Synology [Tuto] Se connecter en VPN (L2TP/Ipsec)

Esteban

Grand Maître Jedi
18 Mai 2017
3 522
6
98
France
Notre Synology nous propose le paquet VPN Server.
Il permet de nous connecter au NAS depuis l’extérieur de façon plus sécurisée plutôt qu’en ouvrant les ports par défaut (5000 et 5001).
ATTENTION : Ne pas essayer de se connecter en VPN en étant sur son propre réseau (en wifi par exemple).
Pour ceux qui ignore ce qu’est un VPN : https://fr.wikipedia.org/wiki/R%C3%A9seau_priv%C3%A9_virtuel

1 Installation du Paquet VPN Server

Apres avoir installé le paquet VPN SERVEUR, vous le lancez…
Plusieurs possibilités de connexion, mais je vous suggère L2TP/IPSEC.

Dans "parametres generaux", il peut etre utile de decocher la case "Accorder le priviléege VPN (...)"

2 Les privilèges

Désactiver PPTP et OpenVPN pour tous et sélectionner ceux qui auront droit d’accéder en L2TP/IPSEC

1.jpg


3 Configuration L2TP/IPSEC

2.jpg


ATTENTION : Utiliser une cle pré-partagée complexe !
Meme les Caracteres speciaux fonctionnent. Merci @Atlas qui a testé cela. ;o)

A noter : il ne faudra pas cocher la case "autoriser aux clients l'acces au serveur LAN", sinon les clients auront egalement acces aux elements du reseau local et quand ils surferont ca sera à partir de ton IP. En gros, s'il y a un acces à un site illegal, le GIGN viendra la ou il y a le nas en premier... :lol: apres si c'est que vos proches et que vous êtes sur du coup: pas de probleme.

A Verifier :
Si on ne peut se connecter qu’en 10.x.x.x au lieu de 192.168.x.x.
Vérifier que la case soit déconnectée.

Merci @Fabrice
passerelle.jpg



4 Réglage du Pare-feu du NAS

3.jpg


Puis modifier les règles :

4.jpg


- Cliquer sur « sélectionner » dans une liste d’applications intégrées.



Valider le tout par un petit OK

Vous pouvez avoir un truc de ce style :

5.jpg


Pour les neophytes, il y a un ordre pour les règles. On commence par celle du haut et si ce qui veut entrer n’est pas bloqué, ca passe à la 2nd regle. ON N'OUBLIE PAS DE TOUT BLOQUER SUR LA DERNIERE REGLE
Bien entendu, vous pouvez aussi régler le pare-feu pour dire que la connexion ne peut se faire que de tel ou tel pays. Ou au contraire, interdite de tel ou pays... ;o)

6.jpg


Il est à noter que j’ai mis 192.168.0.0 avec un masque 255.255.0.0. ça veut dire que cela va laisser passer de 192.168.0.0 à 192.168.255.255. (Vos équipements sur le LAN) - mais vous pouvez tres bien reduire par 192.168.1.0/255.255.255.0 si votre LAN est en 192.168.1.y
Et si votre LAN est du genre 172.16.x.y, bah il faudra adapter… ;o)

5 Redirections

En fonction de votre routeur (bien souvent une box) c’est à tel ou tel endroit.
L’objectif du VPN est de se connecter sans ouvrir les ports habituels (genre le 5000 ou 5001) - Combien sont ceux qui ouvre tout et n'importe quoi, pourvu que ca marche !!?? :lol:

Par exemple chez Free, il faut se connecter sur son interface et aller dans « Ma Freebox » puis « redirections / baux DHCP »

ATTENTION, il ne FAUT PAS rediriger le port 1701 – c’est une faille de sécurité

7.jpg

On sauvegarde et normalement on redemarre…

C’est fini de ce cote.

6 Coté « clients »

• Sous Windows 7 : https://kb.iweb.com/hc/fr/articles/230267328-Cr%C3%A9er-une-nouvelle-connexion-VPN-L2TP-IPSec-sous-Windows-7

• Sous windows 10 : https://support.microsoft.com/fr-fr/help/20510/windows-10-connect-to-vpn

Attention, il faut parfois toucher à la base de registre

Pour ajouter un paramètre de registre :
1. Appuyez sur la Clé Windows et R en même temps pour faire apparaitre la boite Lancer.
2. Tapez: regedit puis cliquez sur OK. Cliquez sur Oui si on vous demande d'autoriser l'application à faire des changements sur votre PC.
3. Dans le volet gauche, localisez et cliquez sur le dossier : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
4. Cliquez sur le menu Edition et bougez votre curseur sur Nouveau. Cliquez sur DWORD Valeur. Un nouveau registre apparaitra à droite, du nom deNouvelle valeur #1.
5. Renommez ce fichier: AssumeUDPEncapsulationContextOnSendRule (respectez les majuscules et les minuscules et ne contient aucun espace), puis pressez la touche ENTREE.
6. Cliquez avec le bouton droit de la souris AssumeUDPEncapsulationContextOnSendRule, puis cliquez sur Modifier.
7. Dans la boite Donnée Valeur, tapez 2 et cliquez sur OK.
8. Redémarrez l'ordinateur.

