Synology Aide pour connexion à distance

[MilesTEG]

@Bouyaka
Si je comprends bien , tu te connectes au serveur OpenVPN depuis l’extérieur de ton LAN : par exemple via la 4/5G de ton smartphone ou depuis le wifi de quelqu’un d’autre ?
Si c’est bien ça et que tu es bien connecté au serveur VPN, tu devrais avoir accès au lan.

As-tu bien lu le ReadMe qui vient avec le fichier .ovpn ?

To set up an OpenVPN client on Windows:

1. Install OpenVPN client on Windows
*An OpenVPN client on Windows is called OpenVPN GUI.
*Download it from http://openvpn.net/index.php/open-source/downloads.html and install the client.
*The default installation directory is C:\ProgramFiles\OpenVPN.

2. Run OpenVPN GUI as administrator.

3. Edit VPNConfig.ovpn and replace YOUR_SERVER_IP with public IP of your Router.
*Remove # before "redirect-gateway def1" to route all client traffic (including web-traffic) through this VPN Server.

4. Put VPNConfig.ovpn into the config subdirectory under OpenVPN directory
(ie. C:\Program Files\OpenVPN\config\).

==============================================================================

To set up an OpenVPN client on Mac:

1. Install OpenVPN client on MAC
*An OpenVPN client on Mac OS X is called Tunnelblick.
*Download it from http://code.google.com/p/tunnelblick/ and install the client.

2. Launch Tunnelblick.

3. Click Create and open configuration folder button; a Finder window will appear with the configuration folder.

4. Edit VPNConfig.ovpn and replace YOUR_SERVER_IP with public IP of your Router.
*Remove # before "redirect-gateway def1" to route all client traffic (including web-traffic) through this VPN Server.

5. Put the files of VPNConfig.ovpn into the configuration folder.

==============================================================================

To set up an OpenVPN client on Linux:

Please refer to the official documentation provided by
OpenVPN http://openvpn.net/index.php/open-source/documentation.html for more information.

==============================================================================

To set up an OpenVPN client on Android:

1. Install OpenVPN client on Android
*An OpenVPN client on Android is called OpenVPN Connect.
*Download it from Google Play and install the client.

2. Edit VPNConfig.ovpn and replace YOUR_SERVER_IP with public IP of your Router.
*Remove # before "redirect-gateway def1" to route all client traffic (including web-traffic) through this VPN Server.

3. Import VPNConfig.ovpn.

==============================================================================

To set up an OpenVPN client on iOS:

1. Install OpenVPN client on iOS
*An OpenVPN client on iOS is called OpenVPN Connect.
*Download it from Apple Store and install the client.

2. Edit VPNConfig.ovpn and replace YOUR_SERVER_IP with public IP of your Router.
*Remove # before "redirect-gateway def1" to route all client traffic (including web-traffic) through this VPN Server.

3. Add a line "setenv CLIENT_CERT 0" in the end of VPNConfig.ovpn.

4. Import VPNConfig.ovpn.

Il te faut donc avoir cette ligne :

redirect-gateway def1

Et une autre si le client est macOS ou iOS.

Une dernière chose, et pas des moindre : le parefeu du NAS.
L'as-tu configuré pour autoriser le sous-réseau du VPN à accéder au NAS ?

Pour plus d'explication, voir mon tuto : https://www.forum-nas.fr/threads/mi...uration-du-pare-feu-du-nas.18791/#post-121486

 

[Bouyaka]

D’accord,
Donc si via OpenVPN je suis vu sur le LAN, et que je cherche à joindre mon NAS, il me faudra un Serveur DNS pour l’@ddns ou bien passer par l’adresse ip du NAS: portDrive comme disait @MilesTEG.

Je regarde tout ça, je vais essayer de voir le tuto de @MilesTEG sans passer par le vpn pour voir si déjà j’ai quelque chose.

 

[Bouyaka]

Désolé @MilesTEG je viens juste de voir votre dernier message

Le fichier est modifié en effet mais j’ai laissé le # redirect-gateway def1 pour être en Split, il faudrait que je sois en Full Tunneling du coup ?

