openVpn et pare-feu

[fredmel]

Bonjour,

Je voudrais avoir votre avis au sujet d’un accès distant à mon NAS.

J’utilise un NAS Synology DS923+  pour les PC de mon domicile uniquement. Je l’utilise tout le temps en réseau local mais de temps en temps je voudrais pouvoir l’utiliser lors de mes déplacements.

J’installe et paramètre donc OpenVpn et DDNS synology.  J’ai ouvert les ports qui vont bien sur la livebox 6.
Sur le PC distant, j’utilise OpenVPN  connect.

Mon souci est le pare-feu de DSM.
Si je désactive le pare-feu complètement, tout fonctionne très bien, l’accès à mon NAS à distance est parfait. Si je mets une seule règle dans le pare-feu dans « Toutes les interfaces », l’accès au NAS ne fonctionne plus.

 

J’ai essayé 1000 paramétrages, voici ce qui fonctionne bien.

Dans l’interface « LAN 1 », j’ai quelques règles qui n’autorisent que le réseau local.
Dans « toutes les interfaces », « LAN 2 », « PPPoE », VPN, je n’ai aucune règle.
Dans l’interface « VPN », j’ai coché, « si aucune règle n’est remplie autoriser l’accès ».

Pouvez-vous me dire si c’est normal, cela me fait bizarre d’ouvrir complètement le pare-feu à tous les ports dans l’interface « VPN » ?
Autre question, sur ma livebox 6 j’ai activé le service UPnP, est-ce que c’est risqué ?

Merci d'avance

[Mic13710]

2 tutos devraient vous intéresser :

 

Et non, on n'active pas UPnP.

[fredmel]

Merci pour ta réponse,

je viens de désactiver l'UPnp, en fait je pensais que beaucoup d'applications ne fonctionneraient plus, ce n'est pas le cas, tant mieux.

Pour les tutos conseillés, je les ai lu et j'en ai lu et vu des dizaines mais nul part quelqu'un ne parle de l'interface "VPN" du pare-feu.
J'ai autorisé un accès total sur cet interface, je n'y ai mis aucune règle. Si je ne fais pas ça OpenVPN connect distant ne se connecte jamais à mon NAS.

Mais sur l'interface "LAN 1" je n'ai évidemment ouvert que le port et les ip de OpenVPN.

Pouvez-vous me dire si c'est bon au niveau sécurité ?

Je me rends compte que au bout de 10 minutes de connexion, le ping sur mon NAS et sur le réseau local est OK, mais mon explorateur de fichier windows n'ouvre plus les dossiers du NAS et l'administration de DSN via firefox est inaccessible. Je suis obligé de déconnecter et de reconnecter OpenVPN et je devrais recommencer dans 10 min etc...
Avez-vous une idée ?

Merci encore

Modifié jeudi à 23:59 par fredmel
ajout de problème

[Mic13710]

C'est sur que si vous n'ouvrez pas les plages de ports de votre réseau local, vous ne pouvez pas atteindre votre LAN.

Il y a 11 heures, fredmel a dit :

Pour les tutos conseillés, je les ai lu et j'en ai lu et vu des dizaines

C'est bien de les lire, encore faudrait-il les mettre en pratique sinon la lecture n'apporte rien à la sécurisation des accès au NAS 😉

Et les règles du parefeu concernant les IP privées peuvent être ajustées à votre besoin mais ne sont pas optionnelles.

[fredmel]

Merci pour votre réponse, désolé mais sur mon image du pare-feu on ne voit pas les règles du réseau local mais elles y sont bien.

j'ai aussi installé Synology drive, il est installé sur 3 PC de mon domicile pour synchronisation de certains dossiers.
Aussi, j'effectue une sauvegarde incrémentielle vers un disque dur USB 1 fois par semaine avec Hyper backup.
Je n'ai aucun problème tout ça a été mis en place très rapidement et facilement grâce aux tutoriels.
Je trouve que DSM est super et très convivial, j'adore, en même temps c'est mon premier NAS je n'en connais pas d'autre.

Maintenant, je veux l'utiliser depuis l’extérieur, alors j'ai mis en place une connexion à distance avec openVPN qui me parait mieux que QuickConnect.
J'ai mis ça en place encore une fois assez rapidement grâce aux tutos.

Tout fonctionne parfaitement, mais que 10 minutes, après je suis obligé de déconnecter openVPN connect de la machine distante et de reconnecter. En fait au bout de 10 minutes je n'ai plus accès aux fichiers via explorateurs de fichiers, et je n'ai plus accès à l’administration du NAS, mais bizarrement, je ping sur toutes les machines de mon NAS.
J'ai testé en désactivant le pare-feu, le problème est identique.
Pour faire le test je connecte le PC distant sur mon Samsung S21 en partage de connexion.

Avez-vous une idée d’où peut venir ce problème ?
peut-être le fichier ovpn ?

Merci d'avance

 

Du coup, comme ce n'est plus le même problème, le pare-feu, on va dire qu'il fonctionne. Le problème maintenant est la déconnexion au bout de 10 minutes.

[fredmel]

Excusez-moi mais, on a supprimé mon sujet qui parle de déconnexion OpenVPN.
Comment dois-je faire pour exposer ce problème de déconnexion puisque ce post actuel n'a pas un titre pertinent ?
Je dois utiliser mon NAS professionnellement prochainement via OpenVPN et je suis un peu stressé à l'idée qu'il ne puisse pas fonctionner.
Si mon problème n'a pas droit à être exposé, dîtes le moi, je n'insisterai pas.
Merci et encore désolé

[fredmel]

EURÊKA,
pour les problèmes d'accès aux dossiers du NAS, je pense avoir trouvé, il faut baisser la valeur de l'option Mssfix (MTU).
Ça se trouve dans le paramétrage de openVPN.

Mon PC distant est connecté à internet via mon Samsung en partage de connexion sur et je suis orange, il faut ajuster le MTU en fonction de l'opérateur que l'on a.
J'ai mis le MTU à 1400 et tout fonctionne parfaitement. Voici le lien qui en parle : https://forum.netgate.com/topic/147888/connexion-openvpn-ok-mais-problème-d-accès-aux-dossiers-suivants-les-opérateurs/3

Le lien est assez vieux pourtant, ça marche. J’espère que cela ne va pas provoquer d'autres problèmes, je n'ai pas le temps d'approfondir le sujet.
Si ça peut aider quelqu'un ?

Merci