Box+Routeur+NAS+OpenVPN : pas accès à la box depuis le VPN

[Nano83]

Salut, j'ai un petit soucis avec ma config, je n'arrive pas a trouver là ou j'ai oublié un truc.

Pour résumé coté matos mon réseau est le suivant: Freebox ->Routeur RT2600 -> NAS (avec server openVPN)

La config n'est pas nouvelle, elle tourne comme ca depuis un moment sans pb d'accès en VPN grace au tuto du site.

Lorsque je suis chez moi sur le LAN du routeur en 192.168.2.1 j’accède biensur a tout de LAN du routeur 192.168.2.0 ou est le NAS mais aussi à la freebox qui est sur l'autre reseau 192.168.1.0 en amont du routeur (Freexbox 192.168.1.1)

Lorsque je me connecte en VPN via le server OpenVPN (10.0.5.0) du NAS, là encore pas de soucis pour accéder à tout le LAN 192.168.2.0 derrière le routeur. Mais impossible d’accéder à la freebox... en 192.168.1.1. Or je voudrai y acceder comme quand je suis chez moi.

Deux solutions soit c'est normal car le VPN ne donne accès qu'au réseau LAN 192.168.2.0 et comme la freebox n'est pas sur ce réseau alors j'ai pas accès.

soit je merde et j'oublie quelquechose.

Pour le moment j'ai contourné le problème en me connectant sans VPN à l IP publique de la freebox moyennant leur connexion a distance via un port mais c'est pas bien clean.

Quelqu'un pourrait il me dire là ou j'ai loupé un truc  et que dois-je corriger ?

Merci pour votre aide.

 

 

 

[.Shad.]

Pour moi c'est un problème de route statique. Et cette route n'est pas poussée par le serveur VPN vers ses clients.
Tu peux tester d'ajouter ça :

Mais je ne suis pas sûr pour autant que la route soit visible des clients VPN.
Dans ton cas de figure précis, je pense qu'il est préférable d'utiliser le serveur OpenVPN du routeur, lui gèrera parfaitement la distribution des routes, mieux que le NAS.

Dans DSM le serveur OpenVPN est très peu personnalisable, à vouloir simplifier à l'extrême tout un tas d'options passent à la trappe...

[Nano83]

@.Shad. Merci pour ta réponse. J'ai testé la création de la route statique mais sans succès.

Sinon pour avancer, j'ai testé pour voir si en VPN j'arrivais a pinguer la freebox, sans surprise celle-ci ne répond pas (meme si elle est configurée pour répondre au ping)

Par contre chose étonnante j'ai une autre infra similaire sur un autre site mais au lieu d'avoir une freebox, j'ai un routeur 4G -> RT1900-> NAS et là aussi je n'arrive pas accéder au routeur 4G via le VPN mais par contre j'arrive à le pinguer en VPN...

Je vais essayer de desactiver le firwall de RT1900 et celui du NAS pour voir.

Si toujours pas de succès, je vais faire le openVPN via le routeur et pas par le NAS pour voir si ça change quelque chose.

 

 

Modifié le 25 juillet 2021 par Nano83

[MilesTEG1]

Salut,

Si je peux apporter une petite pierre, qui risque de ne pas trop t'aider, mais voilà mon setup :
Livebox4 ( ip=192.168.1.1 ) -> RT2600AC ( ip=192.168.2.1 )-> LAN (NAS, PC, mobiles, etc...) ( ip=192.168.2.xxx )

J'ai placé le serveur VPN sur le routeur avec VPN Plus Server, mais la configuration doit être transposable sur le serveur VPN du NAS.

Lorsque j'utilise OpenVPN, je peux accéder au routeur avec son ip 192.168.2.1 et aussi à la livebox avec son IP 192.168.1.1.

Voilà comment j'ai configuré le serveur VPN :

Pour l'adresse du serveur DNS, j'ai mis l'adresse ip de mon serveur AdguardHome (installé en docker, macvlan).

Pour le fichier OpenVPN, autre que l'adresse du serveur sur la linge n°4 remote..., je n'ai modifié que ceci #redirect-gateway def1 en dé-commentant la ligne (pour iOS il faut ajouter une ligne à la fin setenv CLIENT_CERT 0 ) :

dev tun
tls-client

remote vpn.mon-ndd.tld 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2


reneg-sec 0

auth SHA512

cipher AES-256-CBC

auth-user-pass


key-direction 1

explicit-exit-notify
<ca>

-----BEGIN CERTIFICATE-----
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE-----
</ca>

<tls-auth>

#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END OpenVPN Static key V1-----
</tls-auth>

 

Voilà, je ne sais pas si ça pourra t'aider, mais si c'est le cas tant mieux 😄 

[Nano83]

@MilesTEG1 Merci pour tes explications.

