Synology OpenVPN connect sous Windows 10 pas d'accès au WEB

bliz a dit:
Je n'utilise pas de proxy inversé, mais si vous voulez passer par proxy inversé et depuis le https, normalement, le fichier de configuration comporte remote nom-de-domaine.synology.me 443 , maintenant, je n'ai aucune idée si le protocole http/https interfère avec le vpn, car le protocole http(s) est un protocole tcp. J'espère que vous avez mis dans le fichier opvpn la ligne proto tcp.
Perso, j'ouvrirai le port 1194 sur la box pour voir si tout va bien, si tout va bien, il suffit ensuite de faire vos test de redirection proxy inversé, il vous suffira de rediriger le port x vers le port 1194 et de midifier la ligne remote [mon nom de domaine].synology.me 31194 par remote [mon nom de domaine].synology.me port-x
Cliquez pour agrandir...
Je crois avoir tout essayé...
Avec l'ouverture d'un port dédié (31194 ou 1194 ou d'ailleurs n'importe quel autre port) sur la box, pour peu que le serveur VPN soit correctement configuré avec le même port et que dans le fichier opvpn il y ait la ligne de commande remote [mon nom de domaine].synology.me [Port ouvert sur la box], ça marche à tous les coups !
Mais en jonglant avec les proxys inversés, le VPN ne fonctionne vraiment pas ! Mais j'ai peut être "loupé quelque chose"...

Fort heureusement, tu m'as mis sur la voie de l'utilisation du port 443 et je t'en remercie ! Parce que je n'y avais pas pensé...

Mon objectif étant d'avoir un minimum de ports ouverts sur la box et vu les résultats obtenu lors de mes essais, j'ai donc testé l'ouverture en TCP et UDP le port 443 sur la box, configuré le serveur VPN sur le port 443, modifié la ligne "remote" du fichier opvpn en remote [mon nom de domaine].synology.me 443 et ça fonctionne très bien ainsi : je peux donc accéder en "mode tunnel" à mon NAS sans ouvrir de port supplémentaire sur la box (ce qui était mon objectif principal).

Concernant la ligne proto tcp dans le fichier opvpn, d'une part je ne vois pas trop à quoi elle pourrait me servir vu que le port 443 est ouvert en TCP et UDP sur ma box, d'autre part, n'étant pas un spécialiste réseau et encore moins Unix/Linux, je ne sais pas où la placer dans le fichier opvpn...

A présent que j'ai une connexion via Open VPN qui fonctionne correctement sur le port 443 , j'accède de n'importe où, donc à partir de n'importe quelle IP, en mode tunnel à mon NAS.
Par ailleurs, j'ai remarqué que quelque soit l'adresse IP utilisée, lorsque le client Open VPN est en fonctionnement, c'est l'adresse IP publique de ma box (à la maison) qui est affichée lorsque j'interroge un site tel que "https://ip.lafibre.info/".
D'où ma question : Existe t'il un moyen d'anonymiser cette IP publique ? Ce serait vraiment "la cerise sur le gâteau" !

Cordialement
 
Si je comprend bien, du coté "OpenVPN connect sous Windows 10 pas d'accès au WEB", c'est résolu ?

Pour anonymiser, je ne pense pas que c'est faisable en ayant le serveur vpn en marche, pour anonymiser correctement votrte ip, la vrais seul solution est de passer par un fournisseur de vpn tel cyberghost, nordvpn ou autre, hors, lorsque vous avez le serveur vpn en fonctionnement, vous ne pouvez pas utiliser un vpn externe me semble t il, à confirmer
 
bliz a dit:
Si je comprend bien, du coté "OpenVPN connect sous Windows 10 pas d'accès au WEB", c'est résolu ?
Cliquez pour agrandir...
Oui, c'est résolu et ça fonctionne super bien ! Merci !
bliz a dit:
Pour anonymiser, je ne pense pas que c'est faisable en ayant le serveur vpn en marche, pour anonymiser correctement votrte ip, la vrais seul solution est de passer par un fournisseur de vpn tel cyberghost, nordvpn ou autre, hors, lorsque vous avez le serveur vpn en fonctionnement, vous ne pouvez pas utiliser un vpn externe me semble t il, à confirmer
Cliquez pour agrandir...
Là aussi, j'ai fait pas mal de recherches, y compris une liaison éventuelle Open VPN avec un serveur proxy... Sur les forums américains, il y a eu beaucoup d'essais effectués, depuis plusieurs années, mais sans succès.