Si malgré cela ne fonctionne pas et que vous avez ce type de message :
1connectionerror.png


C'est tres probablement parce que le traffic est bloqué par le parefeu de windows10.
Pour verifier si cela vient de là, il suffit de désactiver temporairement votre parefeu windows et de retester... si cela fonctionne.. on voit d'où vient le probleme. ;o)
Sinon, il faudra tres certainement regarder du coté du routeur.

Voila comment passer outre le probleme du parefeu windows10.

1- Dans la zone de recherche, aller trouver votre reglage parefeu
11556628402.jpg


2-
21556628499.jpg


3-
31556628684.jpg


4-
41556628713.jpg


5-
51556629003.jpg


6-
61556628770.jpg


7- laisser les champs vides
71556628803.jpg

81556628827.jpg


8-
91556628854.jpg


9- Tapez ce que vous voulez comme nom
101556629044.jpg


Voilà, il ne reste plus qu'à essayer... ;o)

Merci à @Chon pour son travail et ses captures trouvées sur le net en francais.


• Sous Iphone :
Réglages --> VPN --> Ajouter une configuration VPN

8.jpg


• Mac : (Merci à Balthazar)
Directions Préférences système (dans le menu pomme) >>> Réseau >>> et cliquer sur le plus dans la colonne gauche tout en bas. Cela va ajouter une configuration que vous nommez comme vous voulez.

Choisir L2TP via IPSec dans le menu déroulant "type de VPN" et valider.

Dans adresse du serveur mettre celle de votre NAS (ip fixe ou DDNS) et dans nom du compte mettre le compte user du NAS avec lequel vous voulez vous connecter.
Ensuite cliquer sur "réglages d'authentification" et remplir
- la case "mot de passe" avec votre mot de passe user du NAS
- la case "secret partagé" avec le secret partagé que vous avez choisi quand vous avez créé votre VPN sur le NAS.

Mac.png


Et c'est tout. On clique sur connecter, et ça fonctionne. On peut ajouter l'icône VPN dans la barre de menu pour y avoir un accès facile.

• Android :

9.png

10.png


Parfois avec certaines versions Android ca ne fonctionne pas, il faut modifier un fichier de configuration.
voila la procédure détaillée :

- Stopper le paquet VPN server.
- Se connecte avec Putty (compte administrateur + password) sur le nas en ssh (ouverture du port 22 nécessaire au préalable)
- Entrer la commande : sudo vim /var/packages/VPNCenter/etc/l2tp/ipsec.conf
- Retaper le mot de passe du compte administrateur
- Appuyer sur la lettre i
- Descendre avec ton curseur sur la ligne sha2_truncbug=no et On modifie le no en yes
- Taper sur la touche "echap" du clavier
- Et enfin, On tape :wq puis on valide par Enter

!!!!!!! attention les deux points (:) sont importants!!!!!!!

- On ferme putty
- On relance le paquet VPN serveur

--------------------------------------------------------------------------------------------------------------------------------

N’essayez pas de vous connecter depuis votre réseau local. :P
Une fois connecté en VPN, pour accéder au NAS, il suffit d’entrer l’adresse LOCALE du NAS !

@+
 
T'assures, merci.

Par contre je me demande is pare feu est bien réglé. Vaut qu'il soit bien réglé avant de me lancer dans le vpn?
 
Cest tres perfectible comme tuto.
Ça dépends de la config que tu as. Le pare feu que j'ai mis est basique, c'était dans ce cas là. Le mien est bien différent.


Via Tapatalk
 
OK, ou je trouve l'ip du nas à domicile?

Voila comment se présente sur mon samsung sur android

Screenshot_20170716-094617.png

sachant que j'ai psk ou ou rsa pour l2tp/ipsec

Screenshot_20170716-094620.png
 
Bon bah j'ai échec de connexion

J'ai 10x plus de truc à remplir et je suis perdu, voir screen post d'avant.
 
Nom: tu mets ce que tu veux
L2tp/IPSec psk
Adresse : Ip publique
Secret : rien
ID ipsec : rien
Clé : ce que tu as mis dans la config vpn serveur

Les ports sont ouverts ?
T'es sur du pwd ?



Via Tapatalk
 
Non tu dois avoir un truc comme par exmple: 78.212.225.007

Ce qui m'interpelle cest ce que tu me dis avec des lettes et chiffres...
Tu dois être en IPv6 sur le réseau local.




Via Tapatalk
 
j'ai rentré l'ip et ça fonctionne. Je suis connecté au vpn. Mais je n'ai accès à plus rien en 3g.
 
Cest parce que le traffic passe par le syno.
Qd tu dis que tu nas plus rien. T'as pas internet cest ca ? Il faudrait vérifier que le nas accède au net.

Si tu te connectes en vpn et que tu lances par exemple dsfiles tu as acces à tes fichiers ?


Via Tapatalk
 
Oui je n'ai plus internet.

Et non je n'arrive pas a me connecter à mon nas (ds file)

On est d'accord, que sur ds file je mets mon adresse public?

Je pense que le nas à accès à internet car il fait les maj.
 
Ca marche pô :cry:

Je dois mettre le :5000 à la fin?

Quoi qu'il en soit avec ou sans 5000 ca se connecte pas.
 
Nan tu mets pas le 5000
En local ça marche ?
Si oui... cest la meme config qu'il faut utiliser


Via Tapatalk