(TUTO) VPN Server - Tutoriels - NAS-Forum PDF

Utilisateur existant ?
Connexion  S’inscrire
Naviguer Activité Facebook Classement Rechercher… 
Forums Galerie Téléchargements Blogs Calendrier Règles Équipe Utilisateurs en ligne
 Accueil  Bien démarrer avec votre Synology  Tutoriels  [TUTO] VPN Server  Toute l’activité 
 This site uses cookies! Learn More
[TUTO] VPN Server  Connectez-vous pour activer le suivi Abonnés 56
Par Fenrir, 13 août 2016 dans Tutoriels

1 2 3 4 5 6 SUIVANT  Page 1 sur 16 
Fenrir Posté(e) 13 août 2016 (modi é) Signaler ce message 

Esprit NAS Syno

Préambule
Le but de ce tutoriel est de vous aider à mettre en place un réseau privé virtuel (VPN) entre vous et votre NAS depuis Internet.
nb : il ne s'agit pas ici de "masquer" votre adresse IP pour effectuer des opérations illicites ou de manière anonyme,
l'adresse IP qui sera visible depuis Internet sera celle de votre NAS (ou de votre box)
Membres Si vous ne savez pas ce qu'est vraiment un VPN, vous devriez vous renseigner avant de lire la suite.
Mais comme peu de personnes feront cette démarche, en voici une description très approximative :
 329
6 542 messages c'est un ensemble de techniques permettant de relier 2 équipements réseau, par exemple votre PC et votre NAS
Gender:Male
généralement, il fonctionne au dessus du protocole IP et peut donc passer par Internet
le tout saupoudré de diverses techniques de chiffrement (plus ou moins e cace)
=>on peut donc voir ça comme un très grand câble réseau avec des barbelés autour
À quoi cela peut-il servir ?
Quelques exemples :
Accéder de manière sécurisée à votre NAS et/ou à d'autres équipements de votre réseau local depuis Internet
par exemple aux services d'administration du nas (DSM, ssh, ...)
aux caméras IP
à l'alarme de la maison
connecter 2 nas distants entre eux
...
Accéder à Internet en passant par votre connexion Internet lorsque que vous êtes en déplacement
pour pro ter de l'antipub que vous avez installé à la maison (par exemple avec le proxy du nas)
pour surfer de manière plus "privée", ce qui est très utile dans certains pays où la notion de vie privée est pire qu'en
France (ça existe, croyez moi) ou en cas d'utilisation d'un réseau "inconnu" (les HotSpot WIFI sont souvent plein
d'indiscrets)
à passer outre certaines restrictions en entreprise (il ne s'agit pas de faire n'importe quoi non plus, respectez les
règlements intérieurs)
...
######################################################################################
À lire avant d'aller plus loin

Le fait de passer par un VPN n'est pas un gage de sécurité en soit.
L'utilisation d'une connexion VPN en entreprise peut mener lieu à des sanctions disciplinaires
L'utilisation d'une connexion VPN peut être passible de prison (voir pire) dans certains pays (Chine, Corée du Nord,
Émirats arabes unis, Iran, Russie, Turquie ...)
Si la sécurité générale de votre NAS est mauvaise, ne faites pas de VPN, ça ne fera qu'augmenter les risques (vous
trouverez un tuto ici)
######################################################################################
Le VPN par Synology
Ce guide est valable pour les versions DSM5.0 à DSM 6.1, mais en fonction des mise à jour de Synology, certaines options
peuvent évoluer.
Synology fourni un paquet qui installe tout le nécessaire pour créer son serveur VPN à la maison : VPN Server
02.png
Il existe de nombreux types de tunnel, plus ou moins simples à mettre en place et plus ou moins sécurisés. Le paquet VPN
Server en propose 3 (en pratique il y en a 4, on le verra plus tard) :
PPTP : créé par Microsoft, ce protocole souffre de nombreux problèmes de sécurité et ne devrait plus être utilisé
authenti cation client : login + mot de passe
avantages : simple à con gurer et disponible sur la plupart des clients mais il tend à disparaitre (il n'est plus
disponible sur iOS 10 par exemple)
inconvénients : chiffrement très faible et facile à attaquer
OpenVPN : c'est un tunnel SSL, libre, très souple et sécurisé
authenti cation client : certi cat + login + mot de passe
avantages : chiffrement fort et possibilité de choisir le port et le protocole
inconvénient : rarement supporté par défaut (mais il existe des clients pour tous les systèmes)
L2TP/IPSec : il s'agit de 2 protocoles normalisés, imbriqués l'un dans l'autre, c'est un ancien standard encore très
répandu
authenti cation : secret partagé + login + mot de passe
avantages : c'est un standard bien sécurisé supporté par tous les clients ou presque
inconvénients : plus complexe à comprendre donc souvent mal con guré
Il est généralement plus simple de se limiter au L2TP/IPSec car il est en standard sur tous les clients (Android, iOS, Linux,
MacOS, Windows, ...) et souvent autorisé dans les pare-feu.
nb : les descriptions précédentes correspondent à la manière dont Synology a implémenté les protocoles, pas à ce qu'ils savent
faire (on peut allez beaucoup plus loin avec OpenVPN et L2TP/IPSec, comme utiliser des certi cats clients, de l'OTP, ...)
######################################################################################
Prérequis
La première chose à faire avant de rendre tout ou partie de votre NAS accessible depuis Internet (indépendamment du VPN),
c'est la sécurisation de votre NAS. Il existe de nombreux posts sur ce sujet et même un tuto, mais le minimum devrait être :
Protection DOS, blocage auto et pare-feu correctement con gurés et activés (un exemple est présent plus bas pour le
pare-feu)
Aucun compte avec un mot de passe faible sur le NAS : minimum 12 caractères avec MAJUSCULES, minuscules,
chiffres et si possible des caractères spéciaux
"Con guration du routeur" désactivée, il ne faut surtout pas utiliser cette fonctionnalité des Synology, c'est une faille de
sécurité
Con guration de la box correcte (pas de DMZ ni d'UPnP autorisé)
Ensuite vous devez savoir comment transférer des ports de votre routeur vers votre NAS (on dit couramment : forwarder des
ports).
En n, il vous faut quelques notions réseau de base (adresse IP, adresse réseau, port, route, NAT et DNS), elles ne sont pas
toutes nécessaires pour con gurer le serveur VPN, mais indispensable pour bien comprendre ce qu'on fait et comment ça
fonctionne (je suis certain que beaucoup vont sauter ce point, pensant bien connaitre ces notions, la plupart se trompent).
######################################################################################
Installation du paquet VPN Server

Dans le Centre des paquets, on cherche le paquet VPN Server et on l'installe.
01.png => 02.png
À la n de l'installation, vous aurez probablement une "Noti cation du pare-feu".
De manière générale, il vaut mieux ne pas utiliser ce système de noti cation et créer les règles manuellement, mais si vous
préférez utiliser ce système, décochez le port 1723 (PPTP) comme ci-dessous :
06.png
Que vous utilisiez ou non cet assistant, allez dans la con guration du pare-feu et a nez les règles (pour limiter l'accès à
certains pays par exemple).
Un point important qui risque d’empêcher le VPN de fonctionner correctement chez certains utilisateurs ( @Vinky ) : il faut
autoriser la connexion VPN et le tra c VPN.
Si vous n'autorisez que les ports du VPN mais pas le tra c réseau qui va passer dans le tunnel, ça ne fonctionnera pas.
Votre client et le nas diront - "Connecté" - mais vous n'aurez accès à rien.
Gardez en tête que se connecter à un VPN c'est comme brancher un câble réseau (le VPN c'est le câble), si vous
n'autorisez pas le tra c dans le câble, ça ne sert pas à grand chose.
Voici un exemple de con guration du pare-feu Synology, il devrait fonctionner chez presque tout le monde (au moins en
France) :
07.png
tous les réseaux privés (donc qui ne peuvent pas venir d'Internet) sont autorisés :
même si vous changez d'opérateur, les règles resteront valables
ça permet aussi d'autoriser le tra c du tunnel VPN (par défaut il s'agit de réseaux en 10.x.0.x)
les ports des protocoles VPN dont on a besoin sont autorisés :
si vous n'utiliser pas OpenVPN, inutile d'ouvrir le port udp 1194 (idem pour L2TP/IPsec)
on limite l'accès aux pays dont on a besoin (pas la peine de laisser toute la planète tenter de se connecter à votre
nas)
Notez bien qu'ici il s'agit des règles de la section "Toutes les interfaces", si vous utilisez des règles par interface il faudra
adapter.
nb : je vous recommande fortement de créer les 3 premières règles et la dernière à l'identique, ça ne posera aucun problème de
sécurité chez 99% d'entre vous (pour le 1% restant on peut en discuter)
######################################################################################
Con guration globale

