Aller au contenu

[TUTO] VPN Server


Fenrir

Messages recommandés

@oracle7

Merci pour ta réponse,

Quand je voulais dire autorisé, je sous entendais le NAT-PAT, je ne connais pas les termes exacts et que fais exactement le NAT/PAT. Cependant, même ici , le VPN ne fonctionnait pas, je ne détectais aucun trafic depuis le NAS (observé en SSH sur les port 500 et 4500). L'IP externe entré correspond à l'adresse IP (statique) du NAS et même avec l'ajout du port 80 et 443, aucun résultat

Par ailleurs, a quoi correspond les port 80 et 443 ?

Capture.JPG

Modifié par huynhkev
Ajout image
Lien vers le commentaire
Partager sur d’autres sites

@huynhkev

Bonjour,

Il y a 19 heures, huynhkev a dit :

Par ailleurs, a quoi correspond les port 80 et 443 ?

Étonnante cette question de ta part, mais bon...

  • Port 80 = port standard du protocole HTTP.
  • Port 443 = port standard du protocole HTTPS.

Dans ta copie d'écran, pour les ports 80 et 443 il faut mettre de préférence le protocole TCP (bien plus fiable) et non pas UDP.

Dans la config du VPN L2TP/IPSec, pour WINdows, il faut aussi positionner une clé de registre, l'as-tu bien fait ? (voir TUTO).

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@oracle7

J'ai bien ajouté la clé de registre (AssumeUDPEncapsulationContextOnSendRule) valeur 2 en héxadécimale,

Je viens aussi de changer les deux ports (80 et 443) en TCP mais le VPN persiste à ne pas fonctionner. Pour tester simuler la connexion, j'utilise la connexion internet de mon téléphone sur mon pc portable (lorsque j'ai le dmz en marche, cela fonctionne bien).

Modifié par huynhkev
Lien vers le commentaire
Partager sur d’autres sites

@huynhkev

Bonjour,

Toujours au titre des vérifications :

  1. Dans ta box le port 1701 n'est pas "NATé", c'est très bien mais ce port est-il bien ouvert dans le pare-feu du NAS ?
     
  2. Ne serais-tu pas par hasard dans le cas cité par @Fenrir à propos des version d'android (voir TUTO au niveau "Configuration des clients" ? Je le cite :
    Le 13/08/2016 à 17:13, Fenrir a dit :

    avec certaines versions d'Android, il faut modifier le fichier /var/packages/VPNCenter/etc/l2tp/ipsec.conf sur le NAS et remplacer sha2_truncbug=no par sha2_truncbug=yes, puis on relance le paquet

    As-tu essayé cette modification ?

  3. Idem pour L2TP dans la partie "Que faire si cela ne marche pas ?", as-tu activé le debug et lancé la commande tcpdump pour voir les messages qui circulent ?

Enfin, as-tu essayé tout simplement de te connecter à partir d'un navigateur directement depuis ton mobile 4G au lieu de passer par le PC portable et le mobile en point d'accès ?

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@oracle7

Pour répondre à cela

1. Le port 1701 est bel est bien ouvert dans le pare-feu du NAS et non "NATÉ" sur la livebox

2. Je n'ai pas testé le VPN avec Android, il ne me sert qu'à utiliser une connexion internet. Lorsque je suis en connexion local, avec DMZ ouvert, je peux me connecter en VPN, mais quand la DMZ est désactivé, je ne peux plus m'y connecter.
Je viens aussi de tester chez quelqu'un d'autre (avec sa connexion de sa propre box), pas de connexion possible lorsque la DMZ est inactive. (le manip sur regedit à bien été faites).

3. En SSH, je perçois un trafic sur les ports 500 et 4500 lorsque la DMZ est active, mais à l'inverse, il n'y a plus rien.

Pour moi, le problème viendrait de la livebox, mais je n'arrive pas à l'identifié, j'ai déjà recommencer le tuto en prenant point par point les instructions.

