[TUTO] VPN Server

[StephB]

Bonjour à tous !

Je tombe sur un problème dont je ne trouve aucune solution (tellement que c'est simple) sur le net, je pose donc ici pour un peu d'aide, là je suis complètement bloqué.

Il m'est impossible de pouvoir finaliser la configuration d'OpenVPN sur mon Nas en DSM 7.x.x, j'ai continuellement le bouton d'exportation du certificat grisé !? je suis dépité ...

Mes certificats sont tous OK

Auriez-vous une idée lumineuse pour m'enlever cette épine du pieds ?

En tout cas merci pour toutes vos idées.

Steph

 

[Jeff777]

Bonjour,

A vérifier : Quel certificat est attribué au service VPN (paramètres de ta seconde capture d'écran).

[bliz]

@Jeff777 parle de ceci

[StephB]

Bonjour à tous les deux,

Oui j'ai vérifié et c'est justement tout OK, d'où mon étonnement !?

Auriez-vous une idée ? je ne comprend plus, j'ai essayé de désinstaller et de réinstaller "OpenVPN" mais même souci problème.

En tout cas merci pour vos conseils !

Que je mentionne l'un des trois pour "OpenVPN" même résultat, je n'y comprends rien

Modifié le 24 septembre 2022 par StephB

[Jeff777]

Et en cochant la case : vérifier le CN du serveur ?

[StephB]

Merci à vous tous pour toutes vos aides, sincèrement merci !!

J'ai trouvé, je suis tombé sur ce tuto (en anglais) https://www.wundertech.net/synology-nas-openvpn-server-setup-configuration/ et en suivant à la lettre (donc numéro après numéro !) j'ai enfin eu le bouton en non-grisé, j'ai réussi à donc sauvegarder le fameux fichier et en suivant le tuto ici 

j'ai ma connexion qui fonctionne parfaitement (bon après deux essais de fichier .ovpn) quand même, encore 1000 mercis pour vos soutiens et vos conseils.

Bonne soirée et bon week-end (à l'heure où j'écris ce message)

Steph

[bliz]

ok, si je comprend bien, vous n'avez pas appuyé sur le bouton appliquer avant d'exporter la configuration

[StephB]

Non-non, quand il y a un problème (dans le miens donc), il n'était pas possible d'appuyer sur le bouton "appliquer", car message d'erreur en parlant de certificats (alors que comme montré ici tous étaient OK) et en plus impossible d'avoir le bouton exporter "non-grisé", je tournais donc en rond. Car impossible d'exporter ce fameux fichier de configuration

 

Je ne sais pas si je suis clair !? 

[boun's]

Bonjour à tous

J'ai mis en place un serveur ovpn sur mon mr2200ac distant (au travail) auquel je me connecte sans problème depuis le pc de la maison ou mon portable.

Je suis chez Orange donc je n'ai pas d'ip fixe. J'ai configurer un dyndns synology.me qui me renvoit bien vers l'interface du mr2200ac, ddns que j'ai également renseigné dans mon fichier ovpn de config.

Cela fonctionne très bien depuis mon portable et mon pc, mais ne fonctionne pas depuis mon nas synology ds220 à la maison.

A noter que mon Nas se connecte bien au vpn si je renseigne l'adresse ip externe en dur dans le fichier ovpn, mais pas moyen si je la remplace par XXX.synology.me.

Bizarre cela fonctionne depuis mon pc mais pas depuis mon nas, avec le même fichier ovpn.

Merci de votre aide

 

[Almogaver]

Le 18/09/2022 à 08:17, alan.dub a dit :

Si ça te fait ça après une déconnexion / reconnexion ou lorsque tu tentes de connecter deux systèmes sous iOS en même temps, je ne dirais pas que c’est « normal »… mais chez moi ça me faisait le même chose ^^

Je ne pouvais connecter qu’un seul système sous iOS à la fois, et lorsque je voulais connecter un autre système sous iOS au VPN, je devais d’abord déconnecter le premier ET attendre +/- 20 minutes ^^

Pour corriger le problème, je suis passé sous… OpenVPN ^^

 

Désolé, j’ai rencontré des problèmes de connexion à mon compte sur le forum et n’ai pas pu répondre avant… .

De mon côté, tout semble être rentré dans l’ordre sans que je ne sache trop pourquoi. Un MàJ d’iOS peut-être ?

[Nano83]

Bonjour à tous,

J'utilise OpenVPN depuis pas mal de temps sans soucis. (DSM6 ou DSM7)

Je me connecte:

sur PC via OpenVPN GUI

sur mobile via OpenVPN connect

Depuis DSM 7 dans VPN Server pour configurer le serveur OPENVPN, il est possible de cocher

• Vérifier la clé d'authentification TLS
• Vérifier le CN du serveur.