Au lancement de VPN Server, cet écran apparait :
03.png
Comme pour la plupart des applications Synology, l'écran est divisé en 2 avec la liste des rubriques à gauche.
On commence par aller dans "Paramètres généraux" :
Interface réseau : si votre NAS a plusieurs connexions réseau, il faut choisir celle qui convient, la plupart des utilisateurs
pourront laisser le choix par défaut
Type de compte : Utilisateurs locaux - sauf si vous avez intégré votre NAS à un annuaire (AD/LDAP)
Accorder le privilège VPN aux utilisateurs locaux nouvellement ajoutés : il ne faut pas cocher cette case
Blocage auto : il doit être activé, sinon il faut le faire avant de continuer
=> 04.png
Puis dans "Privilèges" vous pouvez choisir les utilisateurs qui pourront utiliser tel ou tel type de tunnel VPN. Par défaut tout
est autorisé pour tout le monde, ce qui n'est probablement pas une bonne idée.
Dans l'exemple ci-dessous, certains utilisateurs peuvent utiliser plusieurs types de tunnel en fonction des besoins et des
contraintes (un pare-feu d'entreprise qui ne laisse pas passer l'un ou l'autre des VPN par exemple). D'autres comptes n'ont tout
simplement pas le droit pas se connecter en VPN.
05.png
Ensuite on peut con gurer les différents types de tunnel VPN en fonction des besoins.
######################################################################################
Serveur PPTP
Ça va aller vite => il ne faut pas s'en servir
Il est encore plus able et plus sûr de se connecter directement à son NAS en HTTP (même sans le s).
######################################################################################
Serveur OpenVPN
Avant de rentrer dans la con guration, un petit mot sur OpenVPN.
Il s'agit d'un projet libre et OpenSource de serveur VPN SSL/TLS, il utilise donc un certi cat (et quelques autres mécanismes)
pour chiffrer la communication, d'une manière très similaire à ce qui est fait par un site en HTTPS. Ce mode de fonctionnement
lui permet une grande souplesse de con guration. À titre d'exemple, on peut le con gurer pour écouter sur le le port TCP 443,
comme le ferait un serveur HTTPS. Cette possibilité peut être utile si les ports standards sont fermés par un pare-feu. On peut
aussi l'utiliser à travers un serveur proxy.
Néanmoins, et cela est valable pour tous les protocoles :
un bon équipement réseau sera toujours capable de faire la différence entre une connexion normale et une connexion
VPN
il est nettement plus e cace (en terme de débit et de stabilité) d'utiliser le protocole UDP
Commencez par activer le serveur OpenVPN, vous pouvez laisser tous les réglages par défaut sauf éventuellement le cadre
rouge :
08.png
Par défaut le serveur ne vous laisse accéder qu'au NAS. Si vous cochez cette case, vos clients VPN pourront aussi
accéder aux autre ressources de votre réseau (une imprimante réseau par exemple, un autre nas, ...) mais leur accès à
Internet passera aussi par le nas. C'est à activer en connaissance de cause.
Vous pouvez aussi ajuster les options de chiffrement et d'authenti cation, les options de la capture ci-dessus sont un
compromis entre sécurité/performances et compatibilité (testé avec le client o ciel sous Windows et Android).
Votre NAS sera directement accessible à l'adresse 10.8.0.1.
Cliquez sur "Appliquer" pour obtenir une petite noti cation :
09.png
Comme indiqué ici, il faudra autoriser et transférer le port UDP 1194 sur votre routeur ou votre MachinBOX.
Une fois la con guration terminée et enregistrée, vous devez cliquer sur "Exporter la con guration" pour obtenir les certi cats
et le chier de con guration des clients.
Sauvegardez le zip et ouvrez le, il contient 4 chiers :
README.txt : ce chier contient les instructions de con guration pour Windows et MAC
openvpn.ovpn : c'est le chier de con guration qu'il faudra importer dans votre client OpenVPN
ca.crt : c'est l'autorité de certi cation racine utilisée par OpenVPN (c'est la même que pour votre nas)
ca_bundle.crt : en général c'est la même chose, mais si vous utilisez une sous autorité, il contient la chaine complète de
certi cation
nb : dans les versions récentes du paquet, le certi cat est directement inclus dans le chier .ovpn.
Comme indiqué dans le README.txt, il faut éditer le chier de con guration avant de l'importer, les lignes importantes sont :
remote YOUR_SERVER_IP 1194

il faut remplacer YOUR_SERVER_IP par l'adresse IP publique utilisée pour joindre votre nas (c'est probablement
votre IP publique)
même si c'est déconseillé, vous pouvez spéci er un nom de domaine à la place de l'adresse IP
#redirect-gateway def1
selon que vous avez ou non coché la case entourée de rouge (cf plus haut), il faut enlever ou laisser le caractère
de commentaire (le #) en début de ligne
#dhcp-option DNS DNS_IP_ADDRESS
si vous n'avez pas dé-commenté l'option précédente, dans certaines conditions particulière, il faut préciser
l'adresse d'un serveur DNS accessible depuis le client ( @titis14 )
Notez la ligne "ca ca_bundle.crt", elle indique où trouver le certi cat par rapport au chier de con guration (par défaut il
s'attend à tout avoir au même endroit, laissez comme ça c'est plus simple).
nb : dans les versions récentes du paquet, le certi cat est directement inclus dans le chier .ovpn.
Enregistrez le chier et copiez le avec le chier ca_bundle.crt sur tous vos clients (c'est le même chier et le même certi cat
pour tous vos clients).
C'est terminé pour la con guration du serveur OpenVPN, normalement les étapes se résument à :
1. activer le serveur OpenVPN

2. exporter un zip
3. modi er la con guration pour ajouter votre adresse IP
4. autoriser le port UDP 1194 sur le NAS
5. ouvrir et transférer le port UDP 1194 sur le routeur
######################################################################################
Serveur L2TP/IPSec
En préambule vous avez pu lire que L2TP/IPSec était un standard mais était aussi complexe. Rassurez vous, la con guration
est en réalité très simple. Il faut simplement ne pas suivre une des indications de Synology !
Une petite précision avant d'aller plus loin. L2TP/IPSec englobe 2 protocoles de tunnel. On peut le lire autrement, L2TP sur
IPSec ou plus clairement L2TP dans IPSec. En pratique, votre client va créer un tunnel sécurisé par IPSec et créer un tunnel
L2TP à l'intérieur.
IPSec : c'est ce protocole qui assure le chiffrement de votre communication

