Aller au contenu

[TUTO] VPN Server


Fenrir

Messages recommandés

@TuringFan

Bonjour,

il y a 17 minutes, TuringFan a dit :

j'ai l'impression qu'un problème de fonctionnement conjoint VPN (serveur et:ou client) + DNS

Je crois que tu as raison sachant que ce problème de cohabitation me semble maintenant inhérent au NAS seul.

Du coup face à cela, j'ai en quelque sorte changé mon fusil d'épaule.

Avec l'aide de @GrOoT64 que je remercie encore ici (voir les échanges dans ce post), j'ai retiré du NAS le serveur DNS ainsi que le serveur VPN et je les ai respectivement installés directement sur le RT.

Au final, à priori (je reste prudent car c'est tout nouveau) cela fonctionne sans problèmes.

Avec le VPN actif via "VPN Plus" installé sur mon smartphone (qui existe aussi sur iPhone), j'ai bien accès avec des "xxxxx.ndd.tld", à mes deux NAS (dont est considéré comme principal car portant le reverse proxy) et autres périphériques du réseau local et aussi ainsi qu'à Internet en même temps. En plus, du point ce vue sécurité, j'ai pu verrouiller l'usage des "xxxxx.ndd.tld" à uniquement lorsque je suis sur le réseau local ou lorsque je suis avec une connexion VPN active pour un accès depuis l'extérieur. Dans tout autre cas depuis l'extérieur, rien abouti, donc la sécurité est assurée.

Personnellement, cela me convient très bien comme cela.

Voilà mon retour d'expérience. Il vaut ce qu'il vaut ... Mais pour l'instant cela marche correctement alors que demander de plus ?

Cordialement

oracle7🤭

 

Lien vers le commentaire
Partager sur d’autres sites

@TuringFan

Bonne initiative 😀 Si tu lis bien AVANT tous les échanges, il y a toutes les pistes pour y arriver

J'ai fais dans la simplicité en configurant le protocole Synology VPN "SSL VPN". Pour mes besoin cela me paraît suffisant. Adieu les L2TP/IPsec, OpenVPN and co ...

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Tout d'abord merci pour ce tuto. Depuis que j'ai mon NAS (ds218j), vos instructions m'ont grandement aidé à configurer mon système.

Je me heurte à un nouveau problème. Je viens de faire l'acquisition d'un routeur TPLINK AX11000 (une belle bête). Ce routeur est capable de faire serveur OpenVPN.

Je me suis donc lancé dans la configuration avec l'aide de votre tuto en parallèle.

Mon système : Box SFR fibre connecté en rj45 au port WAN du Routeur AX11000, 1 PC et un NAS connecté en RJ45 au routeur.

IP du routeur par la box 192.168.1.97

IP du nas par le routeur 192.168.2.246

J'ai donc reconduit le port 1194 de la box vers le routeur.

J'arrive à configurer l'OpenVPN sur l'appli VPN Server du NAS et y avoir accès depuis l’extérieur.

Je souhaiterais essayer de passer par le serveur OpenVPN du routeur puis ensuite d’accéder au nas en utilisant son ip local depuis l'exterieur. ( et par la même occasion me creer un lan avec des amis exterieurs pour jouer ensemble).

Le site du routeur donne des explications très incomplètes. J'ai configuré le serveur Openvpn sur le port 1195 et en accès réseau domestique exclusivement.

Le routeur me permet de produire un fichier config openvpn :

client
dev tun
proto udp
float
nobind
cipher AES-128-CBC
comp-lzo adaptive
resolv-retry infinite
remote-cert-tls server
persist-key
persist-tun
remote 192.168.1.97 1195 que j'ai transformé en "remote IP INTERNET OU DOMAINE 1195" (j'ai pris un port différent de l'openvpn de mon nas)

Je vous passe les certificats...

J'ai alors 2 erreurs au log OpenVPN :

ROUTE: route addition failed using CreateIpFowardEntry : L'Objet existe déjà [status=5010 if_index=37] (J'arrive à la faire disparaitre en ajoutant les lignes "route-method exe" et "route-delay 2")

WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this (J'arrive à la faire disparaitre en ajoutant la ligne "auth-nocache")

D'apparence cela semble fonctionner car openvpn est connecté en vert je me fais attribué une ip 10.8.0.X sur le client et je vois dans les connexions openvpn du routeur l'adresse ip internet du client.