Ce que j'ai tenté. J'ai donc exporté le nouveau fichier de conf et importé dans les deux clients.

Sur le PC via OpenVPN GUI ça marche nickel RAS pas de warning

Sur le mobile via OpenVPN Connect là j'ai le message:

Donc il me semble qu'il me manque un certificat à priori du client sur le mobile.

Je suis allé voir dans les certificats d'OpenVPN connect et là on me demande d'importer des fichiers au format .p12 ou .pkcs12.

Ou trouver/créer ce certificat ?

Je vois pas trop comment faire pour résoudre le problème.

Quelqu'un aurait il une idée ?...  A part revenir comme avant en décochant les 2 options

Merci d'avance pour votre support.

 

 

 

[MilesTEG1]

Il y a pas une ligne à commenter ou à décommenter dans le fichier ovpn ?

Il me semble que c’est écrit dedans ce qu’il faut fait pour le mobile (ios de souvenirs).

[Nano83]

Il y a 8 heures, MilesTEG1 a dit :

Il y a pas une ligne à commenter ou à décommenter dans le fichier ovpn ?

Il me semble que c’est écrit dedans ce qu’il faut fait pour le mobile (ios de souvenirs).

@MilesTEG1 Merci, le fichier README.txt ne précise rien pour les mobiles mais ça ne vient pas de là car je suis sous Android et de plus j'ai mis OpenVPN Connect sur le PC pour vérifier que ça ne venait pas du mobile et c'est le même message d'erreur.

C'est une histoire de certificat sur le client mais lequel faut-il mettre ?... je suis trop noob sur les certificats pour trouver.

Donc pour resumer, sur un même PC(win10) avec le même fichier de conf .ovpn par OpenVPN Connect  ca marche pas mais pas par OpenVPN GUI ca marche.

[Pascalou59]

il y a une heure, Nano83 a dit :

@MilesTEG1

C'est une histoire de certificat sur le client mais lequel faut-il mettre ?... je suis trop noob sur les certificats pour trouver.

Donc pour resumer, sur un même PC(win10) avec le même fichier de conf .ovpn par OpenVPN Connect  ca marche pas mais pas par OpenVPN GUI ca marche.

Pour moi c'est pareil sur Pc c'est ok mais pour le mobile l'appli dit qu'il manque le certificat que j'ai importé du Synology , c'est celui la qu'il faut mettre

J'ai demandé sur le forum Openvpn et aucune réponse a ce problème n' a été apporté

[Nano83]

il y a 17 minutes, Pascalou59 a dit :

Pour moi c'est pareil sur Pc c'est ok mais pour le mobile l'appli dit qu'il manque le certificat que j'ai importé du Synology , c'est celui la qu'il faut mettre

J'ai demandé sur le forum Openvpn et aucune réponse a ce problème n' a été apporté

@Pascalou59

Je veux bien essayer par contre le certificat du serveur NAS Syno est un .pem et sous OpenVPN Connect, ca ne semble accepter que les formats .p12 ou .pkcs12 ou .pfx

A priori il faut le convertir d'après ce que je trouve ?!?

De plus les formats d'export ne sont pas les mêmes selon que tu sois sur NAS ou routeur Syno

L'export du certificat d'un RT2600 te donne des certificats CA.crt / server.crt / server-ca.crt + clés privées

L'export du certificat d'un NAS DSM 7 te donne un fichier cert.pem + clé privée

 

 

[Jeff777]

@Nano83 @Pascalou59

Vous trouverez la réponse ici :

 

A savoir que sur une tablette android, si vous ne pouvez pas donner le certificat sous le format demandé il suffit de cliquer sur continuer et c'est le certificat déjà présent dans opvn.conf qui est utilisé.

Il est aussi possible d'éditer ce fichier pour ajouter une instruction (je ne me souviens plus laquelle) qui fera que la question ne sera plus posée

Modifié le 7 novembre 2022 par Jeff777

[Nano83]

il y a 15 minutes, Jeff777 a dit :

@Nano83 @Pascalou59

Vous trouverez la réponse ici :

 

A savoir que sur une tablette android, si vous ne pouvez pas donner le certificat sous le format demandé il suffit de cliquer sur continuer et c'est le certificat déjà présent dans opvn.conf qui est utilisé.

Il est aussi possible d'éditer ce fichier pour ajouter une instruction (je ne me souvient plus laquelle) qui fera que la question ne sera plus posée

@Jeff777 Merci pour le lien, je vais essayer.

Je suis d'accord avec toi que si l'on clique sur continuer il passe outre et se sert du certificat déjà dans le fichier .ovpn.

Si tu veux enlever cette fenêtre il faut mettre dans le fichier la commande "setenv CLIENT_CERT 0" d’après la littérature du net mais c'est pas bien propre.

Mon problème apparait juste après cette phase

et c'est lié à l'activation des options dans le serveur openvpn du nas.

