[TUTO] VPN Server

[bliz]

Merci @Jeff777 pour tes réponses.

Pour "remote dns-externe 1194", comme le dit @Mic13710 (merci à lui), j'utilise un DDNS, d'après ce que j'ai pu voir, avec orange, l'ip est dynamique et en utilisant le ddns à la place de l'ip, ça fonctionne.

Pour "#redirect-gateway def1", oui, je vais chercher mes fichiers sur le NAS en passant par le tunnel du VPN et le reste, c'est le téléphone ou le portable qui va directement sur le site. Je ne vois pas l'intérêt de tout passer par le NAS si c'est pour naviguer sur le net. Mes dossiers sensibles sont plutôt sur le nas, le reste est chiffré sur le téléphone (mots de passe et numéro de compte). Et si j'ai bien Vu, sur le téléphone portable, tout les ports sont fermés en 4G, il n'y a qu'en local qu'ils sont ouvert. Une suggestion sur les âneries que j'ai pu dire ?

Pour le "float", si j'ai bien compris et les testes 4G/wifi que j'ai fait, a priori, il permet de rester connecté au tunnel quelque soit la borne ou l'on est, quand je passe de 4G à wifi, il reste connecté en VPN

Sinon, pour la connection VPN en TCP et UDP, voici un graphique de débit, (le téléchargement a été fait avec mon téléphone qui n'est pas terrible en débit réseau samsung s8+)

-première courbe en connection TCP /4G
- deuxième courbe en connection UDP/4G
- troisième courbe en connection TPC/4G
-quatrième courbe en connection TCP/wifi
- cinquième courbe en connection UDP/wifi

Modifié le 13 mai 2022 par bliz
l'image n’apparaît pas

[Jeff777]

Oui pour ddns. Bien sûr, mais dns externe c'est ambigüe.

#redirect-gateway def1 . Je comprends ton utilisation, je le fais sans # pour utiliser mon pihole.

il y a 30 minutes, bliz a dit :

Pour le "float", si j'ai bien compris

tu en as plus compris que moi .  

Je ne vois pas tes courbes mais si le TCP est aussi performant en débit que l'UDP c'est sûr qu'il faut rester en TCP.

[bliz]

Merci des conseilles

Pour le TCP, j'ai un gain, je vais l'uploader sur le site pur que tu vois

-première courbe en connection TCP /4G
- deuxième courbe en connection UDP/4G
- troisième courbe en connection TPC/4G
-quatrième courbe en connection TCP/wifi
- cinquième courbe en connection UDP/wifi

[Litsip]

Le 13/05/2022 à 16:49, bliz a dit :

Bonjour à tous,

pour openvpn, je viens de passer le port 1194 UDP en port 1194 TCP, le gains de vitesse est terrible en TCP. Je voudrais savoir si cela comporte des risques de le laisser en TCP et peut être me dire si ma configuration est correcte ou si elle peut être améliorée.

Étonné par cette suggestion, j'ai moi même voulu essayer... Et bien mon constat est identique à @bliz :

-> En utilisant le protocole TCP au lieu de l'UDP pour de l'OpenVPN, je multiplie par deux le débit de mes échanges !

Précisions importantes, ces échanges ont lieu dans le cadre d'une connexion OpenVPN Nas to Nas et avec Hyperbackup vers Nas distant.

La configuration du client (Nas distant) est identique à l'exception de "proto udp -> tcp"  :

dev tun
tls-client

remote IP WAN 1194 (VPN serveur)

#float

#redirect-gateway def1

dhcp-option DNS 192.168.2.1 (serveur DNS local du Nas distant)

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto tcp-client

script-security 2


mssfix 1470

comp-lzo

reneg-sec 0

cipher AES-256-CBC

auth SHA512

auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
key-direction 1
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
-----END OpenVPN Static key V1-----

</tls-auth>
verify-x509-name ‘*.NDD.TLD name

Dans ma situation il y'a peut-être un lien avec le fait qu'Hyperbackup utilise déjà du TCP.

