[TUTO] VPN Server

[TuringFan]

@Juan luis

Merci pour ta réponse éclairante, j'avais donc cette fois-ci à peu près bien cerné le concept.

du coup dans cette configuration comment devons nous régler le parefeu : avec une ouverture 1701 ou non ?

Fenrir indique explicitement  qu'il ne faut pas l'ouvrir ou transférer sur le routeur mais dans ce cas c'est le routeur qui héberge le serveur VPN et non plus le NAS ! As tu une idée ?

[oracle7]

@TuringFan

Il faut suivre ce qu'a dit Fenrir :

Citation

 

Il faut bien ouvrir le port UDP 1701 sur votre NAS s'il est derrière un routeur, mais il ne faut pas l'ouvrir ni le transférer sur votre routeur.

Donc , sur le parefeu du NAS :

sur le parefeu du RT : rien sur le port 1701.

Cordialement

oracle7😉

 

Modifié le 11 mai 2020 par oracle7

[Juan luis]

il y a 10 minutes, TuringFan a dit :

du coup dans cette configuration comment devons nous régler le parefeu : avec une ouverture 1701 ou non ?

Fenrir indique explicitement  qu'il ne faut pas l'ouvrir ou transférer sur le routeur mais dans ce cas c'est le routeur qui héberge le serveur VPN et non plus le NAS ! As tu une idée ?

Si c'est le routeur qui fait serveur , et qu'il est DMZ de la livebox  c'est pareil pour la livebox , rien à faire.

Sur le routeur ça dépend du materiel , parfois la config d'un serveur VPN ouvre en même temps les ports utilisés dans le FW.

 

[TuringFan]

il y a 11 minutes, oracle7 a dit :

@TuringFan

Il faut suivre ce qu'a dit Fenrir :

Donc , sur le parefeu du NAS :

sur le parefeu du RT : rien sur le port 1701.

Cordialement

oracle7😉

 

 

@oracle7 : mais si je comprends bien cela est valable pour un VPN sur un NAS (qui est derrière un RT). Quid de la situation où on souhaiterait accéder au RT via VPN (il ne serait donc protéger par aucun pare-feu en dehors du sien car en DMZ de la LiveBox) mais le 1701 devrait être ouvert poour le fonctionnement du VPn non ?

il y a 2 minutes, Juan luis a dit :

ouvre en même temps les ports utilisés dans le FW.

@Juan luis Pas certain de comprendre (voire certain de ne pas comprendre) ?

Modifié le 10 mai 2020 par TuringFan

[Juan luis]

il y a 4 minutes, TuringFan a dit :

@oracle7 : mais si je comprends bien cela est valable pour un VPN sur un NAS (qui est derrière un RT). Quid de la situation où on souhaiterait accéder au RT via VPN (il ne serait donc protéger par aucun pare-feu en dehors du sien car en DMZ de la LiveBox) mais le 1701 devrait être ouvert poour le fonctionnement du VPn non ?

@Juan luis Pas certain de comprendre (voire certain de ne pas comprendre) ?

en tant que serveur VPN je ne connais que la freebox et les routeurs TPLINK : Sur ces équipements , il n'y a aucun ports à ouvrir , ça se fait tout seul implicitement

Modifié le 10 mai 2020 par Juan luis

[TuringFan]

il y a 1 minute, Juan luis a dit :

je ne connais que la freebox et les routeurs TPLINK

Les routeurs Synology ont à paquet dédié (VPN Plus Server) qui permet de faire encore plus de choses (que je ne maîtrise pas) que VPN server (sur NAS) comme du webVPN, du bureau à distance, etc.

[oracle7]

@TuringFan

Bonne question à laquelle je ne sais répondre, effectivement le tuto de Fenrir ne concerne pas ce type de configuration (VPN sur le RT directement).

Là il faut l'avis d'un expert réseau/NAS ce qui ne manque pas sur ce forum. @DaffY, @Mic13710 au secours !! Vos avis SVP.