• Vérifier la clé d'authentification TLS
• Vérifier le CN du serveur.

Sans celles-ci ça marche

donc je suppose qu'il doit peut être manquer une clé ta.key pour le handshake pour la verif d'authentification TLS (pas sur ce que je dis)

ou dans la vérif du CN serveur.

Je continue à creuser.

 

 

 

 

 

[Jeff777]

il y a 26 minutes, Nano83 a dit :

Mon problème apparait juste après cette phase

 tu es certain de ton certificat ?

[Pascalou59]

il y a 12 minutes, Jeff777 a dit :

 tu es certain de ton certificat ?

J' ai re-creer ce certificat plusieurs fois et réimporté a chaque fois mais moi c'est sous Android 13 la procédure reste la meme

Modifié le 7 novembre 2022 par Pascalou59

[Nano83]

il y a 6 minutes, Jeff777 a dit :

 tu es certain de ton certificat ?

@Jeff777 pas bête cette idée !

Celui sur le NAS est un autosigné Syno qui somme toute fonctionne très bien sous le client OpenVPN GUI mais pas sous le client OpenVPN Connect (les deux clients étant sur le même PC).

J'ai un certificat let's encrypt sur mon RT2600, je peux l'importer sous le NAS ? ou faut-il que j'en fasse un autre pour le NAS ?

 

 

[Jeff777]

il y a 5 minutes, Nano83 a dit :

J'ai un certificat let's encrypt sur mon RT2600, je peux l'importer sous le NAS ? ou faut-il que j'en fasse un autre pour le NAS ?

Tu peux l'importer il est lié à ton domaine pas au périphérique.

[Nano83]

il y a 28 minutes, Jeff777 a dit :

Tu peux l'importer il est lié à ton domaine pas au périphérique.

@Jeff777

j'ai changé le certificat du NAS autosigné par celui du RT let's encrypt et ça donne la même chose.

Ok sous OpenVPN GUI

Nok sous OpenVPN Connect

Si je décoche l'option

• Vérifier le CN du serveur.

qui supprime donc dans le fichier  .ovpn

verify-x509-name 'mon.nom.domaine.fr' name

Alors là ça marche sur les 2 clients mais j'ai de nouveau le warning sur le client OpenVPN Connect

WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.

Maintenant reste comprendre pourquoi la verif CN met le bazar

 

 

[Nano83]

Il y a 13 heures, Nano83 a dit :

@Jeff777

j'ai changé le certificat du NAS autosigné par celui du RT let's encrypt et ça donne la même chose.

Ok sous OpenVPN GUI

Nok sous OpenVPN Connect

Si je décoche l'option

• Vérifier le CN du serveur.

qui supprime donc dans le fichier  .ovpn

verify-x509-name 'mon.nom.domaine.fr' name

Alors là ça marche sur les 2 clients mais j'ai de nouveau le warning sur le client OpenVPN Connect

WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.

Maintenant reste comprendre pourquoi la verif CN met le bazar

 

 

@Jeff777@Pascalou59@MilesTEG1

Bon j'ai trouvé la solution au problème en cherchant sur le net.

A priori c'est connu sur la dernière version du client OpenVPN Connect (3.3.6)

A la création du serveur OpenVPN sur le NAS et quand on coche l'option

• Vérifier le CN du serveur.

Dans le fichier de conf exporté, la ligne suivante est ajoutée en fin de fichier

verify-x509-name 'mon.nom.domaine.fr' name

ceci qui conduit au message d'erreur suivant lors de l'utilisation de cette conf sous OpenVPN Connect 3.3.6

Pour résoudre le problème il faut enlever les quote ou les remplacer par des doubles quote sur la ligne de commande dans le fichier de conf .opvn

La ligne devient

verify-x509-name mon.nom.domaine.fr name

Et après ça marche  !!!

Merci pour votre aide à tous.

Je laisse ici le fichier de config

dev tun
tls-client

remote mon.nom.domaine.fr 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2



reneg-sec 0

cipher AES-256-CBC
data-ciphers 'AES-256-CBC'

auth SHA512

auth-nocache
auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
# ici votre certificat
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
# ici votre certificat
-----END CERTIFICATE-----

</ca>
key-direction 1
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
# ici votre clé
-----END OpenVPN Static key V1-----

</tls-auth>
verify-x509-name mon.nom.domaine.fr name

 

[Pascalou59]

Bonjour @Nano83

Maintenant ca fonctionne pour mon Android Oneplus10 , j'ai bien du dé-commenter

</tls-auth>
# verify-x509-name 'mondomaine.com' name

[Jeff777]

il y a 3 minutes, Pascalou59 a dit :

j'ai bien du dé-commenter

Décommenter :

verify-x509-name 'mondomaine.com' name

et enlever les quotes.....c'est ça?

verify-x509-name mondomaine.com name