[TUTO] VPN Server

[Fenrir]

Si c'est le routeur qui fait serveur ipsec/l2tp, il faut effectivement ajuster les règles.

Mon tuto est valable pour un serveur VPN derrière un NAT (routeur/box/...)

[Francoporto]

Hey salut, encore merci pour ce tuto très simple très clair c'est appréciable aussi très appréciable de savoir des choses qu'on aurait peut-être pas trouvé soit même comme l'inefficacité du PPTP et le port 1701 à ne pas ouvrir sur le routeur. 

Ce qui est dommage c'est que les Freebox le L2TP/IPSEC, j'espère que ce sera le cas avec les Freebox V7 qui sortiront bientôt.

Petite question de réseau général, c'est pas gênant d'utiliser des protocoles UDP ? Lorsqu'on établit la connexion on a pas besoin de flag SYNC/ACK pour qu'il n'y ait pas de problème ? C'est comme le TFTP je comprends pas pourquoi c'est en UDP ;(

[Fenrir]

Le 13/08/2016 à 17:13, Fenrir a dit :

il est nettement plus efficace (en terme de débit et de stabilité) d'utiliser le protocole UDP

Dans le cas d'un tunnel, les mécanismes d'intégrité sont ceux du protocole "interne" (les tunnels ont certains mécanismes eux aussi, mais trop long à détailler) => si tu surf via un VPN, tu fais du tcp dans de l'udp, donc tu as bien les SYNC/ACK/... et en cas de perte de paquet (de ton appli ou du tunnel), tu disposes des mécanismes de TCP pour corriger.

Mais tu as le droit de faire un tunnel en TCP (openvpn le permet), c'est juste moins efficace (entête plus gros donc tunnel plus petit et plus de choses à gérer donc moins performant).

edit :

• TCP c'est lourd et ça coute cher mais c'est fiable
• UDP c'est léger et ça ne coute presque rien
• T(trivial)  FTP

Modifié le 10 janvier 2018 par Fenrir

[Francoporto]

Ok merci pour ta réponse :)

[TwooNiis_]

Bonjour, 

Merci pour le tuto

 

Je ne comprends pas comment configurer les tables de routage pour que tout le trafic ne passe pas par le VPN

Dans mon cas je voudrais que le vpn assure la connexion entre le client et mon réseau local (pour que le protocole SMB fonctionne)et que le reste du flux passe par la connexion "normal sans VPN"

les 2 réseaux sont en ip fixe chez orange,

 

Si  je n'ai pas été clair n'hésitez pas a me demander.  Merci d'avance

[Fenrir]

Pour les tables de routage, j'ai mis quelques exemple pour windows/linux, qu'est ce que tu ne comprends pas ?

[PiwiLAbruti]

Le 15/01/2018 à 23:55, TwooNiis_ a dit :

Dans mon cas je voudrais que le vpn assure la connexion entre le client et mon réseau local (pour que le protocole SMB fonctionne)et que le reste du flux passe par la connexion "normal sans VPN"

Une fois connecté au VPN, il suffit d’utiliser l’adresses locale (privée) du NAS pour monter un lecteur réseau via SMB.

Pour utiliser le reste des protocoles hors VPN, il faut utiliser l’adresse IP publique.

[TwooNiis_]

Il y a 12 heures, Fenrir a dit :

Pour les tables de routage, j'ai mis quelques exemple pour windows/linux, qu'est ce que tu ne comprends pas ?

Je ne comprends pas comment configurer les tables de routage sur windows pour que le flux qui n'est pas à destination du nas ne passe pas par le VPN et pour que le flux qui lui est à destination du Nas passe par le VPN

 

je vous laisse un petit schéma cela sera peut être plus compréhensible

 

Il y a 6 heures, PiwiLAbruti a dit :

Une fois connecté au VPN, il suffit d’utiliser l’adresses locale (privée) du NAS pour monter un lecteur réseau via SMB.

Pour utiliser le reste des protocoles hors VPN, il faut utiliser l’adresse IP publique.

Je sais, mais ce n'est pas ça mon problème. Mon problème est que je veux que le flux qui n'est pas à destination du nas ne passe pas par le VPN et pour que le flux qui lui est à destination du Nas passe par le VPN

[oli.oli]

Hello,

La question est : que veux-tu faire exactement?

