[TUTO] VPN Server

[Jeff777]

@StéphanH

De mon côté je n'utilise pas mes nas en client VPN, mais peut-être que mon utilisation pourra t'aider.

Mes nas sont tous deux serveurs VPN et sont accessibles de l'extérieur , le nas1 en IPV4 (redirection du port 1194) vers celui-ci et le nas2 en IPV6. Les deux nas sont sur mon réseau local.

Le fichier de config du client est résumé ci-dessous :

 

dev tun
tls-client

remote IPV4 1194
remote IPV6 nas2 1194

redirect-gateway def1

pull
proto udp
proto udp6

script-security 2
comp-lzo

reneg-sec 0

cipher AES-256-CBC
auth-nocache
auth SHA256

auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
xxxxxxxxxxxxxxxxxxxxxxxx
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
xxxxxxxxxxxxxxxxxxxxxxx
-----END CERTIFICATE-----

</ca>
verify-x509-name 'ndd' name
 

Par défaut, lorsque je me connecte à mon réseau de l'extérieur j'arrive en IPV4 sur le Nas1. Si celui-ci est déconnecté du réseau au bout d'environ 1 minute c'est le nas2 qui fini par se connecter en IPV6.

 

Je n'ai pas coché la case IPV6 sur les serveurs VPN (d'ailleurs ce n'est pas possible d'écrire le préfixe ...peut-être parce que je ne suis pas en DHCPV6 mais en SLAAC).

 

[Fidjial]

Le 20/05/2023 à 17:15, Fidjial a dit :

Quand j'active le VPN sur l'iPhone, je ne peux plus me connecter au NAS, un message me dit que je ne suis pas connecté à internet...

Je vais laisser tomber, c'est trop compliqué 😔

Merci à tous pour votre aide précieuse.

Je reviens sur mon précédent problème, que j'aurais bien voulu laisser tomber...

En fait quand je suis sur mobile ou ordi portable, quand j'établi une connexion VPN, je n'ai plus de connexion avec internet.

Ca ne doit pas être normal, mais je ne vois pas où ça bloque.

Voici ma config :

IP public 1.2.3.4 box IP 192.168.0.1 DMZ DHCP 192.168.0.2 -> routeur DHCP IP locales 192.168.1.x

VPN IPSec sur routeur 10.10.11.x ou WireGuard 10.6.0.x ou VPN Nas L2TP 10.10.11.x

Les connexions VPN s'établissent bien entre les machines distantes et le routeur ou le Nas mais internet est coupé !

Qu'est-ce que j'aurais oublié ou un défaut dans mon paramétrage ?

 

Merci bien.

[Mic13710]

il y a 14 minutes, Fidjial a dit :

VPN IPSec sur routeur 10.10.11.x ou WireGuard 10.6.0.x ou VPN Nas L2TP 10.10.11.x

Ces 2 VPN sont dans la même plage ? Il faudrait en changer une.

Il semblerait que ce soit un problème de serveur DNS. Lesquels avez-vous indiqués ?

Est-ce que vous arrivez à pinger l'IP 8.8.8.8 ?

Que donne un nslookup 8.8.8.8 ?

[Fidjial]

Il y a 2 heures, Mic13710 a dit :

Ces 2 VPN sont dans la même plage ? Il faudrait en changer une.

Il n'y a toujours qu'un seul serveur VPN actif (je désactive les autres) le VPN IPSec du routeur est 10.10.10.x et le VPN du NAS est 10.10.11.x

Il y a 2 heures, Mic13710 a dit :

Il semblerait que ce soit un problème de serveur DNS. Lesquels avez-vous indiqués ?

A quel endroit, sur quelle machine ?

Sur routeur IPSec, le serveur indiqué est 192.168.0.2 donc IP Wan du routeur par défaut

Sur routeur Wireguard, aucun, juste Autoriser DNS activé

Sur NAS VPN L2TP, Utiliser de DSN Manuel 1.1.1.1 non coché

Sur iPhone IPSec, aucun DNS visible, que le serveur et le compte et mot de passe

Sur iPhone Wireguard, DNS 192.168.0.2, adresse 10.6.0.3/32, point terminaison 192.168.0.2:51820 (sur routeur le port 51820 est redirigé vers 192.168.0.2)

Sur iPhone L2TP du Nas, aucun DNS visible, que le serveur et compte et mot de passe

 

Il y a 2 heures, Mic13710 a dit :

Est-ce que vous arrivez à pinger l'IP 8.8.8.8 ?

Comment faire et depuis quelle machine ?

