Synchronisation en mirroir de 2 NAS sur 2 lieux différents.

[Antonio21]

@oracle7@StéphanH

Faut-il que j'installe VPN Server sur mon NAS n°2 qui me sert pour les sauvegardes à distance ? Depuis que je me suis mis à paramétrer le VPN sur le NAS n°1 la liaison a évidement été coupée dans Hyperbackup.

Comment faire pour trouver l'IP publique de mes NAS svp ?

 

Modifié le 22 janvier 2021 par Antonio21

[StéphanH]

Chez moi, VPN serveur est installé sur le NAS "principal" (à sauvegarder)

le NAS secondaire s'y connecte en OpenVPN, et le tunnel reste ouvert en permanence .

J'utilise soit l'IP locale des NAS, soit carrément l'IP attribuée par OpenVPN (moins propre)

[oracle7]

@Antonio21

Bonjour,

Sauf erreur de ma part, il te faut établir en premier la connexion VPN du client vers le serveur et ensuite étabir la liaison Hyperbackup. Comme cela tu restes avec tes @IP locales au travers du tunnel VPN.

Ton NAS étant dans le réseau local de la box, il n'a pas d'@IP "publique" mais seulement une @IP locale. Depuis l'extérieur, lorsque tu te connectes à ton NAS avec une URL de type "nas.ndd.tld", la résolution de nas.ndd.tld va amener à ta box sur le port 443 qui est transféré vers ton NAS. Puis c'est le reverse proxy du NAS qui écoute en permanence le port 443 qui va te renvoyer effectivement vers DSM (je sais c'est mal dit, les spécialistes me reprendront sûrement mais le principe est là !).

Cordialement

oracle7😉

[Juan luis]

il y a 42 minutes, StéphanH a dit :

Chez moi, VPN serveur est installé sur le NAS "principal" (à sauvegarder)

le NAS secondaire s'y connecte en OpenVPN, et le tunnel reste ouvert en permanence .

J'utilise soit l'IP locale des NAS, soit carrément l'IP attribuée par OpenVPN (moins propre)

Bonsoir,

Justement je me posais cette question, concernant le client VPN du NAS.

En cas de coupure telecom (temporaire) est ce que  le Nas relance bien la connexion ad vitam eternam ?

Est ce que l'on peut perdre la main sur le site distant ?

[Antonio21]

@oracle7@StéphanH

Désolé je suis un peu largué sur l'histoire des ports et de l'IP publique 😞

Sur le tuto de Fenrir il n'explique pas comment créer d'openvpn sur le clien synology. J'ai quand même essayé en allant dans "panneau de configuration" -> "Réseau" -> "Interface réseau" -> "Créer un profil VPN".

Sauf que voilà même après avoir importé le fichier .crt et le .ovpn impossible de se connecter. "Echec de création de connexion réseau".

Pour le coup j'ai 2 doutes sur mon fichier .ovpn :

1- L'adresse publique que je dois inscrire dans le fichier .ovpn est-elle exacte ? (j'ai pris l'ip de la box dans son accès admin)

2- "ca ca_bundle.crt" : dans le fichier zip que l'on exporte sous VPN Server il n'y a pas de fichier "ca ca_bundle.crt" et je ne sais pas où noter la ligne dans le fichier .ovpn

il y a 5 minutes, Juan luis a dit :

Bonsoir,

Justement je me posais cette question, concernant le client VPN du NAS.

En cas de coupure telecom (temporaire) est ce que  le Nas relance bien la connexion ad vitam eternam ?

Est ce que l'on peut perdre la main sur le site distant ?

Hello @Juan luis,

en théorie d'après la création du profil vpn sur le client (cf screenshot) il semblerait qu'il se reconnecte si la case est cochée. Après en pratique je ne sais pas ^^

Modifié le 22 janvier 2021 par Antonio21

[StéphanH]

il y a 5 minutes, Antonio21 a dit :

en théorie d'après la création du profil vpn sur le client (cf screenshot) il semblerait qu'il se reconnecte si la case est cochée. Après en pratique je ne sais pas ^^

cela fonctionne, à condition que la coupure ne dure pas trop longtemps ... je dirais moins de 10 minutes. En gros, une mise à jour d'une Box ou un upgrade léger de DSM passe. Au delà, il faut relancer à la main.

Modifié le 22 janvier 2021 par StéphanH

[oracle7]

@Antonio21

Bonjour,

Tu devrais regarder ce post, @Mic13710 donne la solution à ton problème de VPN mais en L2TP et pas OpenVPN.

En OpenVPN il y a aussi ce TUTO.

En espérant que cela t'aidera.

