Aller au contenu

[TUTO] VPN Server


Fenrir

Messages recommandés

Bonjour,

Je ne souhaite pas, dans le pare-feu du NAS, ouvrir tous les ports pour les IP locales.

Ainsi, je souhaiterais savoir quel port ouvrir exactement pour autoriser le trafic VPN? (C'est à direquel port ouvrir dans le pare-feu du NAS pour accéder à Internet depuis mon client connecté sur le VPN Server de mon NAS)

 

Merci d'avance.

Lien vers le commentaire
Partager sur d’autres sites

@Stixen92,

Hello,

Bah ce que tu veux faire n'est pas clair du tout... ça manque un peu de détails et/ou précisions pour te répondre...

Le VPN est-il déjà opérationnel?

Si oui, quel type de configuration?

Ensuite, quel est le but recherché?

A l'origine, un VPN ne sert pas rediriger le trafic internet, mais à interconnecter 2 réseaux distants par une interconnexion "privée".

Le comportement par défaut d'OpenVPN par exemple est de rediriger le trafic réseau local dans le VPN et laisse sortir le trafic Internet par le chemin habituel.

Si tu souhaites forcer ton client distant à rediriger tout le trafic, il va falloir le paramétrer.

Donc, en bref, il faut que tu expliques ce que tu veux faire et ce que tu as déjà fait.

 

Lien vers le commentaire
Partager sur d’autres sites

Salut @oli.oli

En fait je souhaite utiliser VPN Server pour accéder à DSM  et mes fichiers en toute sécurité depuis l'extérieur.

J'ai déjà configuré le VPN Server. J'utilise le protocole OpenVPN et cela marche bien. J'accède même à Internet sans problème (j'ai configuré le fichier .ovpn pour rediriger tout mon trafic via le VPN).

Lorsqu'on est connecté au VPN, notre périphérique client obtient une adresse IP locale (10.0.X.X).

Fenrir dans son tuto, autorise dans le pare-feu DSM, pour les IP locales (dont 10.0.X.X), l'accès à tous les ports.

Ce que je ne souhaite pas. Je souhaiterais, pour les IP locales, ouvrir uniquement les ports nécessaires.

Le hic c'est que quand j'ouvre, pour les IP locales, que les ports dits"nécessaires" , je suis bien connecté au VPN mais je n'arrive plus à accéder à Internet celui-ci..

Si j'autorise de nouveau tous les ports  pour les IP locales dans le pare-feu DSM, je peux de nouveaux accéder à Internet à travers le VPN.

Mais comme je l'ai dit plus haut, je ne souhaite pas ouvrir tous les ports pour les IP locales.

Donc, c'est pour cela que je souhaite savoir quel port autoriser pour les IP locales, dans le pare-feu DSM, afin que je puisse accéder à Internet depuis le VPN.

 

Merci.

 

Lien vers le commentaire
Partager sur d’autres sites

Je ne comprends pas très bien pourquoi tu veux filtrer les connexions sortantes pour les IP locales, mais bon...

Si tu veux accéder à Internet, tu ouvres les ports 443 et 80.

Après, il faut faire de même pour tous les services que tu voudras utiliser (mail, FTP, NTP, etc...).

Lien vers le commentaire
Partager sur d’autres sites

Merci.

Inutile de filtrer les ports pour les IP locales? C'est à dire?

.

Mais ouvrir son port 80 n'est pas dangereux? J'ai vu que Fenrir disait qu'il fallait le laisser ouvert uniquement pour les IP des USA (renouvellement certificat Let's Encrypt).

Du coup c'est ce que j'ai fait et maintenant la redirection HTTPS ne marche plus sur les sites hébergés sur mon NAS. Du coup, je coince (voir mon dernier message):

 

Modifié par Stixen92
Lien vers le commentaire
Partager sur d’autres sites

il y a 20 minutes, Stixen92 a dit :

Fenrir dans son tuto, autorise dans le pare-feu DSM, pour les IP locales (dont 10.0.X.X), l'accès à tous les ports.

