VPN server + VPN client

[glattering]

Bonjour,
 

Je viens vers vous (une fois de plus!) car j'ai un problème (non sans blague ?). Après pourtant avoir consulté pas mal de fils sur ce forum, je n'y arrive toujours pas.

Mise en contexte :
- J'ai un client VPN sur mon synology pour accéder a internet de manière anonyme (j'utilise le fournisseur PIA pour Private Internet Access et tout fonctionne bien). Pour cela j'ai créé un profil VPN OpenVPN.
- J'aimerais configurer un SERVEUR VPN sur mon syno, avec le paquet VPN server.

Or quand je veux créer dans VPN server une configuration openVPN, il me dit que je dois d'abord désactiver mon profil openVPN de PIA. Je le fais, je configure VPN server, et du coup je ne peux plus activer mon openVPN PIA.
Bref, il semble y avoir une incompatibilité entre le fait d'avoir ces 2 profils...

Une idée ?
Merci 🙂

/glattering, qui suit tranquillement son chemin avec son NAS.

 

[oracle7]

@glattering

Bonjour,

Je ne voudrais pas paraître rabat joie, mais je crains que (sauf erreur de ma part) ce que tu veuilles faire, ne soit pas possible. Que je sache un même NAS ne peut être à la fois serveur VPN et client VPN. D'où les problèmes que tu évoques.

Pour faire ce que tu souhaites, il faudrait :

1. que tu dispose d'un routeur placé derrière ta box. A ce moment là le routeur pourrait jouer le rôle de serveur VPN pour te permettre d’accéder à ton réseau local sous VPN depuis un client externe.
2. ton NAS quant à lui, en tant que périphérique du réseau local de ton routeur, pourrait alors être le client de ton fournisseur VPN tiers externe comme tu le fait jusqu'à présent.

Cordialement

oracle7😉

[glattering]

Hmm, interessant. Pourtant j'ai vu plusieurs messages sur le forum qui semblaient impliquer que ca pouvait se faire.

[oracle7]

@glattering

Ah bon ? Tu es sûr de ton coup ?

Cordialement

oracle7😉

[maxou56]

Bonsoir, @glattering

Le NAS peut très bien être client VPN et serveur VPN, mais pas avec le même type de VPN (donc par exemple si tu es en OpenVPN pour le client, il pourra être serveur uniquement en PPTP et L2TP/IPSec...)

 

Modifié le 3 juin 2020 par maxou56

[oracle7]

@maxou56

Merci d'avoir apporté cette nuance à mon propos qui effectivement était un peu trop restrictif. Je dormirais mon bête ce soir 😁

Cela dit dans le cas de @glattering j'avais bien raison dans ma réponse puisqu'il utilise le protocole OpenVPN avec les deux types (serveur et client). 

Cordialement 

oracle7 😏

Modifié le 3 juin 2020 par oracle7

[glattering]

Ohhh OK, je comprends. Savez vous pourquoi cette limitation ?
Bon, alors je pense que je vais configurer un autre protocole.
A voir si cela fonctionne !
Merci !

[glattering]

Bon, du coup j'ai configure un serveur open VPN et mon client pour internet en L2TP/IPsec et c'est bon j'arrive a faire tourner les deux.

Ca m'amene a ma question suivante.

J'ai suivi le tuto de Fenrir (super bien fait en passant) pour configurer le VPN server.
Mon syno est derriere un routeur/NAT, et j'ai l'habitude de ne pas ouvrir d'autre port que le port 443 et d'utiliser des sous domaines avec un reverse proxy sur le syno. Du coup je me demandais si je pouvais utiliser comme adresse vpn.ndd.tld et le port 443 au lieu de l'adresse publique et le port 1194 ?

Si oui, alors que dois je mettre dans le .openvpn : vpn.ndd.tld 443 ou bien vpn.ndd.tld 1194 ?

