[TUTO] VPN Server

[oracle7]

@Tüss.ch

Bonjour,

Je commence à être un peu à court d'idées, mais on va trouver ...

A tout hasard, vérifies dans DSM "Sécurité / Compte / Autoriser-Bloquer la liste" onglet "Liste de blocages" que ton @IP de connexion VPN n'y figure pas. Tu pourrais t'être bloqué tout seul. Au quel cas, vide la liste de blocage.

Cordialement

oracle7😉

[Juan luis]

@Tüss.ch

Bonjour , 

 

Est ce que tes paramètres réseau du NAS sont bien comme cela ?

[Tüss.ch]

Il y a 19 heures, oracle7 a dit :

@Tüss.ch

Bonjour,

Je commence à être un peu à court d'idées, mais on va trouver ...

A tout hasard, vérifies dans DSM "Sécurité / Compte / Autoriser-Bloquer la liste" onglet "Liste de blocages" que ton @IP de connexion VPN n'y figure pas. Tu pourrais t'être bloqué tout seul. Au quel cas, vide la liste de blocage.

Cordialement

oracle7😉

Sur les + de 12000 blocage je n'y figure pas 😉

Merci pour l'idée. Je prends toutes les idées.

Il y a 18 heures, Juan luis a dit :

@Tüss.ch

Bonjour , 

 

Est ce que tes paramètres réseau du NAS sont bien comme cela ?

J'avais 2 sur 3 d'activés. Après avoir activé la détection des conflits IP, je vous annonce ...

ben que cela ne va pas mieux 😉

[Juan luis]

il y a 15 minutes, Tüss.ch a dit :

Sur les + de 12000 blocage je n'y figure pas 😉

Merci pour l'idée. Je prends toutes les idées.

J'avais 2 sur 3 d'activés. Après avoir activé la détection des conflits IP, je vous annonce ...

ben que cela ne va pas mieux 😉

Bonjour ,

Et en décochant la première case(demande ARP).?

[oracle7]

@Tüss.ch

Bonjour,

Il y a 4 heures, Tüss.ch a dit :

Sur les + de 12000 blocage je n'y figure pas

Hop là, cette liste de blocage devrait normalement être en permanence VIDE !

Tu n'y figures pas : c'est très bien MAIS si tu as "+ de 12000 blocages" c'est que ton NAS est l'objet d'attaques régulières de malveillants.

Aussi, sans attendre, je t'invite sérieusement à revoir/vérifier toute la sécurité de ton NAS en commençant (si ce n'est déjà fait) par lire et appliquer à la lettre les préconisations minimums du TUTO : Sécuriser les accès à son NAS.

Maintenant c'est toi qui vois ...

PS : Dans tes réponses, il n'est pas nécessaire de re citer le post précédant dans sa totalité, ne cites que la partie à la quelle tu réponds, cela surcharge moins les posts et ils sont plus faciles à lire. Merci.

Cordialement

oracle7😉

Modifié le 15 janvier 2021 par oracle7

[Tüss.ch]

Le 15/01/2021 à 11:50, Juan luis a dit :

Bonjour ,

Et en décochant la première case(demande ARP).?

Pas mieux ...

Le 15/01/2021 à 16:02, oracle7 a dit :

Aussi, sans attendre, je t'invite sérieusement à revoir/vérifier toute la sécurité de ton NAS en commençant (si ce n'est déjà fait) par lire et appliquer à la lettre les préconisations minimums du TUTO : Sécuriser les accès à son NAS.

Oui je l'ai vue ton post qui est très bien en passant.

Mais je retiens également de ton POST. 

Citation

Tous les points ne sont pas nécessairement à suivre, chacun est libre d'appliquer ou non ces recommandations, l'important étant de comprendre de quoi il s'agit.

Cordialement

Tüss

Modifié le 22 janvier 2021 par Tüss.ch

[oracle7]

@Tüss.ch

Bonjour,

D'abord, il faut "rendre à César ce qui appartient à César", à savoir je ne suis pas l'auteur du TUTO sur la sécurisation mais c'est @Fenrir.