L2TP : il se contente de gérer l'authenti cation et de transporter les données, mais sans rien chiffrer (c'est important
pour la suite)
Commencez par activer le serveur L2TP/IPSec, vous pouvez laisser tous réglages par défaut sauf le cadre rouge :
10.png
Il faut créer et con rmer la clef pré-partagée. Cette clef va servir de mot de passe secret entre votre client et votre
serveur pour authenti er les 2 extrémités. Utilisez une clef assez robuste (pas moins de 16 caractères) et ne la perdez
pas (KeePass est parfait pour ça et plein d'autres choses).
nb : le secret partagé ne doit contenir que des caractères ASCII, mais avec le jeu des langues et des claviers, mieux vaut
se limiter aux caractères alpha numériques (a-z A-Z 0-9)
nb : par défaut c'est le serveur DNS con guré dans votre NAS qui est utilisé, mais vous pouvez le changer si besoin
(attention, certains clients n'en tiennent pas compte)
En passant, notez l'adresse IP en haut : 10.2.0.0
Ici ça sera l'adresse du serveur VPN (ils auraient pu faire pareil qu'avec OpenVPN, mais non), votre NAS sera donc directement
accessible à cette adresse. Dans le cas présent, votre NAS sera aussi accessible avec son adresse habituelle car, par défaut,
tout le tra c de votre client pourra passer dans le tunnel L2TP/IPSec (il n'y a d’ailleurs pas d'option pour ça), ça dépend du
client (c'est généralement le cas par défaut sous Android, iOS et Windows mais pas avec MacOS).
Cliquez sur Appliquer pour obtenir une petite noti cation, mais attention, il y a une erreur :
11.png
Il faut bien ouvrir le port UDP 1701 sur votre NAS s'il est derrière un routeur, mais il ne faut pas l'ouvrir ni le transférer sur
votre routeur.
Si vous ouvrez ce port sur votre routeur, vous autorisez les connexions L2TP direct. Le soucis est que certains clients testent
plusieurs protocoles (iOS et Windows 10 par exemple), selon la priorité de leurs tests, s'ils voient le L2TP d'ouvert, il vont tenter
de s'y connecter sans monter le tunnel IPSec. Du point de vue du client ça fonctionne et c'est rapide, mais en pratique, il n'y a
aucun chiffrement de la connexion.
Si vous êtes connecté en laire sur un réseau de con ance, ce n'est pas forcement trop grave, mais si vous voulez accéder à
votre NAS depuis un HotSpot, sachez que TOUT ce que vous ferez sera en clair et lisible par n'importe qui.
Un pirate pourra facilement (vraiment très facilement, environ 10sec de travail) espionner votre tra c (donc vos mots de
passe), se connecter à votre PC, à votre nas et à tout ce qu'il y a derrière.
Il est donc important de ne pas ouvrir ni transférer le L2TP (UDP 1701) sur votre routeur. Par contre il doit être autorisé sur
le NAS.
Pour ceux qui n'ont pas suivi :
on interdit le port sur le routeur

mais on l'autorise sur le nas
=>comment le client peut il atteindre le nas par ce port ?
Rappelez vous, L2TP est dans le tunnel IPSec, donc votre routeur ne verra pas le L2TP passer, mais votre NAS oui.
C'est terminé pour la con guration du serveur L2TP/IPSec, normalement les étapes se résument à :
1. activer le serveur L2TP/IPSec

2. créer un secret pré-partagé
3. autoriser les ports UDP 500, 1701 et 4500 sur le NAS
4. ouvrir et transférer les ports UDP 500 et 4500 sur le routeur ou la MachinBOX
nb : en L2TP/IPSec, il n'est pas possible d'avoir plusieurs clients connectés en même temps s'ils sont derrière le même routeur
NAT
######################################################################################
Compatibilité des clients

OpenVPN :
Android : aucun soucis
iOS : non testé
Linux : aucun soucis
MacOS : aucun soucis avec El Capitan (pas testé avec Sierra)
Synology : aucun soucis (merci @StéphanH )
Windows : aucun soucis
L2TP/IPSec :
Android : ça peut ne pas fonctionner certaines versions récentes d'Android, mais c'est simple à corriger
iOS : iOS 9 et 10 aucun soucis
Linux : aucun soucis
MacOS : aucun soucis
Synology : aucun soucis
Windows : ça peut ne pas fonctionner selon le type de réseau (si le NAS n'a pas d'adresse public), mais c'est
simple à corriger
######################################################################################
Notes communes sur les clients

Si votre client vous demande de renseigner une adresse de serveur, c'est l'adresse Internet de votre box qu'il faut saisir. Dans
certains cas on peut utiliser un nom DNS, mais ce n'est pas recommandé.
Si vous avez con guré votre client pour ne pas envoyer tout le tra c vers le VPN, votre NAS ne sera pas accessible depuis son
adresse habituelle (192.168.x.x en général). Il faudra donc utiliser l'adresse de terminaison (celle en 10.x.x.x).
Si vous avez con guré votre client pour envoyer tout le tra c vers le VPN, votre NAS sera accessible depuis son adresse
habituelle (192.168.x.x en général) et votre client sera vu avec l'adresse de votre NAS depuis le reste de votre réseau (le NAS
fait routeur+NAT).
######################################################################################
Con guration des clients
OpenVPN
24.p
Android : OpenVPN Connect
ng
Con guration :
après l'import du certi cat, vous aurez peut être une noti cation de sécurité
23.p
iOS : OpenVPN Connect
ng
Con guration :
rien de particulier
Linux : utilisez apt/dnf/emerge/yum/zipper ou les sources (si vous utilisez network manager, network-manager-openvpn-
gnome est sympa)
Con guration :
rien de particulier
25.p
MacOS : OpenVPN Connect
ng
Con guration :
parfois il faut jouer avec les routes pour que ça fonctionne
Synology :
Con guration :
ne cochez pas la 2ème case (Use default gateway on remote network) sauf si vous savez ce que vous faites
24.p
Windows : OpenVPN
ng
Con guration :
rien de particulier
L2TP/IPSec
Android :
Con guration :
27.png (cliquez pour zoomer)
par défaut tout le tra c passera par le VPN mais vous pouvez ajouter des routes pour changer ce comportement dans
les options avancées
avec certaines versions d'Android, il faut modi er le chier /var/packages/VPNCenter/etc/l2tp/ipsec.conf sur le NAS et
remplacer sha2_truncbug=no par sha2_truncbug=yes, puis on relance le paquet (merci @CoolRaoul )
iOS :
Con guration :
26.png (cliquez pour zoomer) (merci @StéphanH )
par défaut tout le tra c passera par le VPN, la case "Tout envoyer" permet de changer ce comportement
Linux : il existe plein de clients mais j'ai une préférence pour strongswan
Con guration :
rien de particulier
MacOS :
Con guration :
Il faut créer un nouvel adaptateur dans Préférences Système -> Réseau :

31.png 32.png
33.png 34.png
Dans Avancé, la case entourée en rouge permet de choisir ce qu'on envoi dans le VPN (dernière capture)
Synology :
Con guration :
Il faut créer un nouveau pro l réseau dans les paramètres :

35.png 36.png
37.png
Sur le 3ème écran, ne cochez pas la première case sauf si vous savez ce que vous faites
Vos 2 nas pourront alors discuter entre eux directement en utilisant les adresses de terminaison en 10.2.0.x (pour faire
une sauvegarde distante par exemple)
Windows :
Con guration :
Commencez par créer la connexion VPN avec le Wizard

Sous Windows 10 il ressemble à ça :
29.png ou à ça (selon par où vous passez) 30.png
Que vous soyez sous Windows 7, 8 ou 10, ça va vous créer un nouvel adaptateur réseau sur lequel vous pourrez
modi er les paramètres comme suit si besoin :
15.png 18.png 19.png
20.png 21.png 22.png
Si votre NAS est derrière un routeur-NAT (une box par exemple), il faut créer la valeur de registre suivante :
https://support.microsoft.com/en-us/kb/926179
Clef : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
Valeur DWORD32 : AssumeUDPEncapsulationContextOnSendRule
Donnée de la valeur : 2
et on reboot le PC
######################################################################################
Con guration des routeurs

La première chose à faire consiste à s'assurer que l'adresse IP de votre NAS ne change pas, vous avez 2 manières de procéder :
la bonne : vous con gurez votre DHCP (celui de la box par exemple) pour qu'il attribut toujours la même adresse au NAS
(association MAC ADDRESS <-> adresse IP)
la mauvaise : vous entrez une IP xe dans la con guration réseau de votre nas
Voici à quoi devrait ressembler les redirections de ports dans votre routeur dans le cas d'un VPN L2TP/IPSec, à chaque fois il
faut bien renseigner l'adresse IP locale de votre nas :
Freebox V5 : accessible depuis l'interface Free (merci @Mic13710 )

Ma Freebox->Con gurer mon routeur Freebox->Redirections
Freebox V5
Livebox 4 : accessible depuis l'interface de la box (merci @StéphanH )
con guration avancée->NAT/PAT
Livebox 4
EdgeRouter : vous avez plusieurs manières de faire, ici c'est la méthode pour les débutants (non recommandé) :
sélectionnez bien votre interface WAN (celle connectée à Internet) :
EdgeRouter
autres modèles : consultez la documentation de votre routeur, ça devrait être similaire aux exemples ci-dessus
######################################################################################
Que faire si ça ne marche pas ?

