Qnap Et Vpn

[oursmelba]

Bonjour à tous.

Il est facile aujourd'hui de connecter un PC via un VPN à un serveur tiers situé "à l'autre bout du monde".

Je souhaiterais faire la même chose avec mon QNAP419p (firmware 3.2 béta), mais là, je ne sais pas comment procéder.

But ultime: que toutes les connexions externes (internet), entrantes ou sortantes, du NAS transitent par ce serveur tiers.

Est-ce possible, et si oui , pouvez vous m'aider ?

[father_mande]

Bonjour,

Après un peu de mains dans le cambouis (création d'un autorunmaster pour lancer tun et transmission), je me lance !

Problème: le QPKG téléchargeable est la versio 0.94, et non la 0.96...

Comment l'obtenir ?

http://forum.qnapclub.fr/files/file/18-qpkg-beta-096-openvpn/

Mais ou avez-vous trouvé la 9.4 je crois qu'il ne reste que la 9.5 et 9.6 sur downloads ??? Ha! oui ZUT j'ai changé le titre et pas le lien PAN sur les doitgs ....

Philippe.

[Tibhix]

J'ai fait le ménage dans les redirections de mon domaine, je pense que ça devrait mieux fonctionner.....

[father_mande]

Bonjour,

Peut-être ...

MyCloudNas combine 3 actions

1 ) un dyndns like ... mais RIEN ne vous empêche d'utiliser le votre

2 ) une fonction de "remote desktop" , bureau d'applications (limitées à celles offertes par QNAP) qui pointe sur des URL

3 ) la fonction de création de redirection dynamique de type Upnp pour rediriger les ports, dont ceux du VPN

... en cas d'arrêt de MyCloudNas ... il faut vérifier si les ports sont toujours redirigés (ou enlevés (flush))

Dans le menu MyCloudNas / configuration automatique du router ... décocher la case correspondant au vpn et faites le routage manuellement ... laisser les deux (parfois certain routeur l'accepte) cela donne un résultat imprédictible ... donc vérifiez ...

j'utilise tous les jours ce mode hors MyCloudNas ...

Philippe.

NB de même vous n'êtes pas "obligé" d'utiliser MyCloudNas Connect pour vos PC Windows ...

[Tibhix]

Bonjour,

Peut-on utiliser le VPN PPTP avec un nom de domaine perso, sans se servir du domaine mycloudnas.com proposé d'emblée ?

J'ai bien mis en oeuvre le routage de port sur ma box mais dès lors que je désactive le service mycloudnas, ça ne marche plus.

Ai-je loupé qqchose ?

[father_mande]

Bonjour,

Cela va dépendre ...

Le PPTP est ajouté ... cela est un ++ pour les utilisateurs Windows ... même si en peu de temps il est malheureusement possible d'en casser la sécurité ... mais bon tout le monde n'est pas une Banque ...

L'OpenVPN proposé ...

... est UNIQUEMENT avec client distant basé sur User / Password ... donc l'automatisation de connexion demande un peu de compétence (un client compilé avec la bonne option)

... L'openVPN fourni est sans tous les encodages sur Arm vs. x86 dont l'option par défaut BlowFish (le plus courant) n'est pas inclus ...

... Le programme livré NE PEUT PAS être client avec connexion AUTOMATIQUE d'un serveur VPN externe ... il ne peut gérer un fichier user; password ...pour cela ...

Les + pour les deux :

Ajout d'une version limité des Iptables avec Masquerade pour les tunnels, ce qui permet de rediriger tout le trafic vers le réseau du QNAP ...

Les - pour les deux ...

Pas de gestion des IP route (tables par priorité) donc impossibilité de se connecter au QNAP avec son adresse IP locale (sauf modif ... a automatiser)

Via Iptables le client VPN a accès a TOUTES (même si on ne redirige pas tout le trafic) les machines du réseau local du QNAP ... et sans que vous le voyez ... puisque l'adresse visible est celle du QNAP et PAS celle du VPN ... de plus ce n'est PAS modifiable ... donc pas de mode "routed" contrôlé ... c'est un mixte "Routed - semi-Bridged" ...