 

Merci encore pour l'aide

Capture.JPG

Lien vers le commentaire
Partager sur d’autres sites

@huynhkev

Bonjour,

Je pense pas que la Livebox soit en cause. Tu ne l'as pas mise elle-même en DMZ ? et tu n'as a priori pas de routeur autre, derrière elle (du moins tu n'en as pas parlé il me semble) ?

Donc quand tu parles de DMZ, je comprend plutôt que tu as configuré dans DSM, la partie routeur dans "Accès Externe / configuration du routeur", j'ai bon ?

Si c'est bien le cas, alors je me permet de te dire que c'est une très mauvaise idée que tu as eu là. Je pense que tu as dû le lire dans le TUTO sur la sécurisation des accès au NAS et que tu as fait fi de la recommandation de @Fenrir, qui l'a pourtant inscrite en gras rouge et qui déconseillait fortement son usage du fait du trou de sécurité que cela apportait à ton NAS.

Maintenant c'est toi qui vois, mais si j'étais toi, je supprimerai purement et simplement cette configuration du routeur dans DSM (retour aux valeurs par défaut càd rien et aucun routeur de configuré).

A mon humble avis, et sans trop m'avancer, il y a de grandes chances que tes problèmes viennent de là mais je peux aussi me tromper.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@oracle7

Je n'ai rien touché dans configuration du routeur du NAS dans les accès externe, comme dis dans le tuto, ce serait une faille de sécurité du NAS.

Cependant, quand je parle de DMZ, je parle belle et bien de la livebox, il y a un onglet dans réseau qui se nomme simplement "DMZ", j'ai dans un premier temps tester cette option car en fouillant un peu sur le web, j'ai pu voir que certaines personnes ont en effet activé celle ci, mais avant de mettre en œuvre le VPN, je souhaiterais effectivement m'en passer

Lien vers le commentaire
Partager sur d’autres sites

@huynhkev

Bonjour,

Dans ce cas, ne le prends pas mal mais je crains que tu n'ai pas bien compris la finalité de la fonction DMZ de la Livebox. Je vais essayer de t'expliquer.

Lorsque l'on active la DMZ sur la Livebox, je connais bien le sujet car je fonctionne comme cela, c'est :

  1. que l'on ne souhaite plus utiliser la Livebox autrement qu'en Modem,
    ET
  2. que l'on utilise derrière elle un routeur digne de ce nom pour assurer à sa place tout le travail de routage et de sécurisation des accès au réseau local et ce de façon bien plus performante que ne le ferait la Livebox (4 ou 5 = même combat).

Ce processus est largement décrit dans un TUTO que j'ai écrit dans ce sens et à cet usage. Je t'invite à le lire pour mieux comprendre les tenant et aboutissants.

Après, tu sauras à quoi t'en tenir et je pense que tu reprendras ta configuration en conséquences et que cela résolvera ton présent problème.

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

@oracle7

Effectivement, je ne savais pas comment fonctionne le DMZ, pour moi il redirigeait tous les ports vers le NAS, mais j'ignorais ce que ça pouvait impliquer.

Si j'ai bien compris, l'idée est de refaire cette redirection vers un routeur autre au lieu de le pointer directement au NAS. Je reprendrais effectivement ton tuto, mais au départ, l'ajout d'un routeur n'a pas été envisagé, je voulais vraiment simplement utiliser le NAS en serveur VPN sans changement matériel.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, huynhkev a dit :

@oracle7

Effectivement, je ne savais pas comment fonctionne le DMZ, pour moi il redirigeait tous les ports vers le NAS, mais j'ignorais ce que ça pouvait impliquer.

Si j'ai bien compris, l'idée est de refaire cette redirection vers un routeur autre au lieu de le pointer directement au NAS. Je reprendrais effectivement ton tuto, mais au départ, l'ajout d'un routeur n'a pas été envisagé, je voulais vraiment simplement utiliser le NAS en serveur VPN sans changement matériel.

Bonjour,

Je pense que tu avais raison, la fonction DMZ n'est qu'un "ports forwarding par défaut".

Si un routeur reçoit une connexion entrante et ne trouve pas de règle pour un n° de port donné: il transmet à l'adresse IP définie en DMZ.

