Problème création VPN permanent téléphone Android

[Adrien7]

Bonjour à tous,

Je vous sollicite ayant un problème pour créer un VPN permanent entre mon téléphone Android (Cyanogenmod 11) et mon Nas synology.

Le VPN est configuré via le protocole L2TP/IPsec.

J'arrive sans problème à connecter mon téléphone avec une "connexion classique".

Par contre lorsque je cherche à mettre cette configuration en VPN permanent, je n'y arrive pas.

La différence entre les deux est que pour le VPN permanent une adresse IP de serveurs DNS est requise.

C'est à partir de là que mes compétences techniques deviennent insuffisantes.

Mes questions :

Quel est l'intérêt de renseigner une adresse de serveurs DNS pour mon VPN ?

Pourquoi ne suis-je pas obligé de la renseigner lorsque mon VPN n'est pas permanent ?

Quelle adresse dois-je mettre dans ce champs ?

Merci de vos éclairages sur le sujet

[Fenrir]

Quel est l'intérêt de renseigner une adresse de serveurs DNS pour mon VPN ?

Pouvoir résoudre des noms en IP, comme avec tout DNS

Pourquoi ne suis-je pas obligé de la renseigner lorsque mon VPN n'est pas permanent ?

 Parce que dans sa grande mansuétude, la première régie publicitaire de la planète (Google) pré-configure automatiquement ses propres DNS, comme ça c'est plus facile pour l'utilisateur (et pour eux ...)

Quelle adresse dois-je mettre dans ce champs ?

Les adresses de serveurs DNS dans lesquels tu as confiance, je n'ai pas d'adresse à te donner (j'utilise mes propres serveurs), mais une petite recherche sur le net devrait suffire. Tu peux aussi utiliser le serveur DNS du synology, mais dans ce cas configure correctement les "forwarders" (ou n'en configure pas et interroge les registres)

[Adrien7]

Bonjour Fenrir,

D'abord, merci pour tes réponses.

Je pensais que le VPN allait prendre par défaut le DNS du serveur sur lequel il était paramétré d'où ma question sur son intérêt.

Je suis en train de me renseigner pour utiliser le serveur DNS du synology mais n'ayant pas encore eu le temps pour l'instant je suis allé au plus simple en configurant les DNS de Google.

J'ai re-testé ce matin, je me connecte bien à mon VPN (en classique et en permanent) par contre je n'arrive pas à avoir accès à un site via navigateur (par ip ou par nom de domaine).  Ce que j'arrivais à faire en classique mais pas en permanent.

J'ai configuré mon accès VPN sur android comme celà :

Nom : Adrien7

Type : L2TP/IPSec PSK

Adresse du serveur : l'adresse IP de mon syno

Secret L2TP : Vide

Identifiant Ipsec : Vide

Clé prépartagée IPSec : la clé partagé de mon VPN

Domaines de recherche DNS : vide

Serveurs DNS : 8.8.8.8

Itinéraire de transfert : Vide

Et je me connecte avec mon nom d'utilisateur DSM et mon mot de passe. Utilisateur préalablement autorisé à utiliser le VPN.

Les ports ouverts de ma box en UDP : 500 1701 4500. (Par ailleurs pourquoi a-t-on besoin de trois ports ouverts ?)

 

Aurais-tu une idée de pourquoi je n'arrive pas à accéder à un site ?

 

J'ai vu qu'il y avait un problème dans Android 4.4 sur le VPN permanent :

http://phandroid.com/2013/11/12/android-kitkat-vpn-bug/

Cependant il semble y avoir une appli pour fixer ce bug (il faut être root) :

https://play.google.com/store/apps/details?id=ru.microlana.android.alwaysonvpnfix

 

[Fenrir]

Pour les ports c'est bon (500 pour l'échange de clefs, 4500 pour traverser les nat, 1701 pour le L2TP).

Pour ton problème, je dirai qu'il te manque des routes (au moins une) quelque part :

• si tu veux que tout le trafic passe par le vpn, il faut peut être configurer des routes de retour sur ton routeur internet
• si tu ne veux que certains réseaux : adresse.du.réseau.cible/masque

[Adrien7]

Effectivement, merci,

En configurant l'itinéraire de transfert comme cela : 192.168.1.0/24, cela fonctionne en VPN "classique". Je vais me renseigner sur la raison parce que c'est encore assez flou pour moi.

