[TUTO] VPN Server

[Nano83]

il y a 11 minutes, Pascalou59 a dit :

Bonjour @Nano83

Maintenant ca fonctionne pour mon Android Oneplus10 , j'ai bien du dé-commenter

</tls-auth>
# verify-x509-name 'mondomaine.com' name

@Pascalou59

Non la tu l'as commenté en ajoutant le # (la ligne devient un commentaire)

moi je parlais de de-quoter comme ci dessous

verify-x509-name mondomaine.com name

mais il parait qu'avec le double quote ca marche aussi cependant je n'ai pas essayé cette seconde version

verify-x509-name "mondomaine.com" name

 

Modifié le 9 novembre 2022 par Nano83

[Pascalou59]

il y a 23 minutes, Jeff777 a dit :

Décommenter :

verify-x509-name 'mondomaine.com' name

et enlever les quotes.....c'est ça?

verify-x509-name mondomaine.com name

J'ai mis un # devant verify-x509-name 'mondomaine.com' name

Moi ca me va comme ça car auparavant ça ne marchait pas du tout

Ps je viens de faire l'essai  sans le # et j'ai enlevé le quote ' et ça marche aussi

 

Modifié le 9 novembre 2022 par Pascalou59

[Myghalloween]

Question certainement déjà posée : est-il possible de faire une connexion VPN IKEv2/IPsec sur nos NAS ? Je ne vois rien dans le paquet VPN server. @Fenrir parle de 4 façons de se connecter en VPN dans son tuto, je ne trouve pas cette 4eme option et je ne suis pas sûr que ce soit IKEv2.

Sur VPN server, L2TP/IPsec me semble le meilleur compromis pour ne pas avoir à installer une appli sur les clients, mais ça ne vous dérange pas que L2TP soit potentiellement "écouté" par la NSA ?

Autre remarque (je pense que j'ai la réponse, mais je préfère des avis d'initiés) : y-a t-il des risques (si oui lesquels) à utiliser le reverse proxy pour accéder à DSM via le port 443 plutôt que d'exposer en permanence le 5001 (par une redirection de port genre 45001 sur la box) ?

[bliz]

en VPN IKEv2/IPsec, non, pas possible

[Jeff777]

Il y a 14 heures, Myghalloween a dit :

y-a t-il des risques (si oui lesquels) à utiliser le reverse proxy pour accéder à DSM via le port 443 plutôt que d'exposer en permanence le 5001

Bonjour,

Comme les initiés n'ont pas répondu je tente :

L'intérêt du reverse proxy avec redirection auto de http vers https (par fichier .htaccess) est de limiter les ouvertures de ports à quelques uns dont le port 443. Il existe cependant un risque résiduel d'interception (bien que le port 443 permet de crypter la liaison) cette technique s'appelle "man in the middle". Bien qu'un particulier soit peu exposé, il est possible de s'en protéger par l'usage du HSTS (voir l'expression "man in the middle" sur ce site ou sur intenet).

[Myghalloween]

Je connais le principe de "man in the middle". Effectivement pour un particulier, à moins d'héberger un hacker, d'avoir un wifi un peu trop "ouvert", ou subir une attaque qui permet d'entrer dans le LAN, le risque est faible.

Donc à priori, le risque qu'un robot détecte DSM sur le 443 et l'attaque est plutôt faible, d'autant qu'il faut encore passer le 2FA et ne pas être ban par de multiples tentatives... Je peux donc me passer du VPN sur ce point ? (je comprends bien que le VPN rajoute une couche de sécurité supplémentaire pour DSM)

[Biskot]

Bonjour à tous,

J'ai mis en place Un serveur VPN avec OpenVPN en suivant le tuto de @Fenrir que je remercie au passage.
1- Lors de la connexion avec le client OpenVPN j'ai l'avertissement suivant qui n'est pas bloquant, en effet on peut poursuivre le processus qui abouti avec succès :

J'ai trouvé dans ce fil de discussion une seule mention à cet avertissement sans qu'il n'y a eu une réponse. En tout cas je ne l'ai pas vu. le problème est identique si je renseigne l'adresse IP externe ou bien le nom de domaine muni d'un certificat Let's Encrypt valide. Ma question est de savoir si ignorer l'avertissement compromet la sécurité du tunnel VPN.

2- Depuis le tuto de Fenrir deux nouvelles options sont apparues :
- Vérifier la clé d'authentification TLS (qui crée une clé supplémentaire 2048 b)
- Vérifier le CN du serveur

Après l'activation de ces deux options (qui j'imaginais renforcerait un peu plus la sécurité), la connexion VPN échoue à la vérification du certificat TLS.

Merci pour vos réponses.

[Biskot]

Je viens de comprendre pourquoi je n'avais pas de réponse à mon message. En effet, les réponses à mes questions se trouvait une page avant celle-ci (je n'y était pas encore arrivé dans ma lecture du fil de discussion au sujet du VPN Server)

[Spudboy]

Question à deux cents, est-il possible avec openvpn que le NAS garde la même ip en 192.168.x.x une fois connecté?

