Demande Aide Configuration Vpn Dsm5

[matt06]

Bonjour,

Je suis nouvel utilisateur de NAS et je suis sous DSM 5.0

Je souhaite paramétrer le VPN pour pouvoir utiliser download Station de façon anonyme.

J'ai déjà un abonnement chez "cyberghost" et pour tout vous dire, ... je ne comprends vraiment pas comment je dois paramétrer le VPN du NAS.

J'ai essayé de suivre le à jour pour DSM 5.0 mais lorsque j'importe le "certificat" j'ai un soucis: il me dit "certificat illégal". Le fichier que j'utilise a été généré par le site de cyberghost mais son extension est .ovpn.

Mais... de façon plus générale: me confirmez vous que pour utiliser le VPN du NAS il faut avoir en AMONT un abonnement chez un fournisseur VPN?? (je ne suis pas sûr de bien comprendre mais j'ai l'impression que ça n'est pas obligatoire)

Et, deuxième chose que je ne comprends pas: une fois le VPN activé sur le NAS... est-ce que cela veut dire que TOUTES les connexions qui sortent de chez moi (via le réseau sur lequel est le NAS) seront cryptées? Je pensais que SEUL le NAS aurait sa connexion cryptée mais j'ai l'impression qu'en fait il crypte tout se qui passe sur le réseau.

Désolé pour ces questions de débutant mais honnêtement ça fait quelques heures que j'essaye de comprendre...

Merci

[bagou91]

bonjour,

le fichier .ovpn est un fichier de configuration du client vpn, pouvant aussi contenir parfois le certificat.

sur le tuto on demande uniquement un fichier de certificat (.crt), donc il te faut la partie certificat uniquement du fournisseur vpn.

pour la question de l'abonnement, tout dépend des fournisseurs: certains sont gratuit mais limité, d'autres sont payants.

une fois le vpn client activé sur le nas, toutes les connexions sortantes vers Internet du nas seront redirigés dans le vpn et donc cryptés.

il n'y a donc que le nas de concerné. tes pc ne sont pas concernés et continueront de sortir avec l'IP public de ta box vers Internet.

[matt06]

Bonjour et merci pour cette réponse précise.

Comment puis-je récupérer la partie certificat du fichier ovpn? Je n'ai pas de logiciel pour "l'ouvrir"

Pour ce qui est de l'abonnement.

J'ai un abo (payant et dont je suis très satisfait) mais j'ai cru comprendre que le Syno intégré par défaut une offre VPN gratuite. Je me trompe? (je ne comprends pas bien cela et c'est juste par curiosité). Exemple: Le paquet VPN Serveur qui propose en 1 click d'activer un VPN.

Enfin,

j'ai bien compris ta réponse sur la protection du VPN du NAS, merci. Je ne trouvais pas ça très clair dans les explications du support en ligne Synology

[bagou91]

le fichier ovpn est un simple fichier texte, tu peux l'ouvrir avec notepad.

toutefois, ce n'est pas sûr qu'il contienne la partie certificat. la partie certificat se trouve entre ----BEGIN CERTIFICATE---- et ----END CERTIFICATE-----

ici tu peux voir comment est constitué un fichier ovpn contenant le certificat: http://www.strongvpn.com/setup_windows_mobile_6_openvpn.shtml

recopies la section du certificat dans un nouveau fichier texte que tu nommeras "certificat.crt"

tu confonds le vpn server, et vpn client:

le paquet vpn serveur permet d'installer et configurer un serveur vpn sur le nas. tu peux ainsi te connecter depuis l'extérieur à ton nas en sécurisant la connecion par vpn.

Modifié le 6 août 2014 par bagou91

[matt06]

Haaaaa!!! très bien!! tu as tout a fait raison: je confondais VPN Client et VPN Serveur et c'est pour ça que je ne comprenais rien aux paramétrages!!

Merci beaucoup

Modifié le 8 août 2014 par matt06

[matt06]

Bonjour,

J'essaye mais cela ne fonctionne pas:

J'ai copié ce qu'il y a entre <ca> et </ca> dans un fichier vierge que j'ai appelé ca.crt

Lorsque j'importe ce fichier dans le paramétrage du NAS, le processus de configuration suit son cours normalement mais lorsque j'active le VPN, j'obtiens un message me disant que le certificat n'est pas valide

Je n'arrive pas à mettre d'image; J'ai essayé via mon hébergement perso dropbox et via le site "imagesia.com"

donc voici les liens:

http://imagesia.com/certificat_mtxo

http://imagesia.com/parametrage_mtxn

http://imagesia.com/erreur_mtxp

[bagou91]

je ne sais pas si cela influence, mais fait un saut de ligne après ---BEGIN CERTIFICATE----

et un saut de ligne juste avant ---END CERTIFICATE---

[glouglou44]