Il semble que Synology ne souhaite pas encourager pas le masquage ou l'anonymisation des IP, pour ne pas favoriser les téléchargements illégaux. Je comprends cette position, considérant que les VPN proposés par Synology sont avant-tout prévus pour offrir une sécurité accrue lors d'une connexion entre un poste client itinérant et sa "base" (le NAS), ce qui est d'ailleurs le fonctionnement originellement prévu pour les VPN. Les évolutions et détournements qui ont suivi au fil du temps, notamment pour faire du piratage sans se faire choper par Hadopi, ne sont après tout que des dérives.
Norton est d'ailleurs sur la même ligne : ils proposent un VPN pour anonymiser le "surf" sur internet, mais qui se bloque automatiquement à la moindre tentative de téléchargement via un outil "peer to peer".
Bref, chacun se positionne "comme il peut" sur ce terrain, il faut dire que les éditeurs de logiciels sont entre le marteau et l'enclume, entre les pirates et la loi !...

Pour info, j'ai testé l'utilisation de l'Open VPN du NAS tout en ayant mon VPN Norton activé, ça parvient à fonctionner, mais avec de nombreuses coupures aléatoires. Dit autrement, ce n'est pas vraiment fait pour fonctionner ensemble !
 
  • J'aime
Réactions: bliz
@bliz Bonjour,
Pour répondre a vos questions:
- Mon Firefox n'a pas de VPN intégré
- Le serveur DNS n'était pas activé

VPN connecté et DNS activé
1705316207302.png
- nslookup boursorama.com 172.19.xx.xx répond serveur unknown.
- nslookup boursorama.com 192.168.0.254 =>OK

J'utilise un fichier de connexions crypté (y) que j'ai balayé une a une avec Firefox la moitié fonctionne l'autre non dans ce cas nslookup ne donne rien non plus. Il est dommage que ce soit ma banque qui ne fonctionne pas sous VPN :mad: même avec l'ip ça ne marche pas.

En tout cas je vous remercie grandement pour votre intervention qui m'a bien fait avancer aussi bien sur DSM que sur la connexion TAP windows. Mais je continue de chercher ...
 
Dernière édition:
@Boggiz

Il semble qu'il y ait une sorte d'incompatibilité entre le reverse proxy et le server VPN qui n'accepte pas la redirection de port et [sous- domaine].[nom de domaine] avec cette méthode (par exemple open-vpn.xxxxxxx.synology.me).
En revanche si on change directement le port par défaut (1194) du serveur VPN par le port 443 (dans mon cas le seul port ouvert sur ma box pour un accès https), le client Open VPN (sous Windows) peut accéder au serveur VPN sans problème via le DNS du NAS (xxxxxxx.synology.me).
Pour être plus clair, le fichier "VPNConfig.ovpn" du client Open VPN sous Windows doit contenir la ligne de commande : "remote xxxxxxx.synology.me 443" au lieu de "remote xxxxxxx.synology.me 1194" ou "remote 80.153.124.450 1194".
L'objectif étant pour moi ne ne pas ouvrir de port supplémentaire sur ma box pour un accès spécifique au serveur VPN.
 
Pour accéder au nas depuis l'extérieur, on ouvre le port que l'on demande dans la box, si vous voulez vous connecter vous connecter avec le port 1194 avec le vpn, vous devez ouvrir ce port sur votre box, si vous voulez utiliser le reverse proxy en accédant par le port https (443), vous devez ouvrir le port 443 à la place dde 1194 sur votre box
 
bliz a dit:
Pour accéder au nas depuis l'extérieur, on ouvre le port que l'on demande dans la box, si vous voulez vous connecter vous connecter avec le port 1194 avec le vpn, vous devez ouvrir ce port sur votre box, si vous voulez utiliser le reverse proxy en accédant par le port https (443), vous devez ouvrir le port 443 à la place dde 1194 sur votre box
Cliquez pour agrandir...
Je suis d'accord, ce que tu décris, c'est le "cas général" qui fonctionne quasiment pour toutes les services/applis auxquels on veut accéder depuis l'extérieur.
Ainsi, grâce au reverses proxys, j'ai pu rediriger tous les ports de mes différents services et applications, vers le port 443 avec des sous domaines. Par exemple, j'accède à "Stirling PDF" (un Docker) depuis n'importe où, sur le port 443 avec l'adresse "https://stirling.xxxxx.synology.me/"
En revanche, le server VPN ne fonctionne pas avec un reverse proxy ! Dans ce cas il faut configurer ton VPN avec le port 443 pour que ça fonctionne.
 