 

D'ailleurs, dans mon client (Linux) je ne sais pas quoi mettre (le tuto de Fenrir ne dit rien pour Open VPN...)
Dans certificat CA, je mets ca.crt, mais dans les autres champs ? Ou dois je rentrer le fichier openvpn ?
--> ca c'est bon j'ai cherche sur internet et j'ai trouve !

 

 

Modifié le 5 juin 2020 par glattering
image

[oracle7]

@glattering

Bonjour,

Il y a 10 heures, glattering a dit :

Mon syno est derriere un routeur/NAT, et j'ai l'habitude de ne pas ouvrir d'autre port que le port 443 et d'utiliser des sous domaines avec un reverse proxy sur le syno.

C'est une très bonne stratégie sécuritaire.

Personnellement, comme j'ai une @IP publique dynamique, je n'ai pas d'autre choix que de passer par un "vpn.ndd.tld" qui pointe sur cette @IP publique. Je n'ai aucun problème de connexion avec OpenVPN, cela marche très bien et puis Fenrir dans son tuto n'émet qu'une recommandation à ce sujet sans l'interdire toutefois.

Par ailleurs, saches que le port 1194 est le port par défaut DÉDIÉ au protocole OpenVPN. Le remplacer par le port 443 ne t'apportera pas plus de sécurité et sauf erreur de ma part, pourrait être susceptible de générer des dysfonctionnements aléatoires dans le fonctionnement d'OPenVPN. OpenVPN n'a d'ailleurs pas été prévu pour fonctionner avec ce port sinon cela se saurait !

Si tu crains pour la sécurité de la connexion, tu n'as qu'à modifier le niveau de chiffrement des clés employées dans le fichier .opvn de configuration pour l'augmenter sachant que celui-ci utilisé par défaut est déjà largement suffisant. Cela dit, on a le droit de devenir paranoïaque si besoin en est .... 😜 C'est toi qui vois 😏

PS : Il est préférable de ne pas poser la même question dans des posts différents (voir dans VPN Serveur). Merci.

Cordialement

oracle7😉

[glattering]

Merci beaucoup pour ces precisions ! (et oui bonne remarque et desole pour la double question, promis, je le referai plus ^_^).
OK je note que ma strategie des sous domaines et bonne 🙂 En passant, moi aussi j'ai une adresse IP dynamique avec un nom de domaine 🙂

Un point reste encore mysterieux pour moi. Si j'utilise vpn.ndd.tld et un reverse proxy, alors si je comprends bien dans mon routeur, je ne laisse que le port 443 d'ouvert, mais dans mon reverse proxy, je transmets a localhost sur le port 1194, c'est bien ca ?
Dans ce cas, que dois je mettre dans le fichier open vpn ? vpn.ndd.tld 1194 ou bien vpn.ndd.tld 443 ?
Ou bien j'ai mal compris et pour le VPN on ouvre de toute maniere un port special, le 1194, sur son routeur, mais du coup on perd l'interet d'utiliser un sous domaine dans ce cas, et plus besoin d'utiliser le reverse proxy pour le vpn.
Bref, je suis un peu perdu haha...

Merci encore pour te pencher sur mon cas !

Modifié le 6 juin 2020 par glattering

[.Shad.]

Ton proxy inversé écoute déjà sur ce port, donc il faut faire appel à ce qu'on appelle du partage de port, tu peux googler ça pour en apprendre plus, et un sujet en parle sur ce forum :

Mais je pense qu'il faut avant tout bien comprendre pourquoi le pour et le contre, certainement pas pour juste avoir un sous-domaine personnalisé :

Les +

- Si tu fais passer le trafic par le port 443 en TCP, tu noies des données (qui sont déjà chiffrées au passage) dans le reste des données chiffrées passant par ton proxy inversé en entrant et les requêtes https en sortant. C'est plus difficilement traçable.
- Le trafic passant par un port TCP est plus stable que par un port en UDP (plus adapté aux petites connexions type ADSL).
- Le port 443 est très rarement bloqué, donc possibilité de se connecter depuis le travail, un wifi d'entreprise, etc...

