[OpenVPN] Déconnexion subite - reconnexion impossible

[StéphanH]

Bonjour,

J'utilise un tunnel OpenVPN permanent entre un 218+ (client)  et un 718+ (serveur).

Tout à l'heure, le tunnel est tombé (cela arrive parfois), mais cette fois il refuse de remonter.
J'ai essayé de rebooter tout le monde (les deux NAS, les deux routeurs), rien n'y fait.
Le serveur semble bien voir arriver un client (avec un nom étrange ...), mais cela n'aboutit pas :

Je vois que mon certificat Let's Encrtypt (utilisé par le tunnel) expire le 18/08. J'en déduis qu'il a été renouvelé très récemment (Ils sont émis pour 3 mois ??). Est-ce cela qui aura empêché le tunnel de remonter ?

 

Je suis preneur de vos lumières ...

Merci.

[Mic13710]

@StéphanH il est tout à fait possible que ce soit le certificat qui soit la cause du refus de connexion. Pour le certificat du VPN, je ne passe pas par le certificat LE car j'ai effectivement eu le même problème que toi après son renouvellement. J'utilise soit le certificat par défaut du NAS, soit un certificat autosigné avec une validité très éloignée pour ne pas être tributaire des aléas de connexions tous les deux mois.

Regarde aussi au niveau du parefeu si des fois ton IP ne serait pas bloquée.

[StéphanH]

Merci @Mic13710

C'était bien le certificat renouvelé. C'est étrange, car cela fait plusieurs années que je n'avais pas eu de souci avec ce VPN, malgré le renouvellement automatique des certificats LE.

Par contre, j'ai un autre souci ... Une fois le tunnel remonté,  la connexion du client Drive vers le serveur via le tunnel ne se fait plus.  la connexion échoue. 

Je ne vois pas où chercher. Le firewall VPN a l'air correct. je ne vois rien dans les IP bloquées.

Une idée ?

Modifié le 20 mai 2021 par StéphanH

[Mic13710]

Est-ce que les plages d'adresses du VPN sont autorisées dans le parefeu pour tous les ports ?

[StéphanH]

J'ai ajouté cette règle sur le NAS client et cela fonctionne de nouveau :

192.168.1.0/255.255.255.0 est le masque du LAN sur lequel est le serveur.

192.168.2.6 est l'@IP VPN du NAS Client

Je suppose que cette règle a sauté. pourquoi ?

 

EDIT : Je ne comprends plus. Je perds la connexion aussitôt. Je dois arrêter et relancer Synology Drive sur le client pour retrouver la connexion. Je reboot ...

Modifié le 20 mai 2021 par StéphanH

[StéphanH]

Bon ... j'arrête pour ce soir...

Je ne comprends pas ce qui se passe.

Dans le doute, voici les règles du pare-feu sur le serveur :

Modifié le 20 mai 2021 par StéphanH

[StéphanH]

J'essaie de résumer ...

Déconnexion subite d'OpenVPN entre les deux NAS, le lendemain du renouvellement du certificat LE utilisé pour le VPN.

Je réimporte le ça_bundle => le VPN remonte, les deux instances de Surveillance station se reconnectent. Le client Drive du Mac se synchronise également.

Je client drive du NAS client ne se reconnecte pas. Ce matin, je supprime la tâche  entre client et serveur, et je la recréé sur l'@IP LAN du serveur (et non pas sur l'@IP VPN). La réconciliation a lieu.

[StéphanH]

je me rends compte d'un autre comportement...

Avant, je me servais depuis les clients de l'@IP VPN du serveur OpenVPN (chez moi : 192.168.2.1).

Depuis cet épisode, je ne peux plus m'en servir. elle n'est plus joignable. J'utilise donc l'IP locale de ce NAS (pour Drive, SurveillanceStation CMS, mes accès à mon LAN distant ...)

De NAS à NAS, ce n'est pas gênant, mais si un jour je repasse chez Orange (donc, sans règle de routage de sous réseau), je serai dans la mouise pour l'avais de mon MAC ...)

Modifié le 24 mai 2021 par StéphanH

[Mic13710]

Le 20/05/2021 à 21:29, StéphanH a dit :

Dans le doute, voici les règles du pare-feu sur le serveur :

 

Et tu penses que ces règles sont bonnes ???? Parce que là tu es en open bar

il y a 24 minutes, StéphanH a dit :

Avant, je me servais depuis les clients de l'@IP VPN du serveur OpenVPN (chez moi : 192.168.2.1).

Pourquoi tu n'utilises pas les plages d'IP classiques du VPN en 10.10.x.x ?

[StéphanH]

il y a 2 minutes, Mic13710 a dit :

Et tu penses que ces règles sont bonnes ???? Parce que là tu es en open bar

Pourquoi tu n'utilises pas les plages d'IP classiques du VPN en 10.10.x.x ?

Oui, c'est volontaire. la complexité est dans l'accès au VPN : il faut fournir le bon certificat... ça complique.

Mais une fois dans le VPN, c'est effectivement OpenBar ! 

c'est interdit d'utiliser autre chose que 10.... ???? c'est mal de choisir 192.168 ?

[Mic13710]

C'est toi qui voit, mais là ton parefeu ne sert strictement à rien puisqu'il n'y a pas de règle de refus. Tout passe !

Il faut rajouter une dernière règle qui refuse tout (voir le tuto sur la sécurité).

il y a une heure, StéphanH a dit :

c'est interdit d'utiliser autre chose que 10.... ???? c'est mal de choisir 192.168 ?

A priori non, tu mets ce que tu veux tant qu'il s'agit de plages privées. Mais s'il y a des plages spécifiques, autant les utiliser. Et puis, à lire tes messages, on se mélange les pinceaux car la frontière VPN et réseau n'est pas très claire. Ceci dit, peut-être que la dernière mise à jour ne permet plus d'utiliser autre chose que les 10.10.x.x, ce qui pourrait expliquer ton blocage.

Essaye en autorisant les plages VPN dans le parefeu et change les adresses dans ton serveur VPN pour qu'elles soient dans les 10.10.x.x.

[StéphanH]

Merci pour ta réponse.
Ma copie d’écran masque la ligne du bas de la fenêtre de gestion du pare-feu. Si aucune règle n’est remplie, l’accès est refusé.

En l’occurrence, je n’accepte que des adresses locales (192.168. Et fe80, ainsi que les Ip françaises). Le risque est quand même très limité non ?

J’ai un doute sur les Ip Françaises… je ne souhaite autoriser que des adresses françaises à se connecter au VPN.
Je devrais donc basculer cette règle dans les règles d’accès LAN ?

A l’intérieur du VPN, je ne veux que des IP de mes LAN.

(Rédigé avec Tapatalk)

[YvesBert]

Le 20/05/2021 à 18:55, Mic13710 a dit :

J'utilise soit le certificat par défaut du NAS

Quand tu fait l'erreur de créer un certificat LE et que tu supprimes le certificat Syno d'origine, tu fais comment pour en recréer un (oui, je sais, c'était trèèès bête de le faire, mais... je l'ai fait !  Me foutrait des baffes)

Merci @Mic13710

[Mic13710]

Le 20/05/2021 à 18:55, Mic13710 a dit :

J'utilise soit le certificat par défaut du NAS, soit un certificat autosigné avec une validité très éloignée

Il faut lire la phrase jusqu'au bout !

J'ai un distributeur de torgnoles en promo, si ça peut aider.