Aller au contenu

Installer Openvpn


ikeke

Messages recommandés

  • Réponses 376
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Meilleurs contributeurs dans ce sujet

Messages populaires

khalbator

En ce qui concerne le MTU je te conseille de ne toucher à rien et de le laisser à 1500. Car le jumbo frame et les valeurs supérieures de MTU ne sont pas supportés par tous les équipements réseau !

Pour ce qui est du VPN ton Syno il est en mode client ou en mode serveur ? Il n'a semblé lire que tu étais en mode TAP ? étonnant tu l'a trouvé ou ton module tap.ko ??

Patrick

Bonjour

Je n'ai pas augementer le MTU, mais diminuer car dans les logs, il apparaissait des erreurs.

En le mettant (MTU) à une valeur plus faible ces dernières on disparues.

Je suis en mode client

Je suis bien en TAP mais l'interface monté est "tun0".

le "dev tap" est là pour faire un random sur les trois serveurs. (je dis peut être une connerie)

Lorsque je met "dev tun" cela ne marche pas à moins de n'avoir qu'une adresse serveur

Nicolas

Lien vers le commentaire
Partager sur d’autres sites

...

le "dev tap" est là pour faire un random sur les trois serveurs. (je dis peut être une connerie)

Ca n'a rien à voir le "dev tap" est pour se mettre en mode "bridge" (le réseau local est une extension du reseau du serveur) la où "dev tun" est le mode routé où le serveur fourni une adresse IP autre qu'il faut ensuite router de part et d'autre !

Lorsque je met "dev tun" cela ne marche pas à moins de n'avoir qu'une adresse serveur

Pour faire du load balancing il faut definir plusieurs serveurs et mettre la directive

remote-random

Patrick

Lien vers le commentaire
Partager sur d’autres sites

Ca n'a rien à voir le "dev tap" est pour se mettre en mode "bridge" (le réseau local est une extension du reseau du serveur) la où "dev tun" est le mode routé où le serveur fourni une adresse IP autre qu'il faut ensuite router de part et d'autre !

Pour faire du load balancing il faut definir plusieurs serveurs et mettre la directive

remote-random

Patrick

Ci dessous, mon openvpn.conf:

float

client

dev tap

proto udp

nobind

tun-mtu 1360

;Cert

ca /opt/etc/openvpn/keys/ca.crt

ns-cert-type server

cipher BF-CBC #Blowfish

;Vpn server

remote-random

remote melissa.vpntunnel.se 1194

remote melissa.vpntunnel.se 10010

remote melissa.vpntunnel.se 10020

;Auth

auth-user-pass /opt/etc/openvpn/keys/hadopi.vpn

persist-key

persist-tun

; Logging

comp-lzo

verb 1

Je voudrais vérifier si j'ai bien le fichier "tun.ko" mais j'arrive plus a me souvenir du chemin

Lien vers le commentaire
Partager sur d’autres sites

Je dois avoir une incohérence car dans mon S20openvpn je fais référence à "tun" et pas "tap"

Mais je ne pourrai plus rien vérifier maintenant ....

J'ai lancé le script et vu que je suis au travail ma connexion ssh a été coupée :-(

Je commence à croire que au lancement du script toutes les connexions entrante et sortant passe par le VPN.

Il faudrait que j'arrive à dissocier ce qui doit passer par "tun0" et "eth0" (C'est une connerie ce que je viens de dire ?)

Je commence vraiment à perdre mon peu de latin

Lien vers le commentaire
Partager sur d’autres sites

@Nicolas

Je ne comprend pas tout ds ton cas.

Tu parles de serveur et le conf que tu présente est un conf client vers vpntunnel.se

Le client est ta machine ou le systeme syno ou le routeur et le serveur c'est vpntunnel.

Alors plusieurs pistes;

1)Si tu as des problemes de connection a partir de ton vpn c'est le soucis traité plus haut cad le soucis de dns

C'est un cas qui m'est apparu souvent avec cvpntunnel

dans ce cas voir ton resolv conf et y indiquer le dns de vpntunnel et comme indiqué + haut ajouter le push ds ton conf client.

2)les soucis ssh plusieurs trucs

déclaration dans le iptable du vpn.

(par exemple:

# pour accepter les connexions daemon OpenVPN

iptables -I INPUT -p udp –dport [NUMERO DU PORT DU SERVEUR] -j ACCEPT

ouverture du port sur la box et/ou ton os.