Je me suis donc orienté sur l'openVPN sur le RT.

Je me suis fait un nouveau certificat let's encrypt avec mon nom de domaine ddns no-ip car le certificat du routeur etait expiré. en ouvrant bien le port 80 temporairement pour valider le certificat. Jusque là pas de soucis.

Après comme pour l'open vpn sur le NAS, et en suivant tes copies d'ecran j'ai crée le serveur openVPN sur le RT, exporté la config dans le client, ouvert les bons ports qui vont bien et normalement tout devait marcher comme quand j'utilise open vpn sur le NAS.... (les deux serveurs open vpn sont sur des ports différents)

Et bien ca aurait été trop facile... que ca marche du premier coup !!

Je vois bien une tentative de connexion sur le serveur open vpn du RT mais le log du client m'insulte 🙂

Tue Jul 27 14:31:40 2021 VERIFY ERROR: depth=2, error=unable to get issuer certificate: C=US, O=Internet Security Research Group, CN=ISRG Root X1
Tue Jul 27 14:31:40 2021 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
Tue Jul 27 14:31:40 2021 TLS_ERROR: BIO read tls_read_plaintext error
Tue Jul 27 14:31:40 2021 TLS Error: TLS object -> incoming plaintext read error
Tue Jul 27 14:31:40 2021 TLS Error: TLS handshake failed
Tue Jul 27 14:31:40 2021 SIGUSR1[soft,tls-error] received, process restarting

Donc à priori j'ai un souci avec mon certificat let's Encrypt du RT que j'ai crée versus le certificat du NAS (vieux certificat Synology) ou là ca marche.

Bref comme j'y connais pas grand-chose en certificat en SSL et TLS... bah je cherche... pour trouver le problème

Mon fichier config openvpn est des plus classiques sauf que j'ai 3 clés différentes dans ca (blabla1 2 et 3) alors que dans le fichier de config du serveur openvpn du NAS j'en ai qu'une...

A l'origine j'avais 1 probleme d'accès à la box me voici avec un nouveau problème le serveur open VPN du RT :-)

 

Citation

dev tun
tls-client

remote XXXXXX 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2

reneg-sec 0

auth SHA512

cipher AES-256-CBC

auth-user-pass

key-direction 1

explicit-exit-notify
<ca>

-----BEGIN CERTIFICATE-----
blabla 1
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
blabla 2
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
blabla 3
-----END CERTIFICATE-----
</ca>

<tls-auth>

#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
blabla
-----END OpenVPN Static key V1-----
</tls-auth>

 

 

 

 

 

 

[oracle7]

@Nano83

Bonjour,

Supprimes le certificat sur le RT puis importes les fichiers du certificat du NAS que tu auras préalablement exportés depuis le NAS.

Réexportes ensuite ta config OpenVPN pour alimenter ton client VPN.

Cordialement

oracle7😉

[Nano83]

@oracle7 Merci mais j'ai tenté de faire cela hier mais j'ai séché sur quoi mettre dans le certificat intermédiaire donc j'avais rien mis.

Le certificat s'est importé à priori mais en tentant à nouveau de lancer openvpn avec le nouveau fichier config ca marchait pas.

Dans le SRM j'ai mis
 

Citation

 

Clé privée : privkey.pem

Certificat : cert.pem

Certificat intermédiaire: rien

 

Dans l'export du certificat du NAS j'avais:
 

Citation

 

cert.pem

privkey.pem

syno-ca-cert.pem

syno-ca-privkey.pem

 

J'avoue que je suis perdu dans tous ces fichiers....

Faut il mettre plutot les 2 derniers fichiers ?

 

 

[oracle7]

@Nano83

Bonjour,

Essaies alors de rechargé tel que :

Clé privée : privkey.pem

Certificat : cert.pem

Certificat intermédiaire: chain.pem

Cordialement

oracle7😉

[Nano83]

@oracle7question bête, je n'ai pas de fichier chain.pem. dans l'export du certificat du NAS, Je le trouve ou ce fichier ?

Merci

Cordialement

 

[MilesTEG1]

@Nano83 Ton accès au routeur avec le nom de domaine que tu as créé, c'est du direct ? Ou bien ça passe d'abord par le NAS avec un reverseproxy ?

