Adrien7 Posté(e) le 11 août 2015 Partager Posté(e) le 11 août 2015 Bonjour à tous, Je vous sollicite ayant un problème pour créer un VPN permanent entre mon téléphone Android (Cyanogenmod 11) et mon Nas synology. Le VPN est configuré via le protocole L2TP/IPsec. J'arrive sans problème à connecter mon téléphone avec une "connexion classique". Par contre lorsque je cherche à mettre cette configuration en VPN permanent, je n'y arrive pas. La différence entre les deux est que pour le VPN permanent une adresse IP de serveurs DNS est requise. C'est à partir de là que mes compétences techniques deviennent insuffisantes. Mes questions : Quel est l'intérêt de renseigner une adresse de serveurs DNS pour mon VPN ? Pourquoi ne suis-je pas obligé de la renseigner lorsque mon VPN n'est pas permanent ? Quelle adresse dois-je mettre dans ce champs ? Merci de vos éclairages sur le sujet Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 11 août 2015 Partager Posté(e) le 11 août 2015 Quel est l'intérêt de renseigner une adresse de serveurs DNS pour mon VPN ? Pouvoir résoudre des noms en IP, comme avec tout DNS Pourquoi ne suis-je pas obligé de la renseigner lorsque mon VPN n'est pas permanent ? Parce que dans sa grande mansuétude, la première régie publicitaire de la planète (Google) pré-configure automatiquement ses propres DNS, comme ça c'est plus facile pour l'utilisateur (et pour eux ...) Quelle adresse dois-je mettre dans ce champs ? Les adresses de serveurs DNS dans lesquels tu as confiance, je n'ai pas d'adresse à te donner (j'utilise mes propres serveurs), mais une petite recherche sur le net devrait suffire. Tu peux aussi utiliser le serveur DNS du synology, mais dans ce cas configure correctement les "forwarders" (ou n'en configure pas et interroge les registres) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Adrien7 Posté(e) le 12 août 2015 Auteur Partager Posté(e) le 12 août 2015 Bonjour Fenrir, D'abord, merci pour tes réponses. Je pensais que le VPN allait prendre par défaut le DNS du serveur sur lequel il était paramétré d'où ma question sur son intérêt. Je suis en train de me renseigner pour utiliser le serveur DNS du synology mais n'ayant pas encore eu le temps pour l'instant je suis allé au plus simple en configurant les DNS de Google. J'ai re-testé ce matin, je me connecte bien à mon VPN (en classique et en permanent) par contre je n'arrive pas à avoir accès à un site via navigateur (par ip ou par nom de domaine). Ce que j'arrivais à faire en classique mais pas en permanent. J'ai configuré mon accès VPN sur android comme celà : Nom : Adrien7 Type : L2TP/IPSec PSK Adresse du serveur : l'adresse IP de mon syno Secret L2TP : Vide Identifiant Ipsec : Vide Clé prépartagée IPSec : la clé partagé de mon VPN Domaines de recherche DNS : vide Serveurs DNS : 8.8.8.8 Itinéraire de transfert : Vide Et je me connecte avec mon nom d'utilisateur DSM et mon mot de passe. Utilisateur préalablement autorisé à utiliser le VPN. Les ports ouverts de ma box en UDP : 500 1701 4500. (Par ailleurs pourquoi a-t-on besoin de trois ports ouverts ?) Aurais-tu une idée de pourquoi je n'arrive pas à accéder à un site ? J'ai vu qu'il y avait un problème dans Android 4.4 sur le VPN permanent : http://phandroid.com/2013/11/12/android-kitkat-vpn-bug/ Cependant il semble y avoir une appli pour fixer ce bug (il faut être root) : https://play.google.com/store/apps/details?id=ru.microlana.android.alwaysonvpnfix Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 12 août 2015 Partager Posté(e) le 12 août 2015 Pour les ports c'est bon (500 pour l'échange de clefs, 4500 pour traverser les nat, 1701 pour le L2TP). Pour ton problème, je dirai qu'il te manque des routes (au moins une) quelque part : si tu veux que tout le trafic passe par le vpn, il faut peut être configurer des routes de retour sur ton routeur internet si tu ne veux que certains réseaux : adresse.du.réseau.cible/masque Lien vers le commentaire Partager sur d’autres sites More sharing options...
