[Résolu] VPN ai-je bien compris ce que j'ai fait?

[lemig]

Bonjour,

J'ai lutté tant bien que mal pour faire fonctionner ma connexion entre mon smartphone et mon nas DS218+ via le VPNserver et OpenVPN.

J'aimerai juste être sûr d'avoir fait les choses en ordre et surtout d'avoir compris le fonctionnement de tout ça. Je vous pris de me corriger si je me trompe (et je vais me tromper, c'est sûr...).

 

En gros, OpenVPN est une application (client) qui sert à relier mon smartphone à mon nas en passant par une connexion sécurisée autorisée par VPNserver (hôte) sur le NAS.

Il faut un certificat (le fichier avec plein de truc dedans), exporté depuis mon NAS, pour permettre la liaison.

 

Comme mon FAI change mon IP de temps à autre, j'ai créé un DDNS via l'onglet "accès externe => DDNS" qui pointe sur mon IP publique (86.xxx.xxx.xx)

C'est là que je commence à perdre les pédales... merci le tuto de Fenrir soit dit en passant!

Dans VPNserver sur la NAS, j'ai dû mettre une IP dynamique 10.8.0.1. Pourquoi ? Ca renvoie où ?

Ensuite dans mon routeur, j'ai ouvert le port 1194 en pointant l'adresse IPlocale de mon NAS.

Que veulent dire "Port externe et Interne"?

Dois-je ouvrir le tout, ou seulement externe ou interne suffirait?

 

Comme mon routeur se trouve derrière le modem fourni par mon FAI, il a une IP 172.22.xx.xx.

Là, je me suis battu car ce fameux modem devrait être configuré en "mode passant" selon des infos trouvées sur un forum. Cela éviterait d'avoir l'IP 172.22.xx.xx sur mon routeur. Mais pas trouvé d'option pour faire ça!

En regardant des tutos et autres sur ce modem, je m'aperçoit qu'il manque un onglet... verrouillé par mon FAI? Peut-être...

Après quelques heures de galère je teste ceci sur le modem de mon FAI : DMZ HOST

J'introduis l'IP de mon routeur fournie par le modem, à savoir 172.22.xx.xx et là ça fonctionne. 😅

 

Ai-je bien une connexion sécurisée avec tout ça ?

Comment peut-on tester la sécurité de la connexion ?

 

Donc si je résume pour être sûr d'avoir compris: en lançant OpenVPN, j'accède à mon domaine DDNS, qui lui renvoie vers l'adresse IP publique 86.xxx.xxx.xx, qui va ensuite transiter dans mon routeur car le DMZ Host le renvoie vers mon routeur sur l'adresse 172.22.xx.xx. Comme le port 1194 est ouvert, VPNserver reçoit la demande avec le certificat et le NAS autorise la connexion.

Mais que fait l'adresse 10.8.0.1 ?

 

J'attends vos commentaires, vos conseils et vos corrections. N'hésitez pas à me gronder!☺️

Merci d'avance.

 

Modifié le 23 février 2020 par lemig

[bouks]

il y a 29 minutes, lemig a dit :

En gros, OpenVPN est une application (client) qui sert à relier mon smartphone à mon nas en passant par une connexion sécurisée autorisée par VPNserver (hôte) sur le NAS.

OpenVPN est une application qui permet de créer un VPN. La version cliente permet de se connecter à ce VPN. Elle sert à te permettre d'être dans ton réseau local même en nomade. Pour juste se "relier" à son NAS pour des usages standards, il n'y a pas forcément besoin d'une connexion VPN.

 

il y a 35 minutes, lemig a dit :

Il faut un certificat (le fichier avec plein de truc dedans), exporté depuis mon NAS, pour permettre la liaison.

Oui.

il y a 45 minutes, lemig a dit :

Dans VPNserver sur la NAS, j'ai dû mettre une IP dynamique 10.8.0.1. Pourquoi ? Ca renvoie où ?

Parce que tu crées un VPN = Réseau Privé (10. ...) virtuel (donc pas physique) en français. Il faut donc définir un adressage pour ton réseau et une adresse pour le serveur dans ce réseau. Ne cherche pas sous le tapis ou derrière les meubles ça ne sert à rien. 😉 

il y a 48 minutes, lemig a dit :

Ensuite dans mon routeur, j'ai ouvert le port 1194 en pointant l'adresse IPlocale de mon NAS.

