Aller au contenu

[TUTO] VPN Server


Fenrir

Messages recommandés

Il y a 8 heures, .Shad. a dit :

Il faudrait que tu mettes des impressions d'écran de ton pare-feu du NAS, des redirections de ta box, du panneau de configuration de ta connexion VPN dans un premier temps.

Ainsi que du panneau serveur DHCP de ta Freebox.

Hello @.Shad., voici les premières informations:

image.thumb.png.95d25be1758d900677ce802cb3b224f7.png

 

image.thumb.png.2b97f5d9e7c303dacaf32fa1c286387e.png

 

image.thumb.png.ca0658257ed9d23a42f8e15fb3d2f06b.png

 

image.thumb.png.c56ca2273c8397f9be14d5036158ef2a.png

 

image.thumb.png.ae6f9ca8f77a3a8ca184e1d633dfaf15.png

Il y a 3 heures, Mic13710 a dit :

N'y aurait-il pas tout simplement un blocage d'IP (voir dans le menu sécurité, onglet Compte, bouton "Autoriser/Bloquer la liste") ?

Hello @Mic13710, voici les informations:

image.thumb.png.8ff315a05f8123bb3aa6f25cd4a3cd70.png

 

 

image.thumb.png.3f1ada870307eb89512fd7db32390119.png

 

Perso, je continue de regarder mais honnêtement, je n'arrive pas à comprendre...

Lien vers le commentaire
Partager sur d’autres sites

à l’instant, Juan luis a dit :

Bonjour,

A mon avis, tu devrais tester avec un seul LAN, et si c'est toujours NOK , désactiver le FW du NAS temporairement,

tu as déjà le FW de la freebox tu ne risque pas grand chose.

Hello @Juan luis, j'avais testé avec un seul LAN à la base, j'ai ajouté le deuxième quand ça ne fonctionnait pas (croyant à tord que le problème venait de là) et j'avoue, j'ai laissé la configuration comme ça depuis.

Globalement, tu me dis de tester la connexion VPN en retirant le par feu du NAS, c'est ça?

Je vais faire le test.

Lien vers le commentaire
Partager sur d’autres sites

Le deuxième LAN n'a aucun intérêt. Vous pouvez le supprimer et vérifiez que les redirections de ports se font bien vers le LAN actif (vos captures d'écran indiquent HomeBase mais ne précisent pas lequel). Vérifiez aussi que le VPN est bien dirigé vers le même LAN dans les paramètres généraux.

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir, Il faut tout recommencer depuis le début : Nom ...Age ....Profession....🥵

Comment est ce que tu te connectes ? Est ce que tu utilises bien  sur les clients VPN : Adresse Publique , Login password  (d'un compte du NAS)et clé partagée ?

D’après les ports ouvert sur la freebox , Est ce bien du L2TP que tu souhaite utiliser ?

Cordialement

Modifié par Juan luis
Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, Jeff777 a dit :

Bonjour,

Lorsque j'ai voulu mettre en place L2TP sur mon nas avec une Freebox je n'y suis jamais arrivé. J'ai fini par installer openVPN.

Bonsoir,

J'utilise du L2TP via un abonnement Freebox :Ras ça fonctionne très bien :

-Sur le server VPN de la box

-sur  un routeur serveur Mikrotik ( pour du site vers site)

-sur le serveur NAS synology.

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, Juan luis a dit :

Bonsoir, Il faut tout recommencer depuis le début : Nom ...Age ....Profession....🥵

Comment est ce que tu te connectes ? Est ce que tu utilises bien  sur les clients VPN : Adresse Publique , Login password  (d'un compte du NAS)et clé partagée ?

D’après les ports ouvert sur la freebox , Est ce bien du L2TP que tu souhaite utiliser ?

Cordialement

Alors, je vais essayer de répondre correctement à toutes les questions 😄 :

Je me connecte avec soit :

One Plus 3T (téléphone Android) --> Connexion via 4G Free

iPhone (iOS) --> Connexion via 4G Bouygues Telecom

Macbook pro 2018 (Big Sur)

Microsoft Windows 10

Sur ces clients j'utilise l'adresse publique de la Freebox (adresse qu'ils ont changé récemment malgré le fait que je sois en full stack --> origine de tous mes problèmes)

User/Pwd d'un utilisateur dédié pour le VPN sur NAS (en revanche, je viens de voir qu'il n'était pas dans le groupe admin, est-ce obligatoire?)