Par ailleurs, ce que je ne comprends pas quand on active un VPN entre le client (via le Routeur) et le NAS support du seveur VPN (accessoirement c'est alors un tunnel parallèle à la liaison standard du réseau local qui se trouve établit, cette dernière étant "bypassée"), comment font alors certains qui disent accéder par ce VPN à Internet. En toute logique le tunnel VPN n'est établit qu'entre le client (via le RT) et le NAS. Si, en plus le NAS est derrière le RT dans le réseau local du RT, je ne vois pas comment il pourrait faire remonter ses paquets de données vers Internet. Là il faut m'expliquer ?????

De plus, que je saches, c'est toujours le client qui initie la connexion VPN en s'adressant au serveur VPN et pas l'inverse, ou alors je n'ai rien compris. Donc, le client est sur le réseau local du routeur et le serveur VPN sur le routeur, lorsque le client établit la connexion VPN c'est entre lui et le routeur seulement. Ce que je ne sais pas dans ce cas lorsque cette liaison est établie si le client demande une URL sur Internet est-ce qu'il bénéficie alors du tunnel VPN jusqu'à cette URL voyant ainsi sa navigation vers cette URL "confidentialisée". Mais j'en doute fortement. Je crois que le tunnel VPN s'arrête au serveur VPN donc au RT et ensuite la liaison n'est plus sécurisée entre le RT et l'URL sur Internet.

Ton avis STP, je délire ou pas ?

Cordialement

oracle7😉

Modifié le 10 mai 2020 par oracle7

[Mic13710]

Désolé les gars, mais d'une part je ne connais pas le serveur VPN Plus, et d'autre part je n'ai pas beaucoup de temps en ce moment à consacrer au forum. J'y fais juste des passages éclairs.

[TuringFan]

il y a 18 minutes, oracle7 a dit :

@TuringFan

Bonne question à laquelle je ne sais répondre, effectivement le tuto de Fenrir ne concerne pas ce type de configuration (VPN sur le RT directement).

Là il faut l'avis d'un expert réseau/NAS ce qui ne manque pas sur ce forum. @DaffY, @Mic13710 au secours !! Vos avis SVP.

Par ailleurs, ce que je ne comprends pas quand on active un VPN entre le le Routeur et le NAS (accessoirement c'est alors un tunnel parallèle à la liaison standard du réseau local qui se trouve établit, cette dernière étant "bypassée"), comment font certains qui disent accéder par ce VPN à Internet. En toute logique le tunnel VPN n'est établit qu'entre le RT et le NAS. Si, en plus le NAS est derrière le RT dans le réseau local du RT, je ne vois pas comment il pourrait faire remonter ses paquets de données vers Internet. Là il faut m'expliquer ?????

De plus, que je saches, c'est toujours le client qui initie la connexion VPN en s'adressant au serveur VPN et pas l'inverse, ou alors je n'ai rien compris. Donc, le client est sur le réseau local du routeur et le serveur VPN sur le routeur, lorsque le client établit la connexion VPN c'est entre lui et le routeur seulement. Ce que je ne sais pas dans ce cas lorsque cette liaison est établie si le client demande une URL sur Internet est-ce qu'il bénéficie alors du tunnel VPN jusqu'à cette URL voyant ainsi sa navigation vers cette URL "confidentialisée". Mais j'en doute fortement. Je crois que le tunnel VPN s'arrête au serveur VPN donc au RT et ensuite la liaison n'est plus sécurisée entre le RT et l'URL sur Internet.

Ton avis STP, je délire ou pas ?

Cordialement

oracle7😉

De mon côté je ne sui sclaiement pas compétent pour répondre, d'où mes questions.

mais je ne suis pas certain de comprendre ta notion de VPN entre le RT et le NAS, pour le client est en VPN avec l'un ou l'autre modulo l'option permettant un accès à tous le LAN.

[oracle7]

@TuringFan

Oups je comprends que tu n'ai pas compris, désolé, je me suis effectivement mal exprimé.

Dans le premier § quand je disais "le tunnel VPN n'est établit qu'entre le RT et le NAS" en fait c'est cela que je voulais dire : "le tunnel VPN n'est établit qu'entre le client via le RT et le NAS". La liaison VPN est bien comme cela : Client --> via RT --> NAS (support du serveur VPN).

