Routage entre deux LAN via VPN

[StéphanH]

Bonjour,
je m'arrache les cheveux sur une configuration qui fonctionnait encore la semaine dernière, et qui ne fonctionne plus :
Contexte :

• LAN1 : 192.168.0.1/255.255.255.0. DS218+ en 192.168.0.100
  
• LAN2 : 192.168.1.1/255.255.255.0. DS718+ en 192.168.1.100
  
• VPN monté par DS218+ sur le serveur VPN DS718+ (IP VPN : 192.168.2.n)
  

 
Sur le routeur du LAN1, routage des masques 192.168.1.0 et 192.168.2.0 (255.255.255.0) sur la gateway 192.168.0.100.



Depuis le LAN1 (sur Mac, iPhone, PC), un traceroot du 192.168.1.100 aboutit et indique bien le cheminement via le DS18+.

 
Par contre, depuis un navigateur, ou depuis le client Drive, la connexion, est quasiment impossible.
Je dis « quasiment », car parfois, ça passe (sous safari).
J’ai essayé de désactiver les pare-feu des deux NAS => cela ne change rien.


 
A noter que cela ne fonctionne plus depuis que j’ai remplacé le routeur du LAN1 (DWR-921) d’un modèle en firmware A par un modèle en firmware B


Avez-vous une idée ?

Merci ...

[StéphanH]

Même pas une idée ? un encouragement ?

[oracle7]

@StéphanH

Bonjour,

J'imagine que tu as vérifié la configuration  de ton routeur, sinon il se pourrait que des paramètres aient été réinitialisés avec l'arrivée du nouveau firmware. C'est une piste, elle vaut ce qu'elle vaut ...

Cordialement

oracle7😉

[bruno78]

Bonjour,

es-tu certain que tous tes paramètres ont été restitués ? par expérience, le coup du "ça passe / ça ne passe pas aléatoire" c'est souvent dû à un "duplicate address" => vérifie toutes tes adresses IP, voir si c'est bien comme tu l'espère.

[StéphanH]

Merci pour vos réponses.

Ce n'est un simple changement de firmware, mais c'est bien une autre version du hardware. J'ai donc refait les paramètres...

Mais je ne vois pas l'erreur, et je ne comprends pas pourquoi un traceroot fonctionne et pas un accès http ...

[StéphanH]

C’est vraiment étrange.
J’ai l’impression qu’il y a un timeout quelque part ... mais je n’arrive pas à voir où ça coince.

Et je ne connais pas d’outil permettant d’identifier le composant qui bloque.

Une idée ?


Rédigé avec Tapatalk

[StéphanH]

J'ouvre de nouveau ce sujet.

Je viens de changer de routeur 4G. Et c'est toujours pareil.

Le traceroute fonctionne bien. le ping également. Mais je suis incapable de joindre une machine (ne serait-ce que l'interface DSM du NAS distant, ou bien un coup de vnc sur mon Mac distant) via le VPN.

J'ai vérifié les masques de sous réseau, j'ai désactivé les firewall. je ne vois pas quoi faire d'autre...

Une idée ?

[Juan luis]

Bonjour,

Si tu souhaites monter un VPN  Site to Site, il te faut des routeurs sachant le gérer .

Dans ton montage avec  des NAS , tu as d'un coté un serveur VPN et un client VPN à l'autre extrémité.

Tu peux faire communiquer des clients VPN entre eux (via le serveur ), et vers PC du Lan du serveur. Mais un PC sans client (vpn) coté (NAS client VPN) ne pourra pas communiquer avec un distant.Le NAS n'est pas un routeur..

[PiwiLAbruti]

il y a 29 minutes, Juan luis a dit :

Le NAS n'est pas un routeur..

https://www.synology.com/fr-fr/knowledgebase/DSM/help/DSM/AdminCenter/connection_network_route

C'est pas moi qui le dit 😇

Si ton routeur 4G supporte la définition de règles de routage statique, tu peux en créer une pour lui dire de router le trafic à destination du réseau VPN vers le NAS.

[Juan luis]

il y a une heure, PiwiLAbruti a dit :

https://www.synology.com/fr-fr/knowledgebase/DSM/help/DSM/AdminCenter/connection_network_route

C'est pas moi qui le dit 😇

 

Ça ne dit pas non plus que l'on peut partager le "client VPN" avec les machines du réseau, ou router d'une carte LAN à l'autre 🙂

Modifié le 8 février 2021 par Juan luis

[StéphanH]

Merci de vos réponses :

Le VPN est monté depuis le NAS 218+ (192.168.0.100) vers le 718+ (192.168.1.100)

J'ai bien routé le sous réseau du 192.168.1.100 sur la Gateway 192.168.0.100 sur le routeur 4G qui héberge le 218+

la table de routage du 218+ mentionne bien le chemin pour rejoindre le 718 via le VPN (sans que je n'ai rien eu à faire, le fait d'établir le VPN le fait)

un traceroute depuis un Mac sur le LAN du 218+ vers une machine du LAN du 718+ fonctionne sans pb.

Mais l'accès le fonctionne pas ...

Modifié le 8 février 2021 par StéphanH

[maxou56]

Il y a 8 heures, Juan luis a dit :

Ça ne dit pas non plus que l'on peut partager le "client VPN" avec les machines du réseau

Bonjour,

On peut 😉.

Il faut cocher cette option dans Réseau > Interface Réseau > VPN

Citation

Autoriser d'autres périphériques du réseau à se connecter via la connexion Internet de ce serveur Synology : activez cette option pour autoriser les périphériques réseau qui se trouvent sur le même réseau local que votre Synology NAS à se connecter au même serveur VPN.

 

Modifié le 9 février 2021 par maxou56

[StéphanH]

Bon ...

Les routeurs que j'ai testé étaient tous des DLink (deux DWR-921 et un DWR-953) => KO

Je viens de tester un TP Link MR600 => ça marche !!!