[RESOLU] VPN et utilisation finale

[oracle7]

Bonjour,

Je viens d'installer le serveur VPN sur mon NAS avec le protocole OpenVPN à l'aide du Tuto de @Fenrir (au passage Merci à lui, super explications).

Cela marche parfaitement, la connexion externe (4G) s’établit du premier coup depuis mon smartphone android (connexion visiblement confirmée dans VPN server avec une @IP en 10.x.x.x).

Premier constat : J'ai essayer de lancer des applications DS..... depuis le smartphone mais cela ne marche pas avec la connexion VPN active.

D'un autre coté, sans VPN actif, j'arrive à lancer n'importe quelle application DS ... avec (nas.ndd.tld:443 + Id + mdp) et le reverse proxy en place sur le NAS et je peux utiliser ces applications, naviguer dans mes dossiers partagés, accéder à mes caméras, etc...

Face à cela et en y réfléchissant, diverses nouvelles questions apparaissent :

• Ce type de connexion (nas.ndd.tld:443) est-elle finalement aussi sécurisée qu'avec un VPN ?
• N'est-elle pas redondante avec le VPN ? une connexion via le port 443 est elle-même sécurisé que je sache.
• Comment finalement et pratiquement utiliser le VPN une fois la connexion établie avec le NAS pour y accéder comme beaucoup ici disent le faire via ce tunnel ? Là je ne comprends pas, plus ???

Bref,  je m'y perds plus qu'un peu et j’émets de sérieux doutes sur ce que je croyais avoir cru comprendre jusqu'à présent sur le sujet. En clair c'est plus clair du tout 🤔

J'aurais donc besoin que vous éclairiez SVP ma lanterne si ce n'est pas trop vous demander.

Cordialement

oracle7 😉

 

Modifié le 1 mai 2020 par oracle7

[.Shad.]

Pour accéder avec la même adresse (nas.ndd.tld:443) à ton NAS que ce soit de l'extérieur ou depuis ton VPN, il te faut un serveur DNS et utiliser les vues.
Une vue va analyser l'IP qui émet la requête et orienter celle-ci vers la zone dédiée à l'IP émettrice.
Tu peux avoir une vue qui s'occupe des connexions VPN (donc par exemple qui n'agit que sur les IP appartenant au réseau 10.8.0.0/24 dans le cas d'OpenVPN avec ses réglages par défaut).
Une autre qui gère les connexions locales (même cas de figure avec par exemple 192.168.0.0/16).
Et si tu héberges ta zone publique dans ce cas-là il suffit juste de refuser les requêtes venant des adresses mentionnées ci-dessus.

NB : Vues locale et VPN peuvent être confondues si tu es seul à l'utiliser et souhaite pouvoir accéder à tes périphériques locaux par leur nom de domaine.

Ta zone publique, que tu l'héberges ou non, doit posséder à minima ces deux enregistrements suivant pour que https://nas.ndd.tld:443 t'amène à ta page de login DSM :

machin.ndd.tld            A(ou Dynhost)            IP_publique
nas.ndd.tld               CNAME                    machin.ndd.tld

Ton port 443 est redirigé vers ton proxy inversé, sûrement ton NAS dans ce cas.

Tu dois donc faire pareil pour le VPN :

truc.ndd.tld            A            IP_privée_du_nas
nas.ndd.tld             CNAME        truc.ndd.tld

De manière générale je trouve trompeur de donner un nom de périphérique à un sous-domaine accessible par proxy inversé, les gens ont tendance à assimiler le nom de domaine purement lié au DNS de la machine (ici truc.ndd.tld) et le service qu'on essaie d'atteindre (ici DSM, que tu as appelé nas).

Modifié le 28 avril 2020 par .Shad.

[oracle7]

@.Shad.

Merci pour ta réponse rapide.

Le 28/04/2020 à 14:29, .Shad. a dit :

Pour accéder avec la même adresse (nas.ndd.tld:443) à ton NAS que ce soit de l'extérieur ou depuis ton VPN, il te faut un serveur DNS et utiliser les vues.
Une vue va analyser l'IP qui émet la requête et orienter celle-ci vers la zone dédiée à l'IP émettrice.
Tu peux avoir une vue qui s'occupe des connexions VPN (donc par exemple qui n'agit que sur les IP appartenant au réseau 10.8.0.0/24 dans le cas d'OpenVPN avec ses réglages par défaut).
Une autre qui gère les connexions locales (même cas de figure avec par exemple 192.168.0.0/16).