Dans le second § la liaison est bien : Client --> RT( support du serveur VPN) --- ........ --> Internet. Le NAS n'intervient pas.

C'est plus clair maintenant ?

J’édite mon post précédent dans ce sens pour ne pas perturber les autres lecteurs.

Peux-tu aussi supprimer la citation à mon propos mal rédigé dans ta réponse précédente. Merci.

Cordialement

oracle7😉

Modifié le 10 mai 2020 par oracle7

[Juan luis]

il y a une heure, oracle7 a dit :

 

 

Par ailleurs, ce que je ne comprends pas quand on active un VPN entre le client (via le Routeur) et le NAS support du seveur VPN (accessoirement c'est alors un tunnel parallèle à la liaison standard du réseau local qui se trouve établit, cette dernière étant "bypassée"), comment font alors certains qui disent accéder par ce VPN à Internet. En toute logique le tunnel VPN n'est établit qu'entre le client (via le RT) et le NAS. Si, en plus le NAS est derrière le RT dans le réseau local du RT, je ne vois pas comment il pourrait faire remonter ses paquets de données vers Internet. Là il faut m'expliquer ?????

Dans une configuration standard , le client VPN monte un tunnel (à travers internet) et se retrouve sur le LAN du serveur VPN. Une fois sur le LAN distant , coté serveur, le client peut aussi sortir sur l' accès Internet du serveur.

C'est ainsi que les fournisseurs de VPN permettent aux petits cachotiers d'utiliser une adresse IP des USA ou de Singapour  pour surfer ni vu ni connu par hadopi

[oracle7]

@Juan luis

il y a 4 minutes, Juan luis a dit :

Dans une configuration standard , le client VPN monte un tunnel (à travers internet) et se retrouve sur le LAN du serveur VPN. Une fois sur le LAN distant , coté serveur, le client peut aussi sortir sur l' accès Internet du serveur.

Lorsque le client se trouve comme tu dis sur le LAN distant coté serveur, il a effectivement une @IP "étrangère" ce qui masque sa réelle @IP de départ mais il n'empêche qu'à partir de là le reste de sa navigation n'est pas confidentielle.

Par ailleurs, ce cas de figure suppose que le tunnel VPN est établit entre le routeur du client et le serveur VPN tiers situé je ne sais où (en fait si, on sait puisque que l'on choisit ce serveur au départ).

Hors dans la discussion précédente il s'agit de sortir sur Internet de façon confidentielle à partir du serveur VPN installé sur le routeur du client et c'est là que je pense que cette façon de procéder n'est pas possible et qu'il faut obligatoirement passer par un serveur VPN Tiers externe.

Cordialement

oracle7😉

 

[Kramlech]

Un VPN (Virtual Private Network) permet d'établir une connexion privée entre le client VPN et le serveur VPN. C'est un peu comme si on connectait directement la machine cliente à la machine serveur via un cable éthernet.

D'ou les conséquences (en simplifiant) :

• La liaison n'est pas visible sur internet
• C'est comme si la machine cliente faisait partie du réseau local de la machine serveur
• Cela ne sert à rien ne connecter une machine cliente à une machine serveur si les deux appartiennent au même réseau local ...

Il y a 2 heures, oracle7 a dit :

il s'agit de sortir sur Internet de façon confidentielle à partir du serveur VPN installé sur le routeur du client et c'est là que je pense que cette façon de procéder n'est pas possible et qu'il faut obligatoirement passer par un serveur VPN Tiers externe.

Tu as tout a fait raison !!!!

[Juan luis]

Il y a 11 heures, oracle7 a dit :

 

 

 

Hors dans la discussion précédente il s'agit de sortir sur Internet de façon confidentielle à partir du serveur VPN installé sur le routeur du client et c'est là que je pense que cette façon de procéder n'est pas possible et qu'il faut obligatoirement passer par un serveur VPN Tiers externe.

