[TUTO] VPN Server

[.Shad.]

Quelle est la vitesse d'upload de la connexion de ton domicile ?

[Juan luis]

il y a 48 minutes, Dark-Spirit a dit :

Salut, oui c'est étrange, selon tes infos je devrais avoir des vitesse autour des 80-90Mb/s mais je plafonne à 20Mb/s

 

 

Bonjour et Joyeux Noël.

Le débit en VPN dépend du débit des liaisons de chaque extrémité et de la puissance de calcul de chaque extrémité.

Par exemple le client vpn installé sur un mobile ou sur PC 8 cœurs ne donnera pas les mêmes resultats et ça dépend aussi de la puissance du serveur. Avec l'arrivée de la 5G et de la fibre , le vpn va devenir le goulot d'étranglement.

[MilesTEG1]

@.Shad. @Dark-Spirit

ton nas il fait autre chose quand tu fais les tests de débits ?

sinon il serait en effet intéressant de connaître le débit des connexions de part et d’autre du vpn.

Il faut que je retrouve comment j’avais fait a une époque pour tester le débit d’une connexion wifi avec iPerf3...

[ACDC]

Il y a 2 heures, .Shad. a dit :

Quelle est la vitesse d'upload de la connexion de ton domicile ?

100Mb/s Upload, 500Mb/s Download, en SFTP ou via DSM à distance j'atteints sans soucis les 100Mb/s

Citation

ton nas il fait autre chose quand tu fais les tests de débits ?

Non rien de spécial, le processeur est à 4% d'utilisations et la RAM autour des 15-20%. Le NAS n'est pas très solicité.

Citation

 

Bonjour et Joyeux Noël.

Le débit en VPN dépend du débit des liaisons de chaque extrémité et de la puissance de calcul de chaque extrémité.

Par exemple le client vpn installé sur un mobile ou sur PC 8 cœurs ne donnera pas les mêmes resultats et ça dépend aussi de la puissance du serveur. Avec l'arrivée de la 5G et de la fibre , le vpn va devenir le goulot d'étranglement.

 

Tout à fait, mais les débit de chaque extrémité sont largement suffisante, en ce qui concerne le client j'ai testé avec un Lenovo T14 avec un i5 10310U et aussi un Dell Latitude avec un i7 6600U donc je suppose que ses processeur devrait être capable d'aller plus vite que 20Mb/s

Modifié le 24 décembre 2020 par Dark-Spirit

[Juan luis]

il y a 40 minutes, Dark-Spirit a dit :

100Mb/s Upload, 500Mb/s Download, en SFTP ou via DSM à distance j'atteints sans soucis les 100Mb/s

Non rien de spécial, le processeur est à 4% d'utilisations et la RAM autour des 15-20%. Le NAS n'est pas très solicité.

Tout à fait, mais les débit de chaque extrémité sont largement suffisante, en ce qui concerne le client j'ai testé avec un Lenovo T14 avec un i5 10310U et aussi un Dell Latitude avec un i7 6600U donc je suppose que ses processeur devrait être capable d'aller plus vite que 20Mb/s

Avec un serveur tp-link ,je plafonne  à 100 Mb/s en L2TP IPsec. Les routeurs ont parfois un Hw pour faire de l'ipsec, le nas ? je ne sais pas.

[.Shad.]

@Dark-Spirit

Pour le test iperf3, tu te connectes en SSH en root, puis :

docker run -it --rm --name=iperf3-server -p 5201:5201 networkstatic/iperf3 -s

Côté client, sur Windows par exemple, tu télécharges les binaires iperf3 sur Internet, puis tu ouvres PowerShell dans le dossier de l'exécutable iperf3.exe (MAJ + clic droit dans le dossier) :

.\iperf3 -c 10.0.0.1

iperf3 va transférer 1 Go en 10 étapes et te donner une valeur moyenne, ça va permettre de confirmer ou pas que le problème vient de la liaison et pas d'ailleurs (navigateur par exemple).

