QNAP TS-231P2 : Problème connexion OpenVPN à distance

Boubalou

Nouveau membre
30 Septembre 2023
18
2
3
Bonjour,

J'ai un Qnap TS-231P2 qui tourne sur QTS 5.1.7 et je n'arrive pas à le faire fonctionner à distance via Open VPN depuis que j'ai changé d'opérateur, les adresses IP ayant changées étant passé de chez Orange à FreePro.

Sur mon réseau interne aucun problème, il fonctionne très bien et j'accède bien aux données.
J'arrive également à faire fonctionner l'appli sur iOs que ce soit sur mon réseau interne ou sur des réseaux extérieurs quels qu'ils soient.
J'arrive également à me connecter à mon QNAP depuis un navigateur avec son adresse IP que ce soit depuis le réseau interne ou depuis l'extérieur.

OpenVPN est en version 2.6.12
J'ai téléchargé le fichier de configuration depuis QVPN Service que j'ai ajouté ce fichier à la configuration OpenVPN.
J'ai bien ajouté dans les réglages de privilèges l'autorisation de connexion via OpenVPN dans QVPN Service.

Je ne sais plus où chercher, ça fait un moment que ce moment traine, j'avais espoir d'un bug qui serait résolu mais après 1 an et tout à jour, toujours rien, le problème vient donc bien de mon incompétence, c'est pourquoi je sollicite votre aide pour y parvenir.

J'ajoute ci-dessous copie de la fenêtre de connexion de OpenVPN :
Tue Aug 6 20:49:00 2024 DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305). OpenVPN ignores --cipher for cipher negotiations.
Tue Aug 6 20:49:00 2024 OpenVPN 2.6.12 [git:v2.6.12/038a94bae57a446c] Windows [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] [DCO] built on Jul 18 2024
Tue Aug 6 20:49:00 2024 Windows version 10.0 (Windows 10 or greater), amd64 executable
Tue Aug 6 20:49:00 2024 library versions: OpenSSL 3.3.1 4 Jun 2024, LZO 2.10
Tue Aug 6 20:49:00 2024 DCO version: 1.2.1
Tue Aug 6 20:49:03 2024 TCP/UDP: Preserving recently used remote address: [AF_INET]45.XX.YY:ZZZ:1194 (adresse censurée)
Tue Aug 6 20:49:03 2024 ovpn-dco device [OpenVPN Data Channel Offload] opened
Tue Aug 6 20:49:03 2024 UDP link local: (not bound)
Tue Aug 6 20:49:03 2024 UDP link remote: [AF_INET]45.XX.YY:ZZZ:1194 (adresse censurée)
Tue Aug 6 20:50:03 2024 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Aug 6 20:50:03 2024 TLS Error: TLS handshake failed

Tue Aug 6 20:50:03 2024 SIGUSR1[soft,tls-error] received, process restarting
Tue Aug 6 20:50:04 2024 TCP/UDP: Preserving recently used remote address: [AF_INET]45.XX.YY:ZZZ:1194 (adresse censurée)
Tue Aug 6 20:50:04 2024 ovpn-dco device [OpenVPN Data Channel Offload] opened
Tue Aug 6 20:50:04 2024 UDP link local: (not bound)
Tue Aug 6 20:50:04 2024 UDP link remote: [AF_INET]45.XX.YY:ZZZ:1194 (adresse censurée)

A votre écoute et d'avance merci pour votre lecture et éventuelle aide.
 
Dernière édition:
Salut,
Et le port 1194 en UDP est bien ouvert dans ta Freebox et redirigé vers ton NAS ?
Bonjour Evo,
Merci de ton aide.
Je pense l'avoir correctement ouvert dans la mesure ou je me connecte bien à distance via d'autres moyens mais je ferai une capture d'écran de mon interface FreePro demain. J'avoue que j'ai pas mal galéré sur ce point et ne pas tout avoir compris mais suivi les instructions du support client Free (en vain).
Je m'oriente vers ce type de problème effectivement car je maitrisais bien la démarche quand j'étais chez Orange Business mais depuis le changement de box, plus rien...
 
Evo,

Désolé de ma réponse tardive, ci-après la capture d'écran des ports de ma Freebox Pro.
J'avais ajouté les commentaires pour que j'y comprenne quelque chose avec les explications de Free mais pas bien sûr qu'ils soient correctes.

Remarque : Si c'était dû à une mauvaise configuration de port, mon appli Qfinder sur iOs fonctionnerait quand même ?

Aide QNAP.png

D'avance merci
 
Pas besoin de censurer ici ce sont des ip locale
1723544279320.png
Dans redirection le 192. ... doit etre l'ip locale du NAS
Cependant le port 35843 m'intrigue, il doit etre 1194, comme dans QVPN
 
Je confirme, 192.... est bien l'adresse IP locale du NAS.

Edit : J'ai modifié les lignes, je verrai bien...
 
Je doute que l'interface t'autorise a avoir deux lignes pour le même port entrant.
Si tu peux éditer, édit les lignes en place. Sinon supprime. Et le créer .

uniquement la ligne en UDP est nécessaire.
 
L'interface me l'avait permis lors de l'édition mais j'ai supprimé la ligne TCP également.

C'est quoi cette histoire entre TCP et UDP ? J'avais vraiment galéré avec le QuFirewall qui me faisait une inversion quand j'étais chez Orange et j'avais justement mis les 2 pour être sûr que ça fonctionne.