Mais voila impossible d’accéder aux devices connectés en LAN sur le routeur. J'ai testé "redirect-gateway def1 bypass-dhcp" mais rien n'y fait. auriez-vous une idée car je me suis un peu embrouillé avec le routage etc... Je démarre OpenVPN en administrateur, j'ai forcer le passage du réseau VPN en réseau privé.

Modifié par Riddox
Lien vers le commentaire
Partager sur d’autres sites

Il y a 4 heures, Riddox a dit :

Mais voila impossible d’accéder aux devices connectés en LAN sur le routeur. J'ai testé "redirect-gateway def1 bypass-dhcp" mais rien n'y fait. auriez-vous une idée car je me suis un peu embrouillé avec le routage etc... Je démarre OpenVPN en administrateur, j'ai forcer le passage du réseau VPN en réseau privé.

Je sais qu'en plus l'option de redirection du trafic sur le serveur VPN du NAs il y a de mémoire une option d'autorisation d'accès au LAn par les clients, il y a peu être un équivalent sur le soft de ton routeur ... 

***

Bonjour à tous,

Je me permets également de vous écrire car en raison de différents problèmes rencontrés avec l'utilisation conjuguée du DNS server et du VPN Server sur le NAS j'ai passé ces deux serveur sur mon Routeur.

Aujourd'hui cela fonctionne (presque) parfaitement grâce à l'aide de @oracle7 et @GrOoT64 : merci encore !

Presque parfaitement car j'utilise la solution SSL VPN du paquet VPN Plus or cela fonctionne sur tous mes clients iOS mais pas sur mon client Windows : en tapant l'URL https://ndd.tld:4443 j'arrive bien sur la page web de connexion SSL VPn, je me log avec mon user pour le routeur et ça fonctionne mais ensuite impossible de faire quoi que ce soit car on me dit que mon client SSL Synology n'est pas installé ! J'ai pourtant fait l'installation : désinstallation à plusieurs reprises. Pouvez-vous svp m'aider ?

Par ailleurs que pensez vous de ce protocole SSL VPN Synology qui impose l'utilisation d'un client spécifique Synology et qui passe par un interface web : est-ce bien sécurisé ? Ne passe t on pas par des serveurs tiers ?

Merci par avance,

NB : @alan.dub tu pourrais être intéressé par ce post

Modifié par TuringFan
Lien vers le commentaire
Partager sur d’autres sites

@TuringFan

il y a 31 minutes, TuringFan a dit :

J'ai pourtant fait l'installation : désinstallation à plusieurs reprises

Installation de quoi ? je ne te comprends pas ,désolé.

Pour ce qui est de la connexion avec un client WIN en externe, c'est un truc que je n'ai pas pu tester faute de moyens matériels. Je n'ai qu'un PC sur mon réseau local. Aussi je ne te serais pas d'une grande aide. J'en suis sûr il y aura bien quelqu'un ici pour donner la solution.

Peut-être qu'il faut installer "OpenSSL" sur le PC. Piste à voir//suivre ? Personnellement, je l'utilise à d'autres fins : convertir les fichiers .pem des certificats en .p12 pour pouvoir charger  ces certificats sur smartphone Android.

il y a 31 minutes, TuringFan a dit :

Par ailleurs que pensez vous de ce protocole SSL VPN Synology qui impose l'utilisation d'un client spécifique Synology et qui passe par un interface web : est-ce bien sécurisé ? Ne passe t on pas par des serveurs tiers ?

A mon humble avis, le protocole SSL VPN est un protocole de communication propriétaire développé par Synology semblable à OpenVPN (qui lui, est open source et est aussi basé sur SSL). Il ne fait qu'utiliser une méthode d'authentification différente et qui lui est propre pour s'accorder plus facilement à l'environnement DSM/SRM. Pour le cryptage c'est et reste du SSLv3 standard. Il faut bien voir (pour faire simple) que ce n'est qu'un protocole donc une manière particulière de permettre à des pairs de s'authentifier entre eux à l'aide d'une clé privée partagée à l'avance, de certificats électroniques ou de couples de noms d'utilisateur/mot de passe. J'espère ne pas me tromper en disant que le serveur VPN sur le RT a lui, pour rôle de "tunneliser", de manière sécurisée et directe, des données sur un seul port TCP/UDP à travers un réseau non sûr comme Internet vers le client qui se connecte à ce serveur. Certes, il est évident que la liaison passe par des serveurs tiers mais ceux-ci ne voient que des données cryptées de bout en bout qui transitent "sous leurs yeux" et heureusement ils n'en voient pas plus.

