Aller au contenu

[TUTO] VPN Server


Fenrir

Messages recommandés

Le 24/04/2020 à 09:50, .Shad. a dit :

En effet, Drive fonctionne très bien par le port 6690 en externe, n'autoriser son fonctionnement que par le VPN me semble contre-productif au regard du principe même de l'application (synchronisation continue).

@.Shad. merci pour ta réponse.

Dans cette configuration mes échanges de données entre mon NAS et mon appareil (prenons le cas par exemple d'un download ou d'un upload d'un PDF) seront ils aussi bien sécurisés qu'avec un VPN. N'ya  t il aucun transit par des serveurs tiers par exemple ?

L'amateur que je suis, associe (peut-être à tord) le VPN à une sécurité supérieure aux autres types de connexions.

Cordialement,

Modifié par TuringFan
Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous,

J'ai mis en place le VPN Server comme le préconise le TUTO (je remercie au passage l'auteur 🙂 )

Je n'ai pas de soucis pour me connecter au serveur VPN et j'obtiens bien l'adresse IP 10.6.0.x.

Je peux accéder à l'interface DSM via 10.6.0.1 sans problème non plus. Je peux aussi me connecter par exemple à ma Livebox via son IP locale, j'arrive aussi a faire un ping sur une autre machine du réseau.

J'ai des raccourcis "Lecteur Réseau" dans mon explorateur Windows afin d'atteindre mes différents dossiers partagés du NAS.

Après la mise en place de la connexion VPN, je n'arrive plus à me connecter aux lecteurs.

De base les lecteurs sont accessibles comme cela :

\\NONDUNAS\Nomdudossier

J'ai essayé sans succès de passer par l'adresse locale :

\\adresseIPLAN\Nomdudossier

Et la seule qui fonctionne est l'adresse du serveur VPN :

\\10.6.0.1\Nomdudossier

J'avais dans l'idée que la connexion VPN me permettrait d'accéder aux lecteurs réseaux via mon explorateur windows tout en gardant leurs adresses LAN.

J'ai faux ?

 

Merci pour votre aide !

Lien vers le commentaire
Partager sur d’autres sites

Bonjour, et merci pour ce tuto et ce forum.

J'ai 2 NAS distants, un 918 et un 916 entre lesquels j'aimerai faire de la sauvegarde et duplication croisée , donc du rsync, de l'hyperbackup, de la replication de snapshot (cf ma présentation )

Je cherche a faire passer le trafic entre les 2 NAS via un VPN (et garder les connexions normales pour le reste)

J'ai mis en place le serveur openVPN sur le 918, grâce au tuto, merci encore. Il me dit que son adresse est 10.8.0.1 La plage d'IP qu'il fournit  10.8.0.0 ~ 10.8.0.255  J'ai transféré le port 1194 UDP a travers les routeurs des 2 côtés (en fait je me dit que c'était peut être pas nécessaire du côté du 916 ?)

J'ai mis en place le client VPN sur le 916. La connexion y est active. Il récupère l'IP 10.8.0.6  Pourquoi est ce qu'il me donne le 6 ?J'ai créé et effacé différentes connexion avant que cela ne fonctionne, du coup j'imagine que c'est pour ça ? 

Sur le 918, j'ai créé une tache hyperbackup qui envoie sur 10.8.0.6, et ça fonctionne 🙂 hourra ^_* 

Sur le 916, je crée une tache hyperbackup pour envoyer sur le 918 en 10.8.0.1 et ça marche pas :(( Il me dit que ma cible n'est pas connectée.

J'ai essayé avec les adresses 10.8.0.0  et aussi 10.8.0.5 sans succès. Pour l'instant j'ai désactivé le firewall du 918, histoire d'enlever ce possible problème. 

  1. Quelle adresse dois je mettre à votre avis pour contacter le 918 via le VPN ? C'est bien 10.8.0.1 ?
  2. Que me manque t il niveau config pour que ça fonctionne ? Peut être des choses du côté du  routage sur le 916 ?

