Synology OpenVPN connect sous Windows 10 pas d'accès au WEB

[Boggiz]

Bonjour à tous,
J'ai installé VPN Server sur mon NAS Synology DS-718+ en configuration OpenVPN.
Mon DS-718 est derrière une FreeBox en mode routeur avec une adresse publique fixe xxx.freeboxos.fr et DNS 192.168.0.254.
Coté client j'utilise OpenVPN Connect en mode Full Tunelling sur mes 3 PCs sont sous Windows 10Pro.
Pour me connecter je mets mon smartphone en Point d'accès. J'ai donc donc 2 connexions actives: WiFi et Tap-VPN avec pour DNS préféré 192.168.0.254.
Dans VPNconfig.ovpn seule dhcp-option DNS 192.168.0.254 est activée.
J'accède a tout sur mon réseau NAS, Pc mais je n'ai aucun accès au WEB quelque soit le navigateur utilisé: Firefox, Opera, Brave , Chrome. Dans l'explorateur la découverte du réseau ne fonctionne pas.
Ipconfig me donne l'adresse IPv4 de mon VPN mais je n'ai pas de passerelle par défaut. J'ai essayé de la forcer avec netsh sans succès.

Je comprends après avoir parcouru de nombreuses pages sur ce sujet qu'il s'agit d'un pb de DNS mais je n'y arrive pas !

Quelqu'un aurait-il une idée ?

 

[Jeff777]

Bonjour @Boggiz

une adresse publique fixe xxx.freeboxos.fr et DNS 192.168.0.254.

xxx.freeboxos.fr qu'est ce que c'est ? Si c'est cela que tu as mis dans ta config opvn, mets plutôt ton adresse publique du genre xxx.xxx.xxx.xxx

 

[Boggiz]

Bonjour @Jeff777 et merci pour l’intérêt que tu portes a mon problème.
J'ai préféré utiliser ce domaine fourni par FREE plutôt que celui de Synology. Il pointe bien vers mon adresse IP externe Fixe 88.208.x.x
Comme je le dis +haut l’accès au NAS est bon : fichiers partagés, Domotique et caméra tout est OK sauf l’accès au WEB !

 

[bliz]

peut être que cela peut vous aider :

https://community.openvpn.net/openvpn/wiki/IgnoreRedirectGateway

 

[Boggiz]

Je vous remercie @bliz pour votre lien.
Après lecture ce lien ne concerne que les serveurs qui je cite: the server you use is using push "redirect-gateway" or le VPN server de Synology ne fournit pas cette option push.
Coté client, pour raisons de sécurité, je désire que tout mon flux passe par le VPN (Full Tunnelling) la ligne redirect-gateway def1 est donc activée dans le fichier VPNconfig.ovpn du coup je suis toujours à la maison même a 10000kms ...

 

[bliz]

Reference manual for OpenVPN 2.4​

sinon, il faut partager le réseau pour que tout passe par le nas, y compris le traffic internet

 

[Boggiz]

Merci pour vos réponses. Je vois des différences avec mon paramétrage.
Je vous tiens au courant ...

 

[Boggiz]

@bliz Si je comprends bien dans la section réseau je dois créer un profil pour le VPN.
Quelle adresse cible dois-je indiquer dans le fichier VPNconfig ? Celle de mon réseau local 192.168.0.45? quel port 1194 ?

 

[bliz]

non, cette partie est pour se connecter à un vpn extérieur (vpn client), par exemple à un autre nas extérieur, ou un vpn fournisseur, tel que nordvpn par exemple

non, vous avez seulement à configurer ce que je vous ai montré, puis autoriser les utilisateurs à utiliser le vpn, et ouvrir l'accès dans le parefeu

dev tun
tls-client

remote Boggiz.ddns.net 1194    <------- ici on met le ddns ou dns, on le trouve et configure dans dsm/panneau de configuration/accès externe/ddns

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1 bypass-dhcp

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

dhcp-option DNS 192.168.1.1  <-----  ip intranet de ma box internet
proto tcp  <----- j'utilise le protocole TCP
mssfix 1472  <-------  J'ai réglé le MTU à 1472 après calcul pour éviter les paquets perdu
pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto tcp-client

script-security 2



reneg-sec 0

cipher AES-256-CBC

auth SHA512

auth-user-pass

 

[Boggiz]

Merci a vous je vais tester ça demain matin.

 

[Boggiz]

Bonjour @bliz
J'ai qq soucis de connexion/déconnexion 5 fois puis AUTHENTICATION FAILED.
Mon MdP de connexion est correct je l'ai vérifié plusieurs fois.
Les seules différences entre mon VPNconfig et le votre est que je suis resté en UDP et que j'ai laissé la valeur mssfix par défaut.
Ci dessous la log correspondante:

 

[Boggiz]

Bon en désactivant la compression sur liaison VPN de VPN server la connexion redevient stable c'est déjà ça!
Mais toujours pas d’accès au WEB ...