Adrien7 Posté(e) le 12 août 2015 Auteur Partager Posté(e) le 12 août 2015 Effectivement, merci, En configurant l'itinéraire de transfert comme cela : 192.168.1.0/24, cela fonctionne en VPN "classique". Je vais me renseigner sur la raison parce que c'est encore assez flou pour moi. Par contre en permanent toujours impossible de le faire fonctionner, je me connecte bien au VPN cependant lorsque j'essaye d'accéder à un site (ou à une adresse IP) celui-ci ne se charge pas. De même si je lui applique le fix de alwaysonvpnfix en root. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 12 août 2015 Partager Posté(e) le 12 août 2015 c'est du routage. Pour aller d'un réseau A à un réseau B, on passe par un routeur, typiquement la passerelle par défaut sous windows Ce routeur doit donc connaitre A et B, chez toi il connait probablement ton ton réseau local (un truc du genre 192.168.0.0/24) et le reste du monde (0.0.0.0/0) Ton vpn te configure probablement une adresse en 10...., inconnue de ton routeur Il faut donc lui indiquer que pour contacter 10.*, il doit passer par ton serveur vpn Ça c'est la théorie, dans la pratique ça dépend de si le synology nat le trafic vpn ou non (s'il nat, rien à faire sur ton routeur, sinon il faut ajouter une route), je ne me rappelle plus de ce que fait le syno. edit : pour le dns tu peux utiliser ta box (l'ip privée) pas besoin d'ajouter de route sur ton routeur, le synlogy NAT le trafic du vpn =>pas d'itinéraire à ajouter dans la conf du téléphone Je viens de tester (android 5.1.1 non rooté), ça fonctionne Lien vers le commentaire Partager sur d’autres sites More sharing options...
Adrien7 Posté(e) le 12 août 2015 Auteur Partager Posté(e) le 12 août 2015 Merci de tes précisions ça me donne des billes pour bien étudier le fonctionnement. Je vais approfondir la notion de nat que je ne connais que très peu. Du coup mon VPN est configuré comme ça (DSM 5.2) : Adresse IP dynamique : 10.2.0.0 Nombre de connexions max : 5 Avec le même compte : 10 Authentification : MS-CHAP v2 MTU : 1400 DNS : Automatique En fait c'est les paramètres par défaut proposés par le NAS. J'ai modifié ma conf Android comme ça : Nom : Adrien7 Type : L2TP/IPSec PSK Adresse du serveur : l'adresse IP de mon syno Secret L2TP : Vide Identifiant Ipsec : Vide Clé prépartagée IPSec : la clé partagé de mon VPN Domaines de recherche DNS : vide Serveurs DNS : 8.8.8.8 Itinéraire de transfert : 10.2.0.0/24 Et j'ai toujours ce problème d'accès réseau en VPN permanent...Est-ce que ma configuration te parait fausse ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 12 août 2015 Partager Posté(e) le 12 août 2015 Ta configuration ne peut pas fonctionner : vpn permanent = seul le trafic qui passe par le vpn est autorisé Itinéraire de transfert : 10.2.0.0/24 => tu n’envoie dans le vpn QUE le trafic à destination de 10.2.0.0/24 Serveurs DNS : 8.8.8.8 => 8.8.8.8 n'est pas dans le réseau 10.2.0.0/24 Modifie comme suit : Nom : Adrien7 Type : L2TP/IPSec PSK Adresse du serveur : l'adresse IP de mon syno Secret L2TP : Vide Identifiant Ipsec : Vide Clé prépartagée IPSec : la clé partagé de mon VPN Domaines de recherche DNS : vide Serveurs DNS : adresse.ip.ta.box Itinéraire de transfert : rien J'ai fais mon test avec la même configuration que toi (sauf dns et route), ça fonctionne. Pour le nat, en version simplifiée : le routeur (ici le synology) remplace les ip qui arrivent via le vpn par sa propre ip avant d'envoyer le trafic au reste du réseau =>vu de chez toi, ton téléphone à l'ip de ton synology Puis pour aller vers Internet, ta box fait la même chose (tes ip en 192.168.xxx.xxx sont remplacées par l'IP public) Plus en détail ça passe généralement par de la translation* de port (pat*) et des tables de sessions, on peut aussi faire du snat* ou du dnat* (voir les 2) *les mots clefs à rechercher Lien vers le commentaire Partager sur d’autres sites More sharing options...