Quand tu as terminé, tu fais CTRL+C dans la fenêtre SSH du NAS pour supprimer le conteneur.

Modifié le 24 décembre 2020 par .Shad.

[ACDC]

il y a 15 minutes, Juan luis a dit :

Avec un serveur tp-link ,je plafonne  à 100 Mb/s en L2TP IPsec. Les routeurs ont parfois un Hw pour faire de l'ipsec, le nas ? je ne sais pas.

Oui le NAS peut faire du L2TP Ipsec, mais ce n'est pas le but, je veux rester en OpenVPN question pratique, j'ai différents client, Windows 10, Linux, Android etc. et pour configurer un L2TP sur certains client c'est frenchement pénible. Mais je pourrais faire le test histoire de voir les résultats.

 

il y a 3 minutes, .Shad. a dit :

@Dark-Spirit

Pour le test iperf3, tu te connectes en SSH en root, puis :

docker run -it --rm --name=iperf3-server -p 5201:5201 networkstatic/iperf3 -s

Côté client, sur Windows par exemple, tu télécharges les binaires iperf3 sur Internet, puis tu ouvres PowerShell dans le dossier de l'exécutable iperf3.exe (MAJ + clic droit dans le dossier) :

.\iperf3 -c 10.0.0.1

iperf3 va transférer 1 Go en 10 étapes et te donner une valeur moyenne, ça va permettre de confirmer ou pas que le problème vient de la liaison et pas d'ailleurs (navigateur par exemple).

Quand tu as terminé, tu fais CTRL+C dans la fenêtre SSH du NAS pour supprimer le conteneur.

Je ferai ces test dès que j'ai le temps. Je te tiens au jus. Pour lancer le test sur le NAS je dois avoir un client connecté au VPN ou ce n'est pas nécessaire ?

[MilesTEG1]

@.Shad.

comment on fait pour passer une ligne de commande docker  de lancement en docker compose pour  portainer afin de se dispenser de la ligne de commande ?

 

sinon il y a un package de la communauté Syno-CLI Monitor qui contient iperf3 à lancer en CLI du coup mais dans passer par root.

 

[.Shad.]

Oui le paquet fournit la commande aussi, pas obligé de passer par Docker du coup. 😉

Je n'utilise pas docker-compose pour ça vu que le conteneur n'a jamais vocation à durer plus que quelques minutes, même pas. Mais si tu le transcrits il faudra juste pas lancer avec "-d" pour qu'à l'annulation du serveur le conteneur disparaisse.

[oracle7]

@MilesTEG1

Bonjour,

Comme je te l'ai dit, j'ai simplement mis ceci :

dhcp-option DNS @IPmonNAS

Cordialement

Joyeuses fêtes de Noël à toi.

oracle7😉

[steve1]

Bonjour à tous

Grâce aux tutos trouvés sur ce site, j'avance bien dans la configuration de mon Nas 920+!! Merci à vous!

Mais j'ai un petit soucis et je ne trouve pas la solution:

- VPN L2TP/IPsec installé et configuré

- client smartphone (android 7.0) avec la connection VPN fonctionnelle en extérieur, j'ai acces à mon nas sans pb.

Mais lorsque que je le mets en partage de connexion pour pouvoir utiliser ma tablette (android 6.0.1), celle ci n'arrive pas à se connecter dessus.

Si je désactive la connexion vpn sur le smartphone, là, pas de soucis pour connecter dessus ma tablette.

 

Modifié le 5 janvier 2021 par steve1

[Jeff777]

Bonjour @steve1

Je ne pratique pas le partage de connexion mais j'imagine qu'il faudrait un client VPN sur la tablette.

Donc tu établies la connexion puis tu lances le client VPN installé sur la tablette.

 

Modifié le 5 janvier 2021 par Jeff777

[steve1]

Merci  @Jeff777 pour ta réponse!

 

En fait, il ne faut pas que je me connecte en vpn sur mon smartphone, que j'active la connexion partagée  et connexion vpn uniquement sur la tablette: cela fonctionne!!!