C'est une zone démilitarisée, aucune protection contre le monde dangereux d’internet...

Lien vers le commentaire
Partager sur d’autres sites

Le 07/10/2020 à 14:21, Juan luis a dit :

Bonjour,

 

Tu peux tenter d'utiliser le server dhcp du nas en mettant l'adresse routeur vers le nas ou en plus simple de configurer en dur dans la VM l'adresse IP et en routeur/ passerelle l'adresse du  Nas.

Effectivement en utilisant un serveur VPN TP-LINK et je me connecte sur le LAN dans la plage du LAN , c'est bien plus simple.

Bonjour @Juan luis

 

L’idée de ton VPN TP-LINK me plait bien, et tu m'as donné une idée:

j'ai configuré la 2eme prise LAN de mon syno sur la même plage d'adresse que la LAN1 soit 192.168.1.X, le syno la acceptée. (rien n'est branché dessus actuellement).

J'ai dans mes carton un NETGEAR Prosafe , j'envisageais de sortir de ma box pour rentrer sur le netgear puis aller à la LAN2 du syno.

Mon syno aurait le même accès internet de ma box sur ses 2 LAN pour le coup, peut-être source d'ennui ???

a partir de la je crée un vpn sur le neatgear ... et ça passe .... ou pas ....

je vais essayer de tester ça ce dimanche.

 

Bonne soirée a vous

 

Lien vers le commentaire
Partager sur d’autres sites

@Odeon1384

Bonjour,

Il y a 12 heures, Odeon1384 a dit :

Mon syno aurait le même accès internet de ma box sur ses 2 LAN pour le coup, peut-être source d'ennui ???

a partir de la je crée un vpn sur le neatgear ... et ça passe .... ou pas ....

Je serai très curieux de lire ton retour suite à cette manipulation ...🤔

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Je ne connais pas ce neatgear . Est ce un switch ou un routeur , un serveur VPN ?

Le TP-LINK que j'utilise est un serveur VPN il permet d'affecter aux clients des adresses IP dans la plage du LAN et surtout de faire du Site to site.

As tu testé en utilisant l'adresse IP du NAS ( et pas  celle de la BOX )en tant que passerelle sur le PC que tu veux joindre à distance via ton serveur VPN ?

Modifié par Juan luis
Lien vers le commentaire
Partager sur d’autres sites

@seb46

Bonjour,

Sans trop m'avancer (mais je peux me tromper), ta connexion WIndows ne risque pas de marcher, vu que ton interface réseau Ethernet n'est connectée à rien. L'affichage est pourtant clair "Câble réseau non connecté" ! 😧 Indirectement, c'est indirectement la cause de ton message "toutes les cartes réseaux sont occupées" car en fait, aucune n'est vue disponible.

Maintenant, c'est peut-être aussi dû au fait que si effectivement tu as un câble Ethernet en place, c'est qu'au moins une de ses deux prises RJ45 est mal enclenchée (mauvais contact aussi) ou encore que ton câble est tout simplement défectueux; remplaces le pour vérifier ce dernier point.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Il y a 5 heures, Juan luis a dit :

Bonjour,

Je ne connais pas ce neatgear . Est ce un switch ou un routeur , un serveur VPN ?

Le TP-LINK que j'utilise est un serveur VPN il permet d'affecter aux clients des adresses IP dans la plage du LAN et surtout de faire du Site to site.

As tu testé en utilisant l'adresse IP du NAS ( et pas  celle de la BOX )en tant que passerelle sur le PC que tu veux joindre à distance via ton serveur VPN ?

@Juan luis @oracle7

Bonsoir,

j'ai testé avec l'adresse du NAS en passerelle dans ma VM , ça ne donne rien, de main je tente avec  le netgear, c'est un routeur avec un serveur VPN de mémoire, je regarde ça demain :)

Bonne soirée

Lien vers le commentaire
Partager sur d’autres sites

@seb46

Bonjour,

Ton pare-feu est bien réglè comme cela.

Si tu souhaites ajouter une règle pour les ports 80 et 443 (utiles pour pouvoir assurer la création et le renouvellement d'un certificat Let'sEncrypt) alors il faut te faut mettre "Tous" pour l'@IP source.

