Openvpn En Mode Client Sur Syno, Mode Tun

[sulliwane]

UP ?

[haliway]

Bonjour,

De mon coté j'essaye d'utiliser le NAS comme client VPN pour me connecter au serveur VPN de Giganews dans le but d'utiliser le client newsgroup. J'ai donc suivi ce tuto en changeant deux trois trucs (Giganews n'utilise qu'un certificat et une authentification USER/MDP). J'ai fait ça :

client.conf :

------------

client

dev tun

proto udp

remote eu1.vpn.giganews.com 1194

resolv-retry infinite

nobind

user nobody

group nobody

persist-key

persist-tun

mute-replay-warnings

ca /opt/etc/openvpn/keys/ca.vyprvpn.com.crt

comp-lzo

verb 3

log-append /var/log/openvpn/openvpn.log

status /var/log/openvpn/status.log

auth-nocache

auth-user-pass /opt/etc/openvpn/keys/vyprvpn.user

le fichier vyprvpn.user est composé de 2 lignes :

USER

MDP

les logs me disent ça :

Wed Oct 27 20:36:40 2010 OpenVPN 2.1.3 arm-none-linux-gnueabi [sSL] [LZO2] [EPOLL] built on Aug 31 2010

Wed Oct 27 20:36:40 2010 WARNING: file '/opt/etc/openvpn/keys/vyprvpn.user' is group or others accessible

Wed Oct 27 20:36:40 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables

Wed Oct 27 20:36:40 2010 LZO compression initialized

Wed Oct 27 20:36:40 2010 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]

Wed Oct 27 20:36:40 2010 Socket Buffers: R=[108544->131072] S=[108544->131072]

Wed Oct 27 20:36:40 2010 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]

Wed Oct 27 20:36:40 2010 Local Options hash (VER=V4): '41690919'

Wed Oct 27 20:36:40 2010 Expected Remote Options hash (VER=V4): '530fdded'

Wed Oct 27 20:36:40 2010 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay

Wed Oct 27 20:36:40 2010 UDPv4 link local: [undef]

Wed Oct 27 20:36:40 2010 UDPv4 link remote: 138.199.67.17:1194

Wed Oct 27 20:36:40 2010 TLS: Initial packet from 138.199.67.17:1194, sid=bec05be8 4a1fba4b

Wed Oct 27 20:36:40 2010 VERIFY OK: depth=1, /C=KY/ST=GrandCayman/L=GeorgeTown/O=GoldenFrog-Inc/CN=GoldenFrog-Inc_CA/emailAddress=admin@goldenfrog.com

Wed Oct 27 20:36:41 2010 VERIFY OK: nsCertType=SERVER

Wed Oct 27 20:36:41 2010 VERIFY OK: depth=0, /C=KY/ST=GrandCayman/L=GeorgeTown/O=GoldenFrog-Inc/CN=eu1.vpn.giganews.com/emailAddress=admin@goldenfrog.com

Wed Oct 27 20:36:44 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key

Wed Oct 27 20:36:44 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication

Wed Oct 27 20:36:44 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key

Wed Oct 27 20:36:44 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication

Wed Oct 27 20:36:44 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA

Wed Oct 27 20:36:44 2010 [eu1.vpn.giganews.com] Peer Connection Initiated with 138.199.67.17:1194

Wed Oct 27 20:36:47 2010 SENT CONTROL [eu1.vpn.giganews.com]: 'PUSH_REQUEST' (status=1)

Wed Oct 27 20:36:47 2010 AUTH: Received AUTH_FAILED control message

Wed Oct 27 20:36:47 2010 TCP/UDP: Closing socket

Wed Oct 27 20:36:47 2010 SIGTERM[soft,auth-failure] received, process exiting

Je précise que j'ai un DS210J sous DSM 3 dernier firmware... et que mes identifiants sont corrects

Je bute, quelqu'un peut il m'aider ?

[PatrickH]

A voir le log il y a un probl

[haliway]

Oui mais comme j'ai dit les identifiants sont corrects. Peut

[PatrickH]

Es tu s

[haliway]

Plus que sur :

http://fr.giganews.com/vyprvpn/openvpn/setup/?type=linux&=

[sulliwane]

haliway, est-ce que tu vois apparaître l'interface réseau "tun.ko" lorsque tu lances un "ifconfig" en commande ssh ?et quelle est le modèle de ton syno ? (209 407..?)

[haliway]

Le mod

[MS_Totor]

salut,

merci de faire le nettoyage nécessaire des liens et adresses mails qui trainent dans tous tes logs, dans tous tes posts etc..... etc...

@ ++

[haliway]

salut,

merci de faire le nettoyage n

[Nicolas Brochard]

Bonjour,

Apr

[PatrickH]

De toute facon si tu fait un tunnel ouvrir les ports sur le routeur ne veux plus rien dire....

