[TUTO] VPN Server

[Mic13710]

Ce n'est pas recommandé d'utiliser un certificat LE car il est renouvelé tous les 3 mois.

Mieux vaut utiliser le certificat Synology par défaut ou encore mieux, un certificat autosigné avec une longue durée de validité. Le mien court jusqu'au 17/04/2038.

[marty450]

Merci pour le retour rapide.

Effectivement, je n'avais pas bien mesuré le problème et me suis laissé guidé par le tuto.
En y réfléchissant, c'est même moins sécurisé de prendre un certificat ouvert type LE ou autre et pas très logique au final.

Par contre, pour la génération du certificat autosigné sur une longue durée, j'imagine que celui de Synology est limité à 1 an. Comment peut on en générer sur une très longue période ?

[Mic13710]

Pour le certificat autosigné, google est (parfois) votre ami :

Dans la recherche : "créer un certificat autosigné openssl"

Vous trouverez des tas de tutos

[Jeff777]

Il y a 11 heures, marty450 a dit :

Avez vous réussi à utiliser open VPN avec un certificat let's encrypt ?

Oui. Lorsque l'on exporte la configuration le certificat est compris dedans.

Modifié mardi à 19:44 par Jeff777

[marty450]

Le 16/04/2024 à 12:34 PM, Mic13710 a dit :

Pour le certificat autosigné, google est (parfois) votre ami :

Dans la recherche : "créer un certificat autosigné openssl"

Vous trouverez des tas de tutos

Merci pour ton retour.

J'ai passé par mal de temps mais je n'arrive pas a débloquer ma situation.


J'ai réussi a créer un certificat autosigné longue durée avec OpenSSL. Il est bien accepté par le Syno avec un certificat intermédiaire sinon le Serveur VPN ne fonctionne pas.

Mais avec ce certificat, impossible de me connecter avec OpenPVN, meme en supprimant le controle du certificat : setenv CLIENT_CERT 0

Bref, je tourne en rond et j'ai un peu tout essayé ... une idée ?

 

Voici comment j'ai crée mes certificats :

génération clé privée .key
.\openssl genrsa -out "D:\key\HOME_NAS_CA.key" 2048

génération du certificat racine .pem
.\openssl req -x509 -new -nodes -key "D:\key\HOME_NAS_CA.key" -sha256 -days 10000 -out "D:\key\HOME_NAS_CA.pem"

génération clé intermédiaire .key
.\openssl genrsa -out "D:\key\HOME_NAS_CA_INT.key" 4096

creation certificate signing request (dR).* à partir de ta clé
openssl req -new -key "D:\key\HOME_NAS_CA_INT.key" -out "D:\key\HOME_NAS_CA_INT.csr"

creation du certificat signé par l'autorité racine sur 1000 jours :

openssl x509 -req -days 1000 -in "D:\key\HOME_NAS_CA_INT.csr" -CA "D:\key\HOME_NAS_CA.pem" -CAkey "D:\key\HOME_NAS_CA.key" -CAcreateserial -out "D:\key\HOME_NAS_CA_INT.crt"

Par le suite, intégration au NAS, certificat par défaut, export du certificat, export de la config du VPN, ...
Coté téléphone (Andoid), import du certificat, ajout du fichier export OpenVPN ...

J'ai le message : Connection Failed - There was an error attempting to connect to the selected server. - Error message: Peere certificate vérification failure

Modifié jeudi à 14:20 par marty450

[Mic13710]

@marty450 Pour que le serveur VPN le prenne en compte, il faut d'abord indiquer dans la page des certificats lequel est utilisé pour le serveur VPN. Ensuite seulement vous pouvez générer le fichier de conf open VPN.

[marty450]

il y a 38 minutes, Mic13710 a dit :

@marty450 Pour que le serveur VPN le prenne en compte, il faut d'abord indiquer dans la page des certificats lequel est utilisé pour le serveur VPN. Ensuite seulement vous pouvez générer le fichier de conf open VPN.

Pas de problème de ce coté la.

Pour bien m'assurer que je n'ai pas loupé une étape, j'ai refait toute la manip avec mon certificat LE:

- export du certificat depuis le NAS, conversion du fichier privkey.pem en pfx, ajout du certificat sous Android, modification du certificat utilisé pour le VPN, puis export de la config du VPN puis ajout dans OpenVPN sous Android.

 

Edit : Avec cette manip et mon certificat LE, ca fonctionne nickel et sans l'alerte de certificat. C'est déjà pas mal.

Modifié jeudi à 14:59 par marty450

[Mic13710]

Je n'utilise plus le serveur VPN du NAS car je suis passé sur wireguard depuis pas mal de temps.

Mais j'ai toujours la possibilité d'établir une connexion via le serveur dans le cas ou wireguard ne fonctionnerait pas.

Je viens de tester avec OpenVPN sur le serveur du NAS et tout fonctionne au poil.

Ma config est faite avec le certificat openSSL.

Dans mon fichier de conf, j'ai modifié une ligne pour spécifier le nom du certificat comme ceci :

Citation

#verify-x509-name 'mon adresse mail' name
#ligne ci-dessus générée par le fichier de configuration
#remplacée par
verify-x509-name 'certificat.vpn' name
 

où certificat.vpn est le ndd pour lequel j'ai créé le certificat.

Si ça peut aider...

[marty450]

Il y a 2 heures, Mic13710 a dit :

où certificat.vpn est le ndd pour lequel j'ai créé le certificat.

Merci pour ton retour. De mon coté, lors de la création du certificat, je n'ai pas indiqué de ndd, j'ai juste nommé "NAS" au niveau de Common Name (e.g. server FQDN or YOUR name) []:

C'est bien remonté lors de la création du fichier de config.

Tu as moyen de tester le code que j'ai indiqué pour la création des certificats ? J'ai peut être fait une boulette, j'ai testé pleins de trucs sans succès 😫