[TUTO] VPN Server

[Nolin]

Bonjour, et merci pour ton retour.

Malheureusement, j'utilise la même configuration sur un autre PC, mais avec un autre compte, et ça fonctionne. Donc pas de problème de certificat, ni de firewall côté NAS.

Je viens de tester sur mon PC portable avec ce compte, mais ça ne fonctionne pas, j'ai le même problème...

Plus ça va, et plus je me dis que le problème vient de mon PC portable...

Que pourrait-il y avoir comme paramètre sur mon PC qui fasse bloquer cette connexion?

Je pense à la table de routage par exemple? Ou les différentes cartes réseaux (virtuelles?)

Edit : Je viens de mettre à jour Open VPN et c'est toujours le même problème...

Modifié le 2 janvier par Nolin

[Nano83]

Le 02/01/2024 à 9:07 PM, Nolin a dit :

Malheureusement, j'utilise la même configuration sur un autre PC, mais avec un autre compte, et ça fonctionne. Donc pas de problème de certificat, ni de firewall côté NAS.

Je viens de tester sur mon PC portable avec ce compte, mais ça ne fonctionne pas, j'ai le même problème...

 

@Nolin Donc tu as un PC qui marche et un autre qui ne marche pas. La seule différence est le compte que tu utilises. (différent sur chaque PC)

On est d'accord que tu es sur le même réseau distant quand tu testes tes 2 PCs.

Donc ça pourrait être un problème de compte.

Prends le PC qui marche pas et essaye avec le compte de l'autre qui marche.

Si ca fonctionne alors ce n'est pas le PC mais le compte et dans ce cas, va vérifier sur le NAS que le compte qui ne marche pas à bien les droits pour OpenVPN.

 

 

[Nolin]

Ah non, je ne suis pas sur le même réseau lorsque je fais mes tests!

L'un sur une box, et l'autre qui ne marche pas avec un tel portable en point d'accès.

Le test du compte c'est justement ce que j'ai fait (je n'ai pas été très clair). Avec le compte qui fonctionne sur un autre PC, ça ne fonctionne pas sur mon PC portable. Mais c'est vrai que ce n'est pas le même réseau lors de mes tests...

[bibou64]

Bonjour,

Merci pour le tuto.

Concernant remote YOUR_SERVER_IP 1194 , faut écrire xx.xxx.xx ou bien https://xx.xxx.xx ?

Merci poiur votre aide.

[Jeff777]

Il y a 7 heures, bibou64 a dit :

Concernant remote YOUR_SERVER_IP 1194 , faut écrire xx.xxx.xx ou bien https://xx.xxx.xx ?

Bonjour, juste l'IP  xxx.xxx.xxx.xxx

[CMDC]

Il y a 11 heures, bibou64 a dit :

Bonjour,

Merci pour le tuto.

Concernant remote YOUR_SERVER_IP 1194 , faut écrire xx.xxx.xx ou bien https://xx.xxx.xx ?

Merci poiur votre aide.

Ou le nom DNS ou DynDNS , c'est selon 

[bibou64]

Bonsoir,

plusieurs question sur le VPN:

- le port 1194 est-il obligatoire ou peux-t'on en changer ?

- si obligatoire, cela veut dire qu'il faut ouvrir un second port pour bénéficier de l'UI web ?

Merci !

[Mic13710]

Il suffit de relire le tuto :

Le 13/08/2016 à 5:13 PM, Fenrir a dit :

Il s'agit d'un projet libre et OpenSource de serveur VPN SSL/TLS, il utilise donc un certificat (et quelques autres mécanismes) pour chiffrer la communication, d'une manière très similaire à ce qui est fait par un site en HTTPS. Ce mode de fonctionnement lui permet une grande souplesse de configuration. À titre d'exemple, on peut le configurer pour écouter sur le le port TCP 443, comme le ferait un serveur HTTPS. Cette possibilité peut être utile si les ports standards sont fermés par un pare-feu. On peut aussi l'utiliser à travers un serveur proxy.

Le port 1194 est le port par défaut mais rien ne vous empêche d'en changer.

 

il y a 37 minutes, bibou64 a dit :

si obligatoire, cela veut dire qu'il faut ouvrir un second port pour bénéficier de l'UI web ?

Moi pas comprendre...

[bibou64]

Merci @Mic13710, je reformule:

- pour l'accès web, j'utile une adresse de type https://monadressedyndns.me:PortA

- pour l'accès VPN, est-ce que le même port peut être utilisé ?

