Connexion VPN d'un nas de backup à mon réseau local

[_DR64_]

Bonjour les loulous,

Depuis maintenant quelques jours, j'essaye de connecter un 3e NAS à mon réseau local en OpenVPN via VPN Plus Server présent sur mon RT2600ac.
L'idée est de faire régulièrement des backup des 2 NAS présents chez moi et ce, dans les 2 sens.

Je souhaite pouvoir joindre ce 3e NAS depuis n'importe où via le reverse proxy en place sur mon NAS principal mais sans ouvrir de port sur la box distante. (d'où le VPN)

Peut-on réserver une adresse IP obtenue par VPN?

@oracle7, peut-être à tu déjà fais cette mise en place ?

Dans l'attente de vous lire.

Merci.

[oracle7]

@GrOoT64

Bonjour,

il y a 35 minutes, GrOoT64 a dit :

Peut-on réserver une adresse IP obtenue par VPN?

Pas à ma connaissance.

Par contre, pourquoi dans ce cas vouloir utiliser OpenVPN ?

Tu sais sans doute que tu as aussi la possibilité de passer par le "Site-to-Site" qui me semble bien plus indiqué pour faire ce que tu souhaites. Je ne le met pas en œuvre personnellement (pas encore du moins) mais je t'invite à lire la doc en ligne tu devrais y trouver déjà pas mal de réponses.

Bien évidemment, ce type de solution suppose que tu ais sur chaque site un routeur Synology avec VPN Plus Server d'installé.

Cordialement

oracle7😉

[.Shad.]

Ca s'appelle les "client specific overrides", il faut éditer en SSH le fichier de configuration du serveur et créer un certificat pour le client, puis de dire que le client utilisant ce nom d'hôte va recevoir du serveur une IP prédéterminée via "ifconfig-push".

Voir par exemple : https://kifarunix.com/assign-static-ip-addresses-for-openvpn-clients/

Donc en gros, je te propose d'oublier de faire ça sur SRM. 😄 

Maintenant, je crois que ça ne sera jamais répété suffisamment, quand on veut commencer à jouer avec des réglages un peu avancés de ce style, on n'utilise pas un RT, qui ne vaut pas beaucoup mieux qu'un bête TP-Link en terme de fonctionnalités.

Sur pfSense (ou autre firewall) c'est 3 clics via une GUI.

Modifié le 12 août 2021 par .Shad.

[_DR64_]

Il y a 1 heure, oracle7 a dit :

tu as aussi la possibilité de passer par le "Site-to-Site" qui me semble bien plus indiqué pour faire ce que tu souhaites.

Bonjour @oracle7,
merci pour ton retour.
J'ai effectivement un MR2200ac MAIS j'aimerai le garder dans ma future maison pour une extension du wifi. A voir peut-être pour en racheter un 3e… (on est plus à ça près) lol
J'ai essayé cette configuration hier.
J'ai créé un réseau local sur le MR2200ac en 192.168.65.0 et chez moi en 192.168.64.0. 
J'ai connecté mon 3e NAS derrière le MR et je le choppe de chez moi MAIS la configuration semble allergique au NETBIOS ou encore au reverse proxy...
Plus étonnant encore, de chez moi j'arrive à joindre le NAS mais pas le routeur distant c'est quand même original car c'est le routeur qui est la passerelle VPN du NAS!

Bonjour @.Shad.,
Merci également pour ton retour.
J'essaye de me débrouiller avec des équipements que je possède déjà pour le moment 🙂 
On va déjà voir ce que j'arrive à faire avec ça et si je n'arrive pas à configurer, je verrais à acheter autre chose 😄 
 

[oracle7]

@GrOoT64

Bonjour,

il y a 8 minutes, GrOoT64 a dit :

Plus étonnant encore, de chez moi j'arrive à joindre le NAS mais pas le routeur distant c'est quand même original car c'est le routeur qui est la passerelle VPN du NAS!

Avec une URL telle que  https://srm.ndd.tld 443 HTTP/2 --> HTTPS://@IPexterneRouteurDistant 5001  Cela ne marche pas ?

Cordialement

oracle7😉

[_DR64_]

Non cela ne fonctionne pas. Je n'arrive même pas à pinguer
Je viens de retirer le MR2200ac là. 
Je me connecte en brut ^^
 

[oracle7]

@GrOoT64

Bonjour,

Oups, Je me suis trompé, dans l'URL précédente il fallait mettre le port 8001 pour le RT et pas 5001 qui est celui pour les NAS. Désolé ...🤭

Ton MR2200ac est bien sur le site distant O/N ? Si Oui, il est derrière une box, O/N ?  Si Oui, est-ce que au moins tu ping l'@IPexterne de cette box ? Si Oui,  essaies provisoirement de transférer le port 8000 de la box vers le RT. Vérifies aussi le pare-feu de cette box.

Cordialement

oracle7😉

 

[_DR64_]

Il y a 16 heures, oracle7 a dit :

Ton MR2200ac est bien sur le site distant O/N ?

Non, ma config est conforme à ma signature. 
Le MR, je l'avais déplacé avant hier juste pour essayer.

[_DR64_]

J'ai réussi à joindre les 2 routeurs entre eux mais pas à faire ce que je voulais.
La nouvelle config distante est classique : Box, NAS 

Il y a juste un petit truc qui me turlupine :

Je n'ai pas d'IP fixe sur mon réseau distant.
J'ai donc mis en place en DynDNS OVH sur le NAS3.

