PureVPN en promotion

PureVPN est en promotion pour célébrer un sixième anniversaire de présence sur le marché des VPN

  • Le MOIS passe à $9.95 au lieu de $11.95
  • 3 MOIS à $24.95
  • 6 MOIS passent à $44.95 au lieu de $72.10
  • UN AN passe à $49.95 au lieu de $143.40 soit moins 65%

On est chez PureVPN depuis plus d’ UN mois pour nos tests et notre tuto sur Comment joindre un NAS de l’ extérieur en étant connecté simultanément avec un VPN ? Pour cet usage PureVPN (malgré son IP dédiée) a été recalé. Par contre pour un usage courant: Switch – Torrent – P2P – Hulu – Contournement géographique; PureVPN est vraiment à son avantage. La limite normale est le prix ($18 Mensuel) mais avec une telle promotion cela vaut vraiment le coup. En vous abonnant sur UN le mois revient à $4.16 !!! Pensez juste à VPNLifeguard car le logiciel intégré ne comporte pas d’ IP Guard ( par contre un Split Tunneling est bien là)

Cette promo inclus:

- 18 pays:  UK – USA – Australia – Brazil – Canada – France – German – Ireland – Luxembourg – Malaysia – Netherlands – Panama – Romania – Russia – Singapore – Sweden – Switzerland – Turkey

- Protocoles: PPTP – L2TP – SSTP – OpenVPN en beta et lancement futur du IKEv2 protocol !

- Transfert illimité

EDIT: Le protocole IKEv2 sera disponible très prochainement chez PureVPN (Pour l’ instant seul 12VPN le proposait). Dès le lancement officiel (d’ après nos infos la semaine prochaine) de l’ IKEv2 protocole on vous fait un tuto. Le fait d’ essayer d’ offrir le SSTP et l’ IKEv2 comme protocoles est à mettre au crédit de PureVPN

 

Share
mai 12th, 2013 by Mahi
No Comments

Accéder à un NAS Syno depuis l’ extérieur avec un VPN

Vous êtes nombreux à avoir installé un VPN sur votre NAS. Le problème est qu’ il est impossible alors de le joindre de l’ extérieur car ce dernier n’ a plus l’ IP externe de votre réseau.

La solution est simple: il faut garder votre VPN ! mais changer de type d’ IP

Le tuto qui suit est à 90 % celui d’ angelusflm qui le premier sur le blog a voulu répondre à cette contradiction.

Il vous faut un VPN qui offre une IP Dédiée (Hollande ou Suède pour moi – Après suivant votre usage vous pourrez prendre une IP Fr par exemple) avec tous les ports ouverts et qui accepte les multiples connexions (bien que nous ayons réussi à se connecter en simultanée chez PureVPN).

CHOIX du VPN

Les VPN qui offrent des IP Dédiées sont nombreux mais au final notre choix s ‘est porté sur Astrill et vous allez comprendre :