 

 

Modifié par GodFlesh
amélioration
Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous,

Merci à Fenrir pour ce super tuto (encore une fois) qui m'a bien aidé dans la mise en place du VPN.

Sous W10 depuis mon PC dans le fenêtre de connexion de Open VPN, j'ai les deux messages suivants :

WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.

WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this

Comment puis-je régler ces deux WARNING ?

Merci pour votre aide !

Erland.

 

Lien vers le commentaire
Partager sur d’autres sites

@Thierry94J'ai trouvé d'où vient le problème.

J'avais activé "Activer les passerelles multiples" dans Panneau de configuration/Général/Paramètres Avancés suite à un essais il y a un peu de temps.

J'ai compris cela, car j'ai pu faire un Ping du deuxième port Ethernet qui n'était pas connecté mais dispose d'une adresse IP fixe dans ma config.

Et en effet, \\iplocaledunas\nomdossier fonctionne et en local et en VPN.

 

Lien vers le commentaire
Partager sur d’autres sites

@ERAnimation

Cool … je ne connaissais pas cette fonction !

@Erland

Pour le 1er warniong je ne sais pas
Pour le 2ème warning c'est indiqué dans le message il faut ajouter l'option "auth-nocache" dans ton fichier de configuration client d'openvpn

Modifié par Thierry94
Lien vers le commentaire
Partager sur d’autres sites

Le 13/08/2016 à 17:13, Fenrir a dit :

Votre NAS sera directement accessible à l'adresse 10.8.0.1

Bonjour,

J'ai configuré un serveur L2TP/IPSec qui est fonctionnel sur au moins un client.

J'ai ensuite essayé de paramétrer un second client pour le même accès mais j'obtiens systématiquement une erreur 806 (erreur pare-feu, routeur, NAT, etc.)

  • Puisque le premier client fonctionne j'en déduis que c'est un problème de pare-feu de mon second client.
  • Après vérification les ports 50, 500 et 4500 en UDP sont bien autorisés à l'entrée sur ce client.
  • Peut-être donc un problème de registre : si c'est le cas n'ayant pas tous les droits sur ma machine, je suis dans l'incapacité de les modifier.


Bref, j'ai donc également configuré un OpenVPN qui fonctionne sur mon second client.

En revanche je crois comprendre que via OpenVPN je ne peux accéder à mon NAS qu'en utilisant l'IP 10.x.y.c car tout le traffic n'est pas redirigé sur le VPN, plusieurs questions donc :

  • Quels sont les avantages / inconvéniant d'un traffic entièrement redirigé par le VPN ?
  • Est-il possible d'accéder à mon NAS avec son IP locale en OpenVPN ?
  • Si ce n'est pas possible comment puis-je utiliser un nom de domaine pur pointer sur le NAS. A l'heure actuelle j'utilise un domaine ndd.eu (loué chez OVH) qui pointe sur l'IP publique de mon NAS, j'ai également un DNS sur mon NAS qui fait pointer ndd.eu vers l'IP privée de mon NAS. Ce que je ne comprends pas bien avec l'OpenVPN c'est que l'IP du DNS par défaut (nslookup dans le terminal) est une IP locale en 172.20.x.y mais qui ne me parle pas du tout ...

Je ne sais pas trop dans quel tuto poster (VPN ou DNS), pardon si ce n'est pas le bon.

Merci d'avance,

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Pas d'idée pour ton problème de L2TP/IPSec

Pour OpenVpn :
Le trafic internet via le VPN permet de ne pas le voir sur le réseau ou se trouve le client openvpn, mais du coup il peut être un peu plus lent qu'en direct  
En Openvpn pas de problème pour accéder au NAS par son adresse locale (une fois la connexion VPN établie).


 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, GodFlesh a dit :

Bonjour, et merci pour ce tuto et ce forum.