Cordialement

oracle7😉

 

Bonjour ,

Sur internet , techniquement , la confidentialité n'existe pas on peut juste changer d'adresse IP source en passant par un VPN. Le client VPN peut être dans le terminal , PC , iphone tablette ou dans le routeur selon les besoins

Mais attention à l'effet "22 Asnières" si on passe tout le trafic dans le VPN. De plus certain services ne fonctionnent  plus à travers un VPN.

A mon avis il vaut mieux utiliser le client VPN à la demande dans les  terminaux. Dans le routeur c'est plus pour des petites entreprises , ou pour relier sa résidence secondaire à la principale .

[TuringFan]

Bonjour @oracle7, @Juan luis et @Kramlech

Jj me permets de revenir dans le débat pour resituer le questionnement que j'avais.

Je dispose d'un NAS synology et d'un Routeur Synology.

Mon besoin premier est de sécuriser mes accès à ces deux machines : soit en local soit via VPN, rien d'autre.
Ensuite je souhaiterais "protéger" mon NAS en le configurant comme client d'un fournisseur VPN tiers auquel je suis abonné.

De là, la question de choisir quelle machine sur laquelle héberger mon Serveur VPN : RT ou NAS ?
Je crois en par ailleurs comprendre que l'option passerelle multiple est indispensable pour configurer son NAS en client d'un VPN or comme expliqué ici elle génère des problèmes sur le serveur VPN : par élimination je pensais donc configuerer mon NAS en client VPN et mon RT en serveur VPN.
D'où une autre question : quel doit être la configuration du port 1701 sur un RT qui porte le serveur VPN (et est monté en DMZ d'une LiveBox) ? En effet, selon le super tuto de Fenrir, ce port doit être ouvert sur la machine qui porte le serveur VPN (NAS dans le tuto mais RT dans mon cas) mais fermé / non forwardé sur le routeur (également serveur VPN dans mon cas).

Un sujet dédié existe ICI.

Cordialement,

[Juan luis]

il y a 19 minutes, TuringFan a dit :

De là, la question de choisir quelle machine sur laquelle héberger mon Serveur VPN : RT ou NAS ?
Je crois en par ailleurs comprendre que l'option passerelle multiple est indispensable pour configurer son NAS en client d'un VPN or comme expliqué ici elle génère des problèmes sur le serveur VPN : par élimination je pensais donc configuerer mon NAS en client VPN et mon RT en serveur VPN.
D'où une autre question : quel doit être la configuration du port 1701 sur un RT qui porte le serveur VPN (et est monté en DMZ d'une LiveBox) ? En effet, selon le super tuto de Fenrir, ce port doit être ouvert sur la machine qui porte le serveur VPN (NAS dans le tuto mais RT dans mon cas) mais fermé / non forwardé sur le routeur (également serveur VPN dans mon cas).

Un sujet dédié existe ICI.

Cordialement,

Bonsoir , une premier élément de réponse.

Puis-je configurer mon Synology NAS en tant que serveur VPN et client en même temps?

Non, vous ne pouvez pas configurer votre Synology NAS en tant que serveur VPN et client en même temps..

Et si il n'y a que le NAS qui télécharge 😇, c'est donc client dans le Nas et serveur sur routeur.

Mais est ce sur un accès fibre ? car un serveur VPN ça ralentit

Concernant la configuration des ports , il semble que dans le serveur VPN, il soit nécessaire de les ouvrir , ça se fait pas tout seul dans les synology.

[oracle7]

@TuringFan

Bonjour,

il y a 52 minutes, TuringFan a dit :

Ensuite je souhaiterais "protéger" mon NAS en le configurant comme client d'un fournisseur VPN tiers auquel je suis abonné.

Recherches sur le présent forum, il me semble avoir déjà vu des discussions pour configurer avec "Download Station" (sur le NAS) avec des fournisseurs VPN tiers du style NordVPN et autres.

Pour ma part, j'utilise NordVPN mais configuré à partir de mon PC sur le réseau local ( je vois pas l'intérêt de télécharger directement sur  le NAS, au moins ce dernier n'est pas ouvert vers l'extérieur dans ce cas de figure). Cela marche nickel !

il y a 59 minutes, TuringFan a dit :

De là, la question de choisir quelle machine sur laquelle héberger mon Serveur VPN : RT ou NAS ?