Sinon toujours pareil, sous VPN tu n'atteins toujours pas ton NAS ? Même avec 10.8.0.1:5000 ?

Cordialement

oracle7😉

[Tüss.ch]

il y a 1 minute, oracle7 a dit :

D'abord, il faut "rendre à César ce qui appartient à César", à savoir je ne suis pas l'auteur du TUTO sur la sécurisation mais c'est @Fenrir.

Oups dsl

il y a 1 minute, oracle7 a dit :

Sinon toujours pareil, sous VPN tu n'atteins toujours pas ton NAS ? Même avec 10.8.0.1:5000 ?

Je te remercie de recentrer sur le point qui est important pour moi.

Alors il ne me semble pas avoir dit cela, mais je corrige si c'est le cas.

Donc jusqu'il y a quelques mois en arrière j'accédais au NAS en VPN via 192.168.1.x, maintenant j'y accède en 10.8.0.1. Le hic c'est que la personne qui l'utilise n'est pas très à l'aise avec l'IT et j'aimerais avoir la même IP en local qu'en VPN. 
Et je peine a expliquer à la personne pourquoi tout d'un coup cela à changé.

[Janick Book]

Bonjour à tous,

 

Ce tuto es très bien fait merci à @Fenrir.

Je voulais savoir si c'est sécurisé et utile de le faire avec une livebox v4 et un routeur synology .

J'ai une livebox v4 , j'ai mis en DMZ le port où est branché le routeur syno.

 

Le routeur gèrera le trafic internet.

Je dois suivre le tuto où je dois l'adapter.

En testant par moi même, aucune connexion ne se fait…..

Avez-vous des idées? 

 

 

Merci,

 

 

 

 

[Juan luis]

Bonsoir,

J'ai 2 remarques concernant ton message.

1) Je n'ai plus de Livebox , mais il me semble que la fonction DMZ est activée vers une adresse IP , celle du routeur synology et pas vers"un port"

2) Si le serveur VPN est sur le routeur, il n'est pas nécessaire de faire de la "transmission de port" sur le routeur syno.

car cette "transmission de port" est faite par la livebox qui va transmettre tous les ports par défaut vers le routeur syno.

[oracle7]

@Janick Book

Bonjour,

1. Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ...

2. J'invite à regarder et suivre ces deux TUTOs pour bien démarrer.

• TUTO : Débuter avec un NAS Synology

• TUTO : Sécuriser les accès à son NAS

Ensuite et seulement quand ton NAS sera parfaitement sécurisé, alors je te propose de lire et suivre ce TUTO pour mettre ton routeur en DMZ derrière la Livebox.

Cordialement

oracle7😉

[Janick Book]

Il y a 13 heures, Juan luis a dit :

Bonsoir,

J'ai 2 remarques concernant ton message.

1) Je n'ai plus de Livebox , mais il me semble que la fonction DMZ est activée vers une adresse IP , celle du routeur synology et pas vers"un port"

2) Si le serveur VPN est sur le routeur, il n'est pas nécessaire de faire de la "transmission de port" sur le routeur syno.

car cette "transmission de port" est faite par la livebox qui va transmettre tous les ports par défaut vers le routeur syno.

Bonsoir, 

Merci pour tes 2 remarques pertinentes. 

Il y a 13 heures, oracle7 a dit :

@Janick Book

Bonjour,

1. Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ...

    

2. J'invite à regarder et suivre ces deux TUTOs pour bien démarrer.

    

• TUTO : Débuter avec un NAS Synology

   

• TUTO : Sécuriser les accès à son NAS

 

Ensuite et seulement quand ton NAS sera parfaitement sécurisé, alors je te propose de lire et suivre ce TUTO pour mettre ton routeur en DMZ derrière la Livebox.

Cordialement

oracle7😉

Bonjour,

 

Désolé à tord j'avais oublié que je ne m'étais pas présenter sur ce forum.

Je vais y remédier.

Concernant les liens que tu m'as donné, je vais jeter un œil merci.

