Aller au contenu

Accès externe sans QuickCOnnect


Messages recommandés

Bonjour,

Je possède un NAS DS918+, je débute et je souhaiterais avoir accès à mon nas depuis mon téléphone et pc windows avec OpenVPN, est-ce possible ?

J'ai vu qu'il y avait l'application VPNserver et que je pouvais configurer OpenVpn mais après je bloque je ne sais plus trop quoi faire et où trouver l'ip publique pour la mettre dans le fichier .opvn ? Je suis un peu perdu ^^

Pouvez-vous me détailler précisément comment faire s'il vous plait ? il y a des ports a ouvrir ou autres choses à faire sur ma box je suis chez Sosh.

Mon objectif est de sécuriser mon nas au maximum donc si vous avez des conseils je suis preneur 🙂

Par avance merci de votre compréhension et bonne journée.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, .Shad. a dit :

Salut, dans la section Tutoriels tu trouveras tout ce qu'il te faut.

Bonjour, merci j'ai essayé de suivre ce tuto superbe : mais au final ça ne fonctionne pas et j'ai pas réussi à ouvrir le port 1194 sur ma livebox 4 c'est étrange il faut une ip source et ip destination, etc. Si je me suis pas trompé, pouvez-vous m'aider ? De plus j'ai mis mon nas en IP statique 🙂

J'ai les erreurs suivantes sur OpenVPN :

Fri May 01 11:07:14 2020 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri May 01 11:07:14 2020 TLS Error: TLS handshake failed
Fri May 01 11:07:14 2020 SIGUSR1[soft,tls-error] received, process restarting
Fri May 01 11:07:19 2020 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.

 

Merci d'avance et bonne journée

Modifié par AngesMortel
Lien vers le commentaire
Partager sur d’autres sites

@AngesMortel

Bonsoir,

  • Tu te connectes en mode admin à la LB
  • Dans Réseau - NAT/PAT :
    • Tu sélectionnes dans le popup, le service pour le quel tu veux ouvrir le port ou bien tu sélectionnes 'nouveau' et tu donnes un nom à ta convenance.
    • Puis dans l'ordre port interne, port externe : tu sais le N° du port (le même pour les deux !).
    • Tu sélectionnes ensuite le protocole à appliquer : TCP ou UDP ou les Deux
    • Enfin tu saisis l'@IP de ton NAS ou son nom si tu l'as auparavant nommé dans 'Mes Équipements connectés'
    • TU cliques sur créer pour valider ta saisie.

Tu refais cela pour chaque port à ouvrir. Ce n'est pas plus compliqué ...

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

il y a 24 minutes, oracle7 a dit :

@AngesMortel

Bonsoir,

  • Tu te connectes en mode admin à la LB
  • Dans Réseau - NAT/PAT :
    • Tu sélectionnes dans le popup, le service pour le quel tu veux ouvrir le port ou bien tu sélectionnes 'nouveau' et tu donnes un nom à ta convenance.
    • Puis dans l'ordre port interne, port externe : tu sais le N° du port (le même pour les deux !).
    • Tu sélectionnes ensuite le protocole à appliquer : TCP ou UDP ou les Deux
    • Enfin tu saisis l'@IP de ton NAS ou son nom si tu l'as auparavant nommé dans 'Mes Équipements connectés'
    • TU cliques sur créer pour valider ta saisie.

Tu refais cela pour chaque port à ouvrir. Ce n'est pas plus compliqué ...

Cordialement

oracle7😉

Merci beaucoup je vais essayer je vous tiens informé 🙂 mais il faut mettre l'ip de mon nas en local ou l'adresse publique ?

Lien vers le commentaire
Partager sur d’autres sites

@AngesMortel

il y a 30 minutes, AngesMortel a dit :

mais il faut mettre l'ip de mon nas en local ou l'adresse publique ?

l'@IP locale de ton NAS, puisque tu ouvres de l'extérieur vers l'intérieur. logique, non ?

Si tu ne veux pas t'attirer "les foudres" d'un modo, évites aussi de citer tout le contenu des messages précédents. C'est très pénible visuellement et ça surcharge inutilement le sujet. Ne cites que la partie utile.