Adrien7 Posté(e) le 13 août 2015 Auteur Partager Posté(e) le 13 août 2015 Ta configuration ne peut pas fonctionner : vpn permanent = seul le trafic qui passe par le vpn est autorisé Itinéraire de transfert : 10.2.0.0/24 => tu n’envoie dans le vpn QUE le trafic à destination de 10.2.0.0/24 Serveurs DNS : 8.8.8.8 => 8.8.8.8 n'est pas dans le réseau 10.2.0.0/24 Effectivement c'est plus clair. Pour le nat, en version simplifiée : le routeur (ici le synology) remplace les ip qui arrivent via le vpn par sa propre ip avant d'envoyer le trafic au reste du réseau =>vu de chez toi, ton téléphone à l'ip de ton synology Puis pour aller vers Internet, ta box fait la même chose (tes ip en 192.168.xxx.xxx sont remplacées par l'IP public) Par exemple en simplifié : J'ai une requette passant par VPN venant de mon téléphone avec un IP ex 11.11.11.11 vers synology.com Cela envoi cela à ma box (IP 22.22.22.22) qui route la requette vers mon syno grâçe à la redirection de port. Cela arrive sur mon syno qui lui remplace 11.11.11.11 par son adresse Ip locale 192.168.1.48. de là mon syno 192.168.1.48 renvoi la requette vers mon routeur 192.168.1.254. Le routeur envoi la requette vers le serveur dns paramétré, ici ma box donc 192.165.1.254, qui elle même envoi vers le serveur DNS de mon FAI avec l'IP 22.22.22.22. De là j'accède à synology.com. Ai-je bien compris ? J'imagine que non car le VPN possède un autre réseau local 10.2.0.0/24. A quoi ce réseau sert-il ? Comment les requettes y sont routées ? Sinon j'ai modifié ma config de cette façon : Nom : Adrien7 Type : L2TP/IPSec PSK Adresse du serveur : l'adresse IP de mon syno Secret L2TP : Vide Identifiant Ipsec : Vide Clé prépartagée IPSec : la clé partagé de mon VPN Domaines de recherche DNS : vide Serveurs DNS : 192.168.1.254 Itinéraire de transfert : rien Et je n'accède toujours pas à synology.com en VPN permanent pourtant des paquets sont bien échangés entre mon téléphone et mon VPN. Merci de ton aide précieuse! Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 13 août 2015 Partager Posté(e) le 13 août 2015 Pour debuguer le problème, il serait utile de faire des ping depuis Android vers les adresse IP pour voir ou ça déconne, il y a plein d'app pour le faire Lien vers le commentaire Partager sur d’autres sites More sharing options...
Adrien7 Posté(e) le 13 août 2015 Auteur Partager Posté(e) le 13 août 2015 Bonjour, Voici le résultat du ping vers google.fr que j'ai fait à partir de l'application Ping & DNS : De manière classique sans VPN --- 13 août 2015 13:48:12 --- IP (rmnet0) fe80::2d72:9926:901f:a749%rmnet0 --- IP (rmnet0) 10.21.32.170 --- Connection: HSPA PING google.fr (74.125.71.94) 56(84) bytes of data. 64 bytes from wn-in-f94.1e100.net (74.125.71.94): icmp_seq=1 ttl=43 time=256 ms 64 bytes from wn-in-f94.1e100.net (74.125.71.94): icmp_seq=2 ttl=43 time=304 ms 64 bytes from wn-in-f94.1e100.net (74.125.71.94): icmp_seq=3 ttl=43 time=330 ms --- google.fr ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2006ms min = 256.964 ms avg = 297.432 ms max = 330.598 ms mdev = 30.501 ms Avec Vpn Permanent : --- 13 août 2015 13:49:03--- IP (ppp0) 10.2.0.1--- IP (rmnet0) fe80::2d72:9926:901f:a749%rmnet0--- IP (rmnet0) 10.21.32.170--- Connection: HSPA PING google.fr (216.58.208.227) 56(84) bytes of data. --- google.fr ping statistics ---16 packets transmitted, 0 received, 100% packet loss, time 15046ms Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 13 août 2015 Partager Posté(e) le 13 août 2015 maintenant, faut tester : l'ip de ton nas en 192.168.*.