1 VPN pour les contrôler tous...

[Antonio21]

Hello,

je possède 2 DS920+ installés et configurés sur 2 lieux/sites différents.

1 Nas (N1) principal et 1 Nas (N2) de backup du Nas principal.

VPN Server est configuré sur N1 en OpenVPN et N2 se connecte à N2 via OpenVPN (dans le panneau de config / Réséau).

Actuellement pour configurer et effectuer la maintenance de N2 qui se trouve sur une autre localisation géographique je dois demander à une personne personne dans ce lieu d’entamer une prise de contrôle de l'ordinateur à distance (via un logiciel) ce qui me permet via un browser d'accéder à l'IP locale de N2 et donc d'y accéder.

J'aimerai cependant savoir comment accéder à N2 à partir de la localisation de N1 sans devoir utiliser de logiciel de prise de contrôle à distance et de demander à quelqu'un de lancer ce soft pour y accéder en local.

Etant donné que OpenVPN est configuré, fonctionnel et connecté cela devrait pouvoir fonctionner ? Mais je n'arrive pas à comprendre comment faire...

Merci d'avance pour votre aide et vos conseils.

Bonne soirée.

 

[oracle7]

@Antonio21

Bonjour,

Je serais tenté de te dire tout simplement qu'il faut que tu installes VPN Serveur sur N2 et tu te connectes depuis N1 à N2 en OpenVPN comme tu le fait actuellement avec N2 vers N1, mais dans l'autre sens. Cette fois c'est N2 qui supporterait VPN Serveur et N1 qui serait le client. Ainsi tu n'auras besoin de la personne distante que pour configurer cela, ensuite tu seras autonome.

Cordialement

oracle7😉

[Zorineau]

Je ne suis pas sur d'aider (en tout cas pas pour OpenVPN en tant que tel) mais au cas où je partage 😛

Je suis passé a TailScale sur mes NAS. Chaque NAS est client ET serveur. ça s'appuie sur du WireGuard si j'ai bien compris.

Du coup en ajoutant un PC sur le groupe TailScale tu as un accès complet aux 2 NAS directement.

[Mic13710]

Le concept de Tailscale est très attractif. Il faut simplement accepter de passer par des serveurs tiers sur lesquels on laisse des infos et qui gère tout le trafic. Ca va à l'encontre d'une certaine indépendance. Perso, je n'adhère pas.

[Zorineau]

Il faut que je prenne du temps pour voir comment implémenter WireGuard sans Tailscale.
mais j'avoue que dans un premier temps c'est trop facile pour y resister pour moi 😛 

[oracle7]

@Zorineau

Bonjour,

Je n'ai pas évoqué cette solution Tailscale car pour moi, et je rejoins totalement @Mic13710 dans son propos, si on utilise son propre VPN (pas celui d'un tiers) c'est bien pour s'isoler de l'extérieur et être indépendant. Certes, cette indépendance nous impose quelques contraintes de configuration et je conçois aisément que l'on ne veuille pas ou que l'on n'ai pas les moyens de les mettre œuvre, mais c'est un prix que j'accepte volontiers de payer !😆 Le jeu en vaut largement la chandelle, non ?

Cordialement

oracle7😉

Modifié le 8 septembre 2021 par oracle7

[Mic13710]

Il y a 3 heures, Zorineau a dit :

Il faut que je prenne du temps pour voir comment implémenter WireGuard sans Tailscale.

https://github.com/runfalk/synology-wireguard

En cherchant un peu, vous en trouverez aussi sous Docker

[Zorineau]

@Mic13710  @oracle7 Merci pour vos retours ^^ 

[Antonio21]

Merci je vais essayer et vous dire si cela fonctionne bien 🙂

Bonne journée.

[.Shad.]

Le VPN site-à-site est une solution évidemment. Tu peux également envisager un petit conteneur xRDP (implémentation Linux du RDP Windows) pour te connecter à N2, et ca ne nécessite l'intervention de personne. Ça évite également de donner à tous les périphériques du réseau local de N1 au N2.

