This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

 

Si nous utilisons des cookies et retenons des données anonymes, c’est pour nous aider à mieux gérer notre mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent.

 

Grâce à ces cookies, le forum est en mesure de savoir qui écrit un message et utile pour le système d'authentification.

 

En cliquant sur « J'accepte », vous acceptez l'utilisation par NAS-Forum de cookies publicitaires et de mesure d'audience fine.

Fenrir

[TUTO] VPN Server

Messages recommandés

Bah voir l'IP de mon NAs vu que c'est sur celui-ci que le Sevrer VPN se trouve.

 

Quand je fais un traceroute avec le VPN Hide My Ass!, je vois bien l'IP/nom de domaine du VPN.

Modifié par Mic13710
inutile de répéter le message précédent si ça n'apporte rien de plus à la compréhension

Partager ce message


Lien à poster
Partager sur d’autres sites

Pour le warning, ce n'est pas plus gênant que ça pour la plupart des utilisateurs et le conf simpliste (grand public) de synology ne permet pas de changer ça simplement.

Le traceroute est normal, avec un traceroute on voit les adresses des routeurs qui sont de notre coté, pas leurs adresses de sortie.

Le but d'un VPN est d'établir un tunnel sécurisé entre le client vpn et le serveur vpn, pas avant ni après

Le 8/13/2016 à 17:13, Fenrir a dit :

nb : il ne s'agit pas ici de "masquer" votre adresse IP pour effectuer des opérations illicites ou de manière anonyme, l'adresse IP qui sera visible depuis Internet sera celle de votre NAS (ou de votre box)

 

Partager ce message


Lien à poster
Partager sur d’autres sites

La plupart des personnes ont ce message, il indique que le mot de passe est dans la mémoire de ton ordinateur (en ram), à coté de tout ce que tu as cliqué/tapé sur ton ordi depuis son dernier reboot.

Si tu es dans une situation telle que le fait d'avoir un mdp en ram soit risqué pour ton utilisation, je ne saurais trop te conseiller de revoir de fond en comble ton niveau de sécurité (passer sous qubes-os par exemple) et d’arrêter d'utiliser le moindre produit grand public (fini les android, les iphone, windows, synology, samsung, ....).

Mais encore une fois, tu peux ajouter l'option dans le fichier de configuration .ovpn

Partager ce message


Lien à poster
Partager sur d’autres sites

@Fenrir

Salut,

J'ai ajouté l'option dans le fichier de configuration .ovpn mais cela n'a rien changé, j'ai toujours ce message d'erreur...

Sinon, toujours concernant OpenVPN, j'utilise ces paramètres pour la sécurité:

Chiffrement: AES-256-CBC
Authentification: SHA256

- Quelle est la différence entre les 2?

- Si je passe, pour l'authentification, en SHA512, je vais beaucoup perdre en terme dé débit?

- Niveau sécurité, y aura t-il un gain considérable?

 

Merci.

 

 

Modifié par Stixen92

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour à tous,

 

J'ai une question concernant l'adressage lors de la connection VPN (en L2TP)

Mon réseau privé est configuré avec ce type d'adresse : 192.168.1.x

Lorsque je me connecte en VPN, je remarque que mes clients se connectent via ce range d'IP 192.168.0.x ? !!
Dès lors je comprends pq je ne trouve plus mon syno dans mon finder (Mac)

N'est-il pas possible d'avoir le même type de range que mon réseau privé ?

Comment puis-je configuré mon serveur VPN ?

Partager ce message


Lien à poster
Partager sur d’autres sites
Le 30/04/2018 à 17:14, Stixen92 a dit :

J'ai ajouté l'option dans le fichier de configuration .ovpn mais cela n'a rien changé, j'ai toujours ce message d'erreur...

encore une fois, ce n'est pas une erreur, juste un avertissement !

Pour le chiffrement et l'authentification, la différence c'est que l'un sert au chiffrement et l'autre à l'authentification. Niveau perf et sécurité, sauf à avoir un gros débit et de gros ennemies, ça ne change pas grand chose.

@Dimebag Darrell par défaut (et je recommande de laisser comme ça), le serveur VPN va te donner une ip en 10.x.x.x. Si tes clients ont une ip en 192.168.0.x c'est soit que tu ne regardes pas au bon endroit, soit que tu as changé l'adressage par défaut du serveur VPN et enfin, les systèmes de "découverte réseau" (netbios, bonjour, ...) sont des M*RDES à ne pas utiliser sauf a bien connaitre le sujet (ce qui est l'exacte contraire des utilisateurs de ces systèmes)

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 44 minutes, Fenrir a dit :

 

Pour le chiffrement et l'authentification, la différence c'est que l'un sert au chiffrement et l'autre à l'authentification. Niveau perf et sécurité, sauf à avoir un gros débit et de gros ennemies, ça ne change pas grand chose.

 

Lol, oui mais je m'attendais à plus de détails...

 

De gros ennemis? Pas compris...

