DSM 7 configuration VPN Server

[TAAD]

Bonjour, 

J'utilise un Nas Synology et un MacBook (Neuf, je viens de changer d'ordi). Sur le Macbook, j'accède au NAS via le réseau dans le Finder. Je souhaite pouvoir continuer à y accéder à l'extérieur aussi j'ai installé VPN Server et j'ai configuré OpenVPN.

Quand je me connecte en 4G pour tester le VPN :

• J'accède bien au NAS via l'IP local du NAS
• L'adresse IP est bien mon adresse ipV6 via mon-ip.com
• Impossible de trouver mon lecteur réseau
• impossible d'imprimer sur le réseau

Mon fichier de configuration est le suivant :

"

dev tun
tls-client

remote XXX.synology.me 7997

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2

reneg-sec 0

cipher AES-256-CBC

auth SHA512

auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
"J'ai supprimer cette partie"
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
"J'ai supprimer cette partie"
-----END CERTIFICATE-----

</ca>
"

J'ai suivi ces 2 tutos :

• https://ilyaptech.fr/creer-une-connexion-vpn-sur-votre-nas-synology-sous-dsm-7/
• https://www.maison-et-domotique.com/128725-comment-configurer-un-vpn-sur-un-nas-synology/

Et lu tous ce que j'ai pu trouver sur le forum.. Je ping bien mon nas, j'ai ouvert les ports sur le routeur et le firewall...

Pouvez vous m'aider et me dire ce que je n'ai pas fait correctement ?

D'avance merci pour votre aide.

[oracle7]

@TAAD

Bonjour,

1. Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ...

2. Pour commencer, quelle fausse mauvaise idée de changer le port standard d'OpenVPN, il est prévu pour fonctionner en UDP sur le port 1194. Inutile de le changer, tu ne seras pas plus sécurisé pour autant.
   Vérifies donc que le port 1194 est bien ouvert/autorisé dans le pare-feu du NAS.

3. Essaies d'ajouter cette ligne à ton fichier de configuration .ovpn (après " redirect-gateway def1 "), c'est une spécificité pour le monde iOS :

   redirect-gateway ipv6

4. As-tu lu ce TUTO : VPN Server ?

5. Dans la configuration du protocole OpenVPN, as-tu bien cochée la case "Autoriser aux clients l'accés au serveur LAN"  ainsi que celle pour "Activer la compression sur la liaison VPN" ?

Cordialement

oracle7😉

 

[TAAD]

@oracle7 Merci pour ton retour.

 

Citation

1. Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ...

Il me semble l'avoir fait il y a longtemps quand je m'étais inscrit sur ce forum 😉

Citation

2. Pour commencer, quelle fausse mauvaise idée de changer le port standard d'OpenVPN, il est prévu pour fonctionner en UDP sur le port 1194. Inutile de le changer, tu ne seras pas plus sécurisé pour autant.
Vérifies donc que le port 1194 est bien ouvert/autorisé dans le pare-feu du NAS.

OK je bascule tout sur 1194

Citation

4. As-tu lu ce TUTO : VPN Server ?

Non, j'y vais de ce pas !

Citation

5.  Dans la configuration du protocole OpenVPN, as-tu bien cochée la case "Autoriser aux clients l'accés au serveur LAN"  ainsi que celle pour "Activer la compression sur la liaison VPN" ?

Oui pour le 1er et Non pour le 2ème => Je change ce paramètre.

 

Je vais aller suivre le tutoriel et je te fais un retour.

[TAAD]

J'ai une bonne et une mauvaise nouvelle :

• La bonne nouvelle c'est que j'ai suivi le tutoriel puis je me suis aperçu que le problème était que je devais mapper manuellement le lecteur réseau à partir de l'adresse IP
• La mauvaise c'est que maintenant j'ai plein de messages d'erreurs du VPN !

Les messages d'erreurs :

• Avant de me connecter :

"Ce VPN fonctionne maintenant, mais pourrait cesser de fonctionner dans une prochaine version de Tunnelblick.