La première chose à faire est de relire attentivement le tutoriel, en entier, tous les problèmes rencontrés jusqu'à présent pas les
autres utilisateurs ont été traités à un endroit ou à un autre (j'actualise le post de temps en temps).
Les erreurs classiques sont :
mauvaises règles de pare-feu

erreur de login/password
erreur de secret partagé
N'hésitez pas à repartir de zéro (supprimez la con guration et recommencez).
Véri ez aussi l'adresse IP public de votre connexion, avec certains FAI elle change régulièrement, même chose si vous avez
utilisé un nom DNS, il faut véri er qu'il est valide.
Si vraiment vous êtes certains que tout est bon de votre coté, regardez les journaux sur le Synology, ils sont dans
/var/log/auth.log
Pour L2TP/IPSec vous pouvez aussi activer le debug dans le chier /var/packages/VPNCenter/etc/l2tp/ipsec.conf :
il faut dé-commenter les instructions :

plutodebug=all
plutostderrlog=/var/log/pluto.log
puis on relance le paquet (synoservice --restart pkgctl-VPNCenter)
les détails de la connexion seront visibles dans /var/log/pluto.log
pensez à désactiver le debug après avoir trouvé le problème
Si la connexion n’aboutit toujours pas, il faut véri er que le VPN est bien autorisé entre le client et le serveur. Il est possible
qu'un pare-feu ou que votre FAI (voir votre box) bloque ce tra c. Le plus simple pour le véri er est de faire une capture de
trames sur le Synology (à faire en root) : tcpdump -n -q "udp dst port 500 or udp dst port 4500 or udp dst port 1194"
si vous ne voyez pas de tra c sur les port 500 et 4500 ou 1194 (pour OpenVPN), il y a un ltrage entre le client et votre
nas
Vous pouvez aussi tester avec un autre client, une autre connexion Internet, un autre nas (demandez à des amis par exemple,
ça sera l'occasion de leur montrer comment ça fonctionne).
######################################################################################
Utilisation avancée
En plus des paramètres présentés ci-dessus, vous pouvez faire plusieurs ajustements coté client et serveur a n de mieux
correspondre à vos besoins.
Pour la suite, il faut avoir un minimum de notions en réseau (minimum ne veut pas forcement dire la même chose pour tout le
monde, cf Prérequis). Les points présentés ici ne sont pas limités au VPN et peuvent être utilisés dans un cadre plus général.
Les tables de routage
En réseau, une route c'est simplement l'itinéraire que doivent emprunter les paquets pour aller du point A au point B. Comme
une route pour les voitures.
Pour voir les différentes routes con gurées sur votre système, "la table de routage", une commande à retenir : netstat -nr
Vous connaissez tous la "route par défaut/Passerelle par défaut". Elle est matérialisée dans la table de routage de votre
équipement par quelque chose ressemblant à ça :
Windows : 0.0.0.0 0.0.0.0 <adresse de votre routeur> <adresse de l'interface> <métrique>

le reste du monde : 0.0.0.0 <adresse de votre routeur> 0.0.0.0 UG 0 0 0 <nom de l'interface>
Les 2 séries de 0.0.0.0 au début servent à dé nir l'adresse du réseau de destination (respectivement l'adresse de destination
et le masque de sous réseau). Ce qui donne donc 0.0.0.0/0.0.0.0 ou encore 0.0.0.0/0. Pour information, l'adresse d'un réseau
s'obtient en multipliant (en binaire) une adresse par son masque (ici c'est facile, ça donne 0 partout).
Maintenant à quoi ça sert de savoir ça ?
On a vu plus haut qu'on avait 2 types de con guration pour le tra c : tout doit passer par le VPN ou seulement le tra c entre le
client et le serveur VPN (ici le nas).
Si vous souhaitez, par exemple, que tout le tra c à destination d'Internet passe en direct (pas par le VPN) mais que tout le
tra c à destination des adresses de votre réseau local passe par le VPN, vous devez le dire à votre client. Donc il faut créer des
routes.
Pour la suite, on va considérer que votre réseau est con guré comme suit :
adresse de votre réseau : 192.168.0.0/24 (/24 ça veut dire 255.255.255.0)

adresse de votre NAS : 192.168.0.2/24
adresse de terminaison VPN de votre NAS : 10.2.0.0 (il n'y a pas de masque ici, c'est normal)
adresse d'un site Internet accessible uniquement depuis chez vous : 1.1.1.1/32
Si vous souhaitez pouvoir accéder à votre NAS, une imprimante IP, une caméra de surveillance, ... via le VPN, vous avez 2
possibilités :
vous dé nissez la connexion VPN comme itinéraire par défaut : c'est simple mais tout le tra c passera par là, avec une
connexion bre à la maison ce n'est pas trop grave, mais en ADSL c'est lent
vous spéci ez que tout le tra c à destination de votre réseau local, mais pas le reste, doit passer par le VPN => il faut
ajouter une route dans la con guration de votre client
Android : c'est à faire dans la con guration de la connexion VPN (tout en bas dans les paramètres de la
connexion)
iOS : ce n'est pas possible sauf en jailbreak
Linux/MacOS : ip route add 192.168.0.0/24 via 10.2.0.0
Windows : route add 192.168.0.0 mask 255.255.255.0 10.2.0.0
Et pour le fameux site privé sur Internet ? C'est la même chose.
Android : c'est à faire dans la con guration de la connexion VPN (tout en bas dans les paramètres de la connexion)
iOS : ce n'est pas possible sauf en jailbreak
Linux/MacOS : ip route add 1.1.1.1/32 via 10.2.0.0
Windows : route add 1.1.1.1 mask 255.255.255.255 10.2.0.0
Ici on a ajouté des routes en indiquant au système d'envoyer les paquet à 10.2.0.0, à lui de trouver la meilleur interface réseau
à utiliser. On peut le faire différemment, au lieu de spéci er une adresse de routeur (10.2.0.0), on peut indiquer au système de
passer par une interface bien précise (ici ça serait l'interface de VPN).
Petite précision, avec des routes on dé ni un itinéraire, il est tout à fait possible de dé nir plusieurs étapes sur cet itinéraire, on
peut par exemple indiquer :
pour aller sur 192.168.1.0/24 il faut passer par 192.168.0.1

pour aller sur 192.168.0.1/32 il faut passer par 10.2.0.0
=>votre paquet empruntera donc le chemin suivant : [client]-------[10.2.0.0-192.168.0.2]-------[192.168.0.1-XXXXX]---????
---[192.168.1.0/24]
Ça c'est la théorie, pour la mise en pratique il existe plusieurs manière de gérer tout ça et de l'automatiser.
À titre personnel j'utilise des scripts pour me connecter/déconnecter du VPN, j'ai donc ajouté les commandes de gestion des
routes dans ces scripts (et plein d'autre choses mais ce n'est pas le sujet).
Par exemple :
Linux :
#!/bin/sh
nmcli con up id <id de connexion dans network-manager>
#avec OpenVPN c'est : openvpn /fichier/de/conf.ovpn
#on ajoute les routes

