Synology Accès impossible au NAS via VPN server après migration IPV4 vers IPV6

[Bibou]

Bonjour à tous,

J'ai eu la mauvaise surprise de voir que mon opérateur de fibre (SFR) avait procédé a la migration de ma ligne d'IPV4 à IPV6.
J'ai pu heureusement reconfigurer le transfert de ports pour autoriser toutes les applications du reverse proxy accessibles depuis l'extérieur.
ça fonctionne.

Par contre je n'arrive toujours pas à configurer OpenVPN dans VPN server pour accéder au NAS depuis l'extérieur. C'est très embettant.
J'ai donné au NAS une IP fixe IPV6 dans la box.
J'ai exporté le fichier de configuration en remplaçant la nouvelle adresse IP externe mais rien à faire.

Quelqu'un a-t-il une idée?

Merci beaucoup!

 

[Chon]

Salut,
Le port dédié à OpenVPN est bien ouvert pour le NAS sur la box ?

 

[Bibou]

Oui effectivement il est ouvert.
Au niveau des interfaces j'ai configuré l'IPV6 comme suit:


L'adresse IPV6 est celle que j'ai rendu statique dans le DHCP IPV6 de ma box.
Quelque chose est mal configuré?

Merci beaucoup de ton aide.

 

[Chon]

Si le port est bien ouvert sur la box, je sèche...

 

[Bibou]

Quand on édite le fichier de configuration OpenVPN, quelle adresse IP je dois renseigner au début du fichier?
Le soucis vient peut être de là...

 

[Chon]

Salut,

On est bien d'accord que tu as bien établi une connexion sécurisée pour ton NAS via un DDNS type "myqnapcloud.com" ou autre avec certificat ?
Si ce n'est pas le cas, et ce n'est pas recommandé du tout, tu passes par l'adresse IP WAN (publique) de ta box, sachant que celle-ci, suivant ton FAI est susceptible de changer et donc de perdre la connexion.

Qu'appelles-tu "début du fichier" ?

Le fichier ovpn normalement ressemble à ça :

## How to setup OpenVPN client?
## 1. Install OpenVPN software on your platform.
## 2. Double click <ma_config>.ovpn file to create new connection profile.
## 3. Type username and password while connection.

client
dev tun
script-security 3
remote <mon_nas>.myqnapcloud.com <port défini pour OpenVPN> ou <IP WAN de la box> <port défini pour OpenVPN>
resolv-retry infinite
nobind
auth-nocache
auth-user-pass
remote-cert-tls server
reneg-sec 0
cipher AES-128-CBC
tls-cipher TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA
comp-lzo
proto udp
explicit-exit-notify 1
<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>

La ligne qui nous intéresse ici est la ligne qui commence par "remote".

Soit tu écris "Le_NAS_de_Bibou.myqnapcloud.com 1194" soit "IP_WAN_de_la_box_de_Bibou 1194" en supposant que tu aies gardé le port 1194 par défaut.

 

[Bibou]

Salut,

On est bien d'accord que tu as bien établi une connexion sécurisée pour ton NAS via un DDNS type "myqnapcloud.com" ou autre avec certificat ?
Si ce n'est pas le cas, et ce n'est pas recommandé du tout, tu passes par l'adresse IP WAN (publique) de ta box, sachant que celle-ci, suivant ton FAI est susceptible de changer et donc de perdre la connexion.

Qu'appelles-tu "début du fichier" ?

Le fichier ovpn normalement ressemble à ça :

## How to setup OpenVPN client?
## 1. Install OpenVPN software on your platform.
## 2. Double click <ma_config>.ovpn file to create new connection profile.
## 3. Type username and password while connection.

client
dev tun
script-security 3
remote <mon_nas>.myqnapcloud.com <port défini pour OpenVPN> ou <IP WAN de la box> <port défini pour OpenVPN>
resolv-retry infinite
nobind
auth-nocache
auth-user-pass
remote-cert-tls server
reneg-sec 0
cipher AES-128-CBC
tls-cipher TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA
comp-lzo
proto udp
explicit-exit-notify 1
<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>

La ligne qui nous intéresse ici est la ligne qui commence par "remote".

Soit tu écris "Le_NAS_de_Bibou.myqnapcloud.com 1194" soit "IP_WAN_de_la_box_de_Bibou 1194" en supposant que tu aies gardé le port 1194 par défaut.

Effectivement j'ai activé le DDNS pour avoir une connexion du type: synology.me
Dans le fichier de config Open VPN, en parlant de "début de fichier" je parlais effectivement de la ligne remote.

Bon finalement j'avais aussi perdu le reverse proxy et ça m'a mis la puce à l'oreille: l'adresse IPV6 du NAS avait changé!
J'ai donc remis une adresse statique dans la box pour le NAS, désactivé le DHCP v6, configuré le pare feu avec la nouvelle adresse IPV6 du NAS, laissé le DHCP du NAS en auto et réédité un fichier config openVPN en mettant l'adresse IPV6 du NAS après "remote".

Maintenant tout refonctionne! Ouf!

Merci à toi pour ton aide!

 

[Bibou]

Bonjour à tous,

Faux espoirs! Finalement tout ne refonctionnait pas comme avant. 1 an après j'ai un peu avancé mais pas tant que ça.
Mes services reverse proxy refonctionnent sur des appareils android uniquement. J'ai constaté que certains PC sous windows n'avaient pas le protocole IPV6 activé. ça a résolu une partie du problème.

Par contre je ne peux accéder au VPN que lorsque je suis connecté au même réseau que le NAS.
Depuis l'extérieur (avec une connexion 4G d'un téléphone par exemple et en partage de connexion), ça ne fonctionne pas.

Je désespère. Le DHCPv6 de la box est désactivé. J'ai donné une adresse IPV6 statique au NAS dans la box.
Dans le pare-feu de la box, le port OpenVPN est ouvert ainsi que ceux des autres services qui m'intéressent.
Dans le NAS, la connexion IPV6 est configurée sur DHCPv6-PD.
Dans le fichier de configuration OpenVPN j'ai renseigné l'adresse IPV6 du NAS après "remote"

A votre avis:

Pourquoi je ne peux pas accéder au reverse proxy sur les PC (en local ou en extérieur)?
Pourquoi je ne peux pas accéder au VPN à l'extérieur (android ou PC)?

Je pense au pare-feu du NAS: j'ai bien ouvert les ports correspondants mais pour une plage d'adresse IPV4. Faut-il configurer le pare-feu aussi pour des adresses IPV6?
Si oui, comment faire?

Merci pour votre aide