VPN sur MacOS

[simon.b]

Bonjour,

Cela fait 1 mois que je teste Synology SSL VPN avec mon RT2600ac

J'ai testé avec 4 OS différents :
- Windows 10 : cela fonctionne très bien.
- Linux Mint : impossible de le faire fonctionner (https://www.nas-forum.com/forum/topic/74781-vpn-plus-linux-mint/)
- iOS : cela fonctionne très bien
- MacOS : cela fonctionne mais c'est complètement instable (déconnexions régulières, impossible de se reconnecter, ...)

Ma question concerne les utilisateurs de MacOS : Quel protocole vous paraît le plus stable sur VPN Server ? OpenVPN ou L2TP/IPSec ?

Modifié le 13 juin 2022 par simon.b

[MilesTEG1]

Hello, sur macOS le plus stable c’est le L2TP.

Openvpn j’ai comme toi des déconnexions ou de l’instabilité…

[alan.dub]

L2TP pour moi aussi, côté macOS et iOS.

Par contre je rencontre deux problèmes sous iOS (qui pourraient être liés) :

- lorsque je tente de connecter mon iPhone et celui de madame en même temps.
- lorsque je coupe une connexion je dois attendre quelques temps pour me reconnecter. 

Modifié le 11 juin 2022 par alan.dub

[simon.b]

Merci pour vos réponses 😉

Je vais tester encore 1 semaine Synology SSL VPN

Si cela reste instable alors je migrerai vers L2TP

Modifié le 13 juin 2022 par simon.b

[MilesTEG1]

Il y a 1 heure, simon.b a dit :

Merci pour vos réponses 😉

Je vais tester encore 1 semaine Synology VPN Plus

Si cela reste instable alors je migrerai vers L2TP

Tu restes quel mode de connexion ? Car vpn plus server c’est le nom du paquet 😅

Tu parles de SSL vpn ?

[Litsip]

Même chose ici aussi. 

Je préfère le L2TP, qui est fiable et stable sur MacOs.

Sans compter que l'implémentation est native, ce qui n'est pas le cas avec OpenVPN par exemple.

Il y a 21 heures, alan.dub a dit :

L2TP pour moi aussi, côté macOS et iOS.

Par contre je rencontre deux problèmes sous iOS (qui pourraient être liés) :

- lorsque je tente de connecter mon iPhone et celui de madame en même temps.
- lorsque je coupe une connexion je dois attendre quelques temps pour me reconnecter. 

@alan.dub

Si deux clients tentent d'utiliser L2TP, il est normal d'être embêté : Tu ne peux avoir qu'un seul client en L2TP à la fois.

Modifié le 12 juin 2022 par Litsip

[alan.dub]

Ah bon ???

Alors pourquoi VPN Server propose le nombre de connexions maximales et le nombre maximum de connexions d’un compte ?

C’est bizarre.

Là je suis à 20 et 20 et… ça ne change rien 😅

Modifié le 12 juin 2022 par alan.dub

[Litsip]

J'imagine que tu le sais déjà, mais cette particularité du L2TP est mentionnée ici .

nb : en L2TP/IPSec, il n'est pas possible d'avoir plusieurs clients connectés en même temps s'ils sont derrière le même routeur NAT

Peut-être que ton problème venait de là ?

Évidement si tes client sont en 4G (non partagée), ça ne devrait pas poser de soucis. En tout cas c'est ce que je comprends de cet avertissement, je n'ai jamais testé le multi clients en L2TP.

Il y a 12 heures, alan.dub a dit :

Là je suis à 20 et 20 et… ça ne change rien 😅

Je ne comprends pas à quoi ces chiffres font référence, désolé. 🙈

Modifié le 13 juin 2022 par Litsip

[simon.b]

Il y a 20 heures, MilesTEG1 a dit :

Tu restes quel mode de connexion ? Car vpn plus server c’est le nom du paquet 😅

Tu parles de SSL vpn ?

Je parle de Synology SSL VPN. J'ai corrigé dans mes précédents posts (désolé !).

[simon.b]

Bonjour,

J'ai activé le protocole L2TP sur VPN Server. Cela se connecte très bien et l'accès au NAS est impeccable.

Cependant, je n'ai plus accès à l'extérieur du réseau lorsque je suis connecté au VPN (google.fr, ...).
La case "Envoyer tout le trafic sur la connexion VPN" est pourtant bien décochée.

Je n'ai pas trouvé de fichier de configuration sur le mac.

Auriez-vous une idée ?

Modifié le 23 juin 2022 par simon.b

[MilesTEG1]

Il y a 3 heures, simon.b a dit :

La case "Envoyer tout le trafic sur la connexion VPN" est pourtant bien décochée.

Coche la case 🙂  Tu utiliseras la connexion internet du NAS.

[maxou56]

Il y a 15 heures, MilesTEG1 a dit :

Coche la case 🙂  Tu utiliseras la connexion internet du NAS.

Bonjour,

Si c'est bien ce que veut faire @simon.b , il faudra aussi que la connexion VPN soit en premier dans les connexions.