 

 

Modifié le 5 janvier 2021 par steve1

[darkkhaine]

Bonjour à tous,

Merci pour ce tutoriel que j'ai utilisé pour configurer une connexion depuis windows 10 à mon NAS par openVPN. Je viens de changer mon mot de passe utilisateur sur mon NAS, et je l'ai modifié dans le client openVPN, mais maintenant windows me demande mon mot de passe lorsque je tente d'ouvrir un dossier de mon NAS dans l'explorateur windows, je n'ai donc plus accès. Avez-vous une idée de ce qui ne marche pas ? Merci pour vos conseils.

[Thierry94]

Bonjour,

Un passage par la case présentation est plus que souhaité pour une nouvelle arrivée sur ce forum ... ça se passe ici, ajoute aussi dans ton profil le matériel que tu as, NAS, Box, ... cela évitera de reposer la question à chaque demande !

Ton NAS et ton PC sont sur le même réseau ? si oui une connexion au nas via OpenVpn est inutile, tu peux simplement utiliser l'explorateur Windows en tapant "\\adresseIP du nas", et si ton nom d'utilisateur/mot de passe Windows est le même que celui du NAS tu n'auras même pas à ressaisir ton mot de passe pour accéder aux dossiers

L'utilisateur que tu as paramétré pour le client OpenVpn est il bien celui qui a les droits déclaré sur le NAS pour accéder aux dossiers partagés ? 

Modifié le 6 janvier 2021 par Thierry94

[darkkhaine]

Merci pour le lien de présentation.

J'utilise le VPN pour une connexion à distance. J'ai bien le même utilisateur paramétré dans les privilèges du VPNserver et les droits déclarés. En fait la connexion fonctionnait bien hier, mais j'ai depuis modifié mon mot de passe d'utilisateur, ce qui est la seule modification. Le client openVPN se connecte bien, c'est lors de l'accès depuis l'explorateur windows que celui me demande "Entrer les informations d'identification réseau"

[oracle7]

@darkkhaine

Bonjour,

Une piste peut-être : essaies de supprimer les entrées du NAS dans le Panneau de configuration/Gestionnaire d'identification onglet Informations d’identification Windows et reconnectes-toi.

Cordialement

oracle7😉

[Tüss.ch]

Il y a 3 heures, Thierry94 a dit :

Bonjour,

Un passage par la case présentation est plus que souhaité pour une nouvelle arrivée sur ce forum ... ça se passe ici, ajoute aussi dans ton profil le matériel que tu as, NAS, Box, ... cela évitera de reposer la question à chaque demande !

Ton NAS et ton PC sont sur le même réseau ? si oui une connexion au nas via OpenVpn est inutile, tu peux simplement utiliser l'explorateur Windows en tapant "\\adresseIP du nas", et si ton nom d'utilisateur/mot de passe Windows est le même que celui du NAS tu n'auras même pas à ressaisir ton mot de passe pour accéder aux dossiers

L'utilisateur que tu as paramétré pour le client OpenVpn est il bien celui qui a les droits déclaré sur le NAS pour accéder aux dossiers partagés ? 

Bonjour à tous.

Pour ne pas me faire gronder comme mon collègue citer ici, j'ai commencé par ma présentation. ça ? c'est fait !

 

Le 05/12/2016 à 01:48, atdd10 a dit :

Bojour (ou plutôt ... Bonsoir !)

cela fait un bon bout de temps que je tente de joindre mon nas (DSM6) au traver ce fichu vpn mais sans succé

a tout hazard, je me suis dit que je pouvais testé la 10.8.0.1 ..

Bingo !!! c'est bien l'adress de mon syno chéri au traver le vpn (open) construit selon tes précieuses instructions

 

pour info, je dispose d'un second nas(DSM5.2) et je ne parvien ... pour le moment ... pas encore a les faire comuniquer enssemble au traver du L2PT/IPSec

(je n'ais pas tester openVPN)

 

 

Merci bien pour ton tuto il ma déja etait très util

Tout d'abord "Fenrir" impeccable tes TUTO, j'en ai déjà lu 3 wouah. Quel travail, tu as de nombreuses connaissances Bravo vraiment.