Si tu veux interpeler quelqu'un, il suffit de commencer par "@" et les premières lettres du pseudo pour trouver et valider la personne concernée dans le popup qui apparait alors.

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

@oracle7

Bonjour,

J'ai bien ouvert le port XX UDP sur ma livebox 4 en NAT/PAT après avoir attribué une ip fixe à mon nas.

J'ai autorisé le port (destination) dans le pare-feu du NAS. J'ai utilisé le port 1195 car visiblement le 1194 est déjà utilisé.

image.png.7401db550d2a8c9c552afac830ef6acc.png

Dans le fichier .vpn que j'ai exporté j'ai rajouté mon IP publique avec le port ouvert précédemment et rajouté la ligne "ca ca_bundle.crt".

Et quand je me connecte à mon VPN je renseigne mes identifiants pour me connecter à mon NAS comme en local par contre je ne récupére pas d'@IP.

J'ai les erreurs suivante sur OpenVPN, une idée d'où cela peut venir ?

Merci 🙂

Sun May 03 10:57:13 2020 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun May 03 10:57:13 2020 TLS Error: TLS handshake failed
Sun May 03 10:57:13 2020 SIGUSR1[soft,tls-error] received, process restarting
Sun May 03 10:57:18 2020 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.

 

Modifié par AngesMortel
Lien vers le commentaire
Partager sur d’autres sites

@AngesMortel

Bonjour,

Quelques remarques :

  • Je suppose que tu as modifié le port 1194 OpenVPN pour mettre autre chose : ce n'est pas une bonne idée car c'est le port de communication normal, d'où peut-être tes soucis.
  • Il faut limiter à la France, l'ouverture des ports VPN : c'est déjà plus sûr !
  • Je vois que tu as ouvert aux "quatre vents" de l'extérieur ton port SSH. Là aussi TRES mauvaise idée. Ne t'étonne pas d'être rapidement attaqué depuis la Chine notamment et entre autres. Pour ta sécurité, ce port n'est à ouvrir que ponctuellement, le temps de faire la manipulation dont tu as besoin puis tu le refermes et désactives aussi le service SSH. Maintenant tu es seul maître de tes données ...
il y a 26 minutes, AngesMortel a dit :

rajouté la ligne "ca ca_bundle.crt"

Je ne vois pas l’intérêt sauf à avoir un certificat personnalisé (est-tu sûr ?), le certificat standard est déjà présent dans le fichier de configuration '.opvn' et est bien suffisant à mon sens. Par ailleurs, seule cette ligne d'ajoutée ?, je ne suis pas sûr mais je crains que ce ne soit incomplet. A vérifier dans la doc OpenVPN ...

Relis bien ton mes message d'erreur (dernière ligne), la solution est là me semble-t-il ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,
Votre pare-feu est mal paramétré.
Les ports 500,1701,4500 concernent le serveur LTP/IPSec.
Vous devez donc supprimer cette règle.
Le serveur OpenVPN utilise les ports 1194 & 1195 (en UDP).
Vous devez créer cette règle.
Les corrections correspondantes sont à faire dans le NAT de la box.

Pourquoi avez vous ouvert votre Terminal à tous vents (dangereux!!!)

@oracle7

Désolé, je n'avais pas vu votre réponse.

Modifié par PPJP
Lien vers le commentaire
Partager sur d’autres sites

@oracle7 @PPJP

Merci pour vos conseils, voici ma nouvelle configuration (pour le terminal ouvert c’était une erreur grave ...) :

Je ne peux pas mettre le port 1194 visiblement car il est déjà utilisé mais je ne sais pas où ... du coup j'ai mis le 1195, mais je ne sais pas si cela impacte le bon fonctionnement.

Je ne comprends pas trop par contre la dernière ligne d'erreur, mis à part qu'il ne peut pas vérifier le certificat.

