Configurer un connexion VPN OpenVPN via le client Synology

[lucduke]

Bonsoir à tous,

Hébergeant sur un serveur privé (VPS) un serveur VPN, j'ai souhaité pouvoir configurer une connexion sur mon Synology afin d'en profiter. Ayant pas mal galéré pour la faire fonctionner, j'ai souhaité partager mon expérience.

1- Pour le setup de la connexion (DSM 5.2), je suis allé dans "Panneau de configuration / Reseau / Interface réseau / Créer un profil VPN

2- Sélectionner le profil openVPN

3- Configurer la connexion avec les paramètres de l’utilisateur déclaré sur le serveur VPN.

NB : dans « Certificat », chargé le certificat de l’autorité de certification OpenVPN. Ce dernier se trouve dans le fichier « client.ovpn » téléchargeable via l’interface web de son serveur VPN (en se connectant avec le user/mdp de l’utilisateur qui sera utilisé pour la connexion via le Synology). Le certificat se trouve entre les balises <ca> et </ca>. Faire un copier / coller à partir de la ligne BEGIN CERTIFICATE jusqu’à la ligne END CERTIFICATE incluse et enregistrer le tout dans un fichier ca.crt

4- Cliquer sur suivant et dans la fenêtre suivante, cocher toutes les cases

5- Se connecter en SSH (root) sur son Synology et executer la commande suivante

cd /usr/syno/etc/synovpnclient/openvpn

6- Editer avec vi le fichier client_***** qui contient les paramètres de connexion à éditer

A la fin du fichier, ajouter les lignes suivantes et sauvegarder

#ajout
ns-cert-type server
cert user.crt
key user.key
tls-auth tls.key 1
log openvpn.log
up /usr/syno/etc/synovpnclient/openvpn/maj_iptables_tun0.sh
#fin ajout

7- Créer avec vi le fichier user.crt (il s’agit du certificat correspondant au user utiliser. On le trouve entre les balises <cert> et </cert>)

8- Créer avec vi le fichier user.key (c’est la clé privée disponible entre les balises <key> et </key>

9- Créer avec vi le fichier tls.key (clé de chiffrement du tunnel je pense. Disponible entre les balises <tls-auth> et </tls-auth>

10- Créer avec vi le script maj_iptables_tun0.sh pour sécuriser l’interface tun0 ouverte une fois la connection VPN établie (cf. http://www.nas-forum.com/forum/topic/28874-vpn-installer-vpntunnelse-sur-son-synology/?page=1)

#!/bin/sh
#
iptables="/sbin/iptables"

### Ouverture ports entrant pour Download Station  ###
iptables -A INPUT -i tun0 -p tcp --destination-port 5000 -j ACCEPT

### On interdit tout autre port entrant ###
iptables -A INPUT -i tun0 -p tcp -j DROP
iptables -A INPUT -i tun0 -p udp -j DROP
iptables -A INPUT -i tun0 -p icmp -j DROP

NB : rendre ce script exécutable via la commande chmod +x maj_iptables_tun0.sh

11- Créer le fichier de log (pratique pour diagnostiquer un problème)
touch openvpn.log

En espérant que ces informations vous aideront

Christophe

[Fenrir]

Merci pour le tuto, ça en aidera peut être certains utilisateurs

Quelques remarques tout de même :

Il y a 3 heures, lucduke a dit :

4- Cliquer sur suivant et dans la fenêtre suivante, cocher toutes les cases

En cochant la 3ème case, tu transformes ton synology en routeur

Il y a 3 heures, lucduke a dit :

6- Editer avec vi le fichier client_***** qui contient les paramètres de connexion à éditer

Les modifications manuelles des fichiers de conf ne sont pas toujours conservées en cas de mise à jour ou de modification de conf via l'interface

Il y a 3 heures, lucduke a dit :

### Ouverture ports entrant pour Download Station  ###

iptables -A INPUT -i tun0 -p tcp --destination-port 5000 -j ACCEPT

Avec le port 5000 ce n'est pas uniquement DownloadStation que tu autorises, mais aussi et surtout DSM (donc la gestion complète du nas).

Si tu veux limiter à DS, utilise haproxy sur un port particulier (ex : :5999 -> :5000/download) et n’autorise que ce port

Il y a 3 heures, lucduke a dit :

### On interdit tout autre port entrant ###
iptables -A INPUT -i tun0 -p tcp -j DROP
iptables -A INPUT -i tun0 -p udp -j DROP
iptables -A INPUT -i tun0 -p icmp -j DROP

Tu peux remplacer ces 3 lignes, qui ne bloquent pas tous les protocoles mais juste les plus courants (il manque par exemple tout ce qui est ipsec), par une seule :

iptables -A INPUT -i tun0 -p all -j DROP

mais si on veut tout bloquer, il est plus efficace d'utiliser directement : iptables -A INPUT -i tun0 -j DROP

sans oublier que comme ton syno est maintenant un routeur, il faut aussi travailler la chain FORWARD ...

-----

ps : bonne année

[lucduke]

Merci pour tes conseils. N'ayant pas besoin d'utiliser mon syno comme routeur, j'ai décoché la 3ème case.

[DxOp]

Bonjour à vous,

J'ai suivi les conseils ici présent pour configurer mon OpenVPN sur mon NAS, tous fonctionne, sauf que je n'arrive plus à m'y connecter en passant par mon IP ISP et le probleme c'est que l'ip de mon VPN est dynamique...

 

Auriez vous une manip pour bypasser ce problème ?

 

Merci !

[Yoghey]

Merci Mille Fois LucDuke!

Voilà plusieurs tentatives veines enfin récompensées grâce à ton Post!

Tout fonctionne aux petits oignons,

Merci encore,