N'autoriser que le SMB vers le VPN (ça veut dire tout bloquer sauf le SMB, et ça, c'est plus compliqué)

Ou que tout le trafic Internet ne passe pas pas le VPN (ça veut dire que dès que tu veux atteindre une IP en 10.2.0.x, tu passeras par le VPN, pour accéder au DSM par exemple).

Si tu veux que seul l'Internet ne passe pas par le NAS, tu commentes la ligne suivante dans ton fichier ".openvpn" (il me semble d'ailleurs qu'elle est commentée par défaut) :

redirect-gateway def1

ça veut dire que tout ton trafic Internet passe par la passerelle par défaut et non par le VPN et que ton SMB passera par le VPN puisque tu attaqueras une IP en 10.2.0.x

Pour vérifier, tu testes ton IP publique sur le site distant et tu dois avoir la même, avec ou sans VPN activé.

[TwooNiis_]

 Oui c'est l'idée comme tu dis " tout le trafic Internet ne passe pas pas le VPN (ça veut dire que dès que tu veux atteindre une IP en 10.2.0.x, tu passeras par le VPN, pour accéder au DSM par exemple)" Mais je ne suis pas en open VPN je suis en l2tp/ipsec

Modifié le 28 janvier 2018 par Mic13710
inutile de répéter le message précédent si ça n'apporte rien de plus à la compréhension

[PiwiLAbruti]

Ça se configure au niveau du client VPN, c’est une option du type "Tout envoyer sur le VPN" qu’il faut décocher dans les paramètres avancés.

[Fenrir]

Et il faut bien utiliser l'adresse "vpn" du nas, celle en 10.xxxxx

[TwooNiis_]

J'ai trouvé l'option qui veux à peu près dire tout envoyer sur le vpn. c'est marqué dans le tuto.

 

J'ai décoché et redémarré la connexion vpn  c'est comme si je n'avais aucun vpn activé je ne peux pas accéder au réseau local distant. 

[Apolinaire]

Le 09/01/2018 à 16:06, Francoporto a dit :

Ce qui est dommage c'est que les Freebox le L2TP/IPSEC, j'espère que ce sera le cas avec les Freebox V7 qui sortiront bientôt.

Bonjour,
Ta phrase m'interpelle. Y-a-t'il un problème particulier pour faire du VPN L2TP/IPSEC derrière une Freebox ?

Parce que mon NAS est derrière une Freebox Révolution. J'ai suivi le tuto de Fenrir, que je remercie beaucoup, pour créer un serveur VPN L2TP/IPSEC sur mon NAS.

J'ai fait bien attention aux points suivants :
- sur le NAS : paramètres généraux et Privilèges réglés. Ports 1701, 500 et 4500 ouverts. Plage d'adresses IP 10.2.0.0 à 10.2.0.255. Configuration du pare-feu comme sur le tuto : OK. Clé pré-partagée créée.
- sur la Freebox : ports 500 et 4500 forwardés sur l'adresse du NAS.
- sur mon PC portable : création de la clé de registre. Création de la connexion VPN.

Connecté en 4G avec le PC portable (Win10-64b), je vois bien cette connexion dans les connexions disponibles. Je clique dessus (NB : j'ai entré mon logon et mon mot de passe du NAS dans les paramètres de la connexion). Il me dit "Connexion en en cours à <adresse IP de ma Freebox>", tourne un moment et finit par : "La tentative de connexion L2TP a échoué parce que la couche de sécurité a rencontré une erreur de traitement au cours des négociations initiales avec l'ordinateur distant."

Dans le journal de VPN Serveur du NAS je ne vois rien d'autre que : "Server was started" à une heure bien antérieure à ma tentative de connexion externe. C'est déjà ça... mais ça fait pas tout !

Selon les conseils de Fenrir, j'ai relu ligne à ligne le tuto ; j'ai fini par supprimer la connexion VPN et j'ai tout recommencé à zéro, j'ai encore relu (!!!) plusieurs fois le tuto, mais rien à faire, j'arrive toujours au même résultat.

Là, je ne sais plus où regarder...
Merci de votre aide.

[Apolinaire]

Bonjour,

J'ai testé le trafic sur les ports 500 et 4500 comme le propose Fenrir dans son tuto. Aïe aïe aïe... Y'a pas l'air de se passer grand-chose quand j'essaie de me connecter au VPN sur mon PC portable branché en 4G.