  • VERSAVPN: IP dédiée Hollandaise à partir de $20 (OpenVPN) avec 3 ports dispos. Pas testé.
  • VPNLUX: IP dédiée Hollandaise (ou Luxembourg) à parir de $35. Port ?. Pas testé.
  • TUVPN: IP dédiée Hollandaise (ou Suédoise) à 11.55€/mois. Tous les ports sont ouverts. Tout traffic P2P est strictement interdit. Pas testé.
  • VPNUK: IP dédiée en italie, UK et US. 2 connexions simultanées autorisées. Pas d’ Incoming connections ???. Pas testé.
  • SAFEVPN: IP dédiée UK ou US. Tous les ports ouverts. Pas testé.
  • SMARTHIDE: IP dédiée Européenne à partir de $14.98. Pas testé.
  • UNBLOCKVPN: A partir de $9.99. Peu d’ infos. Pas testé.
  • WORLDVPN: Beaucoup d’ IP dédiées. La plupart sont à $15. Traffic limité à 20 GB. Pour le reste ?. Pas testé.
  • RAPIDVPN: Beaucoup d’ IP dédiées à travers le monde. la Suisse est à $8.4. Beaucoup de restrictions d’ usage. Pas testé.
  • MOREVPN: Les IP’s dédiées en Europe (existe aussi en US – UK) sont à $15. Pas testé.
  • VPNPRONET: Que des IP’s USA à $15. Pas testé.
  • SECURITYKISS: Offre une dédiée USA avec le forfait Emerald. angelusflm l’ a testé et cela ne marche pas: problème d’ ouverture de Port.
  • NVPN: Ce VPN nous intéressait car il propose des IP dédiées en Hollande en OpenVPN à 8$/Mensuel. Visiblement il est possible de switcher de serveurs (pas testé). Après un paiement par Paypal il faut attendre 2 jours pour que le compte soit validé. Tous les ports ne sont pas ouverts. L’ installation de l’ OpenVPN sur NAS (port 1194) fonctionne impec. Par contre la redirection DDNS (malgré l’ ouverture du port 5000)  n’ a pas marché. Quant au support il est inexistant. Jamais eu de réponse.
  • STRONGVPN: On l’ oublie trop souvent mais les forfaits OpenVPN offrent des IP’s dédiées. Le premier prix est aux USA et le forfait est trimestriel ($30). L’ avantage est que l’ on peut switcher d’ IP mais pas de pays. Malgré un très bon control pannel avec de bonnes options dont la possibilité d’ ouvrir des ports supplémentaires, on a pas réussi la redirection DDNS. D’ après le support il fallait un « VPN router » !
  • PUREVPN: Ce VPN semble en pleine mutation (depuis notre test PureVPN ils ont simplifié les offres et ajouté l’ OpenVPN en plus du PPTP – L2TP et SSTP). Le plan illimité reste quand même un peu cher ($18). L’ IP dédiée est en supplément à 2$ et vous avez le choix entre l’ UK, le CA, L’ US et le DE. L’ IP dédiée est quasi instantanée et fonctionne bien (comme le reste du forfait: applis – IP partagée – …). Pour l’ installation sur le NAS cela se fera en PPTP car l’ OpenVPN (en beta test) n’est pas dispo pour la dédiée. Après quelques bonnes minutes la nouvelle adresse WAN (correspond à votre dédiée) apparaît dans votre DDNS. Il ne reste plus qu’ à la faire correspondre. Le tout fonctionne au final. Pas de port spécial à ouvrir car c’est du Full Open Port. Néanmoins le trafic Torent ou P2P  est interdit sur une IP dédiée (Par contre pour les IP partagées ce trafic est autorisé sur ces serveurs: Turkish , Sweden, Romania, Luxembourg, Netherlands, Germany (de1 only) , Russia and Ireland). Vous pouvez utiliser votre IP dédiée que sur UNE connexion concurrente. Comment le comprendre ? Nous on a pu utiliser l’ IP connectée et en même temps utiliser notre NAS depuis l’ extérieur du réseau local. Pour nous c’est vraiment la limite de PureVPN de ne pas pouvoir utiliser le forfait sur plusieurs supports en même temps. C’est dommage car votre IP dédiée sur le NAS et le logiciel de connexion intégré sur le portable !!! c’est plutôt TOP.
  • ASTRILL: On connaît bien Astrill que nous avions déjà testé. Pour ce type d’ usage: IP dédiée en SE – Full Open Port – Multiples connexions, Astrill a les qualités de son défaut, càd de multiples options. Pour un usage généraliste Astrill propose bcp d’ options mais là c’est un Atout indéniable. Résultat on s’ est abonné. Le tout nous a coûté $45/3Mois (Avec un coupon code de – 25%). Lors de l’ inscription un numéro de portable est toujours demandé sur lequel on vous envoie un code pour valider.