Clé partagé ET mpd recopié depuis un keypass

Effectivement, les ports ouverts sur la free sont pour le L2TP, et c'est bien ce que j'utilise.

 

En fait, comme le disait mic13710, je n'avais qu'à changer l'IP publique dans OVH (j'ai un nom de domaine) ET sur les clients VPN. Maintenant, justement ça ne fonctionne pas. 

Est-ce que vous voulez que j'aille faire des manips sur le terminal? des logs? J'aimerais vraiment résoudre ce point.

Lien vers le commentaire
Partager sur d’autres sites

@Drickce Kangel

Je vois que tu as deux ports sélectionnés pour VPN server dans le pare-feu du NAS, or si je me rappelle bien, L2TP requiert 3 ports ouverts sur le NAS : 500, 1701 et 4500. Donc il t'en manque un selon moi.

Un détail, mais tu autorises l'accès distant à Virtual Machine Manager sans passer par le proxy inversé, je ne sais pas si c'est voulu... ?

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

@.Shad. @Drickce Kangel

Effectivement, le port 1701 doit être ouvert sur le NAS, mais pas sur le routeur :

Citation

Cliquez sur Appliquer pour obtenir une petite notification, mais attention, il y a une erreur :

11.png

Il faut bien ouvrir le port UDP 1701 sur votre NAS s'il est derrière un routeur, mais il ne faut pas l'ouvrir ni le transférer sur votre routeur.

Si vous ouvrez ce port sur votre routeur, vous autorisez les connexions L2TP direct. Le soucis est que certains clients testent plusieurs protocoles (iOS et Windows 10 par exemple), selon la priorité de leurs tests, s'ils voient le L2TP d'ouvert, il vont tenter de s'y connecter sans monter le tunnel IPSec. Du point de vue du client ça fonctionne et c'est rapide, mais en pratique, il n'y a aucun chiffrement de la connexion.

Si vous êtes connecté en filaire sur un réseau de confiance, ce n'est pas forcement trop grave, mais si vous voulez accéder à votre NAS depuis un HotSpot, sachez que TOUT ce que vous ferez sera en clair et lisible par n'importe qui.

Un pirate pourra facilement (vraiment très facilement, environ 10sec de travail) espionner votre trafic (donc vos mots de passe), se connecter à votre PC, à votre nas et à tout ce qu'il y a derrière.

Il est donc important de ne pas ouvrir ni transférer le L2TP (UDP 1701) sur votre routeur. Par contre il doit être autorisé sur le NAS.

Et du coup, ça me fait me poser une question : Qu'en est-il lorsque le serveur VPN est sur le routeur Syno RT2600AC ?

Je n'ai rien ouvert de particulier dessus puisque le serveur VPN est directement sur le routeur.
Dois-je explicitement fermer ce port dans le parefeu ?

Lien vers le commentaire
Partager sur d’autres sites

Il y a 12 heures, Drickce Kangel a dit :

Alors, je vais essayer de répondre correctement à toutes les questions 😄 :

Je me connecte avec soit :

One Plus 3T (téléphone Android) --> Connexion via 4G Free

iPhone (iOS) --> Connexion via 4G Bouygues Telecom

Macbook pro 2018 (Big Sur)

Microsoft Windows 10

Sur ces clients j'utilise l'adresse publique de la Freebox (adresse qu'ils ont changé récemment malgré le fait que je sois en full stack --> origine de tous mes problèmes)

User/Pwd d'un utilisateur dédié pour le VPN sur NAS (en revanche, je viens de voir qu'il n'était pas dans le groupe admin, est-ce obligatoire?)

Clé partagé ET mpd recopié depuis un keypass

Effectivement, les ports ouverts sur la free sont pour le L2TP, et c'est bien ce que j'utilise.

 

En fait, comme le disait mic13710, je n'avais qu'à changer l'IP publique dans OVH (j'ai un nom de domaine) ET sur les clients VPN. Maintenant, justement ça ne fonctionne pas. 

Est-ce que vous voulez que j'aille faire des manips sur le terminal? des logs? J'aimerais vraiment résoudre ce point.

Bonjour,

Tu peux tester en ajoutant le port 1701 dans ta freebox (port forwarding).

Bien vérifier que tu es en IP full stack.

Tu peux tester le port 5000 vers DSM juste pour tester, tu le vire de la freebox juste après le test.

