Qnap [Tuto] Comment configurer un serveur WireGuard sur son NAS QNAP ( QVPN )

[EVO]

Effectivement, la connexion semble se faire ! C'est encore plus étrange
Peut etre une subtilité de Wireguard sur iOS ( Help @FX Cachem , @webmail, @MilesTEG1 ? FX et Miles je suis pas sur mais me semble que webmail utilise wireguard )
Je sèche ...

Tu n'a pas d'autres appareil pour essayer ? Un téléphone android ? ( j'ai plus l'habitude ) ou un PC Windows ? ( j'ai plus l'habitude aussi ), et cela nous permetterai de plus cibler peut etre le probleme.

Aussi ton iphone/ipad est a la derniere version de iOS ?

 

[moshe]

Alors, ça ne va pas t’arranger, mais j’ai tester sur mon Mac en partage de connexion avec mon iPhone.
C’est la même chose, pas de connexion, pourtant d’après le journal, je suis bien connecté au vpn


EDIT : J'ai sortie mon PC du placard, j'installe Wireguard

EDIT 2 : Même chose avec le PC.

 

[MilesTEG]

Effectivement, la connexion semble se faire ! C'est encore plus étrange
Peut etre une subtilité de Wireguard sur iOS ( Help @FX Cachem , @webmail, @MilesTEG1 ? FX et Miles je suis pas sur mais me semble que webmail utilise wireguard )
Je sèche ...

Tu n'a pas d'autres appareil pour essayer ? Un téléphone android ? ( j'ai plus l'habitude ) ou un PC Windows ? ( j'ai plus l'habitude aussi ), et cela nous permetterai de plus cibler peut etre le probleme.

Aussi ton iphone/ipad est a la derniere version de iOS ?

Je n’ai pas de serveur vpn wireguard, encore… j’attends qu’un de mes périphériques daigne bien vouloir être compatible
Le seul que je pourrais tester est celui de la freebox mais ça ne sera pas très poussé car je n’aurais pas accès mon lan qui est derrière le routeur en dmz de la freebox.

 

[moshe]

Alléluia,



En fin de compte, j'ai mis dans le paramétrage des clients les DNS de Bouygues, qui est mon fournisseur internet.
Si je mets une autre adresse DNS, genre Cloudshare ou autres, ça ne fonctionne plus.
Un grand merci à @EVOTk pour son aide et sa patience.
À bientôt pour de nouvelles aventures

 

[Fred83]

Salut

- Endpoint est l'adresse de mon serveur VPN suivi du port de connexion UDP. Dans le cas d'une connexion distante, cela sera l'adresse public de la connexion, ou son nom de domaine. Exemple : monnas.myqnapcloud.com:51820

Je suppose que c'est l'adresse IP du NAS sur lequel on a configuré le VPN ?

Il y a une connexion qui s'établit lorsque j'active le tunel en connection wifi locale.

Mais dès que je bascule sur une connexion type partage de connexion la liaison se coupe.
Est-ce que My DDNS dans myQNAPcloud doit être activé pour que ça marche ?

Tu as bien ouvert et NAT le port en UDP ?

Quelle est cette manip ? elle se fait sur le NAS, sur la box ?

Si sur la box (Freebox), est-ce que je dois ajouter une redirection de port ?



Merci d'avance

 

[EVO]

Je suppose que c'est l'adresse IP du NAS sur lequel on a configuré le VPN ?

Oui

Est-ce que My DDNS dans myQNAPcloud doit être activé pour que ça marche ?

Oui, car il doit répondre avec ton IP, aussi si ton ip public change, myDDNS s'occupera de la mettre a jour automatiquement.

Quelle est cette manip ? elle se fait sur le NAS, sur la box ?

Si sur la box (Freebox), est-ce que je dois ajouter une redirection de port ?

Exact.

Ip de destination : ip local de ton NAS
Redirection active : oui
IP Source : Toutes
Protocole : UDP
Port de début : 51820
Port de fin: 51820
Port de destination : 51820

 

[Fred83]

Merci

Redirection de port OK, My DDNS activé, mais toujours perte de liaison hors réseau wifi local.

Je dois aussi configurer Wireguard sur la box ?



J'ai testé mais ça ne donne rien.

Il faut peut-être suivre ton tuto avant de se lancer dans une connexion WireGuard ?