Maintenant je reviens à ce post qui m'a fait réagir puisqu'il est l'objet de mon problème.

Mon problème : https://community.synology.com/enu/forum/1/post/139847

Je me permet de mettre le lien et de ne pas tout recopier/coller ici. (sauf si vous préférez)

Comme je n'ai pas eu de réponse, j'ai continué à chercher.

 

Le 05/12/2016 à 06:58, Einsteinium a dit :

Euh... une fois connecté au vpn... tu es comme sur ton réseau... le n'as est accessible par son adresse habituelle 😉

En cherchant "Einsteinium" a dit que le nas était accessible pas son adresse habituelle. (J'imagine adresse du LAN de destination, mais cela va à l'encontre de ce que dit Fenrir dans son Tuto.

Mais jusqu'au début-milieu 2020 cela était le cas, depuis c'est uniquement via la première adresse VPN.

Sous-entendu rien a changer dans la configuration du VPN auquel je fais mention, cela va de soit. (sauf les mises à jour des programmes et autres DSM).

Donc si quelqu'un peut m'aider à revenir à la première config, ce serait top. Si non faut que je parte sur une autre idée/réglage/config.

Merci d'avance.

[oracle7]

@Tüss.ch

Bonjour,

1. Dans tes réponses, il n'est pas nécessaire de re citer le post précédant dans sa totalité, ne cites que la partie pertinente à la quelle tu réponds, cela surcharge moins les posts et ils sont plus faciles à lire. Merci.
    
2. Dans ta configuration OpenVPN, il y a des choses qui m'interpellent :
   C

   Citation

   Config OPENVPN Client
   ---------------------
   remote xxxxxx.myds.me 1194
   float
   dhcp-option DNS 192.168.1.1
   dhcp-option DNS 192.168.1.2
   dhcp-option DOMAIN xxxxxx
   proto udp

   Ton NAS (192.168.1.2) est aussi DNS Server ? O/N
   La machine (192.168.1.1) est aussi un DNS Server ? O/N
   
   La commande "redirect-gateway def1" n'apparaît pas ? Pourquoi ?
   Comment est positionnée la case "Autoriser aux clients l'accès au réseau LAN" dans la configuration OpenVPN du Serveur VPN ? Cochée O/N ?
   
   Habituellement, on ne précise la commande "dhcp-option DNS @IPServeurDNS" que si la commande "redirect-gateway def1" est commentée (avec un "#" devant). De plus, chez moi, l'@IPServeurDNS est 10.8.0.1 correspondant au NAS lors que la connexion VPN est établie.
   
   Accessoirement, mais c'est peut-être voulu, il n'y a pas non plus dans ton fichier config.ovpn les commandes suivantes :

   Citation

    

   script-security 2
   reneg-sec 0auth SHA512

   cipher AES-256-CBC

   auth-user-pass

   remote-cert-tls server
   auth-nocache

   key-direction 1

   comp-lzo
   explicit-exit-notify
   <ca>

   -----BEGIN CERTIFICATE-----
   xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
   -----END CERTIFICATE-----

    

    

Cordialement

oracle7😉

Modifié le 6 janvier 2021 par oracle7

[darkkhaine]

Il y a 7 heures, oracle7 a dit :

@darkkhaine

Une piste peut-être : essaies de supprimer les entrées du NAS dans le Panneau de configuration/Gestionnaire d'identification onglet Informations d’identification Windows et reconnectes-toi.

Merci pour ton aide, le problème persiste malgré cette manipulation malheureusement.