ça se configure dans les paramètres du client comme cité plus haut dans le fichier ovpn de votre téléphone par exemple (remote ...), le client envoie sur le port 443, la box envoie le port 443 au nas, le reverse proxy du nas renvoie le port 443 vers le port 1194
 
bliz a dit:
ça se configure dans les paramètres du client comme cité plus haut dans le fichier ovpn de votre téléphone par exemple (remote ...), le client envoie sur le port 443, la box envoie le port 443 au nas, le reverse proxy du nas renvoie le port 443 vers le port 1194
Cliquez pour agrandir...
C'est ce que je croyais, vu que ça fonctionne ainsi pour tous les autres services et applications...
Sauf pour le VPN qui n'accepte pas le reroutage par le reverse proxy.
Je ne suis pas le seul a avoir tenté ce que tu dis, notamment sur les forums américains, mais personne ne semble avoir réussi, ni trouvé "la bonne formule".
Je reste étonné par ce mode de fonctionnement qui me semble illogique, mais les faits sont là, j'en déduis donc qu'il y a incompatibilité entre le VPN et le reverse proxy...
 
Dans ma configuration, extra simple, je n'utilise pas de reverse proxy un seul port est ouvert sur ma FreeBox: le 19503 udp renvoyé vers le 1194 du NAS (il y a a aussi le 28255 qui est ouvert pour accéder à l' interface de la FreeBox)
Ce qui me permet l’accès au NAS (configuration et fichiers partagés) ainsi qu'a ma domotique.
Malheureusement Surveillance Station sur le port 9900 du NAS ne répond pas ... je cherche mais si vous avez une idée je suis preneur
 
avez vous une ip full stack, vue que vous êtes chez free ?

ce n'est pas mon fai, mais d'après une recherche sur youtube :


car à priori, vous partagez l'ip avec d'autres utilisateur de free, donc vous avez une plage de port pour vous et pas la plage complète, ou alors, il faut faire vos redirection dans cette plage

Résultats de la recherche pour la requête: full stack

www.forum-nas.fr www.forum-nas.fr
 
Boggiz a dit:
Dans ma configuration, extra simple, je n'utilise pas de reverse proxy un seul port est ouvert sur ma FreeBox: le 19503 udp renvoyé vers le 1194 du NAS (il y a a aussi le 28255 qui est ouvert pour accéder à l' interface de la FreeBox)
Ce qui me permet l’accès au NAS (configuration et fichiers partagés) ainsi qu'a ma domotique.
Malheureusement Surveillance Station sur le port 9900 du NAS ne répond pas ... je cherche mais si vous avez une idée je suis preneur
Cliquez pour agrandir...
Pour surveillance station, n'ayant pas encore posé mes caméras vu qu'il fait trop froid pour faire le guignol dehors, je n'ai pas encore testé, donc je n'ai encore aucune idée sur le sujet.
Ta config est effectivement simple et peut très bien convenir à une utilisation pour toi seul ou toi + éventuellement à un ou deux membres de ta famille. Mais elle serait insuffisante pour moi : une dizaine d'utilisateurs répartis dans le monde, avec des droits (ou pas) sur certains services et applications ainsi qu'à certains dossiers, des disques réseaux mappés sur leurs PC respectifs et une page web pour accéder facilement aux services et applications autorisés. Bref, comme pour une petite PME qui aurait des commerciaux travaillant à l'international ! J'utilise le VPN que depuis l'étranger, uniquement pour accéder à l'interface d'administration du NAS, pour rajouter "une couche de plus" de sécurité.

Si je ne suis plus actif professionnellement, je m'occupe encore d'associations, d'amicales et à titre perso, je fais de la photo, sans être un organe de presse, quelque fois en zones dangereuses, ou "zone de guerre", d'où mon besoin de stockage "instantané" dès que la photo est faite, au cas où je me ferai voler, casser ou confisquer mon appareil, voila tu sais tout (ou presque).

Je ne comprends pas pourquoi tu renvoies depuis ta box le port 19503 vers le 1194 (dans ce cas, ça marche, contrairement au reverse proxy), il te suffit juste de configurer ton VPN sur le port 19503 et laisser ouvert ce port sur ta box.
Contrairement aux adresses IP publiques fixes que propose Free, je n'ai qu'une adresse dynamique... J'accède donc à l'administration de ma box via un Dyn DNS sur le port 1002 imposé par Orange.
 
