Openvpn / Ddns / Mycloudnas Mais Pas Pptp

[zolp]

Bonjour et tous mes Voeux 2013.

 

J'ai un soucis

 

Situation :

  Site A : Qnap 259 Pro + / Firmware 3.8.1 / Ligne VDSL (25 Down / 2 Up) = Société 1 

               Réseau local 192.168.1.x

 

  Site B : Qnap 259 Pro+ / Firmware 3.8.1 / Ligne VDSL (30 Down / 6 Up) = Société 2

               Réseau local 192.168.1.x

 

J'ai activé sur les 2 sites :

- le service OpenVPN (Pas le PPTP) + cryptage AES 256 bits + génération de certificat : ok. (rang ip 192.168.0.2 à 254)

- le service MycloudNAS avec Dyndns : ok

- le router - froward port : ok

- Installé les certificat sur les deux pc qui doivent se connecter en remote (Windows 7 / 8)

 

Je n'ai pas activé (sur aucun site) :

- PPTP > Requis par Mycloudnas connect (que je ne veux pas spécialement utiliser)

- les services de publication ci-dessous :

     Administration Web

     Web File Manager

     Serveur Web

     Multimedia Station

     Photo Station

     Music Station

     Administration web sécurisée

     Web File Manager sécurisé

     Serveur web sécurisé

     Station Multimedia Station

     Sécuriser la Station Photo

     Sécuriser la Station Audio

 

 

Je ne suis pas trop emballé par le PPTP ni par la connexion web Mycloudnas. Je préfère que mes services ne soient accessibles que par OpenVPN.

Je réussi à me connecter d'un site à l'autre avec openvpn 2.3 (connexion confirmée en 192.168.0.6)

1. Que dois-je faire pour m'assurer que mes services ne soient accessibles que par VPN

2. Comment une fois connecté en VPN puis-je voir accès à mes fichiers distants ? (Là je suis juste connecter) > je dois monter un lecteur distant, interface Web avec IP mais laquelle ?

 

Merci pour votre aide

 

[father_mande]

Bonjour,

 

1 Normal ... car il y a TOUJOURS un certificat serveur, parfois un certificat par client, de plus un certificat (ta) qui évite les attaques dites "Man In the Middle" (mitm)

 

2 attention Toute connexion I.P. est MONO directionnelle

un ping depuis le serveur vers le client, indique que le serveur peut joindre (avant firewall, antivirus, etc.) le client

il faut aussi vérifiez

un ping du client vers le serveur 192.168.0.1 (a priori) (changez de réseau cela évitera toute confusion ) idem en tenant compte des contrôle propre au serveur, firewall, mais surtout tables IPRoute2

 

3 normal si vous n'utilisez pas le VPN de QNAP ... donc "bind" à la main ... ABSOLUMENT anormal (quand il est connecté, si vous utilisez le VPN intégré ... ??? )

 

4 NON ... il suffit de chercher vos partages via l'adresse du QNAP DANS LE RESEAU VPN ... donc 192.168.0.1

genre \\192.168.0.1\Public

si vous voulez utiliser le nom faites une corrélation dans le fichier lmhost du client ou utiliser un WINS

 

5 OUI vous devez êtes dans un cas similaire ... inspirez-vous en ...

 

Philippe.

[father_mande]

Bonjour,

 

1 Utilisez-vous l'OpenVPN de QNAP ??? car a ma connaissance il utilise user / mot de passe

 

1.1 pour forcer vos services sur un réseau ... si il est vu par QNAP vous pouvez utiliser le menu "association aux services"

si l'interface n'est pas "vu" par les outils du QNAP ... il va falloir utiliser vos mains ... pour "bindé" chaque application sur le "bon " Ethernet ...

Il devrait être possible aussi d'utiliser (même si il est très restreint) Iptables qui est utilisé par QNAP uniquement pour le NAT des VPN ...

Pour vérifier un simple netstat (celui d'Optware, plus complet), vous dira sur quel interface le port est en écoute ...

 

2 pour "voir" vos fichiers distants il faut appeler la machine par son adresse I.P. VPN 192.168.0.1 ... normalement, chaque "bout" VPN prend 4 adresses

Franchement, le mieux pour ne pas se tromper est d'utiliser pour le VPN un autre réseau privé, sans confusion ... 10.0 0.0 ou 172.16.0.0 il n'y aura pas de faute de frappe entre le 0 et le 1 des 192.168

Ensuite, il faut vérifier les tables de routage ATTENTION le QNAP utilise Iproute2 ... la commande "route" ne montre pas tout ... pas les tables dédiées ... que la table défaut ...

 

Philippe.

[zolp]

Bonjour. Un grand merci pour ta réponse super rapide et de qualité comme d'habitude

 

1. Oui, j'utilise la version OpenVPN intégrée au Firmware 3.8.1

    En effet, il semble travailler sur le login et password.  mais pourtant lors de la config sur le QNAP, il propose de télécharger un certificat (à installer sur le PC distant)

    Par contre, lorsque je me connecte à distance, il m'affiche après l'acceptation du login/password le message suivant : 

    WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.

 

 

2. Lorsque je Ping à distance le 192.168.0.6 (VPN connecté), la réponse est ok.

 

 

3. Associations de Services - Interface VPN absente

    Voir fichier joint. Tout est coché sur les 2 interfaces

 

 

4. Pour "Voir" les fichiers, dois-je activer un service dans MycloudNas ?

 

Bon weekend

QNAP - OpenVPN - Services Associés.pdf

[zolp]

Je pense que mon problème ressemble fort à ce cas-ci :

[zolp]

aaaahhhhh là je viens de trouver ma boulette. Merci à Philippe !

 

Mon VPN était bien fonctionnel... sauf que le 192.168.0.6 était l'IP de mon pc qui se connectait au NAS et non celle du NAS (192.168.0.1)

Là j'ai fait mon newb

 

Par contre, l'utilisation de certificat ne protégerait pas plus le contenu ?

[father_mande]

Bonjour,

 

NON l'ensemble des messages est encrypté (via le cert serveur) ... vous pourriez juste encrypter "plus fort" ... le risque est qu'un user / password ... est stocké sur le QNAP, donc peut être retrouvé et peut se casser ... si il est moyennement fort ...

 

Philippe.