IPVanish (L2TP) sur Ubuntu

On continue notre série d’ installation de VPN sur la distribution Linux Ubuntu. Ici c’est le protocole L2TP. Le VPN qui sert de support est toujours IPVanish

L2TP sur Ubuntu 12.04

Pour cette install il faut ouvrir votre Terminal et entrez quelques lignes de commande qui sont expliqués ici: http://wiki.l2tpipsecvpn.tuxfamily.org/wiki/index.php?title=Main_Page#Ubuntu

Gardez sous la main les adresses de connexion d’ IPVanish et la clé: ipvanish

N’ oubliez de vous connecter à votre Terminal en tant que Root

sudo -i

Puis

sudo apt-add-repository ppa:werner-jaeger/ppa-werner-vpn

Valider par [Enter]

Puis mettez à jour

sudo apt-get update

Installer le paquet

sudo apt-get install l2tp-ipsec-vpn

Choissisez NO pour openswan

Configuring openswan

Pour retrouver ses applications dans la zone de notification du tableau de bord

gsettings set com.canonical.Unity.Panel systray-whitelist « [‘all’] »

Redémarrez

sudo reboot

Il faut ensuite configurer votre connexion L2TP

Appli L2TP Notification

Appli L2TP Edit

Appli L2TP VPN Manager

L2TP VPN Connections

Mettez un Nom sans Chiffres ou Caractères particuliers

New Connection IPVanish

Remote Server = Indiquez votre serveur désiré. ici: lux-c01.ipvanish.com

Use pre-shared key =  ipvanish

Connection Settings IPVanish L2TP

 Onglet L2TP. Cochez Lenght bit

Connection Settings IPVanish L2TP Length bit

 Onglet PPP.

Ne gardez que MS-CHAPv2 comme protocole d’ authentification (Certains serveurs VPN en proposent d’ autres ou pas celui là)

User name et Password correspondent à vos données utilisateurs de votre VPN.

Connection Settings IPVanish L2TP MS

Cliquez sur IP Settings pour les DNS

IPVanish - Ip Settings

Après une connexion réussie, vous pouvez checker vos infos de connexion

L2TP IPSec VPN

 

Bonne connexion L2TP sur votre Ubuntu

 

Share

IPVanish (PPTP) sur Ubuntu

Il y a longtemps que l’ on voulait vous présenter en image quelques installations de protocoles VPN sur Linux. Et puis est arrivé Dell XPS 13 Developer Edition , un petit bijou de technologies que l’ on s’est procuré pour faire ces tutos. Il arrive au bon moment car on a besoin de vous proposer des articles qui sortent des sentiers battus, du technique mais qui reste abordable pour la très grande majorité de nos (très nombreux) lecteurs. Les serveurs VPN ont beaucoup progressé dernièrement. En UN AN ils ont réussit à démocratiser les VPN grâce à leurs logiciels de connexion sur Windows. Clique – Installez – Utilisez. 😉 Il reste encore de nombreuses faces à explorer: Linux en fait partie !!!

dell-xps-image_ubuntu

Les caractéristiques de ce portable ultra léger sont les suivantes :

  • Processeur: 3e génération Intel i7
  • Écran: 13.3″ haute définition  (1080p)
  • Mémoire : 8 Go
  • Carte graphique: Intel HD Graphics 4000
  • Stockage: 256 Go sur SSD
  • Système d’exploitation: Ubuntu 12.04 LTS

Vous aurez bien compris que le prix demandé ( + de 1000 €) est plus pour la partie physique que logiciel. Ubuntu est en effet gratuit, léger et rapide. On vous conseille donc de prendre un vieux portable ramant sous Windows et d’ y installer Ubuntu linux.