Utiliser le login password que tu utilise pour accéder à DSM, un truc pas trop compliqué pour faire le test:

Il faut toujours procéder par étape.

Modifié par Juan luis
Lien vers le commentaire
Partager sur d’autres sites

En ce qui me concerne, j'ai tester la connexion à mon VPN en ayant placé la règle dans le parefeu du routeur pour interdire n'importe quelle IP source sur le port 1701 vers le même port sur n'importe quelle IP.
La connexion depuis mon mac (en passant par le partage 4G de mon smartphone) fonctionne toujours aussi bien.

Après, est-ce que cette règle (que j'ai placé tout en haut de la liste) sert vraiment à quelque chose... C'était l'objet de ma question un peu plus haut.
Si quelqu'un a une réponse 😉 je serais preneur 😇

Lien vers le commentaire
Partager sur d’autres sites

Wow, merci à tous pour vos réponses. Je vais avoir pas mal de choses à tester aujourd'hui 😅

@.Shad. J'ai des logs je crois, je vais réactiver la "verbosité" du L2TP pour avoir un truc bien consistant. Pour la virtual machine, je ne sais pas comment le faire passer directement pas le proxy. Si tu peux m'expliquer cette partie que je corrige rapidement 😄

@Juan luis je vais refaire ce type de test, je vous tiens au courant

@Jeff777Je confirme

image.thumb.png.b03c30e5debb666d73e1c2b5808f4d1f.png

à l’instant, MilesTEG1 a dit :

En ce qui me concerne, j'ai tester la connexion à mon VPN en ayant placé la règle dans le parefeu du routeur pour interdire n'importe quelle IP source sur le port 1701 vers le même port sur n'importe quelle IP.
La connexion depuis mon mac (en passant par le partage 4G de mon smartphone) fonctionne toujours aussi bien.

Après, est-ce que cette règle (que j'ai placé tout en haut de la liste) sert vraiment à quelque chose... C'était l'objet de ma question un peu plus haut.
Si quelqu'un a une réponse 😉 je serais preneur 😇

Salut @MilesTEG1, tu te connectes depuis ton mac sur ton VPN sur le NAS, c'est ça? T'es chez Free?

Lien vers le commentaire
Partager sur d’autres sites

il y a 2 minutes, Drickce Kangel a dit :

je vais réactiver la "verbosité" du L2TP pour avoir un truc bien consistant.

@Drickce Kangel  Comment tu fais pour faire ça ? Je ne vois aucune option que ce soit dans le paquet DSM ou dans celui de SRM...

il y a 3 minutes, Drickce Kangel a dit :

tu te connectes depuis ton mac sur ton VPN sur le NAS, c'est ça? T'es chez Free?

Non, depuis que j'ai le routeur Synology RT2600AC, j'ai installé et configuré le VPN Plus Serveur sur le routeur directement. Je ne passe donc plus par le NAS pour le VPN.
Et sinon, je ne suis pas chez Free, mais cher Orange 😉 

Lien vers le commentaire
Partager sur d’autres sites

Le 13/08/2016 à 17:13, Fenrir a dit :

Si vraiment vous êtes certains que tout est bon de votre coté, regardez les journaux sur le Synology, ils sont dans /var/log/auth.log

Pour L2TP/IPSec vous pouvez aussi activer le debug dans le fichier /var/packages/VPNCenter/etc/l2tp/ipsec.conf :

  • il faut dé-commenter les instructions :
    • plutodebug=all
    • plutostderrlog=/var/log/pluto.log
  • puis on relance le paquet (synoservice --restart pkgctl-VPNCenter)
  • les détails de la connexion seront visibles dans /var/log/pluto.log
  • pensez à désactiver le debug après avoir trouvé le problème

Si la connexion n’aboutit toujours pas, il faut vérifier que le VPN est bien autorisé entre le client et le serveur. Il est possible qu'un pare-feu ou que votre FAI (voir votre box) bloque ce trafic. Le plus simple pour le vérifier est de faire une capture de trames sur le Synology (à faire en root) : tcpdump -n -q "udp dst port 500 or udp dst port 4500 or udp dst port 1194"

@MilesTEG1je vais appliquer cette partie.

Je l'ai déjà fait mais je n'arrive pas à interpréter les résultats 😄

Voilà ce que ça donne quand un débutant se lance tout seul 😄😄😄😄

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.