Je me souviens avoir eu des soucis de visualisation de site portail crées en local avec la boite orange

creer un tunnel parallele en ssh

(voir entre autre ici http://ubuntuforums....ad.php?t=910551)

voir ce site bien explicite:

http://www.nemako.ne...2/?post/openvpn

Possibilité aussi de changer d'emplacement de ton vpn sur un routeur plutot que sur le syno DD-WRT et Tomato sont plus souples avec les config.

et a ce moment la ne connecter que les machines utilisant le vpn en standard.

mais en regle générale n'oublie pas que openvpn a contrario du pptp se connecte a partir de son lieu d'acces et non de la box d'ou la difficulté par ex de lancer la télé sur la machine ou est installé openvpn car l'ip de ta machine est alors celle du vpn serveur.

(c'est plus sécure car l'id de ta machine n'apparait pas dans ce cas)

Tu trouvera sur le topic que j'ai ouvert plusieurs commandes qui d'aideront peut etre.

http://www.nas-forum.com/forum/index.php/topic/1886-installer-openvpn/page__view__findpost__p__115958

voili voilou si tu peux etre un peu plus explicite ...par rapport aux piste ci dessus.

Lien vers le commentaire
Partager sur d’autres sites

Je reprend un peu mon propos:

Ton syno ne peux pas suivre ton opvn sans ses propres dns!!!

Et pas ceux d'orange, ni de free ni de qui que ce soit d'autre.

Sans cela le vpn se lance mais ne permet pas les connexions derriere.

c'est pourquoi , apres avoir testé ovpn sur 3 machines et deux routeurs je dis de changer l'acces dns.

et de remplacer ceux en standard par ceux de vpntunnel.

pour simplifier et tester:

se connecter en telnet sur le syno

cp /etc/resolv.conf /etc/resolv.original

(ceci copiera le resolv.conf dans une sauvegarde)

nano /etc/resolv.conf

copier le dns de openvpn en lieu et place de ceux d'orange.

nameserver 80.67.0.2

et sauvegarder

lancer ton openvpn manuellement

et faire un traceroute www.google.com

ce qui t'indiquera quel chemin est pris par ta connexion

s'il t'indique vpntunnel c'est gagné derriere toutes tes connexion passeront et seront lisibles.

(tu pourra tjrs revenir sur l'ancien avec nano /etc/resolv.original)

teste déja cela stp.

Lien vers le commentaire
Partager sur d’autres sites

Je reprend un peu mon propos:

Ton syno ne peux pas suivre ton opvn sans ses propres dns!!!

Et pas ceux d'orange, ni de free ni de qui que ce soit d'autre.

Sans cela le vpn se lance mais ne permet pas les connexions derriere.

c'est pourquoi , apres avoir testé ovpn sur 3 machines et deux routeurs je dis de changer l'acces dns.

et de remplacer ceux en standard par ceux de vpntunnel.

pour simplifier et tester:

se connecter en telnet sur le syno

cp /etc/resolv.conf /etc/resolv.original

(ceci copiera le resolv.conf dans une sauvegarde)

nano /etc/resolv.conf

copier le dns de openvpn en lieu et place de ceux d'orange.

nameserver 80.67.0.2

et sauvegarder

lancer ton openvpn manuellement

et faire un traceroute www.google.com

ce qui t'indiquera quel chemin est pris par ta connexion

s'il t'indique vpntunnel c'est gagné derriere toutes tes connexion passeront et seront lisibles.

(tu pourra tjrs revenir sur l'ancien avec nano /etc/resolv.original)

teste déja cela stp.

@flojlg

Ok je testerai ça se soir en rentrant du taf

Merci pour tes explications et ta patience

Nicolas

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Petit retour :

Après avoir mis les DNS de vpntunnel.se, tout se passe nickel.

Je peut accéder a mon NAS par l'adresse public du VPN.

Cette dernière changant aléatoirement j'ai mis en place le module "ddclient" (en daemon) paramétré avec un compte dyndns.

Le résultat final n'est pas forcément celui voulu mais ca marche

Merci à tous ceux qui m'ont aider.

Nicolas

Heureux que c'a ai pu t"aider:

J'ai pu lire ici ou la que certains ont limité l'acces a 1 seul serveur vpntunnel pour faciliter l'acces remote..