Par contre en permanent toujours impossible de le faire fonctionner, je me connecte bien au VPN cependant lorsque j'essaye d'accéder à un site (ou à une adresse IP) celui-ci ne se charge pas.

De même si je lui applique le fix de alwaysonvpnfix en root.

[Fenrir]

c'est du routage.

1. Pour aller d'un réseau A à un réseau B, on passe par un routeur, typiquement la passerelle par défaut sous windows
2. Ce routeur doit donc connaitre A et B, chez toi il connait probablement ton ton réseau local (un truc du genre 192.168.0.0/24) et le reste du monde (0.0.0.0/0)
3. Ton vpn te configure probablement une adresse en 10...., inconnue de ton routeur
4. Il faut donc lui indiquer que pour contacter 10.*, il doit passer par ton serveur vpn

Ça c'est la théorie, dans la pratique ça dépend de si le synology nat le trafic vpn ou non (s'il nat, rien à faire sur ton routeur, sinon il faut ajouter une route), je ne me rappelle plus de ce que fait le syno.

edit :

• pour le dns tu peux utiliser ta box (l'ip privée)
• pas besoin d'ajouter de route sur ton routeur, le synlogy NAT le trafic du vpn
• =>pas d'itinéraire à ajouter dans la conf du téléphone

Je viens de tester (android 5.1.1 non rooté), ça fonctionne

[Adrien7]

Merci de tes précisions ça me donne des billes pour bien étudier le fonctionnement. Je vais approfondir la notion de nat que je ne connais que très peu.

Du coup mon VPN est configuré comme ça (DSM 5.2) :

Adresse IP dynamique : 10.2.0.0

Nombre de connexions max : 5

Avec le même compte : 10

Authentification : MS-CHAP v2

MTU : 1400

DNS : Automatique

En fait c'est les paramètres par défaut proposés par le NAS.

J'ai modifié ma conf Android comme ça :

Nom : Adrien7

Type : L2TP/IPSec PSK

Adresse du serveur : l'adresse IP de mon syno

Secret L2TP : Vide

Identifiant Ipsec : Vide

Clé prépartagée IPSec : la clé partagé de mon VPN

Domaines de recherche DNS : vide

Serveurs DNS : 8.8.8.8

Itinéraire de transfert : 10.2.0.0/24

 

Et j'ai toujours ce problème d'accès réseau en VPN permanent...
Est-ce que ma configuration te parait fausse ?

[Fenrir]

Ta configuration ne peut pas fonctionner :

• vpn permanent = seul le trafic qui passe par le vpn est autorisé
• Itinéraire de transfert : 10.2.0.0/24 => tu n’envoie dans le vpn QUE le trafic à destination de 10.2.0.0/24
• Serveurs DNS : 8.8.8.8 => 8.8.8.8 n'est pas dans le réseau 10.2.0.0/24

Modifie comme suit :

• Nom : Adrien7
• Type : L2TP/IPSec PSK
• Adresse du serveur : l'adresse IP de mon syno
• Secret L2TP : Vide
• Identifiant Ipsec : Vide
• Clé prépartagée IPSec : la clé partagé de mon VPN
• Domaines de recherche DNS : vide
• Serveurs DNS : adresse.ip.ta.box
• Itinéraire de transfert : rien

J'ai fais mon test avec la même configuration que toi (sauf dns et route), ça fonctionne.

 

Pour le nat, en version simplifiée : le routeur (ici le synology) remplace les ip qui arrivent via le vpn par sa propre ip avant d'envoyer le trafic au reste du réseau

=>vu de chez toi, ton téléphone à l'ip de ton synology

Puis pour aller vers Internet, ta box fait la même chose (tes ip en 192.168.xxx.xxx sont remplacées par l'IP public)

Plus en détail ça passe généralement par de la translation* de port (pat*) et des tables de sessions, on peut aussi faire du snat* ou du dnat* (voir les 2)

*les mots clefs à rechercher

[Adrien7]

Ta configuration ne peut pas fonctionner :

• vpn permanent = seul le trafic qui passe par le vpn est autorisé
• Itinéraire de transfert : 10.2.0.0/24 => tu n’envoie dans le vpn QUE le trafic à destination de 10.2.0.0/24
• Serveurs DNS : 8.8.8.8 => 8.8.8.8 n'est pas dans le réseau 10.2.0.0/24

Effectivement c'est plus clair.