Philippe.

[chrisatreide]

Il semble que ces problemes d'install soit bientot qu'un mauvais souvenir avec le nouveau firmware 3.6 qui va sortir.

[What's New]

- VPN Service (with OpenVPN and PPTP services

http://forum.qnap.com/viewtopic.php?f=5&t=53579

cordialement,

Chris

[father_mande]

Bonjour,

Votre réponse et mon edit se sont croisés !

A priori ce premier retour d'expérience devrait aider les qnapeurs de l'autre post...

Lors d'un autre essai, j'ai observé le comportement de transmission en lançant un torrent sous VPN puis en coupant le VPN.

1- avant coupure, débit entre 50 et 100kbs

2- après, plus de débit.

3- mise en pause puis réactivation du torrent: le téléchargement reprend à plus de 1Mps.

A priori, transmission prend bien le tunnel de lui même.

Ne restent plus que le pb4 et le nouveau pb5

Pb 4. avez-vous essayer d'utiliser un fichier comme dans ma proposition ?

OUI normalement, soit par des variables (en majuscule) dans le fichier client.ovpn, soit par un fichier texte user sur une ligne password en clair sur l'autre avec une directive auth-user-pass ou vous ajouter le nom du fichier en référence.

auth-user-pass fichier

Pb 5. Que vous (votre coté) utilise un proxy ou non ... en créant le VPN et si le fournisseur ne permet pas de filtrage ... toute demande de connexion peut arriver potentiellement sur le QNAP qui devient une machine du réseau Internet avec un I.P. (celle vu après votre vpn)

Comme Qnap ne fournit pas les IPTables qui vous aurait permis de filtrer les entrées et d'assurer le connexion tracking ....

vous allez devoir faire avec ...

1 lister les ports ouverts et leur origine. le plus risqué étant bien entendu Samba ... mais comme le vpn est en mode "routed" il y a peu de chance qu'il est y ai tentative de scan de vos ressources réseau ... vérifiez surtout sur vos postes clients qu'il n'y a pas de ressources ouvertes en écriture (ou lecture), pas de guest ... c'est toujours plus compliqué sur les PC que sur les serveurs.

2 lorsque l'application le permet "bindez" vos applications sur les plages I.P. privé de votre réseau local.

3 pour le Web (hors partie publique) utilisez un login obligatoire et / ou des virtual_hosts et les connexions SSL (https)

4 utilisez les restrictions d'accès et contrôle d'accès réseau intégrés au Qnap (onglet sécurité)

Ne lancer votre VPN que quand vous en avez besoin ....

Philippe.

NB un simple "route" exécuté dans une console vous permettra de bien comprendre les chemins employés ...

[oursmelba]

Votre réponse et mon edit se sont croisés !

A priori ce premier retour d'expérience devrait aider les qnapeurs de l'autre post...

Lors d'un autre essai, j'ai observé le comportement de transmission en lançant un torrent sous VPN puis en coupant le VPN.

1- avant coupure, débit entre 50 et 100kbs

2- après, plus de débit.

3- mise en pause puis réactivation du torrent: le téléchargement reprend à plus de 1Mps.

A priori, transmission prend bien le tunnel de lui même.

Ne restent plus que le pb4 et le nouveau pb5

[father_mande]

Alors,

+ j'ai un fichier ovpn et un ca.crt générés par le fournisseur de vpn

+ je n'ai pas les fichiers client.key et client.crt (ni e ta.key)

Pb1:

après installation du qpkg, dois-je modifier le openvpn.ini et activer l’application dans l'interface d'admin du Qnap (perso je pense que non vu qu'openvpn fonctionnera en client)

Pb2:

+ où dois-je placer certificat et le fichier ovpn ?