EDIT :

il y a 58 minutes, Antonio21 a dit :

2- "ca ca_bundle.crt" : dans le fichier zip que l'on exporte sous VPN Server il n'y a pas de fichier "ca ca_bundle.crt" et je ne sais pas où noter la ligne dans le fichier .ovpn

Avec les nouvelles version d'OpenVPN, il n'y a plus besoin du fichier ca_bundle.crt, le certificat est déjà inclu dans le fichier de config .ovpn. C'est d'ailleurs dit de mémoire dans le TUTO.

 

Cordialement

oracle7😉

Modifié le 22 janvier 2021 par oracle7

[Antonio21]

une question qui peut paraître bête :

- Les ports (le fameux 1194) du pare-feu pour le VPN doivent être autorisés sur les 2 NAS ou juste celui qui lance VPN Server ?

[oracle7]

@Antonio21

Bonjour,

Non ce n'est pas bête. Pour ma part je dirais juste sur le NAS qui héberge le serveur VPN.

Cordialement

oracle7😉

[StéphanH]

De manière générale, les ports à ouvrir sont ceux qui ne font pas l’objet d’une réponse sur le même port que celui de l’émetteur.

Si tu émets une demande sur le port X, le firewall laissera passer la réponse sur ce même port.
Mais si tu émets une question sur le port X, et que la réponse se fait sur le port Y, le firewall refusera la réponse.


(Rédigé avec Tapatalk)

[Antonio21]

@oracle7@StéphanH

Bonjour à vous et merci pour vos retours.

En local :

- J'arrive à me connecter sur le NAS 1 avec OpenVPN (sur WINDOWS).

- J'arrive à me connecter sur le NAS 1 avec OpenVPN + Tunnelblick (Sur MAC OS)

- J'arrive à me connecter sur le NAS 1 avec OpenVPN (sur iOS smartphone).

- Je n'arrive pas à me connecter en NAS TO NAS ni on OpenVPN ni en L2TP. (Sur Synology). (Cf screenshot)

Pour info l'erreur que je faisais (étant donné que j'effectue les test en local) est que dans le fichier OpenVPN par exemple je mettais l'IP PUBLIQUE alors qu'en mettant l'IP LOCALE des NAS ça fonctionne (sauf sur Synology).

Quelle est en conséquence la bonne IP à intégrer dans le fichier OpenVPN lorsque je voudrai accéder à mon NAS en VPN en dehors du LOCAL ?

NB : Je ne peux pas utiliser les 2 protocoles sur VPN SERVER. Je dois donc choisir un protocole à utiliser pour le NAS TO NAS (pour le backup) et un protocole à utiliser pour tout le reste afin d'accéder aux données du NAS 1. A votre avis OpenVPN ou L2TP pour l'un et l'autre ?

 

Bon week-end 🙂

 

 

Modifié le 23 janvier 2021 par Antonio21
NB

[oracle7]

@Antonio21

Bonjour,

il y a 10 minutes, Antonio21 a dit :

Quelle est en conséquence la bonne IP à intégrer dans le fichier OpenVPN lorsque je voudrai accéder à mon NAS en VPN en dehors du LOCAL ?

Ce sera toujours l'@IP du NAS qui supporte le serveur VPN, à savoir dans le fichier .ovpn installé sur le NAS 2 :

• @IP locale NAS1 soit remote @IPlocaleNAS1 1194 lorsque le NAS 2 est connecté directement au réseau local du NAS 1
• @IP externe NAS 1 (celle de BOX 1) soit remote @IPexterneNAS1 1194 lors que le NAS 2 est sur le site 2

Cordialement

oracle7😉

[Antonio21]

il y a 6 minutes, oracle7 a dit :

@Antonio21

Bonjour,

Ce sera toujours l'@IP du NAS qui supporte le serveur VPN, à savoir dans le fichier .ovpn installé sur le NAS 2 :

• @IP locale NAS1 soit remote @IPlocaleNAS1 1194 lorsque le NAS 2 est connecté directement au réseau local du NAS 1
• @IP externe NAS 1 (celle de BOX 1) soit remote @IPexterneNAS1 1194 lors que le NAS 2 est sur le site 2

Cordialement

oracle7😉

ok super, merci.

Pour faire le backup sur le NAS 2 on est d'accord que le Serveur VPN doit être supporté sur le NAS 2 et que le client devient le NAS 1 (c'est à dire que je crée le profil de connection VPN sur le NAS 1) ?

Alors que pour l'accès aux données du NAS 1 c'est le contraire ?

[Antonio21]

@oracle7@StéphanH

Bon à priori c'est bon c'est résolu 🙂

Je poste ci-dessous la solution au cas où quelqu'un serait confronté au problème comme je l'ai été :

- Le VPN Server est a installer/ouvrir sur le NAS où se trouvent les données et non sur le NAS de destination (contrairement à ce qui est dit dans le tuto).