J'ai 2 NAS distants, un 918 et un 916 entre lesquels j'aimerai faire de la sauvegarde et duplication croisée , donc du rsync, de l'hyperbackup, de la replication de snapshot (cf ma présentation )

Je cherche a faire passer le trafic entre les 2 NAS via un VPN (et garder les connexions normales pour le reste)

J'ai mis en place le serveur openVPN sur le 918, grâce au tuto, merci encore. Il me dit que son adresse est 10.8.0.1 La plage d'IP qu'il fournit  10.8.0.0 ~ 10.8.0.255  J'ai transféré le port 1194 UDP a travers les routeurs des 2 côtés (en fait je me dit que c'était peut être pas nécessaire du côté du 916 ?)

J'ai mis en place le client VPN sur le 916. La connexion y est active. Il récupère l'IP 10.8.0.6  Pourquoi est ce qu'il me donne le 6 ?J'ai créé et effacé différentes connexion avant que cela ne fonctionne, du coup j'imagine que c'est pour ça ? 

Sur le 918, j'ai créé une tache hyperbackup qui envoie sur 10.8.0.6, et ça fonctionne 🙂 hourra ^_* 

Sur le 916, je crée une tache hyperbackup pour envoyer sur le 918 en 10.8.0.1 et ça marche pas :(( Il me dit que ma cible n'est pas connectée.

J'ai essayé avec les adresses 10.8.0.0  et aussi 10.8.0.5 sans succès. Pour l'instant j'ai désactivé le firewall du 918, histoire d'enlever ce possible problème. 

  1. Quelle adresse dois je mettre à votre avis pour contacter le 918 via le VPN ? C'est bien 10.8.0.1 ?
  2. Que me manque t il niveau config pour que ça fonctionne ? Peut être des choses du côté du  routage sur le 916 ?

 

 

Petit maj, ça fonctionne ! J'écris ici au cas où ça puisse aider.

J'ai changé la config du serveur VPN, en cochant "autoriser aux clients l'accès lan"

J'ai recréé un connexion depuis le nas distant

Ca ne fonctionnait toujours pas en modifiant la tache hyperbackup existante, en mettant 10.8.0.1. J'ai crée une tache rsync avec cette IP qui a fonctionné ! Du coup j'ai effacé et re-créé une tache hyperbackup, et ça fonctionne !

Donc pour l'instant j'ai du rsync et hyperbackup via VPN dans les 2 sens 🙂

Il faut maintenant que je teste aussi la réplication de snapshot, pour comparer les méthodes, puis que je mette tout ça en prod.

Lien vers le commentaire
Partager sur d’autres sites

@Thierry94

Super, merci, effectivement cela fonctionne. Je n'avais pas fait le lien avec : le fichier de configuration client d'openvpn !

Pour le second point ce doit être lié au nom  de domaine et au certificat je suis pas très à l'aise avec ces derniers...

@ERAnimation

Cette partie m'intéresse "\\iplocaledunas\nomdossier fonctionne et en local et en VPN", j'aimerais bien savoir comment tu fais...

Lien vers le commentaire
Partager sur d’autres sites

@Erland dans l'explorateur windows il te suffit de taper "\\iplocaledunas\nomdossier" pour accéder au dossier cible partagé du NAS.

Cette même adresse, peut être utilisée pour connecter un lecteur réseau en permanence.

Exemple :

Mon NAS a une adresse : "192.168.1.20" et dessus un dossier partagé appelé "TEST"

Dans l'explorateur windows, en tapant " \\192.168.1.20\TEST" j'accède au dossier TEST de mon NAS (après avoir donné mon identifiant et le mot de passe).

Lien vers le commentaire
Partager sur d’autres sites

@Erland

Attention il ne faut pas confondre connexion au NAS et accès aux répertoires du nas

Quand tu es branché sur ton réseau local \\iplocaledunas et \\nomdunas te permet d'accéder aux dossier du nas à partir de l'explorateur Windows
Quand tu passes par le VPN :

  • tu t'es connecté à VPN Serveur la communication a été établie, en local tu es sur un réseau 10.8.x.x,
  • Vpn Serveur à activé une passerelle entre les réseaux locaux 10.8.x.x (VPN) et 192.168.x.x(box)
  • Donc quand tu tapes \\\iplocaledunas sur l'explorateur Windows tu as bien accès aux répertoires !
  • L'accès aux répertoires avec le nom du nas  \\nomdunas ne marche pas via un vpn,

En conclusion si tu veux que les raccourcis Windows qui pointent sur des répertoires de ton nas soient les mêmes en local et via VPN il faut les créer avec l'adresse ip locale du nas \\iplocaldunas\dossier 

 

Lien vers le commentaire
Partager sur d’autres sites

@Thierry94

Effectivement avec "avec l'adresse ip locale du nas \\iplocaldunas\dossier" c'est bcp mieux.

