Synology VPN Server: Connexion impossible en OpenVPN

Bibou

Apprenti
2 Novembre 2020
34
2
8
PAU
Bonjour à tous.
J'ai suivi un tuto pour configurer un serveur Open VPN. J'ai suivi à la lettre les étapes. J'ai traité le port 1194 (redirection et autorisation dans pare feu) et coché la case "autoriser aux clients l'accès au serveur LAN"
J'ai exporté le certificat et je l'ai intégré correctement dans mon client OpenVPN windows.
Lorsque je me connecte, c'est écrit: "Initialization Sequence Completed With Errors"

Parmi les erreurs j'ai:
"WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set."
"DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-256-CBC' to --data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning."
"WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info."
"WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this"
"Warning: route gateway is not reachable on any active network adapters:10.8.X.X"

Evidemment, quand je tape dans la barre d'adresse 10.8.X.X ou http://10.8.X.X:5000 ou https://10.8.X.X:5001 ou encore 192.168.X.X, https://192.168.X.X:5001 et http://192.168.X.X:5000 je n'accède jamais à DSM. La page charge indéfiniment et on me dit qu'elle n'existe pas. J'ai un nom de domaine en synology.me également.

Pourquoi la connexion ne se fait pas?
 
Merci pour ta réponse. Voici un extrait de mon fichier config: à noter que maintenant le certificat est directement intégré dedans.
J'ai mis l'adresse IP publique du NAS et j'ai enlevé le caractère de commentaire à "redirect gateway" car j'ai coché la case "Autoriser aux clients l'accès au serveur LAN"

dev tun
tls-client

remote 78.118.X.X 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2


comp-lzo

reneg-sec 0

cipher AES-256-CBC

auth SHA512

auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
 
Voici mes configurations:
Pour le NAT, l'adresse masquée est l'adresse fixe du NAS (Fixée dans la box internet)

Capture d’écran NAT 2.jpg

Pour les règles de pare feu:
1/ Je refuse toutes les communications venant de Chine/ Mali/ Côte d'Ivoire, etc
2/ J'autorise tout le trafic provenant d'une connexion depuis VPN Serveur
3/ J'autorise tout le trafic provenant des sous-réseaux de Docker.
4/ J'autorise tout le trafic provenant des appareils de mon réseau local.
5/ J'autorise les ports de certaines applications en les sélectionnant directement dans la liste (ports 80, 443, DSM, openVPN, NTP, transferts de fichiers windows etc)
6/ J'autorise le port spécifique SFTP (je désactive cette règle lorsque je ne m'en sers pas)
7/ Je refuse tout le reste

Capture d’écran pare feu.jpg
Capture d’écran pare feu 1.jpg

Pour le VPN, l'adresse IP masquée sur la capture 2 est celle fixe du NAS
capture remplacement.jpg Capture d’écran vpn server 2.jpg
Capture d’écran vpn server 3.jpg
 
Bibou a dit:
J'ai mis l'adresse IP publique du NAS et j'ai enlevé le caractère de commentaire à "redirect gateway" car j'ai coché la case "Autoriser aux clients l'accès au serveur LAN"

Et tu essayé sans décommenter la ligne "redirect gateway" ?
 
EVOTk a dit:
Bibou a dit:
J'ai mis l'adresse IP publique du NAS et j'ai enlevé le caractère de commentaire à "redirect gateway" car j'ai coché la case "Autoriser aux clients l'accès au serveur LAN"

Et tu essayé sans décommenter la ligne "redirect gateway" ?

Je viens d'essayer et ça ne fonctionne pas non plus. J'ai essayé également en renseignant l'adresse IP locale et en laissant le caractère de commentaire sur la ligne redirect gateway mais j'ai le même soucis... incompréhensible
 
J'ai trouvé!
Chez moi le TAP-adaptater était tout le temps "connecté" (donc sans croix rouge) même quand je quittais OpenVPN. J'ai désinstallé OpenVPN de fond en comble. J'ai installé OpenVPN Connect (que je ne connaissais pas mais c'est le premier téléchargement du site officiel OpenVPN). Je l'ai lancé et j'ai intégré le fichier de configuration. On m'a demandé le certificat externe qui va avec mais bizarrement il ne le trouve pas (alors qu'il était dans le même dossier). J'ai fait "continuer quand même" et là ça a fonctionné!

Du coup comme je trouvais le logiciel un peu lourd, je me suis décidé à réinstaller OpenVPN client. Cette fois, dans la config d'installation j'ai sélectionné le strict minimum: open client, driver TAP-adaptater. J'ai décoché Wintun driver, VPN service, Configuration samples et tout le reste. Pour la copie du fichier de config, je l'ai copier directement sous Program Files/openVPN/config. Avant je l'avais copié dans User/OpenVPN/config. Je n'ai copié QUE le fichier de config et pas le certificat avec comme avant. En retentant de me connecter... ça a fonctionné aussi!

C'est nickel, je peux accéder à l'interface DSM en 4G via adresse IP locale et 10.8.X.X en port 5000 ou 5001! Je peux même accéder à l'interface de ma box internet en 4G mais je pense que c'est normal puisque j'ai coché la case  "Autoriser aux clients l'accès au serveur LAN" c'est cela?

Par contre je ne peux pas accéder à  DSM via mon nom de domaine en synology.me. C'est normal?
Ce que je ne comprends pas c'est pourquoi je ne peux pas me connecter à DSM en wifi local via mon nom de domaine synology.me si je ne traite pas le port 5001 (box et pare feu)
On m'a dit que ça vient peut être du fait que je passe par l'extérieur car la résolution DNS interne ne permet pas de savoir que c'est le NAS que je cherche à atteindre. Il y aurait plusieurs solutions à ce problème :
- avoir une box qui fait du loopback: comment savoir si c'est le cas?
- mettre en place un serveur DNS local: ça a l'air trop complexe pour moi
- modifier le fichiers hosts de tes clients: comment faire cela?

J'y suis presque en tout cas!