Configuration Connection Vpn Via Vpncenter

[mickaeulkaeul]

J'ai également un le même soucis de configuration de la connexion VPN.

3- verifier la tête des logs dans le fichier : -> /var/log/openvpn.log

J'ai activé le log d'openVPN... j'ai l'erreur suivante :

Wed Sep 28 17:55:59 2011 Cannot load certificate file /usr/local/synovpn/etc/openvpn/keys/server.crt: error:02001002:lib(2):func(1):reason(2): erro$: error:20074002:lib(32):func(116):reason(2): error:140AD002:lib(20):func(173):reason(2)

Le fichier server.crt se trouve bien dans /usr/local/synovpn/etc/openvpn/keys/.

Maintenant à quoi correspond ces codes d'erreur?

[pbellanger]

Bonsoir,

J'ai eu le même soucis.

Est-ce toi qui a généré ce certificat server.crt?

Si je me souviens bien , à ce stade j'ai décidé de re-generer toutes les certificats et clefs concernant ma conf "openvpn".

A savoir ; ca.cert (ca.key) ; server.cert (server.key) ; ta.key ; dh1024.pem

Après tout est rentré dans l'ordre,j'ai même complété par un certificat client sur mon iPhone. C'est tip-top! (et revocations associées)

Un très bon tuto sur le sujet : http://forum.hardware.fr/hfr/reseauxpersosoho/Tutoriels/windows-openvpn-tutoriels-sujet_2_1.htm

il y a aussi : http://openmaniak.com/fr/openvpn_pki.php

Bien cordialement et courage!

May the Force be with you

[mickaeulkaeul]

Est-ce toi qui a généré ce certificat server.crt?

Si je me souviens bien , à ce stade j'ai décidé de re-generer toutes les certificats et clefs concernant ma conf "openvpn".

Effectivement, j'ai généré, entre autre, un server.crt.... pour la connexion en HTTPS... je ne sais pas si c'est le même... je regarderai dans mes notes.

Si c'est le cas, je vais les regénérer

Encore merci pour cette piste

[mickaeulkaeul]

Bonsoir,

J'avais généré à l'époque les fichiers suivants :

ca.crt ca.key server.crt server.key

ca.csr openssl.cnf server.csr

Ces fichiers ont été placés dans /usr/syno/etc/ssl/ mais pas dans /usr/local/synovpn/etc/openvpn/keys/

J'avais suivi la procédure de ce site

Je viens de remettre les certificats "original", rebooté le NAS... mais il n'y a pas de changement....

Je ne vois pas le port 1194 UDP suite à la commande "netstat -an" !?

Active Internet connections (servers and established)

Proto Recv-Q Send-Q Local Address   		Foreign Address 		State

tcp    	0  	0 0.0.0.0:3493        	0.0.0.0:*   			LISTEN

tcp    	0  	0 0.0.0.0:3306        	0.0.0.0:*   			LISTEN

tcp    	0  	0 0.0.0.0:50001   		0.0.0.0:*   			LISTEN

tcp    	0  	0 0.0.0.0:50002   		0.0.0.0:*   			LISTEN

tcp    	0  	0 0.0.0.0:21          	0.0.0.0:*   			LISTEN

tcp    	0  	0 0.0.0.0:22          	0.0.0.0:*   			LISTEN

tcp    	0  	0 0.0.0.0:631 			0.0.0.0:*   			LISTEN

tcp    	0  	0 0.0.0.0:5432        	0.0.0.0:*   			LISTEN

tcp    	0  	0 127.0.0.1:35557 		127.0.0.1:3493      	ESTABLISHED

tcp    	0	212 192.168.1.100:22    	192.168.1.2:60133   	ESTABLISHED

tcp    	0  	0 127.0.0.1:3493      	127.0.0.1:35557 		ESTABLISHED

tcp    	0  	0 192.168.1.100:57413 	59.124.41.245:81    	TIME_WAIT

udp    	0  	0 192.168.1.100:137   	0.0.0.0:*

udp    	0  	0 0.0.0.0:137 			0.0.0.0:*

udp    	0  	0 192.168.1.100:138   	0.0.0.0:*

udp    	0  	0 0.0.0.0:138 			0.0.0.0:*

udp    	0  	0 0.0.0.0:9997        	0.0.0.0:*

udp    	0  	0 0.0.0.0:9998        	0.0.0.0:*

udp    	0  	0 0.0.0.0:9999        	0.0.0.0:*

udp    	0  	0 0.0.0.0:1812        	0.0.0.0:*

udp    	0  	0 0.0.0.0:1813        	0.0.0.0:*

udp    	0  	0 0.0.0.0:1814        	0.0.0.0:*

udp    	0  	0 192.168.1.100:55900 	0.0.0.0:*

udp    	0  	0 127.0.0.1:47204 		0.0.0.0:*

udp    	0  	0 0.0.0.0:5353        	0.0.0.0:*

udp    	0  	0 0.0.0.0:1900        	0.0.0.0:*

udp    	0  	0 0.0.0.0:43897   		0.0.0.0:*

Active UNIX domain sockets (servers and established)