Vous serez surpris: Oubliez les vieux clichés, « Linux c’est pour les pros, pour les geeks », « c’est trop compliqués », qui perdurent encore aujourd’hui. L’ interface est ergonomique et intuitive. Les programmes sont nombreux. Le tout sera plus vivace et les programmes se lanceront plus vite. Toutes vos habitudes de Windows seront balayées en une semaine. Au bout d’ un mois dessus on a vite oublier Windows Seven

Une série de tutos vont suivre, les autres protocoles: L2TP, OpenVPN, …. pour bientôt

Le VPN qui sert de support à cette rapide installation du PPTP sur Ubuntu est IPVanish

PPTP sur Ubuntu 12.04

Le PPTP est implanté par défaut sur Ubuntu 12.04. Il est donc très facile de l’ installer

Connexions VPN => Configurer le VPN => Ajouter => Creér

Il ne vous reste plus qu’ à remplir les champs avec les infos de votre compte IPVanish

Cliquez sur Avancé et cliquer sur Utiliser le chiffrement MPPE et Valider

Votre connexion PPTP est opérationnelle !

 

Share

IKEv2 chez PureVPN – Option Agile VPN

Protocole IKEv2 – VPN Reconnect (ex AgileVPN)

PureVPN vient d’ ajouter le protocole IKEv2 à son forfait VPN mensuel à $9.95 – Semestriel à $44.95 et ANNUEL à $49.95

Lisez bien le tuto en entier car le meilleur est pour la fin !!!

Le protocole IKEv2 est le dernier protocole VPN à avoir été implanté en natif par Windows et ceci depuis Seven

IKEv2 réseau VPN

Il y a encore quelques semaines seul 12VPN offrait ce protocole mais avec beaucoup de sens critique à son sujet: IKEv2 is a fast and easy to use VPN method. It does however have a major short-coming: if it’s blocked, or slow, or your home/Wi-Fi router doesn’t support it properly, there’s nothing that can be changed to make it work.

Aujourd’ hui c’est le très sérieux PureVPN qui monte beaucoup en puissance ces dernières semaines qui le propose pour servir de support à son tutorial d’ installation d’ un VPN sur le BlackBerry Z10.

purevpn_com_config_blackberry

PureVPN ne propose pas pour l instant de tuto pour Windows. Mais comme on est curieux, on va vous expliquer succinctement ce protocole, vous montrer une installation sur Windows Seven et développer l’ option Mobilité (MOBIKE)

  • IPsec (Internet Protocol Security)  est une solution VPN  dans laquelle une connexion cryptée est établie entre deux systèmes (hôte-à-hôte) ou deux réseaux (réseau-à-réseau). Appliqué à IPSec, le protocole IKE (Internet Key Exchange) a pour objectif d’établir un tunnel (le tunnel IKE) sécurisé en échangeant des clés partagées pour la transmission des données utilisateur entre les 2 machines. IKEv2 (Port UDP 500) est chargé de négocier la connexion. En 2005 IKEv2 a succédé au IKEv1 avec comme objectifs de le simplifier et d’incorporer de nouvelles fonctionnalités dans le protocole IPsec.
  • Tutorial en image

PureVPN propose trois adresses IKEv2: Roumanie – Uk et USA. Dans l’ exemple ci-dessous c’est le serveur Roumain qui a été choisi: ro1-ikev.pointtoserver.com

Nouvelle config vpn

Nouvelle config vpn choix

Config VPN adresse

Config VPN Login

Connexion VPN ok

Allez dans les Propriétés de votre connexion VPN

Options IKEv2

IKEv2 security

Il ne vous reste qu’ à vous connecter pour obtenir votre IP roumaine

IKEv2 MyIP

  • Option Mobilité (MOBIKE) alias AgileVPN ou VPN Reconnect

Pour nous la grande force du protocole IKEv2 est l’ option Mobilité. C’est cette option qui fait son atout et sa différence vis à vis des autres protocoles (PPTP – L2TP – SSTP) implantés par Windows dans son O.S.