 

[bliz]

Vous avez bien sélectionné l'interface réseau du nas connecté à votre box ?

 

[Boggiz]

Je n'ai pas le choix sur LAN 1!

 

[bliz]

ok, l'ip de la box est 192.168.0.1 donc ?

parce que je ne comprend pas cette ligne :

dns_servers" :
        [
            {
                "address" : "192.168.0.254",

Pouvez vous me montrer cette vue

 

[Boggiz]

L'ip de la box est 192.168.0.254 (c'est aussi celle du DNS interne splitté en 212.27.40.240 et 241)


Pour info hier soir j'ai créé un nouveau réseau en m'appuyant sur vos copies d’écran. Je ne suis vraiment pas doué : j'ai planté mon NAS!!
Arrêt difficile: débranché => connexion impossible =>Bouton d'initialisation et enfin perte du réseau LAN1.
J'ai eu peur mais tout rentré dans l'ordre ...

 

[Boggiz]

La commande DOS nslookup traduit le domaine boursorama.com avec le server DNS de Free

Pourquoi Firefox ou autres ne le font pas ?

 

[bliz]

aucune idée, elle devrait normalement.

essayez d'utiliser la commande nslookup en pointant les dns de votre nas, puis box

nslookup boursorama.com 192.168.1.254
nslookup boursorama.com nas-en-vpn c'est 10.8.XXX.XXX

sinon, le navigateur a t il un vpn de configuré ? je sais que certains proposent des vpn

 

[jcfiguet]

@bliz
Bonjour,
Vu que tu sembles bien connaitre les configurations nécessaires au bon fonctionnement d'Open VPN, je me permets de te solliciter.

Voulant sécuriser au maximum mon NAS Synology, un DS923+ actuellement en fin de configuration et de tests, j'ai fermé tous les ports sur ma box, sauf le port 443 pour conserver un seul accès externe en https. Pour se faire, j'ai créé autant de proxys inversés que nécessaire afin de conserver tous les accès à mes diverses applis depuis l'extérieur.

A ce stade, toutes les accès à mes applications (redirigées via des proxys inversés) fonctionnent bien en interne et en externe, sauf un : celui d'Open VPN qui semble allergique à ce type de fonctionnement.

Pour être plus clair :

N'ayant pas la chance de posséder d'IP externe fixe, je suis contraint d'utiliser un DynDNS et donc ensuite des sous-domaines du style ovpn.[mon nom de domaine].synology.me ou autres pour accéder à mes applis tant en accès interne qu'en externe.

- Si le port 31194 est ouvert sur ma box, L'Open VPN Client fonctionne bien tant en accès interne qu'en externe, avec dans le fichier de configuration "VPNConfig.ovpn", la ligne de commande : remote [mon nom de domaine].synology.me 31194

- Si le port 31194 est fermé sur ma box et après avoir créé un proxi inversé ovpn.[mon nom de domaine].synology.me avec redirection du port 443 vers 31194 et modification de la ligne de commande : remote ovpn.[mon nom de domaine].synology.me 31194, dans le fichier de configuration "VPNConfig.ovpn", ça ne fonctionne plus du tout.

En revanche, si j'indique l'ip interne dans la ligne de commande remote 192.168.1.254 31194, Open VPN fonctionne bien en accès interne, mais pas en accès externe, ce qui me semble tout à fait normal, mais sans grand intérêt.
De même, en désespoir de cause, j'ai aussi tenté une connexion avec QuickConnect, là encore, ça fonctionne très bien en accès interne mais pas en externe, ce qui me semble plutôt étrange dans ce cas précis vu que QuickConnect est plutôt "open bar". Là encore, cela n'offre pas vraiment d'intérêt...

Bref, sauf erreur de ma part, ayant testé à peu près toutes les configurations possibles, ayant par ailleurs recherché en vain une solution sur internet, je finis par en tirer, du moins pour l'instant, les conclusions suivante :
- sans lui ouvrir un port dédié sur la box, il est impossible d'utiliser un VPN en accès externe
- le VPN n'est pas compatible avec le proxy inversé...
Aurais je oublié quelque chose ? Une subtilité de configuration ? Ou est ce la réalité ?

Merci pour ta réponse.

 

[bliz]

Je n'utilise pas de proxy inversé, mais si vous voulez passer par proxy inversé et depuis le https, normalement, le fichier de configuration comporte remote nom-de-domaine.synology.me 443 , maintenant, je n'ai aucune idée si le protocole http/https interfère avec le vpn, car le protocole http(s) est un protocole tcp. J'espère que vous avez mis dans le fichier opvpn la ligne proto tcp.
Perso, j'ouvrirai le port 1194 sur la box pour voir si tout va bien, si tout va bien, il suffit ensuite de faire vos test de redirection proxy inversé, il vous suffira de rediriger le port x vers le port 1194 et de midifier la ligne remote [mon nom de domaine].synology.me 31194 par remote [mon nom de domaine].synology.me port-x