Un Serveur Freeradius Dans Vpn Center (Steackhach

[PiwiLAbruti]

Bonsoir,

Je viens de tester le VPN Center en prévision de futurs accès distants (et la suppression de quelques règles NAT).

La paquet se lançait bien mais j'avais un message me disant d'ouvrir le port 1723 sur mon routeur.

Ne tenant pas compte de ce message, je configure la connexion sur mon iPhone (PPTP) et tente de me connecter sans succès : "Erreur d'authentification blablabla..."

Après plusieurs échecs, je me décide à aller jeter un coup d'œil dans /etc/local/synovpn/. Et là, SURPRISE !

On trouve dans les sous-dossiers un serveur Freeradius servant à authentifier les clients VPN (je n'ai pas cherché à savoir s'il est utilisé pour OpenVPN ou PPTP ou les deux).

Comme j'avais déjà un serveur Freeradius d'installé, le Freeradius du VPN Center ne pouvait pas se lancer, le port UDP 1812 étant déjà utilisé.

Après avoir stoppé mon Freeradius et redémarré VPN Center, tout fonctionne correctement.

Pour les curieux, les fichiers de configuration se trouvent dans /etc/local/synovpn /etc/raddb/ (dont radiusd.conf).

Un serveur Radius dans DSM est réclamé depuis longtemps par les administrateurs qui utilisent des produits Synology en entreprise (authentification réseau).

Aujourd'hui c'est chose faite mais Synology n'a pas jugé important de le signaler.

[DjMomo]

Aujourd'hui c'est chose faite mais Synology n'a pas jugé important de le signaler.

Ni comment le configurer...

Merci pour la découverte

[PiwiLAbruti]

Ni comment le configurer...

Pour ça il y a la documentation officielle de FreeRADIUS, les principaux fichiers de configuration sont radiusd.conf et clients.conf.

Par défaut le script de démarrage de FreeRADIUS vérifie qu'au moins un des services VPN (PPTP et/ou OpenVPN) soit démarré, sinon il ne si lance pas.

Pour pallier à ce problème, il suffit de modifier le script radiusd.sh

DiskStation> cd /usr/local/synovpn/script/

DiskStation> cp radiusd.sh radiusd.sh.back

DiskStation> vi radiusd.sh

et de commenter les lignes qui effectuent cette vérification :

[…]

start)

#   if [ "${RunPPTP}" != "yes" -a "${RunL2TP}" != "yes" -a "${RunOpenVPN}" != "yes" ]; then

#	   exit 0

#   fi

[…]

stop)

#   CheckPidFile /var/run/pptpd.pid

#   RetPPTP=$?

#   CheckPidFile /var/run/xl2tpd.pid

#   RetL2TP=$?

#   RetOpenVPN=1

#   if [ -n "`/bin/pidof openvpn`" ]; then

#	   RetOpenVPN=0

#   fi

#   if [ $RetPPTP -eq 0 -o $RetL2TP -eq 0 -o $RetOpenVPN -eq 0 ]; then

#	   exit 0

#   fi

[…]

On peut ainsi désactiver les services VPN et même stopper le paquet VPN Server dans le Centre de packages. Ensuite il ne reste plus qu'à démarrer FreeRADIUS :

DiskStation> ./usr/local/synovpn/script/radiusd.sh start

Et voilà !

Je l'ai testé avec succès pour authentifier des clients sur un switch wireless qui gère un parc d'antennes wifi.

L'avantage de FreeRADIUS c'est qu'il supporte une foule de méthodes d'authentification dont le stockage peut se faire dans un fichier clear-text, un fichier /etc/passwd, un annuaire LDAP, une base de données, ... ce qui le rend assez souple à configurer.