Lorsque je tente de me connecter sur le Mac en L2TP/IPSec, j'ai droit au message "Echec de l'authentification" alors que j'ai vérifié le nom de l'utilisateur admin, son mot de passe de session et la clé pré-partagée qui ne comporte que des caractères ASCII. Cet utilisateur (moi) a le privilège d'ouvrir une session L2TP/IPSec au niveau de VPN Server.

Il n'y a rien de particulier concernant les sessions VPN dans auth.log.

Le port 1701 est bloqué par le firewall de la box. Le résultat d'un tcdump effectué lors d'une tentative de connexion montre que les ports 500 et 4500 sont bien transférés par la box. Mais alors que faire ?

PS : Concernant le port 80 du firewall, le site Web est "Under Construction" et n'est donc accessible qu'en local. La règle "Tous" est appliquée lors du renouvellement du certificat Let's Encrypt.

Quelques tests à effectuer :

• Transférer le port 1701 également depuis la box vers le NAS (je sais bien que ce n'est normalement pas nécessaire, mais vu le nombre de retours depuis DSM 7 sur des problèmes avec L2TP, il faut essayer d'autres choses).
• Est-ce que tu peux essayer de te connecter sans définir de clé partagée ?

Merci @.Shad.. Je vais essayer les tests et faire part des résultats.

Modifié le 18 septembre 20214 a par CyberFr
Je suis sous DSM 6

J'ai débloqué le port 1701 dans le firewall de la box sans résultat, j'ai toujours droit au même message lors d'une tentative de connexion.

VPN Server refuse que la clé pré-partagée ne soit pas renseignée, il est impossible de valider la modification. Coté Mac, c'est pareil, il accepte soi-disant de valider l'opération avec une clé à blanc mais lorsqu'on affiche à nouveau le panneau de configuration, la clé est toujours là...

Il faudra peut-être que j'envisage de passer à OpenVPN mais ce serait dommage.

Modifié le 18 septembre 20214 a par CyberFr

Je vais tester du week-end de mettre en place L2TP sur mon NAS pour le test. Modulo le fait que je n'ai pas de client Apple à disposition.

Je continue de tester, un peu à l'aveugle mais ça peut passer sur un malentendu 🙂 Merci encore @.Shad..

J'ai ajouté un VPN en L2TP sur mon iPhone ... et ça marche. J'ai pu me connecter et surfer. Le problème est donc sur le réseau local, du Mac vers le NAS.

J'ai mis en place L2TP, j'arrive à me connecter à distance et en local (pas grand intérêt en local) avec Android et Windows.
Il faudrait peut-être voir avec quelqu'un qui a un Mac.

Cependant j'ai trouvé une option qui débloque certaines personnes qui n'arrivent pas à se connecter depuis le passage à DSM 7 :

cd /var/packages/VPNCenter/target/etc/raddb/modules
nano mschap_ad

Et tu ajoutes --allow-mschapv2 entre --request-nt-key et --username=%{%{Stripped-User-Name}:-%{User-Name:-None}}, ce qui donne :

mschap mschap_ad {
        ntlm_auth = "/usr/local/bin/ntlm_auth --request-nt-key --allow-mschapv2 --username=%{%{Stripped-User-Name}:-%{User-Name:-None}} --challenge=%{mschap:Challenge:-00} --nt-response=%{>
        with_ntdomain_hack = yes
}

 

J'ai fait la modif mais j'ai décidément droit au message "Erreur d'authentification". Au passage, je suis sous macOS Mojave 10.14 et j'ai testé la connexion VPN avec Big Sur, la dernière version de macOS et ça coince aussi.

Je ne sais pas si tu fais du double NAT (Box -> NAT -> Routeur -> NAT -> NAS), mais d'expérience L2TP n'aime pas trop trop ce type de configuration.
Si ton routeur est dans la DMZ de ta box c'est plus facile pour L2TP.

Je n'ai pas (encore ?) de routeur. C'est la box qui fait office de routeur, j'ai donc une seule règle NAT (Box -> NAS) sur les ports ouverts dans le pare-feu du NAS.

Ultime tentative, j'ai coupé le service Ethernet de la box sur le Mac, la box restant bien entendu en service. J'ai connecté le Mac au WI-FI du smartphone afin de ne plus être sur le réseau local. J'ai toujours droit au message "Echec de l'authentification" alors que j'ai vérifié le MDP de session et la clé secrète un million de fois !!!

Sur les captures d'écran l'Ethernet est connecté mais il ne l'était pas lors des tests, seul le WI-FI était activé.

Bon, je jette l'éponge parce que si je ne peux pas me connecter au VPN depuis l'extérieur, sur un réseau WI-FI public par exemple, je suis bien avancé.

@CyberFr

Bonjour,

A tout hasard, ton mot de passe ne comporterait-il pas des caractères spéciaux ? Ils peuvent-être la cause de tes problèmes ... Maintenant ce que j'en dis ....

Cordialement

oracle7😉

@oracle7,

Merci de me venir en aide.

Mon mot de passe de session comporte des caractères non ASCII mais la clé secrète ne comporte que des caractères a-z, A-Z  et 0-9. Je ne comprends pas pourquoi la connexion s'effectue sous iOS mais pas sur le Mac qu'il soit sur le réseau local ou pas.

@CyberFr

Bonjour,

il y a 3 minutes, CyberFr a dit :

Mon mot de passe de session comporte des caractères non ASCII

C'est ce dont je me doutais un peu, du coup si j'étais toi je modifierais le mot passe pour faire comme pour la clé secrète, n'utiliser que des caractères ascii a-z, A-Z  et 0-9. Cela ne te coûte rien d'essayer ...

On croit généralement bien faire en ajoutant des caractères spéciaux à ses identifiants/mots de passe et certes humainement cela semble plus difficile à lire(et à se souvenir) mais informatiquement parlant cela n'amène aucune complexité supplémentaire mais plutôt des problèmes car souvent ces caractères spéciaux sont des caractères réservés du système d'exploitation et du coup les interpréteurs de commandes s'y perdent. De plus cryptographiquement parlant un caractère dit spécial n'apporte qu'un bit supplémentaire alors qu'ajouter tout simplement un caractère standard (Majuscule ou minuscule ou chiffre) en apporte onze, ce qui rallonge drastiquement le temps de déchiffrement pour un malveillant.

Moralité, les identifiants et surtout les mots de passe, pour être efficaces doivent être très long (au moins > 12 caractères avec que des majuscules ou minuscules ou chiffres).

Cordialement

oracle7😉

 

 

@oracle7, je vais suivre ton conseil et reviendrai ici pour faire un retour d'expérience. Merci.

Dans mes bras @oracle7 😇

J'ai modifié le mot de passe de session en suivant tes conseils et ça marche !!! Cela faisait des jours que je m'arrachais les cheveux et que je n'arrivais plus à dormir la nuit. à cause de ce problème. Un grand merci également à @.Shad. pour son aide.

Dernière chose tant qu'on y est, je n'ai pas bien compris la subtilité qui se cache derrière le fait d'envoyer tout le trafic sur la connexion VPN ou pas. Mais là, j'ai le temps.

@CyberFr

Bonjour,

Bon bah c'est très bien, content pour toi, comme quoi c'est souvent un chose toute bête qui nous cause tous un tas de tracas ...🤣

Cordialement

oracle7😉