- La création du profil VPN est à effectuer donc sur le NAS 2 et fonctionne soit en OpenVPN soit en L2TP (celui où sera effectué le backup). Attention cependant à ne pas croiser les flux mdr : On ne peut utiliser qu'un seul protocole dans un sens par NAS.

- L'autre souci que j'ai eu après avoir réussi ma connexion en L2TP (car c'est le protocole que j'ai finalement choisi pour les backup et le NAS TO NAS) c'est que les paquets comme Hyperbackup avaient été bloqués par le NAS à force d'essayer de se connecter et d'être rejetés. J'ai donc dû aller dans la protection du compte pour les retirer de la black list.

 

 

[oracle7]

@Antonio21

Bonjour,

il y a 4 minutes, Antonio21 a dit :

c'est que les paquets comme Hyperbackup avaient été bloqués par le NAS à force d'essayer de se connecter et d'être rejetés.

Comme quoi, c'est tout à fait autre chose qui mettait la "cata" et qui t'a fait galérer ...

Content pour toi que ton installation soit maintenant opérationnelle. 🤗🤗🤗

Cela n'aura pas été sans mal 😪 mais avec un peu de persévérance rien n'est impossible.😀

Cordialement

oracle7😉

[Antonio21]

il y a 34 minutes, oracle7 a dit :

@Antonio21

Bonjour,

Comme quoi, c'est tout à fait autre chose qui mettait la "cata" et qui t'a fait galérer ...

Content pour toi que ton installation soit maintenant opérationnelle. 🤗🤗🤗

Cela n'aura pas été sans mal 😪 mais avec un peu de persévérance rien n'est impossible.😀

Cordialement

oracle7😉

En effet tu as totalement raison ^^ ça me rendait chèvre de ne pas comprendre ce qu'il se passait xD Tout était bien configuré et ça passait pas. En tout cas merci infiniment pour votre aide et longue vie à ce forum qui est une source d'information formidable et dont les utilisateurs le sont tout autant 😉

Il me reste cependant encore plusieurs points à comprendre et à finaliser notammen tester l'installation en essayant d'y accéder de l'extérieur via le VPN :

* Quelle IP mettre dans le fichier OpenVPN ? Car si je laisse l'IP locale le VPN n'ira jamais se connecter sur ma box n'est-ce pas ?

* Est-ce que cela fonctionne avec la 3G / 4G sur un smartphone aussi ?

* Et comment retirer ce blocage d'IP qui revient en permanence alors que j'ai autorisé l'IP du NAS 😕

 

[oracle7]

@Antonio21

Bonjour,

Le 23/01/2021 à 13:23, Antonio21 a dit :

Quelle IP mettre dans le fichier OpenVPN ? Car si je laisse l'IP locale le VPN n'ira jamais se connecter sur ma box n'est-ce pas ?

Je te l'expliqué précédemment, relis bien mes posts.

Le 23/01/2021 à 13:23, Antonio21 a dit :

Est-ce que cela fonctionne avec la 3G / 4G sur un smartphone aussi ?

Normalement oui, si tu configures ton smartphone avec le client VPN qui va bien, tu pourras te connecter aussi de l'extérieur à chacun de tes NAS.

Le 23/01/2021 à 13:23, Antonio21 a dit :

Et comment retirer ce blocage d'IP qui revient en permanence alors que j'ai autorisé l'IP du NAS

Autorisé l'@IP du NAS où ? Si c'est dans "Sécurité / Compte / AutoriserBloquer la liste"  onglet "Liste des permissions" alors c'est bon. Mais peut-être aussi que tes paramètres de blocage sont trop sévères ?

 

Sinon sur le NAS 1 tu autorises l'@IP externe du NAS2 et réciproquement.

Cordialement

oracle7😉

Modifié le 5 juillet 2021 par oracle7

[Antonio21]

@oracle7

- J'ai autorisé les IP en question sur chacun des NAS et ça semble fonctionner.

- Pour l'IP Externe, j'ai bien lu ton post mais je m'interroge. Car si je met seulement l'IP Publique de ma box il n'y aura pas l'IP local de mon NAS. Comment va t-il donc retrouver son chemin ?

Faut-il mettre par exemple seulement l'IP de la BOX  : 197.22.24.220

ou Bien l'IP de la BOX avec l'IP Locale du type : 197.22.24.220/192.168.1.XX

[oracle7]

@Antonio21

Bonjour,

il y a 3 minutes, Antonio21 a dit :

Faut-il mettre par exemple seulement l'IP de la BOX  : 197.22.24.220

OUI car il faut une @IP EXTERNE puisque tu te connectes depuis l'extérieur. Je te rappelle qu'une @IP locale (192.168.x.x, 172.16.x.x, 10.80.x.x, 127.0.0.x n'est pas routable depuis l'internet, elle n'est utilisable qu'à l'intérieur du réseau local !

