[TUTO] VPN Server

[Spudboy]

J'ai trouvé !!! Grace a ce post https://forums.openvpn.net/viewtopic.php?t=33731#p105287

Suffit de décocher multiple gateways dans les parametres réseaux avancé.

 

[PiwiLAbruti]

Ça devrait fonctionner même activé, à condition que l'ordre des passerelles soit correctement défini dans Panneau de configuration > rubrique Réseau > onglet Interface réseau > bouton Gérer > Ordre des services.

[neo-noob]

Bonjour tout le monde.

 

J'essaye actuellement de mettre en place un VPN via mon routeur 2600AC, grâce au paquet VPN plus server.

 

Je suis derrière une freebox en 192.168.1.1 configurée avec une DMZ redirigeant vers mon 2600.

 

J'ai configuré le nom de domaine : routeur-XXX.synology.me

 

J'ai configuré un DDNS en demandant une certification let's encrypt.

Fournisseur de service : synology

Nom d'hôte : routeur-XXX.synology.me

Case "faire une demande de certificat auprès de let's encrypt" cochée et, a priorit, jusque là, tout vas bien.

 

Dans le paquet VPN plus server, j'ai configuré SSL VPN et WebVPN (chacun avec un port différent, respectivement 4443 et 443) avec un "login" en guise de préfixe pour le webvpn.

 

Et là encore, a priori, tout a l'air de fonctionner.

 

Sauf que, lorsque je veux tester, si je tape https://login.routeur-XXX.synolgy.me, je suis redirigée vers le portail VPN... mais uniquement quand je suis en réseau local! Si j'essaie de passer par mon téléphone, par exemple, je me fais jeter. Le message d'erreur indique "connexion refusée", sans beaucoup plus de précision.

 

J'ai essayé d'exporter les certificats et de les installer manuellement sur une machine. Peau de balle. Je me fais encore jeter.

 

De la même façon, quand j'essaie de me connecter au routeur via le DDNS (https://routeur-XXX.synology.me), ça mouline puis j'ai un "impossible de se connecter à cette page." alors que le statut du DDNS est indiqué "normal."

 

J'ai été checké les tuto de synology et des tuto youtube... je ne crois pas avoir sauté d'étape. En revanche, je ne maîtrise pas vraiment ces histoires de certificats. Il m'a semblé que l'on obtenait automatiquement des certificats valides auprès de let's encrypt mais peut être que quelque chose m'échappe?

 

 

Si quelqu'un a une idée, je suis preneur.

 

Merci beaucoup!

[oracle7]

@neo-noob

Bonjour,

Tu as fait où ta demande de certificat, sur le NAS ou sur le routeur ? Il est préférable de le faire à partir du NAS puis d'importer manuellement les fichiers du certificat sur le routeur.

Par ailleurs, une fois ton certificat LE créé, as-tu bien affecté ton certificat à tes différents services (dans paramètres du certificat) sur le NAS ?

Cordialement

oracle7😉

Modifié le 26 février 2023 par oracle7

[neo-noob]

Bonjour bonjour,

 

Tout d'abord, merci pour ta réponse. Mais je me rends compte que je me suis mal exprimé. Il n'y a pas de NAS en jeu dans cette histoire. Je vais essayer de préciser.

 

A l'heure actuelle, chez notre client, il y a une livebox pro avec un switch derrière et une vingtaine de postes + un serveur. Il y a bien un NAS mais il ne sert que pour de la sauvegarde du serveur, en local. Il n'y a aucun accès extérieur. L'idée est d'intercaler un 2600AC entre la livebox et le switch afin de s'affranchir des caprices de la livebox et de renforcer la sécurité jusque là quasi inexistante.

Le 2600ac sera derrière la livebox avec une DMZ redirigeant tout vers le 2600ac. A l'heure actuelle, si le 2600 est derrière une freebox, c'est parce qu'il est chez moi pour faire le paramétrage et les essais.