Comme tu le préconises, j'ai déjà un serveur DNS en place sur le NAS avec une vue spécifique au réseau privé local  192.168.x.0/24 et une (dédiée VPN) pour le réseau privé local 10.8.0.0/24.

Le 28/04/2020 à 14:29, .Shad. a dit :

Ton port 443 est redirigé vers ton proxy inversé, sûrement ton NAS dans ce cas.

 

Le 28/04/2020 à 14:29, .Shad. a dit :

Tu dois donc faire pareil pour le VPN :

truc.ndd.tld            A            IP_privée_du_nas
nas.ndd.tld             CNAME        truc.ndd.tld

C'est là que j'ai du mal à te suivre. car pour le VPN dans la vue locale qui lui est dédié j'ai cela :

Y-a quoi qui cloche alors ?

Cordialement

oracle7😉

 

Modifié le 5 juillet 2021 par oracle7

[.Shad.]

Dans ta dernière impression d'écran, je ne vois nulle part mention de nas.ndd.tld avec un enregistrement CNAME vers ns.ndd.tld, mais il y a un menu déroulant, donc...
Et je vois que tu as un sous-domaine "dsm", donc je me pose la question, à quoi doit mener nas.ndd.tld ? si tu interroges le port 443 c'est que c'est une entrée de ton proxy inversé, et donc elle redirige vers un service précis.
Si ce n'en est pas une, dans ce cas-là c'est le nom de domaine de ton NAS, un simple alias de ns.ndd.tld, et donc sur le port 443 tu atteindras ton proxy inversé, les applications DS ne sauront rien en faire car ton proxy inversé n'a pas cette entrée et donc n'en fait rien.
Dans ta configuration actuelle, si ton pare-feu autorise toutes les connexions locales et VPN, en tapant ns.ndd.tld:port_du_service tu arriveras à te connecter, vérifie déjà ça.

Le problème pédagogique de ces tutos, c'est que tout est concentré sur le NAS : le DNS, le proxy inversé, etc...
Du coup quand tu regardes la zone DNS tu as l'impression que tout mène au NAS, sauf que ce n'est pas pour les mêmes raisons !
J'ai seulement commencé à comprendre ce qu'il se passait quand j'ai dispatché les services sur différentes machines, ça peut être un exercice avec un Raspberry Pi ou une VM quand tu as l'occasion, tout deviendra plus limpide. 🙂 

Modifié le 28 avril 2020 par .Shad.

[oracle7]

@.Shad.

Le 28/04/2020 à 15:19, .Shad. a dit :

je ne vois nulle part mention de nas.ndd.tld avec un enregistrement CNAME vers ns.ndd.tld

Normal, avec 'nas.ndd.tld' je parlais de façon générique mais mon NAS est bien derrière dsm.ndd.tld que j'atteins (sans connexion VPN) sans problème avec le proxy inversé sur localhost:xxxx où xxxx= port du NAS

Le 28/04/2020 à 15:19, .Shad. a dit :

si ton pare-feu autorise toutes les connexions locales et VPN,

Ce sont celles préconisées par fenrir dans son tuto de sécurisation.

Le 28/04/2020 à 15:19, .Shad. a dit :

en tapant ns.ndd.tld:port_du_service tu arriveras à te connecter, vérifie déjà ça.

J'ai essayé :

• ns.ndd.tld: xxxx (xxxx= port du NAS)
• dsm.ndd.tld:xxxx

Ça marche pas.

J'ai essayé de créer un nouvelle entrée de proxy inversé mais impossible de la valider çà bloque sur le port 443. Mais cette tentative est-elle au moins correcte ? je ne vois pas mon erreur :

 

Edit : Je crois avoir trouver mon erreur : on ne peut pas avoir deux redirections sur un même port source d'un même hôte. D'où le refus de saisie du port 443 dans le cas ci-dessus.

Du coup, comment rediriger 'dsm.ndd.tld:443' (saisi dans le navigateur du smartphone 4G) vers le bon service lors que la connexion VPN est active et que l'@IP du NAS est alors 10.8.0.1 ? Je pige  pas 😪

Cordialement

oracle7😉

Modifié le 5 juillet 2021 par oracle7

[.Shad.]