 

[Drickce Kangel]

Hello,

Je ne sais pas pour certains, mais moi, depuis que Free à fait un upgrade de leur serveur, mon VPN ne fonctionne plus du tout. J'ai logger un ticket chez Synology, mais ils me demandent d'ajouter le port 1701 sur mon routeur...De ce que j'ai lu dans ce post, il ne faut pas le faire.

Vous pouvez me conseiller?

[Mic13710]

Upgrade de quand ? Je n'ai pas réinitialisé ma box depuis quelques temps, mais je ne devrais pas être impacté étant en DMZ sur mon propre routeur.

Non, il ne faut pas ouvrir le 1701 dans le routeur. Si vous le faite, la connexion VPN peut s'établir sans clé prépartagée, ce qui du point de vue sécurité n'est pas le top. C'est d'ailleurs à la suite de mes propres essais que Fenrir a fort justement préconisé de ne pas ouvrir ce port dans le routeur mais uniquement dans le NAS.

[Drickce Kangel]

Ok merci @Mic13710 

En effet, Free a modifié mon adresse IP en début d'année (bien qu'elle soit fixe d'ailleurs), ce qui a créé des problèmes pas possible. 

J'ai dû tout reconfigurer (vpn, reverse proxy). J'ai réussi à refaire fonctionner le reverse proxy, mais le VPN, ça ne fonctionne plus du tout. Impossible. Je ne sais absolument pas pourquoi, j'ai refais le tuto à l'endroit, à l'envers, bref, rien ne fonctionne. J'ai ouvert un ticket du coup, et même eux semble avoir du mal à trouver la réponse.

J'ai l'impression de devoir me résoudre à fonctionner sans le VPN du NAS (un peu déçu). Je vais voir si je pourrai utiliser le VPN de Free du coup.

[Mic13710]

@Drickce Kangel merci de ne pas citer inutilement le message précédent. Ca n'apporte rien de plus à la compréhension.

J'ai eu droit moi aussi au changement d'IP de Free qui m'a fait passer d'une IP full stack à une IP partagée. Il suffit de demander une IP Full Stack via l'interface Free pour retrouver tous les ports disponibles. On change à nouveau d'IP et il faut modifier quelques paramètres mais au moins on retrouve tous les services.

[Drickce Kangel]

@Mic13710 c'est exactement ce que j'ai fait, j'ai une plage de 0 à 65535 pour mon IP, mais ça ne fonctionne toujours pas. Synology me proposait de réinitialiser DSM (ce que je ne souhaite pas particulièrement faire)

Mais je continue de regarder, si un jour quelqu'un à une idée, ça serait cool. 

Merci d'avance.

[Mic13710]

Alors, je ne comprends pas le problème. Lors d'un changement d'IP fixe, le seul changement notable si on a un nom de domaine c'est la modification de l'enregistrement A de la zone DNS. Le reverse proxy n'est pas concerné puisqu'il ne traite pas des ip mais des noms de domaines. Et pour le VPN, il suffit de modifier l'adresse de connexion (si on passe par l'IP publique) et ça roule.

Il est possible que ce changement ait affecté les paramètres de la freebox. Avez-vous vérifié les transferts de ports, réservation d'IP, plage DHCP, etc.. ?

[Drickce Kangel]

C'est exactement ce que je pensais mais ça ne fonctionne toujours pas.

Effectivement pour le reverse proxy, j'ai fait la modification dans OVH (problème résolu rapidement).

Pour le VPN, j'ai effectivement modifié l'adresse IP dans l'application VPN Server du Nas, et aussi sur les différents appareils qui s'y connecte, rien n'y fait.

J'ai fait les modifications sur la freebox, (les ports sont biens en UDP 500 et 4500), en revanche, je n'ai pas touché au DHCP (l'IP du NAS est compris dans la plage défini par défaut sur la freebox).

Quant à la réservation d'IP, je ne sais pas ce que c'est, désolé.