[Antonio21]

Je viens d'essayer de configurer et d'activer vpn server sur N2 en openVPN et cela ne fonctionne pas. (cf screenshot en pj).

Du coup j'essaie de configurer en VPN L2TP/IPsec (VPN server sur N2 et création d'une connexion L2TP/IPsec dans l'onglet "Interface réseau" sur N1)

Cf résultat de l'essai de connexion en L2TP/IPsec en screenshot ci-joint.

Comment connaître/trouver l'adresse IP de N2 pour la connexion en VPN ? Sur VPN server cela me donne IP dynamique 10.2.0.0 ?

 

il y a une heure, .Shad. a dit :

Le VPN site-à-site est une solution évidemment. Tu peux également envisager un petit conteneur xRDP (implémentation Linux du RDP Windows) pour te connecter à N2, et ca ne nécessite l'intervention de personne. Ça évite également de donner à tous les périphériques du réseau local de N1 au N2.

Merci. Comment faut-il procéder svp pour faire cette manip ?

 

Modifié le 9 septembre 2021 par Antonio21

[.Shad.]

Je te répondrai d'ici ce week-end, si tu n'as pas trouvé de solution, ça demande quelques explications. 😉

[Antonio21]

il y a 19 minutes, .Shad. a dit :

Je te répondrai d'ici ce week-end, si tu n'as pas trouvé de solution, ça demande quelques explications. 😉

Merci 🙂

D'ici là je rajoute quelques infos pour gagner du temps dans la réflexion.

J'ai, à priori, bien effectué les différentes ouvertures de port sur N2 (cf screens) sur la box sfr fibre et le NAS.

Modifié le 9 septembre 2021 par Antonio21

[oracle7]

@Antonio21

Bonjour,

Une petite précision par rapport à ma proposition d'installer VPN Serveur sur N2. En fait, j'avais omis de te dire qu'un NAS ne peut être à la fois Serveur et Client avec le protocole OpenVPN. Cela ne marche pas.

Donc il te faut par exemple :

• utiliser OpenVPN dans le sens N1 vers N2 càd N1 client et N2 serveur,
• ET
• utiliser L2PT/IpSec dans le sens N2 vers N1 càd N2 client et N1 Serveur.

Bien entendu tu auras tout de même installé VPN Serveur sur chacun des NAS N1 ET N2.

Sauf erreur de ma part, saches que le package VPN Serveur sur un NAS n'implémente pas la fonctionnalité "Site-to-Site VPN" comme le fait UNIQUEMENT le package VPN Plus Server sur un routeur Synology tel que le RT2600ac ou le RT2200ac.

Cordialement

oracle7😉

[Antonio21]

merci pour cette info 🙂

De mon côté j'ai résolu en activant VPN L2PT/IPsec sur N2 et en créant une connexion L2PT/IPsec sur N1 pour me connecter à N2. Je n'arrivais pas à me connecter car je mettais 10.2.0.0 au lieu de l'adresse IP PUBLIQUE de N2 et en conséquence cela ne pouvait pas se connecter...

CEPENDANT... Car rien n'est simple, évidement, je n'arrive pas à accéder à N2 via mon browser en tapant soit 10.2.0.1 (qui est l'IP qui apparait dans la connexion réseau distante une fois qu'elle a été bien connectée) soit l'IP locale de N2 (192.168.1.xx).

Comment faire donc pour accéder à la page de ID et mot de passe qui me permet de rentrer dans le DSM de N2 ???

 

[oracle7]

@Antonio21

Bonjour,

Sauf erreur de ma part, normalement dés que la connexion VPN est établie, tu te retrouves comme si tu étais sur le réseau local de la machine distante.