Cela dit, j'ai continué à chercher le pourquoi du comment hier soir. Je pense avoir quelque part un soucis avec DDNS. Malgré le fait qu'il m'indique un statut normal, je ne parviens pas à joindre le routeur via DDNS. Mais j'ai le même problème avec tous les devices gérés par notre société.

 

Lorsque je me connecte à notre compte synology, j'ai la liste des périphériques (divers NAS et routeurs) et je ne parviens à en joindre aucun via DDNS. Étonnamment, quand je m'en suis ouvert à mon patron, il a essayé de son côté, en se connectant au même compte synology, et lui me dit que ça fonctionne très bien (deouis l'atelier et non depuis mon domicile). Je suis un peu dubitatif de ce côté là. J'aurais plus d'information cet après midi où je passe à l'atelier : je pourrais tester depuis sa machine où c'est censé fonctionner correctement.  

 

Merci pour votre temps et votre attention. :)

[oracle7]

@neo-noob

Bonjour,

Il y a 8 heures, neo-noob a dit :

L'idée est d'intercaler un 2600AC entre la livebox et le switch afin de s'affranchir des caprices de la livebox et de renforcer la sécurité jusque là quasi inexistante.

Alors ce TUTO : RT2600ac en DMZ derrière Livebox4 est tout indiqué pour paramètrer les choses correctement.

Il y a 8 heures, neo-noob a dit :

A l'heure actuelle, si le 2600 est derrière une freebox, c'est parce qu'il est chez moi pour faire le paramétrage et les essais.

Attention, le paramètrage de la Free box est différent de la LiveBox, donc pour tes essais tu peux avoir des écarts de comportement entre les deux box. Normalement la transposition du TUTO d'une LB à une FB est relativement simple et aisé, l'inverse je ne sais pas ... Donc res essais avec le FB peuvent ne pas être concluants. A voir ...

Il y a 8 heures, neo-noob a dit :

je ne parviens pas à joindre le routeur via DDNS

Comment essaies-tu d'établir la connexion, quelle URL utilises-TU ?

Dans une invite de CMD Windows (ou un terminal Mac) que donne la commande : nslookup xxxx.synology.me 1.1.1.1 (avec xxxx.synology.me = URL du DDNS) ?

Cela devrait te donner l'@IP externe de ta Box. Est-ce bien le cas ? Si OUI ton DDNS fonctionne bien.

Normalement, on définit le DDNS sur le NAS plutot que le routeur et pour atteindre le routeur avec ton domaine xxxx.synology.me pour bien faire il te faudrait définir sur le NAS une règle de reverse proxy du genre :
HTTPS   routeur.xxxx.synology.me  443  --> HTTP   @IPLocaleRouteur  8000

Au passage, je t'invite la lire et suivre ces tutos :

• TUTO : Sécuriser les accès à son NAS
• TUTO : Reverse Proxy

et comme tu sembles configurer quelque chose pour une entreprise, à mon humble avis il est préférable quelle utilise son propre domaine plutot qu'un domaine en xxxx.synology.me dont elle ne sera jamais propriétaire :

• TUTO : Pourquoi et comment utiliser un nom de domaine

Maintenant ce que j'en dis, c'est toi (enfin ton patron) qui voit ...

Cordialement

oracle7😉

[neo-noob]

Bonjour bonjour,

 

Navré de répondre si tard, la semaine fut un peu chargée.

 

J'ai bien vu le tuto sur la livebox et je remercie le ciel pour l'âme charitable qui l'a écrit. Je n'ai malheureusement pas de livebox à portée de main pour le tester avant d'aller chez le client lui-même (d'où le fait que je fais les essais sur ma freebox) mais je n'ai aucun doute sur le fait que ça fonctionnera.

 

Pour ce qui est du nslookup, a priori ça fonctionne bien. En tout cas, la commande me retourne bien mon IP. (j'ai mis une capture d'écran en pièce jointe)

 

Je n'ai pas essayé de définir le DDNS sur le NAS parce que ce genre de VPN devrait être déployé chez plusieurs clients dont certains ne possèdent pas de NAS. DOnc j'aimerais maîtriser le sujer avec le seul routeur 2600 (qui devrait à terme être remplacé par des 6600).