+ ceci fait, la commande openvpn + fichier ovpn est-elle suffisante pour lancer le tunnel (normalement j'ai activé tun via l'autorunmaster)

Pb3:

+ comment connaître l'adresse IP du tunnel créé et l'intégrer à la configuration de squid (qui est installé et fonctionne)

Pb4 :

+ mon fournisseur de vpn impose un authentification par login + mot de passe

+ y-a-t-il moyen d'automatiser sa saisie afin de pouvoir lancer le tunnel au démarrage du QNAP.

Vous l'aurez compris, malgré toute ma bonne volonté, je ne m'en sors pas encore et j'ai vraiment besoin de votre aide précieuse...

Fichiers :

regardez si votre fournisseur n'a pas intégré les autres clefs (client (2) et optionnel ta (ou tls-auth) directement dans le fichier client ?

ce sont des tags <crt> </crt> etc . etc. dans ce cas pas besoin d'autre fichier

Les fichiers se mettent dans /opt/etc/openvpn/ vérifier la nature du Path de la directive ca (relatif OK ou absolu ce sera a changer) .

NON en tant que client, le QPKG est fait pour le serveur ... donc il doit rester disable (d'ailleurs il ne sert plus ... vous pouvez même le désinstaller.

Si les autres clefs (à minima client(ou autre nom).crt et .key + ca.crt + .ovpn sont suffisant

vous lancer en faisant

openvpn --config /opt/etc/openvpn/client.ovpn

Si votre fournisseur ne change pas de réseau, lors de la premiére connexion (à la main) il vous suffira d'une commande route (ou de regarder le log) pour connaitre le gateway généralement add. réseau genre 10.8.0 et souvent .1

Attention que cela ne change pas, sinon il faudra allez dans le log (ou dans le résultat de la commande route) récupérer l'adresse à chaque fois ... un peu de shell en perspective.

OUI normalement, soit par des variables (en majuscule) dans le fichier client.ovpn, soit par un fichier texte user sur une ligne password en clair sur l'autre avec une directive auth-user-pass ou vous ajouter le nom du fichier en référence.

auth-user-pass fichier

ATTENTION a l'automatisation ... erreur = éventuellement difficulté à joindre le Qnap ... prévoir un reset possible ... ne le faites que quand après reboot et essais TOUT est foinctionnel.

NB pour info quel est votre fournisseur, un autre qnapeur travaille sur une configuration équivalente ... lisez ses posts :

Philippe.

[oursmelba]

Bonjour,

OpenVPN est client et serveur ...

Il va juste falloir (comme ce qui est donné pour chaque client)

un fichier xxx.ovpn client (je peux vous fournir un exemple hors QPKG) c'est moyennement compliqué)

récupérer les fichier clefs générés pour le client sur le serveur :

ca.crt (certif. du serveur) donc dépend du serveur (CQFD)

client.key et client.crt générés sur la base des infos serveurs.

éventuellement ta.key, fourni par le serveur pour éviter les attaques (Man in The Middle / Homme au milieu)

avec cela vous pourrez vous connecter en tant que client, bien sur il faudra loader avant tun.ko le driver des tunnels ...

Philippe.

NB l'aspirine ou le doliprane ne sont PAS en option ....

Alors,

+ j'ai un fichier ovpn et un ca.crt générés par le fournisseur de vpn

+ je n'ai pas les fichiers client.key et client.crt (ni e ta.key)

Pb1:

après installation du qpkg, dois-je modifier le openvpn.ini et activer l’application dans l'interface d'admin du Qnap (perso je pense que non vu qu'openvpn fonctionnera en client)

Pb2:

+ où dois-je placer certificat et le fichier ovpn ?

+ ceci fait, la commande openvpn + fichier ovpn est-elle suffisante pour lancer le tunnel (normalement j'ai activé tun via l'autorunmaster)

Pb3:

+ comment connaître l'adresse IP du tunnel créé et l'intégrer à la configuration de squid (qui est installé et fonctionne)

Pb4 :

+ mon fournisseur de vpn impose un authentification par login + mot de passe

+ y-a-t-il moyen d'automatiser sa saisie afin de pouvoir lancer le tunnel au démarrage du QNAP.