Cette option permet de reconnecter le VPN d’un utilisateur lorsqu’il perd sa connexion à Internet. Prenez par exemple un utilisateur chez lui avec son PC portable. Il est connecté à son VPN par le biais d’une connexion en Wifi. Admettons maintenant qu’il perde sa connexion intempestivement et la retrouve peu après, il devra alors se reconnecter en allant chercher à nouveau sa connexion VPN, voir entrer une nouvelle fois ses identifiants. Hors avec l’ option mobilité (activée par défaut) du protocole IKEv2 le VPN se réactive dès que la connexion Internet est retrouvée, même si l’utilisateur se reconnecte par le biais d’une autre connexion (3G, Câble Ethernet, Wifi). La connexion VPN persiste pendant un certain temps, même en cas de modification de l’adresse IP (idéal pour ceux qui passent de réseaux Wifi ouverts en réseaux Wifi)  et cette opération est transparente pour l’utilisateur (Le VPN ne prend que quelques secondes pour être de nouveau opérationnel).

Pour activer la fonctionnalité de mobilité: Cliquez sur Paramètres avancés et Sélectionnez Mobilité, puis sélectionnez la durée pendant laquelle le VPN peut persister avant d’être terminé.

IKEv2 Mobike

Si votre connexion Internet se perd alors le VPN apparaît Dormant.

IKEv2 dormant

En cas reconnexion le VPN se reconnecte !

Si le client ne peut pas rétablir la connexion avec le serveur VPN avant la fin de période déterminée, la connexion est terminée: L’ erreur 868 apparaît

IKEv2 erreur 868

 

Share

Connecter NAS Synology à Astrill (OpenVPN)

Je rédige ce tuto pour tous ceux qui, comme moi, ont choisi Astrill et son option « ip fixe » afin de pouvoir se connecter à leur NAS Synology depuis l’extérieur et qui souhaiteraient configurer le VPN avec le protocole OpenVPN, qui a l’avantage non seulement d’être plus sécurisé mais aussi d’être plus stable (moins de déconnexions et une reconnexion automatique du NAS qui fonctionne!)

Prérequis :
– le paquet de certificats OpenVPN d’Astrill
– l’activation du service Terminal sur votre NAS

I) Le certificat OpenVPN d’Astrill

1) Allez dans votre compte Astrill sur la page de génération de certificats OpenVPN

2) Créez un nouveau certificat, donnez-lui un nom et cliquez sur « ajouter à mes certificats »

3) Dans la colonne description vous verrez le paquet de certificats que vous venez de créer. Vous pouvez:
– soit télécharger tout le paquet en cliquant sur télécharger
– soit cliquer sur l’icône en forme de dossier pour voir tous les fichiers de configuration OpenVPN qui se sont créés et choisir de ne télécharger que celui qui correspond au serveur auquel vous comptez vous connecter.
Le serveur en option « ip fixe » sera le premier de la liste.

4) Ouvrez le fichier de configuration .ovpn avec un éditeur de texte et copiez/collez la partie contenue entre les balises <ca> et </ca> dans un nouveau fichier de texte que vous sauvegarderez sous la forme de certificat, personnellement j’ai appelé ce fichier ca.astrill.com.crt

II) La configuration de la connexion OpenVPN sur le Synology

1) Créez une connexion VPN sur le Synology de type OpenVPN et appelez-là Astrill_OVPN

2) Mettez l’adresse du serveur choisi ainsi que le nom d’utilisateur et mot de passe fournis par Astrill

3) Cliquez sur « importer le certificat » et importez le certificat préalablement crée ca.astrill.com.crt

4) Cliquez sur le bouton avancé et cochez le 4 options

III) Modification des fichiers de configuration depuis le terminal

1) Ouvrez une fenêtre terminal SSH (avec le logiciel PuTTY par exemple), an allant à l’adresse ip du NAS sur le port 22 (vérifiez bien que vous n’avez pas bloqué les connexions entrantes au niveau du pare-feu)

2) Identifiez vous en utilisant le compte root dont le mot de passe est celui de l’utilisateur admin du Synology

3) Tapez la commande suivante

cd /usr/syno/etc/synovpnclient/openvpn
ls

4) Vous verrez un fichier de type client_oXXXXXXXXXX, faites-en une copie de sauvegarde avec la commande suivante