Il me semble avoir eu une erreur de type "port déjà utilisé".

Merci.

[Kramlech]

Sur un serveur, chaque port est associé à un service (on dit que le service écoute le port). Donc pour te réponde, non tu ne peux pas utiliser le même port pour atteindre deux services (https et vpn). 

[Mic13710]

Si c'est de l'interface d'administration d'openVPN qu'il s'agit, la seule existante dans DSM est celle du serveur DNS, accessible uniquement via une connexion à DSM.

A ma connaissance, la seule possibilité pour exploiter le WEB UI admin d'OpenVPN est de passer par docker. Pas sûr que ce soit compatible avec le serveur du NAS et qu'il ne faille pas aussi passer le serveur OpenVPN sur docker. Ceci dépasse bien évidemment le propos de ce tuto.

En tout état de cause, il s'agit d'un service d'administration du serveur dont l'accès, comme l'indique @Kramlech, doit se faire par un port différent.

[974Mat]

Bonjour, voilà, je suis novice et j’ai besoin qu’on m’aide.

J’ai un réseau LAN (192.168.1.x) dans un lieu 1.

Dans le lieu 1, j’ai 3 pc, une imprimante et un NAS synology (dont j’ai configuré open vpn server), ils sont tous connectés à une box sfr (paramètres ok dans la box)

J’ai un deuxième réseau LAN (192.168.10.x) dans un lieu 2.

Dans le lieu 2, j’ai 2 pc et une imprimante, tous connectés à un routeur TP-link archer ax55, qui lui même est connecté à une livebox 5 pro.

Sur le tp-link archer ax55, j’ai configuré la partie client d’open vpn afin de lié mon lieu 2 à mon lieu 1.

Ça fonctionne, dans le lieu 2, je peux accéder à des ressources du lieu 1 mais l’inverse ne fonctionne pas. Quand je suis dans le lieu 1, et que je tente par exemple, d’imprimer sur l’imprimante de mon lieu 2, ça ne passe pas, il ne trouve rien.

D’après ce que j’ai compris, c’est parce que je suis dans une configuration de client to site, et qu’il faudra plutôt passer en mode site to site. Donc je suis perdu, voici mes questions :

Que faire exactement pour que ça fonctionne dans les 2 sens ?

Est-il possible de faire du site-to-site avec open vpn ?

Faut-il obligatoirement passer par du I2tp ipsec ?

Mais, peu importe le vpn utilisé, j’ai l’impression que mes pc du lieu 1 n’auront pas accès au lan 2 car pas connecté au vpn, me faudrait-il mettre un routeur entre la box sfr et mon LAN dans le lieu 1 ? Pour qu’ils puissent tous être connectés directement au vpn ? Ou configurer chacun individuellement pour être connecté ? J’ai cru comprendre que pour l’ipsec, il n'est pas possible d'avoir plusieurs clients connectés en même temps s'ils sont derrière le même routeur NAT.

🤯 help

 

[Mic13710]

il y a 16 minutes, Mathieu BOYER a dit :

Est-il possible de faire du site-to-site avec open vpn ?

Oui, mais il faut pour cela le serveur VPN plus qui permet de faire du site to site. Ce n'est malheureusement pas dispo sur les NAS, uniquement sur les routeurs Synology.

il y a 16 minutes, Mathieu BOYER a dit :

Faut-il obligatoirement passer par du I2tp ipsec ?

Non.

Il est effectivement nécessaire d'avoir des routeurs qui permettent de faire du site to site. Perso, je fais du site to site permanent entre deux routeurs Ubiquiti ER-X avec Wireguard qui est à l'heure actuelle le VPN le plus rapide. Et c'est absolument transparent à l'usage que je sois sur un site ou un autre. J'ai depuis abandonné les autres VPN, ou du moins je les garde uniquement en cas de problème avec Wireguard.

[CyberFr]

Mac : Impossible d'intégrer le certificat.p12 au trousseau d'accès

Bonjour,

Lorsque je crée le certificat à l'aide de l'instruction suivante dans le Terminal,

openssl pkcs12 -export -out certificat.p12 -inkey privkey.pem -in cert.pem -certfile chain.pem

On demande deux fois le mot de passe qui sera attribué au certificat. Je procède par copier/coller pour être sûr de ne pas entrer un mot de passe erroné.