Patrick

[Nicolas Brochard]

Effectivement c'est idiot l'histoire des ports

Sinon une petite id

[PatrickH]

Ton syno en tant que client TUN il a quelle adresse IP ?

Oui c'est plus un probl

[Nicolas Brochard]

Non je suis en TAP car "VPNTunne.se"

[parisbyday]

Sinon avec le package vpn, comment doit on faire si on l'a install

[flojlg]

Petite touche perso:

Fonctionne avec plusieurs fournisseurs

Perso vpntunnel.se (génial ) de plus je mets la machine on/off en auto ce qui brouille encore plus les pistes. (on 8heures off 23h30)

regarder le précédent post,vers la fin (p17) ..j'avais fait un tuto (moins bien écrit que celui-ci)

Les machines que j'ai installées de maniere similaire

110, 111,211,411.

Ne pas négliger la partie dns

Souvent, en mode console le resolv.conf n'est pas retranscrit en fonction du fournisseur

copier le resolv.conf en resolv.test (ou autre)

cp /etc/resolv.conf /etc/resolv.XXX

et changer par ceux en ligne (par ex: vpntunnel.se = nameserver .67.0.2)

En retirant toute autre référence (vous pourrez tjrs revenir sur l'ancien)

parfois le ovpn.conf a besoin de la commande push afin valider le dns...(je n'ai pas compris pourquoi sur un meme modele oui et un autre non...)

ex ligne conf

push "dhcp-option DNS xx.xx.xx.xx"

Pour le démarrage auto

j'utilise un lien dur, pour eviter des fichiers un peu partout

ln -s /de la ou se trouve S20..vers /etc/init.d/

par ex ln -s /opt/etc/openvpn/S20conf /etc/init.d/

Les commandes les plus utiles (en telnet/ssh of course);

traceroute www.google.com (suivi du chemin des fichiers) par ex doit indiquer entre autre votre fournisseur vpn

top vous donnera les processus en cours les demon ouvert leur acces memoire et consommation CPU/buffeur/memoire

netstat -nt vous montrera que vos téléchargement passent bien par le VPN et non par votre ip perso ou celle de votre FAI

Pour les indécis

Un ds111 couplé a une duneB1/xtreamer lis les MKV ou full BR-iso sans interrompre le process ovpn/transmission (je n'ai pas testé la version fournie avec le 3.1 mais celui fourni par http://synoblog.superzebulon.org/ plus léger et que je peux piloter avec son interface a distance port 9091)

[neeeko]

En suivant tous les tutos, j'ai bien r

[luky55]

Salut,

J'ai configure openvpn sur mon DS209, sans rencontrer trop de pb, mais je me pose la question suivante.

J'avais cree des regles dans le firewal du syno pour, par exemple, n'autoriser telnet que depuis mon reseau local a la maison.

Avec le VPN, ca ne sert plus a rien, n'importe qui peut faire telnet sur l'addresse IP publique de mon tunnel, et ca ne me plait pas du tout.

Quelqu'un a t'il une solution pour mettre un firewal sur tun0, puisque le firewal du syno ne semble s'occuper que de eth0 ??

Merci.

[parisbyday]

finalement ca a marché assez facilement sur un 1511 avec le package openvpn server installé.

J'ai utilisé la configuration suivante pour me connecter a vyprvpn

client

dev tun

persist-key

persist-tun

remote eu1.vpn.giganews.com 1194 udp

resolv-retry infinite

nobind

persist-remote-ip

ca /opt/etc/openvpn/keys/ca.vyprvpn.com.crt

tls-remote eu1.vpn.giganews.com

auth-user-pass /opt/etc/openvpn/toto.txt

comp-lzo

verb 3

proto udp

status /opt/etc/openvpn/openvpn-status.log

log-append /opt/etc/openvpn/openvpn.log

Par contre je lance le tunnel a la main avec la commande

/opt/sbin/openvpn /opt/etc/openvpn/client.conf -&

Par contre si je lance S24openvpn, rien ne demarre.

Coté debit j'arrive a 4.6 MO/s avec sabnzbd ce qui est pas si mal avec une cpu pourtant a 25%

Mem: 1000588K used, 16180K free, 0K shrd, 236080K buff, 380100K cached

CPU: 25.3% usr 1.5% sys 0.0% nic 70.5% idle 0.0% io 0.0% irq 2.4% sirq

Load average: 0.31 0.25 0.61 2/245 16766

Il me semble qu'il reste plus que 16MO de memoire. Je me demande si la "lenteur" relative n'est pas lié au fait qu'il n'y a plus que 15 MO de memoire.

Si quelqu'un a un script pour demarrer automatiquement le tunnel je suis preneur.

Jean.

[parisbyday]

Bonjour a tous,

Pour faire avancer le schmilblick

Un petit retour d'experience.