Pour le nat, en version simplifiée : le routeur (ici le synology) remplace les ip qui arrivent via le vpn par sa propre ip avant d'envoyer le trafic au reste du réseau

=>vu de chez toi, ton téléphone à l'ip de ton synology

Puis pour aller vers Internet, ta box fait la même chose (tes ip en 192.168.xxx.xxx sont remplacées par l'IP public)

 

Par exemple en simplifié :

J'ai une requette passant par VPN venant de mon téléphone avec un IP ex 11.11.11.11 vers synology.com

Cela envoi cela à ma box (IP 22.22.22.22) qui route la requette vers mon syno grâçe à la redirection de port.

Cela arrive sur mon syno qui lui remplace 11.11.11.11 par son adresse Ip locale 192.168.1.48.

de là mon syno 192.168.1.48 renvoi la requette vers mon routeur 192.168.1.254.

Le routeur envoi la requette vers le serveur dns paramétré, ici ma box donc 192.165.1.254, qui elle même envoi vers le serveur DNS de mon FAI avec l'IP 22.22.22.22.

De là j'accède à synology.com.

 

Ai-je bien compris ?

J'imagine que non car le VPN possède un autre réseau local 10.2.0.0/24. A quoi ce réseau sert-il ? Comment les requettes y sont routées ?

 

Sinon j'ai modifié ma config de cette façon :

• Nom : Adrien7
• Type : L2TP/IPSec PSK
• Adresse du serveur : l'adresse IP de mon syno
• Secret L2TP : Vide
• Identifiant Ipsec : Vide
• Clé prépartagée IPSec : la clé partagé de mon VPN
• Domaines de recherche DNS : vide
• Serveurs DNS : 192.168.1.254
• Itinéraire de transfert : rien

Et je n'accède toujours pas à synology.com en VPN permanent pourtant des paquets sont bien échangés entre mon téléphone et mon VPN.

 

Merci de ton aide précieuse!

 

[gaetan.cambier]

Pour debuguer le problème, il serait utile de faire des ping depuis Android vers les adresse IP pour voir ou ça déconne, il y a plein d'app pour le faire

[Adrien7]

Bonjour,

Voici le résultat du ping vers google.fr que j'ai fait à partir de l'application Ping & DNS :

De manière classique sans VPN

--- 13 août 2015 13:48:12

--- IP (rmnet0) fe80::2d72:9926:901f:a749%rmnet0

--- IP (rmnet0) 10.21.32.170

--- Connection: HSPA

 

PING google.fr (74.125.71.94) 56(84) bytes of data.

64 bytes from wn-in-f94.1e100.net (74.125.71.94): icmp_seq=1 ttl=43 time=256 ms

64 bytes from wn-in-f94.1e100.net (74.125.71.94): icmp_seq=2 ttl=43 time=304 ms

64 bytes from wn-in-f94.1e100.net (74.125.71.94): icmp_seq=3 ttl=43 time=330 ms

 

--- google.fr ping statistics ---

3 packets transmitted, 3 received, 0% packet loss, time 2006ms min = 256.964 ms avg = 297.432 ms max = 330.598 ms mdev = 30.501 ms

 

Avec Vpn Permanent :

--- 13 août 2015 13:49:03
--- IP (ppp0) 10.2.0.1
--- IP (rmnet0) fe80::2d72:9926:901f:a749%rmnet0
--- IP (rmnet0) 10.21.32.170
--- Connection: HSPA

PING google.fr (216.58.208.227) 56(84) bytes of data.

--- google.fr ping statistics ---
16 packets transmitted, 0 received, 100% packet loss, time 15046ms

 

[gaetan.cambier]

maintenant, faut tester :

l'ip de ton nas en 192.168.*.*

et l'ip d'une autre machine sur ton reseau local (l'ip locale de ton routeur peux faire l'affaire)

 

[Adrien7]

Apparemment je n'ai accès à rien:

NAS :

--- 13 août 2015 13:59:19
--- IP (ppp0) 10.2.0.1
--- IP (rmnet0) fe80::2d72:9926:901f:a749%rmnet0
--- IP (rmnet0) 10.21.32.170
--- Connection: HSPA