Lorsque je double-clique sur l'icône du certificat pour l'intégrer au trousseau d'accès on demande à nouveau le mot de passe du certificat et une fois de plus je procède par copier/coller. Malgré cela une fenêtre indique que j'ai saisi un mot de passe non valide ! Bref je tourne en rond.

Je remercie toute personne confronté au même problème qui pourrait m'apporter une solution.

[marty450]

Bonjour à tous,

Afin de sécuriser le mieux possible mon nas, je bloque tous les ports et autorise uniquement le port du VPN (via openVPN).

Aucun problème avec le VPN, ca fonctionne bien.

J'avais quelques questions ou besoin de vos retours d'expériences avec OpenVPN sous Android :

- Pourquoi suis je obligé d'activer l'option "Autoriser aux clients l'accès au serveur LAN" pour utiliser l'application Drive client Android (sous VPN) alors que je n’accède qu'au NAS en lui-même ? On ne devrait pas avoir a cocher cette case. Avez vous le même fonctionnement ?

- Pourquoi est on obligé d'ignorer le certificat en ajoutant "setenv CLIENT_CERT 0" alors qu'on a un certificat Let's Encrypt valide ?

 - Pouvez-vous me confirmer que si on active redirect-gateway def1, tout le flux réseau passe par le VPN (LAN et internet) et que cela permet bien de sécuriser nos connexions sur les réseaux publics, sans compromettre notre NAS ?

 - Enfin, une dernière question car je manque de culture sur le sujet, pourquoi le VPN est en sous réseau en 10.8.0.X ? pourrait on le basculer en 192.168.1.x par exemple ? Si vous avez un source ou un tuto sur le sujet, je suis preneur aussi.

En vous remerciant pour votre aide et vos retours d'expériences.

Modifié le 30 mars par marty450

[.Shad.]

Le 30/03/2024 à 5:32 PM, marty450 a dit :

Pourquoi suis je obligé d'activer l'option "Autoriser aux clients l'accès au serveur LAN" pour utiliser l'application Drive client Android (sous VPN) alors que je n’accède qu'au NAS en lui-même ? On ne devrait pas avoir a cocher cette case. Avez vous le même fonctionnement ?

Par défaut tu n'accèdes qu'à l'IP VPN du Synology si cette case n'est pas cochée (10.x.x.x)
Pour changer ce comportement :

• soit tu coches la dite case mais tu accèdes aussi à tout le reste du réseau dans la plage (modulos les firewall éventuels de périphériques)
• soit tu mets en place une résolution locale avec une vue LAN et une vue VPN, pour que la même adresse renvoie vers des IP différentes (l'IP en 192.168 en LAN, l'IP en 10 en VPN), c'est de loin la solution la plus élégante

[marty450]

Merci .Shad. pour ton retour.

Pour mettre en place les vues LAN et VPN, on est obligé de monter un serveur DNS ? ou on peut le faire autrement ?

[Jeff777]

il y a une heure, marty450 a dit :

on est obligé de monter un serveur DNS

Oui, DNS Serveur pour monter deux vues locales

[marty450]

Citation

Oui, DNS Serveur pour monter deux vues locales

OK, merci pour ton retour.

Avez-vous des éléments de réponses pour mes 2 autres questions précédentes :

- Pourquoi est on obligé d'ignorer le certificat en ajoutant "setenv CLIENT_CERT 0" alors qu'on a un certificat Let's Encrypt valide ?

 - Pouvez-vous me confirmer que si on active redirect-gateway def1, tout le flux réseau passe par le VPN (LAN et internet) et que cela permet bien de sécuriser nos connexions sur les réseaux publics, sans compromettre notre NAS ?

Merci à vous

Modifié le 5 avril par marty450

[Kramlech]

il y a 9 minutes, marty450 a dit :

- Pouvez-vous me confirmer que si on active redirect-gateway def1, tout le flux réseau passe par le VPN (LAN et internet) et que cela permet bien de sécuriser nos connexions sur les réseaux publics, sans compromettre notre NAS ?

Pour pouvoir te répondre, il faudrait d'abord bien bien comprendre ta question : quel rapport entre le fait que tout le flux réseau du client passe par le serveur VPN (donc par ton NAS), la sécurisation des connexions sur le réseau public et la compromission du NAS ?

