Notre Synology nous propose le paquet VPN Server.
Il permet de nous connecter au NAS depuis l’extérieur de façon plus sécurisée plutôt qu’en ouvrant les ports par défaut (5000 et 5001).
ATTENTION : Ne pas essayer de se connecter en VPN en étant sur son propre réseau (en wifi par exemple).
Pour ceux qui ignore ce qu’est un VPN : https://fr.wikipedia.org/wiki/R%C3%A9seau_priv%C3%A9_virtuel
1 Installation du Paquet VPN Server
Apres avoir installé le paquet VPN SERVEUR, vous le lancez…
Plusieurs possibilités de connexion, mais je vous suggère L2TP/IPSEC.
Dans "parametres generaux", il peut etre utile de decocher la case "Accorder le priviléege VPN (...)"
2 Les privilèges
Désactiver PPTP et OpenVPN pour tous et sélectionner ceux qui auront droit d’accéder en L2TP/IPSEC
3 Configuration L2TP/IPSEC
ATTENTION : Utiliser une cle pré-partagée complexe !
Meme les Caracteres speciaux fonctionnent. Merci @Atlas qui a testé cela. ;o)
A noter : il ne faudra pas cocher la case "autoriser aux clients l'acces au serveur LAN", sinon les clients auront egalement acces aux elements du reseau local et quand ils surferont ca sera à partir de ton IP. En gros, s'il y a un acces à un site illegal, le GIGN viendra la ou il y a le nas en premier... :lol: apres si c'est que vos proches et que vous êtes sur du coup: pas de probleme.
A Verifier :
Si on ne peut se connecter qu’en 10.x.x.x au lieu de 192.168.x.x.
Vérifier que la case soit déconnectée.
Merci @Fabrice
4 Réglage du Pare-feu du NAS
Puis modifier les règles :
- Cliquer sur « sélectionner » dans une liste d’applications intégrées.
Valider le tout par un petit OK
Vous pouvez avoir un truc de ce style :
Pour les neophytes, il y a un ordre pour les règles. On commence par celle du haut et si ce qui veut entrer n’est pas bloqué, ca passe à la 2nd regle. ON N'OUBLIE PAS DE TOUT BLOQUER SUR LA DERNIERE REGLE
Bien entendu, vous pouvez aussi régler le pare-feu pour dire que la connexion ne peut se faire que de tel ou tel pays. Ou au contraire, interdite de tel ou pays... ;o)
Il est à noter que j’ai mis 192.168.0.0 avec un masque 255.255.0.0. ça veut dire que cela va laisser passer de 192.168.0.0 à 192.168.255.255. (Vos équipements sur le LAN) - mais vous pouvez tres bien reduire par 192.168.1.0/255.255.255.0 si votre LAN est en 192.168.1.y
Et si votre LAN est du genre 172.16.x.y, bah il faudra adapter… ;o)
5 Redirections
En fonction de votre routeur (bien souvent une box) c’est à tel ou tel endroit.
L’objectif du VPN est de se connecter sans ouvrir les ports habituels (genre le 5000 ou 5001) - Combien sont ceux qui ouvre tout et n'importe quoi, pourvu que ca marche !!?? :lol:
Par exemple chez Free, il faut se connecter sur son interface et aller dans « Ma Freebox » puis « redirections / baux DHCP »
ATTENTION, il ne FAUT PAS rediriger le port 1701 – c’est une faille de sécurité
On sauvegarde et normalement on redemarre…
C’est fini de ce cote.
6 Coté « clients »
• Sous Windows 7 : https://kb.iweb.com/hc/fr/articles/230267328-Cr%C3%A9er-une-nouvelle-connexion-VPN-L2TP-IPSec-sous-Windows-7
• Sous windows 10 : https://support.microsoft.com/fr-fr/help/20510/windows-10-connect-to-vpn
Attention, il faut parfois toucher à la base de registre
Pour ajouter un paramètre de registre :
1. Appuyez sur la Clé Windows et R en même temps pour faire apparaitre la boite Lancer.
2. Tapez: regedit puis cliquez sur OK. Cliquez sur Oui si on vous demande d'autoriser l'application à faire des changements sur votre PC.
3. Dans le volet gauche, localisez et cliquez sur le dossier : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
4. Cliquez sur le menu Edition et bougez votre curseur sur Nouveau. Cliquez sur DWORD Valeur. Un nouveau registre apparaitra à droite, du nom deNouvelle valeur #1.
5. Renommez ce fichier: AssumeUDPEncapsulationContextOnSendRule (respectez les majuscules et les minuscules et ne contient aucun espace), puis pressez la touche ENTREE.
6. Cliquez avec le bouton droit de la souris AssumeUDPEncapsulationContextOnSendRule, puis cliquez sur Modifier.
7. Dans la boite Donnée Valeur, tapez 2 et cliquez sur OK.
8. Redémarrez l'ordinateur.
Si malgré cela ne fonctionne pas et que vous avez ce type de message :
C'est tres probablement parce que le traffic est bloqué par le parefeu de windows10.