Astrill_com_sign-up

 

Installation d’ Astrill sur NAS Syno

L’ installation doit être en PPTP. Pour plus détails on vous renvoie à notre tuto: Comment joindre un NAS Synology à un réseau VPN ?

Astrill nas

Après installation et connexion, patientez quelques bonnes minutes (pas comme moi au départ) pour que l’ IP externe du NAS soit bien celle de votre IP Dédiée

Service DDNS

Il ne vous reste plus qu’ à installer l’ IP dédiée d’ Astrill dans votre service réseau DDNS

NAS DDNS

On vous conseille de vous inscrire à un de ses services (Synology MyDSOrayFreeDNSZoneEditDNSPodChangeIPDynamic DOSelfHOST3322NoIPTwoDNSDYNDNS). La NAS Syno en supporte beaucoup. Perso on a essayé MyDS, Service Made In Syno. Un des avantages est que l’ on peut s’ inscrire directement à partir du Syno

DDNS Control Pannel

DDNS Synology

DDNS MyDS

config DDNSVous retrouvez les mêmes infos sur le site MyDS de Synology. Pour vous connecter, utilisez comme Login l’ adresse Mail précédente et le mot de passe choisi

centre MyDS

Résultat: Vous restez en contact avec votre NAS où que vous soyez en même temps que votre VPN est actif !!!! – Il vous suffit de taper dans votre navigateur votre adresse: xxx.synology.me:5000 et vous accéder à votre NAS en toute sécurité – Dans l’ absolu vous pouvez profiter aussi d’ Astrill et de ses 49 pays sur un autre support

Astrill logiciel

Share
avril 17th, 2013 by Mahi
40 Comments

Sécuriser Son Syno Lorsqu’il Est Connecté À Un Vpn

Bonjour,

Suite à pas mal de posts traitants de connexion VPN a partir d’un Syno, j’ai remarqué que presque personne ne se soucie de l’aspect sécurité.

Lorsque le NAS passe par un tunnel VPN en vue d’être anonyme sur internet, le fait d’avoir une IP publique vous expose complètement. La sécurité apportée par un routeur/box/… est inefficace car le NAS est connecté et visible directement sur internet, un peu comme si le câble réseau du syno était publique.

Le DSM (4.1 dans mon cas)  propose une interface pour configurer le firewall mais celle ci ne reprends pas l’interface virtuelle créée lors de l’établissement du tunnel VPN. Il n’est donc pas possible d’appliquer des règles pour bloquer les ports ouverts sur votre NAS et son interface VPN.

Lorsque vous avez une connexion VPN fonctionnelle (PPTP ou openVPN) il est possible d’appliquer manuellement des règles pour filtrer les connections vers votre NAS. Le problème est que ces règles disparaissent lorsque le VPN est déconnecté ou qu’il est reconnecté automatiquement après une interruption.

Pour éviter de devoir scruter manuellement la présence des filtres, j’ai fais un script qui vérifiera toutes les minutes si le VPN est connecté et si oui, si les filtres sont présent. Si les filtres ne sont pas présent, il jouera les commandes nécessaires pour créer les filtres.

Cron (planificateur de tâches Unix/Linux) se chargera d’exécuter le script à intervalles réguliers.

Pour suivre ce tuto vous devez avoir au minimum les connaissances de base linux. Toute la marche à suivre est à exécuter en tant que root. Je tiens quand même à vous avertir que si vous ne comprenez rien à ce qui est dit, il est risqué d’aller plus loin.

le script doit être accessible dans l’arborescence de votre syno (par exemple dans /usr/local/scripts/ ) et exécutable (chmod +x lenomduscript.sh)

Le script est le suivant:

####################################################################
# This script coverts the lack of security when machine is fully #
# exposed on its public IP address once connected to a VPN. #
# It is designed to work on Synology NAS running DSM 4.1 but #
# general linux rules apply, it should be usefull for other #
# purpose. #
# e−raw [@] e−raw.be #
####################################################################