Est-ce que dans ton fichier ovpn tu as renseigné le champ dhcp-option avec ton serveur DNS ? ici 10.8.0.1

dhcp-option DNS 10.8.0.1

Sinon il va aller chercher les premiers DNS qui lui tombent, ceux de ton FAI si tu es en 4G. Cependant ça devrait tout de même marcher car tu sais y accéder depuis l'extérieur, donc à la limite ça te ferait passer par le chemin normal au lieu du VPN, mais ça devrait marcher...

Modifié le 28 avril 2020 par .Shad.

[oracle7]

@.Shad.

J'ai modifié mon fichier .ovpn en ajoutant l'option que tu as indiqué et qui était effectivement absente du fichier.

J'ai transféré le nouveau fichier ovpn sur le smartphone. La connexion VPN s'établit bien mais impossible de me connecter avec :

• dsm.ndd.tld
• dsm.ndd.tld: 443
• dsm.ndd.tld:xxxx (xxxx = port du NAS)

Çà marche pas. Décidément, quand çà veux pas ... 😪

Par ailleurs, un détail autre : dans les paramètres OpenVPN du serveur VPN j'ai la case "Autoriser aux clients l'accès au serveur LAN" qui est cochée et concomitamment dans le fichier '.ovpn' l'instruction "redirect-gateway def1" qui est dé-commentée. C'est bien cela qu'il faut faire car je trouve pas clair le Tuto sur ce point ?

Cordialement

oracle7 😉

 

[.Shad.]

redirect-gateway def1 permet de faire transiter tout le trafic par ta connexion VPN, même toute la partie publique d'Internet.
Bien pour un anonymat total sur un réseau public. Mais les requêtes sont donc plus lentes qu'en direct.

Par contre pour moi si ta vue est bien configurée, ça a l'air d'être le cas, que c'est bien ton NAS qui fait office de serveur DNS pour ta connexion VPN, et que tes pare-feu et proxy inversé sont bien configurés, je ne vois pas de raison que ça marche pas.

Tu peux essayer de faire un nslookup depuis un de tes clients VPN, voir quel serveur DNS te répond.

[oracle7]

@.Shad.

Bonjour,

Çà va être compliqué pour faire ce nslookup car actuellement mon seul client VPN externe est mon smartphone android 4G. Là du coup je ne vois pas comment faire. Tu sais toi ?

SI je lance la connexion VPN depuis mon PC du réseau local, j'obtiendrais à coup sur l'@IP de mon DNS serveur sur le NAS, non ? Et quel intérêt pour résoudre le problème présent ?

A coté de cela, lorsque j'observe les infos de l'application OpenVPN sur le Smartphone, j'ai ceci :

 YOU : mon Id

YOUR PRIVATE IP : 10.8.0.6

SERVER : ndd.tld

SERVER PUBLIC IP : 64/ ffgb::xxxx:xxxx

PORT : 1194            VPN PROTOCOL : UDPv6

Le traffic semble passer en Ipv6 et j'ai rien fait pour cela, pas de paramétrage spécifique en ce sens, bizarre, bizarre ...

EDIT : Encore plus bizarre : j'ai tué la connexion VPN et je l'ai relancé quelques minutes plus tard et là constat : SERVER PUBLIC IP : 90.59.xxx.xxx et VPN PROTOCOL : UDPv4. Bien évidemment aucune connexion possible avec 'https://dsm.ndd.tld' ni 'https://dsm.ndd.tld:443'. Où 90.59.xxx.xxx  est mon IP public du moment.

Cordialement

oracle7 😉

Modifié le 29 avril 2020 par oracle7

[oracle7]

Bonjour,

Je me répond à ce sujet car la solution qui m'a été soufflée par @TuringFan (encore Merci à lui) est la suivante :

il suffit de décocher (i.e. si elle l'était) la case "Activer les passerelles multiples" dans "Panneau de configuration / Réseau / Général / Paramètres avancés"

Et la miracle ! j'ai de nouveau accès (via "https://nas.ndd.tld") depuis l'extérieur à mon NAS avec une connexion OpenVPN active.

Merci aussi à @.Shad. pour son aide.

Cordialement

oracle7😉

Modifié le 1 mai 2020 par oracle7