Si c'est depuis iPhone pas possible car pas de connexion internet

Il y a 2 heures, Mic13710 a dit :

Que donne un nslookup 8.8.8.8 ?

Sur quelle machine ?

[StéphanH]

Le 24/05/2023 à 08:13, StéphanH a dit :

Bonjour à tous.

Depuis des années, mon DS218+ est connecté mon DS718+ via OpenVPN (et un certificat LE)

Je viens de migrer en DSM 7.2, et rien ne va plus.
J'ai dans le doute refait une config VPN "neuve" mais cela ne suffit pas.
Je ne sais plus où chercher.

À noter que mes deux box sont par défaut en IPV6  

L'un de vous peut il confirmer qu'il arrive/n'arrive pas à monter un Tunnel OpenVPN entre deux Synology en DSM7.2
Avec quelle config particulière du fichier .ovpn ?

 

Merci !

Et voici la réponse de Synology, si cela peut aider certains ...

 

[Jeff777]

@StéphanH

Bonjour. Je suis surpris de cette solution. J'ai les 3 premières lignes des paramètres avancés (réseau/général) non cochées et je peux me connecter  en IPV4 et IPV6 sans problème avec DSM7.2. En interne ou en externe en 4 G.

Je n'ai qu'un seul profil pour le parefeu que j'applique à tous les interfaces.

[StéphanH]

Leur réponse est ambigüe.

Le point 1 (Pare-feu), s'applique au serveur sur lequel j'ai autorisé uniquement les connexions françaises (en v4 et v6, je ne vois pas comment faire la différence dans le pare feu)

Le point 2 (First Use IPv4) s'applique au NAS client. Sans cette case à cocher, mon DS218+ échoue à se connecter au DS718+

[Jeff777]

il y a 33 minutes, StéphanH a dit :

s'applique au NAS client.

Ah oui j'ai oublié qu'il s'agissait d'une connexion entre nas. Vu que les miens sont sur le même réseau j'ai jamais essayé de les connecter en VPN.🙂

[neo-noob]

Bonjour tout le monde.

 

Grâce aux différents tutos ici, j'ai fait beaucoup de progrès avec les routeurs et NAS synology. Je tiens à en remercier leurs auteurs.

 

J'ai enfin réussi à monter mon premier VPN fonctionnel. Je suis sur un routeur ac2600 intercalé entre une liveproV4 et le switch principal. J'ai un SSL VPN qui fonctionne. Quand je clique sur ce lien :

 

https://login.routeurXXXX.synology.me:4443/webportal.cgi

 

J'accède bien au portail VPN. Quand je rentre identifiant et mot de passe, ça fonctionne et j'accède à une page me proposant web VPN, SSL VPN et bureau à distance. J'ai créé mon bureau à distance et... lui aussi fonctionne, j'accède bien à la session TS qui m'intéresse sur le serveur.

 

Le sujet qui me préoccupe maintenant et pour lequel je n'ai pas trouvé de solution est une pure question d'ergonomie. Je cherche à mettre ceci en place pour des clients et les utilisateurs n'entravent que dalle à l'informatique. Il me faut donc quelque chose de simple à utiliser.

 

Ce que je voudrais, c'est qu'au lieu d'enregistrer un raccourcis vers la page web, entrer un premier couple identifiant/mdp, puis sélectionner bureau à distance et encore rentrer un couple identifiant/mdp, je puisse avoir un simple raccourcis sur le bureau qui me demande un identifiant MDP et qui, dans l'idéal, simultanément, monte le VPN et me permette d'accéder à la session TS. Si ce n'est pas possible, que ce raccourcis me serve juste à lancer le VPN, de sorte que leurs raccourcis habituel leur permette de se connecter à leur session comme s'ils étaient au bureau.

 

Bref, qu'ils puissent tout faire à partir de leur bureau plutôt que d'avoir à accéder à des interfaces web assez peu intuitives pour eux. Je pensais que ce serait la portion congrue, facile à faire après avoir galéré à monter et paramétrer le VPN... mais non. Etonamment, je ne trouve aucun moyen simple de fabriquer un simple raccourcis à mettre sur le bureau. Est-ce seulement faisable? Si oui, comment?

 

Merci beaucoup!

 

[Nano83]

Bonjour à tous,

Je viens vous exposer un petit souci que je n'arrive pas à résoudre.

J'ai un VPN serveur OpenVPN qui tourne sans problème sur mon NAS depuis un bon moment.

Je peux accéder à tous mes périphériques de mon réseau local à distance via le VPN (NAS/Box/routeur/domotique/VMs etc....) ça fait des années que ça fonctionne sans aucun souci. (D'ailleurs c'est grâce, aux tutos et à la mine d'infos du Forum. merci à lui 🙂)

Sauf que... le seul périphérique auquel je ne peux pas accéder via le VPN est mon switch (Netgear GS116e).