# Local settings definition #
#
#iptables binary path
iptables= »/sbin/iptables »
#VPN interface
#Should be tun0 for openVPN instance and ppp0 for PPTP
interface= »tun0″
#
# Test if VPN is up and iptables rules have been defined yet #
#
if [ −n "$(ifconfig | grep "$interface")" ] && [ −z "$($iptables −L −v | grep "$interface")" ]; then
#Incoming connections ACCEPT on the VPN interface #

$iptables −A INPUT −i $interface −p tcp −−destination−port 22 −j ACCEPT
#[...]
$iptables −A INPUT −i $interface −p tcp −−destination−port 5001 −j ACCEPT
##EDIT: Mandatory to allow DDNS client to resolve it own public address:
$iptables −A INPUT −m state −−state ESTABLISHED,RELATED −j ACCEPT

#if none of the rules were matched DROP #
$iptables −A INPUT −i $interface −p tcp −j DROP
$iptables −A INPUT −i $interface −p udp −j DROP
$iptables −A INPUT −i $interface −p icmp −j DROP
fi
exit 0;

La ligne iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT doit être ajoutée sinon (entre autre) l’update DDNS ne pourra se faire (cette ligne autorise les packets qui font partie d’une session déjà ouverte, dans ce cas par le client DDNS qui dois connaître son IP publique).

Deux choses sont à adapter a vos besoins:

  •     Le type de VPN. L’interface virtuelle créée lors de la connection est  tun0  dans le cas d’openVPN et ppp0 dans le cas du PPTP
  •     Les ports à ouvrir. Ceux çi doivent être l’équivalent de ce que vous avez routé sur votre box pour pouvoir y avoir accès de l’extérieur. faites attentions au protocole (udp/tcp) ainsi qu’au port (en rouge)

Une fois le script modifié et exécutable, connectez-vous au VPN. Vous pourrez vérifier que il n’y a aucun filtre avec la commande iptables -L -v

Lancez le script manuellement une première fois et rejouez la commande iptables -L -v

Les filtres sont désormais appliqués et visibles.

Pour rendre le tout automatique, il faut utiliser crontab. Dans mon cas, le script est exécuté toute les minutes. Il y aura donc maximum une minute ou le NAS sera exposé lors de chaque reboot/reconnexion.

Sur le syno, les entrées du cron se trouvent dans le crontab dans /etc/crontab:

DiskStation> cat /etc/crontab
#minute hour mday month wday who command
32 18 * * 2,5 root /usr/syno/bin/synopkg chkupgradepkg
0 4 * * 1 root /var/packages/AntiVirus/target/bin/synoavscan --all
* * * * * root /usr/local/scripts/vpn_iptables.sh

Chaque ligne représente une tache planifiée. On remarque ici que vpn_iptables.sh (le script en question) est exécuté toute les minutes. Les autres lignes ne doivent pas être touchées!

Ajoutez à l’aide de vi par exemple la ligne en rouge correspondant à votre script. Redémarrez crond avec les commandes :

/usr/syno/etc.defaults/rc.d/S04crond.sh stop
/usr/syno/etc.defaults/rc.d/S04crond.sh start

Pour vérifier que votre script fonctionne bien, vous pouvez vider les règles de filtres avec la commande iptables -F ce qui aura le même effet qu’une nouvelle (re)connexion.

Après maximum une minute (suivant l’intervalle que vous avez configuré dans cron) les filtres devraient réapparaitre, à vérifier avec iptables -L -v

J’espère que ça en aidera quelques uns!

Remarque: Ce post est initialement posté sur NAS-Forum

Je tenais à remercier grandement E-Raw pour cet article. Il est dans la lignée de ce que le blog veut être. Vulgariser l’ usage des VPN et apporter des tutos clairs et de qualités.

 

Share
février 13th, 2013 by E-Raw
No Comments