En allant voir dans mon RT, j'ai vu qu'il y avait une MAJ pour VPN Plus Server :

As-tu fait cette mise à jour ?

 

Sinon, j'ai un DDNS de chez Synology sur le routeur avec son certificat dédié. Mais les ports 443 et 80 sont transmis sur le NAS (en plus du port 6690 pour Drive server, aucun autre port n'est transmis au NAS).
Les ports du VPN sont donc ouverts dans le parefeu, voilà ma config de parefeu :

Je n'ai pas besoin d'importer le certificat du NAS dans le RT.
Commence par avoir un VPN fonctionnel depuis internet avec un ndd synology et son certificat (désactive la redirection de port 443 et 80 vers le NAS le temps de la création du ndd, mais normalement ce n'est pas nécessaire avec un ndd synology).

[oracle7]

@MilesTEG1

Bonjour,

Merci pour l'info de MàJ de VPN Plus Serveur, je n'avais pas remarqué qu'elle était disponible.

Cordialement

oracle7😉

@Nano83

Bonjour,

C'est quand même bizarre ton affaire car quand j'exporte le certificat, l'archive.zip générée contient bien les trois fichiers

Clé privée : privkey.pem

Certificat : cert.pem

Certificat intermédiaire: chain.pem

Sinon, plus radical et plus complexe :

Sous SSH tu tapes ces commandes dans un terminal :

cd /usr/syno/etc/certificate/system/default

cp -p ./chain.pem /volume1/mom_dossier_partagé

Ensuite via Win10 tu vas dans ton dossier partagé "mon_dossier_partagé" pour C/C le fichier où tu veux sur ton PC.

Tu édites le fichier avec NotePad.exe par ex et tu supprimes le retour chariot existant en première ligne du fichier. Tu enregistres enfin.

Enfin tu réimportes dans SRM avec les autres fichiers ".pem".

Cordialement

oracle7😉

Modifié le 27 juillet 2021 par oracle7

[Nano83]

@MilesTEG1@oracle7@.Shad.

Merci à tous pour votre support et votre aide.

En effet cette après-midi j'ai vu la maj VPN Plus Server. Je l'ai faite et là en effet le fichier config openvpn n'avait plus 3 clé "blabla" mais 2.

Je viens de faire le test, ca y est le openVPN sur RT1900 fonctionne enfin !!

Donc c’était bien un bug de VPN plus server et du certificat let's Encrypt et pas un bug du truc entre la chaise et le clavier 🙂

Pour revenir au problème initial qui était l'accès impossible au routeur 4G devant le RT1900 via le VPN

En ajoutant les règles dans le firwall du RT des réseaux privés ca y est je me connecte au routeur 4G

Bon dans l'histoire ca se trouve j'avais que ces règles à mettre pour pouvoir acceder au routeur 4G via le VPN du NAS... Je vais tester...

Ce qui me dérange un peu c'est qu'en ajoutant ces règles, je transforme un peu le firewall du RT en passoire.

Autre chose qui me vient à l'esprit, le certificat Let's encrypt n'est valable que 90 jours donc si je ne renouvelle pas avant échéance, plus d'accès VPN si je me trompe pas. Et comme cette config est distante, il faut me mettre un pense bête pour le faire via VPN avant (si c'est ben possible) sinon je perds l'accès...

Maintenant je vais transposer ca sur l'autre réseau avec freebox et RT2600 pour voir si j'arrive au même résultat car dans celui là je n'arrive pas a pinguer la box via le VPN du NAS

 

 

 

 

[MilesTEG1]

il y a 37 minutes, Nano83 a dit :

Ce qui me dérange un peu c'est qu'en ajoutant ces règles, je transforme un peu le firewall du RT en passoire.

Cool que tu aies réussi à faire fonctionner le VPN 👍

Mais ça ne fait pas de ton pare-feu une passoire car les ip que tu autorises ne sont que des ip privées. Enfin peut être pas la 10.0.0.0 qui me semble un peu trop permissive…

je serais toi je les modifierai pour ne laisser que les plages d’ip de ton VPN et des réseaux que tu utilises vraiment.

il y a 38 minutes, Nano83 a dit :

Autre chose qui me vient à l'esprit, le certificat Let's encrypt n'est valable que 90 jours donc si je ne renouvelle pas avant échéance, plus d'accès VPN si je me trompe pas. Et comme cette config est distante, il faut me mettre un pense bête pour le faire via VPN avant (si c'est ben possible) sinon je perds l'accès...