 

Et j'ai bien compris l'intérêt d'avoir son propre nom de domaine. Je le ferai. Mais je vais éviter des investissements (même minimes) avant d'avoir mis en place ma procédure définitive et maîtrisé mon sujet.

 

Je conclus avec une mise à jour. Mon patron me disait que le DDNS fonctionnait depuis l'atelier. Eh bien, correction, il confondait quickconnect et DDNS. Donc, ça ne fonctionne pas davantage depuis chez lui que chez moi.

 

Si je résume, j'ai donc un DDNS qui a priori fonctionne bien. Mais quand je tape routeur-XXX.synology.me sur une machine extérieur au réseau, je n'atteins pas mon routeur.

 

Intuitivement, j'aurais tendance à pencher pour un problème de redirection de port. J'ai beau avoir mis une DMZ sur ma freebox pointant vers mon routeur synology, j'ai le sentiment que le problème vient de quelque part par là.

 

Dernière chose, la question va paraître stupide, j'en ai bien conscience, mais je préfère éliminer la possibilité d'une banale faute de frappe ou d'écriture. Quand j'ai essayé d'atteindre le routeur, je l'ai fait en tapant les deux URL suivantes :

 

routeur-XXX.synology.me   et    https://routeur-XXX.synology.me

 

Est-ce que, par le plus grand des hasard, j'aurais oublié quelque chose qu'il faut écrire? Genre un :8001 ou un autre port qu'il faudrait définir dans les paramètres du routeur?

Modifié le 5 mars 2023 par neo-noob

[Fidjial]

Bonjour

Je pense avoir installé correctement le VPN mais je ne vois pas très bien comment il fonctionne quand on est à distance.

Quand je suis sur iPhone, je me connecte au calendrier, contacts, applis synology... aussi bien sans connexion VPN qu'avec la connexion VPN établie.

D'ailleurs même si le VPN est activé qu'est-ce qui dit que la connexion passe par lui ?

Et comme la plupart du temps on oublie d'activer le VPN avant de consulter les applis...

J'aurais cru que l'activation du VPN serait obligatoire pour établir une connexion avec le NAS ?

Sur l'ordi portable, c'est la même chose.

J'ai zappé une procédure ou c'est le comportement normal ?

 

Merci bien.

[Jeff777]

Bonjour @Fidjial

Pour être certain de se connecter depuis l'extérieur à son Nas uniquement avec VPN, une solution consiste à paramétrer un profil de contrôle d'accès.(portail de connexion/avancé)

Tu n'autorises que les adresses locales et les adresses que tu as paramétré dans VPNServeur par exemple 10.8.1.0/255.255.255.0. et tu appliques ce profil à tes entrées de reverse proxy

[Fidjial]

Merci @Jeff777

Donc dans ce profil j'indique une ligne pour les adresses du serveur VPN 10.10... et une autre pour le réseau local 192.168...

Mais il y a un souci dans le format des adresses IP.

Comment je peux les enregistrer correctement ?

[Nano83]

Salut @Fidjial

Si tu accèdes à ton NAS de l’extérieur aussi bien sans VPN qu'avec VPN c'est que tu as ouvert ou laissé ouvert un peu trop de ports dans ton parefeu du NAS et Box.

Si le but est d’accéder à ton NAS de l’extérieur quuniquement via VPN, il faut revoir ta stratégie de sécurité aussi bien dans ta box que dans ton NAS. (supprimer l'acces quickconnect, supprimer accès Http/Https depuis l'extérieur, etc...)

Comme le dit @Jeff777 revoie tes règles de parefeu en n'autorisant que les LAN privés et LAN VPN.

Tout le reste doit être bloqué.

 

[Fidjial]

C'est peut-être moi qui ai mal compris l'usage alors.

Je n'utilise pas Quickconnect mais une IP fixe avec nom de domaine et des reverses proxy.

Donc quand je suis sur iPhone ou ordi portable en extérieur, j'accède via le https://toto.nas.fr:5001 sans passer par VPN.