@ matt06 et @ bagou

je ne sais pas si cela influence, mais fait un saut de ligne après ---BEGIN CERTIFICATE----

et un saut de ligne juste avant ---END CERTIFICATE---

Oui, c'est important

[matt06]

Bonjour et merci pour votre aide

J'ai essayé 2 modifications et dans les 2 cas, lorsque je veux valider les paramétrages, ça me met directement "certificat illégal"

http://imagesia.com/1saut-de-ligne_mtyq

http://imagesia.com/2sauts-de-ligne_mtyr

(alors que lorsque je ne touche pas au certificat et que je laisse sans saut de ligne, je peux tout de même valider les paramétres et c'est seulement après, à l'activation du VPN, que ça plante)

[glouglou44]

Exporte ou télécharge à nouveau ton certificat car je n'aime pas qu'il soit sur une seule ligne.

Il devrait ressembler à quelque chose du genre:

-----BEGIN CERTIFICATE-----
MIIEKjCCAxKgAwIBAgIJAPsieCkgdyzpMA0GCSqGSIb3DQEBBQUAMIGOMQswCQYD

CSqGSIb3DQEJARYcbWF0aGlldS50aG9yaW1iZXJ0QGdtYWlsLmNvbTAeFw0xNDA0
VQQGEwJDSDEPMA0GA1UECBMGR2VuZXZlMQ8wDQYDVQQHEwZHZW5ldmjAMBgNV
BAoTBXByaXZlMQ4wDAYDVQQLEwVwcml2ZTEQMA4GA1UEAxMHTWF0aGlldTErMCkG
MTYwODMzMTFaFw0yNDA0MTMwODMzMTFOMQswCQYDVQQGEwJDSMA0GA1UE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CX74RYTxPiD6rDkbzkl8yG8/hiT3Z5Wa60EFXhr9wuscn7RH7Ib5wd7kK4Eqz/Hl
wgdcPbM4qiukiYSWQqBITSZdb88vtaMY5W5Uez7jFZ9hXi2BE3dJThlNQwGQXcQZ
RCsBXBX9YoJvJGSLquhYs/92rvfwDKstzFpOkRwJaBsGLhageaIuYS3S8Oy9i
cI6l5qrGEDxf81wv1PKv+K6LDbCcSkGCjJ/qGO3k1CzMPcL7LEQRLRSo8UDQzqpt
aiLzBLU84AWfM/v3rPY=
-----END CERTIFICATE-----

Je ne sais pas si tu es à l'aise avec la ligne de commande mais pour contrôler que ton certificat est correct, sous linux tu peux utiliser la commande openssl

Exemple:

openssl x509 -in ca2.crt -noout -text
unable to load certificate
139888805844648:error:0D07209B:asn1 encoding routines:ASN1_get_object:too long:asn1_lib.c:142:
139888805844648:error:0D068066:asn1 encoding routines:ASN1_CHECK_TLEN:bad object header:tasn_dec.c:1306:
139888805844648:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:tasn_dec.c:381:Type=X509
139888805844648:error:0906700D:PEM routines:PEM_ASN1_read_bio:ASN1 lib:pem_oth.c:83:

Ici mon certificat n'est PAS valide

Modifié le 8 août 2014 par SysAdmin

[matt06]

Merci pour la réponse

J'ai téléchargé de nombreuses fois le fichier (pour tous mes tests) et il a toujours été sur une seule ligne... ?

CConcernant les lignes de commande, non ça n'est pas mon truc. Je ne comprends pas du tout ce que tu me proposés (et je ne suis pas sous Linux)

J'ai ré-ouvert un topic qui traite du même sujet sur le forum support de cyberghost mais pour l'instant je n'ai pas de réponse...

[matt06]

up svp,

je suis bien embêté.

L'une de mes principales motivations pour acheter un Syno était justement de pouvoir configurer le VPN pour utiliser download station...

:/

[matt06]

Bon hé bien, je n'ai pas réussi à faire fonctionner en OpenVPN par contre j'ai réussi en PPTP.