En OpenVPN, (dit de façon simpliste !!!) toutes les requêtes qui arrivent sur ta box sur le port UDP 1194 sont en quelque sorte routées automatiquement vers le serveur VPN (donc ton NAS) qui lui écoute en permanence ce port 1194 pour traiter ces requêtes. Cela se fait car tu as préalablement transféré (NAT/PAT) le port 1194 de la box vers le NAS.

Dans le cas de L2TP/IPSec, je ne saurais te dire car les choses sont bien plus "encapsulées" et moins visibles que sous OpenVPN. Mais je suppose que le principe reste le même (à vérifier).

Cordialement

oracle7😉

[Juan luis]

il y a 21 minutes, oracle7 a dit :

@Antonio21

Sinon sur le NAS 1 tu autorises l'@IP externe du NAS2 et réciproquement.

Cordialement

oracle7😉

@antonio21, @oracle7

Bonjour messieurs,

Il me semble que :à moins d'avoir une adresse IP publique fixe ,on ne peut pas filtrer par l'adresse IP source.

[oracle7]

@Juan luis

Bonjour,

A défaut d'@IP publique FIXE (j'ai une @IP externe dite "préférentielle" chez Orange donc dynamique), je renseigne mon fichier de configuration ".ovpn" avec mon domaine ndd.tld qui est mis à jour automatiquement par mon DynDNS avec la bonne @IP publique lorsque mon FAI la fait changer. Et cela marche, pas de soucis ...

Mais je te l'accorde volontiers, c'est mieux d'avoir une @IP externe fixe (heureux ceux qui sont en fullstack chez Free par exemple !).

Cordialement

oracle7😉

 

[Antonio21]

il y a 8 minutes, Juan luis a dit :

@antonio21, @oracle7

Bonjour messieurs,

Il me semble que :à moins d'avoir une adresse IP publique fixe ,on ne peut pas filtrer par l'adresse IP source.

Hello @Juan luis,

pour ma part afin de régler le souci de blocage je suis allé dans "Panneau de configuration" -> "Sécurité" -> "Compte" -> et "Autoriser/bloquer la liste". J'ai ensuite ajouté dans "Permissions" les IP en question. Pour l'instant ça à l'air de tenir 😕

[Antonio21]

Une question qui va peut-être vous paraître bête : Faut-il activer le VPN sur son propre réseau local ou alors est-ce inutile ?

J'ai essayé OpenVPN sur mon smartphone avec le fichier VPN contenant mon IP PUBLIQUE et en 4G donc de l'extérieur, et cela ne fonctionne pas 😞

 

[Juan luis]

il y a une heure, Antonio21 a dit :

Hello @Juan luis,

pour ma part afin de régler le souci de blocage je suis allé dans "Panneau de configuration" -> "Sécurité" -> "Compte" -> et "Autoriser/bloquer la liste". J'ai ensuite ajouté dans "Permissions" les IP en question. Pour l'instant ça à l'air de tenir 😕

Oui ça va fonctionner le temps que ton adresse IP reste identique, mais dans quelques jours ça va plus fonctionner.

il y a 55 minutes, Antonio21 a dit :

Une question qui va peut-être vous paraître bête : Faut-il activer le VPN sur son propre réseau local ou alors est-ce inutile ?

J'ai essayé OpenVPN sur mon smartphone avec le fichier VPN contenant mon IP PUBLIQUE et en 4G donc de l'extérieur, et cela ne fonctionne pas 😞

 

Un serveur VPN est prévu pour se connecter depuis l'extérieur , de l’intérieur ça peut aussi fonctionner .Dans ton fichier openVPN tu dois avoir l'adresse publique de ton serveur. Mais la aussi si elle change il faut plutôt indiquer un dyn DNS.

Modifié le 23 janvier 2021 par Juan luis

[Mic13710]

Le 23/01/2021 à 12:33, Antonio21 a dit :

- Le VPN Server est a installer/ouvrir sur le NAS où se trouvent les données et non sur le NAS de destination (contrairement à ce qui est dit dans le tuto).

Le serveur VPN peut être indifféremment sur le NAS source ou le NAS destination. Le VPN se contrefiche éperdument de l'origine des données. Une fois le lien établi, les données circulent dans le tunnel dans les deux sens.

L'emplacement du serveur est a choisir en fonction des facilités de connexion. Par exemple, si vous avez une IP publique fixe sur un site et une IP dynamique sur un autre, il est préférable de mettre le serveur du côté de l'IP fixe puisqu'on peut utiliser celle-ci directement dans la connexion sans avoir à passer par un ddns.