En tout cas si quelqu'un a une explication, je suis preneur.

Tu utilises toujours le TCP de ton coté @bliz ?

Modifié le 13 juin 2022 par Litsip

[bliz]

@Litsipoui, je suis toujours en tcp, pour les débits, j'ai fait des test avec nperf, un avec le dégit de la ligne internet du nas (fibre) et un autre test avec celui de mon téléphone. je prend le pire des résultats entre le débit montant du nas et le débits descendant du téléphone (pour moi, c'est la connexion montante du nas qui est la plus faible ----> 450 mbits/s descendants et 100 mbits/s montant, qui soit disant est une 400/400), ce résultat, je le divise par deux et je devrais avoir la vitesse de connexion du VPN

PS : pour le MTU, j'espère que tu as pris le pire des deux (nas local/nas distant)

Modifié le 13 juin 2022 par bliz

[Litsip]

Le 13/06/2022 à 15:03, bliz a dit :

PS : pour le MTU, j'espère que tu as pris le pire des deux (nas local/nas distant)

J'ai effectivement évalué à partir d'un Pc les deux réseaux LAN, via la technique de @oracle7 mentionnée ici :

 

D'ailleurs @bliz j'ai vu que tu mentionnes toi même la commande mssfix à tes clients OpenVPN.

Est-ce que tu as remarqué qu'il est désormais possible de rentrer le mssfix via DSM, dans l'application VPN server ? Par défaut il est à 1450.

En faisant de la sorte, j'ai essayé avec et sans mssfix dans le fichier de conf. client. Et ça semble fonctionner aussi bien.

 

 

[bliz]

Ce que je veux dire, c'est que tu t'en sert pour une sauvegarde de nas à nas distant, il faut mettre le MTU le plus bas rencontré des deux nas ou alors tu fait directement le ping sur ton nas distant. Pour le calcul du MTU, il y a aussi le logiciel "TCP Optimize", c'est un vieux logiciel que je me servais lorsque j'étais en modem RTC, pour pouvoir correctement jouer à DF2 à l'époque.
Pour faire un ping depuis internet sur une livebox, ça se passe dans le parefeu de la livebox, en personnalisé (à mettre de façon temporaire pour le test de ping, puis revenir comme c'était avant.



pour la deuxième question, je n'ai pas essayé puisque je me sert assez peu du VPN, mais bon, si on l'indique à la connexion, c'est encore mieux que d'attendre une réponse du serveur. Par contre, je ne sais pas lequel est propriétaire.
Prenons l'exemple que tton mtu sur ton nas à la maison soit de 1470 et que celui du travail soit de 1430, lorsque celui du travail voudras faire une sauvegarde par vpn à celui de la maison, par defaut, le mtu est à 1470, mais celui du travail aura des paquets coupé vu que son mtu est à 1430. Donc il est logique que pour que le nas du travail se connecte à celui de la maison, il saisisse un mtu de 1430.
c'est pour cela que j'ai expliqué de prendre le plus petit des mtu des deux nas 

[zendagi]

Le 08/01/2022 à 17:02, wilb12 a dit :

Bonjour,

 

Je souhaiterais avoir un peu d'aide de votre part.

J'ai monté un serveur openvpn sur mon ds213j. j'arrive à me connecter sans pb depuis mon mobile ou un autre réseau.

J'accède bien au réseau local de mon nas et je vois et accède bien toutes les autres machines en 192.168.1.X

Par contre, pour accéder à mon NAS, je suis obligé de mentionner son adresse IP en 10.8.0.X et non en 192.168.1.X.

Je tombe en time out  lorsque je souhaite acceder à mon NAS avec l'adresse IP 192.168.1.X quand je suis connecté en VPN.

Est ce que vous avez une idée ?