Il y a la screenshot de mon pare-feu en message 10, je vous la repose ici

 

[MilesTEG]

Désolé @MilesTEG je viens juste de voir votre dernier message

Le fichier est modifié en effet mais j’ai laissé le # redirect-gateway def1 pour être en Split, il faudrait que je sois en Full Tunneling du coup ?

Il y a la screenshot de mon pare-feu en message 10, je vous la repose ici

Voir la pièce jointe 17111

La configuration du pare-feu me semble ok. Tu as mis les grosses plages d’ip lan

Pour le redirect-gateway, c’est pour que tout le trafic passe par le vpn, c’est préférable pour voir où se situe un problème…

 

[Bouyaka]

Bonjour @MilesTEG,

Veuillez m'excuser pout tout ce retard, le travail de nuit m'a trop flingué pour reprendre la configuration du NAS.
Je ne suis pas passé par la case TunnelBlick car pour le moment, la priorité est "que ça marche" en premier lieu, et ensuite sur iOS. Je regarderais TunnelBlick et la partie MacOS quand déjà tout ça sera fonctionnel.

Du coup, @DDNS toujours valide et statut normal.
Pour rappel, seul le port 1194 est ouvert sur ma Box (et c'est sûrement pour çà que ça ne marche pas).
Je n'ai pas indiqué de port dans le portail des applications pour Drive (et c'est sûrement pour çà que ça ne marche pas quitte à s'enfoncer).

Je viens de modifier le fichier .conf en y autorisant le Full Tunneling à l'@DDNS (et non pas vers l'@IP de ma Box).
Côté iOS j'arrive bien à me connecter à OpenVPN, je le vois dans le journal OpenVPN et dans la liste des connexions.
Mais rien n'y fait, aucun moyen d'accéder à quoi que ce soit.

En passant par mon navigateur mobile (4G):
- à l'@DDNS, connexion impossible.
- à l'@IPNAS en 192.x.x.x : j'ai une connexion non sécurisée qui s'affiche.
- via 10.x.x.x : j'ai une connexion non sécurisée qui s'affiche.
Je me demande vraiment si mon @ddns ne fait pas aussi parti du problème vu que ma Box ne gère pas le Loopback.

En passant par l'application Drive (4G):
- en 192.x.x.x : impossible de se connecter au serveur ("vérifiez les ports 443 et 5001" ou "80 et 5000" selon si je coche HTTPS au moment de me connecter)
- idem via une tentative de connexion en 10.x.x.x, il me retourne de vérifier les même ports selon HTTPS coché ou non.
- idem via @DDNS.

Je n'ai pas encore essayé votre tutoriel mais dès que je peux je m'y attèle !

 

[jeu2]

Je me demande vraiment si mon @ddns ne fait pas aussi parti du problème vu que ma Box ne gère pas le Loopback

Je l'écris de nouveau, le loopback n'a rien à voir avec une connexion depuis l'extérieur.
Le loopback n'est utile que pour un accès depuis le LAN vers le NAS et ses applications avec le NDD et les Sous-domaine du NDD. C'est du LAN-LAN.
Le DDNS sert uniquement à associer un nom de domaine à une adresse IP.
Suivez le tuto qui vous a été indiqué, le WAN/LAN ne fonctionne pas comme tu le penses.

 

[Bouyaka]

@jeu2

Merci de votre retour.
J'avais cru comprendre que le Loopback permettais de joindre une adresse sur le réseau via son nom et non son IP. Or je pensais simplement que via OpenVPN j'atterrissais sur le LAN et donc, n'ayant pas de loopback côté box ou de DNS Server d'installé sur le Synology, de facto je ne pouvais tomber sur aucune applications et consorts.
Mais c'est noté, je vais de ce pas lire et tenter de mettre en place le tutoriel ! Merci encore !

 

[bliz]

@Bouyaka , vous avez raison, en vpn vous êtes en lan, onc si vous voulez utilisez les dns, il faut le loopback. Sans Loopback, il faut utiliser les adresse ip du lan comme j'ai déjà expliqué avant ou alors installer et configurer le serveur dns du synology.

