Proxy inversé avec contrôle d'accès

[CyberFr]

il y a 7 minutes, Jeff777 a dit :

Si tu avais bien relu le tuto tu aurais trouvé tout seul 

Ah ben là tu es vache ! 🙂

Dans le tuto, il est indiqué :

Citation

Pour chaque application, il faut renseigner :
   - la source (nom du sous-domaine, protocole (HTTPS) et port (443))
   - la destination (nom d'hôte (localhost quand l'appli est sur le NAS, IP s'il s'agit d'un autre élément du réseau), protocole (HTTP) et port (défini à l'étape précédente)).

Il faut vraiment avoir une loupe pour déceler que la destination est en HTTP.

[Jeff777]

il y a 57 minutes, CyberFr a dit :

Ah ben là tu es vache !

non.... réaliste....ça m'est arrivé assez souvent de mal lire un tuto 😉

il y a 57 minutes, CyberFr a dit :

Il faut vraiment avoir une loupe pour déceler que la destination est en HTTP.

On est impatient d'arrivez au bout et on loupe quelque chose

il y a 57 minutes, CyberFr a dit :

- la destination (nom d'hôte (localhost quand l'appli est sur le NAS, IP s'il s'agit d'un autre élément du réseau), protocole (HTTP) et port (défini à l'étape précédente)).

cela dit si tu déclares le port 5001 tu peux très bien rediriger le proxy vers celui-ci...mais ce n'est pas nécessaire de recrypter en local.

Modifié le 5 octobre 2021 par Jeff777

[CyberFr]

J'arrive à me connecter localement mais il semble que le profil de contrôle d'accès que j'ai défini ne soit pas adapté à une connexion à distance en VPN. C'est le dernier coup de collier qui me reste (OUF !) car à part ça tout fonctionne.

 

[Jeff777]

J'ai la même chose avec le loopback en plus 127.0.0.0/8  

[CyberFr]

OK. Je vais le rajouter 127.0.0.0/8  pour voir.

[oracle7]

@CyberFr

Bonjour,

Avec un peu plus de parano, tu peux aussi réduire (voir ce calculateur d'@IP) la plage d'@IP possibles pour ton VPN. Actuellement avec 10.0.0.0/8 tu autorises 16777214 machines. Cela m'étonnerait que tu en ais autant sur ton réseau local, donc par exemple avec 10.20.0.0/24 tu limiterais à 254 ce qui est déjà bien mieux, non ?

Idem avec 192.168.1.0/16 (65534 machine) en le passant à 192.168.1.0/24 = plus que 254 machines.

Avec 172.16.0.0/12, je te laisse trouver le bon masque CIDR car là si tu fais du Docker la plage est plus difficilement réductible vu que l'on peut utiliser différents sous-réseaux.

Voilà un peu plus de sécurité ... Maintenant c'est toi qui voit ...

Cordialement

oracle7😉

 

[CyberFr]

Bonjour @oracle7,

Elle est parfaite cette calculatrice d'IP. Je l'ai ajoutée à mes bookmarks 🙂

Je ne comprends pourquoi malgré mes ultimes modifications, on n'arrive pas à se connecter en VPN à distance sur le reverse proxy.

Mais que diable suis-je allé faire dans cette galère ? Je craque 🤢

[oracle7]

@CyberFr

Bonjour,

Personnellement, cela a toujours été la galère avec L2TP/IpSec 🥴 alors changement de fusil d'épaule et utilisation d'OpenVPN et là plus de soucis.

Mais encore mieux avec mon routeur RT2600ac j'utilise aussi le package VPN Plus Server et le VPN Synology : SSL VPN . Là c'est tout bonnement génial car Hyper simple à mettre en œuvre.

Cordialement

oracle7😉

 

[Jeff777]

il y a 1 minute, oracle7 a dit :

Personnellement, cela a toujours été la galère avec L2TP/IpSec 🥴

Je confirme 😉, OPENVPN même avec VPN Serveur du NAS et le contrôle d'accès local/VPN .....pas de problème.

Modifié le 5 octobre 2021 par Jeff777

[CyberFr]

Il ne me reste donc plus qu'à reprendre le tuto sur VPN Server et à utiliser OpenVpn 🤢

Ma parole, je dois être maso !

[oracle7]

@CyberFr

Bonjour,

il y a 11 minutes, CyberFr a dit :

Ma parole, je dois être maso !

Non juste pragmatique et réaliste 🤣

Cordialement

oracle7😉

[CyberFr]

il y a 2 minutes, oracle7 a dit :

Non juste pragmatique et réaliste

Si je sors vivant de cette aventure, ce sera du pragmatisme en effet. Dans le cas contraire ç'aura été de la folie !