Le fichier de configuration OpenVPN pour 'VPNConfig' devrait être mise à jour afin d'être utilisable avec des versions modernes de OpenVPN. Il contient les options OpenVPN suivantes:

 • 'comp-lzo' a été déprécié dans OpenVPN 2.4 et a été supprimé ou pourrait l'être dans une version ultérieure
Tunnelblick utilisera OpenVPN 2.5.3 - OpenSSL v1.1.1l pour connecter cette configuration.

Cependant, vous ne pourrez plus vous connecter à ce VPN avec les futures versions de Tunnelblick qui ne contiendront pas de version d'OpenVPN acceptant ces options."

• Après la connection :

"2021-11-14 22:15:10.883290 *Tunnelblick: Warning: DNS server address 172.20.X.X is not a public IP address and is not being routed through the VPN."

"2021-11-14 22:15:10.990018 *Tunnelblick: Warning: DNS server address fe80::749e:afff:fe82:xxxxxxx is not a public DNS server known to Tunnelblick and is not being routed through the VPN"

Mon nouveau fichier de configuration :

"

dev tun
tls-client

remote 82.XX.XX.XX 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1
redirect-gateway ipv6

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2

reneg-sec 0

cipher AES-256-CBC

auth SHA512

auth-user-pass
comp-lzo
<ca>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

</ca>"
 

@oracle7 Est ce que ces erreurs sont graves ? Peut on y remédier ?

[oracle7]

@TAAD

Bonjour,

Si j'étais toi je ne m'embêterai pas avec "Tunnelblick", utilises tout simplement le client OpenVPN officiel dans sa version Mac-OS disponible ici.

Tu exportes ton fichier de configuration OpenVPN depuis le NAS et tu le recharges dans ton client. C'est pas plus compliqué et adieu les messages d'erreurs liés à la version du serveur OpenVPN et de Tunnelblick.

Maintenant c'est toi qui voit ...

Cordialement

oracle7😉

[CyberFr]

Il y a 18 heures, oracle7 a dit :

Si j'étais toi je ne m'embêterai pas avec "Tunnelblick", utilises tout simplement le client OpenVPN officiel dans sa version Mac-OS disponible ici.

Je suis tout à fait d'accord.

Le site d'OpenVPN renvoie directement sur celui de Tunnelblick lorsqu'on indique que l'on dispose d'un Mac. J'ai essayé de configurer les deux (une version OpenVPN et une version Tunnelblick) et j'ai rencontré tellement d'erreurs inexplicables dans le version Tunnelblick que j'ai laissé tomber ce dernier.

[TAAD]

Merci pour vos retours. Je ne savais pas qu'il y avait une version OpenVPN pour Mac, j'ai switché et plus d'erreur !

J'ai quelques questions complémentaires :

1. Sur OpenVpn dans la configuration j'ai le message suivant "Missing External Certificate". A quoi cela sert il ? Renforcer la sécurité ? Comment rajouter ce certificat ?
2. Le VPN fonctionne actuellement en IPV4, est ce que ca a un intérêt de basculer sur IPV6? Comment faire car dans la config du VPN Server si je coche "Activer le mode server IPV6" il me demande un préfixe et je ne sais pas quoi mettre?
3. A quoi servent les options "Vérifier la clé d'authentification TLS " & "Vérifier le CN du serveur" ? Faut il les cocher?

Encore une fois un grand merci pour votre aide

[oracle7]

@TAAD

Bonjour,

1. Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait).

2. Il y a 3 heures, TAAD a dit :

   j'ai le message suivant "Missing External Certificate"

   A la vue de ton dernier fichier de configuration .ovpn, tu as indiquée une @IP (remote ....) qui doit être ton @IP externe (celle de ta box) et donc pas de nom de domaine. J'espère que cette @IP est fixe et pas dynamique sinon tu auras des problèmes, mais bon ... Donc comme tu ne sembles pas utiliser de nom de domaine, j'en conclue, mais je peux me tromper, que tu n'as probablement pas fait de certificat pour un nom de domaine. Ceci expliquerait alors ton message d'erreur. A voir ...
   Du coup dans l'esprit, je t'invite à lire et suivre ce TUTO : Pourquoi et comment utiliser un nom de domaine et cela répondra à tes questions (Q1).