Par ailleurs, tout comme OpenVPN utilise une interface de connexion qui lui est propre, Synology a la sienne qui à mon avis est extrêmement simple et efficace.

Voilà ma vision sur cet aspect sécurité du protocole et qui n'engage que moi ...

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 53 minutes, oracle7 a dit :

Installation de quoi ? je ne te comprends pas ,désolé.

L'installation du client windows Synology SSL VPN Client téléchargeable ici.

il y a 56 minutes, oracle7 a dit :

convertir les fichiers .pem des certificats en .p12 pour pouvoir charger  ces certificats sur smartphone Android.

Quel en est l'intérêt : de mon côté le certificat LE généré sur le NAS et dupliqué sur le RT semble faire le job y compris avec un client Android.
Avec un smartphone Android le site apparaît bien en sécurisé.

il y a 57 minutes, oracle7 a dit :

A mon humble avis, le protocole SSL VPN est un protocole de communication propriétaire développé par Synology semblable à OpenVPN (qui lui, est open source et est aussi basé sur SSL). Il ne fait qu'utiliser une méthode d'authentification différente et qui lui est propre pour s'accorder plus facilement à l'environnement DSM/SRM. Pour le cryptage c'est et reste du SSLv3 standard. Il faut bien voir (pour faire simple) que ce n'est qu'un protocole donc une manière particulière de permettre à des pairs de s'authentifier entre eux à l'aide d'une clé privée partagée à l'avance, de certificats électroniques ou de couples de noms d'utilisateur/mot de passe. J'espère ne pas me tromper en disant que le serveur VPN sur le RT a lui, pour rôle de "tunneliser", de manière sécurisée et directe, des données sur un seul port TCP/UDP à travers un réseau non sûr comme Internet vers le client qui se connecte à ce serveur. Certes, il est évident que la liaison passe par des serveurs tiers mais ceux-ci ne voient que des données cryptées de bout en bout qui transitent "sous leurs yeux" et heureusement ils n'en voient pas plus.

Par ailleurs, tout comme OpenVPN utilise une interface de connexion qui lui est propre, Synology a la sienne qui à mon avis est extrêmement simple et efficace.

Je suis en accord sur les grandes lignes mais le fait d'être tributaire du Synology pour avoir le bon client me dérange un peu.
Par ailleurs rien en dit qu'après septembre les licences seront encore gratuites ...

Lien vers le commentaire
Partager sur d’autres sites

Il y a 9 heures, TuringFan a dit :

L'installation du client windows Synology SSL VPN Client téléchargeable ici.

Pas besoin ! Tu te connectes à (https://ndd.tld:4443) pour toi et ton routeur devrait te proposer d'installer ce qu'il faut. (en gros une carte réseau virtuelle dédiée au VPN)

Lien vers le commentaire
Partager sur d’autres sites

@TuringFan,

C'est l'interface qui te demande cette installation oui mais tu pourras le faire seulement depuis l'extérieur de ton LAN (sur le pc du travail par exemple si toutefois le VPN est autorisé ! Méfiance avec ça, ça peut être un risque de licenciement !) 

Après, si tu es si réfractaire au SSL VPN de syno, tu prends l' OpenVPN. Je t'aiderai à configurer ça demain (toute à l'heure) si tu veux. 

Modifié par GrOoT64
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

J'ai un NAS 218+ et je voudrais m'y connecter en VPN depuis mon smartphone Android 9.

Je n'ai pas de nom de domaine autre qu'un DDNS xxxx.myDs.me

 

J'ai choisi OPENVPN.

Et j'ai réussi à me connecter , je vois bien mon téléphone dans la liste des connexions du VPN server sur le NAS.

Évident avec un bon tuto comme celui-ci.

Mais... oui il y a un "mais" lorsque j'active le client OpenVPN sur mon smartphone vers mon NAS, il m'indique qu'il n'y a pas de certificat sur ce profil et me propose d'en installer 1.

Je peux aussi choisir "Continue" et je me connecte alors sur le VPN server du NAS.

 

Alors la question est:  de quoi il parle???   

Du certificat LE du NAS?