ip route add 192.168.0.0/24 dev <nom de l'interface vpn>
exit 0
Windows :
rem "il faut remplacer VPN1 par le nom de l'interface VPN"

rasdial "VPN1"
rem "il faut remplacer XX par le numéro de l'interface VPN"

route add 192.168.0.0 mask 255.255.255.0 10.2.0.0 IF XX
@PiwiLAbruti a une autre approche (techniquement plus propre que la mienne), vous la trouverez ici : vpn-route.ps1
En version courte, il demande au système (via les taches plani ées) d'exécuter ses commandes de gestion de routes lorsqu'il
détecte que l'interface VPN se connecte/déconnecte.
Les enregistrements DNS
Pour vous connecter à votre nas, la plupart d'entre vous font ceci (pour simpli er on va oublier l'https, le netbios, le
changement de ports ... car ça n'a aucune importance pour la suite) :
à la maison : http://192.168.0.2:5000
depuis Internet : http://<nom de domaine>:5000
via le VPN : http://10.2.0.0:5000 (ou http://192.168.0.2:5000 en fonction de vos routes)
Personnellement je fais ceci :
à la maison : http://<nom de domaine>:5000

depuis Internet : http://<nom de domaine>:5000
via le VPN : http://<nom de domaine>:5000 (peu importe mes routes)
Je trouve ça légèrement plus simple
Vous avez plusieurs méthodes pour arriver à ce résultat mais je ne vais en présenter qu'une, par contre comme c'est très long à
expliquer en détails (mais simple à faire), je vais fortement abréger..
Le plus propre et de loin le plus e cace c'est de con gurer votre serveur DNS pour gérer les "vues" (view) : vous demandez
simplement à BIND de donner la bonne réponse en fonction de l'adresse IP du client :
si le client a une IP qui vient d'Internet on renvoi l'adresse de la box

si le client a une IP qui vient du LAN on renvoi l'adresse du NAS
si le client a une IP qui vient du VPN on renvoi l'adresse de terminaison du NAS
Tout ce qu'il reste à faire c'est d'indiquer au client d'utiliser votre serveur DNS :
à la maison : via votre DHCP

depuis Internet : rien à faire normalement
via le vpn : en le con gurant comme indiqué plus haut
Vous trouverez plus de détails dans le [TUTO] DNS Server.
En creusant un peu, vous trouverez d'autres techniques (loopback, cascade DNS, LLA, prerouting iptables, ...), mais aucune
n'est aussi e cace du point de vue des performances et de la souplesse.
La MTU et le MSS Clamping
Si vous ne savez pas de quoi je parle, passez votre chemin, vous allez faire de la casse. D'ailleurs je ne vais pas en parler pour
éviter les accidents, c'est juste un mémo pour rappeler aux utilisateurs les plus avancés que ces paramètres peuvent être
con gurés et ne doivent pas être négligés du point de vue des performances, surtout en IPv6 (même si la théorie voudrait que
ça soit mieux géré en IPv6).
Modi é 24 janvier par Fenrir

disclaimer et corrections diverses
1 8
Reiep, Vinky, Flux Radieux et 6 autres ont réagi à ceci
PiwiLAbruti Posté(e) 29 août 2016 Signaler ce message 

Esprit NAS Syno
 J'utilise différents appareils sous iOS avec du L2TP/IPSec sans le moindre souci avec les ports udp/500et udp/4500
uniquement translatés sur le routeur (Freebox). Je n'ai rien fait de plus que ce que @Fenrir a indiqué dans son tuto.
Par défaut le client envoie tout son tra c sur la connexion VPN, ce qui peut être gênant si on veut conserver son accès internet
local et n'envoyer que le tra c à destination des réseaux distants sur le VPN. On peut résoudre ce problème en créant
SynoCommunity automatiquement des règles de routage dès que la connexion VPN est établie.
Sur Mac et Linux, il su t d'utiliser le script /etc/ppp/ip-up. Sur un NAS Synology, je conseille de le placer dans
 155 /usr/local/etc/ppp/ip-up, puis de rajouter son exécution au début du script existant /etc/ppp/ip-up.
5 899 messages
Gender:Male Pour Windows, j'ai écrit un script PowerShell dont l'exécution est déclenchée par l'évènement de connexion du VPN.
Location:Très loin
CoolRaoul Posté(e) 29 août 2016 Signaler ce message 

Brigade Synophile
 Tiens puisqu'il est question de VPN server, la connexion vers le NAS en mode L2TP à partir de mon smartphone Android a
cessé de fonctionner du jour au lendemain, probablement suite à une mise à jour DSM mais je ne saurais pas dire laquelle (je
n'utilise pas le VPN si souvent que ça)
Lors d'une tentative de connexion, la commande tcpdump ci dessous en ligne de commande sur le NAS me montre bien du
tra c entrant et sortant, donc les redirections de ports n'ont pas sauté dans la box:
tcpdump udp port 1701 or udp port 500 or udp port 4500
Hélas débugger tout ça est largement au delà de mes capacités. En attendant mieux, je dois me contenter de l'OpenVPN de
ma Freebox (l'inconvénient est que je ne peux pas utiliser l'option "VPN permanent" sous Android dans ce cas.
Membres
 118
5 490 messages
Gender:Male
Location:Marseille

Brigade Synophile
 Ca fonctionnait pourtant précédemment avec le même téléphone et la même version d'Android sous réserve d'avoir appliqué la
bidouille expliquée ici (ajouter "sha2_truncbug=yes" dans /var/packages/VPNCenter/etc/l2tp/ipsec.conf). La seule chose qui
à changé entre temps c'est DSM
Membres 1
aldiallo-Syno a réagi à ceci
 118
5 490 messages
Gender:Male
Location:Marseille
Fenrir Posté(e) 29 août 2016 Signaler ce message 

Esprit NAS Syno
 @CoolRaoul : ipsec avec Android+syno ne fonctionne plus depuis quelques versions d'android, c'est lié à Google qui
n'implémente pas un standard et au syno qui est moins tolérant.
https://code.google.com/p/android/issues/detail?id=196939
Membres
 329
6 542 messages
Gender:Male

Brigade Synophile
 J'ai remonté l'historique. Ca m'a permis de retrouver un de mes post dans un autre forum ou je témoigne de la dernière
upgrade android reçue par mon smartphone. Ce dernier est daté du 20 Avril: http://forum.frandroid.com/topic/241978-help-
cest-quoi-cette-mise-à-jour-régressive-en-60/?do= ndComment&comment=3608637
Comme vu plus haut, le 22 avril (mon Moto X était donc déjà sous Android 6), la connexion VPN Android -> Syno marchait
dans mon cas .
Membres Reste donc deux hypotheses: que la regression soit du aux patches de sécurité Android que j'ai reçu entre temps, courant Juin,
ou que DSM (ou VPN server) soit en cause.
 118 En n, quoi qu'il en soit, faut bien que je me rende à l'évidence: que je peux sans doute tirer un trait sur l'utilisation du VPN Ipsec
5 490 messages
dans l'immédiat. Dommage.
Gender:Male
Location:Marseille

Esprit NAS Syno
 Sur mon nexus ça ne fonctionnait déjà plus avant la sortie de DSM6 ( n 2015/début 2016)
Membres
 329
6 542 messages
Gender:Male
CoolRaoul Posté(e) 29 août 2016 (modi é) Signaler ce message 

