[Resolu] Openvpn / Iphone / Pc

[bozzo]

Bonjour,

En bricolant un peu avec IPKG d'apr

[catimimi]

Bonjour,

En bricolant un peu avec IPKG d'apr

[bozzo]

Bonjour,

Il te faut soit installer un proxy (SQUID) sur ton Syno soit param

[bozzo]

Bonjour,

D

[bozzo]

Bonjour,

Je passe outre l'installation même d'OpenVPn pour laquelle il existe des tutos très bien réalisés mais si cela peut en aider d'autres, je laisse ci-dessous les paramétrages effectués pour que mon iPhone 4 et mon PC se connectent en VPN chez moi (sur le DS-209+). Ma configuration route tout le trafic (y compris internet) à travers le VPN, donc les clients VPN utilisent ma NeufBox comme passerelle. Cela permet d'utiliser l'iPhone sans abonnement spécifique comme point d'accès 3G pour mon PC (via le partage de connexion bluetooth de l'iPhone qui est activable assez facilement sur iPhone jailbreaké) et de faire sauter tous les bridages/filtrages Internet (sur Orange ou au bureau).

A noter : en cas d'utilisation de l'iPhone en point d'accès 3G, il est préférable de connecter le PC à l'iPhone 4 en bluetooth puis de monter le VPN entre le PC et le DS-209+ car monter le VPN entre l'iPhone et le DS-209+ puis connecter le PC et l'iPhone en bluetooth, solliciterait beaucoup plus le processeur de l'iPhone pour le cryptage/décryptage, ce qui conduirait à vider la batterie beaucoup plus rapidement.

==> Mon réseau local

NeufBox en 192.168.1.1 255.255.255.0 (DHCP limité entre 192.168.1.2 et 192.168.1.126)

DS-209+ (DSM 3.0 / 1354) en 192.168.1.100 255.255.255.0

==> Routes statiques à paramétrer sur la NeufBox

192.168.1.128 255.255.255.128 -> 192.168.1.100 ## Plage IP attribuée aux clients VPN par le DS-209+

10.0.0.0 255.0.0.0 -> 192.168.1.100 ## Plage IP attribuée à l'iPhone 4 par le réseau data (Orange dans mon cas)

172.10.20.0 255.255.255.0 -> 192.168.1.100 ## Plage IP attribuée au PC par le bluetooth de l'iPhone 4

==> Redirection de port paramétrée sur la NeufBox

TCP 443 -> 192.168.1.100:1194 ## Le port externe 443 car toujours autorisé (standard pour la navigation https)

===> Fichier /opt/etc/openvpn/jail/ccd/IPHONE

iroute 10.0.0.0 255.0.0.0 ## A adapter en fonction de la plage d'IP attribuée par le réseau data de votre opérateur

===> Fichier /opt/etc/openvpn/jail/ccd/PC_3G

iroute 172.10.20.0 255.255.255.0

===> Configuration du serveur (/opt/etc/openvpn/config/openvpn.conf)

port 1194

proto tcp

dev tun

ca /opt/etc/openvpn/config/ca.crt

cert /opt/etc/openvpn/config/SERVER.crt

key /opt/etc/openvpn/config/SERVER.key

dh /opt/etc/openvpn/config/dh1024.pem

plugin /opt/etc/openvpn/lib/openvpn-auth-passwd.so ## Module optionnel à compiler permettant une authentification utilisateur avant l'authentification par certificat (plus sûr)

reneg-sec 0 ## évite la renégociation du certificat toutes les heures (surtout utile si le module "openvpn-auth-passwd.so" est utilisé)

server 192.168.1.128 255.255.255.128

push "redirect-gateway def1"

client-config-dir ccd

client-to-client

route 10.0.0.0 255.0.0.0 ## A adapter en fonction de la plage IP du réseau data de votre opérateur

route 172.10.20.0 255.255.255.0

push "dhcp-option DNS 8.8.8.8"

push "dhcp-option DNS 4.2.2.4"

keepalive 10 120

tls-auth /opt/etc/openvpn/config/ta.key 0

status /opt/etc/openvpn/jail/log/openvpn-status.log ## fichier log qui enregistre les clients actuellement connectés

cipher AES-128-CBC

comp-lzo

tun-mtu 1400 ## évite certains "freeze" (à reporter dans la config client)