Pour verifier si cela vient de là, il suffit de désactiver temporairement votre parefeu windows et de retester... si cela fonctionne.. on voit d'où vient le probleme. ;o)
Sinon, il faudra tres certainement regarder du coté du routeur.
Voila comment passer outre le probleme du parefeu windows10.
1- Dans la zone de recherche, aller trouver votre reglage parefeu
2-
3-
4-
5-
6-
7- laisser les champs vides
8-
9- Tapez ce que vous voulez comme nom
Voilà, il ne reste plus qu'à essayer... ;o)
Merci à @Chon pour son travail et ses captures trouvées sur le net en francais.
• Sous Iphone :
Réglages --> VPN --> Ajouter une configuration VPN
• Mac : (Merci à Balthazar)
Directions Préférences système (dans le menu pomme) >>> Réseau >>> et cliquer sur le plus dans la colonne gauche tout en bas. Cela va ajouter une configuration que vous nommez comme vous voulez.
Choisir L2TP via IPSec dans le menu déroulant "type de VPN" et valider.
Dans adresse du serveur mettre celle de votre NAS (ip fixe ou DDNS) et dans nom du compte mettre le compte user du NAS avec lequel vous voulez vous connecter.
Ensuite cliquer sur "réglages d'authentification" et remplir
- la case "mot de passe" avec votre mot de passe user du NAS
- la case "secret partagé" avec le secret partagé que vous avez choisi quand vous avez créé votre VPN sur le NAS.
Et c'est tout. On clique sur connecter, et ça fonctionne. On peut ajouter l'icône VPN dans la barre de menu pour y avoir un accès facile.
• Android :
Parfois avec certaines versions Android ca ne fonctionne pas, il faut modifier un fichier de configuration.
voila la procédure détaillée :
- Stopper le paquet VPN server.
- Se connecte avec Putty (compte administrateur + password) sur le nas en ssh (ouverture du port 22 nécessaire au préalable)
- Entrer la commande : sudo vim /var/packages/VPNCenter/etc/l2tp/ipsec.conf
- Retaper le mot de passe du compte administrateur
- Appuyer sur la lettre i
- Descendre avec ton curseur sur la ligne sha2_truncbug=no et On modifie le no en yes
- Taper sur la touche "echap" du clavier
- Et enfin, On tape :wq puis on valide par Enter
!!!!!!! attention les deux points ) sont importants!!!!!!!
- On ferme putty
- On relance le paquet VPN serveur
--------------------------------------------------------------------------------------------------------------------------------
N’essayez pas de vous connecter depuis votre réseau local.
Une fois connecté en VPN, pour accéder au NAS, il suffit d’entrer l’adresse LOCALE du NAS !
@+
Il permet de nous connecter au NAS depuis l’extérieur de façon plus sécurisée plutôt qu’en ouvrant les ports par défaut (5000 et 5001).
ATTENTION : Ne pas essayer de se connecter en VPN en étant sur son propre réseau (en wifi par exemple).
Pour ceux qui ignore ce qu’est un VPN : https://fr.wikipedia.org/wiki/R%C3%A9seau_priv%C3%A9_virtuel
1 Installation du Paquet VPN Server
Apres avoir installé le paquet VPN SERVEUR, vous le lancez…
Plusieurs possibilités de connexion, mais je vous suggère L2TP/IPSEC.
Dans "parametres generaux", il peut etre utile de decocher la case "Accorder le priviléege VPN (...)"
2 Les privilèges
Désactiver PPTP et OpenVPN pour tous et sélectionner ceux qui auront droit d’accéder en L2TP/IPSEC
3 Configuration L2TP/IPSEC
ATTENTION : Utiliser une cle pré-partagée complexe !
Meme les Caracteres speciaux fonctionnent. Merci @Atlas qui a testé cela. ;o)
A noter : il ne faudra pas cocher la case "autoriser aux clients l'acces au serveur LAN", sinon les clients auront egalement acces aux elements du reseau local et quand ils surferont ca sera à partir de ton IP. En gros, s'il y a un acces à un site illegal, le GIGN viendra la ou il y a le nas en premier... :lol: apres si c'est que vos proches et que vous êtes sur du coup: pas de probleme.
A Verifier :
Si on ne peut se connecter qu’en 10.x.x.x au lieu de 192.168.x.x.
Vérifier que la case soit déconnectée.
Merci @Fabrice
4 Réglage du Pare-feu du NAS
Puis modifier les règles :
- Cliquer sur « sélectionner » dans une liste d’applications intégrées.
Valider le tout par un petit OK
Vous pouvez avoir un truc de ce style :
Pour les neophytes, il y a un ordre pour les règles. On commence par celle du haut et si ce qui veut entrer n’est pas bloqué, ca passe à la 2nd regle. ON N'OUBLIE PAS DE TOUT BLOQUER SUR LA DERNIERE REGLE
Bien entendu, vous pouvez aussi régler le pare-feu pour dire que la connexion ne peut se faire que de tel ou tel pays. Ou au contraire, interdite de tel ou pays... ;o)
Il est à noter que j’ai mis 192.168.0.0 avec un masque 255.255.0.0. ça veut dire que cela va laisser passer de 192.168.0.0 à 192.168.255.255. (Vos équipements sur le LAN) - mais vous pouvez tres bien reduire par 192.168.1.0/255.255.255.0 si votre LAN est en 192.168.1.y
Et si votre LAN est du genre 172.16.x.y, bah il faudra adapter… ;o)
5 Redirections
En fonction de votre routeur (bien souvent une box) c’est à tel ou tel endroit.
