VPN et Point d'accès mobile de téléphone Android

[Biskot]

Bonjour à tous,

J'ai paramétré le VPN Server avec OpenVPN afin d'accèder au NAS en full tunnelling.
Pour faire les tests depuis l'extérieur, je n'avais pas d'autre moyen que de mettre mon PC en wifi sur le point d'accès mobile de mon téléphone Android. Ça ne fonctionnait pas très bien. En effet c'était très long, Ça aboutissait parfois mais pas toujours et l'adresse IP n'était pas l'adresse externe du Nas mais celle de mon fournisseur de téléphonie mobile. Bizarre...
J'ai fais un essai depuis mon téléphone avec l'application OpenVPN et la ça fonctionne, j'étais rassuré sur mon fichier de paramétrage.

Savez-vous si les fournisseurs de téléphonie mobile peuvent bloquer/bloquent les tunnel VPN à travers les Point d'accès mobile des téléphones ? Y a-t-il un moyen de faire fonctionner un tunnel VPN à partir d'un PC de cette façon ?

Merci.

[oracle7]

@Biskot

Bonjour,

il y a 4 minutes, Biskot a dit :

Y a-t-il un moyen de faire fonctionner un tunnel VPN à partir d'un PC de cette façon ?

Oui au même titre que tu l'as fais avec ton portable Android. Il faut bien sûr que ton PC soit sur un réseau externe au tien et tu établis une connexion VPN avec un client VPN vers ton serveur VPN sur ton NAS et ou Routeur.

il y a 6 minutes, Biskot a dit :

Savez-vous si les fournisseurs de téléphonie mobile peuvent bloquer/bloquent les tunnel VPN à travers les Point d'accès mobile des téléphones ?

A mon humble avis, comment veux-tu qu'ils le fassent ? ils ne voient passer qu'un flux crypté sur leur réseau à destination de ton @IP externe. Désolé, mais je crains que tu ne fasse des noeuds au cerveau sur ce point 🤪

Cordialement

oracle7😉

[Biskot]

Merci pour ta réponse @oracle7

Il y a 1 heure, oracle7 a dit :

Oui au même titre que tu l'as fais avec ton portable Android. Il faut bien sûr que ton PC soit sur un réseau externe au tien et tu établis une connexion VPN avec un client VPN vers ton serveur VPN sur ton NAS et ou Routeur.

J'ai effectivement essayé avec mon PC mais à travers le point d'accès mobile de mon téléphone.

Sur mon téléphone, j'ai désactivé le wifi et activé le point d'accès mobile.
Sur mon PC je me suis connecté au réseau wifi de mon téléphone (point d'accès mobile). J'ai lancé la connexion au serveur VPN avec OpenVPN, jusqu'ici tout ok, ça fonctionne mais c'est au moment de me connecter au NAS qu'il y a un problème. Le navigateur tourne en boucle sans afficher le moindre message et lorsque je vérifie mon adresse ip (https://www.myip.com) ça m'indique celle de Bouygues Telecom au lieu de l'adresse externe de mon NAS...

[oracle7]

@Biskot

Bonjour,

il y a 59 minutes, Biskot a dit :

J'ai lancé la connexion au serveur VPN avec OpenVPN, jusqu'ici tout ok, ça fonctionne mais c'est au moment de me connecter au NAS qu'il y a un problème.

Pour comprendre, ton serveur VPN est installé sur quoi ? un routeur ? ton NAS ?

Vu que tu utilises OpenVPN,  as-tu bien ouvert/autorisé le port 1194 en UDP dans le pare-feu du NAS ?

Comment est l'instruction redirect-gateway def1 dans ton fichier de config .ovpn, commentée ou décommentée ?

Quand tu est connecté à ton serveur VPN, est-ce que tu accèdes aussi à ton réseau local ? Est-ce que tu as bien un message comme quoi une @IP en 10.8.0.x t'a été attribuée (juste après la connexion) ?

Sinon sauf erreur de ma part, sur le PC il te faut avoir installé le client OpenVPN-2.5.8-I604-amd64.msi disponible ici et par contre quand tu te connectes depuis simplement ton Tél android il faut avoir installé OpenVPN Connect dispoble ici.

Cordialement

oracle7😉

 

 

Modifié le 25 janvier 2023 par oracle7

[Biskot]

@oracle7

Bonsoir,

il y a une heure, oracle7 a dit :

Pour comprendre, ton serveur VPN est installé sur quoi ? un routeur ? ton NAS ?

Il est installé sur le NAS.

il y a une heure, oracle7 a dit :

Vu que tu utilises OpenVPN,  as-tu bien ouvert/autorisé le port 1194 en UDP dans le pare-feu du NAS ?

Oui, le port 1194 UDP est bien ouvert dans le pare-feu du NAS et redirigé sur le NAS dans le routeur.

Il y a 1 heure, oracle7 a dit :

Comment est l'instruction redirect-gateway def1 dans ton fichier de config .ovpn, commentée ou décommentée ?

redirect-gateway def1 est décommenté.

Il y a 1 heure, oracle7 a dit :

Quand tu est connecté à ton serveur VPN, est-ce que tu accèdes aussi à ton réseau local ? Est-ce que tu as bien un message comme quoi une @IP en 10.8.0.x t'a été attribuée (juste après la connexion) ?

Quand je suis connecté au VPN, j'accède au réseau local (j'ai coché "Autoriser aux clients l'accès au serveur LAN" dans l'interface du VPN Server sur le NAS) par contre je n'ai pas de message après la connexion...

Il y a 1 heure, oracle7 a dit :

Sinon sauf erreur de ma part, sur le PC il te faut avoir installé le client OpenVPN-2.5.8-I604-amd64.msi disponible ici et par contre quand tu te connectes depuis simplement ton Tél android il faut avoir installé OpenVPN Connect dispoble ici.