(le nom du fichier est un exemple)
cp client_o1234567890 client_o1234567890-ds

5) Ouvrez le fichier dans un éditeur de texte avec la commande suivante

vi client_o1234567890

Mon fichier d’origine ressemble à ça

dev tun
tls-client
remote SE2.ASTRILL.NET 1194
pull
proto udp
ca ca_o1234567890.crt
comp-lzo
redirect-gateway
script-security 2
float
reneg-sec 0
explicit-exit-notify
plugin /lib/openvpn/openvpn-down-root.so /etc/ppp/ip-down
auth-user-pass /tmp/ovpn_client_up

6) Effacez toutes les lignes sauf les 2 dernières, en tapant « dd » sur le clavier devant chaque ligne que vous voulez supprimer

7) Il ne doit vous rester que :

plugin /lib/openvpn/openvpn-down-root.so /etc/ppp/ip-down
auth-user-pass /tmp/ovpn_client_up

8) Maintenant copiez tout le contenu du fichier de configuration ovpn préalablement téléchargé et collez-le avant ces deux lignes. Pour ce faire, positionnez-vous sur la partie la plus en haut à gauche, tapez « i » et cliquez sur le bouton droit de la souris, ensuite « Echap »

9) Le résultat final doit être composé par la totalité du fichier de configuration ovpn originaire Astrill avec en plus les 2 lignes conservées depuis le fichier de configuration du Synology :

setenv FORWARD_COMPATIBLE 1
setenv UV_SERVERID 199
client
dev tun
proto udp
remote 46.246.117.4 8292
nobind
persist-key
persist-tun
ns-cert-type server
key-direction 1
push-peer-info
comp-lzo
explicit-exit-notify
verb 3
mute 20
reneg-sec 86400
mute-replay-warnings
max-routes 1000

<ca>
[confidentiel]
</ca>

<cert>
[confidentiel]
</cert>

<tls>
[confidentiel]
</tls>

<tls-auth>
[confidentiel]
</tls-auth>

plugin /lib/openvpn/openvpn-down-root.so /etc/ppp/ip-down
auth-user-pass /tmp/ovpn_client_up

10) Sauvegardez le fichier et quittez l’éditeur de texte en tapant « :wq »

11) Essayez de lancer la connexion VPN, cela devrait marcher

 

Share

Joindre NAS depuis l’ extérieur avec un VPN

Vous êtes nombreux à avoir installé un VPN sur votre NAS. Le problème est qu’ il est impossible alors de le joindre de l’ extérieur car ce dernier n’ a plus l’ IP externe de votre réseau.

La solution est simple: il faut garder votre VPN ! mais changer de type d’ IP

Le tuto qui suit est à 90 % celui d’ angelusflm qui le premier sur le blog a voulu répondre à cette contradiction.

Il vous faut un VPN qui offre une IP Dédiée (Hollande ou Suède pour moi – Après suivant votre usage vous pourrez prendre une IP Fr par exemple) avec tous les ports ouverts et qui accepte les multiples connexions (bien que nous ayons réussi à se connecter en simultanée chez PureVPN).

CHOIX du VPN

Les VPN qui offrent des IP Dédiées sont nombreux mais au final notre choix s ‘est porté sur Astrill et vous allez comprendre :