Je le ping bien mais dès que je veux accéder à son interface c'est impossible. la connexion échoue quelque soit le navigateur. Firefox, Chrome, etc..

En local l'interface d'admin est parfaitement accessible en http://192.168.x.x/login.html

Là via le VPN le navigateur me transforme le HTTP en HTTPS et donc ça échoue. J'arrive pas a forcer à rester en http.

Il n'y a que ce p... de switch sur lequel je ne peux accéder,

l’accès au NAS en http pas de souci, la BOX en http pas de souci etc... Je précise que tous les équipements sont dans le meme réseau 192.168.x.x y compris le switch

Je tourne en rond, quelqu'un aurait il une piste ?

Pourquoi le navigateur me force seulement  pour le switch à passer en https lorsque que je suis via le VPN !!

Merci d'avance pour vos lumières.

[.Shad.]

Probablement une question d'entête au niveau du switch qui empêche la connexion depuis autre chose que le réseau du LAN sur lequel il se trouve.

Première étape, vérifier qu'il n'y a pas d'option avec des règles de sécurité ou de "headers" qui filtrent les IP.
Deuxième étape, dans le navigateur F12, puis network et actualiser la page, tu verras les différents éléments de la page web ainsi que les entêtes et les éventuelles restrictions qu'ils appliquent.

[Nano83]

Il y a 1 heure, .Shad. a dit :

Probablement une question d'entête au niveau du switch qui empêche la connexion depuis autre chose que le réseau du LAN sur lequel il se trouve.

Première étape, vérifier qu'il n'y a pas d'option avec des règles de sécurité ou de "headers" qui filtrent les IP.
Deuxième étape, dans le navigateur F12, puis network et actualiser la page, tu verras les différents éléments de la page web ainsi que les entêtes et les éventuelles restrictions qu'ils appliquent.

@.Shad. Merci pour ta réponse, je vais regarder cela avec mes petites connaissances, cependant pour le moment je ne suis pas sur place, donc pas moyen de vérifier grand chose via le VPN à part le ping du switch :-(.

Sous Chrome j'ai l'erreur suivante:

Voici quelques conseils :

• Vérifier la connexion
• Vérifier le proxy et le pare-feu

ERR_CONNECTION_REFUSED

La connexion est forcement ok, je n'ai pas de proxy et à tout hasard j'avais désactivé le parefeu du PC mais pas mieux.

Bref, je te donnerai des news, dès que possible.

[Nano83]

@.Shad. Après de multiples recherches, j'ai fini par tombé là-dessus sur le forum Netgear. Ce qui est tout a fait mon cas de figure. Ca semble être un problème de firmware.
 

Citation

 

today I updated the firmware on one of our GS116Ev2 from 2.6.0.43 to 2.6.0.48 via webinterface from a remote host which is connected via OpenVPN to network of switch. While the update could be installed without problems after reboot the web interface could not be accessed anymore. I tryed different browsers (Firefox, Chrome, EDXE) but all fail with "The website is not accessible" (e.g. Chrome says ERR_CONNECTION_REFUSED). A cold restart of the switch did not help.

The webinterface of the switch itself is up and running, because when I tryed to access from a virtual machine in the same subnet of the switch a connection to the web interface is possible.

Since I've got a second switch (same model) within the subnet which is still on firmware 2.6.0.43 I can see, that the problem is not related to my browser or the remote host, because the access to switch on firmware 2.6.0.43 works fine, while the access the switch on firmware 2.6.0.48 fails.

 

Je n'avais pas pensé essayer via une VM sur le NAS pour etre en local. Je m'en vais en monter une...

[Nano83]

@.Shad. J'ai monté ma VM sur le NAS et là j'ai bien accès à la page du switch... donc ca me fait un moyen de contournement pour y accéder via le VPN.

J'ai jeter un œil au header de la page comme tu me l'indiquais... mais là, ça dépasse le niveau de mes compétences.

Merci en tout cas pour les pistes que tu m'as données

 

Modifié le 12 septembre 2023 par Nano83

[charled]

Bonjour à tous,

Je suis nouveau sur ce forum car j'essaie de paramétrer un accès VPN à notre tout nouveau NAS DS220+ pour du partage de fichiers smb à distance. Merci à @Fenrir pour ce tuto que que j'ai imprimé et déjà lu et relu 3 fois mais il y a une connexion que je n'arrive pas à faire (dans mon cerveau 🙃) 

Donc soit :
- notre NAS220+ du bureau sur l'adresse locale 192.168.1.9
- derrière un routeur dont l'adresse publique est 45.xx.xx.xx.
- mon ordi perso sous Ubuntu 22.04 derrière une Freebox.