L’objectif du VPN est de se connecter sans ouvrir les ports habituels (genre le 5000 ou 5001) - Combien sont ceux qui ouvre tout et n'importe quoi, pourvu que ca marche !!?? :lol:
Par exemple chez Free, il faut se connecter sur son interface et aller dans « Ma Freebox » puis « redirections / baux DHCP »
ATTENTION, il ne FAUT PAS rediriger le port 1701 – c’est une faille de sécurité
On sauvegarde et normalement on redemarre…
C’est fini de ce cote.
6 Coté « clients »
• Sous Windows 7 : https://kb.iweb.com/hc/fr/articles/230267328-Cr%C3%A9er-une-nouvelle-connexion-VPN-L2TP-IPSec-sous-Windows-7
• Sous windows 10 : https://support.microsoft.com/fr-fr/help/20510/windows-10-connect-to-vpn
Attention, il faut parfois toucher à la base de registre
Pour ajouter un paramètre de registre :
1. Appuyez sur la Clé Windows et R en même temps pour faire apparaitre la boite Lancer.
2. Tapez: regedit puis cliquez sur OK. Cliquez sur Oui si on vous demande d'autoriser l'application à faire des changements sur votre PC.
3. Dans le volet gauche, localisez et cliquez sur le dossier : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
4. Cliquez sur le menu Edition et bougez votre curseur sur Nouveau. Cliquez sur DWORD Valeur. Un nouveau registre apparaitra à droite, du nom deNouvelle valeur #1.
5. Renommez ce fichier: AssumeUDPEncapsulationContextOnSendRule (respectez les majuscules et les minuscules et ne contient aucun espace), puis pressez la touche ENTREE.
6. Cliquez avec le bouton droit de la souris AssumeUDPEncapsulationContextOnSendRule, puis cliquez sur Modifier.
7. Dans la boite Donnée Valeur, tapez 2 et cliquez sur OK.
8. Redémarrez l'ordinateur.
Si malgré cela ne fonctionne pas et que vous avez ce type de message :
C'est tres probablement parce que le traffic est bloqué par le parefeu de windows10.
Pour verifier si cela vient de là, il suffit de désactiver temporairement votre parefeu windows et de retester... si cela fonctionne.. on voit d'où vient le probleme. ;o)
Sinon, il faudra tres certainement regarder du coté du routeur.
Voila comment passer outre le probleme du parefeu windows10.
1- Dans la zone de recherche, aller trouver votre reglage parefeu
2-
3-
4-
5-
6-
7- laisser les champs vides
8-
9- Tapez ce que vous voulez comme nom
Voilà, il ne reste plus qu'à essayer... ;o)
Merci à @Chon pour son travail et ses captures trouvées sur le net en francais.
• Sous Iphone :
Réglages --> VPN --> Ajouter une configuration VPN
• Mac : (Merci à Balthazar)
Directions Préférences système (dans le menu pomme) >>> Réseau >>> et cliquer sur le plus dans la colonne gauche tout en bas. Cela va ajouter une configuration que vous nommez comme vous voulez.
Choisir L2TP via IPSec dans le menu déroulant "type de VPN" et valider.
Dans adresse du serveur mettre celle de votre NAS (ip fixe ou DDNS) et dans nom du compte mettre le compte user du NAS avec lequel vous voulez vous connecter.
Ensuite cliquer sur "réglages d'authentification" et remplir
- la case "mot de passe" avec votre mot de passe user du NAS
- la case "secret partagé" avec le secret partagé que vous avez choisi quand vous avez créé votre VPN sur le NAS.
Et c'est tout. On clique sur connecter, et ça fonctionne. On peut ajouter l'icône VPN dans la barre de menu pour y avoir un accès facile.
• Android :
Parfois avec certaines versions Android ca ne fonctionne pas, il faut modifier un fichier de configuration.
voila la procédure détaillée :
- Stopper le paquet VPN server.
- Se connecte avec Putty (compte administrateur + password) sur le nas en ssh (ouverture du port 22 nécessaire au préalable)
- Entrer la commande : sudo vim /var/packages/VPNCenter/etc/l2tp/ipsec.conf
- Retaper le mot de passe du compte administrateur
- Appuyer sur la lettre i
- Descendre avec ton curseur sur la ligne sha2_truncbug=no et On modifie le no en yes
- Taper sur la touche "echap" du clavier
- Et enfin, On tape :wq puis on valide par Enter
!!!!!!! attention les deux points ) sont importants!!!!!!!
- On ferme putty
- On relance le paquet VPN serveur
--------------------------------------------------------------------------------------------------------------------------------
N’essayez pas de vous connecter depuis votre réseau local.
Une fois connecté en VPN, pour accéder au NAS, il suffit d’entrer l’adresse LOCALE du NAS !
@+