Du certificat de OpenVPN ? mais il est censé être inclus dans le fichier de config "openvpn.ovpn"  et je le trouve après <ca> BEGIN CERTIFICATE   xxxxx END CERTIFICATE . Y a en même 2 BEGIN CERTIFICATE et END CERTIFICATE

J'ai aussi essayer d’installer les certificats contenus dans ca_bundle.crt et ca.crt . Android me dit "certificat installé". Mais OpenVPN continue de dire qu'il n'y a pas de certificat sur ce profil.

 

Donc est-il possible que le client Android OPENVPN puisse se connecter à mon serveur VPN sur le NAS sans valider un certificat? C'est pas contradictoire avec le protocole VPN?

Quelle est la conséquence pour ma config? Quelle sécurité est affaiblie?

Comment résoudre ce problème de certificat pas trouvé?

Merci d'avance.

 

Modifié par Chapstm
Lien vers le commentaire
Partager sur d’autres sites

Merci pour ce super tuto !

Avant de finaliser ce qui est recommandé ici, j'ai une petite question (bête surement) : je possède express VPN sur mon pc. Configurer OPEN VPN (par exemple) va t'il créer un conflit avec Express VPN ? Est-il possible de se passer d'OPEN VPN grâce à Express VPN ?

Lien vers le commentaire
Partager sur d’autres sites

Ils n'ont pas la même fonctionnalité, le tutoriel reprend l'installation d'un serveur OpenVPN, ça te permet de te connecter sur ton NAS depuis l'extérieur.
Si tu installes ExpressVPN, c'est ton NAS qui devient client, et qui se connecte sur le serveur VPN d'ExpressVPN.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 4 heures, .Shad. a dit :

Ils n'ont pas la même fonctionnalité, le tutoriel reprend l'installation d'un serveur OpenVPN, ça te permet de te connecter sur ton NAS depuis l'extérieur.
Si tu installes ExpressVPN, c'est ton NAS qui devient client, et qui se connecte sur le serveur VPN d'ExpressVPN.

Merci pour ta réponse mais est-ce que dans les deux cas je peux me connecter à distance sur le NAS ? Si oui, quelle est la meilleure option ?

Lien vers le commentaire
Partager sur d’autres sites

Je n'ai jamais testé, mais j'imagine que si ton NAS est client d'un VPN, tu pourrais rencontrer des problèmes en essayant de te connecter à son adresse "hors VPN".
D'autres que moi ont sûrement un feedback plus constructif à ce sujet.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, Outimeme a dit :

Si oui, quelle est la meilleure option ?

Je pense que la meilleure option, ce serait que tu approfondisses ce qu'est un VPN et à quoi ça sert. Et que tu confrontes cela à tes besoins...

C'est comme si tu demandais quel est le meilleur outils entre un marteau et un tournevis. On ne peut que te répondre par une autre question : tu veux t'en servir pour planter un clou ou visser une vis ?

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,


Je suis en train de configurer un serveur OpenVPN sur mon RT (paquet VPN Plus).
Je l'avais déjà fait avec succès sur mon NAS mais comme abordé à différents endroits sur ce forum depuis peu cela générait des problèmes avec le serveur DNS (qui était lui aussi sur le RT).
Bref déménagement des deux serveurs sur le RT.

Aujourd'hui mon client OpenVPn ne parvient pas à se connecter et le log indisue : "tls key negociation problème openvpn nas serveur".
Après un scan du port 1194 TCP/UDP celui ci apparait en filtré bien que ouvert dans mon pare-feu du RT.

Auriez-vous une idée de la solution ?

Merci d'avance,

@GrOoT64 je me permets de te tagger car je crois que tu as monté l'OpenVPn sur VPN Plus.

Modifié par TuringFan
Lien vers le commentaire
Partager sur d’autres sites

Tu as bien modifié le fichier de conf ?

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

To set up an OpenVPN client on Windows:

1. Install OpenVPN client on Windows
   *An OpenVPN client on Windows is called OpenVPN GUI. 
   *Download it from http://openvpn.net/index.php/open-source/downloads.html and install the client. 
   *The default installation directory is C:\ProgramFiles\OpenVPN.

2. Run OpenVPN GUI as administrator. 

3. Edit  VPNConfig.ovpn and replace YOUR_SERVER_IP with public IP of your Router.
   *Remove # before "redirect-gateway def1" to route all client traffic (including web-traffic) through this VPN Server.

4. Put  VPNConfig.ovpn into the config subdirectory under OpenVPN directory
   (ie. C:\Program Files\OpenVPN\config\).

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Modifié par GrOoT64
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.