J'ai installé et paramétré VPN serveur avec OpenVPN, port 1194, adresse dynamique : 10.8.0.1. Ouvert le port 1194 dans le firewall du routeur vers le NAS 192.168.1.9. Ouvert les ports du firewall du NAS comme indiqué dans le tuto. La connexion s'établit sans problème. Et c'est là que je bloque... Quand je tente le partage sur smb://45.xx.xx.xx:1194/WORKGROUP/, j'obtient le traditionnel message :

Je ne souhaite pas que tout mon trafic internet passe par le VPN donc comment je dois faire pour que le trafic smb et ftp oui ? Qu'est-je ce que j'ai mal fait ? Merci d'avance.

[Nano83]

il y a 42 minutes, charled a dit :

 smb://45.xx.xx.xx:1194/WORKGROUP/, j'obtient le traditionnel message :

 

Salut,

Je pense que ton problème est dans l'adresse IP.

Tu ouvres ton VPN sur ton PC distant (donc tu es comme si tu étais en local mais via l'adresse 10.8.x.x) et après tu lui demandes d’accéder via l'IP publique au workgroup... smb://45.X.X.X....

Si ca marchait ca serait grave ca voudrait dire que ton le monde pourrait accéder à ton workgroup de l’extérieur 🙂

Il faut que tu mettes une ip locale en 192.168.x.x/workgroup pour accéder.

essaye smb://192.168.1.9/workgroup

Sinon dans ton fichier de config openvpn il faut autoriser l’accès au LAN aussi pour que le VPN sur DS220+ te permette de voir ton réseau local.

Voila j'espère que ca va t'aider.

 

Modifié le 23 septembre 2023 par Nano83

[charled]

Merci Nano83 pour ta réponse mais même erreur.

L'accès LAN est bien coché.

Par contre, je parle bien de me connecter depuis chez moi (et pas depuis le bureau) au NAS qui lui est au bureau. Comment mon ordi peut deviner que l'adresse 192.168.1.9 est l'adresse locale au bureau et non une adresse locale chez moi et passer par le VPN pour y accéder ? À mon avis, il y a une info qui lui manque quelque part : mappage de ports, route...

[Nano83]

il y a 3 minutes, charled a dit :

Merci Nano83 pour ta réponse mais même erreur.

L'accès LAN est bien coché.

Par contre, je parle bien de me connecter depuis chez moi (et pas depuis le bureau) au NAS qui lui est au bureau. Comment mon ordi peut deviner que l'adresse 192.168.1.9 est l'adresse locale au bureau et non une adresse locale chez moi et passer par le VPN pour y accéder ? À mon avis, il y a une info qui lui manque quelque part : mappage de ports, route...

Aux temps pour moi, j'avais compris que le NAS etait chez toi et que tu voulais t'y connecter depuis l'extérieur (bureau ou autres).

En ouvrant le VPN, il ouvre une connexion entre le NAS qui est serveur OpenVPN en 10.8.0.1 et ton PC qui est le client est en 10.8.0.X. A partir de là tu as un tunnel de monté et tu n'es plus en local chez toi sur cette connexion mais en local sur le réseau du bureau donc sur le réseau 192.168.1.X.

Tu devrais pouvoir pinger l'ensemble des machines de ton bureau autres que le NAS. tu as essayé ceci déjà ?

Après la connexion peut être autorisée (comme tu montes bien le VPN c'est que le port du routeur est ouvert et bien redirigé vers le NAS) mais peut être pas le flux, une histoire de règles de firewall soit dans le NAS soit dans le routeur du boulot.

 

 

[charled]

Citation

En ouvrant le VPN, il ouvre une connexion entre le NAS qui est serveur OpenVPN en 10.8.0.1 et ton PC qui est le client est en 10.8.0.X. A partir de là tu as un tunnel de monté et tu n'es plus en local chez toi sur cette connexion mais en local sur le réseau du bureau donc sur le réseau 192.168.1.X

Ça voudrait donc dire que tout mon trafic internet passe par la connexion VPN automatiquement à partir du moment où je l'active ?

Citation

Après la connexion peut être autorisée (comme tu montes bien le VPN c'est que le port du routeur est ouvert et bien redirigé vers le NAS) mais peut être pas le flux, une histoire de règles de firewall soit dans le NAS soit dans le routeur du boulot.

est-ce qu'il s'agit juste d'ouvrir les ports smb/cifs ouil faut être plus précis (route ?) ?