Le cas affiché dans le TUTO de @Fenrir est spécifique à un besoin particulier de pouvoir communiquer en HTTP et/ou HTTPS avec un serveur particulier (192.0.2.3). C'est tout.

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour

Je pense avoir suivi le Tuto à la lettre (il est assez clair et bien expliqué) mais je n'arrive pas à me connecter entre 2 NAS. Je voulais dans une premier temps faire un Hyper Backup de mon vieux 212j vers mon 920 si possible via OpenVpn et après avoir suivi le Tuto j'ai le message suivant quand depuis le 212 je veux connecter ma connexion VPN ainsi créée: "La connexion a échoué ou le certificat a expiré. Veuillez utiliser un certificat valide émis par le serveur VPN et réessayer.". C'est pourtant le certificat qui m'a été fourni par le paquet VPN Server.

Voyant un souci de certificat j'ai tenté en mettant l'autre certificat (ca_bundle.crt) et j'ai le message: "Autorisation requise"

Ma config:
DS920+ sur une Freebox V6 en routeur avec IP fixe, redirection de ports faite, assignation fixe par la box des adresses par machine (+ bail statique)
DS212j sur Freebox V6 sans IP fixe, redirection de port faite, assignation fixe par machine.

Ayant parcouru les 39 pages du sujet je n'ai rien trouvé qui puisse m'aider (je débute sur les VPN) mais j'ai lu que certains avaient trouvé des solutions en "activant les passerelles multiples" dans Réseau/Général/Paramètres avancés. D'autres en prenant un port TCP au lieu d'UDP (avec redirection corrigée dans le même sens) mais rien, je suis revenu à la configuration d'origine.

Qu'ai-je oublié?

Modifié par Tournicoti
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Tu devrais tester ta solution en procédant par étape, le serveur VPN , tu le testes avec un mobile ou un PC quand c'est OK tu passe au client VPN sur le NAS.

Quelques remarques :

Il n'y a que le coté serveur qui nécessite des redirections de ports , coté client si le NAS accède à Internet c'est suffisant.

Concernant les adresses privées , il est aussi simple de configurer les adresses IP dans les machines plutôt qu'utiliser le serveur DHCP de la BOX.

Il vaut mieux réserver une plage de 100 adresses dans le serveur DHCP pour les mobiles et mettre tous les fixes ( TV, NAS, PC fixe) en statique

Modifié par Juan luis
Lien vers le commentaire
Partager sur d’autres sites

Bonjour et merci,

J'ai corrigé les redirections de ports coté client (j'aurais dû y penser, mais je débute un peu dans cette partie) et j'arrive bien à me connecter sur mon NAS via VPN. Mais il y a une chose curieuse, quand j'ai transféré ma config et mon certificat dans l'application OpenVpn pour iPhone à la ligne "Certificate" j'avais "None" et je ne pouvais rien choisir d'autre alors que le fichier ça.crt est bien transféré dans l'application. Mais pourtant ça marche et je me connecte sans problème.

J'ai essayé via TunnelBlick depuis un ordi distant et il ne me demande pas de certificat mais se connecte sans problème.

Donc j'ai recommencé une création de profil VPN sans entrer de certificat et là je suis connecté.

C'est normal?

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Bonjour,

J'utilise le SSL VPN proposé par le SRM des routeurs Synology.

Dans la fenêtre de confuguration une URL personnalisée est alors générée : j'arrive à y accéder sans problème en direct et via un reverse proxy (sur mon NAS) du type vpn.ndd.tld depuis le WAN.

En revanche impossible d'y accéder depuis le LAN : est-ce normal ? De mémoire j'y arrivais avant. Aucun problème par contre en remplaçant ndd.tld par l'IP locale : dois-je faire quelque chose sur le DNS (également sur le routeur) ?

Cordialement,

Lien vers le commentaire
Partager sur d’autres sites

@TuringFan

Bonjour,

Sauf erreur de ma part, le VPN Serveur du routeur est fait pour piloter les connexions externes de clients à destination du réseau local situé derrière le routeur et pas dans l'autre sens (i.e. interne vers extérieur).