J'ai décommenté la ligne redirect-gateway def1 pensant que ca le ferait mais ca ne marche pas et j'ai bien l'option Allow client to access serverślan de coché coté serveur.

Merci

[Jeff777]

il y a 3 minutes, Spudboy a dit :

Question à deux cents, est-il possible avec openvpn que le NAS garde la même ip en 192.168.x.x une fois connecté?

Bonjour,

Je ne comprends pas ta question, il n'y a aucune raison que le nas change d'IP. Sauf peut-être si tu n'as pas fixé son IP sur le routeur (recommandé).

[Spudboy]

Une fois connecté via OpenVPN je n'accède pas aux partages SMB via l'IP du NAS, et je ne peux pas non plus y accéder en web, de plus il ne répond pas aux ping sur son IP en 192.168.2.x

192.168.2.x étant la plage d'IP de mon réseau interne, et celle de openvpn 10.8.0.0, une fois connecté via openvpn j'arrive à joindre le NAS en 10.8.0.1, mais je voudrais le joindre en 192.168.2.x

Je pensais que c'était un problème de routes, j'ai créé celle ci, mais impossible de la passer en actif

Modifié le 1 février par Spudboy

[Jeff777]

il y a 25 minutes, Spudboy a dit :

Une fois connecté via OpenVPN

Tu vois bien ton client connecté dans le nas/vpnserveur/liste des connexions ?

En web avec Ipdunas:portdsm  tu arrives sur le dsm?

 

[Spudboy]

à l’instant, Jeff777 a dit :

Tu vois bien ton client connecté dans le nas/vpnserveur/liste des connexions ?

En web avec Ipdunas:portdsm  tu arrives sur le dsm?

 

ouais ca marche. Via Openvpn j'accède au NAS via l'ip 10.8.0.1, et je voudrais via 192.168.2.x

[MilesTEG1]

il y a 13 minutes, Spudboy a dit :

ouais ca marche. Via Openvpn j'accède au NAS via l'ip 10.8.0.1, et je voudrais via 192.168.2.x

 

As-tu coché la case entourée en rouge ci-dessous ?

Le 13/08/2016 à 17:13, Fenrir a dit :

Commencez par activer le serveur OpenVPN, vous pouvez laisser tous les réglages par défaut sauf éventuellement le cadre rouge :

• Par défaut le serveur ne vous laisse accéder qu'au NAS. Si vous cochez cette case, vos clients VPN pourront aussi accéder aux autre ressources de votre réseau (une imprimante réseau par exemple, un autre nas, ...) mais leur accès à Internet passera aussi par le nas. C'est à activer en connaissance de cause.

[Spudboy]

Ouais

[Jeff777]

Tout d'abord je retirerais la route que tu as créé. Ensuite pourquoi ne pas atteindre le nas par le reverse proxy. 

J'utilise une entrée pour filestation et drive avec contrôle d'accès et ça marche très bien.

Tu arrives  à te connecter sur le web avec la config que tu montres ci-dessus ?

[Spudboy]

J'ai supprimé la route, elle sert a rien.

Je voudrais juste accéder à drive, photo et file depuis mon phone via openvpn et aussi depuis mon portable Linux aux filesystem partagé via SMB sans avoir à changer la fstab car l'IP n'est pas plus la même.

J'arrive bien à me connecter au NAS mais via l'ip en 10.8.x.x.

[Jeff777]

@Spudboy C'est normal le protocole TCP au lieu d'UDP ?

[Spudboy]

à l’instant, Jeff777 a dit :

@Spudboy C'est normal le protocole TCP au lieu d'UDP ?

Ouais c'est un choix volontaire

[Jeff777]

Ah oui j'ai vu dans l'historique de tes posts.

Si j'étais toi je commencerais par suivre le tuto à la lettre (port et protocole par défaut), et vérifier que ça fonctionne bien.

 

[Spudboy]

il y a 7 minutes, Jeff777 a dit :

Ah oui j'ai vu dans l'historique de tes posts.

Si j'étais toi je commencerais par suivre le tuto à la lettre (port et protocole par défaut), et vérifier que ça fonctionne bien.

 

Déjà fait ^^

[Jeff777]

et depuis un client android ou windows ?

[Spudboy]

J'ai testé depuis Android/Linux/Windows toujours pareil

[Jeff777]

Et avec ces client là tu arrives à te connecter au nas? et par quelle méthode ?

[Spudboy]

J'arrive à me connecter via openvpn avec n'importe quel OS, cependant le nas n'est pas joignable via son IP en 192.168.x.x comme lorsque que je suis connecté à mon réseau et ce avec n'importe l'OS.

J'arrive à le joindre via son IP en 10.8.x.x il répond aux pings, l'interface web d'admin via le port 5001 marche, Mais je souhaite pouvoir le joindre via son IP en 192.168.x.x à travers le OpenVPN. Et j'arrive bien à joindre les autres machines du réseau en 192.168.x.x, il n'y a que le NAS que je n'arrive pas à joindre en 192.168.x.x via openvpn. (J'ai desactivé le firewall pour être sur que ca ne vienne pas de lui)

Modifié le 1 février par Spudboy