  • BANANA-VPN: IP dédiée uniquement aux USA – Un peu cher: $24/mois avec All ports open/forwarded.
  • CIENEN: IP dédiée située aux USA, UK et Canada pour $14.95/mois. Pas d’ infos sur les Ports.
  • LAMNIAVPN: IP dédiée située aux USA, UK et Canada pour £12.95/mois. Pas d’ infos sur les Ports.
  • MEXVPN: IP dédiée située aux USA, UK et Canada pour $14/mois. Pas d’ infos sur les Ports. Moyens de Paiement encore actif ?.
  • MOREVPN: Les IP’s dédiées en Europe sont à $15. D’ autres locations sont dispos comme le Chili ou encore l’ île de Man !
  • RAPIDVPN: Beaucoup d’ IP dédiées à travers le monde. la Suisse est à $8.4. Beaucoup de restrictions d’ usage.
  • SAFEVPN: IP dédiée UK ou US. Tous les ports ouverts. L’ OpenVPN seul est à 9 €/mois.
  • SMALLVPN: De nombreuses IP situées dans 14 pays. Les prix varient de $19.95 à $34.95. Le Full Port semble être présent.
  • SMARTHIDE: IP dédiée Européenne à partir de $14.98.
  • SPICEVPN: IP dédiée au choix dans un des 6 pays (DE – UK – IT – NL – UA – USA) à 25$/Mo.
  • TUVPN: IP dédiée Hollandaise, Suédoise, USA, UK, Allemagne, Espagne, Canada à 11.55€/mois. Tous les ports sont ouverts. 3 protocoles. Sur le papier cela a l’ air bon.
  • VERSAVPN: IP dédiée Hollandaise à partir de $20 (OpenVPN) avec 3 ports dispos.
  • VPN-DISCOUNT: IP dédiées  UK, US, CZ, SK au choix à 8.90 €. Pas de Full Port Open.
  • VPNLUX: IP dédiée Hollandaise – Luxembourg – USA et UK à $35. Full Port Open.
  • VPNPRONET: Que des IP’s USA à $15.
  • VPNREACTOR: Une IP dédiée est ajoutée au forfait généraliste (même principe que SecurityKiss). Fyull Open Port.
  • VPNSECURE: IP dédiée à $13.95 en OpenVPN. Pays ?.
  • VPNSEEK: Dispose d’ IP dédiées aux USA – UK – CA – AT – MA – IE – UA – RU – LU pour $20/Mo. Full Open Port ?.
  • VPNUK: IP dédiée UK à £9.99/Mo.
  • VPNWORLDWIDE: IP dédiées à $11.99 avec au choix: USA – UK – NL – SE – SK – CZ. Présence d’ IP dédiée en Suède – P2P autorisé!.
  • WORLDVPN: Beaucoup d’ IP dédiées. La plupart sont à $15. Traffic limité à 20 GB. Pour le reste ?.

  • SECURITYKISS: Offre une dédiée USA avec le forfait Emerald. angelusflm l’ a testé et cela ne marche pas: problème d’ ouverture de Port.
  • NVPN: Ce VPN nous intéressait car il propose des IP dédiées en Hollande en OpenVPN à 8$/Mensuel. Visiblement il est possible de switcher de serveurs (pas testé). Après un paiement par Paypal il faut attendre 2 jours pour que le compte soit validé. Tous les ports ne sont pas ouverts. L’ installation de l’ OpenVPN sur NAS (port 1194) fonctionne impec. Par contre la redirection DDNS (malgré l’ ouverture du port 5000)  n’ a pas marché. Quant au support il est inexistant. Jamais eu de réponse.
  • STRONGVPN: On l’ oublie trop souvent mais les forfaits OpenVPN offrent des IP’s dédiées. Le premier prix est aux USA et le forfait est trimestriel ($30). L’ avantage est que l’ on peut switcher d’ IP mais pas de pays. Malgré un très bon control pannel avec de bonnes options dont la possibilité d’ ouvrir des ports supplémentaires, on a pas réussi la redirection DDNS. D’ après le support il fallait un « VPN router » !
  • PUREVPN: Ce VPN semble en pleine mutation (depuis notre test PureVPN ils ont simplifié les offres et ajouté l’ OpenVPN en plus du PPTP – L2TP et SSTP). Le plan illimité reste quand même un peu cher ($18). L’ IP dédiée est en supplément à 2$/mois et vous avez le choix entre l’ UK, le CA, L’ US et le DE. Attention: si vous prenez un plan annuel il est impossible d’ y ajouter une IP dédiée après. L’ IP dédiée doit être commandée au même moment que le forfait généraliste de base. L’ IP dédiée est quasi instantanée et fonctionne bien (comme le reste du forfait: applis – IP partagée – …). Pour l’ installation sur le NAS cela se fera en PPTP car l’ OpenVPN (en beta test) n’est pas dispo pour la dédiée. Après quelques bonnes minutes la nouvelle adresse WAN (correspond à votre dédiée) apparaît dans votre DDNS. Il ne reste plus qu’ à la faire correspondre. Le tout fonctionne au final. Pas de port spécial à ouvrir car c’est du Full Open Port. Néanmoins le trafic Torent ou P2P  est interdit sur une IP dédiée (Par contre pour les IP partagées ce trafic est autorisé sur ces serveurs: Turkish , Sweden, Romania, Luxembourg, Netherlands, Germany (de1 only) , Russia and Ireland). Vous pouvez utiliser votre IP dédiée que sur UNE connexion concurrente. Comment le comprendre ? Nous on a pu utiliser l’ IP connectée et en même temps utiliser notre NAS depuis l’ extérieur du réseau local. Pour nous c’est vraiment la limite de PureVPN de ne pas pouvoir utiliser le forfait sur plusieurs supports en même temps. C’est dommage car votre IP dédiée sur le NAS et le logiciel de connexion intégré sur le portable !!! c’est plutôt TOP.
  • ASTRILL: On connaît bien Astrill que nous avions déjà testé. Pour ce type d’ usage: IP dédiée en SE – Full Open Port – Multiples connexions, Astrill a les qualités de son défaut, càd de multiples options. Pour un usage généraliste Astrill propose bcp d’ options mais là c’est un Atout indéniable. En plus l’ IP dédiée accepte le trafic P2P. Résultat on s’ est abonné. Le tout nous a coûté $45/3 Mois (Avec un coupon code de – 25%). Lors de l’ inscription un numéro de portable est toujours demandé sur lequel on vous envoie un code pour valider.