Mais c'est vrai que c'a en limite l'efficacité

ceci ou cela pas tjrs simple !!

a+

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Attention

NB a ceux qui ont suivi le tuto que j'ai mis en ligne la:

http://www.nas-forum.com/forum/index.php/topic/1886-installer-openvpn/page__view__findpost__p__115958

Les dernieres mises a jour du kernel (si vous les avez faites) 'ne lance plus openvpn!!"

desinstaller ovpn

ipkg remove openvpn

et le reinstaller

puis refaire la config... en utilisant vos fichiers sauvegard

Lien vers le commentaire
Partager sur d’autres sites

Bonjour mattt

Je suis nouveaux sur ce forum voila j'ai vue que tu avais mis en place un serveur VPN sur le DS411J

depuis un moment j'ai regarder sur pas mal de forum pour le metre en place sur mon serveur NAS ds411j

je me eurte au probleme suivant j'ai installer le module tune mais quand je configure openvpn il me le reconait pas

serai t'il possible de faire un tuto pour configurer tune et openvpn pour ce model la

Merci d'avance

flojlg : j'avais mal lu ton post en fait, puisque ton openvpn sert de client si j'ai bien compris :P

bref de mon cot

Lien vers le commentaire
Partager sur d’autres sites

Bonjour mattt

Je suis nouveaux sur ce forum voila j'ai vue que tu avais mis en place un serveur VPN sur le DS411J

depuis un moment j'ai regarder sur pas mal de forum pour le metre en place sur mon serveur NAS ds411j

je me eurte au probleme suivant j'ai installer le module tune mais quand je configure openvpn il me le reconait pas

serai t'il possible de faire un tuto pour configurer tune et openvpn pour ce model la

Merci d'avance

salut spaicer

les x10 et x11 n'utilisent pas le meme module que moi, et si je ne dis pas de b

Lien vers le commentaire
Partager sur d’autres sites

  • 1 an après...

Bonjour,

Je remonte une astuce pour ceux qui comme moi aurait eu un problème pour accèder à Internet via le vpn.

J'ai un Syno 210j avec DSM4, j'ai configuré openvpn fourni avec DSM4, dnsmasq installé avec ipkg et l'authentification par clé. Je n'arrivais pas à accéder à Internet via le vpn. Le forward_ip et les proxy_arp des interfaces eth0 et tun0 étaient pourtant activés. Le dns renvoyait correctement les infos et les configs openvpn serveur et client semblaient corrects. Traceroute confimait mon problème en étant incapable de rejoindre la passerelle.

Il semble que sur mon syno iptables était mal installé. Il m'était impossible d'accéder à la table nat. Une règle est nécessaire pour router le traffic entre le réseau VPN et l'interface eth0 (voir http://openvpn.net/i...o.html#redirect):


iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Sur le forum http://forum.synolog...p?f=197&t=48131 une méthode est donnée pour recharger les modules nécessaires à iptables. Dans un script exécuter:

for i in x_tables.ko ip_tables.ko iptable_filter.ko nf_conntrack.ko \

				nf_defrag_ipv4.ko nf_conntrack_ipv4.ko nf_nat.ko \

				iptable_nat.ko ipt_REDIRECT.ko xt_multiport.ko xt_tcpudp.ko \

				xt_state.ko ipt_MASQUERADE.ko

		do

				/sbin/insmod /lib/modules/$i

		done

Dans mon cas les fichiers étaient déjà présent, cependant après avoir exécuté le script la commande

iptables -t nat -L

a fontionnée et cette fois-ci la table 'nat' s'est bien affichée. J'ai ainsi pu ajouter la règle donnée ci-dessus et le routage des requêtes de mon client via le vpn vers Internet ont marchées!

Ma config complète:

Sous reseau du syno: 192.168.57.0/24

L'adresse de mon syno qui fais DNS + VPN : 192.168.57.1

L'adresse de la passerelle : 192.168.57.254

Sous reseau du VPN: 10.8.0.0/24

L'adresse du Syno dans le réseau VPN: 10.8.0.1

/usr/syno/etc.defaults/rc.d # more /etc/resolv.conf

nameserver localhost

nameserver 212.27.40.241

nameserver 212.27.40.240

more S20openvpn.sh

#!/bin/sh

#

# Startup script for openvpn as standalone server

#

# Make device if not present (not devfs)

if ( [ ! -c /dev/net/tun ] ) then

# Make /dev/net directory if needed

if ( [ ! -d /dev/net ] ) then

mkdir -m 755 /dev/net

fi

mknod /dev/net/tun c 10 200

fi

# Make sure the tunnel driver is loaded

if ( !(lsmod | grep -q "^tun") ); then

insmod /lib/modules/tun.ko

fi

# Kill old server if still there

if [ -n "`pidof openvpn`" ]; then

killall openvpn 2>/dev/null

fi

# Start afresh - add as many daemons as you want

/usr/sbin/openvpn /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf

echo 1 > /proc/sys/net/ipv4/conf/tun0/proxy_arp

Config server:

push "redirect-gateway def1"

push "route 192.168.57.0 255.255.255.0"