Vous l'aurez compris, malgré toute ma bonne volonté, je ne m'en sors pas encore et j'ai vraiment besoin de votre aide précieuse...

Normalement je devrais avancer sur le sujet la semaine prochaine: je vous raconterai.

En fait j'ai reculé avancé !!

Et, oui, gêné de vous solliciter de la sorte, je me suis jeté à l'eau !

Pb1: je n'ai rien modifié

Pb2: j'ai placé les 2 fichiers dans ipkgadmin et ai modifié l'opvn pour indiquer l'emplacement exact du certificat

Pb3: faux problème:

+ une fois open vpn lancé, tout un log apparaît dans putty (et le bloque d'ailleurs)

+ j'y ai repéré les adresses IP, modofié le fichier de conf de squid que j'ai ensuite relancé.

+ test monip.org sur un navigateur de mon PC configuré pour passer par le proxy: l'adresse wan est aux Pays bas ! Ça marche !

+ je jette un oeil au niveau de l'interface d'administration: l'adresse WAN est désormais aux Pays bas.

+ nouveau test en remettant le fichier de config de squid à l'état originel. Redémarrage, et mon navigateur est toujours en NL

+ j'ouvre une seconde console putty pour tuer le process openvpn (c'est bourrin, mais je ne sais pas faire autrement...)

+ Retour en FRANCE

Moralité:

+ le lancement d'openvpn en tant que client fonctionne

+ 100% du traffic internet du serveur passe par le tunnel: le serveur ne voit plus l'adresse WAN de mon fournisseur d'accès mais celle du "tunnelier"

+ tout navigateur configuré sur le proxy du NAS passe par le tunnelier et non par mon fournisseur (C'était un de mes objectifs).

Reste le Pb4 à régler (j'ai des pistes mais il n'est pas dit que le "tunnelier" accepte).

Et apparaît le Pb5:

+ transmission utilise-t-il le tunnel -> comment s'en assurer.

+ 100% du NAS est ouvert sur le net via le tunnel et n'est donc plus protégé par ma box.

+ y-a-t-il un moyen de faire en sorte que ce ne soit pas le cas: ne rendre accessible le tunnel que via le proxy (transmission étant paramétré en conséquence).

J'ai bel et bien avancé !!

[father_mande]

Bonjour,

Hehe, ce sont des choses qui arrivent

Normalement je devrais avancer sur le sujet la semaine prochaine: je vous raconterai.

Vous aurez peut-être besoin d'ajouter une directive "client" en début de fichier client.ovpn pour que OpenVPN identifie bien son rôle de client sur un des deux bouts ...

Avec les "autres" clients ce n'est pas utile, puisqu'il sont par définition QUE client ...

Philippe.

[oursmelba]

Bonjour,

http://forum.qnapclub.fr/files/file/18-qpkg-beta-096-openvpn/

Mais ou avez-vous trouvé la 9.4 je crois qu'il ne reste que la 9.5 et 9.6 sur downloads ??? Ha! oui ZUT j'ai changé le titre et pas le lien PAN sur les doitgs ....

Philippe.

Hehe, ce sont des choses qui arrivent

Normalement je devrais avancer sur le sujet la semaine prochaine: je vous raconterai.

[oursmelba]

Bonjour,

OpenVPN est client et serveur ...

Il va juste falloir (comme ce qui est donné pour chaque client)

un fichier xxx.ovpn client (je peux vous fournir un exemple hors QPKG) c'est moyennement compliqué)

récupérer les fichier clefs générés pour le client sur le serveur :

ca.crt (certif. du serveur) donc dépend du serveur (CQFD)

client.key et client.crt générés sur la base des infos serveurs.

éventuellement ta.key, fourni par le serveur pour éviter les attaques (Man in The Middle / Homme au milieu)

avec cela vous pourrez vous connecter en tant que client, bien sur il faudra loader avant tun.ko le driver des tunnels ...

Philippe.

NB l'aspirine ou le doliprane ne sont PAS en option ....

Après un peu de mains dans le cambouis (création d'un autorunmaster pour lancer tun et transmission), je me lance !