Sachant que dans mon serveur DNS local j'ai un enregistrement CNAME en *.ndd.tld = ndd.tld et que le NAS3 est joignable par NAS3.ndd.tld
Comment faire pour que le serveur DNS me fasse pointer le NAS3 par son IP distante ?
Pour le moment l'ip du NAS3 est en dure dans mon serveur DNS

En gros, si je tape dans HyperBackup du NAS1 : nas3.ndd.tld, il vient forcément taper sur ndd.tld DONC, la mauvaise @IP !

Je me réveille juste, j'espère que c'est français et compéhensible lol

[.Shad.]

il y a 19 minutes, GrOoT64 a dit :

Je me réveille juste, j'espère que c'est français et compéhensible lol

Je confirme que c'est chaud. 😄

il y a 26 minutes, GrOoT64 a dit :

Comment faire pour que le serveur DNS me fasse pointer le NAS3 par son IP distante ?

il y a 26 minutes, GrOoT64 a dit :

La nouvelle config distante est classique : Box, NAS 

Du coup pas de VPN entre les deux ?
Si c'est le cas pourquoi ajouter un enregistrement nas3.ndd.tld dans ta zone locale si tu passes par une IP publique via ton Dynhost ? 🤔

[_DR64_]

Il y a 1 heure, .Shad. a dit :

Du coup pas de VPN entre les deux ?
Si c'est le cas pourquoi ajouter un enregistrement nas3.ndd.tld dans ta zone locale si tu passes par une IP publique via ton Dynhost ? 🤔

Bah non je n'ai pas réussi à configurer tout ça... (pour le moment en tout cas.
Ma zone locale a l'enregistrement wildcard *.ndd.tld de ce fait, quand je tape chez moi : nas3.ndd.tld bah ça pointe vers chez moi et non pas vers le NAS3
La question est "comment dire à mon serveur DNS de ne pas s'occuper de nas3.ndd.tld ?

OU :
J'arrive à configurer NAS3 en VPN pour que NAS1 et NAS2 se sauvegardent dessus. Mais j'y arrive pas lol

[.Shad.]

il y a 40 minutes, GrOoT64 a dit :

Ma zone locale a l'enregistrement wildcard *.ndd.tld de ce fait, quand je tape chez moi : nas3.ndd.tld bah ça pointe vers chez moi et non pas vers le NAS3
La question est "comment dire à mon serveur DNS de ne pas s'occuper de nas3.ndd.tld ?

Ok je comprends mieux ton problème, tu peux essayer de créer un alias intermédiaire dans ta zone locale :

dynhost-nas3.ndd.tld.         CNAME         nas3.ndd.tld.

Et voir si ça amène bien à ton dynhost pour NAS3 (que j'imagine être nas3.ndd.tld ?), je n'ai jamais essayé ce genre de chose donc je ne garantis rien.

Le problème c'est que tu interroges directement la zone qui fait autorité sur ce domaine, donc si la zone n'est pas capable de répondre, elle refusera normalement de transférer la requête. Alors certes c'est localement, sauf que la zone n'en a aucune conscience, elle est sensée répondre à toutes les requêtes pour ce nom de domaine, car elle est un serveur de nom.

Tu comprends ?

Si tu utilises un nom de domaine Synology pour joindre NAS3 tu n'auras plus de problème.

Modifié le 13 août 2021 par .Shad.

[oracle7]

@GrOoT64

Bonjour,

Voilà en vrac quelques pistes qui valent ce qu'elles valent et en espérant ne pas te dire de co...ies ...🤪

1. Donc en supposant que tu définisses sur ton NAS3 un DDNS dans DSM qui fasse pointer ton @IPexterne du NAS3 distant (site2) sur un domaine nommé par exemple nas3.synology.me (bien évidemment, il faudra aussi créer sur le NAS3 un certificat LE pour nas3.synology.me).
2. A vérifier, mais de mémoire il me semble bien que chez OVH (dans la section "redirection" de ton domaine) tu peux indiquer une redirection du genre : nas3.ndd.tld vers nas3.synology.me.
   Ainsi en externe, en tapant nas3.nddt.tld tu devrais pouvoir atteindre simplement ton NAS3 sur le site 2.
3. Dans la zone DNS locale du NAS principal tu mets un enregistrement du type : nas3.ndd.tld   A   nas3.synology.me.

Autre possibilité, dans le reverse proxy de ton NAS principal (site 1) tu crées une redirection du type : https://nas3.ndd.tld 443 http/2 ---> https://nas3.synology.me 5001.

Pour les sauvegardes, à vérifier que Hyperbackup accepte bien nas3.ndd.tld comme @ de destination (qui en fait devrait se substituer automatiquement à nas3.synology.me , mais je suis moins sûr ...).

Cordialement

oracle7😉

 

[_DR64_]

Bonjour, 
Merci pour vos retours.

Je me suis offert ce matin 2 nouveaux domaines OVH.
Je pars à la plage là.
La suite demain 🙂

[oracle7]

@GrOoT64

Bonjour,

Bah là pour le coup, tu ne devrais plus avoir de problèmes, les choses seront claires des deux cotés ...🤗

Cordialement

oracle7😉