Perso, j'utilise les adresse ip, le vpn chriffrant déjà la connexion, pas besoin de https pour chiffrer une deuxième fois

 

[Bouyaka]

@jeu2
Je viens de tenter de mettre en place le tutoriel de @MilesTEG , et à mon grand regret, soit je suis une quiche. Soit je suis une MEGA QUICHE.

Voici mes règles de Pare-feu :



Voici le Reverse Proxy


Le Portail des Applications



Le Certificat


Mon NAT/PAT

(La zone noircie prend l'adresse IPV6 du NAS même site retrouve bien la V4 dans le commentaire en-dessous).



@bliz
Je n'ai pas désactivé le port 443 pour la suite de ce que je vais dire.
Je viens d'essayer de rentrer l'adresse IP de l'application Drive (en 192.x.x.x:HTTPS) dans l'application Drive :
- Sous OpenVPN, en décochant HTTPS dans l'application = imposible de se connecter au serveur.
- Sous OpenVPN en cochant HTTPS = je peux potentiellement m'y connecter mais je tombe sur connexion non sécurisée : "le certificat de sécurité de ce site n'est pas émis par une autorité de certification fiable". La date de validité correspond bien à mon certificat mais le nom de l'autorité ne s'affiche pas.
- Sous OpenVPN, dans mon navigateur mobile, @IPDrive:HTTPS = connexion n'est pas privée.
- Sous OpenVPN, dans mon navigateur mobile, @IPDSM:HTTPS = connexion n'est pas privée (j'ai bien défini un port différent pour DSM, mais je ne l'ai pas ouvert dans le Pare-feu ni Bbox, je présume que c'est à cause du port 443).

Sans OpenVPN, que nenni. Que ce soit via le navigateur ou l'application, l'@DDNS, l'@IP ou @drive.DDNS m'envoient aux fraises.


Vraiment, j'essaye de détailler tout ce que je peux !

 

[bliz]

Vous n'écoutez pas ce que je dis, dans ce cas, en utilisant le vpn et sans avoir le loppback, le nom de domaine ne fonctionnera pas, donc le resverse proxy non plus. Pour vous, cela fonctionnera si voous ouvrez le port sur votre boxe, dddonc sans vpn

allez dans les paramètres, portail de connexion, application et saisissez un port dans http (pas https) puis lorsque vous vous connectez en vpn, utilisez l'adresse http://ip_du_nas:port_saisie

cela fera genre : http://192.168.0.28:2006 par exemple, et là ça fonctionnera

 

[Bouyaka]

D'accord au temps pour moi.. Oui, là j'y ai accès ! Merci @bliz

Mais il y a vraiment des grosses zones d'ombre que je ne comprends pas (sans VPN je n'ai pas accès, avec VPN j'ai accès sans problème en HTTP mais en HTTPS fenêtre du certificat, seuls OpenVPN et ReverseProxy sont ouverts dans ma Box).
Ne devrais-je pas revoir l'ordre des mes règles de Pare-Feu ?

 

[bliz]

Mais il y a vraiment des grosses zones d'ombre que je ne comprends pas.

Lesquelles ?

édit : peut être le proxy qui ne sert plus sans loopback ou sans configurer le serveur dns du syno, il suffit de le décocher dans la case activé

 

[Bouyaka]

Ma box ne gère pas le Loopback, ça je l'ai bien retenu.
Etant donné que je ne compte utiliser que Drive, retenir un IP n'est pas dur pour moi et les personnes qui auront accès à Drive. Donc avoir accès uniquement via le nom n'était pas une prérogative.
La Translation de port pour OpenVPN était active.
Depuis l'extérieur, mon OpenVPN pointe soit sur mon DDNS (ou mon @IP Fixe).
Quand je souhaitais connecter dans l'application Drive, en étant sous OpenVPN, cela n'arrivait à rien sauf quand je rentrais l'adresse OpenVPN de mon NAS mais j'avais l'alerte de certificat non valide donc je n'allais pas plus loin n'étant pas sûr de ce que je faisais).
il m'était déjà arrivé d'y arriver par erreur mais j'avais tout retiré pour repartir sur une base saine et Secure.