Pour l'instant QuFirewall est complètement désactivé.

Pourquoi Free m'a fait rediriger le 35843 sur le 35843, c'est pour l'ouvrir justement ?

J'essai depuis le PC et OpenVPN ce soir quand je rentre. En tous cas depuis mon téléphone que je sois en wifi ou sur le réseau 5G j'ai toujours accès à mon NAS depuis QFinder.
 
Dernière édition:
C'est quoi cette histoire entre TCP et UDP ?
C'est un protocole de communication https://www.it-connect.fr/les-protocoles-tcp-et-udp-pour-les-debutants/
Pour les VPNs, le plus souvent c'est de l'UDP. ( Ex : OpenVPN, WireGuard )
1723545795232.png

Pourquoi Free m'a fait rediriger le 35843 sur le 35843, c'est pour l'ouvrir justement ?
Aucune idée ...
 
Merci pour ton temps, très claire cette vidéo (à regarder en x1.5).
Je mettrai le résultat ce soir.
 
C'est bien de le protocole UDP configuré sur le QNAP (jai masqué les adresses mais ça ne sert peut-être à rien...).

J'ai regardé d'autres vidéos de It-connect, celle-ci si ça peut aider d'autres (à écouter en accéléré) :


Effectivement Evo, suite à l'écoute de cette vidéo ton conseil me semble pertinent, ma config d'ouverture des ports ne pouvait être que mauvaise.

Je vais également utiliser OpenVPN Connect avec son interface plus moderne que OpenVPN GUI.

Je croise les doigts pour ce soir !

Qvpn.png
 
Dernière édition:
  • J'aime
Réactions: EVO
Finalement je n'ai pas pu attendre de rentrer.

Je me suis créé un réseau local 4G au bureau depuis mon PC fixe avec un petit routeur mobile qui me sert de secours au cas où mais dont je ne m'étais encore jamais servi.
je sais, routeur de secours en plus du backup 4G Free mais la dernière fois panne générale du réseau Free fibre + Mobile donc pas de backup 4G possible et cela un jour improbable d'audit...

J'ai installé sur mon fixe de bureau OpenVPN Connect pour établir la liaison et il m'a demandé un certificat que je n'ai pas. Je peux malgré tout cliquer sur poursuivre et la liaison s'établit quand même correctement. Je n'ai pas cette demande de certificat depuis OpenVPN GUI.

J'arrive donc à me connecter depuis ce réseau externe à mon QNAP, ça devrait alors fonctionner de la même façon ce soir depuis mon portable à distance.

Dois-je m'inquiéter de ce certificat pour une quelconque sécurité et essayer de le corriger ? J'avais bien essayé d'y remédier, j'ai un moment cherché de ce côté pour cette panne mais je n'ai jamais rien compris malgré mes moultes manœuvres d'inculte en informatique.

Merci Evo pour ton aide, je confirme ça ce soir depuis mon portable distant.
 
Dernière édition:
Ok Evo, le seul truc "gênant" c'est le message du site pas sûr qui peut être pénible à supprimer en fonction des navigateurs mais je me suis organisé avec Chrome et ça roule.

Encore merci pour tes conseils, ça fonctionne depuis le domicile, je m'en veux de ne pas m'être inscrit plus tôt, j'ai tellement galéré avant !

Me restera à installer mon Synology tout neuf au domicile et mettre en place une bonne stratégie de sauvegarde entre mon OneDrive (données entreprise), mon Synology (données personnelles) et mon QNAP qui sera uniquement à but de sauvegarde du tout en plus d'un DD externe.
 
Ok Evo, le seul truc "gênant" c'est le message du site pas sûr qui peut être pénible à supprimer en fonction des navigateurs mais je me suis organisé avec Chrome et ça roule.
Tu parle de la connexion en HTTPS via l'IP locale ?
Si c'est a travers le vpn, pourquoi ne pas utiliser l'IP locale avec le port http ?
 
Pour faire la maintenance du QNAP j'utilise l'adresse suivante : https://IP_Locale:35843/cgi-bin/ quand je suis en local ou connecté au VPN et à ce moment là j'ai le message d'erreur suivant et je clique sur continuer vers site dangereux.

Il me semble que j'utilisais la même chose, à savoir https://IP_externe:1194/cgi-bin/ quand j'étais en externe mais à cet instant sans la connexion VPN je n'accède pas à mon NAS. Quand le VPN est connecté alors j'accède via l'adresse local du QNAP.

Capture d'écran 2024-08-13 214322.png
 
Il faut peut-être que j'ajoute les règles dans la Freebox Pro car j'ai changé le 8080 par un plus exotique et en tapant " IP_Locale:portexotique" ça ne fonctionne pas et je suis bien connecté au VPN.

Je me demande d'ailleurs si les 2 lignes autres lignes que j'ai ajouté dans ma Freebox pro ne me servait pas à cette connexion HTTPS car ça correspond au port HTTPS dans ma config QNAP.

Le smiley c'est parce qu'il y a : p sans espace
 
Oui c'est pour ça que j'ai changé le 8080 par un truc exotique.

Un jour j'avais une attaque sur le 8080 qui me bloquait le QNAP, j'avais alors appris à faire autrement et donc le changer.
Je teste demain en local avec le port local, là je suis au domicile en externe.