marche pas

Un petit résumé de la situation à date pour mes helpers @MilesTEG1@oracle7@maxou56@.Shad. merci à eux et aussi pour celui qui tombera sur ce fil et qui était dans la même situation que moi. Pour mémoire mes réseaux reseau 1 : routeur4G (192.168.2.1/24) -> 192.168.2.10/24 (WAN) RT1900 192.168.1.1/24 (LAN) -> NAS 192.168.1.82 reseau 2: freebox ->RT 2600 -> NAS pas de RT en DMZ sur aucun des réseaux Problématique: accès au routeur 4G ou freebox devant RT via VPN open VPN Statut: j'ai dupliqué a distance sur le reseau 2 ce qui suit et ca marche sur les deux reseaux maintenant. Les étapes: 1/ opération transfert du serveur openVPN du NAS vers RT ok fonctionnel hier suite a upgrade du packet VPN Server plus (bug lets encrypt) 2/ accès depuis le LAN au routeur4G via le RT a tjs fonctionné et fonctionne toujours sans règle dans le firewall du RT. Ceci est nomal car le trafic sortant du LAN (192.168.1.0/24) du RT est autorisé par défaut et confirmé par maxou56 3/ accès depuis le VPN (192.168.0.0/24) sur RT au routeur 4G 192.168.02.1/24 désormais ok si et seulement si j'ajoute cette règle dans le firewall du RT 1ere remarque si le serveur openVPN est sur le NAS ca ne marchait pas avec cette règle sur le RT... étrange 2eme remarque si je n'active pas cette règle, je n'ai pas accès en VPN au routeur 4G et je plus étonnant je n'ai pas accès au RT en 192.168.1.1/24 mais j'ai accès aux autres éléments du LAN comme le NAS, PC etc... 3eme remarque si j'ai bien compris le firwall, cette règle autorise tous les réseaux prives IP source (192.168.0.0/16) et ports: tous extérieurs au RT à rentrer sur le RT (WAN) et accéder à n'importe quel IP réseau et ports derrière le RT (destination tous, ports tous) 4eme remarque le firewall du RT peut bloquer du trafic entrant et sortant selon la règle une IP source extérieure au LAN du RT et une IP destination du LAN du RT va créer une règle de trafic entrant à l'inverse une IP source du LAN du RT et une IP destination extérieure au LAN du RT va creer une règle de trafic sortant A noter qu'il est plus normal de travailler sur le trafic entrant dans les règles du firewall et plutôt bloquer le trafic sortant avec Safe Access (contrôle parental) ou éventuellement Threat prevention Reste a faire: le problème de l'accès aux différents éléments RT,NAS, etc... en https. Malgré mon beau certificat EN tout neuf, j'ai pas encore compris comment faire pour avoir mon petit cadenas sur le navigateur. 😞 Comprendre les fichiers .pem ca cert clé privée etc... :-S Les prochains chantiers soulevés par vos commentaires sur ce fil: Passer sur un DDNS syno pour éviter un renouvellement manuel du certificat tous les 90 jours Le RT en DMZ une fois maitrise de son firewall mode brige et ou VLAN via switch administrable (j'ai) pour la freebox et box TV Voila encore du taff et des prises de tête mais au moins j'avance et j'suis un peu moins bête que la veille 🙂

@MilesTEG1Oui ce sont les règles du FW du RT et oui le RT n'est pas en DMZ. Je n'ai voulu l'y mettre pour le moment car comme tu le vois je ne maitrise pas toutes les subtilités du firewall du RT. Je préfère rester derrière la box ou le routeur 4G et jusqu’à présent le double NAT ne m'avait jamais posé de problème. Normalement un firewall peut marcher dans les deux sens, contrôle du trafic entrant et contrôle du trafic sortant. https://www.frameip.com/firewall/ Sur le NAS ok le firewall fait que tu contrôles entrant et donc tu me dis que le firewall du RT ne fait que le contrôle trafic entrant et pas le sortant ?!? @oracle7Merci, j'ai vu ce tuto mais pour le moment je ne souhaite pas mettre le RT en DMZ pour les raisons évoquées dans ma réponse à MilesTEG1 et encore moins mettre la freebox en mode bridge tant que le RT ne supporte pas les VLAN et en particulier le VLAN100 du décodeur TV. Enfin si un jour Syno se décide à l’intégrer dans sa version SRM.

@MilesTEG1 Oui je vais réduire les plages d'IP, là c’était pour tester. Maintenant que j'ai réussi a faire marcher le VPN sur le RT, je vais pouvoir peaufiner les réglages. Et je garde en tête ta config avec un ndd syno pour pas à avoir à faire la maj du certificat mais j'y vais pas à pas un pb l'un après l'autre 🙂 Sinon le 10.0.0.0/8 est bien un réseau privé selon les critères de la RFC 1918 (je l'utilisais sur le VPN du NAS) Ça n'a plus lieu d’être maintenant. Encore merci pour ton aide.👍

@MilesTEG1@oracle7@.Shad. Merci à tous pour votre support et votre aide. En effet cette après-midi j'ai vu la maj VPN Plus Server. Je l'ai faite et là en effet le fichier config openvpn n'avait plus 3 clé "blabla" mais 2. Je viens de faire le test, ca y est le openVPN sur RT1900 fonctionne enfin !! Donc c’était bien un bug de VPN plus server et du certificat let's Encrypt et pas un bug du truc entre la chaise et le clavier 🙂 Pour revenir au problème initial qui était l'accès impossible au routeur 4G devant le RT1900 via le VPN En ajoutant les règles dans le firwall du RT des réseaux privés ca y est je me connecte au routeur 4G Bon dans l'histoire ca se trouve j'avais que ces règles à mettre pour pouvoir acceder au routeur 4G via le VPN du NAS... Je vais tester... Ce qui me dérange un peu c'est qu'en ajoutant ces règles, je transforme un peu le firewall du RT en passoire. Autre chose qui me vient à l'esprit, le certificat Let's encrypt n'est valable que 90 jours donc si je ne renouvelle pas avant échéance, plus d'accès VPN si je me trompe pas. Et comme cette config est distante, il faut me mettre un pense bête pour le faire via VPN avant (si c'est ben possible) sinon je perds l'accès... Maintenant je vais transposer ca sur l'autre réseau avec freebox et RT2600 pour voir si j'arrive au même résultat car dans celui là je n'arrive pas a pinguer la box via le VPN du NAS