Astrill_com_sign-up

 

Installation d’ Astrill sur NAS Syno

L’ installation doit être en PPTP. Pour plus détails on vous renvoie à notre tuto: Comment joindre un NAS Synology à un réseau VPN ?

Astrill nas

Après installation et connexion, patientez quelques bonnes minutes (pas comme moi au départ) pour que l’ IP externe du NAS soit bien celle de votre IP Dédiée

Service DDNS

Il ne vous reste plus qu’ à installer l’ IP dédiée d’ Astrill dans votre service réseau DDNS

NAS DDNS

On vous conseille de vous inscrire à un de ses services (Synology MyDSOrayFreeDNSZoneEditDNSPodChangeIPDynamic DOSelfHOST3322 –  NoIP –  TwoDNSDYNDNS). La NAS Syno en supporte beaucoup. Perso on a essayé MyDS, Service Made In Syno. Un des avantages est que l’ on peut s’ inscrire directement à partir du Syno

DDNS Control Pannel

DDNS Synology

DDNS MyDS

config DDNSVous retrouvez les mêmes infos sur le site MyDS de Synology. Pour vous connecter, utilisez comme Login l’ adresse Mail précédente et le mot de passe choisi

centre MyDS

Résultat: Vous restez en contact avec votre NAS où que vous soyez en même temps que votre VPN est actif !!!! – Il vous suffit de taper dans votre navigateur votre adresse: xxx.synology.me:5000 et vous accéder à votre NAS en toute sécurité – Dans l’ absolu vous pouvez profiter aussi d’ Astrill et de ses 49 pays sur un autre support

Astrill logiciel

Share

Sécuriser son Syno lorsqu’il est connecté à un VPN

Bonjour,

Suite à pas mal de posts traitants de connexion VPN a partir d’un Syno, j’ai remarqué que presque personne ne se soucie de l’aspect sécurité.

Lorsque le NAS passe par un tunnel VPN en vue d’être anonyme sur internet, le fait d’avoir une IP publique vous expose complètement. La sécurité apportée par un routeur/box/… est inefficace car le NAS est connecté et visible directement sur internet, un peu comme si le câble réseau du syno était publique.

Le DSM (4.1 dans mon cas)  propose une interface pour configurer le firewall mais celle ci ne reprends pas l’interface virtuelle créée lors de l’établissement du tunnel VPN. Il n’est donc pas possible d’appliquer des règles pour bloquer les ports ouverts sur votre NAS et son interface VPN.

Lorsque vous avez une connexion VPN fonctionnelle (PPTP ou openVPN) il est possible d’appliquer manuellement des règles pour filtrer les connections vers votre NAS. Le problème est que ces règles disparaissent lorsque le VPN est déconnecté ou qu’il est reconnecté automatiquement après une interruption.

