Aller au contenu

[Résolu]Impossible d'accéder à DSM via OpenVPN


Messages recommandés

Bonjour à tous.

J'ai suivi ce tuto pour configurer un serveur Open VPN: https://www.nas-forum.com/forum/topic/53328-tuto-vpn-server/
Il est vraiment très bien fichu. J'ai suivi à la lettre les étapes. J'ai traité le port 1194 et autorisé aux clients l'accès au serveur LAN.
J'ai exporté le certificat et je l'ai intégré correctement dans mon client OpenVPN windows.

Lorsque je me connecte, la connexion est réussie. Sauf que quand je tape dans la barre d'adresse 10.8.X.X ou http://10.8.X.X:5000 ou https://10.8.X.X:5001 ou encore 192.168.X.X, https://192.168.X.X:5001 et http://192.168.X.X:5000 je n'accède jamais à DSM. La page charge indéfiniment et on me dit qu'elle n'existe pas.
Je m'y prends peut être mal... J'ai un nom de domaine en synology.me également.

Pourquoi je ne peux pas y accéder?

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 52 minutes, Thierry94 a dit :

As tu autorisé les adresses 10.8.x.x dans le firewall du NAS ?
Si ce n'est pas déjà fait jette un coup d'œil  au tuto de Fenrir sur la sécurité du NAS ici ?

Merci de ta réponse, oui je l'avais configuré comme dans le tuto justement. Là j'ai désactivé le pare feu pour tester et je constate en fait que le client VPN ne se connecte pas. Il me marque: "Initialization Sequence Completed With Errors"

Je vois pas le soucis... j'ai suivi le tuto à la lettre

Parmi les erreurs j'ai:

  • "WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set."
  • "DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-256-CBC' to --data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning."
  • "WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info."
  • "WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this"
  • "Warning: route gateway is not reachable on any active network adapters:10.8.X.X"
Modifié par Babou57
Lien vers le commentaire
Partager sur d’autres sites

Le 19/11/2020 à 20:19, Thierry94 a dit :

Tu as quoi dans ton fichier client de configuration OpenVpn ?

Voici: J'ai mis l'adresse IP publique du NAS et j'ai enlevé le caractère de commentaire à "redirect gateway" car j'ai coché la case "Autoriser aux clients l'accès au serveur LAN"

dev tun
tls-client

remote 78.118.X.X 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2


comp-lzo

reneg-sec 0

cipher AES-256-CBC

auth SHA512

auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----

Modifié par Babou57
Lien vers le commentaire
Partager sur d’autres sites

C'est bizarre car dans le tuto que j'ai suivi, c'est indiqué: 

Le 13/08/2016 à 17:13, Fenrir a dit :

#redirect-gateway def1

  • selon que vous avez ou non coché la case entourée de rouge (cf plus haut), il faut enlever ou laisser le caractère de commentaire (le #) en début de ligne

Après j'y connais pas grand chose. A quoi sert cette ligne?
Comment je peux savoir si ma box a une adresse IP publique fixe?

Edit: En allant sur ce lien http://www.mon-ip.com/ip-dynamique.php, j'ai pu constater que j'avais une adresse ip fixe. Par contre on ne m'affichait qu'une adresse IP V6, je sais pas si c'est normal.

Modifié par Babou57
Lien vers le commentaire
Partager sur d’autres sites

l'option redirect-gateway permet d'orienter les requêtes internet du client via le VPN.

  • Sans l'option activée lorsque le client est connecté au VPN les requêtes internet passent par la connexion internet de l'endroit ou se trouve le client (4G, Wifi local, ...)
  • Avec l'option activée les requêtes internet du client sont transmises au NAS via le VPN puis passent par la connexion Internet de l'endroit ou se trouve le NAS. Avec cette option activée c'est comme si tu faisais tes requêtes sur ton réseau local.

Pour ton problème de connexion peux tu nous montrer les paramètres OpenVpn du NAS, tes règles du firewall et les routages NAT de ta box ?

Lien vers le commentaire
Partager sur d’autres sites

Le 21/11/2020 à 12:26, Thierry94 a dit :

l'option redirect-gateway permet d'orienter les requêtes internet du client via le VPN.

  • Sans l'option activée lorsque le client est connecté au VPN les requêtes internet passent par la connexion internet de l'endroit ou se trouve le client (4G, Wifi local, ...)
  • Avec l'option activée les requêtes internet du client sont transmises au NAS via le VPN puis passent par la connexion Internet de l'endroit ou se trouve le NAS. Avec cette option activée c'est comme si tu faisais tes requêtes sur ton réseau local.

Pour ton problème de connexion peux tu nous montrer les paramètres OpenVpn du NAS, tes règles du firewall et les routages NAT de ta box ?