Si je passe en SHA512, je vais perdre beaucoup en débit. Mais en terme de sécurité, serais-je vraiment gagnant comparé au SHA256?

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a une heure, Fenrir a dit :

encore une fois, ce n'est pas une erreur, juste un avertissement !

Pour le chiffrement et l'authentification, la différence c'est que l'un sert au chiffrement et l'autre à l'authentification. Niveau perf et sécurité, sauf à avoir un gros débit et de gros ennemies, ça ne change pas grand chose.

@Dimebag Darrell par défaut (et je recommande de laisser comme ça), le serveur VPN va te donner une ip en 10.x.x.x. Si tes clients ont une ip en 192.168.0.x c'est soit que tu ne regardes pas au bon endroit, soit que tu as changé l'adressage par défaut du serveur VPN et enfin, les systèmes de "découverte réseau" (netbios, bonjour, ...) sont des M*RDES à ne pas utiliser sauf a bien connaitre le sujet (ce qui est l'exacte contraire des utilisateurs de ces systèmes)

merci beaucoup pour la réponse,

J'ai changé l'adressage en 192.168.0.x dans la configuration du serveur VPN)
Par contre, dès qu'un client se connecte, il est en 192.168.0.x

Enfait, quand je me connecte en VPN via mon macbook, je souhaiterais pouvoir avoir accès à mon syno (dans le finder), mais malheureusement, ça ne fonctionne pas (l'adressage de mon syno est dans ce range 192.168.1.x)
 

Partager ce message


Lien à poster
Partager sur d’autres sites

@Stixen92 : des détails sur quoi, ce que veulent dire les termes "authentification" et "chiffrement" ou sur les différences entre les algorithmes ?

Dans une cas comme dans l'autre ça serait trop long de d'expliquer précisément de quoi il s'agit. En version très simplifiée, l'authentification sert à vérifier que le client et le serveurs sont bien qui ils prétendent être (échange de login/pass/certificat) et le chiffrement c'est le chiffrement des données elles mêmes (ce qui passe dans le tunnel).

Niveau perf c'est aussi trop long de répondre car ça dépend de la puissance des clients, du serveur, du type de hardware (accélération matériel), de la version des système (lib ssl), ...

Le réglage que je propose est est celui qui offre actuellement le meilleur compromis perf/sécurité/consommation de ressources.

@Dimebag Darrell : commence par remettre le plan d'adressage par défaut dans le serveur VPN (en 10.0.x)

Partager ce message


Lien à poster
Partager sur d’autres sites

@Fenrir
Salut,

D'accord, merci pour les explications.

Sinon, tu connais la fonction persist-tun? C'est une sorte de KillSwitch? Cela empêche que le client se connecte à Internet en dehors du tunnel si jamais le VPN ne fonctionne pas ou est déconnecté, c'est ça?

 

Partager ce message


Lien à poster
Partager sur d’autres sites
Citation

--persist-tun

Don't close and reopen TUN/TAP device or run up/down scripts across SIGUSR1 or --ping-restart restarts.

SIGUSR1 is a restart signal similar to SIGHUP, but which offers finer-grained control over reset options.

https://openvpn.net/index.php/open-source/documentation/manuals/65-openvpn-20x-manpage.html

Partager ce message


Lien à poster
Partager sur d’autres sites

Je ne comprends pas ce qui ne va pas.

Je m'occupe du NAS d'un ami à distance. Il a un ndd chez OVH et j'y ai fait les enregistrements de la zone publique. Le serveur DNS du NAS est activé et fonctionne en local.

nslookup www.nas-forum.com 192.168.1.101
Server:         192.168.1.101
Address:        192.168.1.101#53

Non-authoritative answer:
Name:   www.nas-forum.com
Address: 94.23.33.37

Le reverse proxy fonctionne aussi et mes ndd (OVH) et (NAS) sont bien résolus.

J'ai 2 PC chez moi et lorsque je me connecte au réseau de mon ami via son serveur VPN, je n'ai pas du tout le même comportement selon le PC. Je précise que les deux liaisons VPN utilisent les mêmes DNS qui pointent vers l'IP du NAS distant. Elles passent toutes les deux par OpenVPN.

De mon PC fixe, un tracert vers un ndd enregistré à la fois chez OVH et sur le NAS emprunte systématiquement le WAN (cad ma liaison internet normale) et me retourne l'IP publique de mon ami. Par contre, si le ndd n'est enregistré que sur le serveur DNS de son NAS, il passe par son LAN (via le VPN) et me retourne l'IP privée de son NAS.

De mon portable, les mêmes tracert emprunte systématiquement le LAN (via le VPN), que le ndd soit enregistré ou pas chez OVH.

A l'inverse, un tracert de mon PC fixe vers mon propre ndd interroge directement mon propre LAN et me renvoie l'adresse privée de mon NAS. Sur mon portable, il passe par le VPN et me renvoie mon IP publique.