;push "route 10.8.0.0 255.255.255.0"

push "dhcp-option DNS 192.168.57.1"

dev tun

port 443

proto tcp

port-share 127.0.0.1 4430

server 10.8.0.0 255.255.255.0

dh /usr/syno/etc/packages/VPNCenter/openvpn/keys/vpn.pem

ca /usr/syno/etc/packages/VPNCenter/openvpn/keys/ca.crt

cert /usr/syno/etc/packages/VPNCenter/openvpn/keys/vpn.crt

key /usr/syno/etc/packages/VPNCenter/openvpn/keys/vpn.key

tls-auth /usr/syno/etc/packages/VPNCenter/openvpn/keys/ta.key 0

max-clients 5

comp-lzo

user nobody

group nobody

daemon

persist-tun

persist-key

ifconfig-pool-persist /usr/syno/etc/packages/VPNCenter/openvpn/ipp.txt

verb 3

log-append /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.log

cipher AES-256-CBC

keepalive 10 60

reneg-sec 0

client-to-client

Config client:

remote mon-vpn.com 443 tcp-client

pull

comp-lzo adaptive

ns-cert-type server

tls-auth ta.key 1

persist-key

ca ca.crt

redirect-gateway def1

dev tun

persist-tun

cert cert.crt

tls-client

key key.key

pull

script-security 2

cipher AES-256-CBC

Espérant que ça puisse aider.

Lien vers le commentaire
Partager sur d’autres sites

  • 2 mois après...

Bonjour,

Après plusieurs lectures de ces plusieurs pages et le peu d'information en 2012, je me permet de vous demander de l'aide :

Je suis sur X11 - DS411+II -> DSM 4.0-2228

Donc désormais fournit d'office : openvpn, tun.ko

Mais pourtant je bloque toujours à :

NAS> openvpn --mktun --dev tap0

Fri Aug 24 15:30:11 2012 Note: Cannot open TUN/TAP dev /dev/net/tun: Permission denied (errno=13)

Fri Aug 24 15:30:11 2012 Note: Attempting fallback to kernel 2.2 TUN/TAP interface

Fri Aug 24 15:30:11 2012 Cannot open TUN/TAP dev /dev/tap0: No such file or directory (errno=2)

Fri Aug 24 15:30:11 2012 Exiting

J'ai pourtant essayé le script plus haut :
# Make device if not present (not devfs)

if ( [ ! -c /dev/net/tun ] ) then

# Make /dev/net directory if needed

if ( [ ! -d /dev/net ] ) then

mkdir -m 755 /dev/net

fi

mknod /dev/net/tun c 10 200

fi

# Make sure the tunnel driver is loaded

if ( !(lsmod | grep -q "^tun") ); then

insmod /lib/modules/tun.ko

fi
Je ne parviens pas a faire marcher mon VPN, pour exemple :
Fri Aug 24 15:42:17 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables

Fri Aug 24 15:42:17 2012 LZO compression initialized

Fri Aug 24 15:42:17 2012 RESOLVE: NOTE: jenny.vpntunnel.se resolves to 5 addresses

Fri Aug 24 15:42:17 2012 UDPv4 link local (bound): [undef]:1194

Fri Aug 24 15:42:17 2012 UDPv4 link remote: 178.73.212.245:7003

Fri Aug 24 15:42:17 2012 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this

Fri Aug 24 15:42:18 2012 [server] Peer Connection Initiated with 178.73.212.245:7003

Fri Aug 24 15:42:21 2012 Note: Cannot open TUN/TAP dev /dev/net/tun: Permission denied (errno=13)

Fri Aug 24 15:42:21 2012 Note: Attempting fallback to kernel 2.2 TUN/TAP interface

Fri Aug 24 15:42:21 2012 Cannot allocate TUN/TAP dev dynamically

Fri Aug 24 15:42:21 2012 Exiting

EDIT 17h40 : 1) Passez en Root 2) Exécutez :
rm -R /dev/net

mkdir -m 755 /dev/net

mknod /dev/net/tun c 10 200

insmod /lib/modules/tun.ko

3) Testez :
NAS> openvpn --mktun --dev tap0

Fri Aug 24 15:50:00 2012 TUN/TAP device tap0 opened

Fri Aug 24 15:50:00 2012 Persist state set to: ON

4) Vous pouvez exécuter votre connection.

Modifié par hergo
Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Bonsoir

Je souhaite pouvoir joindre mon Syno DNS212+ (DSM4.1) depuis les hotspots wifi orange

A priori seuls les ports 80 ou 443TCP peuvent fonctionner au niveau du wifi

Je sèche grave sur les fichiers de config pour passer sur le port 443TCP du Syno

Quelqu'un pourrait-il me faire passer sa config openvpn.conf serveur et client ?

Je précise que j'essaie depuis le package VPN center; le Syno est en 192.168.1.18 derrière une livebox pro v2.

Le NAT de la livebox est opérationnel.

D'avance merci pour votre aide.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.