Voici les captures d'écran. Pour le NAT, l'adresse masquée est l'adresse fixe du NAS (Fixée dans la box internet)

1532438863_CapturedcranNAT2.thumb.jpg.7f3e4390a3090cd72008508d1e503b39.jpg

Pour les règles de pare feu:
1/ Je refuse toutes les communications venant de Chine/ Mali/ Côte d'Ivoire, etc
2/ J'autorise tout le trafic provenant d'une connexion depuis VPN Serveur
3/ J'autorise tout le trafic provenant des sous-réseaux de Docker.
4/ J'autorise tout le trafic provenant des appareils de mon réseau local.
5/ J'autorise les ports de certaines applications en les sélectionnant directement dans la liste (ports 80, 443, DSM, openVPN, NTP, transferts de fichiers windows etc)
6/ J'autorise le port spécifique SFTP (je désactive cette règle lorsque je ne m'en sers pas)
7/ Je refuse tout le reste

1118252866_Capturedcranparefeu1.jpg.8da18b49047b2322366d7e6dbe66f98f.jpg1849221335_Capturedcranparefeu.jpg.6fb2137be5e7a0adf7d0d8f123481bb7.jpg

Pour le VPN, l'adresse IP masquée sur la capture 2 est celle fixe du NAS

1285292253_VPNServer1.thumb.png.98f19aa8793240f30f95c9902f1e1383.png

1353981261_Capturedcranvpnserver2.jpg.dbf44ba5ec3a3868fe177ae1b83b5dc7.jpg

2091285393_Capturedcranvpnserver3.jpg.0bfdca0ddf9297645b286abb53c5b729.jpg

 

Modifié par Babou57
Lien vers le commentaire
Partager sur d’autres sites

Je simule une connexion extérieure en connectant mon ordi portable sur la 4g de mon téléphone portable. (fonction point d'accès mobile sur le téléphone et connexion en wifi sur le réseau "Android AP" sur l'ordi portable)
Avec mon Wifi Local c'est pareil, la connexion ne se fait pas.
Tu crois qu'au lieu de renseigner mon adresse IP publique dans le fichier de config je devrais plutôt renseigner le nom de domaine ndd.synology.me?

Modifié par Babou57
Lien vers le commentaire
Partager sur d’autres sites

il y a 13 minutes, Babou57 a dit :

Tu crois qu'au lieu de renseigner mon adresse IP publique dans le fichier de config je devrais plutôt renseigner le nom de domaine ndd.synology.me?

ça ne changera rien à mon avis.

Je te propose plutôt le test suivant : à la place de ton adresse publique tu mets ton adresse locale 192.168.x.x et tu fais l'essai en WIFI.

Si ça fonctionne remet l'adresse publique et fais un essai en connectant ton laptop sur une autre box.

Lien vers le commentaire
Partager sur d’autres sites

L'ordi portable sur la 4G du smartphone tu n'es pas en simulation mais bien en connexion extérieur réelle !
Quand tu fais des tests en local c'est l'adresse ip locale du nas qu'il faut mettre dans le fichier de config.

Pour la mise en place d'OpenVpn il est recommandé de faire tous les tests en local et seulement quand cela marche bien en local de passer à un accès depuis l'extérieur.

Edit: Je me suis fais griller par @jeff777

 

Modifié par Thierry94
Lien vers le commentaire
Partager sur d’autres sites

il y a 9 minutes, Thierry94 a dit :

Quand tu fais des tests en local c'est l'adresse ip locale du nas qu'il faut mettre dans le fichier de config.

Sauf si le loopback fonctionne chez toi.

il y a 11 minutes, Thierry94 a dit :

Edit: Je me suis fais griller par @jeff777

Pour une fois que c'est pas moi qui me fais griller 🤣

Lien vers le commentaire
Partager sur d’autres sites

Le 24/11/2020 à 18:19, Jeff777 a dit :

ça ne changera rien à mon avis.

Je te propose plutôt le test suivant : à la place de ton adresse publique tu mets ton adresse locale 192.168.x.x et tu fais l'essai en WIFI.

Si ça fonctionne remet l'adresse publique et fais un essai en connectant ton laptop sur une autre box.

 

Le 24/11/2020 à 18:19, Thierry94 a dit :

L'ordi portable sur la 4G du smartphone tu n'es pas en simulation mais bien en connexion extérieur réelle !
Quand tu fais des tests en local c'est l'adresse ip locale du nas qu'il faut mettre dans le fichier de config.

Pour la mise en place d'OpenVpn il est recommandé de faire tous les tests en local et seulement quand cela marche bien en local de passer à un accès depuis l'extérieur.

Edit: Je me suis fais griller par @jeff777

 

Je viens d'essayer et ça ne fonctionne pas non plus. J'ai essayé également en laissant le caractère de commentaire sur la ligne redirect gateway mais j'ai le même soucis... incompréhensible

Lien vers le commentaire
Partager sur d’autres sites

Je ne pense pas, j'ai Windows 10 aussi.

