plus d'accès au NAS via OpenVPN

[guillb]

Bonjour,

Je n'arrive plus à connecter mes appareils au NAS via OpenVPN, alors que tout fonctionnait parfaitement depuis plusieurs mois, et je n'arrive pas trop à comprendre pourquoi et comment résoudre le problème.

En gros donc, j'utilise OpenVPn dans VPN Server. Lorsque je l'ai configuré dans le passé j'ai exporté la configuration, modifié le fichier avec l'adresse DDNS que j'utilise et fournie par syno, importé ensuite le fichier de config dans différents appareils (mac, pc, mac, android, iphone, rpi, presque tout quoi) de différents utilisateurs, et après que chacun aie renseigné ses login et password respectifs, roulez jeunesse, tout a fonctionné parfaitement jusqu'à ce matin (dernière connection réussie enregistrée hier à 20:20). Depuis, plus aucun utilisteur ni aucun appareil ne peut se connecter.

j'ai essayé les choses suivantes:

• installation de l'app "OpenVPN for Android" plutôt que celle d'OpenVPN, avec import du même fichier de config => échec
• création d'un nouveau fichier de config avec DDNS actuel => échec
• création d'un autre fichier de config avec DDN chez DuckDNS => échec
• vérification du statut de mon certificat via Control Panel / Sécurité / Certificat: il est bien toujours en cours de validité (pas mal de problèmes similaires sur le net semblent pointer le renouvellement du certificat comme solution, mais dans mon cas le certificat est toujours ok

Bref, je commence à caler, quelqu'un aurait une suggestion? merci!

[CMDC]

Il y a 5 heures, guillb a dit :

Je n'arrive plus à connecter mes appareils au NAS via OpenVPN,

Sous quelle forme, n'arrives tu plus à te connecter ? SMB, DSM, SSH ? 

[guillb]

Merci pour la réponse, je me suis pris la tête sur le problème une partie de la journée, sans solution à ce stade, mais avec une théorie.

Pour répondre à ta question d'abord, en local, tout fonctionne: SMB, DSM, WebDav etc. Pour le SSH, je ne saurai pas dire, je ne l'utilise jamais.

Là ou ça pêche c'est pour tous mes accès distants.

J'avais configuré plusieurs accès extérieurs:

• d'abord un accès routeur (un Asus RT-AX58U) pour faire de l'admin à distance de temps en temps, via des DDNS fournies par ASUS et DuckDNS
• un accès à Calibre-Web via un DDNS (No-IP) cette fois, qui allait taper l'addresse routeur et via un port forwarding (je sais, pas top, mais je ne pense pas laisser le port ouvert sur le long terme, juste le temps d'explorer un peu Calibre-Web en remote) me permettait d'accéder à Calibre-Web à distance
• un accès à VPN Serveur ou j'ai configuré OpenVPN. La config là c'est que j'utilise une DDNS synology qui pointe vers le routeur, et il y a un port forwarding sur OpenVPN. C'est ce que j'utilise le plus (en 4G ou sur un autre réseau, je lance l'app OpenVPN client sur mes appareils et je me connecte au NAS comme si j'étais en local)

Depuis ce matin, plus rien ne marche, je n'avais identifié que le problème OpenVPN avant le premier post. Du coup je pense que le problème n'est pas lié à OpenVPN, mais ailleurs. Pour tester si les apps clients étaient ok, je les ai configuré avec l'adresse du NAS en local et si je suis sur le même réseau, les apps trouvent le NAS sans problème. Si je les reconfigure avec la DDNS que j'utilisais avant, elles rament et n'établissent aucune connection.

 

Je suis passé aux investigations côté routeur à présent. L'adresse WAN IP du routeur est à présent du type 100.xx.xx.x

Je n'en suis pas absolument certain, mais il me semble que par le passé elle était du type 155.x.xxx.xxx (d'ailleurs dans le NAS / Control Panel / External Access / DDNS; les adresses externes des fournisseurs DDNS Syno et DuckDNS référencent toujours cette adresse en 155.x.xxx.xxx)

Côté routeur dans Advanced Settings / WAN / DDNS, je lis les informations suivantes "The wireless router currently uses a private WAN IP address. This router may be in the multiple-NAT environment and DDNS service cannot work in this environment." Et par ailleurs l'adresse DDNS Asus est correctement enresgitrée ("The host name is successfully registered. You can use "[hostname].asuscomm.com" to access the service in home network from WAN. Use "[hostname].asuscomm.com" to remotely access your network")

 

Donc ma théorie, c'est que avant le routeur avait 155.x.xxx.xxx comme WAN IP, mais pour une raison qui m'échappe, a maintenant 100.xx.xx.x.

Toutes mes DDNS pointent vers la première, et du coup plus aucune ne marchent maintenant que le WAN IP a basculé sur l'autre. J'ai essayé de configurer les DDNS vers la nouvelle addresse mais rien ne marche, cette nouvelle adresse n'est même pas identifiée par le service Syno, qui voit toujours l'autre  en 155.x.xxx.xxx dans la liste des adresses possible pour du DDNS. D'ailleurs, ce que je ne comprends pas, c'est que quand je fais un whatsmyip de n'importe lequel de mes appareils en local, je retombe toujours sur l'adresse en 155.x.xxx.xxx (ça c'est plutôt positif), mais pourquoi bon dieu le routeur a l'autre en 100.xx.xx.x qui semble bloquer le DDNS.

En référence au texte en anglais plus haut, le devéloppement de ma théorie c'est que cette nouvelle IP en 100.xx.xx.x est une WAN IP privée qui bloque le DDNS.

Voilà, j'en suis là. Demain je contacte le support de mon fournisseur d'accès, pour leur demander s'ils ont changé quelque chose de leur côté et s'il est possible de commander une WAN IP publique.