Brigade Synophile

 Le 29/8/2016 à 15:30, Fenrir a dit : 
Sur mon nexus ça ne fonctionnait déjà plus avant la sortie de DSM6 ( n 2015/début 2016)
Je te crois bien entendu sur parole, je tenais juste à souligner qu'il faut éviter de généraliser ("ipsec avec Android+syno ne
fonctionne plus depuis quelques versions d'android"). La grande fragmentation d'Android, ajouté au différentes
Membres
implémentations faites par les constructeurs fait qu'on se retrouve dans ce genre de situations oues ou ca marche pour
certains et pas pour d'autres.
 118
5 490 messages D'ailleurs, tout ça m'a rapellé qu'avant d'avoir le Mororola j'avais également longtemps galéré avec mon Sony Xperia Z (CF ce l:
Gender:Male VPN L2TP/IPSec: histoire de fou)
Location:Marseille
Modi é 29 août 2016 par CoolRaoul

Esprit NAS Syno

 Le 29/8/2016 à 15:47, CoolRaoul a dit : 
Je te crois bien entendu sur parole, je tenais juste à souligner qu'il faut éviter de généraliser ("ipsec avec Android+syno ne
fonctionne plus depuis quelques versions d'android"). La grande fragmentation d'Android, ajouté au différentes
implémentations faites par les constructeurs fait qu'on se retrouve dans ce genre de situations oues ou ca marche pour
certains et pas pour d'autres.
Membres
Oui c'est vrai, selon la version d'android et l'implémentation du fabriquant, ça peut marcher ou non, un peu la loterie en somme.
 329
6 542 messages
Gender:Male
Einsteinium Posté(e) 30 août 2016 Signaler ce message 

Membre du Conseil des NAS
Synology Vous oubliez le bridge opérateur mobile, free sont des experts par exemple, cela contourne leur bridage de débit...

@CoolRaoul Moi perso aucun wi hormis celui de chez moi et en 4G vpn pour ltré les pubs
Modérateurs
 39
4 471 messages
Gender:Male

Brigade Synophile

 Le 30/8/2016 à 13:56, Einsteinium a dit : 
Moi perso aucun wi hormis celui de chez moi
En donnant un exemple de cas d'usage je me doutais bien que ça ne s'applique pas à *tous* les utilisateurs.
Membres
 Le 30/8/2016 à 13:56, Einsteinium a dit : 
 118 4G vpn pour ltré les pubs

5 490 messages
Gender:Male
Location:Marseille Dans ce cas, évidemment, la question ne se pose même pas vu qu'il est impossible sous Android d'empiler les VPN.
SynOxley Posté(e) 13 septembre 2016 Signaler ce message 
Initié
 Bonjour à tous,
Et un grand BRAVO à Fenrir pour son excellent tutoriel !!!
Je vais poser une question qui va faire sourire et peut-être même plus mais le débutant que je suis a besoin de comprendre le
pourquoi du "bouzin".
SVP, soyez magnanimes. Ne me jetez pas de pierres tout de suite...
Membres
J'ai réussi à créer cette connection L2TP/IPsec mais nalement je ne suis clair par rapport aux situations dans lesquelles
l'utiliser ni avec quels types d'"adresse".
0
3 messages Si j'ai bien saisi l'interêt de la manip', il s'agit de se connecter à son réseau privé (son NAS et éventuellement aux appareils qui y
Location:In a galaxy far far sont reliés) depuis le monde extérieur (lors d'un déplacement par exemple) en passant par ce type de connection car celle-ci
away...
assure ou tout du moins améliore la sécurité des échanges.
Interests:Flûte de Pan en
général et nanotubes en
Si cette première a rmation est correcte donc hors de chez moi j'ouvre ma connection L2TP/IPsec puis ensuite quels types
particulier
d'"adresse" utiliser?
J'explique ce que j'entends par types d'"adresse" car je ne trouve pas le terme correct :
- nom-de-mon-nas.synology.me
ou
- QuickConnect.to/my-QuickConnect-ID
ou
- mon-nom-de-domaine.truc
Dans ce dernier cas j'utilise un nom de domaine et un certi cat (gratuit) "Let's encrypt" pour me connecter en https avec le petit
verrou qui va bien et qui plaît aux navigateurs.
Quelle "adresse" dois-je utiliser ? Une précisément ? N'importe laquelle car cela ne fait pas de différence? J'imagine qu'il y a une
différence mais comme vous le constatez en tant que débutant l'évidence ne me saute pas aux yeux...
À l’inverse lorsque je suis chez moi que dois-je faire ?
Je laisse tomber la connection L2TP/IPsec ou pas ?

Je me connecte avec l’adresse IP local de mon NAS dans mon navigateur : 190.123.1.456:xxxx ?
Ou par le biais du “partage de chiers” ? (Je suis sur Mac OSX et le "partage de chiers" sous-entend de se connecter à un
serveur ou un autre ordinateur).
Qu’est-ce qui est censé être le mieux ? Le plus sûr ?
J’ai remarqué que me connecter en local par le biais de mon navigateur permet de farfouiller dans mes chiers (FileStation)
plus rapidement que par le biais du “partage de chiers” mais peut-être ai-je mal paramétré quelque chose car ceci ne me
paraît pas logique.
Donc voilà, comme vous pouvez le constater par ces questions, tout n’est pas vraiment clair dans mon esprit et vos
explications seront donc et les bienvenues.
Merci par avance pour votre aide !
Oxley
PiwiLAbruti Posté(e) 14 septembre 2016 Signaler ce message 

Esprit NAS Syno

 Le 13/9/2016 à 21:58, SynOxley a dit : 
Si cette première a rmation est correcte donc hors de chez moi j'ouvre ma connection L2TP/IPsec puis ensuite quels
types d'"adresse" utiliser?
J'explique ce que j'entends par types d'"adresse" car je ne trouve pas le terme correct :
SynoCommunity - nom-de-mon-nas.synology.me
ou
- QuickConnect.to/my-QuickConnect-ID
 155 ou
5 899 messages
- mon-nom-de-domaine.truc
Gender:Male
Location:Très loin
Aucune de celles-ci.
C'est ça. Une fois connecté au VPN, il faut tout simplement utiliser les adresses privées que tu utilises sur ton réseau local
(192.168.x.y).
L'intérêt du VPN est de pouvoir accéder à certains services du NAS qu'on ne veut pas disponibles directement depuis internet
(par les règles PAT de la box). Par exemple, SSH n'est accessible depuis l'extérieur de mon réseau uniquement par le VPN.
C'est très bien d'utiliser File Station à distance, les protocoles de partage de chiers en réseau (SMB, AFP, et NFS) ne
fonctionnent pas de manière optimale sur des connexion distantes à débits réduits (ADSL).
Mic13710 Posté(e) 14 septembre 2016 Signaler ce message 

Esprit NAS Syno

Euh.. il y a aucune chance de se connecter avec une adresse comme celle-ci. 456 c'est totalement impossible (au plus c'est 255
) et 190.123.x n'est certainement pas une adresse privée. Voir ici pour les plages d'adresses réservées aux réseaux privées.
Modérateurs
En règle générale, les box et les routeurs classiques utilisent seulement les plages 192.168.x.x.
Quand on souhaite utiliser le VPN à partir d'autres réseaux privés, il faut que la plage d'adresse de son propre réseau soit
 69 différente de la plage du réseau sur lequel on est connecté. Si votre plage est en 192.168.1.x et que le réseau sur lequel vous
6 516 messages êtes connecté est lui aussi sur la même plage, il y aura inévitablement des con its car vous aurez toutes les chances d'avoir
Gender:Male des adresses identiques sur les 2 réseaux. Par exemple, si votre NAS est en 192.168.1.10 et qu'un PC local a la même adresse,
Location:Bouches du Rhône
l'explorateur va d'abord rechercher sur le réseau local et tombera systématiquement sur le PC. Le NAS sera injoignable.
Pour limiter ce risque, mieux vaut paramétrer son réseau local sur une plage qui a toutes les chances de ne pas être utilisée
ailleurs. Il faut donc éviter par exemple les très courues 192.168.0.x, 192.168.1.x, 192.168.10.x, 192.168.100.x et
192.168.255.x. Par exemple la probabilité pour qu'une plage en 192.168.66.x soit utilisée sur un autre réseau local est
extrêmement réduite.