Attention pour une bonne compréhension, la machine où tu installes le serveur VPN permet à un client d'établir une connexion vers cette machine. Le tunnel est donc entre ce client et le serveur VPN. Donc :

• Si ce dernier est le NAS, ton client peut-être indifféremment :
  • sur le réseau local (ce qui n'a pas de sens d'un point de vue confidentialité sauf en entreprise)
  • ou à l'extérieur depuis n'importe où mais dans ce cas tu n’accèderas jamais au réseau local depuis l'extérieur, seulement au NAS et à ses dossiers partagés.
• Si ce dernier est sur le routeur, ton client peut-être indifféremment :
  • sur le réseau local (mais quel intérêt de "confidentialiser" une liaison interne locale sauf en entreprise)
  • ou à l'extérieur depuis n'importe où et dans ce cas tu pourras accéder via un tunnel confidentiel au réseau local derrière le routeur depuis l'extérieur.

Cordialement

oracle7😉

 

[TuringFan]

@Juan luis

Qu’est ce que l’effet 22 Asnières ?

Oui j’ai la fibre et je pense effectivement à avoir mon NAS comme client d’un tiers.

Sur les ports la question concerne spécifiquement le 1701. Que dois je faire, l’ouvrir ou le fermer ?

En effet Fenrir dit qu’il faut l’ouvrir sur la machine qui héberge le serveur VPN (le NAS pour Fenrir, le routeur pour moi) mais qu’il faut le fermer sur ke routeur (qui est aussi la machine avec le serveur VPN chez moi).

@oracle7

J’ai pour ma part HMA en fournisseur VPN qui fait très bien le job.

Comme tu le sais j’ai par ailleurs un serveur VPN sur mon NAS et en cochant la bonne option (« autoriser LAN » ou un truc du style) je te confirme que les clients ont bien accès aux autres appareils de mon LAN dont mon routeur.

Mais comme déjà évoqué je pense qu’il sera difficile d’avoir serveur VPN et client VPN sur la même machine car selon les lectures « passerelles multiple » doit être activé (ce qui génère d’autres problèmes) et les protocoles serveur et client doivent être différents ce qui t’imposes de choisir OpenVPN ou L2TP/IPSec pour tes clients (ce qui ne m’arrange pas). Enfin le paquet VN du routeur permets d’utiliser beaucoup plus de protocoles (dont du web VPN).

Cordialement,

@oracle7 je poursuis ici notre conversation VPN initiée sur le sujet Certificat.

Erreur de ma part c'est bien en LAn que je peux accéder au NAS en IP privée et non avec le VPN.

Merci pour le ".tld".

Modifié le 11 mai 2020 par TuringFan

[Juan luis]

Il y a 9 heures, TuringFan a dit :

@Juan luis

Qu’est ce que l’effet 22 Asnières ?

Oui j’ai la fibre et je pense effectivement à avoir mon NAS comme client d’un tiers.

Sur les ports la question concerne spécifiquement le 1701. Que dois je faire, l’ouvrir ou le fermer ?

En effet Fenrir dit qu’il faut l’ouvrir sur la machine qui héberge le serveur VPN (le NAS pour Fenrir, le routeur pour moi) mais qu’il faut le fermer sur ke routeur (qui est aussi la machine avec le serveur VPN chez moi).

 

Bonjour,

 

En utilisant un client VPN sur un routeur tout le trafic va passer par le serveur .

SI c'est à Singapour, tu fera le tour de la terre pour consulter ta banque est si le serveur est ralenti tout sera ralenti.

Concernant les ports TCP UPD  nécessaires au serveur VPN, il faut qu'ils arrivent jusqu'au serveur.Donc selon les équipements traversés , il faut utiliser les fonctions DMZ ou "ports forwarding" jusqu'au serveur

[oracle7]

@Juan luis

Il y a 4 heures, Juan luis a dit :

Donc selon les équipements traversés , il faut utiliser les fonctions DMZ ou "ports forwarding" jusqu'au serveur

Je n'ai rien compris ????? Tu peux être plus clair STP ....