Alors pour te connecter à N2 un simple @IPlocaleN2:5000 ou @IPlocaleN2:5001 (192.168.1.x:5000 ou 192.168.1.x:5001) devrait te permettre d'accéder à DSM de N2 depuis N1, non ?

Cordialement

oracle7😉

[Antonio21]

Ah ok, depuis N1 et non depuis l'ordinateur que j'utilise pour me connecter à N1 c'est ça ?

Du coup où rentrer @IPlocaleN2:5000 ou @IPlocaleN2:5001 (192.168.1.x:5000 ou 192.168.1.x:5001) sur le DSM de N1 stp ?

Info supplémentaire j'ai consulté le journal et j'ai trouvé cette erreur qui arrive toute les minutes (cf screen)

[oracle7]

@Antonio21

Bonjour,

1. Juste pour ta gouverne, dans tes réponses, il n'est pas nécessaire de re citer le post précédant dans sa totalité, ce serait bien que tu ne cites que la partie à la quelle tu réponds, cela surcharge moins les posts et ils sont plus faciles à lire. Merci.

2. Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait).

3. il y a 4 minutes, Antonio21 a dit :

   Ah ok, depuis N1 et non depuis l'ordinateur que j'utilise pour me connecter à N1 c'est ça ?

   Du coup où rentrer @IPlocaleN2:5000 ou @IPlocaleN2:5001 (192.168.1.x:5000 ou 192.168.1.x:5001) sur le DSM de N1 stp ?

   En fait, cela dépend du client VPN que tu utilises pour te connecté à N2.
      - Si c'est ton PC/Mac local coté N1 tu tapes comme URL dans un navigateur Web 192.168.1.x:5000(5001).
      - Si c'est ton NAS alors regardes ceci via la création d'un profil VPN.
   Enfin tu peux consulter la FAQ Synology ici qui te donnera aussi des réponses intéressantes.
   Dans tous les cas évites le protocole PPTP qui est très loin d'être sécure.

Cordialement

oracle7😉

[Antonio21]

Ok merci et désolé pour les citations 😕

[Antonio21]

Je n'arrive toujours pas à accéder à N2 (configuré avec VPN SERVER en L2PT/IPsec).

La connexion côté client (sur N1) est pourtant bien établie (sur l'onglet Panneau de configuration/Réseau/interface réseau de N1) et me donne une IP : 10.2.0.1.

A partir de là, je n'ai pas compris comment accéder à N2 quand je suis sur le DSM de N1 car je n'ai pas de Navigateur/Browser sur mon NAS pour entrer l'IP de N2.

 

[oracle7]

 @Antonio21

Bonjour,

1. Je t'invite à reprendre scrupuleusement ce TUTO pour t'assurer de la configuration avec L2TP/IpSec. Vérifies bien que tu as bien fait les quatre actions rappelées à la fin de la partie L2TP.
2. Avec L2TP/IpSec, le NAS est à @IP : 10.2.0.0 et pas 10.2.0.1. C'est une particularité !!! Par ailleurs tu as du me lire en diagonale car je t'ai dis pour accéder à N2 quand tu es sur le DSM de N1 :

   Citation

   - Si c'est ton NAS alors regardes ceci via la création d'un profil VPN.

   
   As-t aussi activé le debug dans le fichier /var/packages/VPNCenter/etc/l2tp/ipsec.conf (accessible via une connexion SSH dans un terminal) comme c'est préconisé dans la partie "Que faire si cela ne marche pas ?" ?
   
   N'oublies pas non plus la partie "Configurations des clients".

Cordialement

oracle7😉

[.Shad.]

Je ne suis pas sûr de comprendre.
Est-ce que juste laisser le serveur sur N1, et te connecter avec le client depuis N2 et depuis ton PC n'est pas suffisant ?
Si tu coches l'option tu peux autoriser la discussion entre clients VPN.

[Antonio21]

Je vous avoue qu'à ce stade je suis complètement perdu...