3. Je suis personnellement plus réservé sur l'intérêt de l'IPv6 avec le VPN, car cela sous entend que tout par ailleurs soit aussi configuré en IPv6 (box/routeur, périphériques, etc ...) ce qui est rarement le cas chez un particulier. Ceci étant, le préfixe IPv6, tu le trouves au niveau de ta box, normalement.

4. Q3 : ????? quelle outil de configuration OpenVPN utilises-tu, car je n'ai pas ces cases à cocher dans la configuration OpenVPN sous Synology VPN Server ?

Cordialement

oracle7😉

[TAAD]

@oracle7

Citation

2. A la vue de ton dernier fichier de configuration .ovpn, tu as indiquée une @IP (remote ....) qui doit être ton @IP externe (celle de ta box) et donc pas de nom de domaine. J'espère que cette @IP est fixe et pas dynamique sinon tu auras des problèmes, mais bon ... Donc comme tu ne sembles pas utiliser de nom de domaine, j'en conclue, mais je peux me tromper, que tu n'as probablement pas fait de certificat pour un nom de domaine. Ceci expliquerait alors ton message d'erreur. A voir ...
Du coup dans l'esprit, je t'invite à lire et suivre ce TUTO : Pourquoi et comment utiliser un nom de domaine et cela répondra à tes questions (Q1).

J'ai un nom de domaine en Synology.me Dans ma config précédente j'avais mis ce nom domaine plutôt que mon @IP (fixe). Dois je utiliser le même certificat ? Comment puis je le récupérer ?

Je vais aller voir le tuto les réponses s'y trouve peut être 😉

Citation

4. quelle outil de configuration OpenVPN utilises-tu, car je n'ai pas ces cases à cocher dans la configuration OpenVPN sous Synology VPN Server ?

DSM 7.0.1-42218 et VPN Server 1.4.4-2855

[TAAD]

il y a 19 minutes, TAAD a dit :

@oracle7

J'ai un nom de domaine en Synology.me Dans ma config précédente j'avais mis ce nom domaine plutôt que mon @IP (fixe). Dois je utiliser le même certificat ? Comment puis je le récupérer ?

@oracle7 J'ai basculé sur xxx.synology.me et j'ai exporté les certificats par contre je n'arrive pas à les charger dans OpenVPN...

[oracle7]

@TAAD

Bonjour,

Quand tu exportes ton fichier de configuration .opvn, celui-ci contient le certificat qui est marqué par défaut dans DSM. Il est entre les balises <ca> et </ca> du fichier .ovpn.

Donc il n'y a pas besoin de le recharger dans OpenVPN. Où as-tu vu qu'il fallait charger le certificat dans OpenVPN ?

Cordialement

oracle7😉

[CyberFr]

@TAAD, sauf erreur de ma part tu n'es toujours pas passé par la case présentation ce qui est important si l'on veut obtenir des réponses adaptées à son environnement et à son niveau de connaissances.

Dans OpenVPN sur Mac, il y a deux certificats à intégrer, celui délimité par les balises <ca> qui figure dans le fichier exporté par VPN Server comme l'a indiqué @oracle7. Mais aussi  un certificat qui est celui de Let's Encrypt transformé en un certificat .p12. Ce certificat doit se trouver dans le trousseau d'accès du Mac, sinon il faut le créer. C'est parce qu'il n'est pas dans ta config OpenVPN que tu as le message "Missing External Certificate". Comme c'est oracle7 qui m'a décrit la méthode, je fait, un synthèse adaptée au Mac de la solution qu'il m'a donnée : 🙂

Il faut rechercher le dossier de sauvegarde du certificat Let's Encrypt de DSM, le dupliquer sur le bureau, lancer le terminal et taper la commande cd sur ce dossier afin d'en faire le dossier par défaut.