Il semblerait que mon PC fixe n'utilise pas systématiquement le VPN et tente d'abord de résoudre les ndd sur son propre réseau (LAN, WAN) avant d'aller interroger le serveur DNS de mon ami alors que le portable ne passe que par le VPN pour résoudre les ndd.

Pourquoi à réglages identiques je n'ai pas les mêmes comportements ?

Partager ce message


Lien à poster
Partager sur d’autres sites
Le 5/2/2018 à 19:01, Stixen92 a dit :

Mais apparemment cela te gêne de m'expliquer.

Ça ne me gène pas d'expliquer, ça prend juste du temps alors quand la réponse est dans la doc ...

En version courte, avec cette option openvpn ne désactive pas l'interface et ne relance pas les éventuels scripts en cas de coupure, il tente simplement de rétablir le tunnel.

@Mic13710 : l'os est il le même sur les 2 machines ?

Il peut aussi s'agir du cache DNS des machines (ipconfig /flushdns en admin) ou d'autres choses

Partager ce message


Lien à poster
Partager sur d’autres sites

C'est la même chose : le pc interroge le serveur DNS de mon NAS et l'ip renvoyée est l'ip publique de mon ami, le portable interroge celui du NAS de mon ami et retourne l'ip privée du même NAS.

Edit :

Je précise que les réglages sont les mêmes sur les 2 PC.

Réseau local : Ethernet (PC) et Wifi (Portable) sont en DHCP et obtiennent les adresses DNS automatiquement

VPN : Les deux sont en IP automatique et en manuel pour les adresses DNS, dans l'ordre : IP privée du NAS distant (192.168.x.x), IP privée de mon NAS (192.168.y.y)

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 9 heures, Fenrir a dit :

Ça ne me gène pas d'expliquer, ça prend juste du temps alors quand la réponse est dans la doc ...

En version courte, avec cette option openvpn ne désactive pas l'interface et ne relance pas les éventuels scripts en cas de coupure, il tente simplement de rétablir le tunnel

@Fenrir

Merci.
En terme de sécurité c'est une bonne chose ou pas d'activer cette option?

Partager ce message


Lien à poster
Partager sur d’autres sites

@Fenrir Je comprends bien mais je ne souhaite pas mettre ces données sur le forum pour des raisons évidentes. Et ça n'apporte pas vraiment d'autres éléments que ceux que j'ai indiqué.

Je te le réécris :

De mon PC :

nslookup ndddemonami
Serveur : UnKnown
Address : L'IPPrivéeDeMonNas
Réponse ne faisant pas autorité
Nom : ndddemonami
Address : L'IPPubliqueDeMonAmi

De mon portable :

nslookup ndddemonami
Serveur : UnKnown
Address : L'IPPrivéeDuNasDeMonAmi
Réponse ne faisant pas autorité
Nom : ndddemonami
Address : L'IPPrivéeDuNasDeMonAmi

C'est surtout le comportement du PC fixe qui me dérange. En me connectant au VPN, je pensais que toutes les résolutions se faisaient sur le serveur DNS du NAS de mon ami. Le portable le fait. Pas le PC qui lui passe d'abord par mon serveur pour la résolution de ndd. Ce n'est pas un souci à partir de mon espace privé (c'est un PC fixe dans mon bureau), c'en est un si la connexion est établie dans l'espace publique car on ne sait pas quel chemin sera emprunté.

Partager ce message


Lien à poster
Partager sur d’autres sites
Le 05/05/2018 à 18:15, Mic13710 a dit :

Et ça n'apporte pas vraiment d'autres éléments que ceux que j'ai indiqué.

Si, ça me permet de voir que le fixe et le portable n'interrogent pas le même serveur DNS et quelle est la réponse qu pose problème, information qui n'était pas clair dans le message précédent

=>priorité des interfaces

Tu peux essayer avec cette option (dans la conf client) setenv opt block-outside-dns ou en changeant la métrique de l'interface VPN (https://arador.com/fix-openvpn-block-outside-dns-problems-windows-10/)

@Stixen92 : je te recommande de laisser par défaut, ça marche suffisamment bien

 

Partager ce message


Lien à poster
Partager sur d’autres sites

@Fenrir Super ! Je voyais bien que c'était une histoire de priorité, sans savoir comment la régler. Ton lien est effectivement la solution. En mettant le métrique à 1, ça fonctionne : le serveur DNS interrogé est bien le distant. Merci pour cette information.

il y a 58 minutes, Fenrir a dit :

Si, ça me permet de voir que le fixe et le portable n'interrogent pas le même serveur DNS et quelle est la réponse qu pose problème, information qui n'était pas clair dans le message précédent

Il me semble bien pourtant ne pas avoir dit autre chose 🙂 😄 :

Le 04/05/2018 à 17:54, Mic13710 a dit :

C'est la même chose : le pc interroge le serveur DNS de mon NAS et l'ip renvoyée est l'ip publique de mon ami, le portable interroge celui du NAS de mon ami et retourne l'ip privée du même NAS.

Mais tu as raison, j'aurais pu être plus clair ☺️

Partager ce message


Lien à poster
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

Chargement