Les -

- Le trafic via TCP est plus lent que par UDP
- Il est plus difficilement traçable, donc si tu veux faire une capture de paquets, ce sera plus compliqué que sur le port 1194.
- Il faut mettre les mains dans le cambouis pour le partage de port si le port 443 est déjà utilisé sur la machine hôte du serveur OpenVPN.

Il te faut juger de l'intérêt de la manipulation au regard de ce genre de critère, pour ma part je pense que ça n'en vaut pas spécialement la peine, sauf si tu y trouves un intérêt ludique ! 🙂

Modifié le 6 juin 2020 par .Shad.

[glattering]

Bonjour Shad et merci pour ton explication sur le partage de port !
Par contre je ne suis pas certain de comprendre ceci : tu dis que comme mon proxy inverse ecoute deja sur ce port, il faut faire du partage de port.
Mais j'ai deja plusieurs entrees dans mon proxy inverse sur le port 443 sans que ca ne pose de probleme, car j'utilise des sous domaines justement.

Mon proxy inverse contient
carddav.ndd.tld 443 -> localhost 8443
dsm.ndd.tld 443 -> localhost 5001

Je pensais ainsi, apparemment un peu naivement (je suis pas un expert!) pouvoir rajouter la ligne suivante
vpn.ndd.tld 443 -> locahost 1194

Avec evidemment les bonnes entrees dans le pare-feu pour le syno, et de l'autre cote dans mon routeur la redirection de 443 routeur vers 443 du syno.

La, sans comprendre vraiment pourquoi, je comprends que ca ne peut pas marcher.
Donc tous ceux qui utilisent un sous domaine pour le vpn, c'est pour quelle raison ? Puisque ca ne semble servir a rien (avec mon degre de comprehension).

Par exemple oracle7, tu dis utiliser un sous domaine vpn.ndd.tld. Donc j'imagine, encore avec ce que j'ai compris que tu as la configuration suivante ou similaire :
- routeur 1194 ouvert, qui redirige vers syno sur 1194.
- dans syno, pas besoin de reverse proxy.
- ta config VPN server sur l'adresse vpn.ndd.tld sur le port 1194.
 J'ai bon ?

 

[oracle7]

@glattering

Bonjour,

Il y a 2 heures, glattering a dit :

Par exemple oracle7, tu dis utiliser un sous domaine vpn.ndd.tld. Donc j'imagine, encore avec ce que j'ai compris que tu as la configuration suivante ou similaire :
- routeur 1194 ouvert, qui redirige vers syno sur 1194.
- dans syno, pas besoin de reverse proxy.
- ta config VPN server sur l'adresse vpn.ndd.tld sur le port 1194.
 J'ai bon ?

A un détail près tu as bon, mais je viens de vérifier ma configuration qui est un peu particulière et voilà :

• Comme j'utilise sur mon routeur le paquet Synology "VPN Plus Server" avec le protocole "SSL VPN" pour mes connexions depuis l'extérieur via l'application android "VPN Plus", j'ai un port spécifique à "SSL VPN" qui est ouvert sur le routeur. Pour mémoire, "SSL VPN" propose par défaut le port 443, mais cela ne marche pas, on est obligé de prendre un autre port privé, voilà le pourquoi du port spécifique. Associé à cela, j'ai chez mon fournisseur de domaine OVH une redirection invisible "vpn.ndd.tld" qui pointe sur "ndd.tld:port_SSL_VPN". Cette redirection m'évite simplement d'avoir à taper le No de port "SSL VPN" dans mon URL de connexion depuis un navigateur.
  Cela dit, j'ai aussi gardé la possibilité ponctuelle en secours de me connecter de façon standard en OpenVPN depuis l'extérieur via le port 1194 qui est aussi ouvert sur le routeur.
• Pas de reverse proxy pour le VPN dans mon NAS sur le réseau local.
• Pare-feu NAS avec port 1194 ouvert.
• Configuration OpenVPN : à cause de l'@IP dynamique j'ai une ligne "remote ndd.tld 1194" dans le fichier de configuration ".opvn".