Je ne me souvenais plus qu'on pouvait accéder au NAS via l'IP locale de celui-ci même via le VPN.

Merci !

Maintenant si je souhaite remplacer "\\iplocaldunas\" par "\\autrenomdunas\" est-ce possible facilement ?

Modifié par Erland
Ajout complémentaire
Lien vers le commentaire
Partager sur d’autres sites

Le 13/08/2016 à 17:13, Fenrir a dit :

Le but de ce tutoriel est de vous aider à mettre en place un réseau privé virtuel (VPN) entre vous et votre NAS depuis Internet.

Bonjour,

Je dispose d'un NAS synology sur lequel j'ai pu suivre avec succès ce super tuto. J'ai ensuite installé un routeur synology en DMZ de ma Box qui gère le sous réseau sur lequel est mon NAS. Ma volonté est de sécuriser l'accès à mon NAS via un VPN mais aussi que celui-ci puisse être client VPN de fournisseurs tiers.

Ma question est simple :

Est il préférable d'avoir un serveur VPN sur mon NAS ou directement sur le routeur (et donc un accès à tous le réseau) ?
Quels sont les avantages et inconvénients ?

Je lis aussi que
VPN Plus Server » permet de connecter des clients via un navigateur internet (fonction WebVPN maison) : cela veut il dire qu’aucune configuration spécifique n'est requise sur le client (si oui utile sur des machines dont nous ne sommes pas admin) ? Est-ce aussi sur qu'une connexion VPN avec un client en lourd ?

Même question mais cette fois ci sur en tant que client VPN, vaut il mieux que le client soit mon NAS ou mon Routeur ?

Merci d'avance,

Modifié par TuringFan
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

J'ai suivi ce tuto avec succès pour le L2TP/IPSec et l'OpenVPN.

Aujourd'hui j'ai un problème le L2TP/IPSec fonctionne très bien mais quand je lance l'OpenVPN le montage du tunnel semble fonctionner (connexion active dans la liste des connexions VPN Server +  "Sequence Completed" dans les log de l'OpenVPN) pourtant impossible de me connecter au NAS en tapant l'IP dans le navigateur (comme je le fais avec le L2TP/IPSec).

Une idée de ce qui pourrait générer ce problème ?

NB : mon NAS est derrière un Routeur en DMZ de ma Livebox

Merci d'avance pour toute aide,

Modifié par TuringFan
Lien vers le commentaire
Partager sur d’autres sites

Le 03/05/2020 à 18:19, TuringFan a dit :

Bonjour,

Je dispose d'un NAS synology sur lequel j'ai pu suivre avec succès ce super tuto. J'ai ensuite installé un routeur synology en DMZ de ma Box qui gère le sous réseau sur lequel est mon NAS. Ma volonté est de sécuriser l'accès à mon NAS via un VPN mais aussi que celui-ci puisse être client VPN de fournisseurs tiers.

Ma question est simple :

Est il préférable d'avoir un serveur VPN sur mon NAS ou directement sur le routeur (et donc un accès à tous le réseau) ?
Quels sont les avantages et inconvénients ?

Je lis aussi que
VPN Plus Server » permet de connecter des clients via un navigateur internet (fonction WebVPN maison) : cela veut il dire qu’aucune configuration spécifique n'est requise sur le client (si oui utile sur des machines dont nous ne sommes pas admin) ? Est-ce aussi sur qu'une connexion VPN avec un client en lourd ?

Même question mais cette fois ci sur en tant que client VPN, vaut il mieux que le client soit mon NAS ou mon Routeur ?