Du coup, j'ai supprimé la ligne  "ca ca_bundle.crt" 🙂

 

image.thumb.png.bb9514b1d687d5808673c8d05bb1b88e.png

 

 

Pour le pare-feu :

image.png.a1c49c054395faee32c1a33b647f1ce8.png

 

Les règles NAT/PAT:

image.thumb.png.060dab99123c31a622fa1abfa1e96222.png

 

image.thumb.png.8b5e0088537136acd9260b5be5de83dd.png

Modifié par AngesMortel
Lien vers le commentaire
Partager sur d’autres sites

@PPJP

Bonjour,

il y a 24 minutes, PPJP a dit :

Votre pare-feu est mal paramétré.
Les ports 500,1701,4500 concernent le serveur LTP/IPSec.
Vous devez donc supprimer cette règle.

Sauf s'il a paramétré aussi un serveur VPN L2PT/IPsec. Sinon vous avez raison.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

 Supprimez la première ligne de votre pare-feu.

Il y  a conflit avec les nouvelles règles créées

Je n'utilise pas OpenVpn et ne suis pas sur que le port 1195 soit nécessaire, mais laissez le pour test

Lien vers le commentaire
Partager sur d’autres sites

@AngesMortel

Dans le parefeu du NAS vérifie les ports désignés par la ligne 'VPN Server, VNP Server, ...', je crains que cette ligne ne fasse doublon avec celle existant pour le port 1194. Limites aussi cette dernière à la France à moins que tu ne te connectes depuis l'étranger.

Une seule ligne d'ouverture de port 1194 ou 1195 suffit, cela en cohérence avec ton fichier de configuration '.ovpn'. Mettre en accord le NAT/PAT dans la LB.

Dans la configuration OpenVPN du serveur VPN, il me semblait qu'il fallait être cohérent entre les niveaux de chiffrement et d'authentification, alors pourquoi mettre authentification  'SHA512' pour un chiffrement 'AES-256-CBC' ?

Ré-exportes alors la configuration OpenVPN et reprends ton fichier de configuration '.ovpn'. Après je penses que cela devrait aller mieux.

@PPJP Désolé à mon tour, nos réponses se sont croisées ...

Cordialement

oracle7😉

 

 

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

@AngesMortel

C'est tout ce qu'il y a dans ton fichier '.ovpn' ? ta copie d'écran est sûrement incomplète. Refais-la, sans bien évidemment ce qu'il y a entre les lignes '-----BEGIN CERTIFICATE-----' et '-----END CERTIFICATE-----'.

Pour le port 1194 déjà utilisé, effectivement ce n'est pas normal. C'est normalement lui qui doit être utilisé pour OpenVPN.

Essaies à tout hasard un reboot de la LB et de ton NAS (arrêt propre et marche) et vérifie s'il est toujours occupé.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@oracle7 et @PPJP

Cela fonctionne désormais 🙂 merci beaucoup !

Mais uniquement avec le 1194, le 1195 ne fonctionne pas une fois le NAS redémarré j'ai pu configurer le 1194.

Merci beaucoup, du coup je récupère bien une ip et je peux accéder à mon nas via le web avec son @IP locale.

Cependant, est-ce normal que je n'ai pu accès à mes fichiers en passant par le chemin réseau windows \\mon_nas\ en connexion VPN alors que cela fonctionne en connexion locale direct sans passer par le vpn ?

Par contre j'y accède bien avec l'ip locale donc je pense un problème de dns:)

Vous êtes géniaux merci

Modifié par AngesMortel
Lien vers le commentaire
Partager sur d’autres sites

@AngesMortel

Comme quoi un p'tit reboot parfois peu aider ...😅

il y a 13 minutes, AngesMortel a dit :

Cependant, est-ce normal que je n'ai pu accès à mes fichiers en passant par le chemin réseau windows \\mon_nas\ en connexion VPN alors que cela fonctionne en connexion locale direct sans passer par le vpn ?

Je n'en suis pas sûr et ne voudrais pas te raconter de bêtises (à vérifier donc) mais quand tu tapes \\mon_nas sous WIN, 'nom_nas' est recensé dans les noms NETBIOS et est donc associé à l'@IP locale du NAS (en 192.168.x.x).

En mode VPN, ton NAS à une @IP toute autre (en 10.8.0.x) donc différente de celle enregistrée en NETBIOS donc WIN ne peut trouver via ce nom 'mon_nas' ...

Dans ce cas tu accèdes au NAS en saisissant \\10.8.0.x sous WIN.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.