Évidemment, je suis toujours planté.

[Mic13710]

Et en vous connectant à partir d'une autre ligne (voisin, famille, copain) ?

[Apolinaire]

Mais je crois bien être sur une autre ligne ! Mon PC de bureau (avec lequel je surveille mon NAS et comme ci-dessus le trafic) est connecté à internet via ma Freebox Révolution. Mon PC portable (à côté) est connecté à internet via un partage de connexion 4G sur smartphone. Il est donc virtuellement à l'extérieur ! D'ailleurs, l'analyse de son adresse IP public le situe à au moins 30 km de chez moi ! Loin de ma Freebox et de mon NAS.

[Mic13710]

Je suis d'accord, mais qui vous dit que le problème de connexion ne vient pas de votre connexion 4G ?

[Apolinaire]

Avant de poser ma question sur le forum, j'avais passé l'après-midi d'avant-hier via TeamViewer sur le PC d'un cousin situé dans l'Hérault (j'habite en Ile-de-France) pour "attaquer" mon NAS par VPN. J'arrivais au même blocage.

Ensuite, par respect pour sa vie privée et son temps libre, j'ai décidé de passer par le 4G, ce qui me permet de faire une foultitude de tests dans la même journée sans ennuyer la terre entière.

[Mic13710]

Avez-vous essayé avec OpenVPN ?

[Apolinaire]

Non, pas encore. Je souhaitais vraiment passer par L2TP/IPSec. Caprice d'un type qui a beaucoup lu Fenrir

Mais je crois que je vais y être obligé...

[Apolinaire]

Bonjour,

Eh bien voilà, j'ai essayé OpenVPN. Même pas drôle : tout a fonctionné du premier coup ! Aussi bien en tentant une connexion avec un PC interne au réseau qu'avec un PC externe.

J'ai quand même 2 interrogations. A la connexion VPN j'ai :

Je suis allé voir à l'adresse indiquée mais je n'ai pas tout compris. Il semblerait que je doive mettre "remote-cert-tls server" dans ma configuration client... Mouais... Comment qu'on fait ?

J'ai demandé et obtenu un certificat Let's Encrypt que j'ai mis en "default" sur le NAS. Et après ?

C'est pas tout, une fois connecté en VPN, voilà ce que me raconte mon Firefox chéri :

Comment ça "Connexion non sécurisée" ? C'était justement pour la sécurité que je cherchais à me connecter en VPN.

J'avoue ne pas tout comprendre. Si vous pouvez éclaircir ma lanterne, merci.

[oli.oli]

Bonjour,

Les choses n'ont pas été faite dans l'ordre...

Il faut d'abord installer le certificat Let's Encrypt puis refaire la conf OpenVPN, tu utiliseras ton certificat Let's Encrypt au lieu de celui auto-signé.

 

Pour le Firefox, c'est normal, ton serveur doit probablement utiliser le certificat Let's Encrypt associé à ton domaine "public" et tu accèdes à ton NAS par la patte "privée" de ton réseau (grâce au VPN).

Donc, tu te connectes sur ton NAS par le 10.8.0.1 et le NAS présente le certificat "ton.domaine.com" => Firefox dit : Attention, ce n'est pas cohérent!

Mais toi, tu sais que c'est OK. Pour vérifier tout ça, regarde dans le détail de l'alerte ( le ">" à droite de ton message).

 

[Fenrir]

Pour le message, c'est simplement qu'OpenVPN permet d'utiliser une authentification par certificat en plus (ou à la place) d'un login/password.

Synology ne laisse pas cette possibilité => ce warning peut être ignoré.

Pour l'IPsec, si le transfert de ports est correctement fait (500 et 4500 en UDP) mais qu'aucun trafic ne parvient au nas, il n'y a pas 36 causes :

• le client est mal configuré
• le client bloque le trafic
• l'adresse n'est pas bonne
• l'opérateur source (ou un FW en entreprise) bloque le trafic
• l'opérateur cible (ou un FW en entreprise) bloque le trafic
• la box cible bloque le trafic

Je sais que certaines livebox ont ce comportement détestable, peut être que les freebox aussi, mais je ne peux pas tester.

[Mic13710]

Il y a 3 heures, Fenrir a dit :

peut être que les freebox aussi, mais je ne peux pas tester

Aucun problème à signaler côté Freebox .