Je viens de m'apercevoir que dans ma précédente réponse, quand j'ai écrit "vpn.ndd.tld" à propos de mon @IP dymamique, j'ai en fait un peu "bafouillé". Je voulais dire simplement "ndd.tld". C'est la magie du C/C de texte un peu trop rapide, qui est passée par là ...

En espérant que cet exemple de principe de configuration, t'aidera à y voir plus clair.

Cordialement

oracle7😉

[glattering]

Ah mais oui la c'est parfait, je pense que c'est clair !
Je ne connaissais pas la possibilite de faire cette redirection dans le DNS sur OVH (je suis moi-meme chez eux). Interessant, c'est vrai que c'est plus pratique de ne pas avoir a taper le port, et c'est un peu ce qui avait guide ma configuration naive.
Super, alors je vais faire tout ca et voir si ca marche !

En tout cas merci d'avoir passer du temps a m'expliquer, c'est tres apprécié ! 🙂

[glattering]

Bon du coup j'ai configure comme ca et ca marche :
- Routeur port ouvert 1194 -> redirection vers syno 1194.
- Pare-feu port 1194 ouvert
- Et connexion du VPN avec ndd.tld 1194

Merci beaucoup pour les explications.

Mon seul regret, ne pas utiliser vpn.ndd.tld mais surtout, ne pas avoir une maniere de faire unifiee (parce que j'oublie, et que si c'est systématique, je retiens mieux !). Si vraiment je craque j'essaierai de faire la redirection dans le DNS comme tu mentionnais 🙂 Merci encore !

Si par hasard vous savez et vous avez encore 5 minutes a perdre avec mon cas, je suis quand meme curieux de comprendre pourquoi le coup de se connecter au port 443 et d'utiliser un reverse proxy sur le 1194 ne fonctionne pas pour le VPN, quelle est la limitation technique et d'ou vient elle. Haha, c'est du bonus, je pourrai quand meme dormir sans le savoir !

🙂

Modifié le 6 juin 2020 par glattering

[oracle7]

@glattering

Bonjour,

Il y a 10 heures, glattering a dit :

je suis quand meme curieux de comprendre pourquoi le coup de se connecter au port 443 et d'utiliser un reverse proxy sur le 1194 ne fonctionne pas pour le VPN, quelle est la limitation technique et d'ou vient elle.

J'aurais aimé pouvoir te répondre mais malheureusement je n'en connais pas réponse. Désolé.

Cela dit, si comme moi ton serveur VPN est installé sur le routeur en amont du NAS, je ne vois l’intérêt d'utiliser le reverse proxy du NAS (écoute sur le port 443 et renvoi sur le port 1194) puisque l'on établit depuis l'extérieur une connexion sécurisée qui nous amène directement sur notre réseau local avec donc à un accès à tous ses périphériques. OK pour renvoyer vers le port d'une application (par ex : 7000 pour DSFile avec un "file.ndd.tld") mais vers 1194 pour quelle application ? J'ai plus de mal à comprendre là. Où alors j'ai raté un truc ?

Cordialement

oracle7😉

[glattering]

Pas de probleme ! Ah ca doit etre moi qui ne comprends pas la difference entre port/application etc !!
Mon VPN server est sur mon syno et pas sur mon routeur 🙂

En tout cas merci, ca fonctionne ! 🙂

[oracle7]

@glattering

C'est tant mieux et content de t'avoir aider.