PING 192.168.1.48 (192.168.1.48) 56(84) bytes of data.
From 10.21.32.170: icmp_seq=1 Destination Port Unreachable

--- 192.168.1.48 ping statistics ---
0 packets transmitted, 0 received, +1 errors

Routeur :

--- 13 août 2015 14:00:14
--- IP (rmnet0) fe80::2d72:9926:901f:a749%rmnet0
--- IP (rmnet0) 10.21.32.170
--- Connection: HSPA

PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data.
From 10.21.32.170: icmp_seq=1 Destination Port Unreachable

--- 192.168.1.254 ping statistics ---
0 packets transmitted, 0 received, +1 errors

[gaetan.cambier]

tu peux le faire avec un vpn non permanent, pour voir les difference (juste decocher vpn permanent et laisser les meme paramètres vpn)?

[Adrien7]

Avec cette configuration, le VPN "classique" ne renvoi rien non plus :

Google :

--- 13 août 2015 15:26:58

--- IP (ppp0) 10.2.0.1

--- IP (rmnet0) fe80::2d72:9926:901f:a749%rmnet0

--- IP (rmnet0) 10.21.32.170

--- Connection: HSPA

 

PING google.fr (216.58.208.195) 56(84) bytes of data.

 

--- google.fr ping statistics ---

16 packets transmitted, 0 received, 100% packet loss, time 15025ms

Mon Nas :

--- 13 août 2015 15:28:05

--- IP (ppp0) 10.2.0.1

--- IP (rmnet0) fe80::2d72:9926:901f:a749%rmnet0

--- IP (rmnet0) 10.21.32.170

--- Connection: HSPA+

 

PING 192.168.1.48 (192.168.1.48) 56(84) bytes of data.

 

--- 192.168.1.48 ping statistics ---

16 packets transmitted, 0 received, 100% packet loss, time 15043ms

Mon routeur : 

--- 13 août 2015 15:28:56

--- IP (ppp0) 10.2.0.1

--- IP (rmnet0) fe80::2d72:9926:901f:a749%rmnet0

--- IP (rmnet0) 10.21.32.170

--- Connection: HSPA+

 

PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data.

 

--- 192.168.1.254 ping statistics ---

16 packets transmitted, 0 received, 100% packet loss, time 15044ms

[gaetan.cambier]

Sinon j'ai modifié ma config de cette façon :

Nom : Adrien7
Type : L2TP/IPSec PSK
Adresse du serveur : l'adresse IP de mon syno
Secret L2TP : Vide
Identifiant Ipsec : Vide
Clé prépartagée IPSec : la clé partagé de mon VPN
Domaines de recherche DNS : vide
Serveurs DNS : 192.168.1.254
Itinéraire de transfert : rien

tu note "l'adresse ip de mon syno", c'est bien ton adresse publique que tu met ? celle que l'on trouve avec le service : https://www.whatismyip.com/ depuis ton reseau local

[Adrien7]

Oui c'est bien l'adresse IPV4 de ma box du type 88.*.*.*

[gaetan.cambier]

il y a un blocage quelque part

passe à la commande tracert / traceroute de ton gsm vers ses meme ip avec ton vpn non permanent

 

[Adrien7]

Ca me donne ca pour un traceroute vers google.fr :

--- 13 août 2015 17:41:11

--- IP (ppp0) 10.2.0.1

--- IP (rmnet0) fe80::2d72:9926:901f:a749%rmnet0

--- IP (rmnet0) 10.21.32.170

--- Connection: HSPA

 

Trace to google.fr

 

Host name doesn't have A or AAAA records - giving up

[gaetan.cambier]

il trouve pas l'ip, utilise "8.8.8.8" à la place pour faire le traceroute

[Fenrir]

essaye de couper le firewall du syno puis fais les tests suivants

1. ping 10.2.0.0
2. ping 192.168.1.48
3. ping 192.168.1.254
4. ping 5.196.244.24
5. ping www.nas-forum.com

[Adrien7]

@ gaetan.cambier

Voici le traceroute pour www.google.fr avec en serveur DNS 8.8.8.8

--- 13 août 2015 18:24:48

--- IP (ppp0) 10.2.0.1

--- IP (rmnet0) fe80::2d72:9926:901f:a749%rmnet0

--- IP (rmnet0) 10.21.32.170

--- Connection: HSPA

 

Trace to www.google.fr

 

Host name doesn't have A or AAAA records - giving up

@ Fenrir

En remettant en serveur DNS 192.168.1.254, en coupant le firewall

10.2.0.0

--- 13 août 2015 18:27:03

--- IP (ppp0) 10.2.0.1

--- IP (rmnet0) fe80::2d72:9926:901f:a749%rmnet0

--- IP (rmnet0) 10.21.32.170

--- Connection: HSPA

 

PING 10.2.0.0 (10.2.0.0) 56(84) bytes of data.