Mais pu**in qu'est-ce qui m'a pris d'acheter un NAS alors que j'étais si tranquille auparavant 😒

[Jeff777]

il y a 27 minutes, CyberFr a dit :

Si je sors vivant de cette aventure,

Vas prendre l'air, prendre une bière et tu seras d'attaque pour la suite 😅

[CyberFr]

Parce que tu crois @Jeff777 que je vais abattre le boulot en une demie-journée ? 🙃 Je suis plutôt dans la situation du mythe de Sysiphe.

[CyberFr]

OpenVPN me réclame un certificat externe alors que d'après le tuto VPN Server le certificat est inclus dans le fichier de configuration .ovpn. J'imagine que le certificat est ca_bundle.crt mais je n'arrive pas à l'importer : un glisser/déposer est sans effet et il n'existe pas d'option pour importer le certificat à partir d'un chemin d'accès local.

 

Modifié le 5 octobre 2021 par CyberFr
Il suffit de clicker sur "SELECT CERTIFICATE" pour pouvoir sélectionner le certificat sur le bureau. Mais il ne veut pas de ca_bundle.crt.

[CyberFr]

Avec OpenVPN l'accès distant est refusé. Je pense que décidément il y a un gros problème avec DSM concernant les profils de contrôle d'accès.

[oracle7]

@CyberFr

Bonjour,

Sur quel type d'appareil tu as installé ton client OpenVPN ?

Si c'est sur Android alors j'ai ceci en magasin : il suffit d'installer le fichier « .ovpn » normalement, ensuite quand il demande le fameux certificat SSL, là il faut exporter le certificat depuis DSM (onglet sécurité/certificat), qui nous sort des fichiers « .pem » et il faut les convertir en « .pfx » ou en « .p12 » ! Quand l'appli demande le certificat il suffit d'aller le chercher là où tu l'a enregistré et le tour est joué. Tu peux supprimer le fichier « .pfx » par la suite Openvpn a enregistré le certificat je ne sais pas trop où, mais il est conseillé de supprimer celui que tu as importé comme ça, seul l'application Openvpn a accès à ces données.

Pour convertir un fichier ".crt" ou ".pem" en ".p12" ou "pfx", il faut passer par un outil comme OpenSSL sur Windows en ligne de commandes.

Pour cela il faut :

·         Installer sur le PC "OpenSSL".

·         Touche Win + X : et ouvrir une fenêtre de CMD en mode Admin

·         Faire un "cd" sur le répertoire contenant les fichiers .pem

·         Taper la commande : "openssl pkcs12 -export -out certificat.p12 -inkey privkey.pem -in cert.pem -certfile chain.pem"

Ensuite tu importes ton certificat ".p12" sur le smartphone et là il devrait être reconnu par OpenVPN client.

Si c'est sur iOS, désolé je ne connais pas la solution. Peut-être du même genre, je ne sais pas ...

Enfin, pour OpenVPN, il y a toutes les chances que tu ais une @IP dans le sous-réseau 10.8.0.0/24 donc pour le contrôle de profil d'accès il te faut aussi autoriser ce sous-réseau.

Cordialement

oracle7😉

 

[CyberFr]

@oracle7 bonjour,

il y a 7 minutes, oracle7 a dit :

Enfin, pour OpenVPN, il y a toutes les chances que tu ais une @IP dans le sous-réseau 10.8.0.0/24 donc pour le contrôle de profil d'accès il te faut aussi autoriser ce sous-réseau.

C'est ce que j'ai fait et ça ne marche pas pour les accès distants. DSM affiche que la page est introuvable.

[Jeff777]

Essaie de te connecter en VPN sans contrôle d'accès et si ça fonctionne  regarde dans le journal de connexion l'IP que ton téléphone a utilisé.

[CyberFr]

J'arrive à me connecter en VPN avec le contrôle d'accès mais il m'est impossible d'atteindre le reverse proxy. Sans le contrôle d'accès je me connecte sur le reverse proxy.

On voit l'IP avec laquelle le téléphone s'est connecté dans le journal des connexions de VPN Server.

 

[oracle7]

@CyberFr

Bonjour,

Dans la configuration OpenVPN, as-tu cochée la case : "Autoriser aux clients l'accès au serveur LAN" ?

Dans le fichier .ovpn :

• est-ce que la ligne "redirect-gateway def1" est bien décochée ?
• as-tu ajouter une ligne "dhcp-option DNS 10.8.0.1" ?

Fais aussi une capture de trames sur le Synology (à faire en root sous SSH) : tcpdump -n -q "udp dst port 1194" pour voir s'il n'y a pas de filtrage entre ton client et ton NAS.

Si tu as DNS Server d'installé sur ton NAS, penses à définir une vue pour le VPN.

Au fait par sécurité, masques ton @IP externe dans ta dernière copie d'écran.