Taper la commande : openssl pkcs12 -export -out certificat.p12 -inkey privkey.pem -in cert.pem -certfile chain.pem
On demande un mot de passe qui doit être celui du compte qui a créé ou renouvelé le certificat Let's Encrypt, il sera demandé lors de l'import du certificat dans OpenVPN. "certificat.p12" est alors créé. Il faut double-clicker dessus afin de l'intégrer au trousseau d'accès.

Lancer OpenVPN et choisir "Certificates & Tokens" dans la barre latérale puis importer le certificat p12 qui doit apparaître à ce niveau. Il faut confirmer/valider l'ajout du certificat sinon OpenVPN ignore ce qui a été fait et il faudra recommencer l'import !

[TAAD]

@oracle7

Au moment de la connexion, j'ai le message suivant:

"Missing external certificate

Please choose the external certificate for this profile or continue if your profiles allows to connect without client certificate."

Je peux choisir "select certificate" ou "continue"

Si je choisi "select certificate" je peux choisir assign dans la rubrique "certificate and key" mais après je ne peux rien importer.

Du coup, je choisi continue et ca se connecte 

[oracle7]

@CyberFr

Bonjour,

Bien vu 👍 j'avais oublié qu'il était sur Mac et donc cette spécificité.

@TAAD

Bonjour,

Si ton client OpenVPN est sur Android, il faut faire comme sur MAC, importer le certificat (converti en .p12 tel que te l'a décrit @CyberFr)  et sélectionner le certificat lors de ta première connexion. Après tout roule ...

Cordialement

oracle7😉

[Jeff777]

il y a 9 minutes, oracle7 a dit :

et sélectionner le certificat lors de ta première connexion. Après tout roule ...

Ouaih ça fait deux mois que j'essaie et impossible d'appliquer le bon mot de passe 😕

Edit :Pas sur Mac pour moi mais sur Android

Modifié le 16 novembre 2021 par Jeff777

[oracle7]

@Jeff777

Bonjour,

Sauf erreur de ma part, c'est le MdP de l'utilisateur avec droits d'admin qui a créé le certificat qu'il faut rentrer. Enfin pour moi c'est ce qui marche.

EDIT : Sur Android.

Cordialement

oracle7😉

Modifié le 16 novembre 2021 par oracle7

[CyberFr]

il y a 2 minutes, Jeff777 a dit :

Ouaih ça fait deux mois que j'essaie et impossible d'appliquer le bon mot de passe 

Je ne suis pas le seul à être chat noir 🙂🙂🙂

[Jeff777]

il y a 8 minutes, oracle7 a dit :

c'est le MdP de l'utilisateur avec droits d'admin qui a créé le certificat

Je sais mais cela ne marche pas 😒. Le pire c'est que j'avais réussi il y a plusieurs mois de cela.

[oracle7]

@Jeff777

Bonjour,

il y a une heure, Jeff777 a dit :

Le pire c'est que j'avais réussi il y a plusieurs mois de cela.

Du coup, tu n'aurais pas par hasard modifié ta façon de faire, un détail tout c...

Cordialement

oracle7😉

[Jeff777]

Il y a 14 heures, oracle7 a dit :

Sauf erreur de ma part, c'est le MdP de l'utilisateur avec droits d'admin qui a créé le certificat qu'il faut rentrer. Enfin pour moi c'est ce qui marche.

EDIT : Sur Android.

Bonjour. Pour être sûr tu parles de l'utilisateur Windows qui a créé le .pfx avec openssl sur PC Windows?

[oracle7]

@Jeff777

Bonjour,

Oui, sachant que dans mon cas l'utilisateur Windows qui a créé le .pfx avec openssl sur PC Windows, a le même ID/MdP que mon utilisateur (avec droits d'admin) NAS qui a créer le certificat LE.