[Mic13710]

Il y a 1 heure, Drickce Kangel a dit :

je n'ai pas touché au DHCP (l'IP du NAS est compris dans la plage défini par défaut sur la freebox).

Quant à la réservation d'IP, je ne sais pas ce que c'est, désolé.

Je comprends mieux pourquoi vous avez des problèmes.

C'est pourtant un point extrêmement important ! Pour que les services fonctionnent correctement, il faut que l'IP du NAS soit fixe, et le meilleur moyen pour la fixer c'est de le faire dans le routeur à partir de l'adresse MAC du NAS qui est unique sur votre réseau. On crée un bail statique qui fait correspondre une adresse IP à une adresse MAC. Ainsi, quels que soient les changements sur la freebox, l'IP qui sera attribuée au NAS restera la même.

[Juan luis]

Il y a 1 heure, Drickce Kangel a dit :

 

Pour le VPN, j'ai effectivement modifié l'adresse IP dans l'application VPN Server du Nas, et aussi sur les différents appareils qui s'y connecte, rien n'y fait.

Bonjour,

Quelle adresse avez vous modifiée dans le serveur VPN ? En cas de changement , Il faut bien sûr modifier les clients VPN , mais coté serveur ?

Modifié le 12 février 2021 par Juan luis

[Drickce Kangel]

Il y a 2 heures, Mic13710 a dit :

Je comprends mieux pourquoi vous avez des problèmes.

C'est pourtant un point extrêmement important ! Pour que les services fonctionnent correctement, il faut que l'IP du NAS soit fixe, et le meilleur moyen pour la fixer c'est de le faire dans le routeur à partir de l'adresse MAC du NAS qui est unique sur votre réseau. On crée un bail statique qui fait correspondre une adresse IP à une adresse MAC. Ainsi, quels que soient les changements sur la freebox, l'IP qui sera attribuée au NAS restera la même.

J'aurai tellement aimé comprendre tout ça 😄 je vais voir ce que je peux faire. Est-ce possible d'avoir votre aide sur le sujet?

Il y a 2 heures, Juan luis a dit :

Bonjour,

Quelle adresse avez vous modifiée dans le serveur VPN ? En cas de changement , Il faut bien sûr modifier les clients VPN , mais coté serveur ?

En fait, j'ai refait toute la configuration, c'est pour ça, mais effectivement, initialement, je n'ai changé que l'adresse sur les différents devices, et ça n'a pas fonctionné. Du coup, j'ai repris toute la config du VPN.

[Mic13710]

il y a 24 minutes, Drickce Kangel a dit :

Est-ce possible d'avoir votre aide sur le sujet?

http://mafreebox.freebox.fr

Paramètres de la Freebox, DHCP, onglet Beaux Statiques, Bouton Ajouter un bail DHCP statique.

Vous recherchez l'adresse MAC du NAS dans la liste. Si vous ne la trouvez pas, vous pouvez la récupérer sur le NAS dans le Centre d'Infos, onglet Réseau du panneau de configuration sous les données LAN1 (ou LAN2 si c'est celui-ci qui est connecté à la freebox). Vous attribuez une adresse IP (vous pouvez lui attribuer l'adresse active, ou une autre adresse dans votre DHCP, mais dans ce cas il faudra débrancher le câble ethernet du NAS et le rebrancher pour valider la nouvelle IP), vous rajoutez un commentaire du genre "mon NAS à moi" et vous sauvegardez.

Avant de faire cette manipulation assurez-vous que vous n'avez pas fixé une adresse dans le NAS. Aller dans Réseau, onglet Interface Réseau. Vous sélectionnez le LAN du réseau, bouton Modifier. Vérifier que "Définir la configuration réseau automatiquement (DHCP)" est activé. L'activer si besoin.

[Drickce Kangel]

@Mic13710 c'est fait. Dois-je refaire la configuration du VPN du coup?

[Drickce Kangel]

Bon, ça ne fonctionne vraiment pas, je vais passer pour l'instant par le VPN de la freebox (qui ne fonctionne pas non plus d'ailleurs)....

Merci pour votre aide en tout cas 🤗