 

Que veulent dire "Port externe et Interne"?

Dois-je ouvrir le tout, ou seulement externe ou interne suffirait?

Imaginons que tu es dans ton routeur. Le port externe, c'est le port exposé vers l'extérieur. L'interne c'est celui exposé vers l'intérieur. je crois qu'un dessin est le plus explicite.

Extérieur            Intérieur
         -----------
port 80 o|         |o port 80
port 81 o| routeur |o port 81
port x  o|         |o port x
         -----------

Tu as donc simplement autorisé l'ouverture du port n°1194 quand on vient de l'extérieur et tu as redirigé le (potentiel) visiteur vers le NAS grâce à son IP, et sur le même port. Dans le sens contraire (interne vers externe), les ports sont souvent librement utilisables (à moins d'avoir soi-même restreint). Il est aussi possible, pour le routeur, de rediriger vers un autre port, mais à priori pas besoin.

il y a une heure, lemig a dit :

Ai-je bien une connexion sécurisée avec tout ça ?

A priori oui.

 

il y a une heure, lemig a dit :

Donc si je résume pour être sûr d'avoir compris: en lançant OpenVPN, j'accède à mon domaine DDNS, qui lui renvoie vers l'adresse IP publique 86.xxx.xxx.xx, qui va ensuite transiter dans mon routeur car le DMZ Host le renvoie vers mon routeur sur l'adresse 172.22.xx.xx. Comme le port 1194 est ouvert, VPNserver reçoit la demande avec le certificat et le NAS autorise la connexion.

Oui

 

il y a une heure, lemig a dit :

Mais que fait l'adresse 10.8.0.1 ?

C'est l'adresse de ton serveur dans le VPN. Tous les clients du VPN auront une adresse qui fait partie du même réseau. Et le serveur VPN se charge de faire le bridge entre les deux réseaux: le VPN (en 10.) et ton réseau local (en 172.).
Ce réseau (10.) est un réseau de bout en bout (ton smartphone fait partie de ce réseau et ton NAS aussi). Cependant, pour que ton réseau fonctionne à travers d'autres réseaux, il est encapsulé dans une enveloppe, pour pouvoir circuler dans des réseaux avec d'autres adressages IP. Alors la dernière question, c'est pourquoi on n'utilise pas le même adressage que pour le réseau interne ? Je pense qu'il y a plusieurs raisons, sécurité, administration, en facilitant au besoin l'isolation de tout le réseau VPN sur certains services par exemple.
 

[lemig]

Super !

Je te remercie pour tes lumières et notamment pour l'adressage 10.8.0.1.

Heureusement que je n'ai pas de tapis et que je n'ai pas non plus le courage de déplacer mes meubles!😁

 

Je suis allé en quête d'info, histoire de tester mon VPN au niveau la sécurité et en parcourant un forum, j'ai vu quelqu'un dire que d'activer la ligne "redirect-gateway" du fichier de configuration permettrai d'être "invisible" sinon le VPN ne marcherait pas bien.

Qu'en penses-tu ?

Dans ma config il y a "redirect-gateway def1" avec le # devant (donc inactif).

 

Merci d'avance.

[.Shad.]

redirect-gateway permet de faire transiter l'intégralité du trafic au travers du VPN.
Par défaut, ce qui est accessible sans utiliser le VPN transite par la connexion normale. Si tu cherches à atteindre un de tes périphériques locaux, le VPN est utilisé.
Donc quelque part oui ça permet de rendre le trafic invisible à la connexion que tu utilises par défaut, wifi/ethernet ou 4g.

Par contre ça a la fâcheuse tendance de ralentir la vitesse de navigation.

[lemig]

Bonsoir,

 

Merci pour la réponse.

Donc c'est plus de la parano qu'autre chose... ou alors si tu veux cacher ton activité dans certains lieux.

En tous les cas, merci pour vos réponses.

 

Au plaisir.

 

 

Modifié le 23 février 2020 par lemig