Merci

bonjour,

je rencontre le même souci.

est ce que vous avez trouvé une solution par hasard ?

cordialement

[alan.dub]

Bonjour,
Utilisant depuis le début le protocole L2TP (ports UDP), j'aimerais passer l'OpenVPN.
Raison : pouvoir connecter plusieurs comptes utilisateur en même temps, ce que me refuse le protocole L2TP.

Pour ce faire, j'utilise l'app iOS OpenVPN.
Protocole UDP depuis VPN Server du NAS
Redirection du port UDP 1194 de la BOX vers le NAS : OK
Ouverture du port UDP 1194 sur le pare feu du NAS : OK

Fichier openVPN modifié sur les lignes:

remote YOUR_SERVER_IP 1194 : ici IP publique
#redirect-gateway def1 : j’ai supprimé le #
#dhcp-option DNS DNS_IP_ADDRESS : ici IP locale

Tout fonctionne… sauf que je ne passe pas via mon reverse Proxy pour l'anti Pub pour internet.
Après plusieurs essais (et messages d’erreur) d’ajout de Proxy sur l’app, il semble que pour ce faire je dois passer le port 1194 en TCP.

Modifications des UDP en TCP, la connexion du VPN est toujours OK.
Par contre en recréant la connexion au proxy depuis l’app, je n’ai plus le message d’erreur me parlant des ports TCP, mais ce dernier :
There was an error attempting to connect to the selected server.

Là je bloque.

Pour ajouter un proxy, les info à renseigner sur l’app sont les suivantes :

Proxy Friendly Name :
Un nom explicite pour moi

Proxy hostname or IP :
Mon IP local

Port :
3128

Username :
Renseigné ou non

Password :
Renseigné ou non

Use Basic Authentification :
Option coché ou pas cochée

Je bloque complètement ^^
Auriez-vous une idée du pourquoi ?

[alan.dub]

TROUVE !!!

Avec le protocole OpenVPN, si vous voulez aussi utiliser votre Proxy Server (qui a été configuré pour être votre anti pub), il faut que votre .ovpn soit ainsi (toujours via TCP) :

dev tun
tls-client

remote IP_WAN_BOX 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

dhcp-option DNS IP_LAN_NAS
dhcp-option PROXY_HTTP IP_LAN_NAS 3128
dhcp-option PROXY_HTTPS IP_LAN_NAS 3128

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto tcp-client

script-security 2

comp-lzo

reneg-sec 0

cipher AES-256-CBC

auth SHA256

auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----

Modifié le 8 juillet 2022 par alan.dub

[MilesTEG1]

@alan.dub c’est quoi que tu appelles serveur proxy ?

Tu parles du reverse proxy de dsm ? Ou bien d’un serveur dns ? (Autre que celui de la box , comme par exemple dns serveur, ou pihole ou adguard home)

[alan.dub]

Pardon, pourquoi ai-je ici écrit reverse proxy ? Aucune idée

Je voulais bien entendu parler du Proxy Server (paquet de DSM) que j’utilise pour l’anti pub (et plus tard pour aussi bloquer l’accès à certains sites lorsque mes enfants seront plus grands).

L’idée était d’utiliser l’OpenVPN pour accéder au NAS depuis l’extérieur (avec plusieurs comptes simultanément), et accéder au web via le Proxy Server pour virer les pub.

C'est maintenant chose faite. 

[Jeff777]

Il y a 9 heures, alan.dub a dit :

L’idée était d’utiliser l’OpenVPN pour accéder au NAS depuis l’extérieur (avec plusieurs comptes simultanément), et accéder au web via le Proxy Server pour virer les pub.

Bonjour,

J'utilise Openvpn et je peux aller sur internet sans pub en passant par Adguard sur Raspberry.

Quel intérêt présente ta méthode ?

[alan.dub]

Mon anti pub est géré par le NAS (via le paquet proxy server). 
Ça me permettra de ne plus avoir du pub lorsque j’aurais la fibre à la maison (déjà éligible mais ma baie n’est pas encore en place dans le garage).