[Jeff777]

il y a une heure, marty450 a dit :

setenv CLIENT_CERT 0

Il ne me semble pas avoir ce paramètre !

il y a une heure, marty450 a dit :

Pouvez-vous me confirmer que si on active redirect-gateway def1, tout le flux réseau passe par le VPN

La différence est que lorsque tu te sers de openvpn depuis l'extérieur de ton réseau (ce qui est vrai dans la plupart des cas 😁) avec ce paramètre tu passeras par ta connexion internet pour aller sur le net et sans ce paramètre tu y vas directement.

[marty450]

Citation

Pour pouvoir te répondre, il faudrait d'abord bien bien comprendre ta question : quel rapport entre le fait que tout le flux réseau du client passe par le serveur VPN (donc par ton NAS), la sécurisation des connexions sur le réseau public et la compromission du NAS ?

Mon interrogation était sur un réseau public (type Wifi hôtel, magasin, etc), ce type de connexion n'est pas bien fiable, ni sécurisé mais nous devons parfois les utiliser (absence de réseau 4G/5G, besoin de gros volumes en data, etc).

L'utilisation du VPN permet de sécuriser notre navigation internet (mot de passe, accès messagerie, etc) seulement si on est en Full Tunelling.

Je voulais m'assurer que mon raisonnement était le bon et qu'utiliser un VPN sur ce type de connexion n'exposait pas un problème de sécurité que je n'aurai pas pensé.

 

Citation

Le 05/04/2024 à 11:06 AM, marty450 a dit :

setenv CLIENT_CERT 0

Il ne me semble pas avoir ce paramètre !

De mon coté, sans ce paramètre, j'ai un message d'erreur sur le certificat (non bloquant).

[Jeff777]

il y a 27 minutes, marty450 a dit :

De mon coté, sans ce paramètre, j'ai un message d'erreur sur le certificat (non bloquant).

J'ai trouvé ça dans un tuto, mais il te faudra l'enlever si tu veux une connexion sécurisée  :

 

Par défaut, le client OpenVPN demande un certificat SSL pour authentifier la connexion. Ici, nous n’en utiliserons pas. Pour éviter d’avoir un avertissement lors de la première connexion, rajoutez cette ligne également dans le fichier VPNConfig.ovpn (merci à T ChaY qui m’a donné cette information dans ce commentaire) :

setenv CLIENT_CERT 0

[Nolin]

Bonjour,

Je reprends mon message qui date du mois de décembre car j'ai toujours le problème... Voir ci-dessous.

Par contre, j'ai pu approfondir et voir à quel moment je retrouve ce problème.

Finalement, j'ai ce problème avec mon PC portable, lorsque j'utilise le partage de connexion avec mon téléphone portable.

Ainsi, à l'extérieur de chez moi, avec mon PC portable, dès que j'utilise un réseau wifi d'une box ou même le partage de connexion d'un autre téléphone, je n'ai pas ce problème.

Pensez-vous que ça puisse venir de mon téléphone? Ou des paramètres qui sont enregistrés dans mon PC, qui deviennent actifs lors d'une connexion avec mon téléphone?
Ou bien le NAS qui reconnait mon téléphone et le bloque?

Merci pour aide.

 

 

Le 30/12/2023 à 12:21 AM, Nolin a dit :

Bonjour,

J'ai le même problème, depuis que j'ai migré vers DSM7, je n'arrive plus à utiliser OpenVPN sur mon PC portable à distance.

La config fonctionne, la connexion d'OpenVPN  passe au vert (et sur le NAS, OpenVPN indique bien qu'il y a actuellement une connexion), mais aucun accès aux dossiers partagés, ni au NAS en tapant l'adresse IP.

Et pourtant, je ping bien le NAS.

Quelqu'un aurait une idée d’où peut venir le problème?

Merci pour vos retours!

[marty450]

Le 09/04/2024 à 11:40 AM, Jeff777 a dit :

J'ai trouvé ça dans un tuto, mais il te faudra l'enlever si tu veux une connexion sécurisée  :

 

Par défaut, le client OpenVPN demande un certificat SSL pour authentifier la connexion. Ici, nous n’en utiliserons pas. Pour éviter d’avoir un avertissement lors de la première connexion, rajoutez cette ligne également dans le fichier VPNConfig.ovpn (merci à T ChaY qui m’a donné cette information dans ce commentaire) :

setenv CLIENT_CERT 0

Avez vous réussi à utiliser open VPN avec un certificat let's encrypt ?