Proto RefCnt Flags   	Type   	State 		I-Node Path

unix  2  	[ ACC ] 	STREAM 	LISTENING 	6494   /tmp/fileindexd.sck

unix  2  	[ ACC ] 	STREAM 	LISTENING 	7173   /var/run/avahi-daemon/socket

unix  15 	[ ] 		DGRAM                	1642   /var/run/log

unix  2  	[ ] 		DGRAM                	5773   /tmp/synologd

unix  2  	[ ACC ] 	STREAM 	LISTENING 	3002   /tmp/.s.PGSQL.5432

unix  2  	[ ACC ] 	STREAM 	LISTENING 	5562   /var/state/ups/usbhid-ups-ups

unix  2  	[ ACC ] 	STREAM 	LISTENING 	5624   /tmp/mysql.sock

unix  2  	[ ] 		DGRAM                	11206

unix  2  	[ ] 		DGRAM                	9945

unix  2  	[ ] 		DGRAM                	9943

unix  2  	[ ] 		DGRAM                	7195

unix  3  	[ ] 		STREAM 	CONNECTED 	6766   /tmp/.s.PGSQL.5432

unix  3  	[ ] 		STREAM 	CONNECTED 	6765

unix  2  	[ ] 		DGRAM                	6414

unix  3  	[ ] 		STREAM 	CONNECTED 	5750   /tmp/.s.PGSQL.5432

unix  3  	[ ] 		STREAM 	CONNECTED 	5749

unix  2  	[ ] 		DGRAM                	5666

unix  2  	[ ] 		DGRAM                	5602

unix  2  	[ ] 		DGRAM                	5592

unix  3  	[ ] 		STREAM 	CONNECTED 	5582   /var/state/ups/usbhid-ups-ups

unix  3  	[ ] 		STREAM 	CONNECTED 	5581

unix  2  	[ ] 		DGRAM                	5575

unix  2  	[ ] 		DGRAM                	5449

unix  2  	[ ] 		DGRAM                	4492

unix  2  	[ ] 		DGRAM                	3407

unix  2  	[ ] 		DGRAM                	3404

unix  2  	[ ] 		DGRAM                	2394

unix  2  	[ ] 		DGRAM                	1863

Lorsque je fais un ls -l de /usr/local/synovpn/etc/openvpn/keys/, j'obtiens ceci :

-rwxr-xr-x	1 root 	root      	1866 Sep  3 20:59 README.txt

lrwxrwxrwx	1 root 	root        	41 Sep 17 14:32 ca.crt -> /usr/syno/etc/synovpn/openvpn/keys/ca.crt

-rw-r--r--	1 root 	root   		245 Sep  3 20:59 dh1024.pem

-rwxr-xr-x	1 root 	root   		435 Sep 17 14:32 openvpn.ovpn

-rwxrwxrwx	1 root 	root      	1955 Sep 17 14:32 openvpn.zip

lrwxrwxrwx	1 root 	root        	45 Sep 17 14:32 server.crt -> /usr/syno/etc/synovpn/openvpn/keys/server.crt

lrwxrwxrwx	1 root 	root        	45 Sep 17 14:32 server.key -> /usr/syno/etc/synovpn/openvpn/keys/server.key

A quoi correspond les "->" sur ca.crt, server.crt & server.key ? Un lien vers un autre directory?

[pbellanger]

Si il n'y a pas de process à l'écoute du port 1194 c'est qu'il est planté

> donc la première chose à faire est de remettre les logs (cf ci-dessus).

Concernant le sac de noeuds avec les certificats (ancien ssl et nouveau openssl) , je te propose la manip suivante :

-effacer tous les certificats, ceci devrait nettoyer les liens.