Cordialement

oracle7😉

[molinadiaz]

Le 03/06/2020 à 19:48, oracle7 a dit :

que tu dispose d'un routeur placé derrière ta box. A ce moment là le routeur pourrait jouer le rôle de serveur VPN pour te permettre d’accéder à ton réseau local sous VPN depuis un client externe

Bonjour @oracle7,

Et désolé le monde pour le déterrage des enfers, mais c'est toujours mieux que de polluer avec la création d'un nouveau thread 😛

Je suis dans le cas de figure où j'ai 2 serveurs VPN :

1. Le premier serveur OpenVPN sur mon routeur
2. Le second serveur OpenVPN sur mon Synology

Lorsque je me connecte au serveur OpenVPN sur Synology, j'ai accès à l'interface de mon routeur (qui fait passerelle, d'ailleurs) via l'IP locale 192.168.x.x.
Lorsque je me connecte au serveur OpenVPN du routeur, je ne peux avoir accès qu'au routeur via son IP locale 192.168.x.x .. mais impossible d'accéder au NAS via sa propre IP locale. Gnéh ? 😅

Merci pour l'aide !

Cordialement,

EDIT : le pare-feu du Synology semble être en cause. Je vais creuser pour trouver la règle qui fait foirer l'accès. Je tiens au jus.

Modifié le 12 novembre 2021 par molinadiaz

[oracle7]

@molinadiaz

Bonjour,

A mon humble avis, il est inutile d'avoir un second serveur VPN sur le NAS si tu en as déjà un sur la porte d'entrée de ton réseau local qu'est ton routeur. Mais c'est toi qui voit ...

Vérifies quand même le pare-feu du routeur (port 1194 ouvert)  ainsi que la configuration OpenVPN sur celui-ci afin d'autoriser aux clients l'accès au serveur LAN.

Au fait c'est quoi déjà ton routeur ? un RT2600ac ?

Cordialement

oracle7😉

[molinadiaz]

Effectivement @oracle7, mais jusqu'à maintenant je n'avais qu'un seul serveur OpenVPN : celui sur Synology. Puisque je veux que mon Synology soit client VPN d'un autre NAS à distance, j'ai dû faire en sorte d'avoir un serveur VPN sur mon routeur actuel.

[oracle7]

@molinadiaz

Bonjour,

il y a 2 minutes, molinadiaz a dit :

Puisque je veux que mon Synology soit client VPN d'un autre NAS à distance, j'ai dû faire en sorte d'avoir un serveur VPN sur mon routeur actuel.

Tu as dû recouvrir à cet artifice  (qui n'est pas bon) car ton NAS ne peut être à la fois client et serveur pour un même protocole VPN, en l'occurrence ici OpenVPN.

Par contre tu peux très bien avoir ton serveur OpenVPN sur le routeur pour tes connexions depuis l'externe et être en même temps sur ton NAS, client VPN d'un autre serveur VPN externe à la simple condition d'utiliser un autre protocole, par ex L2PT/IpSec donc ton serveur externe doit être en L2TP. Cela marche très bien et sans interférences.

Cordialement

oracle7😉

[molinadiaz]

@oracle7 Oui, oui, je savais bien ça, mais c'est surtout l'idée de n'utiliser qu'OpenVPN qui m'intéresse. J'ai cru comprendre que L2PT/IPSEC avait été compromis.

[oracle7]

@molinadiaz

Bonjour,

il y a 14 minutes, molinadiaz a dit :

mais c'est surtout l'idée de n'utiliser qu'OpenVPN qui m'intéresse.

Certes, mais je le répète, c'est impossible sur NAS être à la fois client et serveur OpenVPN (plus généralement en fait d'un même protocole VPN).

il y a 11 minutes, molinadiaz a dit :

J'ai cru comprendre que L2PT/IPSEC avait été compromis.

Ah bon ? Tu es sûr de ton coup là ? car si c'était le cas cela se saurait, non ?

Ce qui est sûr c'est que L2TP est plus lent et moins eficace que OpenVPN car c'est un processus en deux étapes où le trafic doit être converti au format L2TP, puis le cryptage doit être ajouté à IPsec.

Cordialement

oracle7😉