tun-mtu-max 32 ## évite certains "freeze" (à reporter dans la config client)

mssfix 1350 ## évite certains "freeze" (à reporter dans la config client)

max-clients 2

user nobody

group nobody

persist-key

persist-tun

verb 1

chroot jail

===> Configuration de l'iPhone (GuizmoVPN installé via Cydia)

client

dev tun

proto tcp

remote XXXXX.dyndns.org 443

resolv-retry infinite

nobind

persist-key

persist-tun

ca ca.crt

cert IPHONE.crt

key IPHONE.key

tls-auth ta.key 1

auth-user-pass ##si le module optionnel a été installé sur le serveur

ns-cert-type server

cipher AES-128-CBC

comp-lzo

tun-mtu 1400 ## évite certains "freeze" (à reporter dans la config serveur)

tun-mtu-max 32 ## évite certains "freeze" (à reporter dans la config serveur)

mssfix 1350 ## évite certains "freeze" (à reporter dans la config serveur)

verb 1

mute 5

===> Configuration du PC

client

dev OpenVPN

dev-type tun

proto tcp

remote XXXXX.dyndns.org 443

resolv-retry infinite

nobind

persist-key

persist-tun

ca ca.crt

cert PC_3G.crt

key PC_3G.key

tls-auth ta.key 1

auth-user-pass

ns-cert-type server

cipher AES-128-CBC

comp-lzo

tun-mtu 1400 ## évite certains "freeze" (à reporter dans la config serveur)

tun-mtu-max 32 ## évite certains "freeze" (à reporter dans la config serveur)

mssfix 1350 ## évite certains "freeze" (à reporter dans la config serveur)

verb 1

mute 5

===> Configuration du lancement automatique du serveur (/opt/etc/init.d/S20openvpn)

#!/bin/sh

if ( [ ! -c /dev/net/tun ] ) then

if ( [ ! -d /dev/net ] ) then

mkdir -m 755 /dev/net

fi

mknod /dev/net/tun c 10 200

fi

if ( !(lsmod | grep -q "^tun") ); then

insmod /lib/modules/tun.ko

fi

if [ -n "`pidof openvpn`" ]; then

/bin/killall openvpn 2>/dev/null

fi

/opt/sbin/openvpn --cd /opt/etc/openvpn --daemon \

--log-append /opt/etc/openvpn/jail/log/openvpn.log \

--config /opt/etc/openvpn/config/openvpn.conf

echo 1 > /proc/sys/net/ipv4/ip_forward

echo 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arp

echo 1 > /proc/sys/net/ipv4/conf/tun0/proxy_arp

[bozzo]

Petite info suppl

[jorka57]

Bonjour Bozzo, Merci pour ce tuto assez d

[bozzo]

Bonjour,

As-tu pens

[jorka57]

Bonjour,

As-tu pens

[jorka57]

Bonjour,

As-tu pens

[bozzo]

Ok c'est bien ces 3 dernières lignes qui manquaient dans le script de lancement à la fin.

Du coup j'ai bien une communication qui fonctionne avec l'iphone 3G via le VPN.

Par contre j'ai du mal à comprendre dans les status de guizmOVPN, il me donne :

VPN Status : ON

IP adress : 192.168.0.134

Subnet mask : 255.255.255.255

Gateway : 192.168.0.133

Traffic redirected: YES

Hors si je suis bien la logique de ma config , il devrait avoir une adresse IP dans la plage 192.168.0.129-192.168.0.254, un masque en 255.255.255.0 et la passerelle en 192.168.0.128 ???

du coup il prend le bon chemin là ?

Jon

Non, le 192.168.0.128 c'est l'ID de ton sous-réseau, c'est une adresse qui ne peut pas être attribuée dans ce cas (comme le 192.168.0.0). En revanche, je ne sais pas pourquoi OpenVPN attribue 192.168.0.133 à la carte réseau virtuelle côté NAS : Le principal c'est que ça fonctionne !

Pour accéder aux partages SAMBA de ton NAS, tu devras donc taper \\192.168.0.133.

Sinon, pour en avoir le coeur net, va avec ton iPhone sur http://www.whatismyipaddress.com : en VPN tu devrais retrouver l'IP externe de ton modem ADSL (via ton fournisseur d'accès) et quand tu n'es pas en VPN, tu verras une IP de ton opérateur mobile .

Bzz