Pour éviter de devoir scruter manuellement la présence des filtres, j’ai fais un script qui vérifiera toutes les minutes si le VPN est connecté et si oui, si les filtres sont présent. Si les filtres ne sont pas présent, il jouera les commandes nécessaires pour créer les filtres.

Cron (planificateur de tâches Unix/Linux) se chargera d’exécuter le script à intervalles réguliers.

Pour suivre ce tuto vous devez avoir au minimum les connaissances de base linux. Toute la marche à suivre est à exécuter en tant que root. Je tiens quand même à vous avertir que si vous ne comprenez rien à ce qui est dit, il est risqué d’aller plus loin.

le script doit être accessible dans l’arborescence de votre syno (par exemple dans /usr/local/scripts/ ) et exécutable (chmod +x lenomduscript.sh)

Le script est le suivant:

####################################################################
# This script coverts the lack of security when machine is fully #
# exposed on its public IP address once connected to a VPN. #
# It is designed to work on Synology NAS running DSM 4.1 but #
# general linux rules apply, it should be usefull for other #
# purpose. #
# e−raw [@] e−raw.be #
####################################################################

# Local settings definition #
#
#iptables binary path
iptables= »/sbin/iptables »
#VPN interface
#Should be tun0 for openVPN instance and ppp0 for PPTP
interface= »tun0″
#
# Test if VPN is up and iptables rules have been defined yet #
#
if [ −n « $(ifconfig | grep « $interface ») » ] && [ −z « $($iptables −L −v | grep « $interface ») » ]; then
#Incoming connections ACCEPT on the VPN interface #

$iptables −A INPUT −i $interface −p tcp −−destination−port 22 −j ACCEPT
#[…]
$iptables −A INPUT −i $interface −p tcp −−destination−port 5001 −j ACCEPT
##EDIT: Mandatory to allow DDNS client to resolve it own public address:
$iptables −A INPUT −m state −−state ESTABLISHED,RELATED −j ACCEPT

#if none of the rules were matched DROP #
$iptables −A INPUT −i $interface −p tcp −j DROP
$iptables −A INPUT −i $interface −p udp −j DROP
$iptables −A INPUT −i $interface −p icmp −j DROP
fi
exit 0;

La ligne iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT doit être ajoutée sinon (entre autre) l’update DDNS ne pourra se faire (cette ligne autorise les packets qui font partie d’une session déjà ouverte, dans ce cas par le client DDNS qui dois connaître son IP publique).

Deux choses sont à adapter a vos besoins:

  •     Le type de VPN. L’interface virtuelle créée lors de la connection est  tun0  dans le cas d’openVPN et ppp0 dans le cas du PPTP
  •     Les ports à ouvrir. Ceux çi doivent être l’équivalent de ce que vous avez routé sur votre box pour pouvoir y avoir accès de l’extérieur. faites attentions au protocole (udp/tcp) ainsi qu’au port (en rouge)

Une fois le script modifié et exécutable, connectez-vous au VPN. Vous pourrez vérifier que il n’y a aucun filtre avec la commande iptables -L -v

Lancez le script manuellement une première fois et rejouez la commande iptables -L -v

Les filtres sont désormais appliqués et visibles.

Pour rendre le tout automatique, il faut utiliser crontab. Dans mon cas, le script est exécuté toute les minutes. Il y aura donc maximum une minute ou le NAS sera exposé lors de chaque reboot/reconnexion.

Sur le syno, les entrées du cron se trouvent dans le crontab dans /etc/crontab:

DiskStation> cat /etc/crontab
#minute hour mday month wday who command
32 18 * * 2,5 root /usr/syno/bin/synopkg chkupgradepkg
0 4 * * 1 root /var/packages/AntiVirus/target/bin/synoavscan --all
* * * * * root /usr/local/scripts/vpn_iptables.sh

Chaque ligne représente une tache planifiée. On remarque ici que vpn_iptables.sh (le script en question) est exécuté toute les minutes. Les autres lignes ne doivent pas être touchées!