Cela dit, voici une autre méthode pour créer le .pfx  mais qui nécessite que le script acme.sh (voir mon TUTO) soit installé sur le NAS :

Se connecter sous root en SSH au NAS (root a le même MdP que mon utilisateur avec droits d'admin) et taper les commandes suivantes :

Nota : "/volume1/Certs" --> est mon répertoire de stockage des fichiers du certificat généré avec acme.sh

• $ ACME_HOME="/usr/local/share/acme.sh
• $ CERT_HOME="/volume1/Certs"

• $ cd $ACME_HOME

• $ ./acme.sh --toPkcs -d votre-domaine.tld
• Enter Export Password:

• Verifying - Enter Export Password:

• [Mon May 25 20:00:28 CEST 2020] Success, Pfx is exported to: /volume1/Certs/votre-domaine.tld/votre-domaine.tld.pfx

« Password » est le mot de passe utilisé pour ouvrir la session SSH.

En espérant que cela pourra t'aider.

Cordialement

oracle7😉

 

[TAAD]

Il y a 17 heures, CyberFr a dit :

@TAAD, sauf erreur de ma part tu n'es toujours pas passé par la case présentation ce qui est important si l'on veut obtenir des réponses adaptées à son environnement et à son niveau de connaissances.

C'est fait ! Au sujet de mon niveau de connaissance je me définirai comme un amateur éclairé 😉 Je ne suis pas développeur mais avec un peu d'aide je me débrouille...

Citation

Dans OpenVPN sur Mac, il y a deux certificats à intégrer, celui délimité par les balises <ca> qui figure dans le fichier exporté par VPN Server comme l'a indiqué @oracle7. Mais aussi  un certificat qui est celui de Let's Encrypt transformé en un certificat .p12. Ce certificat doit se trouver dans le trousseau d'accès du Mac, sinon il faut le créer. C'est parce qu'il n'est pas dans ta config OpenVPN que tu as le message "Missing External Certificate". Comme c'est oracle7 qui m'a décrit la méthode, je fait, un synthèse adaptée au Mac de la solution qu'il m'a donnée : 🙂

Il faut rechercher le dossier de sauvegarde du certificat Let's Encrypt de DSM, le dupliquer sur le bureau, lancer le terminal et taper la commande cd sur ce dossier afin d'en faire le dossier par défaut.

Taper la commande : openssl pkcs12 -export -out certificat.p12 -inkey privkey.pem -in cert.pem -certfile chain.pem
On demande un mot de passe qui doit être celui du compte qui a créé ou renouvelé le certificat Let's Encrypt, il sera demandé lors de l'import du certificat dans OpenVPN. "certificat.p12" est alors créé. Il faut double-clicker dessus afin de l'intégrer au trousseau d'accès.

Lancer OpenVPN et choisir "Certificates & Tokens" dans la barre latérale puis importer le certificat p12 qui doit apparaître à ce niveau. Il faut confirmer/valider l'ajout du certificat sinon OpenVPN ignore ce qui a été fait et il faudra recommencer l'import !

@oracle7 @CyberFr Merci pour votre aide je n'aurais pas trouvé sans vous.

EDIT: Je vais essayer de faire cette manipulation, je vous tiens au courant.

EDIT 2: J'ai suivi la procédure et tout fonctionne ! Encore Merci !

Modifié le 17 novembre 2021 par TAAD

[Jeff777]

il y a 52 minutes, oracle7 a dit :

Cela dit, voici une autre méthode pour créer le .pfx  mais qui nécessite que le script acme.sh (voir mon TUTO) soit installé sur le NAS

pas plus de succès. Après  ./acme.sh --toPkcs -d votre-domaine.tld  rien ne m'est demandé et si je rentre un MdP il est écrit en clair.🙄

[oracle7]

@Jeff777

Bonjour,

il y a 28 minutes, Jeff777 a dit :

rien ne m'est demandé et si je rentre un MdP il est écrit en clair.

??? Je te crois volontiers mais c'est pas possible cà doit te demander un MdP. Je ne ne comprend pas 😟

Désolé, mais je crains que tu n'ais certainement autre chose de mal configuré ailleurs, mais quoi ? Comme cela je ne vois pas.

Habituellement, tu génères comment ton certificat LE ? quelle méthode ?

Cordialement

oracle7😟

[Jeff777]

il y a 3 minutes, oracle7 a dit :

quelle méthode ?

Celle-ci (mais je dois bien être le seul à l'utiliser 🤣) :