Proxy inversé avec contrôle d'accès

[oracle7]

@cyberfrk

Bonjour,

Si cela marche hors VPN avec le Wifi chez ton copain, c'est que tu passes par son réseau local. Mais quand tu utilises le VPN, arrêtez-moi si je dis une c...ie, tu passes alors par le sous-réseau 10.8.0.0 en OPenVPN.

Ce sous-réseau est-il autorisé chez ton copain sinon ceci pourrait expliquer cela, non ?

Cordialement

oracle7😉

[Jeff777]

Bon au moins ton reverse proxy fonctionne bien 😉

Maintenant pour le contrôle d'accès je sèche.  Si tu as bien mis 10.0.0.0/8 dans les autorisations je ne vois pas.

il y a 32 minutes, oracle7 a dit :

Ce sous-réseau est-il autorisé chez ton copain sinon ceci pourrait expliquer cela, non

Ce serait le routeur de son pote qui bloque ? 

[oracle7]

@Jeff777

Bonjour,

Il y a 2 heures, CyberFr a dit :

Je me rends chez un copain et chemin faisant j'accède au reverse proxy en 4G depuis mon smartphone sans problème. Une fois connecté chez lui sur son WI-FI, ça ne passe plus.

Quand je lis cela, j'en arrive à cette conclusion logique, pas toi ?

Cordialement

oracle7😉

Modifié le 8 octobre 2021 par oracle7

[Jeff777]

Il y a 1 heure, oracle7 a dit :

uand je lis cela, j'en arrive à cette conclusion logique, pas toi ?

A priori oui. Mais....

[CyberFr]

Il y a 12 heures, oracle7 a dit :

Si cela marche hors VPN avec le Wifi chez ton copain, c'est que tu passes par son réseau local. Mais quand tu utilises le VPN, arrêtez-moi si je dis une c...ie, tu passes alors par le sous-réseau 10.8.0.0 en OPenVPN.

Ce sous-réseau est-il autorisé chez ton copain sinon ceci pourrait expliquer cela, non ?

Ce copain est nul en informatique, il n'a pas pu modifier des réglages sur sa box. D'autre part j'ai utilisé mon smartphone pour les manips chez lui.

Il y a 12 heures, Jeff777 a dit :

Si tu as bien mis 10.0.0.0/8 dans les autorisations je ne vois pas.

Modifié le 9 octobre 2021 par CyberFr

[Jeff777]

Je manque d'idée. Si tu as la possibilité d'essayer sur un autre WiFI que le tien ou celui de ton copain, fais l'essai pour voir si le problème vient du réseau ou du paramétrage de ton tel.

[CyberFr]

Je me plonge sur. la configuration d'OpenVPN.

dev tun
tls-client

remote IP_PUBLIQUE_DE_LA_BOX 1194

#float

redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

pull

proto udp

script-security 2

comp-lzo

reneg-sec 0

cipher AES-256-CBC

auth SHA512

auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----

Dans la mesure où redirect-gateway est actif, je n'ai pas besoin de définir un serveur DNS comme par exemple

dhcp-option DNS 80.67.169.12

Modifié le 9 octobre 2021 par CyberFr
PS : Je n'ai pas trouvé le moyen de modifier le titre de la discussion

[.Shad.]

Je prends le fil en route, je vois le titre qui parle de reverse DNS (donc j'imagine zone locale inverse ?) et je ne vois nulle part d'enregistrement PTR ou même leur évocation.

Modifié le 9 octobre 2021 par .Shad.

[Jeff777]

il y a 4 minutes, .Shad. a dit :

reverse DNS

Ah oui c'est vrai, je n'avais pas fait attention au titre. Mais dès le début la question porte sur le reverse proxy.

En tout cas as-tu une  idée de la raison pour laquelle une connexion VPN en wifi sur un proxy inverse avec contrôle d'accès local et vpn pourrait ne pas fonctionner sur un réseau extérieur alors qu'elle fonctionne sur le réseau local du nas ?

[CyberFr]

Bonjour @.Shad.,

Pour compléter ce que dit @Jeff777 et faire une synthèse de la situation, j'ai créé un reverse proxy avec contrôle d'accès. Lorsque je supprime le contrôle d'accès le proxy peut être joint de partout en France.

Lorsque le contrôle d'accès est actif je peux me connecter au reverse proxy de chez moi (c'est la moindre des choses), en 4 G le réseau de la box étant inaccessible, mais pas chez un copain en WI-FI. Dans tout les cas de figure j'active d'abord OpenVPN.

[oracle7]

@CyberFr

Bonjour,

@.Shad. a raison vu le contenu du post, ton titre de post est ambigu, tu devrais remplacer le mot DNS par Proxy.

Cordialement

oracle7😉

 

[CyberFr]

Bonjour @oracle7,

J'ai indiqué (cf ci-dessus)

Il y a 1 heure, CyberFr a dit :

PS : Je n'ai pas trouvé le moyen de modifier le titre de la discussion

 

[Jeff777]

il y a 9 minutes, oracle7 a dit :

tu devrais remplacer le mot DNS par Proxy.

Tu sais comment faire cela ? 

[CyberFr]

il y a 8 minutes, Jeff777 a dit :

Tu sais comment faire cela ? 

J'y étais pourtant parvenu il y a quelque temps sur une autre discussion que j'avais initiée. Mais là je ne trouve plus.

[Jeff777]

Ah oui tu édites ton premier message !

[CyberFr]

Ce n'est pas l'édition d'un message mais de tout un fil de discussions puisqu'il s'agit d'en changer le titre !