Ce que je ne souhaite pas. Je souhaiterais, pour les IP locales, ouvrir uniquement les ports nécessaires.

Tu as choisi d'empêcher des IP locales pour sortir sur Internet pour je ne sais quelle raison (que je respecte, mais que je ne comprends pas car tu ne l'expliques pas), du coup, c'est normal que tu aies ensuite à ouvrir port par port pour les services auxquels tu veux accéder.

En général, on protège son réseau en filtrant les ports entrants mais en laissant ouvert les ports sortants.

Le blocage des ports sortants répond à des besoins de sécurité bien spécifiques

Lien vers le commentaire
Partager sur d’autres sites

Je n'utilise pas le pare-feu sur le NAS car je n'en ai pas l'utilité, du coup, je ne connais pas très bien le fonctionnement du pare-feu Synology.

Si tu veux, tu peux m'envoyer en MP une capture d'écran de tes règles pour que je te dise quoi faire.

Mais en gros, tu mélanges les flux entrants et les flux sortants.

Donc, si tu héberges des sites Web, ta conf est un peu déroutante...

De ce que tu expliques, tu autorises Internet à accéder à ton NAS mais tu refuses les machines "sûres" sur ton réseau à aller sur Internet.

 

Pour l'autre topic, je l'ai lu et je n'ai pas compris ce que tu voulais faire.

Je suis en IP dynamique chez OVH également, et je n'ai pas les problèmes que tu rencontres avec une configuration qui me semble plus simple (pas de DNS local par exemple ou de rewrite rules).

Il y a des choses que tu ne dis pas (simplement par oubli je pense) qui ne facilitent pas la compréhension et donc les réponses à tes questions.

 

A qui sont destinés tes sites Web et comment tes utilisateurs y accèdent-ils?

Lien vers le commentaire
Partager sur d’autres sites

J'aimerais bien que tu m'éclaires sur les flux entrants et sortants, car effectivement je m'y perds!

 

 

Je n'utilise pas de DNS local non plus.

En fait je souhaite que l'on accède à mes sites web en HTTPS mais sans avoir à taper à chaque fois HTTPS dans la barre d'adresse.

Jusqu'à hier cela marchait, notamment grâce au fichier .htaccess qui redirigeait le HTTP vers le HTTPS.  Il suffisait de taper pomme75.net pour être redirigé immédiatement vers https://www.pomme75.net

J'ai suivi l'un des tutos de Fenrir et depuis que j'ai autorisé l'accès au port 80 uniquement aux IP des USA (pour le renouvellement de mon certificat SSL), cela ne marche plus.

Normal puisque le port 80 apparaît dans le fichier .htaccess..

 

Donc je cherche une solution pour que l'on puisse accéder à mes site web en HTTPS sans avoir besoin de taper HTTPS à chaque fois et tout en laissant le port 80 accessible uniquement depuis les IP des USA.

 

J'espère que j'ai été clair dans mes explications.

 

Merci.

 

Lien vers le commentaire
Partager sur d’autres sites

C'est un peu hors sujet par rapport au VPN...

Tu as la réponse à ta question dans tes explications je pense...

Si tu n'autorises que le port 80 aux IPs des USA, bah il n'y a que ceux qui sont aux USA qui peuvent accéder à ton site Web...

Le NAS ne fait que ce que tu lui demandes.

Il faut que tu ajoutes les IP des zones géographiques que tu utilises dans le lot, ça marchera tout de suite mieux! :razz:

Lien vers le commentaire
Partager sur d’autres sites

Les adresses actuelles Let's Encrypt sont connues.

Il s'agit de 66.133.109.36 et 64.78.149.164. Il suffit de mettre deux règles d'accès permanent au port 80 pour ces adresses et c'est bon.