Cordialement

oracle7😉

[Juan luis]

il y a 3 minutes, oracle7 a dit :

@Juan luis

Je n'ai rien compris ????? Tu peux être plus clair STP ....

Cordialement

oracle7😉

Si tu as une box , un routeur Wifi , puis un NAS  , tu peux mettre dans la box DMZ: l'IP du routeur. Dans le routeur DMZ: IP du NAS .

Puis tu configure le NAS,  pour que les ports arrivent bien au serveur VPN, que le FW ne les bloque pas.

[oracle7]

@Juan luis

Ok Merci pour ta réponse mais cela me paraît bien compliqué ...

Cordialement

oracle7😉

[TuringFan]

Il y a 6 heures, Juan luis a dit :

Si tu as une box , un routeur Wifi , puis un NAS  , tu peux mettre dans la box DMZ: l'IP du routeur. Dans le routeur DMZ: IP du NAS .

Puis tu configure le NAS,  pour que les ports arrivent bien au serveur VPN, que le FW ne les bloque pas.

Effectivement, comme pour @oracle7 j'ai l'impression que cela amène une complexité supplémentaire.

Le problème de fond pour moi (sauf si je comprends mal) c'est que Fenrir indique explicitement (i) de ne jamais ouvrir sur l’extérieur le port 1701 (il faut le protéger derrière un ou plusieurs niveaux de pare-feu) et (ii) d'ouvrir le port 1701 sur le serveur VPN.

Or dans notre cas (serveur VPN sur un RT en DMZ de la Livebox) si j'ouvre le port 1701 alors le serveur VPN fonctionnera mais le port sera exposé à l’extérieur (car pas de pare-feu sur la Livebox puisque la DMZ est transparente)  mais si je n'ouvre pas le port 1701 pour le protéger de l’extérieur alors c'est le serveur VPN qui ne fonctionnera pas.

Que dois-je faire @Juan luis ?

[Juan luis]

Il y a 1 heure, TuringFan a dit :

Or dans notre cas (serveur VPN sur un RT en DMZ de la Livebox) si j'ouvre le port 1701 alors le serveur VPN fonctionnera mais le port sera exposé à l’extérieur (car pas de pare-feu sur la Livebox puisque la DMZ est transparente)  mais si je n'ouvre pas le port 1701 pour le protéger de l’extérieur alors c'est le serveur VPN qui ne fonctionnera pas.

Que dois-je faire @Juan luis ?

Bonsoir,

C'est sûr que si on choisit d’héberger des services sur son accès internet on doit accepter d' ouvrir la porte pour permettre des connexions venant de l’extérieur. En VPN , il me semble que c'est le  PPTP qui est souvent attaqué

On  peut aussi filtrer les adresses IP autorisées à entrer et  regarder les logs de temps en temps pour voir si il y a des  tentatives chelous...

Sinon on cherche des solution externes plus sures et surtout plus fiables mais payantes.

Modifié le 12 mai 2020 par Juan luis

[TuringFan]

Bonjour @Juan luis

Il y a 21 heures, Juan luis a dit :

C'est sûr que si on choisit d’héberger des services sur son accès internet on doit accepter d' ouvrir la porte pour permettre des connexions venant de l’extérieur. En VPN , il me semble que c'est le  PPTP qui est souvent attaqué

Pour le coup je le vois plus come une contrainte qu'un véritable choix. Mon objectif est toujours le même :
- Accéder à mon NAS et mon RT exclusivement en local ou en VPN : il faut monter un serveur VPN sur l'un des deux
- Configurer mon NAS en client VPN  : il faut activer l'option passerelle multiple (cf. cet article)
- Accéder à mes appareils avec un monAPPAREIL.ndd.tld en local et en VPN : il faut apparemment désactiver l'option des passerelles multiples (cf. ce post)

Du coup je me dis que la seule solution qui me reste est de mettre le serveur VPN sur le RT et de configuerer le NAS en client VPN.

Si tu vois une autre méthode je suis preneur !

Il y a 21 heures, Juan luis a dit :

Sinon on cherche des solution externes plus sures et surtout plus fiables mais payantes.

As tu des exemples ?