Si tu as suivi ce que j’ai dit pour le certificat LE et le nom de domaine synology, alors le certificat de renouvellera tout seul. Le mien s’est renouvelé récemment sans action de ma part que ce soit sur le routeur ou sur le nas (j’en ai un autre différent sur le nas).

[Nano83]

@MilesTEG1 Oui je vais réduire les plages d'IP, là c’était pour tester. Maintenant que j'ai réussi a faire marcher le VPN sur le RT, je vais pouvoir peaufiner les réglages. Et je garde en tête ta config avec un ndd syno pour pas à avoir à faire la maj du certificat mais j'y vais pas à pas un pb l'un après l'autre 🙂

Sinon le 10.0.0.0/8 est bien un réseau privé selon les critères de la RFC 1918 (je l'utilisais sur le VPN du NAS) Ça n'a plus lieu d’être maintenant.

Encore merci pour ton aide.👍

[MilesTEG1]

Il y a 9 heures, Nano83 a dit :

En ajoutant les règles dans le firwall du RT des réseaux privés ca y est je me connecte au routeur 4G

 

Haa mais ce sont des règles dans le pare-feu du RT ça ?
Si c'est bien le cas, elle ne sont pas utiles, car le pare-feu du RT ne filtre que ce qui vient de l'extérieur par la prise WAN1 (bleue sur mon RT2600ac).

Ces règles pour le LAN et les VPN sont à placer sur le pare-feu du NAS lui-même.
Dans ma capture d'un de mes précédents post, c'est tout ce que j'ai comme règles dans le pare-feu du routeur.

Sinon, afin de remettre mes idées en place, tu as bien le routeur en DMZ de ta box ? 

[oracle7]

@Nano83

Bonjour,

Pour prolonger la dernière question de @MilesTEG1 si ce n'est déjà fait, je t'invite à lire et suivre ce TUTO RT2600AC en DMZ derrière LiveBox4 que tu transposeras aisément à ta Freebox (à l'interface près on retrouve facilement les fonctions avec juste le mode bridge à la place de DMZ).

Cordialement

oracle7😉

[Nano83]

Il y a 13 heures, MilesTEG1 a dit :

Haa mais ce sont des règles dans le pare-feu du RT ça ?
Si c'est bien le cas, elle ne sont pas utiles, car le pare-feu du RT ne filtre que ce qui vient de l'extérieur par la prise WAN1 (bleue sur mon RT2600ac).

Ces règles pour le LAN et les VPN sont à placer sur le pare-feu du NAS lui-même.
Dans ma capture d'un de mes précédents post, c'est tout ce que j'ai comme règles dans le pare-feu du routeur.

Sinon, afin de remettre mes idées en place, tu as bien le routeur en DMZ de ta box ? 

@MilesTEG1Oui ce sont les règles du FW du RT et oui le RT n'est pas en DMZ. Je n'ai voulu l'y mettre pour le moment car comme tu le vois je ne maitrise pas toutes les subtilités du firewall du RT. Je préfère rester derrière la box ou le routeur 4G et jusqu’à présent le double NAT ne m'avait jamais posé de problème.

Normalement un firewall peut marcher dans les deux sens, contrôle du trafic entrant et contrôle du trafic sortant. https://www.frameip.com/firewall/

Sur le NAS ok le firewall fait que tu contrôles entrant et donc tu me dis que le firewall du RT ne fait que le contrôle trafic entrant et pas le sortant ?!?

 

 

Il y a 10 heures, oracle7 a dit :

@Nano83

Bonjour,

Pour prolonger la dernière question de @MilesTEG1 si ce n'est déjà fait, je t'invite à lire et suivre ce TUTO RT2600AC en DMZ derrière LiveBox4 que tu transposeras aisément à ta Freebox (à l'interface près on retrouve facilement les fonctions avec juste le mode bridge à la place de DMZ).

Cordialement

oracle7😉

@oracle7Merci, j'ai vu ce tuto mais pour le moment je ne souhaite pas mettre le RT en DMZ pour les raisons évoquées dans ma réponse à MilesTEG1

et encore moins mettre la freebox en mode bridge tant que le RT ne supporte pas les VLAN et en particulier le VLAN100 du décodeur TV. Enfin si un jour Syno se décide à l’intégrer dans sa version SRM.