[Tüss.ch]

@oracle7

1. Merci alors je vais compléter les points d'après.

2. J'ai mis que les points que j'estimais pouvoir poser problème voici la config au complet.

Config OPENVPN Client (complète)
---------------------

dev tun
tls-client
remote xxxxxx.myds.me 1194
float
redirect-gateway def1
dhcp-option DNS 192.168.1.1
dhcp-option DOMAIN XXXX
pull
script-security 2
comp-lzo
reneg-sec 0
cipher BF-CBC
auth SHA1
auth-user-pass

<ca>

-----BEGIN CERTIFICATE-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
-----END CERTIFICATE-----
-----END CERTIFICATE-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
-----BEGIN CERTIFICATE-----

</ca>

 

192.168.1.1 c'est le routeur 

192.168.1.2 c'était un essai 

redirect-gateway def1 le redirect je le met toujours

 

Merci pour la réponse rapide.

[oracle7]

@Tüss.ch

Bonjour,

Il y a 2 heures, Tüss.ch a dit :

redirect-gateway def1 le redirect je le met toujours

OK mais alors comment est positionnée la case "Autoriser aux clients l'accès au réseau LAN" dans la configuration OpenVPN du Serveur VPN ? Cochée O/N ? Tu n'as pas répondu à cette question et sans réponse difficile de t'aider.

Puisque la commande "redirect-gateway def1" est décommentée alors la susdite case devrait être cochée.

Et en conséquence la commande "dhcp-option DNS" ne serait pas à renseigner.

Citation

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

Citation

dhcp-option DOMAIN XXXX

Par ailleurs, "DOMAIN XXXXX" --> C'est quoi ? Cette notation ne semble pas correcte. La syntaxe est donnée en commentaire dans le fichier de configuration .ovpn : "#dhcp-option DNS DNS_IP_ADDRESS". C'est on ne peut plus clair il me semble, non ?

1. Pour bien comprendre ton infrastructure est du type :

    

   Citation

   BOX --> Routeur 192.168.1.1     --> Nas 192.168.1.2

   --> Client 1 WIN 20H2 172.16.100.x

   --> Client 2 WIN 1909 172.22.22.x

   O/N ?
2. Si Oui, tes clients WIN ne sont donc pas à "l'extérieur" de ton réseau local mais dans des sous-réseaux locaux, alors pourquoi faire du VPN depuis ces clients vers ton NAS ?
   A mon humble avis, cela n'a pas de sens, à moins que tu ne craignes des pirates en interne sur tes réseaux locaux !
3. As-tu un VPN Server installé sur ton routeur ? O/N ?
4. As-tu un DNS Server d'installé sur le routeur ? O/N ?
5. Le port 1194 pour OpenVPN est-il bien transféré (NAT) dans le routeur vers le NAS ?
6. et est-il bien ouvert/autorisé dans le pare-feu du NAS ?
    

Cordialement

oracle7😉

[Tüss.ch]

Il y a 3 heures, oracle7 a dit :

@Tüss.ch

Bonjour,

OK mais alors comment est positionnée la case "Autoriser aux clients l'accès au réseau LAN" dans la configuration OpenVPN du Serveur VPN ? Cochée O/N ? Tu n'as pas répondu à cette question et sans réponse difficile de t'aider.

Puisque la commande "redirect-gateway def1" est décommentée alors la susdite case devrait être cochée.

Et en conséquence la commande "dhcp-option DNS" ne serait pas à renseigner.

Par ailleurs, "DOMAIN XXXXX" --> C'est quoi ? Cette notation ne semble pas correcte. La syntaxe est donnée en commentaire dans le fichier de configuration .ovpn : "#dhcp-option DNS DNS_IP_ADDRESS". C'est on ne peut plus clair il me semble, non ?

1. Pour bien comprendre ton infrastructure est du type :

    

   O/N ?
2. Si Oui, tes clients WIN ne sont donc pas à "l'extérieur" de ton réseau local mais dans des sous-réseaux locaux, alors pourquoi faire du VPN depuis ces clients vers ton NAS ?
   A mon humble avis, cela n'a pas de sens, à moins que tu ne craignes des pirates en interne sur tes réseaux locaux !
3.  