Problème: le QPKG téléchargeable est la versio 0.94, et non la 0.96...

Comment l'obtenir ?

[father_mande]

Bonjour,

Merci,

pour le 1) => enfin un tuto en français pas trop compliqué pour un néophyte !

2) => a relire à t^te reposée + doliprane (lol).

Par contre, à lire ce tuto, on ne parle d'open VPN en tant que serveur. Mon objectif est de l'utiliser en tant que client. Cela change-t-il beaucoup de choses

OpenVPN est client et serveur ...

Il va juste falloir (comme ce qui est donné pour chaque client)

un fichier xxx.ovpn client (je peux vous fournir un exemple hors QPKG) c'est moyennement compliqué)

récupérer les fichier clefs générés pour le client sur le serveur :

ca.crt (certif. du serveur) donc dépend du serveur (CQFD)

client.key et client.crt générés sur la base des infos serveurs.

éventuellement ta.key, fourni par le serveur pour éviter les attaques (Man in The Middle / Homme au milieu)

avec cela vous pourrez vous connecter en tant que client, bien sur il faudra loader avant tun.ko le driver des tunnels ...

Philippe.

NB l'aspirine ou le doliprane ne sont PAS en option ....

[oursmelba]

bonjour,

1 ) pour info. j'ai crée un QPKG pour faciliter l'installation de OpenVPN ... :

il y a une discussion en cours plus active sur le forum de Taïwan

2 ) Openvpn crée une nouvelle liaison TCPIP via un tunnel, ceci vous donne une deuxième adresse sur votre client 10.8.0.n par défaut et créer un gateway pour atteindre le QNAP server (et aussi si vous déclarez le réseau (cmd: route) les autres systèmes du réseau interne de vote Qnap).

Si vous voulez gérer des droits (comme il n'y a pas Iptables sur Qnap ... ) vous devrez installer un proxy soit en local sur votre client, il verra aussi le VPN comme une deuxiéme carte réseau, ou bien sur le qnap d'accueil en utilisant un des proxy (dont squid) disponible via Ipkg.

Philippe.

Merci,

pour le 1) => enfin un tuto en français pas trop compliqué pour un néophyte !

2) => a relire à t^te reposée + doliprane (lol).

Par contre, à lire ce tuto, on ne parle d'open VPN en tant que serveur. Mon objectif est de l'utiliser en tant que client. Cela change-t-il beaucoup de choses

(PS: je suis toujours en admiration devant votre réactivité- Chapeau bas !)

[father_mande]

bonjour,

Finalement, il va bien falloir que je m'y mette => je n'ai toujours pas essayé.

Juste une question:

Peut- on configurer le client open VPN pour générer un proxy de façon à pouvoir choisir quelle application se connectera au web via un VPN ?

1 ) pour info. j'ai crée un QPKG pour faciliter l'installation de OpenVPN ... :

il y a une discussion en cours plus active sur le forum de Taïwan

2 ) Openvpn crée une nouvelle liaison TCPIP via un tunnel, ceci vous donne une deuxième adresse sur votre client 10.8.0.n par défaut et créer un gateway pour atteindre le QNAP server (et aussi si vous déclarez le réseau (cmd: route) les autres systèmes du réseau interne de vote Qnap).

Si vous voulez gérer des droits (comme il n'y a pas Iptables sur Qnap ... ) vous devrez installer un proxy soit en local sur votre client, il verra aussi le VPN comme une deuxiéme carte réseau, ou bien sur le qnap d'accueil en utilisant un des proxy (dont squid) disponible via Ipkg.

Philippe.

[oursmelba]

J'ai du pain sur la planche car il va falloir que je digère tout cela et surtout que je mette les mains dans le cambouis...

Finalement, il va bien falloir que je m'y mette => je n'ai toujours pas essayé.

Juste une question:

Peut- on configurer le client open VPN pour générer un proxy de façon à pouvoir choisir quelle application se connectera au web via un VPN ?