C'est peut-être suffisant en terme de sécurité et il faut bien que je laisse des ports ouverts pour me connecter ?

[Nano83]

Il y a 1 heure, Fidjial a dit :

C'est peut-être moi qui ai mal compris l'usage alors.

 

Ou c'est moi qui n'ai pas compris ton besoin 🙂 (fort probable)

Si tu veux continuer à utiliser ton NDD et accéder au NAS via le port 5001 de l’extérieur, il faut en effet laisser les ports/redirections ouverts et ton reverse proxy pour tes sous-domaines/appli et là on peut se demander pourquoi mettre un VPN (à part pour sécuriser l'accès admin sur DSM)

Si tu veux accéder à ton NAS uniquement une fois le VPN monté alors il te faut laisser uniquement ouvert le port VPN (ex openvpn port 1194). Une fois ton VPN monté, tu navigues sur ton LAN/NAS comme si tu étais connecté en local plus besoin de NDD comme tu as une IP fixe ou de reverse proxy si tu crées tes alias d'appli en local.

 

 

[Jeff777]

 @Fidjial

Ah désolé il faut utiliser le CIDR

Donc 10.10.10.0/24 (vpn) et 192.168.1.0/24 (lan)   par exemple ...,,,,,donc  permission pour toutes les adresses de type 10.10.10.X et 192.168.1.X.    à adapter selon ton réseau.

Si tu utilises l'ipv6,  il faudra ajouter  fe80::0/64

 

Modifié le 20 mai 2023 par Jeff777

[Mic13710]

Il y a 1 heure, Fidjial a dit :

nom de domaine et des reverses proxy.

Il y a 1 heure, Fidjial a dit :

j'accède via le https://toto.nas.fr:5001

A quoi sert le reverse proxy alors ?

Par ailleurs, l'accès à DSM est assez limité en règle générale. Il sert en principe pour faire des paramétrages et des mises à jours de DSM et des applications, des opérations de sauvegarde/restauration.

Il est toujours préférable de faire ce genre de manips à partir du réseau du NAS, ne serait-ce que pour pouvoir intervenir physiquement au cas où ça se passe mal. Dans ce cas, l'ouverture du 5001 vers l'extérieur n'est pas utile.

Et si vous utilisez le reverse proxy, vous pouvez créer une règle pour l'accès à DSM du genre nas.ndd en https qui vous redirige vers l'IP du NAS port 5000, et vous appliquez un profil de contrôle d'accès qui n'autorise que les adresses ip privées, et éventuellement quelques IP publiques dont vous êtes absolument sûrs de leur propriétaires.

[MilesTEG1]

il y a 15 minutes, Mic13710 a dit :

Il est toujours préférable de faire ce genre de manips à partir du réseau du NAS, ne serait-ce que pour pouvoir intervenir physiquement au cas où ça se passe mal. Dans ce cas, l'ouverture du 5001 vers l'extérieur n'est pas utile.

Il est même déconseillé de laisser l'accès à DSM possible depuis internet.

Perso, j'y accès à distance via le serveur VPN (sur mon routeur synology, mais avant il était sur le NAS).

[Mic13710]

il y a 22 minutes, MilesTEG1 a dit :

Il est même déconseillé de laisser l'accès à DSM possible depuis internet.

C'est un peu ce que j'ai sous entendu. Le seul accès à DSM lorsque je suis à l'extérieur se fait via le VPN.

Cependant, sur les NAS distants dont je m'occupe, j'ai rajouté mon IP fixe dans le profil de contrôle. Je m'y connecte toujours via le VPN, mais en cas de dysfonctionnement, je me réserve la possibilité d'y accéder en https.

[Fidjial]

Je me suis laisser la possibilité d'accéder au DSM pour le paramétrage si besoin, le lancement de certaines applications, et pour l'accès aux fichiers File Station.

Le Reverse proxy pour des accès à du matériel en local et à Plex.

Je suppose que les applis Synology sur iPhone passent par Https sans VPN ?

