Problème VPN

[Wilfred]

Bonjour à tous !

En voulant configurer le reverse proxy et le DNS sur mon synology je me suis retrouve devant un problème, en regardant d'où pouvais venir le prob, j'ai vu que mon vpn ne fonctionnait pas très bien.

J'ai suivi le tuto sur le VPN mais j'ai toujours un problème sur la connexion vers mon nas en tapant l'ip locale.

J'ai configuré OpenVPN comme ceci : 

Si j'ai bien compris, je coche "Autoriser aux clients l'accès au serveur LAN" si je veux accéder à d'autres équipements de mon réseau, personnellement je veux accéder seulement au NAS.

 

Ensuite j'ai vérifié que le vpn passe sur la bonne interface réseau, j'ai également ouvert le 49423 sur ma box en UDP, dans le pare-feu du nas j'ai également autorisé toutes les ip (France) à accéder à ce port.

 

Sur mon iPhone, je vois bien la connexion d'établi et je vois aussi mon iPhone dans la "Liste de connexion". Donc la connexion est bien établi mais je n'arrive pas à accéder au nas 😐

Je me demande si le problème ne vient pas de ma box?

Est-ce que quelqu'un aurait une idée svp?

Merci d'avance !

Modifié dimanche à 08:56 par Wilfred

[Mic13710]

Si vous ne donnez pas accès au LAN, vous ne pouvez pas accéder au NAS par son IP LAN et votre serveur DNS local ne peut pas non plus être utilisé puisqu'il n'est pas accessible. Le seul accès disponible est via l'IP du VPN soit 10.5.0.1:5000

[Wilfred]

@Mic13710 Ok je comprend mieux, donc pour pouvoir accéder à mon nas via l'ip 192.168.X.X je dois cocher cette case.
Je vais faire ça

 

@Mic13710 Je viens de cocher cette case mais le vpn ne fonctionne toujours pas.

Après avoir cocher, j'ai réexporté la configuration, j'ai mis le DDNS et le port ip, j'ai également mis le DNS avec l'ip locale de mon nas mais ça ne fonctionne toujours pas. J'ai tapé l'adresse ip locale de mon nas sur le navigateur, avec le port HTTPS mais rien 😐
Pourtant je vois bien la connexion d'établi dans la liste de connexion sur le nas.

Je comprend pas😭

[Mic13710]

Est-ce que la plage d'IP privée 10.0.0.0/255.0.0.0 est autorisée dans le parefeu , ou au minimum la plage de votre VPN, pour vous 10.5.0.0/24 ou encore plus restrictif 10.5.0.1 à 10.5.0.6 ?

Si oui, essayez en désactivant temporairement le parefeu.

Il faudrait aussi donner une copie du fichier de conf en masquant les données personnelles.

[Wilfred]

@Mic13710

J'ai essayé en désactivant mon pare-feu mais ca ne fonctionne pas
Voici un screen de ma config, mon pare-feu et la redirection des ports de ma box

Modifié dimanche à 11:57 par Wilfred
Ajout redirection des ports

[Mic13710]

Rien de choquant à priori. 3 petites choses à corriger :

# instruction cipher supprimée et remplacée par data-ciphers-fallback AES-256-CBC
# pour supprimer le warning à l'ouverture de la connexion
# cipher AES-256-CBC
data-ciphers-fallback AES-256-CBC

et :

auth-user-pass
# la ligne suivante a été rajoutée pour supprimer l'alerte sur le client
# this configuration may cache passwords in memory 
auth-nocache
<ca>

et en fin de fichier :

</tls-auth>
#verify-x509-name '<votre e-mail>' name
#ligne ci-dessus générée par le fichier de configuration
#remplacée par 
verify-x509-name 'certificat.vpn' name

Mais ce sont des modifs mineures qui ne devraient pas changer fondamentalement les choses.

L'IP 10.5.0.1 n'est elle pas bloquée dans le module sécurité ? Il faudrait rajouter la plage du VPN dans les IP autorisées pour éviter les blocages.

A quoi sert le port 32400 ?

Est-ce que le certificat a bien été associé au serveur VPN avant l'activation et la création de la partie Open VPN ?

[Wilfred]

@Mic13710 J'ai fait les modifications  et je voulais aussi savoir où est ce que j'ajoute

</tls-auth>
#verify-x509-name '<votre e-mail>' name
#ligne ci-dessus générée par le fichier de configuration
#remplacée par 
verify-x509-name 'certificat.vpn' name

Est-ce que je l'ajoute vraiment tout à la fin
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
</tls ....

ou avant <ca> ....

 

 

Citation

L'IP 10.5.0.1 n'est elle pas bloquée dans le module sécurité ? Il faudrait rajouter la plage du VPN dans les IP autorisées pour éviter les blocages.

Est-ce que c'est de ça que tu parles?

 

Citation

Est-ce que le certificat a bien été associé au serveur VPN avant l'activation et la création de la partie Open VPN ?

 Est-ce que tu parles de ça? si oui, je pense que je l'avais fait après la création de openVPN

Citation

A quoi sert le port 32400 ?

 Le port 32400 c'est pour Plex

 

Modifié dimanche à 12:44 par Wilfred
screen certificat

[Mic13710]

il y a 28 minutes, Wilfred a dit :

Est-ce que je l'ajoute vraiment tout à la fin

N'est ce pas ce que j'ai dit ?

Vous devez avoir en fin de fichier :

</tls-auth>

Et bien c'est là.

Pour le reste, avez-vous suivi les pistes de recherches proposées dans le Tuto ?

[Wilfred]

@Mic13710 C'est ce que j'ai fait mais j'ai un message d'erreur lorsque j'essaye de me connecter sur mon téléphone. Je pense qu'il manque l'ouverture de la balise mais je ne sais pas où le mettre 😕

[Mic13710]

Si vous avez tout mis en vrac à la fin du fichier, normal que ça ne fonctionne pas.

data-ciphers-fallback AES-256-CBC

vient à la place de :

cipher AES-256-CBC

 

auth-nocache

est à placer avant <ca> et,

#verify-x509-name '<votre e-mail>' name
#ligne ci-dessus générée par le fichier de configuration
#remplacée par 
verify-x509-name '<Le nom du certificat qui couvre le vpn>' name

est à placer en toute fin du fichier

[Wilfred]

J'ai. bien remplacé ces ligne (j'ai commenté l'ancienne) et j'ai ce fichier configuration

[Wilfred]

j'enlève </tls...> ?

 

[Mic13710]

Est-ce que j'ai dit " à la place de" ?

Quand j'écris "en toute fin de fichier", c'est exactement ce que ça veut dire : en toute fin de fichier

[Wilfred]

Donc si j'ai bien compris, mon fichier config devrai ressembler à ça ?