Merci quand même pour votre aide

[ds214p]

J'ai finalement réussi faire tourner openvpn CyberGhost sur synology (DSM 5.1-5021 Update 2), voilà comment :

A. Récupérer le fichier CyberGhost.ovpn et créer les fichiers .ca, .cert et .key

récupérer le fichier de conf CyberGhost.ovpn depuis ton compte cyberghost

dans ce fichier on trouve 4 parties, il faut les extraire dans 4 fichiers séparés

partie 1 : la conf openvpn propre à cyberghost

créer un fichier cg.conf.openvpn et y copier uniquement ce qui ressemble à

client
remote XXX.cyberghostvpn.com 1194
(...)
verb 4
comp-lzo

partie 2 : le certificat à uploader lors de la conf du syno

compris entre les balises <ca> et </ca>

créer un fichier cg.ca et y copier uniquement ce qui ressemble à

-----BEGIN CERTIFICATE-----
eoighiughaoeiOIZGFBAOKngeklgnz
OGIZHOGENgkndgnlzglgp,ziojhoib
OGHEIGZUNGELKksppazflnakzngal
LKNUZai^sovnasva
-----END CERTIFICATE-----

partie 3 : le 2ème certificat

compris entre les balises <cert> et </cert>

créer un fichier cg.cert et y copier uniquement ce qui ressemble à

-----BEGIN CERTIFICATE-----
eoighiughaoeiOIZGFBAOKngeklgnz
OGIZHOGENgknd
-----END CERTIFICATE-----

partie 4 : la clé KEY

compris entre les balises <cert> et </cert>

créer un fichier cg.key et y copier uniquement ce qui ressemble à

-----BEGIN PRIVATE KEY-----
eoighiughaoeiOIZGFBAOKngeklgnz
OGIZHOGENgk
-----END PRIVATE KEY-----

B. Créer une nouvelle connexion de type openvpn

via l'interface synology ( saisir user / pass / url / port et uploader le fichier cg.ca que tu viens de créer )

C. Déplacer les fichiers vers le répertoire utilisé par le client openvpn synology

en ssh, taper

ls /usr/syno/etc/synovpnclient/openvpn

normalement tu dois avoir les fichiers créés par le synology

- ca_oXXXXXXXXX.crt   <- c'est une copie du fichier cg.ca créé plus tôt

- client_oXXXXXXX     <- c'est le fichier de conf openvpn créé par le synology

- ovpnclient.conf     <- là dedans y a notamment le user & le mot de passe (encrypté)

déplace dans ce dossier les fichiers créés précédemment ( cg.conf.openvpn cg.ca cg.cert cg.key )

crée un fichier openvpn.log ( ca permettra d'avoir des traces de diagnostic le cas échéant )

D. Adapter la configuration

l'idée est ici de merger la partie 1 du fichier de conf de CyberGhost avec la conf propre au synology, à la fin ca donne ca :

dev tun

tls-client

remote openvpn.cyberghostvpn.com 1194

proto tcp-client

up /usr/syno/etc.defaults/synovpnclient/scripts/ovpn-up

route-up /usr/syno/etc.defaults/synovpnclient/scripts/route-up

ca ca_oXXXXXXXXX.crt

cert cg.cert

key cg.key

log openvpn.log #ajout perso pour avoir des traces si ca plante

comp-lzo

script-security 2

float

reneg-sec 0

explicit-exit-notify

plugin /lib/openvpn/openvpn-down-root.so /usr/syno/etc.defaults/synovpnclient/scripts/ip-down

auth-user-pass /tmp/ovpn_client_up

auth-user-pass

resolv-retry infinite

redirect-gateway def1

persist-key

persist-tun

nobind

cipher AES-256-CBC

auth MD5

ping 15

ping-exit 90

ping-timer-rem

explicit-exit-notify 2

script-security 2

remote-cert-tls server

route-delay 5

verb 4

comp-lzo

E. Cliquer sur "connecter" dans l'interface du synology, et ..voilà

/! ne cliquez pas sur éditer, sinon vous devrez tout recommencer...

ps :

le fichier de conf final : http://ge.tt/1sdMiO82 ou http://pastebin.com/6L4km0EB

Modifié le 11 janvier 2015 par ds214p

[gaetan.cambier]

auth md5 ... c'est completement incecure çà

si possible : auth SHA-256

[jeannets]

Bonsoir à tous  et @ds214p  en particulier,

J'ai suivi avec attention ta création de fichier "OpenVPN"  pour CyberGhost... je suis dans le même cas, j'ai un compte chez eux et mon Syno DS213+ fonctionne en PPTP, ça marche...

Mais je crois que l'openVPN lui est quand même supérieur... J'ai demandé au support s'ils avait une solution toute faite... C'est non et non..  sans explication du pourquoi..

Ma question: est-ce que ce fichier fonctionne toujours chez toi..???   car c'etait en Janv 2015  et en DSM 5 ... aujourd'hui le temps à passé et nous sommes à la version DSM 6.1.2-15132 des choses ont changé et ça pourrais très bien ne plus fonctionner.... Je m'informe avant de me lancer et approfondir; car j'ai déja fait des essais, mais en vain...

Alors, ton expérience sur le sujet sera la bienvenue.

Merci d'avance.