Mais si @simon.b souhaite juste ce connecter au NAS (et au réseau du NAS distant) via le VPN, et ce connecter à internet normalement (via ça connexion local) il faudra que le VPN ne soit pas en premier dans les connexions (pour changer l'ordre, ... > définir l'ordre des services).

Modifié le 23 juin 2022 par maxou56
Changement captures d'écran

[simon.b]

Il y a 5 heures, maxou56 a dit :

Bonjour,

Si c'est bien ce que veut faire @simon.b , il faudra aussi que la connexion VPN soit en premier dans les connexions.

Mais si @simon.b souhaite juste ce connecter au NAS (et au réseau du NAS distant) via le VPN, et ce connecter à internet normalement (via ça connexion local) il faudra que le VPN ne soit pas en premier dans les connexions (pour changer l'ordre, ... > définir l'ordre des services).

Merci pour cette explication très claire !

Je tente cela dans les jours qui viennent et je vous tiens au courant

[MilesTEG1]

Il y a 7 heures, maxou56 a dit :

Si c'est bien ce que veut faire @simon.b , il faudra aussi que la connexion VPN soit en premier dans les connexions.

Ce n’est pas nécessaire ! Ma connexion vpn est l’avant dernière de la liste , en dessous du wifi et de l’ethernet, et avec la case cochée pour le traffic ,  j’accède bien au nas et à internet (via la connexion de chez moi, celle du nas).

[maxou56]

Il y a 1 heure, MilesTEG1 a dit :

Ce n’est pas nécessaire ! Ma connexion vpn est l’avant dernière de la liste , en dessous du wifi et de l’ethernet, et avec la case cochée pour le traffic ,  j’accède bien au nas et à internet (via la connexion de chez moi, celle du nas).

Pas chez moi, si la connexion VPN n'est pas en premier, internet ne passe pas par le VPN (que la case "Envoyer tout le trafic sur la connexion VPN" soit cochée ou non), mais directement par la connexion local Ethernet ou Wifi.

 

Par exemple avec la connexion VPN en premier:

Traceroute a démarré…

traceroute to google.fr (142.250.179.99), 64 hops max, 72 byte packets
 1  192.168.2.236 (192.168.2.236)  30.693 ms  30.888 ms  29.983 ms
 2  livebox (192.168.0.1)  30.360 ms  16.686 ms  18.965 ms
 3  ....

Avec la connexion VPN en 3éme:

raceroute a démarré…

traceroute to google.fr (216.58.214.67), 64 hops max, 72 byte packets
 1  192.168.12.1 (192.168.12.1)  1.034 ms  0.537 ms  0.494 ms
 2  livebox (192.168.10.1)  2.113 ms  1.550 ms  1.743 ms
 3  ...

 

Modifié le 24 juin 2022 par maxou56

[maxou56]

Il y a 3 heures, simon.b a dit :

Je tente cela dans les jours qui viennent et je vous tiens au courant

Regarde aussi quel DNS est utilisé par le Mac lorsque tu es connecté au VPN, car si c'est celui du serveur VPN, ce n'est pas gênant si tout le traffic passe par le VPN.

Mais si tu souhaites juste accéder au réseau distant, c'est peut être ce qui pose problème.

Dans le terminal tu peux par exemple taper la commande:

nslookup google.fr

Si c'est le serveur DNS du serveur VPN, et que tu souhaites uniquement accéder au site distant, sur Mac dans les préférences systèmes > connexion VPN > avancé > DNS > + > mettre (au moins pour essayer) soit l'IP de ta box/routeur si tu as un usage du VPN uniquement depuis ce réseau local, sinon mettre l'IP d'un DNS public.

Modifié le 24 juin 2022 par maxou56

[MilesTEG1]

Alors, en mode partage de connexion 4G sur mon mac, j'ai ceci :

La résolution DNS passe par le téléphone, donc le traffic internet également.

Quand je connecte le VPN :

La résolution passe par le serveur AdGuard Home (192.168.2.210) situé sur mon NAS en docker macvlan.

Dans les préférences réseau du mac, j'ai cet ordre là :
 

Dès que la connexion VPN est active, ça remonte tout seul dans la liste :

Mais ça reste en dessous du wifi, utilisé pour le partage de connexion 4G depuis mon iPhone.
Le traffic passe bien par le VPN et donc mon routeur et par ma connexion fibre chez moi, sinon le nom de domaine pour mon NAS ne serait pas réécrit (profil de controle d'accès sur le reverse proxy) :

 

[simon.b]

Bonsoir,

Merci à vous tous pour toutes vos solutions.

J'ai essayé de modifier l'ordre des connexions (L2TP en-dessous de Wifi) et la case "Envoyer tout le trafic sur la connexion VPN" toujours décochée. Malheureusement sans succès.

Il me reste à modifier les DNS en mettant celui de Google par exemple et faire un coup de nslookup.

Bonne soirée

Simon

[simon.b]

Bonjour,

L'adresse IP du DNS configurée (automatiquement ?) dans les préférences réseau était celle du NAS (192.168.x.x).
J'ai modifié en mettant celle de Google (8.8.8.8).

Résultat : tout fonctionne correctement désormais 🥳

Un grand merci à vous pour les explications claires et les captures d'écran 👍

Simon