 

 

[MilesTEG1]

il y a 11 minutes, Nano83 a dit :

Sur le NAS ok le firewall fait que tu contrôles entrant et donc tu me dis que le firewall du RT ne fait que le contrôle trafic entrant et pas le sortant ?!?

C'est ce j'ai compris des discussion avec @oracle7 , @Einsteinium , @maxou56 et d'autres.
Pourriez-vous confirmer ce que j'ai avancé ?

 

Par contre, pour bloquer le traffic sortant, tu peux passer par ça : 

Par contre, tu bloques ou pas le périphérique, y a pas de personnalisation de port ou autre...

[oracle7]

@Nano83

Bonjour,

il y a 26 minutes, Nano83 a dit :

et encore moins mettre la freebox en mode bridge tant que le RT ne supporte pas les VLAN et en particulier le VLAN100 du décodeur TV.

Pour intégrer un décodeur TV avec le RT2600, je t'invite à lire ce post (il te faudra transposer quelques points mais il y a des schémas à l'appui pour mieux comprendre). Cela marche nickel chez moi. TU as éventuellement juste à investir dans des switchs administrables (qui gèrent au moins les VLAN) si tu ne peux connecter directement le decodeur TV à la box. A toi de voir ...

Cordialement

oracle7😉

[MilesTEG1]

il y a 8 minutes, oracle7 a dit :

Pour intégrer un décodeur TV avec le RT2600, je t'invite à lire ce post (il te faudra transposer quelques points mais il y a des schémas à l'appui pour mieux comprendre). Cela marche nickel chez moi. TU as éventuellement juste à investir dans des switchs administrables (qui gèrent au moins les VLAN) si tu ne peux connecter directement le decodeur TV à la box. A toi de voir ...

Ça fonctionne aussi très bien chez moi 😛 

[maxou56]

il y a une heure, MilesTEG1 a dit :

Pourriez-vous confirmer ce que j'ai avancé ?

On peut créer des règles en sortie.

Il faut choisir une (ou plusieurs) IP du réseau local en IP Source et par exemple mettre tous pour les ports et IP de destination.

Ou l'inverse Tous en IP source et une IP spécifique en IP de destination.

Par exemple 192.168.1.2 n'aura pas accès à internet pour le TCP/UDP mais le ping (ICMP) passe par exemple.

Par exemple le réseau local n'aura pas accées à cette IP spécifique pour le TCP/UDP (ici une IP d'un réseau distant connecté en VPN)

 

Modifié le 28 juillet 2021 par maxou56

[MilesTEG1]

il y a 20 minutes, maxou56 a dit :

On peut créer des règles en sortie.

Il faut choisir une (ou plusieurs) IP du réseau local en IP Source et par exemple mettre tous pour les ports et IP de destination.

Ou l'inverse Tous en IP source et une IP spécifique en IP de destination.

Par exemple 192.168.1.2 n'aura pas accès à internet pour le TCP/UDP mais le ping (ICMP) passe par exemple.

Par exemple le réseau local n'aura pas accées à cette IP spécifique pour le TCP/UDP (ici un IP d'un réseau distant connecté en VPN)

 

Ho pendant que je cherchais les messages cités ci-dessous (m'a fallu un peu de temps pour le retrouver...), tu as édité ton post 😄

 

D'après @Einsteinium il ne sert à rien de mettre des IP LAN dans le parefeu du NAS en ip entrante...
Ou alors j'ai pas tout compris...

[maxou56]

il y a 24 minutes, MilesTEG1 a dit :

il ne sert à rien de mettre des IP LAN dans le parefeu du NAS en ip entrante...

Oui car tous les ports sont ouverts par défaut pour les LAN du routeur, uniquement pour les WAN (WAN, LAN1, 3G/4G, VPN)

Mais ça fonctionne pour la WAN.

Par exemple dans l'exemple du 192.168.1.2, cette machine aura accès au routeur (donc à la LAN, contrairement au pare-feu du NAS par exemple) mais elle ne traversera pas la WAN dans le sens 192.168.1.2 > LAN > Routeur X WAN > Internet...

C'est un exemple et dans ce cas le bannissement est suffisant et plus simple à mettre en place.

C'était juste pour illustrer qu'on peut aussi mettre en place des règles en sortie.

Ou dans l'autre exemple, Réseau local > LAN > Routeur X VPN > 192.168.12.100 mais Réseau local > LAN > Routeur > VPN > 192.168.12.0/24 (sauf pour 192.168.12.100)

Modifié le 28 juillet 2021 par maxou56

[Nano83]

Un petit résumé de la situation à date pour mes helpers @MilesTEG1@oracle7@maxou56@.Shad. merci à eux et aussi pour celui qui tombera sur ce fil et qui était dans la même situation que moi.