Initié

Bonjour,
Piwi et Mic, merci pour vos réponse !
Mic, l'adresse "190.123.1.456:xxxx" était simplement un exemple pourri sorti du dedans de ma tête fatiguée. Je suis
effectivement dans le cas classique des "192.168.x.x."
Membres Je prends bonne note de ta suggestion. Je vais voir comment changer la plage d'adresse.
Étant en "déplacement" hier, j'en ai pro té pour tester ma connection L2TP/IPsec à mon NAS/VPN et je me suis rendu compte
0 d'une erreur dans les réglages qui est probablement évidente pour quelqu'un qui maîtrise mais qui est peut-être aussi commise
3 messages
par d'autres "débutants" de mon espèce. J'en fais donc part ici car cela pourra (éventuellement) aider d'autres personnes.
Location:In a galaxy far far
away... Dans la con guration de ma connexion L2TP/IPsec sur mon Mac, j'avais renseigné dans le champ "adresse de serveur" l'IP
Interests:Flûte de Pan en locale de mon NAS et bien sûr ça ne marchait pas. J'ai changé cela par mon IP publique et ce fut un tonnerre
général et nanotubes en d'applaudissements ! J'ai aussi pu tester avec succès l'adresse "mon-NAS.synology.me" ainsi que le nom de domaine que j'ai
particulier
affecté à mon NAS. Je ne sais pas quel est le terme correct pour ce dernier mais je parle du nom de domaine qui m'a permis
d'obtenir un certi cat "Let's Encrypt" et qui renvoie donc sur mon NAS.
Piwi, je reviens sur ton conseil.
Donc lorsque je ne suis pas chez moi, je lance ma connection L2TP/IPsec et si tout marche correctement:
- Je me connecte à mon NAS à l'aide de mon navigateur en utilisant l'adresse locale de mon NAS.
- Ou alors, si le partage de chiers en réseau veut bien fonctionner de façon performante, je peux aussi l’utiliser (si c’est
su sant pour les tâches à accomplir du moment).
J’ai le choix entre ces deux solutions. Ai-je résumé correctement ?
Et alors, lorsque je suis chez moi, ai-je besoin de cette connexion L2TP/IPsec ?
Ou bien puis-je me connecter simplement à l'aide de mon navigateur en utilisant l'adresse locale de mon NAS de façon
sécurisée ?
Par avance, merci pour votre aide.
Oxley

Fenrir Posté(e) 15 septembre 2016 Signaler ce message 
Esprit NAS Syno

je me suis rendu compte d'une erreur dans les réglages qui est probablement évidente pour quelqu'un qui maîtrise mais
qui est peut-être aussi commise par d'autres "débutants" de mon espèce
j'ai prévu de faire la doc pour les clients, mais je n'ai pas le temps en ce moment, donc ça sera pour plus tard
Membres

 329
6 542 messages J’ai le choix entre ces deux solutions. Ai-je résumé correctement ?
Gender:Male
tes 2 options sont valides
non, sauf si tu es vraiment parano ou qu'il y a des espions planqués entre ton client et ton nas
En reformulant autrement ce qu'est un VPN :
c'est "tuyau" virtuel entre 2 points, par exemple :

entre 2 périphériques : pc - nas
entre 1 périphérique et un réseau : pc - réseau maison
entre 2 réseaux : réseau tonton - réseau maison
La suite c'est pour vous faire des nœuds au cerveau
qui peut être sécurisé (chiffré) ou non :

ipsec/openvpn => sécurisé
gre/l2tp/pptp => non sécurisé
qui peut être authenti é ou non :
ipsec : pas obligatoire mais possible
openvpn : obligatoire
gre : rarement fait mais possible
...
qui peut être composé de plusieurs couches :
ici j'ai montré L2TP/IPSec ==> un tunnel L2TP dans un tunnel IPSec
mais on peut faire de l'ipsec tout seul (ikev2)
de l'ipsec dans du gre
de l'openvpn dans du l2tp
de l'openvpn dans de l'openvpn
du gre dans du ssh
du ssh dans du dns (ça c'est pour les petits malins)
ssh dans gre dans openvpn dans l2tp dans ipsec dans openvpn dans ...
...

Esprit NAS Syno
 Et pour compléter, le VPN ne sert pas uniquement à joindre le NAS. Le PC étant connecté à votre réseau privé au travers du
tunnel, il peut accéder aux autres équipements du réseau auxquels vous avez normalement accès de chez vous (PC,
imprimantes partagées ou réseau, caméras IP, routeurs, etc..).
Modérateurs
 69
6 516 messages
Gender:Male
Invité Posté(e) 15 septembre 2016 Signaler ce message 
Jai quelques incompréhensions:
En vpn de l exterieur en l2tp/IPSec, pour accéder à mon NAS, Je lance 10.x.y.0. Mais n'est il pas plus simple de repartir sur les
adresses locales du type 192.168.x.y deja dé nies ?
Guests Je pense qu une con g complémentaire est nécessaire. Par ce que ca fonctionne pas de mon côté.
Mon routeur propose L option vpn. Est il préférable d'utiliser celui ci que celui du syno ? Ou cest idem !?
En me connectant de l'extérieur le client n est pas reconnu comme a m a maison avec L Ip local dé nie dans le routeur. Jai xe
une adresse Ip par @mac . Comment pallier à cela !? Cela gene mes regles dabs le parefeu. En étant via une connection 4g de
L iphone L adresse Ip change à chaque fois du coup.
J avoue avoir cherche en diagonal et par facilité je pose la question ici et qui plus est, aidera peut être D autres.
Envoyé de mon iPhone en utilisant Tapatalk

Esprit NAS Syno
 Avant de poster une question, il vaudrait mieux lire le tuto à l'horizontale plutôt qu'en diagonale. On perd moins d'informations.
On ne se connecte pas avec une adresse 10.x.y.z qui est une adresse privée mais avec son IP publique (si elle est xe) ou son
DDNS ou son Quickconnect ou son nom de domaine si on en a un comme on le fait avec les applications DS. L'adresse 10....
est attribuées en interne lors de la connexion. Cette info n'a aucune utilité pour vous.
Modérateurs
 69
6 516 messages
Gender:Male
Jai du mal M exprimer... JE me connect sans probleme....
Je me connect bien avec mon Ip publique... sauf que lorsque je suis suis connecte et que je veux atteindre mon NAS plutôt que
te taper L Ip 10.x.y.z je préférai (si possible) y accéder à L adresse NAS locale 192.168.x.y. idem pour les autres périphériques.
Guests Je parle via mon navigateur.
Pour me connecter (après avoir initialement con gure le vpn avec mon adresse Ip publique. ) si Je veux aller sur le dsm via un
navigateur JE dois lancer une Ip intern vpn du type 10.2.0.0 par exemple.
Par contre l adresse Ip privée du type 192.168.0.16 (qui correspond par exemple à mon Ip local du NAS) ne fonctionne pas.
Guests Jai D autres périphériques administrés par mon routeur via adresse mac. Je ne peux y accéder en étant connecté vpn.
Cest la ou je ne comprends pas le probleme.

Esprit NAS Syno
 Ça dépend de la con guration coté client VPN.
Si le client est con guré pour utiliser le serveur VPN comme passerelle par défaut, alors les équipements sont joignables
avec leurs adresses "courantes" (ex : 192.168.x.x)
Si ce n'est pas le cas, seul le nas est accessible, via son adresse de terminaison VPN en 10.x.x.x
On peut faire un intermédiaire entre les 2, dire que la passerelle par défaut n'est pas le VPN mais indiquer (via une route)
que 192.168.x.x doit passer par le VPN
Tous ces points sont expliqués dans le tuto.