Qnap - [Tuto] Accéder à son NAS QNAP à distance ( hors réseau local )

Accéder à son NAS QNAP à distance ( hors réseau local ) Pourquoi ce tutoriel ? :giggle: Ici nous allons vois comment accéder a son NAS a distance, hors du réseau local donc. Disclamer : Le but de ce tuto sera de rendre cette installation facile et accessible a tous, bien que loin d’être un...

www.forum-nas.fr

 

[EVO]

Je dois aussi configurer Wireguard sur la box ?

Non.

par contre, il faut aussi ouvrir le port 51820 en UDP dans QuFirewall si tu l'utilise !

 

[Fred83]

Non.

par contre, il faut aussi ouvrir le port 51820 en UDP dans QuFirewall si tu l'utilise !

De cette façon ?



Est-ce que je peux renseigner l'adresse IP configuré dans WIREGUARD de façon à limité l'accès à cette adresse ?



Et est-ce que le DNS doit être le meme partout ?
Par exemple si j'ai configuré un autre DNS sur l'ordi je dois le modifier ?

 

[EVO]

De cette façon ?

Oui, tu peu utiliser la limitation géographique si par exemple tu veut limiter la connexion au VPN depuis des IP Francaise uniquement.

Est-ce que je peux renseigner l'adresse IP configuré dans WIREGUARD de façon à limité l'accès à cette adresse ?

Si tu parle de 198.18.7.2/32 C'est l'ip que le client aura une fois la connexion au VPN établie. et non son IP lors de la connexion au VPN. Pour la connexion au VPN, il va se présenter sur son IP public, qui ne sera pas forcément toujours la meme.

Et est-ce que le DNS doit être le meme partout ?

Pas forcément.

Par exemple si j'ai configuré un autre DNS sur l'ordi je dois le modifier ?

Non, tu peu utiliser un DNS autre que celui du PC pour le VPN.

 

[landid]

Bonjour et merci à @EVOTk pour ce tuto, j'ai tout bien suivi et ça marche (presque)

J'ai un NAS TS-464 en dernière version QTS 5.0.1.2376, j'ai configuré le serveur WireGuard sur QuVPN Service 3 comme indiqué dans le tuto (sauf n° du port et serveur OpenDNS = 208.67.222.222). J'ai téléchargé le client pour Windows 11, configuré le fichier et ajouté une route statique vers l'IP de mon NAS sur le coté LAN 192.168.1.x mask 255.255.255.255.

Depuis le NAS, je vois le 'pair' sauf 2 cases ?

Depuis le PC, le client s'active, le ping répond sur l'adresse distante 198.18.7.1 et sur l'ip local du NAS 192.168.1.x et je peux ouvrir un partage réseau sur le NAS avec l'adresse ip type \\192.168.1.x\partage. C'est tout ce dont j'ai besoin, nickel.

SAUF QUE : Tout cela ne fonctionnes que si je désactive le QuFirewall

J'ai la règle suivante :


Et la question : Pourquoi mettre en source l'ip de destination avec un masque de /24 ? il y a un truc ? J'aurais mis 198.18.7.0/24 ou 198.18.7.2/32.
Merci d'avance

 

[EVO]

J'ai un NAS TS-464 en dernière version QTS 5.0.1.2376

QTS 5.1.0.2466 la derniere version https://www.qnap.com/fr-fr/download?model=ts-464&category=firmware

Pourquoi mettre en source l'ip de destination avec un masque de /24

Avec un /24 cela te permet d'autoriser toutes les IP de la plage du VPN.

Aussi, il ne faut pas oublier dans QuFirewall d'ouvrir le port UDP pour Wireguard !

 

[landid]

Merci pour la dernière version mais le NAS ne m'a pas proposé de la charger alors j'attends.

Je comprends que le /24 autorise toute la classe donc il n'y a pas de truc particulier 198.18.7.0/24 marche tout pareil ?

Peux tu me préciser la règle pour le port UDP car il me semblait que la configuration autorisait tous les protocoles.

Toutes les interfaces, tous les ports, tous les protocoles : Ca devrait autoriser le port UPD pour Wireguard ? Non ?

 

[EVO]

Je comprends que le /24 autorise toute la classe donc il n'y a pas de truc particulier 198.18.7.0/24 marche tout pareil ?

Oui

Toutes les interfaces, tous les ports, tous les protocoles : Ca devrait autoriser le port UPD pour Wireguard ? Non ?

Alors, oui, mais la regles que tu place, c'est uniquement pour que le NAS accepte les connexions.

Par contre, pour que ton client établisse la connexion, il faut que le port UDP de ton serveur Wireguard soit exposé sur internet, donc sans limitation IP, a la limite avec une limitation géographique si tu veut limiter la connexion par exemple aux IP Francaise.