Une fois fibré, les iPhones auront toujours le VPN activé en 4G.

Aujourd'hui je ne sais pas ce que je pourrais faire d’un raspberry sachant que mon NAS s’occupe de tout (sauf de la partie DHCP…).

Modifié le 9 juillet 2022 par alan.dub

[Jeff777]

il y a 4 minutes, alan.dub a dit :

Mon anti pub est géré par le NAS (via le paquet proxy server)

Tu peux installer adguard en docker. Ce que j'essaie de comprendre c'est ce qu'apporte l'utilisation du proxy serveur. 

[alan.dub]

J’ai un DS418, donc pas de docker. 
C’est avec le proxy server qu’on fait l’anti pub. 
J’ai donné le lien du tuto dans un de mes précédents messages.

[MilesTEG1]

il y a 16 minutes, alan.dub a dit :

J’ai un DS418, donc pas de docker. 
C’est avec le proxy server qu’on fait l’anti pub. 
J’ai donné le lien du tuto dans un de mes précédents messages.

J’ai vu .

 J’ai une question : comment est mis à jour le fichier contenant les ip et ndd à filtrer ? Qui s’en charge ? C’est fréquent ?

[alan.dub]

Tu veux parler des sites à bloquer ou du fichier adservers.reg pour l’anti pub ?

Pour le premier ça sera moi (suivant les besoins par rapport à mes enfants), le deuxième est automatique (tous les samedis).

Modifié le 9 juillet 2022 par alan.dub

[Jeff777]

Il y a 8 heures, alan.dub a dit :

J’ai un DS418, donc pas de docker.

Ah oui. C'est une excellente raison. J'essaierai peut-être, pour voir 

[Pasquale]

Bonjour,

Merci pour ce turoriel et celui sur la sécurisation du NAS, très bien réalisés, très clairs.
J'ai quelques connaissances de sécurité, mais cela m'a permis de sécuriser un peu mieux mes deux NAS.
Et de faire mes sauvegardes HyperBackup via le VPN qui tournent parfaitement bien.
Même si pour l'instant, mon NAS destination est encore chez moi, avant de rejoindre son nouveau domicile d'ici quelques jours.

Bravo aux rédacteurs !

Pascal

[babas123]

Merci pour ce tuto qui est très clair. Malheureusement je rencontre un petit souci…

Pour que j’arrive à me connecter au VPN (L2TP) sur iOS, il faut que j’arrête puis relance le paquet sur le NAS. Sinon, j’ai droit à un message d’erreur « le serveur L2TP-VPN ne répond pas. … »

Sur Android je n’ai pas ce problème.

Quelqu’un aurait une idée ?

merci

Modifié le 17 septembre 2022 par babas123
Précisions Android

[alan.dub]

Si ça te fait ça après une déconnexion / reconnexion ou lorsque tu tentes de connecter deux systèmes sous iOS en même temps, je ne dirais pas que c’est « normal »… mais chez moi ça me faisait le même chose ^^

Je ne pouvais connecter qu’un seul système sous iOS à la fois, et lorsque je voulais connecter un autre système sous iOS au VPN, je devais d’abord déconnecter le premier ET attendre +/- 20 minutes ^^

Pour corriger le problème, je suis passé sous… OpenVPN ^^

 

Modifié le 18 septembre 2022 par alan.dub

[bliz]

Vous avez mis quoi dans les paramètres nombre de connexions maximales et nombre maximum de connexions d'un compte ?

[alan.dub]

J'ai tout essayé, voir deux de mes messages présents dans ce topic :

 

 

 

Modifié le 18 septembre 2022 par alan.dub

[bliz]

avez vous essayez, pour les problème de connexion à plusieurs :

nombre de connexions maximales = x

nombre maximum de connexions d'un compte = x/ nombre de user du vpn

c'est simple mais au cas où vous n'auriez pas pensé