J'ai suivi scrupuleusement toutes les indications du tuto :

- Le serveur est actif dans VPN server et la connexion est active dans l'accès réseau distance créé en L2TP

- la clé de secret pré partagée est crée

- Les ports sont ouverts sur le NAS (ainsi que le VPN) et ouverts sur le routeur SFR Fibre à part le 1701.

- Les permissions ont été accordées au maximum pour le compte qui se connecte

concernant l'activation du debug dans le fichier /var/packages/VPNCenter/etc/l2tp/ipsec.conf je ne sais pas utiliser terminal et comment faire pour y accéder pour activer l'option.

Quand je tente de configurer l'accès VPN L2TP sur mon mac : "Echec de l'authentification" alors que sur le NAS il se connecte... C'est donc un problème d'authentification ? Mais les ID et pass sont corrects pourtant, je ne fais que des copié/collé.

 

 

Il y a 9 heures, .Shad. a dit :

Je ne suis pas sûr de comprendre.
Est-ce que juste laisser le serveur sur N1, et te connecter avec le client depuis N2 et depuis ton PC n'est pas suffisant ?
Si tu coches l'option tu peux autoriser la discussion entre clients VPN.

@.Shad. Je n'ai pas accès physiquement à N2, d'où ma nécessité de pouvoir établir une connexion VPN afin de le configurer sans devoir demander à chaque fois à quelqu'un de lancer une session distante. Et la VPN L2TP se déconnecte en permanence, une fois déconnectée étant donné que je ne suis pas là bas je n'est pas la possibilité de la reconnecter car l'option "reconnecter après une déconnexion" ne fonctionne pas".

Où se trouve l'option "discussion entre clients VPN" stp ?

[Zorineau]

@Antonio21 J'ai bien compris que TailScale c'est le mal 😉 mais a ce stade il te permettrais déjà d'avoir la main en permanence sur ton N2 depuis un PC pour l'administration et le debug sur ton lien VPN principal sans avoir a solliciter qq1 sur site.

a virer donc une fois que tout est fonctionnel ^^

Après a la relecture, tu avait un lien VPN fonctionnel entre N1 et N2 au début du post. Es-tu capable de revenir à cet état ?
Quand ce lien est monté, si je ne dit pas de bétise, pour accéder a N2 depuis un PC n'importe ou (même chez toi ou il y a N1) il faudra d'abord que tu connectes ton PC au même VPN. car ce n'est pas un VPN site a site que tu as monté mais un VPN Server et une client. il te faut donc un autre client pour rentrer dans la zone du VPN sur un PC.

EDIT :  j'arrive après la bataille je n'avais pas tout lu, c'est le propos de @.Shad. ^^

Modifié le 10 septembre 2021 par Zorineau

[oracle7]

 @Antonio21

Bonjour,

il y a 7 minutes, Antonio21 a dit :

C'est donc un problème d'authentification ? Mais les ID et pass sont corrects pourtant, je ne fais que des copié/collé.

Si tu fais que de C/C, c'est possible que ce soit là le problème car en faisant le C/C tu prends peut-être en plus sans le voir un (ou des) caractère(s) invisible(s) (souvent c'est un retour chariot ou une fin de ligne) qui fait que ton Id et/ou MdP ne correspond plus. Solution radicale : prendre le temps de les saisir à la "main". Désolé mais je ne peux pas de te dire mieux.

Pour le Terminal sur MAC, je n'ai pas de Mac mais je sais que c'est une fonctionnalité "standard" sur ce type de machine. Du coup, explores tes menus tu le trouveras sûrement. Après, si tu ne sais pas l'utiliser, il te faut alors apprendre le minimum vital concernant l'usage des commandes Shell UNIX/LINUX de base (Pour mémoire, DSM est basé sur LINUX). Tu trouveras sur la toile tout ce qu'il te faut pour bien démarrer à ce niveau.

Cordialement

oracle7😉