Afin d'eviter d'utiliser un openvpn different de celui fourni par synology avec le package vpn center.

j'ai fait la conf suivante et ca semble bien fonctionner avec vyprvpn.

utiliser la conf client suivante :

client

dev tun

persist-key

persist-tun

remote eu1.vpn.giganews.com 1194 udp

resolv-retry infinite

nobind

persist-remote-ip

ca ca.vyprvpn.com.crt

tls-remote eu1.vpn.giganews.com

auth-user-pass user_pass.txt

comp-lzo

verb 3

proto udp

status openvpn-status.log

log-append openvpn.log

Je mets ces fichiers plus les certificats fourni par vyprvpn dans un meme répertoire.

Ensuite je fais monter le tunnel avec la commande :

/usr/local/synovpn/sbin/openvpn --daemon --config openvpn.conf

Le problème avec l'openvpn compilé par synology est que l'option auth-user-pass est desactivée.

C'est a dire qu'il n'est pas possible de renseigner le fichier user-pass.txt avec son user et mot de passe.

La solution que j'ai trouvé sur un site anglophone consiste a remplacer le bin par un binaire patché et disponible ici avec toutes les explications :

http://ghughes.com/blog/2011/12/05/openvpn-auth-user-pass-support-for-synology-vpn-center/

Dans mon cas avec un DS1511 (x86), le patch est dispo ici :

http://dl.wifisyncapp.com/misc/ovpn-syno-x86-patched.zip

Resultat, le tunnel monte bien.

Apres la montée du tunnel le server de vyprvpn fait un push de la route par défaut vers mon client syno.

C'est a dire que tout mon trafic passe alors automatiquement par defaut par le tunnel (sauf le local sur le LAN).

Dans openvpn.log, on peut voir :

Mon Jan 9 09:50:29 2012 /sbin/ifconfig tun0 10.11.0.38 netmask 255.255.0.0 mtu 1500 broadcast 10.11.255.255

Mon Jan 9 09:50:29 2012 /sbin/route add -net 138.199.67.151 netmask 255.255.255.255 gw 192.168.1.254

Mon Jan 9 09:50:29 2012 /sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 10.11.0.1

Mon Jan 9 09:50:29 2012 /sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 10.11.0.1

Comme je souhaitais ne router via le tunnel que certaines routes vers des serveurs particulier j'ai donc manuellement supprimé les routes

puis rajouté celles qui m'intéressait.

route del -net 0.0.0.0 netmask 128.0.0.0

route del -net 128.0.0.0 netmask 128.0.0.0

route add -net 55.55.55.55 netmask 255.255.255.0 gw 10.11.0.1

Ce qui fait que seulement le trafic vers 55.55.55.55 est routé via le tunnel.

L'autre option est d'uiliser la directive route-noexec ce qui fait que le serveur n'envoie plus la route par défaut.

Cependant idéalement, j'aimerais faire un truc propre qui configure automatiquement les routes a la montée du tunnel

et qui nettoie les choses proprement quand on souhaite le faire tomber. La bonne technique serait d'utiliser des scripts shell externe avec les directives openvpn "route-up" ou "down" mais je n'ai pas encore réussi.

Ce qui j'ai deja constaté c'est que le fait de démarrer puis stopper le serveur vpn fait tomber le tunnel et nettoie les routes.

Donc je suis interressé si quelqu'un sait faciment automatiser la configuration openvpn avec les scripts associé pour faire quelque chose de propre. Cependant, sait on jamais, syno pourrait nous sortir dans la beta 4.0 la fonctionnalité…

Merci d'avance pour vos retour,

Jean.

[parisbyday]

J'ai un peu progressé et ca marche avec la configuration :

client

dev tun

persist-key

persist-tun

remote vpn.usenet.com 1194 udp

resolv-retry infinite

nobind

persist-remote-ip

ca ca.vyprvpn.com.crt

tls-remote eu1.vpn.giganews.com

auth-user-pass toto.txt

comp-lzo

verb 3

proto udp

status openvpn-status.log

log-append openvpn.log

route-noexec

route-up routeup.sh

down down.sh

DiskStation1511> cat routeup.sh

#!/bin/sh

route add -net 200.100.0.0 netmask 255.255.0.0 gw $route_vpn_gateway

route add -net $trusted_ip netmask 255.255.255.255 gw $route_net_gateway

DiskStation1511> cat down.sh

#!/bin/sh

route del -net 200.100.0.0 netmask 255.255.0.0 gw $route_vpn_gateway

route del -net $trusted_ip netmask 255.255.255.255 gw $route_net_gateway

Du coup, la route 200.100.0.0 est ajoutée a l'ouverture du tunnel et supprimé en cas de killall openvpn.

Ne restes plus qu'a faire un demarrage automatique du tunnel.

Jean.

[riffraff2]

J'ai vraiment du mal a comrpendre cette histoire de route.

Je comprend le principe mais pourquoi 200.100.0.0 ?

Mais surtout ou déclares tu :

$route_net_gateway

$route_vpn_gateway

?

Merci

Modifié le 12 juin 2012 par riffraff2