Voilà, je ne sais pas si ça tient la route tout ça (commentaires appréciés...), je ne suis pas un pro du réseau et du DDNS, j'ai appris plein de choses aujourd'hui mais ce sera mieux quand tout fonctionnera comme avant.

 

Merci d'avoir lu, et si quelqu'un met le doigt sur le problème et sait comment le régler, je preneur!

Modifié le 13 février par guillb

[morgyann]

il y a une heure, guillb a dit :

d'abord un accès routeur (un Asus RT-AX58U)

C'est le routeur principal de ton réseau (Box en bridge) ou c'est un périphérique (et c'est ta box qui assure la fonction routeur première du réseau) ?

[guillb]

Il y a 8 heures, morgyann a dit :

C'est le routeur principal de ton réseau (Box en bridge) ou c'est un périphérique (et c'est ta box qui assure la fonction routeur première du réseau) ?

ça ressemble à ça chez moi (je mets une photo pour être plus clair...)

En gros la boîte grise fait partie de la baraque, le cable rouge part sur le routeur comme on peut le voir, l'autre va en direct sur la télé. La boite grise n'a pas vraiment de fonction routeur, elle permet juste de connecter le routeur à internet. je sais pas si c'est une configuration classique pour la France (j'habite à l'étranger)

 

 

En complément: sur un autre forum j'ai trouvé cette info (je peux ajouter le lien si c'est autorisé sur celui-ci), en réponse à un autre qui a apapremment le même problème que moi:

"If the IP reported by the asus starts with any of the following it is a private IP:
10.
192.168.
172.16 through 172.31
100.64 through 100.127

If it is one of the first 3, your "modem" is probably actually a router. So you could go in there and do port forwarding or put the asus in DMZ. You may even be able to set it to bridge mode from the management interface. With bridge mode, DDNS will just work as your Asus will now get a real IP. With DMZ or port forwarding you'll still need to work around the DDNS issue. I could have sworn the asus had an option somewhere to check the IP remotely rather than grab it from local WAN interface, but can't find it. But there are clients you can run on a PC, NAS, etc that can do the updates for you based on retrieving the IP from a site like whatsmyip. Won't be as fast to update as looking at the WAN, but it works.

The 4th one is CGNAT so that would mean your modem is a modem and your carrier is doing NAT on their side. Some will let you request a "real" IP, some charge for it, some don't. "

Le WAN IP que je peux lire sur mon routeur (100.xx.xx.x) m'indique que je suis dans le 4ème cas => CGNAT (faut que je me renseigne plus sur ce que ça veut dire)

Il est suggéré dans la réponse en anglais que je peux demander une "real IP" (je comprends une IP publique que les DDNS pourront utiliser) à mon fournisseur d'accès, ce que je vais faire dès qu'ils ouvrent aujourd'hui (j'ai trouvé sur leur site qu'ils ont un formulaire pour commander des IP publiques).

Plus loin sur ce même message, il est indiqué que je peux avoir une solution par VPN ("If none of that, then your only option is to use a VPN. Ones that allow you inbound access/port mapping will most likely have a monthly fee though. You must establish the VPN from within your network (behind the private IP) then you will be able to have remote access. If you have a second location, you could create your own VPN from the problematic site to that second site and route the traffic through there.")

J'ai déjà un abonnement VPN, j'ai les clients sur mes différents appareils, je peux le configurer dans le routeur aussi mais je me demande comment les choses se passent après pour accéder au NAS depuis l'extérieur quand le VPN est activé. Y a des tutos sur le forum pour cette approche? Merci

Modifié le 14 février par guillb

[cadkey]

En France le probleme arrive quand l'opérateur passe sans prévenir le client en IPv6 + IPv4 Cgnat via une mise à jour de la box. Du coup l'adresse IP est partagée à plusieurs et tous les ports ne sont plus disponibles pour gérer le NAS
Dans ce cas il faut demander à l'opérateur à revenir en IPv4 Fullstack, ce que tu avais probablement avant.
Cela se fait rapidement et sur simple demande au service client, via X (twitter) par exemple en France.

Modifié le 14 février par cadkey

[guillb]

ok, un peu de suivi: tout est rentré dans l'ordre, mon ISP m'a assigné une IP publique et tout fonctionne.

Les DDNS pointent vers la nouvelle adresse, et du coup je peux réutiliser OpenVPN comme avant. Merci pour vos réponses sur ce thread.

Juste une petite question subsidiaire pour les plus courageux: dans le NAS dans le panneau de config / accès externe / DDNS, j'ai le DDNS de DuckDNS qui échoue. Par contre quand j'édite la connection et que je fais le test, il est réussi. Et au final OpenVPN fonctionne aussi avec mon DDNS DuckDNS. Une idée pourquoi il y a cette différence de statut?

[CMDC]

Il y a 6 heures, cadkey a dit :

En France le probleme arrive quand l'opérateur passe sans prévenir le client en IPv6 + IPv4 Cgnat via une mise à jour de la box. Du coup l'adresse IP est partagée à plusieurs et tous les ports ne sont plus disponibles pour gérer le NAS
Dans ce cas il faut demander à l'opérateur à revenir en IPv4 Fullstack, ce que tu avais probablement avant.
Cela se fait rapidement et sur simple demande au service client, via X (twitter) par exemple en France.

Je confirme : Le passage des installation domestiques, ainsi que des smartphones, en IPV6 , génère pas mal de dégâts collatéraux !

Personnellement , afin de pouvoir utiliser la connexion Open VPN entre mon Smartphone et mes NAS, j'ai été obligé de dénaturer ma connexion en IPV4  

Modifié le 14 février par CMDC