* et l'ip d'une autre machine sur ton reseau local (l'ip locale de ton routeur peux faire l'affaire) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Adrien7 Posté(e) le 13 août 2015 Auteur Partager Posté(e) le 13 août 2015 Apparemment je n'ai accès à rien: NAS : --- 13 août 2015 13:59:19--- IP (ppp0) 10.2.0.1--- IP (rmnet0) fe80::2d72:9926:901f:a749%rmnet0--- IP (rmnet0) 10.21.32.170--- Connection: HSPA PING 192.168.1.48 (192.168.1.48) 56(84) bytes of data.From 10.21.32.170: icmp_seq=1 Destination Port Unreachable --- 192.168.1.48 ping statistics ---0 packets transmitted, 0 received, +1 errors Routeur : --- 13 août 2015 14:00:14--- IP (rmnet0) fe80::2d72:9926:901f:a749%rmnet0--- IP (rmnet0) 10.21.32.170--- Connection: HSPA PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data.From 10.21.32.170: icmp_seq=1 Destination Port Unreachable --- 192.168.1.254 ping statistics ---0 packets transmitted, 0 received, +1 errors Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 13 août 2015 Partager Posté(e) le 13 août 2015 tu peux le faire avec un vpn non permanent, pour voir les difference (juste decocher vpn permanent et laisser les meme paramètres vpn)? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Adrien7 Posté(e) le 13 août 2015 Auteur Partager Posté(e) le 13 août 2015 Avec cette configuration, le VPN "classique" ne renvoi rien non plus : Google : --- 13 août 2015 15:26:58 --- IP (ppp0) 10.2.0.1 --- IP (rmnet0) fe80::2d72:9926:901f:a749%rmnet0 --- IP (rmnet0) 10.21.32.170 --- Connection: HSPA PING google.fr (216.58.208.195) 56(84) bytes of data. --- google.fr ping statistics --- 16 packets transmitted, 0 received, 100% packet loss, time 15025ms Mon Nas : --- 13 août 2015 15:28:05 --- IP (ppp0) 10.2.0.1 --- IP (rmnet0) fe80::2d72:9926:901f:a749%rmnet0 --- IP (rmnet0) 10.21.32.170 --- Connection: HSPA+ PING 192.168.1.48 (192.168.1.48) 56(84) bytes of data. --- 192.168.1.48 ping statistics --- 16 packets transmitted, 0 received, 100% packet loss, time 15043ms Mon routeur : --- 13 août 2015 15:28:56 --- IP (ppp0) 10.2.0.1 --- IP (rmnet0) fe80::2d72:9926:901f:a749%rmnet0 --- IP (rmnet0) 10.21.32.170 --- Connection: HSPA+ PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data. --- 192.168.1.254 ping statistics --- 16 packets transmitted, 0 received, 100% packet loss, time 15044ms Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 13 août 2015 Partager Posté(e) le 13 août 2015 Sinon j'ai modifié ma config de cette façon : Nom : Adrien7Type : L2TP/IPSec PSKAdresse du serveur : l'adresse IP de mon synoSecret L2TP : VideIdentifiant Ipsec : VideClé prépartagée IPSec : la clé partagé de mon VPNDomaines de recherche DNS : videServeurs DNS : 192.168.1.254Itinéraire de transfert : rien tu note "l'adresse ip de mon syno", c'est bien ton adresse publique que tu met ? celle que l'on trouve avec le service : https://www.whatismyip.com/ depuis ton reseau local Lien vers le commentaire Partager sur d’autres sites More sharing options...
Adrien7 Posté(e) le 13 août 2015 Auteur Partager Posté(e) le 13 août 2015 Oui c'est bien l'adresse IPV4 de ma box du type 88.*.*.* Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 13 août 2015 Partager Posté(e) le 13 août 2015 il y a un blocage quelque part passe à la commande tracert / traceroute de ton gsm vers ses meme ip avec ton vpn non permanent Lien vers le commentaire Partager sur d’autres sites More sharing options...
Adrien7 Posté(e) le 13 août 2015 Auteur Partager Posté(e) le 13 août 2015 Ca me donne ca pour un traceroute vers google.fr : --- 13 août 2015 17:41:11 --- IP (ppp0) 10.2.0.1 --- IP (rmnet0) fe80::2d72:9926:901f:a749%rmnet0 --- IP (rmnet0) 10.21.32.170 --- Connection: HSPA Trace to google.fr Host name doesn't have A or AAAA records - giving up Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 13 août 2015 Partager Posté(e) le 13 août 2015 il trouve pas l'ip, utilise "8.8.8.8" à la place pour faire le traceroute Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 13 août 2015 Partager Posté(e) le 13 août 2015 essaye de couper le firewall du syno puis fais les tests suivants ping 10.2.0.0 ping 192.168.1.48 ping 192.168.1.254 ping 5.196.244.24 ping www.nas-forum.com Lien vers le commentaire Partager sur d’autres sites More sharing options...