Merci d'avance,

Je me réponds car une première réponse a notamment été proposé par @Mic13710 ici.
@Mic13710 dans la cas d'un NAS Synology et d'un routeur Synology (qui fait donc serveur VPN au moins en OpenVPN et en L2TP/IPSec) quel serait ton conseil ?

Argument #1 : accès à toutes les machines du réseau

  • Probablement plus naturel via un VPN routeur.
  • Ce qui peut-être vu au choix comme une fonction de plus du réseau ou comme une augmentation de la "surface" et donc un risque plus grand pour la sécurite.
  • Je crois para ailleurs que cela est également faisable avec l'option "autoriser les client a accéder au serveur LAN" du NAS.


Argument #2 : être taillé pour un VPN

  • Je me dis qu'un NAS est probablement mieux taillé (hardware, software) pour faire serveur VPN ?
  • Peut-être des sujets de débit ?

Argument #3 : Web VPN

  • Je crois comprendre que le paquet VPN Plus Server du routeur permet un accès VPN depuis un navigateur et donc sans configuration ds clients ?
  • Je n'ai rien lu de tel sur les paquets NAS. Est-ce également possible ?
  • Quel est l'impact d'un point de vue sécurité ?

Argument 4# : option passerelle multiple

  • Comme déjà évoqué sur ce forum, il semblerait que l'option "passerelle multiple" soit indipensable pour que le NAS soit client d'un VPN or elle semble amener des anomalies dans le comportement de l'OpenVPN.
  • Dans le cas ou nous utiliserions des clients en OpenVPN pour nous connecter à notre réseau local (via routeur ou NAS justement) et mettre son NAS en client d'un fournisseur de VPN tier peut être faudrait il alors qu'un appareil (routeur ou NAS) soit client VPN et que l'autre soit serveur VPN (NAS ou routeur) ?
  • EN bref ne pas avoir client VPN et serveur VPN sur la même machine.


Argument 5# : tous ce à quoi je ne pense pas mais vous si !

Preneur de vos éventuels commentaires sur tous ces points.

Modifié par TuringFan
Lien vers le commentaire
Partager sur d’autres sites

Le 13/08/2016 à 17:13, Fenrir a dit :

Il faut bien ouvrir le port UDP 1701 sur votre NAS s'il est derrière un routeur, mais il ne faut pas l'ouvrir ni le transférer sur votre routeur.

Bonjour,

Question d'un novice :

  • Que faire dans le cas où l'on souhaiterait avoir un accès en VPN à son routeur (Synology utilisant VPN Plus Server) monté en DMZ derrière sa Livebox ?
  • Je crois en effet  comprendre que le pare-feu de la Livebox est complètement transparent pour tous les éléments en DMZ.


Existe t il un tuto sur VPN Plus Server (serveur VPN pour routeur Synology).

  • Je vois en effet qu'il propose beaucoup d'autres choses que je ne maitrise pas comme des bureaux distants, des web VPN, des VPN SSL, SSTP, etc.
  • Même pour les protocoles standards il y a des aspects supplémentaires, la plage IP du client par exemple : à quoi cela correspond ?
  • On peut également choisir son DNS en L2TP, comment le faire avec VPN Server (sur NAS) ?


Merci d'avance pour vos retours,

Lien vers le commentaire
Partager sur d’autres sites

il y a 32 minutes, TuringFan a dit :

 

  • Que faire dans le cas où l'on souhaiterait avoir un accès en VPN à son routeur (Synology utilisant VPN Plus Server) monté en DMZ derrière sa Livebox ?
  • Je crois en effet  comprendre que le pare-feu de la Livebox est complètement transparent pour tous les éléments en DMZ.

 

Bonjour,

DMZ veut dire "zone démilitarisée" .

Pour la Livebox , tout le trafic  entrant ,en absence de règles prédéfinies   sera envoyé direct à l'adresse IP DMZ.

C'est un peut comme une poubelle,  les paquets IP UDP 1701  utilisés par L2TP iront direct vers le synology .

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.