Par exemple :

Voici sur mon NAS
1 autorise a ce connecter au NAS depuis le VPN
2 permet la connexion au VPN depuis l'extérieur

Merci pour la dernière version mais le NAS ne m'a pas proposé de la charger alors j'attends.

Je suis pas sur que le NAS va te proposer ce passage 5.0 a 5.1 en auto

 

[landid]

Merci beaucoup pour ces infos, je teste cela demain.

 

[landid]

Salut @EVOTk

C'est tout bon, je n'avais pas compris que QuFirewall ne considère que le NAS comme destination. D'ailleurs il n'y as pas de champ destination dans les règles cela aurait du m'alerter. Je pense qu'il faudrait ajouter ce point dans le tuto pour qu'il soit parfait.

J'ai quand même un peu galéré sur le client car avec la config proposée le PC accède tous les réseaux par le client WG et quand le PC "revient" sur le LAN le traffic tente de passer par le VPN et échoue. Je donne ma config au cas ou quelqu'un aurait le même besoin.

J'ai ajouté Table = off dans la config de l'interface du client WireGuard pour qu'il n'écrase pas la table de routage
Puis j'ai ajouté une route statique persistante avec un métrique élevé pour rejoindre le LAN par l'interface WG.
route add 192.168.1.0 mask 255.255.255.0 198.18.7.2 metric 999 -p

Et le tour est joué
Merci de votre aide

 

[EVO]

C'est tout bon, je n'avais pas compris que QuFirewall ne considère que le NAS comme destination.

Effectivement, QuFirewall n'est là que pour protéger le NAS.

J'ai quand même un peu galéré sur le client car avec la config proposée le PC accède tous les réseaux par le client WG et quand le PC "revient" sur le LAN le traffic tente de passer par le VPN et échoue. Je donne ma config au cas ou quelqu'un aurait le même besoin.

Je suis pas sur d'avoir compris, dans notre exemple, le but est uniquement l'acces au reseau local. Tout le trafic ne passe pas par Wireguard :


Sinon en adresse ip autorisées, ont aurait mi : 0.0.0.0/0

 

[landid]

Effectivement, au début j'avais copié une config client avec le masque 0.0.0.0/0 et tout le réseau passait par le VPN. J'ai donc enlevé ce masque pour ne laisser que 192.168.1.0/24, mais cela reviens au même puisque mon NAS est sur ce réseau. Le client force le routage du réseau 192.168.1.0/24 par le VPN dés qu'il est activé. Et comme on ne peux pas le désactiver sauf en étant admin, impossible de joindre le NAS quand le portable "reviens" sur le LAN.
Voilà, d’où la bricole Table = off + route statique de métrique 999

Il y a peut être une autre méthode mais je n'ai pas trouvé.
Encore merci pour votre temps

 

[Fab_LR]

Un énorme merci à toi @EVOTk pour ton tuto.
Pour info, j'ai tout suivi à la lettre et ça fonctionne parfaitement, il fallait juste attendre un peu que la liaison entre le serveur et le client se monte correctement.
Pour info, j'ai utiliser Mon TS-364 en serveur VPN wireguard et mon iPhone en client.
Maintenant je vais configurer mon Mac en utilisant mon iPhone comme client VPN car je ne suis pas chez moi. Si ça fonctionne, je désactiverai l'accès via myQNAPcloud Link.
D'ailleurs, petite question, l'avantage de passer en direct via l'adresse du NAS: xxxx.myqnapcloud.com:51280 cela permet de combler au fait que l'IP publique d'une box puissent ne pas être fixe? Ou cela joue aussi sur la sécurité? Merci d'avance pour vos réponses.

 

[EVO]

Merci pour ton retour Content de voir que ce tuto est utile

D'ailleurs, petite question, l'avantage de passer en direct via l'adresse du NAS: xxxx.myqnapcloud.com:51280 cela permet de combler au fait que l'IP publique d'une box puissent ne pas être fixe?

Oui

Ou cela joue aussi sur la sécurité?

Dans le cas de la connexion au VPN, ce ne change rien dans le sens chiffrement, ... la connexion n'est pas plus faible car tu utilise le nom plutot que l'ip. D'ailleurs dans Wireguard au moment de la connexion il utilise le DNS pour résoudre le nom en IP, puis utilise l'IP pour la connexion, je sais pas pour Mac et co mais sur Windows, cela se voit bien car tu as beau renseigner en nom de domaine, le point de terminaison au moment de la connexion se remplace par l'ip.