Sur le PC j'ai la version 3 d'installée... téléchargée ici. Pour le tél Android c'est bien celle-ci.

Merci

[oracle7]

@Biskot

Bonjour,

Il y a 14 heures, Biskot a dit :

Sur le PC j'ai la version 3 d'installée... téléchargée ici.

Justement c'est peut-être là le problème, initialement j'avais fais comme toi et je n'ai jamais pu me connecter avec cette version 3. C'est pourquoi je suis passé à la version "standard" (OpenVPN-2.5.8-I604-amd64.msi) et pas "Connect v3".

C'est juste un constat de fait et je ne saurais t'en dire plus car je ne connais pas la différence entre les deux versions.

Sinon dans ton fichier de config .ovpn, pour la commande "remote" tu as bien quelque chose du style "remmote  monnas.ndd.tld 1194" avec le domaine monnas.ndd.tld qui pointe bien sur ton @IP externe (à vérifier avec un nslookup monnas.ndd.tld 1.1.1.1 exécuté dans un terminal sous SSH connecté à ton NAS en root) ?

Cordialement

oracle7😉

[Biskot]

Bonjour @oracle7,

Il y a 3 heures, oracle7 a dit :

Justement c'est peut-être là le problème, initialement j'avais fais comme toi et je n'ai jamais pu me connecter avec cette version 3. C'est pourquoi je suis passé à la version "standard" (OpenVPN-2.5.8-I604-amd64.msi) et pas "Connect v3".

Effectivement, je viens d'essayer avec la version 2 et tout fonctionne comme attendu.

Il y a 6 heures, oracle7 a dit :

Sinon dans ton fichier de config .ovpn, pour la commande "remote" tu as bien quelque chose du style "remmote  monnas.ndd.tld 1194" avec le domaine monnas.ndd.tld qui pointe bien sur ton @IP externe (à vérifier avec un nslookup monnas.ndd.tld 1.1.1.1 exécuté dans un terminal sous SSH connecté à ton NAS en root) ?

Oui, tout est bien paramétré comme tel.

J'ai pu constater dans les logs ceci :

-- DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-256-CBC' to --data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning.

Peut-être est-ce la source du problème avec la V3.

-- WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this

Dois-je ajouter auth-nocache au fichier de configuration ?

Merci !

[oracle7]

@Biskot

Bonjour,

Pour ma part j'ai toujours eut dans mon fichier de configuration .ovpn,  l'instruction cipher AES-256-CBC, du coup je n'ai jamais remarqué le warning que tu cites.

Pour info, j'ai aussi ces instructions qui évitents d'autres warning :

remote-cert-tls server

auth-nocache

Pour optmiser la vitesse de transfert des données je de conseillerai de fixer aussi l'intruction mssfix à ton environnement. Voici en exemple la procédure pour le FAI orange.fr, à toi d'adapter si besoin.

# ping www.orange.fr -f -l 1500 => Par dichotomie on retrouve la MTU maximun pour la quelle le ping renvoie une réponse OK.
# Si on a une réponse paquet FRAGMENTED on réduit de 10 jusqu'à avoir une réponse OK. On rajoute alors 1/2 du Delta (MTU NOK-MTU OK).
# Si NOK on réduit encore de 1/2 du Delta (MTU NOK-MTU OK)
# Si OK on augmente encore de 1/2 du Delta (MTU NOK-MTU OK)
# Jusqu'à obtenir la valeur maximum de MTU OK. Alors on affecte cette valeur à la commande mssfix
mssfix 1472

Cordialement

oracle7😉

[Biskot]

@oracle7

J'ai également cipher AES-256-CBC dans mon fichier de configuration mais de ce que je comprend de l'alerte, il faut le remplacer par data-ciphers-fallback AES-256-CBC. Après test, ça fonctionne.

J'ai ajouté les instructions suggérées par contre pour mssfix, ça ne suffit pas de le paramétrer côté NAS ?

[oracle7]

@Biskot

Bonjour,

Bien vu, tu as raison pour data-ciphers-fallback AES-256-CBC mais on peut aussi mettre simplement data-cipher AES-256-CBC. Finalement les deux sont valables.

il y a 17 minutes, Biskot a dit :

par contre pour mssfix, ça ne suffit pas de le paramétrer côté NAS

En fait, j'ai les deux. c'est peut-être redondant mais je préfère assurer le coup directement dans la config .ovpn car dans VPN Plus Server sur mon routeur RT2600ac l'intitulé n'est pas aussi explicite :

Cordialement

oracle7😉

[Thierry94]

Bonjour 

J'ai réglé le mssfic dans vpn server mais ou  se trouve le paramètre pour régler le mssfic sur le nas ?

C'est le paramètre mtu ?

Modifié le 27 janvier 2023 par Thierry94

[oracle7]

@Thierry94

Bonjour,

il y a une heure, Thierry94 a dit :

ou  se trouve le paramètre pour régler le mssfic sur le nas ?

Pour moi il n'y a pas besoin de configurer la MTU sur le NAS. Je n'ai pas trouver d'infos (peut-être mal cherché !) qui indique qu'il faille qu'elle soit identique à celle du VPN surtout que l'essentiel du flux Internet en HTTP et HTTPS utilise le protocole TCP.

Sauf erreur de ma part, le paramètre mssfix ne concerne QUE la connexion en UDP du VPN.

Cordialement

oracle7😉

[Biskot]

Bonjour,

@oracle7 Ok, je vais ajouter la ligne dans le fichier de config .ovpn. Merci pour ton aide !