Membres
 329
6 542 messages
Gender:Male

Initié
 Bonjour,
Fenrir merci pour tes réponses :
 Le 15/9/2016 à 01:05, Fenrir a dit : 

Membres
je me suis rendu compte d'une erreur dans les réglages qui est probablement évidente pour quelqu'un qui maîtrise
mais qui est peut-être aussi commise par d'autres "débutants" de mon espèce
0
3 messages
Location:In a galaxy far far j'ai prévu de faire la doc pour les clients, mais je n'ai pas le temps en ce moment, donc ça sera pour plus tard
away...
Interests:Flûte de Pan en
général et nanotubes en
particulier
En fait par erreur, je voulais dire mon erreur. Il ne s'agissait pas d'un reproche de ma part.
 Le 15/9/2016 à 01:05, Fenrir a dit : 
non, sauf si tu es vraiment parano ou qu'il y a des espions planqués entre ton client et ton nas
Effectivement, j'ai réalisé après coup (après avoir posé la question) que c'était tiré par les cheveux mais j'avais testé l'option
pour voir si cela changeait la vitesse de partage de chiers / transfert de chiers en local car c'est plutôt lent chez moi.
D'ailleurs je vais ouvrir un nouveau sujet... à ce sujet.
Merci aussi à Mic pour les précisions apportées.
Cordialement,
Oxley
 Le 15/9/2016 à 10:23, Fenrir a dit : 
Ça dépend de la con guration coté client VPN.

Guests
Si le client est con guré pour utiliser le serveur VPN comme passerelle par défaut, alors les équipements sont
joignables avec leurs adresses "courantes" (ex : 192.168.x.x)
Si ce n'est pas le cas, seul le nas est accessible, via son adresse de terminaison VPN en 10.x.x.x
On peut faire un intermédiaire entre les 2, dire que la passerelle par défaut n'est pas le VPN mais indiquer (via une
route) que 192.168.x.x doit passer par le VPN
Tous ces points sont expliqués dans le tuto.
En fait, je n'ai rien fait de plus que reboot le NAS est ca fonctionne. Je vais dire tant mieux...
Question alternative: Dans un tunnel VPN L2TP/IPSec, etant donné que c'est deja securise, y a t il un reel interet d'utiliser https
?

Esprit NAS Syno
 Poses toi plutôt cette question : as tu envie de devoir ré échir à chaque fois si tu dois faire du HTTP ou du HTTPS en fonction
de là où tu te trouves et de si ton tunnel est monté ou non ?
=>Perso je ne veux pas me poser la question, donc j'utilise le même protocole dans tous les cas.
Maintenant tu peux aussi prendre en compte les paramètres suivants :
Membres certains services ne sont pas disponible en HTTPS (le stream videostation par exemple)
le HTTPS + HTTP/2 permet d'améliorer les temps de réponse
 329 Ce qui est chiffré c'est le tra c entre ton interface vpn et celle du nas, tout ce qui est situé respectivement avant et après n'est
6 542 messages pas sécurisé par le vpn.
Gender:Male
1 2 3 4 5 6 SUIVANT  Page 1 sur 16 
Créer un compte ou se connecter pour commenter

Vous devez être membre a n de pouvoir déposer un commentaire
Créer un compte Se connecter

Créez un compte sur notre communauté. C’est facile ! Vous avez déjà un compte ? Connectez-vous ici.
Créer un nouveau compte Connectez-vous maintenant
 ALLER SUR LA LISTE DES SUJETS

Tutoriels
        
QUI EST EN LIGNE 21 MEMBRES, 0 ANONYME, 99 INVITÉS (AFFICHER LA LISTE COMPLÈTE)
boundouny, Jojo (BE), Novioritum, olep, Infratek, lordtaki, sbre, Saad Allal, RVLR, shadowking, Jean Lny, TaumB, caplam, zeph, wapvi, Flux Radieux, odus,
phi , doupi, yann2811, Brunchto
CONTRIBUTEURS POPULAIRES
Semaine Mois Année Toujours
cadm Kervinou Lucien77 PiwiLAbruti

1 1 1 1
En a cher plus
 Accueil  Bien démarrer avec votre Synology  Tutoriels  [TUTO] VPN Server  Toute l’activité

Politique de con dentialité Nous contacter
NAS-Forum - BE0839.596.168
Powered by Invision Community

(TUTO) VPN Server - Tutoriels - NAS-Forum PDF

Transféré par

Droits d'auteur :

Formats disponibles

(TUTO) VPN Server - Tutoriels - NAS-Forum PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

(TUTO) VPN Server - Tutoriels - NAS-Forum PDF

Transféré par

Droits d'auteur :

Formats disponibles

Utilisateur existant ?

Naviguer Activité Facebook Classement Rechercher… 

Forums Galerie Téléchargements Blogs Calendrier Règles Équipe Utilisateurs en ligne

[TUTO] VPN Server  Connectez-vous pour activer le suivi Abonnés 56

Par Fenrir, 13 août 2016 dans Tutoriels

Fenrir Posté(e) 13 août 2016 (modi é) Signaler ce message 

À quoi cela peut-il servir ?

À lire avant d'aller plus loin

Installation du paquet VPN Server

01.png => 02.png

À la n de l'installation, vous aurez probablement une "Noti cation du pare-feu".

Con guration globale

On commence par aller dans "Paramètres généraux" :

Néanmoins, et cela est valable pour tous les protocoles :

Votre NAS sera directement accessible à l'adresse 10.8.0.1.

Cliquez sur "Appliquer" pour obtenir une petite noti cation :

Sauvegardez le zip et ouvrez le, il contient 4 chiers :

remote YOUR_SERVER_IP 1194

1. activer le serveur OpenVPN

IPSec : c'est ce protocole qui assure le chiffrement de votre communication

En passant, notez l'adresse IP en haut : 10.2.0.0

Pour ceux qui n'ont pas suivi :

on interdit le port sur le routeur

1. activer le serveur L2TP/IPSec

Compatibilité des clients

Notes communes sur les clients

Con guration des clients

parfois il faut jouer avec les routes pour que ça fonctionne

27.png (cliquez pour zoomer)

26.png (cliquez pour zoomer) (merci @StéphanH )

Il faut créer un nouvel adaptateur dans Préférences Système -> Réseau :

Il faut créer un nouveau pro l réseau dans les paramètres :

Commencez par créer la connexion VPN avec le Wizard

15.png 18.png 19.png

20.png 21.png 22.png

Con guration des routeurs

Freebox V5 : accessible depuis l'interface Free (merci @Mic13710 )

Que faire si ça ne marche pas ?

Les erreurs classiques sont :

mauvaises règles de pare-feu

N'hésitez pas à repartir de zéro (supprimez la con guration et recommencez).

il faut dé-commenter les instructions :

Les tables de routage

Windows : 0.0.0.0 0.0.0.0 <adresse de votre routeur> <adresse de l'interface> <métrique>

adresse de votre réseau : 192.168.0.0/24 (/24 ça veut dire 255.255.255.0)

Et pour le fameux site privé sur Internet ? C'est la même chose.

pour aller sur 192.168.1.0/24 il faut passer par 192.168.0.1

#on ajoute les routes

rem "il faut remplacer VPN1 par le nom de l'interface VPN"

rem "il faut remplacer XX par le numéro de l'interface VPN"

Personnellement je fais ceci :

à la maison : http://<nom de domaine>:5000

Je trouve ça légèrement plus simple

si le client a une IP qui vient d'Internet on renvoi l'adresse de la box

à la maison : via votre DHCP

Vous trouverez plus de détails dans le [TUTO] DNS Server.

La MTU et le MSS Clamping

Modi é 24 janvier par Fenrir

Reiep, Vinky, Flux Radieux et 6 autres ont réagi à ceci