Ce que je ne comprends pas c'est que là tu as l'air connecté en VPN (pas de croix rouge sur ton tap windows adapteur.)

Chez moi la croix rouge disparait lorsque je suis connecté en VPN. Essaie de désactiver le OpenVPN Wintum

Lien vers le commentaire
Partager sur d’autres sites

Le 19/11/2020 à 16:32, Babou57 a dit :
  • "WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set."
  • "DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-256-CBC' to --data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning."
  • "WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info."
  • "WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this"

Ces avertissements sont dus à la version combien obsolète de OpenVPN dans DSM.
Tu ne peux pas y faire grand chose, à part rajouter quelques paramètres dans le fichier ovpn, dans les faits ça ne changera rien.

Le problème vient visiblement de là :

Le 19/11/2020 à 16:32, Babou57 a dit :

"Warning: route gateway is not reachable on any active network adapters:10.8.X.X"

Comme @Jeff777 je privilégierais un problème avec Windows.
Tu peux essayer de déinstaller OpenVPN et TAP-adapter de Windows, et réinstaller.
En dernier recours, quelques pistes, en espérant que tu trouves une solution :

https://www.systemmen.com/security/vpn/fix-openvpn-route-gateway-is-not-reachable-261.html
https://forums.openvpn.net/viewtopic.php?t=12362

Lien vers le commentaire
Partager sur d’autres sites

Le 27/11/2020 à 12:49, Jeff777 a dit :

Chez moi la croix rouge disparait lorsque je suis connecté en VPN. Essaie de désactiver le OpenVPN Wintum

 

Le 27/11/2020 à 15:58, .Shad. a dit :

Comme @Jeff777 je privilégierais un problème avec Windows.
Tu peux essayer de déinstaller OpenVPN et TAP-adapter de Windows, et réinstaller.

Merci beaucoup à tous les 2!
Chez moi le TAP-adaptater était tout le temps "connecté" (donc sans croix rouge) même quand je quittais OpenVPN. J'ai suivi vos conseils et j'ai désinstallé OpenVPN de fond en comble. J'ai installé OpenVPN Connect (que je ne connaissais pas mais c'est le premier téléchargement du site officiel OpenVPN). Je l'ai lancé et j'ai intégré le fichier de configuration. On m'a demandé le certificat externe qui va avec mais bizarrement il ne le trouve pas (alors qu'il était dans le même dossier). J'ai fait "continuer quand même" et là ça a fonctionné!

Du coup comme je trouvais le logiciel un peu lourd, je me suis décidé à réinstaller OpenVPN client. Cette fois, dans la config d'installation j'ai sélectionné le strict minimum: open client, driver TAP-adaptater. J'ai décoché Wintun driver, VPN service, Configuration samples et tout le reste. Pour la copie du fichier de config, je l'ai copier directement sous Program Files/openVPN/config. Avant je l'avais copié dans User/OpenVPN/config. Je n'ai copié QUE le fichier de config et pas le certificat avec comme avant. En retentant de me connecter... ça a fonctionné aussi!

C'est nickel, je peux accéder à l'interface DSM en 4G via adresse IP locale et 10.8.X.X en port 5000 ou 5001! Je peux même accéder à l'interface de ma box internet en 4G mais je pense que c'est normal puisque j'ai coché la case  "Autoriser aux clients l'accès au serveur LAN" c'est cela?

Par contre je ne peux pas accéder à  DSM via mon nom de domaine en synology.me. C'est normal? Il faudrait que ma box internet fasse du loopback pour cela si j'ai bien compris? Merci beaucoup en tout cas!

Lien vers le commentaire
Partager sur d’autres sites

Merci @Jeff777 pour l'idée du proxy inversé! Par contre ça me fera ouvrir DSM via le port 443 au lieu du port 5001 directement... ça revient un peu au même je trouve. Ce que je ne comprends pas c'est pourquoi je ne peux pas me connecter à DSM en wifi local via mon nom de domaine synology.me si je ne traite pas le port 5001 (box et pare feu)?
Sur un autre post, on m'a dit que ça vient peut être du fait que je passe par l'extérieur car la résolution DNS interne ne permet pas de savoir que c'est le NAS que je cherche à atteindre. Il y aurait plusieurs solutions à ce problème :
- avoir une box qui fait du loopback: comment savoir si c'est le cas?
- mettre en place un serveur DNS local: ça a l'air trop complexe pour moi
- modifier le fichiers hosts de tes clients: comment faire cela?

J'y suis presque en tout cas!

Lien vers le commentaire
Partager sur d’autres sites

Invité
Ce sujet ne peut plus recevoir de nouvelles réponses.
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.