-mettre tous les "nouveaux" certificats (dh1024.pem a.crt server.crt server.key ) dans le repertoire /usr/local/synovpn/etc/openvpn/keys/

-modifier le fichier openvpn.conf (qui doit être dans /usr/syno/etc/synovpn/openvpn/ ) avec les lignes suivantes :

dh keys/dh1024.pem (au lieu de /usr/syno/etc/synovpn/openvpn/keys/dh1024.pem )

ca keys/ca.crt ( idem )

cert keys/server.crt ( idem )

key keys/server.key ( idem )

- relancer openvpn

Cdlt,

[Seb01190]

ok mais comment dois je faire pour effacé tous les anciens certif et mettre les nouveaux

Je peux avoir accés avec Winscp sans probleme

[pbellanger]

1) Lire les tutoriels sur le sujet (cf ci-dessus #27 )

2) Se former à Linux.

Ou bien dans l'ordre l'inverse

Désolé,

[Seb01190]

bon cela ne va pas m'aidé beaucop

[mickaeulkaeul]

@Seb01190 :

As-tu la même erreur que moi dans le log?

Tu n'as du coup peut être pas besoin de changer tes certificats.

@pbellanger :

Je vais m'y atteler ce week-end, si j'ai un peu de temps.

Je te tiens au courant. Merci pour ton aide

[Seb01190]

perso je n'arrive pas à me connecté avec openVPN, il y a un logo avec deux petit ecran jaune en bas a droite de mon ecran. voici le fichier openvpn.log:

Fri Sep 30 08:46:46 2011 OpenVPN 2.2.1 Win32-MSVC++ [sSL] [LZO2] built on Jul 1 2011

Fri Sep 30 08:46:52 2011 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.

Fri Sep 30 08:46:52 2011 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.

Fri Sep 30 08:46:52 2011 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts

Fri Sep 30 08:46:52 2011 LZO compression initialized

Fri Sep 30 08:46:52 2011 UDPv4 link local (bound): [undef]:1194

Fri Sep 30 08:46:52 2011 UDPv4 link remote: 90.56.76.129:1194

ecran jaune impossible d'etablir une connexion

en esperant une solution

[mickaeulkaeul]

Comme proposé par pbellanger, as-tu activé le log d'openvpn sur le NAS en enlevant le # devant la ligne "log-append /var/log/openvpn.log" du fichier openvpn.conf situé dans /usr/syno/etc/synovpn/openvpn/ ?

Toujours suivant le sujet #22 de pbellanger, redémarre sur le NAS openvpn .

Après, peux-tu regarder les erreurs que t'indique openvpn en éditant le fichier log => /var/log/openvpn.log ?

PS : le log que tu viens de mettre est celui de ton client.

[mickaeulkaeul]

Bonjour pbellanger

Si je me souviens bien , à ce stade j'ai décidé de re-generer toutes les certificats et clefs concernant ma conf "openvpn".

A savoir ; ca.cert (ca.key) ; server.cert (server.key) ; ta.key ; dh1024.pem

Y a du mieux

J'ai régénéré tous les certificats en les mettant dans /usr/local/synovpn/etc/openvpn/keys/ et /usr/syno/etc/synovpn/openvpn/keys

J'ai redémarré VPN Server, j'ai mis le username et password.

La connexion fonctionne (les écrans d'OpenVPN sont verts).

J'ai fait un ping vers 10.8.0.0 (IP du serveur Open VPN) mais pas de réponse

De plus OpenVPN GUI prend 55% du processeur de mon portable et 100% du réseau !

Y a-t-il une raison particulière qu'OpenVPN et le réseau se comportent ainsi?

[pbellanger]

Bonne nouvelle mickaeulkaeul !!!

C'est tout bon.

1) OK sur Ping 10.8.0.1 (à l'intérieur dedans du tuyau VPN )

Pour approfondir tes tests :

- Je pense que tu peux "voir" ton serveur web sur le NAS par http://10.8.0.1

- Tu peux l'administrer (au travers du tunnel) via https://10.8.0.1:5001 ou http://10.8.0.1:5000 (Si tu n'as pas forcé le https [a])

Tu dois avoir accès à tout ton rsx:

- Tu peux l'administrer https://192.168.1.100:5001 ou http://192.168.1.100:5000 (Si tu n'as pas forcé le https [a])

- Tu peux pinguer ton réseau local : ping 192.168.1.100 .. 192.168.1.x etc ..

- Tu peux administrer ton routeur (si tu en a un!) par exemple : http://192.168.1.1

- etc ...

2) Je sais que l'encapsulation VPN prend toujours un peu plus de ressources, mais je n'ai pas de problème particulier sur ces problèmes de perfs.

Quel age a ce PC?

As-tu un autre PC sur ton réseau local pour tester les perfs en ouvrant le tunnel sur l'adresse locale (ie: 192.168.1.100 donc l'@ local du NAS) et non pâs l'@ IP vue d'internet?