64 bytes from 10.2.0.0: icmp_seq=5 ttl=64 time=620 ms

64 bytes from 10.2.0.0: icmp_seq=6 ttl=64 time=389 ms

64 bytes from 10.2.0.0: icmp_seq=7 ttl=64 time=1655 ms

 

--- 10.2.0.0 ping statistics ---

8 packets transmitted, 3 received, 62% packet loss, time 7029ms min = 389.079 ms, pipe 2 avg = 888.306 ms, pipe 2 max = 1655.289 ms, pipe 2 mdev = 550.510 ms, pipe 2

192.168.1.48 : 

--- 13 août 2015 18:30:52

--- IP (ppp0) 10.2.0.1

--- IP (rmnet0) fe80::2d72:9926:901f:a749%rmnet0

--- IP (rmnet0) 10.21.32.170

--- Connection: HSPA

 

PING 192.168.1.48 (192.168.1.48) 56(84) bytes of data.

 

--- 192.168.1.48 ping statistics ---

16 packets transmitted, 0 received, 100% packet loss, time 15058ms

 192.168.1.254 :

--- 13 août 2015 18:33:41

--- IP (ppp0) 10.2.0.1

--- IP (rmnet0) fe80::2d72:9926:901f:a749%rmnet0

--- IP (rmnet0) 10.21.32.170

--- Connection: HSPA

 

PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data.

 

--- 192.168.1.254 ping statistics ---

16 packets transmitted, 0 received, 100% packet loss, time 15049ms

5.196.244.24 :

--- 13 août 2015 18:36:06

--- IP (ppp0) 10.2.0.1

--- IP (rmnet0) fe80::2d72:9926:901f:a749%rmnet0

--- IP (rmnet0) 10.21.32.170

--- Connection: HSPA

 

PING 5.196.244.24 (5.196.244.24) 56(84) bytes of data.

 

--- 5.196.244.24 ping statistics ---

16 packets transmitted, 0 received, 100% packet loss, time 15027ms

www.nas-forum.com :

 

--- 13 août 2015 18:38:14

--- IP (ppp0) 10.2.0.1

--- IP (rmnet0) fe80::2d72:9926:901f:a749%rmnet0

--- IP (rmnet0) 10.21.32.170

--- Connection: HSPA

 

PING www.nas-forum.com (5.196.244.24) 56(84) bytes of data.

 

--- www.nas-forum.com ping statistics ---

16 packets transmitted, 0 received, 100% packet loss, time 15012ms

[gaetan.cambier]

le forward ne semble pas passer au nuveau du nas

 

faudrait verifier en ssh la commande suivante

cat /proc/sys/net/ipv4/ip_forward

 

[Fenrir]

Si la commande de @gaetan.cambier renvoi 0, relance le paquet vpn sur le syno et refais la commande.

Si c'est toujours à 0, force manuellement :

echo 1 > /proc/sys/net/ipv4/ip_forward

[Adrien7]

Bonjour ,

login as: *************
**********@192.168.1.48's password:

BusyBox v1.16.1 (2015-06-29 18:21:51 CST) built-in shell (ash)
Enter 'help' for a list of built-in commands.

Adrien-serveur> cat /proc/sys/net/ipv4/ip_forward
1
Adrien-serveur> login as: *********
login: must be suid to work properly
Adrien-serveur> **********@192.168.1.48's password:
>
>
> BusyBox v1.16.1 (2015-06-29 18:21:51 CST) built-in shell (ash)
> Enter 'help' for a list of built-in commands.
>
> Adrien-serveur> cat /proc/sys/net/ipv4/ip_forward
> 1
> Adrien-serveur>

Cela renvoi donc bien 1.

SI je stop le paquet et que je le relance, cela renvoi toujours 1.