VPN et certificat SSL

[arnlig3550]

Bonjour

J'ai rendu un NAS accessible par internet en commençant par le sécuriser puis en prenant un domaine "synology.me" et certificat Let's Encrypt.

J'aimerais maintenant avoir accès à un dossier partagé depuis un PC distant. D'après mes recherches, j'ai compris qu'il fallait que je passe par un VPN pour plus de sécurité, mais je me pose une question...

Si j'établi un serveur VPN sur le NAS, est-ce que mon nom de domaine "monnas.synology.me" et mon certificat Let's Encrypt seront toujours utiles ?

J'avoue pour l'instant ne pas trop comprendre le fonctionnement d'un VPN même après plusieurs recherches, mais ça va venir en le faisant je pense :). Du coup ma question peu paraître "débile" pour certains mais tant pis ! :)

Merci à ceux qui m'aideront :)

 

[unPixel]

Bonjour,

Le faite d'utiliser un serveur VPN chez toi pour t'y connecter à distance te permet en gros de simuler une connexion locale donc sécurisée.

Si tu te connectes depuis les USA par exemple sur ton VPN et tu regardes ton IP WAN, tu verras que tu auras l'IP externe de chez toi.

Un attaquant ne sera plus limité qu'au nom d'utilisateur et mot de passe mais aussi à l'accès VPN.

Modifié le 31 mars 2019 par Zeus

[arnlig3550]

Ok donc si je me connecte depuis mon nom de domaine xxx.synology.me ça ne passe pas par le VPN ?

[unPixel]

De base sans serveur de VPN configuré, non ça ne passe pas par VPN.

[arnlig3550]

Je viens de suivre le tuto https://www.nas-forum.com/forum/topic/53328-tuto-vpn-server/ en prenant Serveur L2TP/IPSec.
Je n'ai pas eu de soucis particulier, me reste plus qu'a configurer le client Windows que je veux.

En attendant comment puis-je voir que mon VPN est fonctionnel ?
 

[unPixel]

En te connectant sur ton NAS via un accès VPN autorisé 🙄

[TuringFan]

Bonjour,

Préambule

J'ai peu l'habitude d'écrire sur des forum, donc d'avance pardon si je n'ai pas les codes. Important également, je suis débutant en informatique et ne maitrise pas tous les concepts théoriques sous-jacents à mes actions : bref je pourrais formuler des idées qui n'ont pas de sens ... Si c'est le cas merci de me le dire.

Ma demande

Grâce au super tuto de Fenrir j'ai configuré un accès VPN en L2TP/IPSec : a priori cela semble fonctionnel (test effectué depuis un client windows avec un partage de connexion de mon iPhone pour simuler l'accès externe).

Je crois comprendre que les réglages du pare-feu indiqués dans le tuto (autorisation d'IP privées et blocage par défaut en dernière règle) permettent et obligent un accès à distance par VPN : les accès par nom de domaine ou IP externe ne sont donc plus possible (que ce soit en http ou en https). Est-ce correct ?

Si je comprends donc bien, à priori le seul moyen de se connecter est donc maintenant de connecter mon VPN puis d'indiquer mon IP locale dans mon navigateur. En faisant cela mon navigateur m'indique que le site est non sécurisé : je souhaiterais régler ce problème en me connectant avec un nom de domaine et avec un certificat valide.

Je crois comprendre que l'usage est de considérer le réseau local comme safe mais je souhaite faire ça pour plusieurs raisons :
- je crois comprendre qu'accepter une exception dans un navigateur n'est jamais une bonne chose (la raison m'échappe, preneur d'une explication simplifiée)
- je veux faire un travail propre et savoir faire un certificat
- je trouve plus confortable d'utiliser un nom de domaine plutôt qu'une IP

Informations complémentaires

NB :