Adrien7 Posté(e) le 13 août 2015 Auteur Partager Posté(e) le 13 août 2015 @ gaetan.cambier Voici le traceroute pour www.google.fr avec en serveur DNS 8.8.8.8 --- 13 août 2015 18:24:48 --- IP (ppp0) 10.2.0.1 --- IP (rmnet0) fe80::2d72:9926:901f:a749%rmnet0 --- IP (rmnet0) 10.21.32.170 --- Connection: HSPA Trace to www.google.fr Host name doesn't have A or AAAA records - giving up @ Fenrir En remettant en serveur DNS 192.168.1.254, en coupant le firewall 10.2.0.0 --- 13 août 2015 18:27:03 --- IP (ppp0) 10.2.0.1 --- IP (rmnet0) fe80::2d72:9926:901f:a749%rmnet0 --- IP (rmnet0) 10.21.32.170 --- Connection: HSPA PING 10.2.0.0 (10.2.0.0) 56(84) bytes of data. 64 bytes from 10.2.0.0: icmp_seq=5 ttl=64 time=620 ms 64 bytes from 10.2.0.0: icmp_seq=6 ttl=64 time=389 ms 64 bytes from 10.2.0.0: icmp_seq=7 ttl=64 time=1655 ms --- 10.2.0.0 ping statistics --- 8 packets transmitted, 3 received, 62% packet loss, time 7029ms min = 389.079 ms, pipe 2 avg = 888.306 ms, pipe 2 max = 1655.289 ms, pipe 2 mdev = 550.510 ms, pipe 2 192.168.1.48 : --- 13 août 2015 18:30:52 --- IP (ppp0) 10.2.0.1 --- IP (rmnet0) fe80::2d72:9926:901f:a749%rmnet0 --- IP (rmnet0) 10.21.32.170 --- Connection: HSPA PING 192.168.1.48 (192.168.1.48) 56(84) bytes of data. --- 192.168.1.48 ping statistics --- 16 packets transmitted, 0 received, 100% packet loss, time 15058ms 192.168.1.254 : --- 13 août 2015 18:33:41 --- IP (ppp0) 10.2.0.1 --- IP (rmnet0) fe80::2d72:9926:901f:a749%rmnet0 --- IP (rmnet0) 10.21.32.170 --- Connection: HSPA PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data. --- 192.168.1.254 ping statistics --- 16 packets transmitted, 0 received, 100% packet loss, time 15049ms 5.196.244.24 : --- 13 août 2015 18:36:06 --- IP (ppp0) 10.2.0.1 --- IP (rmnet0) fe80::2d72:9926:901f:a749%rmnet0 --- IP (rmnet0) 10.21.32.170 --- Connection: HSPA PING 5.196.244.24 (5.196.244.24) 56(84) bytes of data. --- 5.196.244.24 ping statistics --- 16 packets transmitted, 0 received, 100% packet loss, time 15027ms www.nas-forum.com : --- 13 août 2015 18:38:14 --- IP (ppp0) 10.2.0.1 --- IP (rmnet0) fe80::2d72:9926:901f:a749%rmnet0 --- IP (rmnet0) 10.21.32.170 --- Connection: HSPA PING www.nas-forum.com (5.196.244.24) 56(84) bytes of data. --- www.nas-forum.com ping statistics --- 16 packets transmitted, 0 received, 100% packet loss, time 15012ms Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 13 août 2015 Partager Posté(e) le 13 août 2015 le forward ne semble pas passer au nuveau du nas faudrait verifier en ssh la commande suivante cat /proc/sys/net/ipv4/ip_forward Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 13 août 2015 Partager Posté(e) le 13 août 2015 Si la commande de @gaetan.cambier renvoi 0, relance le paquet vpn sur le syno et refais la commande. Si c'est toujours à 0, force manuellement : echo 1 > /proc/sys/net/ipv4/ip_forward Lien vers le commentaire Partager sur d’autres sites More sharing options...
Adrien7 Posté(e) le 14 août 2015 Auteur Partager Posté(e) le 14 août 2015 Bonjour , login as: ***********************@192.168.1.48's password: BusyBox v1.16.1 (2015-06-29 18:21:51 CST) built-in shell (ash)Enter 'help' for a list of built-in commands. Adrien-serveur> cat /proc/sys/net/ipv4/ip_forward1Adrien-serveur> login as: *********login: must be suid to work properlyAdrien-serveur> **********@192.168.1.48's password:>>> BusyBox v1.16.1 (2015-06-29 18:21:51 CST) built-in shell (ash)> Enter 'help' for a list of built-in commands.>> Adrien-serveur> cat /proc/sys/net/ipv4/ip_forward> 1> Adrien-serveur> Cela renvoi donc bien 1. SI je stop le paquet et que je le relance, cela renvoi toujours 1. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.