Pour mémoire mes réseaux

reseau 1 : routeur4G (192.168.2.1/24) -> 192.168.2.10/24 (WAN) RT1900 192.168.1.1/24 (LAN) -> NAS 192.168.1.82

reseau 2: freebox ->RT 2600 -> NAS

pas de RT en DMZ sur aucun des réseaux

Problématique: accès au routeur 4G ou freebox devant RT via VPN open VPN

Statut: j'ai dupliqué a distance sur le reseau 2 ce qui suit et ca marche sur les deux reseaux maintenant.

Les étapes:

1/ opération transfert du serveur openVPN du NAS vers RT ok fonctionnel hier suite a upgrade du packet VPN Server plus (bug lets encrypt)

2/ accès depuis le LAN  au routeur4G via le RT a tjs fonctionné et fonctionne toujours sans règle dans le firewall du RT. Ceci est nomal car le trafic sortant du LAN (192.168.1.0/24) du RT est autorisé par défaut et confirmé par maxou56

3/ accès depuis le VPN (192.168.0.0/24) sur RT au routeur 4G 192.168.02.1/24 désormais ok si et seulement si j'ajoute cette règle dans le firewall du RT

1ere remarque si le serveur openVPN est sur le NAS ca ne marchait pas avec cette règle sur le RT... étrange

2eme remarque si je n'active pas cette règle, je n'ai pas accès en VPN au routeur 4G et je plus étonnant je n'ai pas accès au RT en 192.168.1.1/24 mais j'ai accès aux autres éléments du LAN comme le NAS, PC etc...

3eme remarque si j'ai bien compris le firwall,

cette règle autorise tous les réseaux prives IP source (192.168.0.0/16) et ports: tous extérieurs au RT à rentrer sur le RT (WAN) et accéder à n'importe quel IP réseau et ports derrière le RT (destination tous, ports tous)

4eme remarque le firewall du RT peut bloquer du trafic entrant et sortant selon la règle

une IP source extérieure au LAN du RT et une IP destination du LAN du RT va créer une règle de trafic entrant

à l'inverse

une IP source du LAN du RT et une IP destination extérieure au LAN du RT va creer une règle de trafic sortant

A noter qu'il est plus normal de travailler sur le trafic entrant dans les règles du firewall et plutôt bloquer le trafic sortant avec Safe Access (contrôle parental) ou éventuellement Threat prevention

Reste a faire:

le problème de l'accès aux différents éléments RT,NAS, etc... en https. Malgré mon beau certificat EN tout neuf, j'ai pas encore compris comment faire pour avoir mon petit cadenas sur le navigateur. 😞

Comprendre les fichiers .pem ca cert clé privée etc... :-S

Les prochains chantiers soulevés par vos commentaires sur ce fil:

Passer sur un DDNS syno pour éviter un renouvellement manuel du certificat tous les 90 jours

Le RT en DMZ une fois maitrise de son firewall

mode brige et ou VLAN via switch administrable (j'ai) pour la freebox et box TV

 

Voila encore du taff et des prises de tête mais au moins j'avance et j'suis un peu moins bête que la veille 🙂

 

 

 

 

 

 

[oracle7]

@Nano83

Bonjour,

Excellent récapitulatif !

Juste pour comprendre, tu confirmes que c'est toi pour le VPN OpenVPN sur le RT, qui a modifié le sous-réseau par défaut (10.8.0.0) par 192.168.0.0 dans la section "Objet" ?

Si oui alors je comprend mieux l'ajout de la règle dans le pare-feu pour autoriser tout flux ayant une @IP du sous-réseau 192.168.0.0 pour permettre d'atteindre un sous-réseau en 192.168.2.0 (celui du Routeur 4G). Mais à mon humble avis ce n'était peut-être pas utile car si dans la configuration OpenVPN dans VPN Plus Server, tu avais simplement coché la case "Autoriser aux clients l'accès au serveur LAN" cela le faisait aussi. Ainsi sauf erreur de ma part, une fois connecté en VPN (OpenVPN) on se retrouve directement sur le LAN du RT et via sa passerelle on peut remonter au LAN sur le quel il est lui même connecté.

Sinon, manifestement tu as encore tu taf à réaliser, bon courage...

Cordialement

oracle7😉