3) dans ton premier mail, il y avait <<"Activer la compression sur la liaison VPN" n'est pas coché>> :

Je pense que tu peux cocher maintenant... car il y a certainement un impact sur la taille des trames et donc les perfs...

4) Il ne te manque plus qu'un certificat client sur ton portable pour mieux sécuriser l'accès à ton "coeur de réseau" depuis l'internet.

Bien amicalement.

[a] : Le https (donc port 5001) est conseillé pour l'accès admin ainsi que la fermeture des ports 5000 et 5001 sur l'internet . Y'en a qui pourront se reconnaitre

[mickaeulkaeul]

1) OK sur Ping 10.8.0.1 (à l'intérieur dedans du tuyau VPN )

Pour approfondir tes tests :

- Je pense que tu peux "voir" ton serveur web sur le NAS par http://10.8.0.1

- Tu peux l'administrer (au travers du tunnel) via https://10.8.0.1:5001 ou http://10.8.0.1:5000 (Si tu n'as pas forcé le https [a])

Tu dois avoir accès à tout ton rsx:

- Tu peux l'administrer https://192.168.1.100:5001 ou http://192.168.1.100:5000 (Si tu n'as pas forcé le https [a])

- Tu peux pinguer ton réseau local : ping 192.168.1.100 .. 192.168.1.x etc ..

- Tu peux administrer ton routeur (si tu en a un!) par exemple : http://192.168.1.1

- etc ...

Le ping vers 10.8.0.1 ne répond pas, je ne peux par conséquent pas voir mon serveur web.

Quel age a ce PC?

As-tu un autre PC sur ton réseau local pour tester les perfs en ouvrant le tunnel sur l'adresse locale (ie: 192.168.1.100 donc l'@ local du NAS) et non pâs l'@ IP vue d'internet?

Le PC que j'utilise n'est pas si vieux que ça (il a 4 ans), il a un CPU Intel Dual Core T7300 @ 2Ghz... il en a vu d'autre sans soucis !

J'ai fait un autre test avec un netbook, il se comporte normalement (la bande passante et l'utilisation du processeur est bien loin d'être au max !

J'ai donc poursuivi mes tests localement avec le netbook, mais pas de réponse aux pings vers 10.8.0.1

3) dans ton premier mail, il y avait <<"Activer la compression sur la liaison VPN" n'est pas coché>> :

Je pense que tu peux cocher maintenant... car il y a certainement un impact sur la taille des trames et donc les perfs...

Je l'ai activé mais sans changement majeur.

4) Il ne te manque plus qu'un certificat client sur ton portable pour mieux sécuriser l'accès à ton "coeur de réseau" depuis l'internet.

Lorsque tout fonctionnera correctement, je m'attellerai à ce point 4) néanmoins j'ai quelques interrogations.

Il est vrai que dans la procédure de régénération de mes certificats, je n'ai pas utilisé les certificats clients... J'ai utilisé que le certificat ca.crt fourni part le NAS.

Je peux me servir du fichier openvpn.ovpn fourni par le NAS et le compléter (avec quelles lignes?) ou faut-il que je parte d'une version fournit par exemple par OpenVPN GUI?

Merci par avance pour tes réponses.

[DjMomo]

Le ping vers 10.8.0.1 ne répond pas, je ne peux par conséquent pas voir mon serveur web.

J'ai pas fait attention, mais as tu créé une route statique sur ton routeur/ta box/ta passerelle internet afin de dire aux équipements de ton LAN (192.168.1.x) que pour atteindre le réseau 10.8.0.0, il faut utiliser la passerelle 192.168.1.100 ?

Perso, j'ai pas eu 50000 manipulations à faire pour mettre en place la connexion VPN au travers du Syno, seulement 3 :

- Ouverture du port 1194 en UDP redirigé vers l'IP du NAS.

- Création d'une route statique au niveau de mon routeur : pour atteindre le réseau VPN 10.0.8.0, utilisation de la passerelle ayant comme adresse IP l'IP locale du NAS.

- Sur les clients, utilisation des certificats et du fichier de conf fourni via DSM.

C'est tout.

[Seb01190]

hello tous le monde

Bon j'ai reussi ame connecté avec un pc en Xp sur mon nas en VPN ( ecran vert en bas a droite de l'ecran du pc)

Par contre maintenant, je ne sais pas comment faire pour accéder a mes fichiers du nas , auriez vous une idée please

[pbellanger]

@Seb0190:

Tu tiens le bon bout !

