Tout est dans le titre...

Il faut faire quelque chose sur le NAS client ?

Le certificat a changé ?

il y a 24 minutes, StéphanH a dit :

Le certificat a changé ?

Si c'est le cas (renouvellement LE) alors il y a une forte probabilité que ce soit ça.

Si tu veux ne pas avoir de problème à chaque renouvellement, il faut plutôt associer le serveur VPN au certificat synology.com par défaut qui lui a une validité bien plus grande que celle des certificats LE. Si tu n'as plus ce certificat, tu peux en créer un autosigné (avec openssl par exemple) d'une durée de validité de 15 ans pour être tranquille.

J’ai bien un certificat LE encore valide sur le serveur. 
Mais lorsque  je l’exporte, j’obtiens une dizaine de fichiers. 
comme s’appelle celui qu’il faut importer sur le client ?

Ma question est surtout et aussi de savoir s’il y a un changement sur le package VPN serveur qui pourrait être la cause …

quelqu’un d’autre a-t-il un tunnel OpenVPN entre deux NAS ?

il y a 38 minutes, StéphanH a dit :

comme s’appelle celui qu’il faut importer sur le client ?

Il faut d'abord choisir dans DSM le certificat à appliquer au serveur VPN. Le certificat sera intégré au fichier de config openVPN. Il n'y a rien à importer sur le client comme c'était le cas il y a quelques années.

Il y a pourtant bien un bouton d’import du certificat sur le NAS client. 

Modifié le 22 mai 20232 a par StéphanH

@StéphanH, oui mais il n'est pas nécessaire à partir du moment où tu importes le fichier ovpn qui contient déjà le certificat. C'est expliqué si tu cliques sur le "i" à côté de la zone de saisie du Certificat CA.

Merci Mic13710.

Je ne vois pas ce "i" 

et voici le dossier d'export du certificat :

 

 

Modifié le 22 mai 20232 a par StéphanH

J'ai essayé ce matin d'importer tous les certificats un par un ... marche pas ..

Je manque d'idée ...

Je pense avoir une piste.

Lorsque j'essaie de me connecter à DSM avec le User dédié à la connexion VPN, j'obtiens une popup me disant que pour des raisons de sécurité un mail contenant un code a été expédié à la boite mail déclarée dans ce compte.

Mais je ne reçois pas ce mail ... 

Modifié le 23 mai 20232 a par StéphanH

Je ne sais pas sur quelle page tu travailles, mais si c'est sur la création d'une interface réseau, alors les choses ont beaucoup évolué sur 7.2 par rapport à 7.1.

Apparemment, il faut maintenant importer le certificat comme à l'ancienne.

Si l'import du certificat associé à DSM ne fonctionne pas, je ne sais pas quoi te dire pour t'aider.

Merci Mic13710.

J'étais en modification d'interface existante.

J'ai donc créé un nouveau profil OpenVPN, et là, je peux effectivement importer le fichier .ovpn, dans lequel j'ai simplement renseigné le nom DNS de mon Synology
Mais la connexion n'aboutit pas (et je ne vois rien dans les Log du serveur VPN)

il y a 52 minutes, StéphanH a dit :

le nom DNS de mon Synology

Ce n'est pas celui du syno qu'il faut renseigner mais le ndd qui permet d'atteindre le routeur. Ensuite, la redirection du port 1194 vers le NAS se charge de transmettre la demande de connexion au serveur VPN.

Oui c’est bien cela. 
je m’étais mal exprimé. 
et c’est la seule chose que je modifie dans le fichier .ovpn  ?

Je vais tester la manip préconisée par Syno pour  désactiver temporairement la vérification du code d’inactivité (connexion du compte depuis le LAN)

Il y a 1 heure, StéphanH a dit :

et c’est la seule chose que je modifie dans le fichier .ovpn  ?

Il y a d'autres choses comme par exemple dhcp-option DNS qui donne le ou les serveurs DNS à utiliser, modifier "cipher AES-256-CBC" en

"data-ciphers-fallback AES-256-CBC", rajouter "auth-nocache" avant le certificat, et peut-être d'autres bricoles.

 

Bon, je n'ai plus d'idées ...

J'ai supprimé toute notion de 2FA sur mon compte dédié VPN. Il se connecte sans souci à DSM.
J'ai généré le certificat et essayé de l'importer dans mon ancienne conf OpenVPN.
J'ai essayé de créer une nouvelle connexion OpenVPN avec import du fichier  .ovpn (avec DDNS)
J'ai dans le doute rebooté tout le monde.

désormais, je ne sais plus comment avancer ...

 

il y a une heure, Mic13710 a dit :

Il y a d'autres choses comme par exemple dhcp-option DNS qui donne le ou les serveurs DNS à utiliser, modifier "cipher AES-256-CBC" en

"data-ciphers-fallback AES-256-CBC", rajouter "auth-nocache" avant le certificat, et peut-être d'autres bricoles.

Aïe ... pas facile de modifier les choses quand on ne sait pas de quoi on parle... Bref, tout ce que je sais, c'est que je n'avais jamais modifié cela avant, et ça fonctionnait ...

 

Et pourquoi ai-je cela de temps en temps dans la console de VPN Serveur :
l'@ mentionnée est bien la mienne mais le user n'est pas le bon...

-

 

Modifié le 23 mai 20232 a par StéphanH

il y a une heure, StéphanH a dit :

pas facile de modifier les choses quand on ne sait pas de quoi on parle... Bref, tout ce que je sais, c'est que je n'avais jamais modifié cela avant, et ça fonctionnait ...

Ce ne sont pas des modifications obligatoires. Pour la plupart ce sont juste des réglages pour annuler certains messages d'erreur.

A mon avis, tu t'es un peu trop vite précipité pour passer en 7.2. Perso, je vais faire comme d'hab : temporiser avant de franchir le pas. Je vois déjà que certains sont à la peine avec cette nouvelle version. Quelques updates devraient résoudre les toujours trop nombreux problèmes qui sont le lot de chaque nouvelle version. Mais en attendant, je vais me contenter de la 7.1.

merci.

J'ai ouvert un ticket chez Synology ....
En attendant, je suis bien coincé.

Je reste toutefois persuadé que je suis bloqué par une bêtise, et pas par un problème technique ...

En changeant un des autres fichiers d'export de mon certificat, j'ai cela :

 

Pour autant, côté client, il me dit que je suis déconnecté ...

 

Y a-t-il quelque part un fichier de log un peu plus bavard que l'interface web de VPN Serveur pour me dire où la connexion échoue ?
Il me semble avoir lu cela ici, mais je le retrouve pas le post en question ...

 

Sinon, quelqu'un sait-il ce que c'est que cet OpenSwitch ?
Cela pourrait il mettre le souk dans OpenVPN ?

Modifié le 23 mai 20232 a par StéphanH

J'ai trouvé !!! voir

...