Cordialement

oracle7 😉

Modifié le 5 octobre 2021 par oracle7

[Jeff777]

il y a 7 minutes, oracle7 a dit :

Si tu as DNS Server d'installé sur ton NAS, penses à définir une vue pour le VPN.

tu prends la vue locale et tu ajoutes le réseau 10.8.0.0/24 dans la liste des IPsources pour la vue LAN

Au fait, le port 1194 est bien ouvert dans le pare-feu du nas et redirigé du routeur vers le nas

[CyberFr]

Il y a 12 heures, oracle7 a dit :

Dans la configuration OpenVPN, as-tu cochée la case : "Autoriser aux clients l'accès au serveur LAN" ?

Dans le tuto sur VPN Server il est indiqué

Citation

Par défaut le serveur ne vous laisse accéder qu'au NAS. Si vous cochez cette case, vos clients VPN pourront aussi accéder aux autre ressources de votre réseau (une imprimante réseau par exemple, un autre nas, ...) mais leur accès à Internet passera aussi par le nas. C'est à activer en connaissance de cause.

Je ne l'ai donc pas cochée.

Il y a 12 heures, oracle7 a dit :

est-ce que la ligne "redirect-gateway def1" est bien décochée ?

Là encore j'ai suivi le tuto. Puisque "Autoriser aux clients l'accès au serveur LAN" est décochée, la ligne "redirect-gateway def1" est en commentaire.

Il y a 12 heures, oracle7 a dit :

as-tu ajouter une ligne "dhcp-option DNS 10.8.0.1" ?

Dans le fichier de config il est indiqué

Citation

dhcp-option DNS: To set primary domain name server address.

J'y ai donc entré l'adresse de DNS Server sur le NAS (192.168.1.X) et une adresse DNS de secours (FDN), le tout sur deux lignes.

Il y a 12 heures, oracle7 a dit :

Fais aussi une capture de trames sur le Synology (à faire en root sous SSH) : tcpdump -n -q "udp dst port 1194" pour voir s'il n'y a pas de filtrage entre ton client et ton NAS.

Citation

root@DS220:~# tcpdump -n -q "udp dst port 1194"
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
07:35:16.268516 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 14
07:35:16.272091 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 303
07:35:16.298186 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 22
07:35:16.298229 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 22
07:35:16.300349 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 22
07:35:16.312655 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 472
07:35:16.336437 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 565
07:35:16.474220 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 22
07:35:16.474239 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 56
07:35:16.503716 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 22
07:35:23.748576 IP 192.168.1.254.59303 > 192.168.1.8.1194: UDP, length 113
^C
11 packets captured
11 packets received by filter
0 packets dropped by kernel

 

Il y a 12 heures, Jeff777 a dit :

tu prends la vue locale et tu ajoutes le réseau 10.8.0.0/24 dans la liste des IPsources pour la vue LAN

Ce n'est pas redondant avec l'entrée 10.0.0.0/255.0.0.0 qui se trouve déjà dans la vue ? Je vais l'ajouter si vous me confirmez que ce n'est pas le cas.

Il y a 13 heures, oracle7 a dit :

Au fait par sécurité, masques ton @IP externe dans ta dernière copie d'écran.

C'est noté.

[Jeff777]

il y a 15 minutes, CyberFr a dit :

Ce n'est pas redondant avec l'entrée 10.0.0.0/255.0.0.0 qui se trouve déjà dans la vue ? Je vais l'ajouter si vous me confirmez que ce n'est pas le cas.

bien sûr que c'est redondant. Tu peux laisser

 

Il y a 14 heures, Jeff777 a dit :

Essaie de te connecter en VPN sans contrôle d'accès et si ça fonctionne  regarde dans le journal de connexion l'IP que ton téléphone a utilisé.

Fais cela dans le journal de connexion du nas (centre des journaux/journaux;  filtres : local et connexion ) pour vérifier qu'il emploie bien une IP en 10.x.x.x d

[CyberFr]

il y a une heure, Jeff777 a dit :

Fais cela dans le journal de connexion du nas (centre des journaux/journaux;  filtres : local et connexion ) pour vérifier qu'il emploie bien une IP en 10.x.x.x d

Bien vu @Jeff777,

Lorsque le smartphone n'est pas connecté au WI-FI, le journal des connexions du NAS indique son adresse IP publique alors que j'ai activé OpenVPN.  Par contre dans la liste des connexions de VPN Server, l'IP du client est l'IP publique mais l'IP dynamique est 10.8.0.6.

Lorsque j'active le WI-FI, c'est la passerelle locale de la box qui apparaît dans le journal (192.168.1.244).  Dans la liste des connexions l'IP du client est celle de la passerelle mais l'IP dynamique est là encore  10.8.0.6.