Mise en place d'un VPN a titre perso

[marty450]

Bonjour à tous,

Je débute avec mon premier NAS que j’utilise à titre perso.
Je souhaite uniquement ouvrir mon NAS à l’extérieur pour avoir accès a mon Drive via mon smartphone.
Je souhaite maximiser la sécurité et donc passer via un VPN.

J’ai bien vu le tuto sur le VPN, pas de problème pour mettre en place.

J’avais 3 interrogations :

- Coté serveur (mon NAS), ayant un IP dynamique, je suis obligé de mettre un DYNDNS en place ou il y a-t-il une autre solution ?

- coté client (mon smartphone Android) : Pour utiliser l’application synology Drive, je dois donc également lancer OpenVPN au préalable. Par défaut, le fichier de config exporté depuis VPN serveur du NAS fait il bien du Split Tunnel ou alors du Full Tunneling, et envoi la totalité de la navigation internet dans le VPN ?

- Enfin, est il possible que openVPN se lance uniquement lorsqu’on utilise l’application drive ? Je vais me connecter que quelques fois par semaine, c’est dommage d’avoir une connexion permanente client serveur .

En vous remerciant pour vos retours d’expériences.

[Kramlech]

il y a 5 minutes, marty450 a dit :

Coté serveur (mon NAS), ayant un IP dynamique, je suis obligé de mettre un DYNDNS en place ou il y a-t-il une autre solution ?

Si ton fournisseur d'accès ne te propose pas d'avoir une IP fixe, le DynDNS est la solution la plus simple (il existe d'autres solution en passant par un serveur relai, mais bien plus complexes).

il y a 10 minutes, marty450 a dit :

coté client (mon smartphone Android) : Pour utiliser l’application synology Drive, je dois donc également lancer OpenVPN au préalable. Par défaut, le fichier de config exporté depuis VPN serveur du NAS fait il bien du Split Tunnel ou alors du Full Tunneling, et envoi la totalité de la navigation internet dans le VPN ?

Aucune idée, personnellement j'utilise WireGuard

il y a 11 minutes, marty450 a dit :

Enfin, est il possible que openVPN se lance uniquement lorsqu’on utilise l’application drive ? Je vais me connecter que quelques fois par semaine, c’est dommage d’avoir une connexion permanente client serveur .

Le serveur VPN peut être actif continuellement (c'est d’ailleurs son rôle), la connexion est initiée à la demande du client. Tu as donc la main sur ton smartphone pour lancer ou non cette connexion ...

[marty450]

Merci Kramlech pour ton retour ultra rapide.

OK, pour le DynDNS. J’ai toujours une réticence à en mettre un en place car j’imagine toujours que du fait du référencement dans un DNS, on publie d’une certaine manière notre IP et que donc notre sécurité est moindre. Peut-être à tort.

C’est noté pour ton expérience sur le VPN, faut que je creuse car je ne n’ai pas d’intérêt sur mon smartphone à passer tout mon flux internet sur le VPN du NAS. Je suis dans un cas différent d’un VPN grand public. Ici, c’est juste pour sécuriser un maximum mon accès au NAS.

Modifié le 26 mars par marty450

[Kramlech]

il y a 21 minutes, marty450 a dit :

on publie d’une certaine manière notre IP et que donc notre sécurité est moindre

Une IP, ce n'est qu'une série de chiffres, tu ne peux pas la cacher. Si je tape au hasard l'IP 123.132.145.21, une recherche sur Whois me donne des informations sur cette IP. C'est comme des coordonnées GPS : personne ne peut m'interdire d'aller voir à quel point du globe correspond des coordonnées GPS.

A partir du moment où tu es connecté à Internet, tu as une adresse IP, et il est impossible d'interdire a quelqu'un de venir "frapper à la porte" de cette IP.

il y a 36 minutes, marty450 a dit :

car je ne n’ai pas d’intérêt sur mon smartphone à passer tout mon flux internet sur le VPN du NAS. Je suis dans un cas différent d’un VPN grand public. Ici, c’est juste pour sécuriser un maximum mon accès au NAS.

Ce que tu veux, c'est que depuis ton smartphone, seule l'application Drive se connecte au VPN, et que le reste du flux internet passe par le chemin normal ?

Alors là, il va falloir que d'autres intervenants plus compétant que moi passent par ici ... Désolé ...

[marty450]

Merci Kramlech pour ton retour.
Visiblement, le config de base est bien en split tunneling avec le fichier d'export du syno mais je veux bien une confirmation par un membre du forum.