Un simple montage rsx (sous DOS) devrait suffire (à mettre dans un fichier "nas.bat" par exemple ) :

<<

set Network_or_device_name=\\10.8.0.1

net use m: %Network_or_device_name%\music /user:login_nas password_nas

net use p: %Network_or_device_name%\photo

...

>>

Remplacer login_nas password_nas par tes valeurs

Cela devrait aussi marcher avec Network_or_device_name=\\192.168.0.x avec x = @IP de donc NAS dans ton réseau local

Cdlt,

Modifié le 10 octobre 2011 par pbellanger

[Seb01190]

excuse moi mais la je ne te suis pas du tous, je souhaites simplement accéder à mes repertoires en partage et à l'interface du nas, actuellement je peux y acceder grace a mon nom de domaine, exemple https://nomdedomaine.dyndns.org:5001 et filezilla mais par VPn comment fais t on ?

[DjMomo]

http://IP_du_NAS:5001 tout simplement, tu es sur le réseau local du NAS.

Où IP_du_NAS correspond à l'IP locale de ton NAS (Panneau de configuration > Réseau > LAN)

Modifié le 10 octobre 2011 par DjMomo

[Seb01190]

Ok mais quelle difference y a t il entre se connecté en https avec un nom de domaine et se connecté en VPN avec https et le nom de domaine pour moi aucune difference !!!???

[pbellanger]

@seb,

Pourrais-tu reformuler ta question?

Et préciser ce que tu veux dire par : "se connecter en https avec un nom de domaine" & "se connecter en VPN avec https et le nom de domaine"

Merci

Modifié le 11 octobre 2011 par pbellanger

[Seb01190]

effectivement pas simple cette histoire

Actuellement je peux avoir acces au nas en tapant https:/: nom de domaine.dyndns.org:5001( acces au nas de facon sécurisé)

je peux egalement avoir acces au repertoire du nas par filezilla , winscp et putty.exe

J'ai reussi a me connecté en parametrant openVPN du nas, parametré la box + client openvpn pour un windows Xp depuis l'exterieur( petit ecran vert en bas a droite de mon ecran pc)

Par contre je ne sais pas comment je peux avoir acces a mes repertoires du nas en passant pas openvpn??? par filezilla, je visualise bien tous mes repertoires mais par openVPN connection etablie mais apres je bloques pour visualisés mes differents repertoires

Si je tape https:// ,,,,,,,. dyndns.org, ce n'est pas du vpn mais simplement du https??

j'espere que vous comprendrais ??

[pbellanger]

Tu as établi le Tunnel en passant par l'internet via ton adresse "nom de domaine.dyndns.org".

Maintenant, il faut travailler au travers de ce tunnel.

Il faut maintenant que tu n'utilises que les adresses internes de ton réseau (ou celle du tunnel) et non plus l'@ internet.

https://192.168.1.15:5001 (Si 1.15 est bien l'@ de ton NAS dans ton rsx local)

ou https://10.8.0.1:5001

Pour accéder aux répertoires de ton NAS, j'ai bien le sentiment que mon post #42 répond à ta problématique.

=> tu réalises des montages disques au travers du Tunnel OpenVPN.

Celà fonctionne parfaitement pour ma part. Il faut juste que tu adaptes ce fichier avec les noms de tes dossier_partagé du NAS.

Tu verras ensuite ton NAS via les montages disques : M: ou P: (pour l'exemple que j'ai fourni au #42)

cf § Accéder aux dossiers partagés depuis Windows page 67 du UserGuide DSM 3.

Cdlt,

PS : n'oublie pas de vérrouiller les ports 5000 et 5001 sur l'internet

Re PS: l'accès https n'est plus utile car tu es déjà dans un tunnel chiffré.... tu peux faire du http dans le tunnel.

Modifié le 12 octobre 2011 par pbellanger

[Seb01190]

ok je vais essayé cette manip car j'ai laissé par defaut les adresse ip du vpncenter 10.8.0.0 donc je dois entrer l'adresse normalement https://10.8.0.1:5001 pour acceder au nas une fois la connection VPN etablie . est ce correct ??

maintenant je ne comprends pas tres bien le montage des disque reseau en passant par rsx (sous DOS) peux tu detaillé un peu

et qu'entends tu par "n'oubli pas de verrouillé les port 5000 et 5001sur internet " ??

Merci d'avance

Modifié le 11 octobre 2011 par Seb01190

[pbellanger]

net use :

http://technet.microsoft.com/en-us/library/bb490717.aspx