Ajoutez à l’aide de vi par exemple la ligne en rouge correspondant à votre script. Redémarrez crond avec les commandes :

/usr/syno/etc.defaults/rc.d/S04crond.sh stop
/usr/syno/etc.defaults/rc.d/S04crond.sh start

Pour vérifier que votre script fonctionne bien, vous pouvez vider les règles de filtres avec la commande iptables -F ce qui aura le même effet qu’une nouvelle (re)connexion.

Après maximum une minute (suivant l’intervalle que vous avez configuré dans cron) les filtres devraient réapparaitre, à vérifier avec iptables -L -v

J’espère que ça en aidera quelques uns!

Remarque: Ce post est initialement posté sur NAS-Forum


Je tenais à remercier grandement E-Raw pour cet article. Il est dans la lignée de ce que le blog veut être. Vulgariser l’ usage des VPN et apporter des tutos clairs et de qualités.

 

Share

Configuration VPN sur Synology NAS Server

Comment joindre un NAS Synology à un réseau VPN ?

Il est toujours bon de découvrir l’ installation d’ un VPN sur des supports originaux et de qualité. C’est le cas des NAS de Synology (Depuis la version 4 du DSM, l’OS des NAS Synology, un client VPN est intégré!). J’ ai été impressionné par la qualité de mon NAS Synology DS 411 Slim couplé avec un Western Digital Scorpio Blue 1TB. Le nombre de fonctionnalités est très impressionnant, mais comme le Blog du VPN est le spécialiste du VPN on va seulement vous présenter l’ installation d’ un VPN en PPTP et en OpenVPN sur notre DS 411 Slim. Pour le reste, on vous conseille de lire les différents tutos pour installer et utiliser les différents paquets officiels et officieux (comme SynoCommunity).

La version du DSM au moment de la rédaction du tuto est DSM 4.1-2668

La première étape consiste à charger l’ application VPN

Appli VPN Syno

La création d’ une connexion VPN est relativement simple. Deux protocoles sont proposés: PPTP et OpenVPN

Creation VPN

PPTP sur Synology

Le PPTP est très simple à installer. On vous présente une installation type avec le VPN IPVanish: Il faut votre login + Mot de Passe + Adresses de connexion – L’ avantage d’ IPVanish est qu’ il accepte deux connexions simultanées. Dans ce cas vous pouvez installer le protocole PPTP sur votre NAS et garder en main l’ OpenVPN pour votre PC (ou inversement).

VPN PPTP Synology

Remplissez les champs demandés

IPVanish PPTP Syno

IPVanish PPTP Options Syno

Une fois la configuration effective il faut se connecter

IPVanish PPTP connexion Syno

Pour vérifier que votre IP est bien celle d’ IPVanish il suffit de se rendre sur l’ appli DDNS et de vérifier que votre adresse externe est différente de votre IP F.A.I

IPVanish PPTP DDNS

Vous pouvez ajouter (juste pour vous montrer car l’ intérêt est limité) d’ autres VPN comme HideMyAss (Dans le cas d’ HidemyAss le mot de passe du PPTP est différent de celui de l’ OpenVPN)

HideMyAss PPTP Syno

ou bien VyprVPN

Giganews PPTP Syno

OPENVPN sur Synology

L’ OpenVPN est bien entendu plus performant et sécurisé. Mais il existe une petite limitation. Synology n’ accepte pas ces caractères  » # $ % & ‘ ( ) * + , / : ; < = > ? @ [ ] \ ^ ` { } | ~ dans le nom du profil: autrement dit si votre Login est une Adresse Mail c’est Mort ! Il existe une ou deux méthodes dont celle de JessBlog (plus ou moins performantes) pour contourner ce problème. On vous conseille de changer de VPN si c’est le cas, cela sera plus rapide et efficace.

VPN OPENVPN Synology

L’ installation ci-dessous a été faîte avec VPNTunnel.Se. Vous avez besoin de votre Login, du Mot De Passe, de l’ Adresse de connexion et du Certificat de sécurité

VPNTunnel Synology

Config VPNTunnel Synology

Config options VPNTunnel Synology

Et voilà le résultat:

VPNTunnel connexion Syno

 Bon Download Station !

Download Station

Share