Jusqu'ici je n'avait pas défini de port pour Drive, c'était sûrement là mon erreur (pourtant avec l'adresse 10.x.x.x c'était faisable mais je m'arrêtais au certificat).

Initiallement j'avais déjà changé les ports HTTP & HTTPS de DSM et mis la redirection.
Tout à l'heure j'ai voulu mettre en place le tutoriel du Reverse Proxy. J'ai donc attribué des port pour Drive (HTTP & HTTPS).
Mais selon ce je sélectionnais, j'avais l'alerte de certificat non valide.

Quand je ne suis pas sous OpenVPN je n'ai pas accès à mon NAS depuis la 4G.
Mais quand je l'active, j'y ai accès aussi bien sur mon navigateur mobile que via l'application.

Mes questions portent surtout sur :

en utilisant le vpn et sans avoir le loppback, le nom de domaine ne fonctionnera pas, donc le resverse proxy non plus. Pour vous, cela fonctionnera si voous ouvrez le port sur votre boxe, dddonc sans vpn

- Sous OpenVPN, j'ai accès mon Drive alors que je n'ai pas ouvert d'autres ports autre que 1194 & 443 du RP. Du coup, est-ce que c'est l'ordre de mon pare-feu qui fait que j'y ai accès ? Ou bien ais-je fais une manip que je n'aurais pas dû ?
- Sous OpenVPN, j'ai accès à DSM (ce dernier me redirige HTTP vers HTTPS, et j'ai cette fameuse information de la connexion n'est pas privée et certificat non fiable) alors que je n'ai pas ouvert d'autres ports autre que 1194 & 443.
- pourquoi le HTTP passe sans sourciller alors que le HTTPS c'est le contraire ?

- Un certificat est pour un nom de domaine, mais si je ne fais que rentrer mes @IP, il faudrait que je supprime mon DDNS ? Et que mon fichier de configuration OpenVPN pointe vers mon @IPFixe plutôt que mon DDNS ?

- Du coup à quoi me sert le Reverse Proxy avec OpenVPN ? Et dois-je laisser le port 443 ouvert ?


Je sais que ce sont des questions très basiques et bêtes pour vous, mais je ne sais pas si du coup, tout ce que je fais est valable et surtout conforme en terme de sécurité pour des usages de type "avoir accès à ses photos et les décharger dans son Drive depuis l'extérieur".

Désolé je préfère poser plein de questions afin de me rassurer et être sûr que ce que je fais est valide.

 

[bliz]

Depuis l'extérieur, mon OpenVPN pointe soit sur mon DDNS (ou mon @IP Fixe).

Vous pouvez vous connecter en vpn le dns de synology si c'est ça la question, il faut juste le configurer dans le fichier en éditant le fichier *.openvpn

Jusqu'ici je n'avait pas défini de port pour Drive, c'était sûrement là mon erreur (pourtant avec l'adresse 10.x.x.x c'était faisable mais je m'arrêtais au certificat).

le certificat en vpn ne fonctionne pas sans loopback, donc pas de https

- Sous OpenVPN, j'ai accès mon Drive alors que je n'ai pas ouvert d'autres ports autre que 1194 & 443 du RP. Du coup, est-ce que c'est l'ordre de mon pare-feu qui fait que j'y ai accès ? Ou bien ais-je fais une manip que je n'aurais pas dû ?

sous vpn, vous êtes considéré comme en intranet (LAN) donc vous vous comportez comme si vous étiez à la maison et vous avez accès au nas comme à la maison

- Sous OpenVPN, j'ai accès à DSM (ce dernier me redirige HTTP vers HTTPS, et j'ai cette fameuse information de la connexion n'est pas privée et certificat non fiable) alors que je n'ai pas ouvert d'autres ports autre que 1194 & 443.