Après avoir mis en place une règle dans le profil de contrôle, quand je serai sur iPhone en 4G avec une IP dynamique fournie par l'opérateur, je ne pourrai plus accéder au NAS sans VPN ?

Quid des applications Synology, mêmes restrictions ?

Merci à tous les contributeurs 😃

[Fidjial]

Quand j'active le VPN sur l'iPhone, je ne peux plus me connecter au NAS, un message me dit que je ne suis pas connecté à internet...

Je vais laisser tomber, c'est trop compliqué 😔

Merci à tous pour votre aide précieuse.

[MilesTEG1]

Il y a 2 heures, Fidjial a dit :

Quand j'active le VPN sur l'iPhone, je ne peux plus me connecter au NAS, un message me dit que je ne suis pas connecté à internet...

Je vais laisser tomber, c'est trop compliqué 😔

Merci à tous pour votre aide précieuse.

Mais non ça n’est pas compliqué.

il faut juste que tu comprennes certaines étapes ☺️
 

moi je n’ai ouvert que le port 443 pour tout faire passer et le reverse proxy, même dsm mais pour lui j’ai un profil d’accès qui interdit tout sauf les iP lan et vpn.

(J’ai aussi le 6690 pour la synchronisation drive car ça ne peut pas passer par le reverse proxy…)

Dans le pare-feu les ports ne sont ouverts qu’aux iP françaises.

je ne pense pas être à l’abri d’une attaque mais en tout cas je n’ai pas aucune tentative visible.

ps: j’ai aussi Crowdsec qui tourne 😉 

[StéphanH]

Bonjour à tous.

Depuis des années, mon DS218+ est connecté mon DS718+ via OpenVPN (et un certificat LE)

Je viens de migrer en DSM 7.2, et rien ne va plus.
J'ai dans le doute refait une config VPN "neuve" mais cela ne suffit pas.
Je ne sais plus où chercher.

À noter que mes deux box sont par défaut en IPV6  

L'un de vous peut il confirmer qu'il arrive/n'arrive pas à monter un Tunnel OpenVPN entre deux Synology en DSM7.2
Avec quelle config particulière du fichier .ovpn ?

 

Merci !

Modifié le 24 mai 2023 par StéphanH

[Mic13710]

il y a 24 minutes, StéphanH a dit :

À noter que mes deux box sont par défaut en IPV6

Tu ne l'avais pas dit dans ton sujet précédent.

As-tu vu la note dans config.ovpn concernant ipv6 ?

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

Voir ce fil : https://community.openvpn.net/openvpn/wiki/IPv6

[StéphanH]

Merci Mic13710.

Je ne l'avais pas dit parceque cela fait longtemps que mes deux Box sont en IPv6.

Le comportement en DSM 7.2 de la gestion du tunnel semble avoir changé.

En remplaçant le nom DDNS de mon NAS hôte par son IPv4 publique, je me connecte sans souci.

Modifié le 24 mai 2023 par StéphanH

[StéphanH]

En fait, bien que le DDNS Synology supporte IPv4 et IPv6, il est anormal que l'installation d'un tunnel OpenVPN entre deux NAS Synology utilisant le DDNS Synology plante en l'absence d'une modification non documentée.

Je trouverais plus logique de pouvoir choisir, dans la configuration du client, l'usage que je souhaite : IPv4 ou IPv6

Alors qu'en l'état, je suis obligé, si je veux utiliser le DDNS Synology alors que mes routeurs sont en IPv6, de faire une modification pour passer en IPv6. Je ne peux plus utiliser IPv4 (ou alors, je n'ai pas trouvé comment faire)

Modifié le 24 mai 2023 par StéphanH

[StéphanH]

Concernant l'usage d'IPv6 sur la couche externe, lorsque je lis ceci :

Providing IPv6 outside the tunnel

To connect to your server over ipv6 (ipv6 transport) use this on both sides:

proto udp6

... je vois bien comment faire dans le fichier .ovpn du client, mais côté serveur, je ne sais pas où indiquer que je souhaite faire de l'IPv6. La case à cocher sur le serveur ne semble ne concerner que le trafic intra VPN.

Je me trompe ?