- J'ai ajouté un DDNS du type monnom.synology.me et j'ai suivi la procédure pour que cela me créée un certificat Let's Encrypt : je lis parfois que cela n'est pas possible puisque le domaine synology.me ne m'appartient pas : qu'en est il réellement ?
- Je me suis acheté un nom de domaine sur OVH du type monnom.eu (je ne maitrise pas du tout ces notions, notamment les sous domaines)
- J'ai essayé créé un certificat dédié à monnom.eu sans succès ... (erreur d’authentification visiblement)
- J'ai souvent lu que chez Orange les IP étaient dynamique mais après test sur un site il apparait que la mienne est fixe (je n'ai demandé aucune option mais je suis client fibre depuis peu) : bref, du coup je n'ai pas fait de DDNS supplémentaire

Au cas ou cela puisse avoir un impact, voici les utilisations que j'ai en tête pour mon NAS :

- M'en servir comme d'un drive (je crois comprendre que je peux accéder directement aux dossier en me loggant sur le DSM ou utiliser des paquets spécifiques comme Synology Drive mais je ne sais pas quels sont les avantages et inconvénients des deux méthodes : preneur d'un éventuel retour)
- Crypter l'information qui s'y trouve
- M'en servir pour partager (émettre et recevoir) des fichiers de façon sécurisée des personnes externes (sans accès au NAS)
- M'en servir pour enregistrer les vidéos d'une caméra branchée en wifi
- M'en servir pour héberger mes e-mails, mes contacts et mes agendas
- Cacher l'IP de mon NAS des autres pour être anonyme sur le net (je crois comprendre qu'il faut par exemple qu'il soit un client VPN)
- Synchroniser (pour faire un backup) l'ensemble de mon NAS avec un autre NAS distant (sécurisé avec le même niveau)
- Avoir un accès à distance permanent

MERCI d'avance à tous les retours que je pourrais avoir !

[.Shad.]

Bonjour,

Beaucoup de questions dont vous trouverez une partie des réponses dans ce tutoriel :

Ensuite :

Il y a 9 heures, TuringFan a dit :

- J'ai ajouté un DDNS du type monnom.synology.me et j'ai suivi la procédure pour que cela me créée un certificat Let's Encrypt : je lis parfois que cela n'est pas possible puisque le domaine synology.me ne m'appartient pas : qu'en est il réellement ?

Ca marche très bien, il faut juste penser à préciser tous les sous-domaines nécessaires : toto.votreid.synology.me, tata.votreid.synology.me, etc...

Il y a 9 heures, TuringFan a dit :

Je crois comprendre que les réglages du pare-feu indiqués dans le tuto (autorisation d'IP privées et blocage par défaut en dernière règle) permettent et obligent un accès à distance par VPN : les accès par nom de domaine ou IP externe ne sont donc plus possible (que ce soit en http ou en https). Est-ce correct ?

Par défaut oui, libre à vous d'ouvrir ce dont vous avez besoin (par exemple pour établir ou renouveler un certificat, le port 80 doit être ouvert au moment de la demande).
De plus vous avez l'air de vouloir disposer d'un accès distant hors VPN, dans ce cas-là il faut s'orienter vers un proxy inversé (intégré à DSM) :

 

Autrement :

Il y a 9 heures, TuringFan a dit :

J'ai souvent lu que chez Orange les IP étaient dynamique mais après test sur un site il apparait que la mienne est fixe (je n'ai demandé aucune option mais je suis client fibre depuis peu) : bref, du coup je n'ai pas fait de DDNS supplémentaire

Il faut une DDNS par nom de domaine différent pointant vers une IP dynamique.
Dans le cas de Synology, même si votre IP est fixe, vu que vous n'avez pas accès à la zone DNS qui est relative au nom de domaine qui vous est fourni, il faut quand même ajouter un DDNS dans Accès externe.
Pour OVH il faudra juste ajouter un enregistrement de type A pointant vers votre IP (fixe ? à vérifier, si elle ne l'est pas c'est dangereux d'avoir un enregistrement A) dans la zone DNS.

[TuringFan]

Bonjour .Shad,

Pardon pour mon retour tardif et merci pour toutes ces informations : je vais regarder avec attention ces tuto.

Bonne journée,