Pas de loopback, donc pas de dns fonctionnel, il faut effacer cette redirection et saisir en http

- pourquoi le HTTP passe sans sourciller alors que le HTTPS c'est le contraire ?

le https fonctionne obligatoirement avec un nom de domaine et son certificat pour chiffrer les données, comme vous n'avez pas de loopback, le nom de domaine n'est plus fonctionnel. Le http ,n'a pas ces restrictions, il est fait plutôt pour du local

- Un certificat est pour un nom de domaine, mais si je ne fais que rentrer mes @IP, il faudrait que je supprime mon DDNS ? Et que mon fichier de configuration OpenVPN pointe vers mon @IPFixe plutôt que mon DDNS ?

le ddns de synology.me vous servira pour vous connecter en vpn en configurant le fichier *.openvpn et en utilisant le https, votre connexion sera déjà chiffré une première fois en https avec le vpn, puis chiffré ensuite par le vpn.
Vous ne pourrez utiliser votre domaine synology.me qu'avec votre connexion vpn depuis l'extérieur, en lan, il faudra couper le vpn (pour ceux qui laisse le vpn en permanence allumé), sinon, vous aurez les même problèmes

- Du coup à quoi me sert le Reverse Proxy avec OpenVPN ? Et dois-je laisser le port 443 ouvert ?

le reverse proxy aura fonctionné que si vous aviez le loopback ou si vous utilisiez et paramétrez le serveur dns du syno (mais je vous suggère d'attendre que vous maîtrisiez mieux le nas avant d'utiliser le serveur dns .

Si vous changez par exemple pour orange, qui lui possède le loopback, ça aurait du fonctionner votre config

 

[Bouyaka]

Donc en somme, dans ma situation

pour me connecter à Drive depuis l’extérieur : OpenVPN + @HTTP et je peux retirer le Reverse Proxy et fermer le Port 443 ? Ceci est « suffisant » en terme de « sécurité » ?

Car je n’ai pas vu, ou probablement mal vu, un tuto sur le server dns sur le site.

 

[bliz]

pour me connecter à Drive depuis l’extérieur : OpenVPN + @HTTP et je peux retirer le Reverse Proxy et fermer le Port 443 ? Ceci est « suffisant » en terme de « sécurité » ?

si tu n'as pas de loopback ou serveur dns, oui, vous pouvez les enlever ou alors désactiver le parefeu pour une utilisation postérieur au cas ou.

Sinon, pour le serveur dns, il y a un tuto ici : https://www.nas-forum.com/forum/topic/55206-tuto-dns-server/

Mais il va falloir bien lire et adapter

 

[MilesTEG]

Salut
J’ai pas lu entièrement les derniers échanges
Mais @Bouyaka il y a une erreur dans la configuration de la redirection de port dans la box : tu fait 443 —> 433 !
Il faut mettre 443 pour les deux côtés !

 

[MilesTEG]

Je relirais tout demain sur mon ordi.

 

[Bouyaka]

@bliz Merci en tout cas !
@MilesTEG Bien vu ! J'ai même pas fait gaffe ni en tapant, ni en éditant la screenshot... Sûrement pour ça que ceci... ça fait du mal le boulot de nuit ! Merci de la MAJ !

 

[bliz]

Salut
J’ai pas lu entièrement les derniers échanges
Mais @Bouyaka il y a une erreur dans la configuration de la redirection de port dans la box : tu fait 443 —> 433 !
Il faut mettre 443 pour les deux côtés !

exact, et pour le loopback, je vient de trouver ceci :

Le loopback ne fonctionne que sur 3 produits chez Proximus

• Internet Box ( 1 Gbps et V35B (300mbits en VDSL , attention faut que la région soit couverte par le V35B)
• Internet Box+ (Elle supporte 10 Gbps (fibre) et est prête pour le wifi 6E (mais il n’est pas encore actif)
• B-box 3 Technicolor

J'ai acheté une BBox 3 (classique) Technicolor et directement plus de soucis loopback fonctionne a merveille. Pour information, le modèle Technicolor est beaucoup plus réactif que le modèle Sagemcom.

donc réessayer en changeant le 433 en 443

je m'étais basé sur le fait que le loopback ne fonctionnait pas