Au fait ma config OpenVPN est OK ?

[Jeff777]

il y a 17 minutes, CyberFr a dit :

Ce n'est pas l'édition d'un message mais de tout un fil de discussions puisqu'il s'agit d'en changer le titre !

Si tu édites le premier message tu as accès au titre que tu peux modifier

.

il y a 17 minutes, CyberFr a dit :

Au fait ma config OpenVPN est OK ?

J'ai trois lignes de plus :

auth-nocache

après tls-client

pour éviter le mot de passe en clair dans les logs

et 

  dhcp-option DNS ippubliqueDNSprimaire

  dhcp-option DNS ippubliqueDNSsecondaire 

tu peux essayer de rajouter. J'avoue ne plus savoir à quoi ça sert.

Modifié le 9 octobre 2021 par Jeff777
Ajout sur la config

[CyberFr]

il y a 22 minutes, Jeff777 a dit :

Si tu édites le premier message tu as accès au titre que tu peux modifier

C'est fait.

il y a 22 minutes, Jeff777 a dit :

J'ai trois lignes de plus :

J'en fais un copier/coller 🙂

Modifié le 9 octobre 2021 par CyberFr
J'imagine que je dois remplacer ippubliqueDNSprimaire par une IP publique réelle, celle de FDN par exemple.

[oracle7]

@CyberFr

Bonjour,

Il y a 4 heures, CyberFr a dit :

remote IP_PUBLIQUE_DE_LA_BOX 1194

Cela marche mieux aussi si tu remplaces IP_PUBLIQUE_DE_LA_BOX par la bonne @IP externe ou ton nom de domaine ndd.tld.

Il y a 1 heure, Jeff777 a dit :

dhcp-option DNS ippubliqueDNSprimaire

Moi j'y ai mis l'@IP locale de mon serveur DNS sur le NAS soit : dhcp-option DNS 192.168.1.x

En plus de la ligne auth-nocache indiquée par judicieusement par @Jeff777 j'ai ajouté juste avant celle-ci : remote-cert-tls server. De mémoire, elle permet je crois, d'utiliser le certificat du serveur, donc du NAS.

Cordialement

oracle7😉

Modifié le 9 octobre 2021 par oracle7

[.Shad.]

@CyberFr Désactive temporairement le contrôle d'accès pour l'accès à DSM via proxy inversé et VPN.
Tu te connectes à ton VPN et tu vas sur la page DSM via le proxy inversé.

une fois loggé, tu regardes dans le widget "journaux récents" l'IP qu'il détecte pour ta connexion à DSM.

[Jeff777]

il y a 58 minutes, oracle7 a dit :

j'ai ajouté juste avant celle-ci : remote-cert-tls server. De mémoire, elle permet je crois, d'utiliser le certificat du serveur, donc du NAS

je ne connaissais pas. Je vais appliquer.

Edit : Bonne idée de Shad tu vas voir l'IP qui est prise en compte.

Modifié le 9 octobre 2021 par Jeff777

[CyberFr]

Il y a 1 heure, oracle7 a dit :

Il y a 6 heures, CyberFr a dit :

remote IP_PUBLIQUE_DE_LA_BOX 1194

Cela marche mieux aussi si tu remplaces IP_PUBLIQUE_DE_LA_BOX par la bonne @IP externe ou ton nom de domaine ndd.tld.

C'est ce que j'ai fait mais je ne voulais pas que l'IP apparaisse en public.

il y a une heure, .Shad. a dit :

une fois loggé, tu regardes dans le widget "journaux récents" l'IP qu'il détecte pour ta connexion à DSM.

Je vais le faire.

il y a une heure, .Shad. a dit :

une fois loggé, tu regardes dans le widget "journaux récents" l'IP qu'il détecte pour ta connexion à DSM.

User [lionel] from [192.168.1.254] logged in successfully via [DSM].

Modifié le 9 octobre 2021 par CyberFr
Dans le journal de VPN Server sur le NAS il y a ceci : Connected from [192.168.1.254] as [10.8.0.6].

[CyberFr]

il y a une heure, oracle7 a dit :

En plus de la ligne auth-nocache indiquée par judicieusement par @Jeff777 j'ai ajouté juste avant celle-ci : remote-cert-tls server. De mémoire, elle permet je crois, d'utiliser le certificat du serveur, donc du NAS

Malgré la présence de cette ligne, OpenVPN affiche un message lors de la connexion

Citation

Missing external certificate

Please chose the external certificate for this profile or continue if your profile allows to connect without client certificate.

                                      SELECT CERTIFICATE                                CONTINUE

[oracle7]

@CyberFr

Bonjour,

Effectivement c'est étonnant qu'il demande cela, vu que le certificat est déjà inclus dans le fichier de config .ovpn.

Mais pour palier à ce message (astuce trouvée sur un forum je sais plus où), j'ai converti les fichiers .pem de mon certificat LE en un fichier .pfx (ou .p12) que j'ai importé sur ton Tél 4G Android et donc quand j'ai le message (la première fois) je sélectionne ce certificat et tout roule ensuite. Plus de message "Missing external certificate". Ensuite tu peux supprimer le certificat importé de ton Tél. Le client OpenVPN l'a pris en compte (je ne sais où).

Cordialement

oracle7😉

 

 

[CyberFr]

@oracle7,

Bonjour,

J'ai en effet lu tes explications concernant l'export puis l'import du certificat LE dans OpenVPN. Mais ça ne marchait que sous Android or je ,suis sous iOS.

Et même si tes explications avaient porté sur iOS, la manœuvre m'a paru compliquée 🙂