J'utilise aussi SSL VPN et depuis un PC du réseau local, il m'est impossible d'atteindre le routeur donc le VPN) en tapant soit "https://ndd.tld:xxxxx" ou soit https://@IPlocaleRouteur:xxxxxx" avec xxxxx = port défini dans la configuration SSL VPN. Ceci me paraît logique pour la raison évoquée précédemment.

De plus l'encart dans la fenêtre de configuration SSL VPN est explicite il me semble , Non ?

firefox_20201025_16-48-08.jpg.afb830704edc0b435aa829d810482585.jpg

Par contre, quand tu dis (de mémoire) que tu y parvenais précédemment (mais avant quoi ?), je crains que tu ne te fourvoies.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

il y a 4 minutes, oracle7 a dit :

J'utilise aussi SSL VPN et depuis un PC du réseau local, il m'est impossible d'atteindre le routeur donc le VPN) en tapant soit "https://ndd.tld:xxxxx" ou soit https://@IPlocaleRouteur:xxxxxx" avec xxxxx = port défini dans la configuration SSL VPN. Ceci me paraît logique pour la raison évoquée précédemment.

Alors tu as un sérieux problème, dans tout les cas tu dois avoir accès à l'interface vpnplus en attaquant sont ip locale, mais aussi via le domaine dans le cas présent, le RT gérant le loopback 😉

Lien vers le commentaire
Partager sur d’autres sites

Le 25/10/2020 à 16:59, Einsteinium a dit :

Alors tu as un sérieux problème, dans tout les cas tu dois avoir accès à l'interface vpnplus en attaquant sont ip locale, mais aussi via le domaine dans le cas présent, le RT gérant le loopback 😉

Bonjour @Einsteinium,

En toute franchise ce n'est pas handicapant pour moi puisque (i) mon VPN est parfaitement fonctionnel et (ii) par définition je n'utilise jamais mon portail VPN une fois en local ou déjà connecté en VPN mais je voudrait résoudre ça pour éviter un problème sous-jacent plus important.

De mon côté ça ne me choquait pas de ne pas pouvoir accéder à mon VPN en local mais j'ai encore vérifié ce soir depuis un périphérique :

- En wifi sur mon LAN : impossible de joindre le portail via vpn.ndd.tld (normal car redirection faite via mon registrar), ou via son URL ou https://IP:Port (pas noraml donc).
- En 4G + VPN sur mon LAN : même comportement.
- En 4G seul : aucun problème avec les trois méthodes (en prenant cette fois-ci l'IP externe).

Mes compétences techniques sont limitées, voici donc ma configuration au cas où ça pourrait jouer :
- IP dynamique (Orange)
- VPN sur mon routeur synology
- DNS sur mon routeur
- DHCP pour fixer l'IP locale de mon NAS
- Reverse proxy (avec éventuel profil imposant des IP LAN/VPN) sur mon NAS
- Numéro de port VPN >10000
- SSL VPN uniquement

Preneur de pistes ...

Le 25/10/2020 à 16:53, oracle7 a dit :

Par contre, quand tu dis (de mémoire) que tu y parvenais précédemment (mais avant quoi ?), je crains que tu ne te fourvoies.

Tu dois avoir raison : c'est donc finalement un comportement normal ?

Lien vers le commentaire
Partager sur d’autres sites

Il y a 16 heures, TuringFan a dit :



Mes compétences techniques sont limitées, voici donc ma configuration au cas où ça pourrait jouer :
- IP dynamique (Orange)
- VPN sur mon routeur synology
- DNS sur mon routeur
- DHCP pour fixer l'IP locale de mon NAS
- Reverse proxy (avec éventuel profil imposant des IP LAN/VPN) sur mon NAS
- Numéro de port VPN >10000
- SSL VPN uniquement

 

Bonjour,

Pour ma compréhension, ou se trouve le NAS ? Derrière le routeur Synology , ou  derrière la BOX orange  ?

Ou avec une patte sur chaque LAN ?

 

Modifié par Juan luis
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.