Attention toutefois, ces adresses ne sont pas figées dans le marbre et peuvent très bien être modifiées par LE. Il faut donc vérifier périodiquement que les renouvellements s'effectuent bien.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous !

J'ai installé VPN Server + OpenVPN.

Tout fonctionne nickel, et j'ai bien accès a mon NAS à distance sur l'adresse 10.8.0.1.

J'ai en parralèle installé Synology Virtual Machine Manager avec une machine virtuelle windows. J'ai accès a ma VM en interne sur adresse 192.168.0.33.

Je voulais savoir comment je pouvais trouver l'adresse de la VM quand je suis connecté au VPN depuis l'extérieur? J'ai beau chercher, je ne trouve pas :'(.

Merci par avance!

Pierre

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

J'utilise VPN Server (protocole OpenVPN)  mais je rencontre un problème lorsque je me connecte depuis un PC sous Windows.

En effet, j'ai configuré le fichier .ovpn de telle sorte que tout mon trafic passe par le VPN et pour que les adresses DNSutilisées soient celle de l'Association Gitoyen (FDN).

Lorsque je me connecte depuis un smartphone Android, tout marche super bien. Sur le site "ipleak.net", je vois bien l'adresse IP Publique de ma  box et les 2 adresses DNS de l'Association Gitoyen.

Par contre, lorsque je me connecte depuis mon PC sous Windows, je vois bien, sur "ipleak.net", l'adresse IP Publique de ma box, les 2 adresses DNS de l'Association Gitoyen et... les adresses DNS de SFR Mobile! (Je me connecte au VPN Server depuis mon PC en utilisant la 4G SFR).

Confirmé en faisant un test sur le site DNSLeak.

Comment remédier à ce problème de fuite de DNS qui apparaît uniquement sous Windows?

 

Merci d'avance.

Lien vers le commentaire
Partager sur d’autres sites

Salut @Fenrir

J'ai réglé le problème en ajoutant cette ligne dans mon fichier .ovpn:

block-outside-dns

 

 

 

Par contre, j'ai un autre souci. Lorsque je me connecte, j'ai systématiquement ce message d'erreur dans le log d'OpenVPN:

"this configuration may cache passwords in memory -- use the auth-nocache option to prevent this. "

 

J'ai bien inséré la ligne "auth-nocache" dans mon fichier .ovpn mais le problème persiste, une solution?

 

 

Et, j'ai une  dernière question.

Lorsque je fais un traceroute sur Windows, vers www.gooogle.fr, par exemple, tout en étant connecté au VPN Server de mon NAS, j'obtiens un chemin de ce style:

10.0.8.2 (IP privée avec laquelle je suis connecté au VPN Server du NAS)

192.168.1.10 (IP privée de ma Livebox).

80.XX.XXX.XXX (IP du serveur DNS d'Orange)

Etc...

J'ai pas l'impression en voyant ce traceroute que cela passe par mon VPN...

 

Merci.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 4 heures, Stixen92 a dit :

"this configuration may cache passwords in memory -- use the auth-nocache option to prevent this. "

ce n'est pas une erreur mais un Warning, tu n'as pas le choix si tu veux une reconnexion automatique en mode login/pass

Il y a 4 heures, Stixen92 a dit :

Et, j'ai une  dernière question.

Ton VPN est entre ton poste et ton NAS, pas plus loin

Lien vers le commentaire
Partager sur d’autres sites

@Fenrir

 

 

Citation

ce n'est pas une erreur mais un Warning, tu n'as pas le choix si tu veux une reconnexion automatique en mode login/pass

Et comment changer cela?

 

Citation

Ton VPN est entre ton poste et ton NAS, pas plus loin

Pourtant on ne voit rien dans le traceroute. Pas de trace du VPN. On passe de l'IP privée 10.0.8.2  à l'IP privée de ma Livebox...

 

 

Mais sinon, pas compris l'intérêt du VPN en général si les données entre le VPN et le serveur que l'on essaie de joindre sont "en clair"?

Modifié par Stixen92
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.