[oursmelba]

J'ai du pain sur la planche car il va falloir que je digère tout cela et surtout que je mette les mains dans le cambouis...

[father_mande]

Bonjour,

Je viens de lire tout cela, et à priori, ça ne traite que du mode serveur au niveau du NAS.

Idée: le client openvpn doit bien exister sous Linux. Dans ce cas, peut-on le faire fonctionner sur le QNAP ?

L'ayant testé sur d'autres systèmes, openvpn est SERVEUR & CLIENT, c'est le fichier de configuration qui change, sinon vous avez aussi vpnc (disponible en ipkg) ....

Citation en bleu .... prise sur Internet

L'application Openvpn fait à la fois client et serveur pour installer le client il suffit d'installer openvpn et liblzol (automatique avec ipkg)

Pour configurer le client Openvpn il faut dans un premier temps copier la clé et les certificats dans le dossier /opt/etc/openvpn c'est à dire ca.crt, client.crt et client.key les clés créées précédemment.

voici un exemple de fichier de configuration à créer dans le répertoire /opt /etc/openvpn

client

dev tun

proto udp

remote 192.168.0.1 1194

resolv-retry infinite

nobind

persist-key

persist-tun

ca ca.crt

cert Client1.crt

key Client1.key

comp-lzo

verb 1

Le lancement : openvpn "fichier de configuration "

Sinon un tutoriel qui explique bien (à mon avis) les principes ....

http://openmaniak.co...pn_tutorial.php

Philippe.

[oursmelba]

Je vais voir cela merci.

J'avais trouvé des infos concernant l'installation d'openvpn sue le QNAP, mais uniquement en mode serveur et non client (ce que je recherche en fait).

Je vous tienfrai informés.

Je viens de lire tout cela, et à priori, ça ne traite que du mode serveur au niveau du NAS.

Idée: le client openvpn doit bien exister sous Linux. Dans ce cas, peut-on le faire fonctionner sur le QNAP ?

[oursmelba]

Bonjour,

A priori OUI, même si je n'ai pas tenté l'expérience moi-même, il faut utiliser openvpn via les Ipkg ...

Sur TS-x19 dernier firmware, le module tun est fourni, il suffira de le charger ....

Une explication compléte, pour TS-x09 (mais certain fichiers comme l'exemple d'autorun.sh pour les modules sur TS-x19 sont aussi donnés) sur ce site

Il est en Allemand ... mais Google translation est votre ami ....

http://wiki.nas-port...AP_installieren

Copiez cet URL dans Google Translation ... c'est très lisible ...

Des posts sur le forum de Taïwan y font référence.

Tenez-nous au courant de vos essais et résultat.

Philippe.

Je vais voir cela merci.

J'avais trouvé des infos concernant l'installation d'openvpn sue le QNAP, mais uniquement en mode serveur et non client (ce que je recherche en fait).

Je vous tienfrai informés.

[father_mande]

Bonjour,

Bonjour à tous.

Il est facile aujourd'hui de connecter un PC via un VPN à un serveur tiers situé "à l'autre bout du monde".

Je souhaiterais faire la même chose avec mon QNAP419p (firmware 3.2 béta), mais là, je ne sais pas comment procéder.

But ultime: que toutes les connexions externes (internet), entrantes ou sortantes, du NAS transitent par ce serveur tiers.

Est-ce possible, et si oui , pouvez vous m'aider ?

A priori OUI, même si je n'ai pas tenté l'expérience moi-même, il faut utiliser openvpn via les Ipkg ...

Sur TS-x19 dernier firmware, le module tun est fourni, il suffira de le charger ....

Une explication compléte, pour TS-x09 (mais certain fichiers comme l'exemple d'autorun.sh pour les modules sur TS-x19 sont aussi donnés) sur ce site

Il est en Allemand ... mais Google translation est votre ami ....

http://wiki.nas-port...AP_installieren

Copiez cet URL dans Google Translation ... c'est très lisible ...

Des posts sur le forum de Taïwan y font référence.

Tenez-nous au courant de vos essais et résultat.

Philippe.