[Nano83]

il y a 43 minutes, charled a dit :

Ça voudrait donc dire que tout mon trafic internet passe par la connexion VPN automatiquement à partir du moment où je l'active ?

est-ce qu'il s'agit juste d'ouvrir les ports smb/cifs ouil faut être plus précis (route ?) ?

Tout ton trafic internet passe via ton VPN (donc ton routeur du bureau et plus ta box @home si tu as décoché la ligne ci dessous.

redirect-gateway def1

Ton trafic Internet passe par ta box @home si tu n'as pas decommenté la ligne ci-dessous (c'a dire que juste le trafic vers ton bureau passe par le VPN)

#redirect-gateway def1

fichier config openvpn:

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1

Il faut bien sur que les services smb/cifs soient autorisés pour ton utilisateur VPN.

Pour ma part je n'ai jamais touché aux routes!

 

[charled]

Bonsoir,

J'ai suivi ce tuto et j'arrive à me connecter à distance via openvpn au partage de fichiers depuis mon pc sous Ubuntu. Merci pour les conseils et les infos.

Par contre, un autre pc distant, sous Windows, a suivi les mêmes instructions. OpenVPN semble fonctionner (le client indique la connexion) mais il n'arrive pas à se connecter en SMB. 

La différence entre nos deux postes est probablement que je suis derrière une box Free donc sans firewall alors que l'autre est derrière un routeur d'entreprise avec le fw fermé par défaut. Comme je n'ai pas la main sur le routeur, j'ai besoin de comprendre précisément quels ports je dois demander à notre prestataire d'ouvrir.

Vu qu'on passe par le VPN, j'ai l'impression que seul le port du VPN doit être ouvert sur le routeur du poste client distant. Est-ce que je me trompe ou il faut aussi ouvrir les ports smb/cifs ?

Merci d'avance de votre réponse.

[CMDC]

Alors, effectivement, passer smb au travers d'une simple connexion OpenVPN est théoriquement possible 

https://kb.synology.com/fr-fr/DSM/tutorial/smb_connect_via_vpn

Le problème c'est que je n'y suis jamais arrivé !

Une piste serait d'autoriser dans smb.conf le réseau 10.8.0.0/24 ... 

Par contre ouvrir les ports smb/cifs , c'est se tirer une balle dans le pied

[charled]

Merci CDMC.

J'y suis arrivé avec un autre poste client sous Windows depuis chez moi donc derrière ma box Free. Celui qui pose problème est derrière un routeur pro donc dont les ports sont fermés par principe. Donc il faut que je voie déjà en faisant ouvrir le port du vpn.

[Nolin]

Le 11/12/2023 à 9:17 PM, charled a dit :

Par contre, un autre pc distant, sous Windows, a suivi les mêmes instructions. OpenVPN semble fonctionner (le client indique la connexion) mais il n'arrive pas à se connecter en SMB.

Bonjour,

J'ai le même problème, depuis que j'ai migré vers DSM7, je n'arrive plus à utiliser OpenVPN sur mon PC portable à distance.

La config fonctionne, la connexion d'OpenVPN  passe au vert (et sur le NAS, OpenVPN indique bien qu'il y a actuellement une connexion), mais aucun accès aux dossiers partagés, ni au NAS en tapant l'adresse IP.

Et pourtant, je ping bien le NAS.

Quelqu'un aurait une idée d’où peut venir le problème?

Merci pour vos retours!

[Nano83]

Il y a 15 heures, Nolin a dit :

Bonjour,

J'ai le même problème, depuis que j'ai migré vers DSM7, je n'arrive plus à utiliser OpenVPN sur mon PC portable à distance.

La config fonctionne, la connexion d'OpenVPN  passe au vert (et sur le NAS, OpenVPN indique bien qu'il y a actuellement une connexion), mais aucun accès aux dossiers partagés, ni au NAS en tapant l'adresse IP.

Et pourtant, je ping bien le NAS.

Quelqu'un aurait une idée d’où peut venir le problème?

Merci pour vos retours!

Bonjour @Nolin

Si tu montes bien le VPN,

Si ton NAS répond au ping,

Alors il y a de forte chance que cela vienne du firewall du NAS qui n'autorise pas le trafic entrant venant de ton PC à distance.

A mon humble avis, il faut vérifier le paramétrage des règles du firewall et les services accessibles depuis le VPN (DSM, file manager, etc....

Tu vas me dire oui mais avant de passer en DSM 7 ca marchait !! certes, sinon reprend la config de A à Z en ré-exportant le fichier de config VPN, peut etre une histoire de certificat.