Cordialement

oracle7😉

Tu es précis et j'apprécie. Merci pour ton temps pour essayer de m'aider.

Citation

"Autoriser aux clients l'accès au réseau LAN"

>> Oui c'est coché

 

Citation

"dhcp-option DNS" ne serait pas à renseigner.

>> Ok alors j'enlève cela

"DOMAIN XXXXX"
>> Cela date, pourquoi il y est je ne sais plus. Mais je pense aussi qu'il n'est pas nécessaire.

Citation

Pour bien comprendre ton infrastructure est du type :

BOX --> Routeur 192.168.1.1     --> Nas 192.168.1.2

--> Client 1 WIN 20H2 172.16.100.x

--> Client 2 WIN 1909 172.22.22.x

PC 172.16.100.50 --> BOX/Routeur 172.16.100.1--> Internet--> ...

... --> Internet --> BOX/Routeur 192.168.1.1 --> Nas 192.168.1.2 

                                                                       --> Client 1 WIN 20H2192.168.1.50

                                                                        --> Client 2 WIN 1909192.168.1.51

                                                                        --> Imprimante192.168.1.37

Citation

 

Si Oui, tes clients WIN ne sont donc pas à "l'extérieur" de ton réseau local mais dans des sous-réseaux locaux, alors pourquoi faire du VPN depuis ces clients vers ton NAS ?
A mon humble avis, cela n'a pas de sens, à moins que tu ne craignes des pirates en interne sur tes réseaux locaux !

 

Cela devrait être répondu avec le diagramme précédent.

Citation

3. As-tu un VPN Server installé sur ton routeur ? O/N ?

>> Non. C'est sur le NAS seulement

 

Citation

4.As-tu un DNS Server d'installé sur le routeur ? O/N ?

>> Oui

Citation

5.Le port 1194 pour OpenVPN est-il bien transféré (NAT) dans le routeur vers le NAS ?

>> Oui puisque je peux tout accèder ce qui est en 192.168.1.X sauf le NAS sur 192.168.1.2. Donc tout fonctionne à ce niveau là.

Citation

6.et est-il bien ouvert/autorisé dans le pare-feu du NAS ?

>> Oui au vue de la réponse à la question 5.

Modifié le 7 janvier 2021 par Tüss.ch

[oracle7]

@Tüss.ch

Bonjour,

Ok pour l'infrastructure, c'est plus clair maintenant.

Ton fichier config.ovpn semble correcte (i.e. si tu as supprimé les "dhcp-option DNS ....").

C'est quand même bizarre que tu accèdes à tes périphériques du réseau local et pas à ton NAS. Essaies de le rebooter (arrêt propre et redémarrage puis connexion VPN).

A tout hasard, le sous-réseau 10.8.0.0/255.255.255.0 ou 10.0.0.0/255.0.0.0 est-il bien autorisé dans le pare-feu du NAS ?

Cordialement

oracle7😉

Modifié le 7 janvier 2021 par oracle7

[Tüss.ch]

Le 07/01/2021 à 14:53, oracle7 a dit :

@Tüss.ch

Ton fichier config.ovpn semble correcte (i.e. si tu as supprimé les "dhcp-option DNS ....").

Oui c'est enlevé.

Le 07/01/2021 à 14:53, oracle7 a dit :

@Tüss.ch

C'est quand même bizarre que tu accèdes à tes périphériques du réseau local et pas à ton NAS. Essaies de le rebooter (arrêt propre et redémarrage puis connexion VPN).

C'est rebooter. Pas mieux...

Le 07/01/2021 à 14:53, oracle7 a dit :

@Tüss.ch

A tout hasard, le sous-réseau 10.8.0.0/255.255.255.0 ou 10.0.0.0/255.0.0.0 est-il bien autorisé dans le pare-feu du NAS ?

Avec ou sans FW c'est le même constat.

D'autres idées ?

Modifié le 14 janvier 2021 par Tüss.ch