Perso, j'accède aux paramètres de ma box, par vpn, et seulement par le vpn du nas
 

Pièces jointes

  • Screenshot_20240116_204310_Network Analyzer.jpg
    Screenshot_20240116_204310_Network Analyzer.jpg
    243.7 KB · Affichages: 3
jcfiguet a dit:
Je ne comprends pas pourquoi tu renvoies depuis ta box le port 19503 vers le 1194 (dans ce cas, ça marche, contrairement au reverse proxy), il te suffit juste de configurer ton VPN sur le port 19503 et laisser ouvert ce port sur ta box.
Cliquez pour agrandir...
Bonjour à vous,
@jcfiguet Je me suis peut être mal expliqué mais c'est effectivement ce que je fais: je laisse ouvert le 19503 sur ma FreeBox que je renvoie vers le 1194 du NAS. Dans le fichier VPNconfig j'ai remote mon.domaine 19503.

Tout comme @bliz j'accede a la config de ma FreeBox 4K par VPN.

Je n'ai pas activé le Full Stack parce que ça necessite de changer d' IP fixe et comme je suis sur le point de passer a la fibre je vais attendre.
Depuis avril 2023 les ports <16384 ne sont plus autorisés chez Free. J'etais alors à NY plus aucun acces externe ne fontionnait heureusement que l'acces a la conf Freebox fonctionnait ...
 
Boggiz a dit:
Bonjour à vous,
@jcfiguet Je me suis peut être mal expliqué mais c'est effectivement ce que je fais: je laisse ouvert le 19503 sur ma FreeBox que je renvoie vers le 1194 du NAS. Dans le fichier VPNconfig j'ai remote mon.domaine 19503.

Tout comme @bliz j'accede a la config de ma FreeBox 4K par VPN.

Je n'ai pas activé le Full Stack parce que ça necessite de changer d' IP fixe et comme je suis sur le point de passer a la fibre je vais attendre.
Depuis avril 2023 les ports <16384 ne sont plus autorisés chez Free. J'etais alors à NY plus aucun acces externe ne fontionnait heureusement que l'acces a la conf Freebox fonctionnait ...
Cliquez pour agrandir...
Je parlais d'utiliser le port 19503 de bout en bout :
- sur la box ouvrir le port 19503 pour le NAS sans reroutage
- sur le NAS, configurer le VPN pour qu'il "tourne" sur le 19503 au lieu du 1194

Pour la restriction des ports <16384 chez Free, j'en avais entendu parlé, mais il semble qu'avec le passage fibre et la demande du Full Stack, cette restriction soit terminée. N'étant pas chez Free mais chez Orange, je ne me suis pas vraiment intéressé à ce problème... Mais j'en ai eu d'autres : il a fallu que je bataille pendant 1 semaine avec des guignols au téléphone pour obtenir l'accès distant à la box !
 
Boggiz a dit:
Bonjour à vous,
@jcfiguet Je me suis peut être mal expliqué mais c'est effectivement ce que je fais: je laisse ouvert le 19503 sur ma FreeBox que je renvoie vers le 1194 du NAS. Dans le fichier VPNconfig j'ai remote mon.domaine 19503.

Tout comme @bliz j'accede a la config de ma FreeBox 4K par VPN.

Je n'ai pas activé le Full Stack parce que ça necessite de changer d' IP fixe et comme je suis sur le point de passer a la fibre je vais attendre.
Depuis avril 2023 les ports <16384 ne sont plus autorisés chez Free. J'etais alors à NY plus aucun acces externe ne fontionnait heureusement que l'acces a la conf Freebox fonctionnait ...
Cliquez pour agrandir...


le port est il ouvert ddans le parefeu du nas, je parle du port 19503, après ça, je ne vois rien de plus



jcfiguet a dit:
Intéressant, c'est un + pour la sécurité !
Je suppose aussi que ça marche en accès interne et externe ? comment fais tu ?
Cliquez pour agrandir...

j'ai mis les paramètres dans les précédents messages, sinon, oui, j'accède à tout mon réseau intranet et donc aussi à internet par le vpn
 
Partant du principe que le pare-feu de ma FreeBox était actif je n'ai jamais activé celui du NAS et je n'ai jamais eu de pb.
Peut être ai-je tort ... je suis tout ouï !
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas