GNU/Linux >> Tutoriels Linux >  >> Panels >> OpenVPN

Installation et configuration de Synology NAS OpenVPN !

Dans ce didacticiel, nous examinerons les instructions d'installation et de configuration de Synology NAS OpenVPN.

Après mon récent didacticiel Guide d'installation et de configuration Ultimate Synology NAS, j'ai reçu une tonne d'excellents commentaires d'utilisateurs qui souhaitaient accéder en toute sécurité à leur NAS depuis l'extérieur de leur réseau. J'utilise l'application Synology VPN Server avec OpenVPN depuis un an et je n'ai eu aucun problème. Je peux accéder en toute sécurité à mon NAS partout dans le monde et, plus important encore, je contrôle l'accès.

Je vais vous expliquer rapidement ce que fait un serveur VPN et les différents types de configurations de serveur VPN, mais si vous le savez déjà, vous pouvez passer directement aux instructions du serveur OpenVPN pour le Synology NAS.

1. Qu'est-ce qu'un serveur VPN

Un VPN est un réseau privé virtuel qui étend votre réseau privé à un réseau public. En termes simples, il vous permet de vous reconnecter en toute sécurité à votre réseau local à partir d'un réseau extérieur. Il existe deux types de réseaux VPN :

1.1 Types de connexion VPN

VPN Split-Tunnel : Le trafic n'est envoyé via votre réseau que s'il tente d'accéder à une ressource interne. Votre adresse IP lorsque vous naviguez sur un site en dehors de votre réseau sera l'adresse IP du réseau sur lequel vous vous trouvez actuellement.

VPN Full-Tunnel :Tout le trafic est envoyé via votre réseau domestique. Votre adresse IP pour les demandes internes et externes sera votre réseau domestique.

J'ai créé une image très basique ci-dessous qui explique cela, mais nous verrons comment configurer les deux dans les étapes ultérieures. Il est important de noter que les deux types de connexion vous permettront d'accéder à votre réseau local. Cela montre uniquement comment le trafic est acheminé différemment vers les réseaux externes.

REMARQUE : Ce n'est pas le flux exact du réseau. Je simplifie le processus autant que possible.

2. Configuration de Synology NAS OpenVPN – Instructions

1. Ouvrez le Package Centre et Installer le VPN Serveur application.

2. Ouvrez l'application et accédez à OpenVPN rubrique.

3. Activer OpenVPN Serveur . Modifiez la plage d'adresses IP dynamiques et les propriétés de connexion maximales si vous le souhaitez. Puisque nous essayons d'accéder à notre Synology NAS en dehors de notre réseau, nous devons activer Autoriser clients pour accéder au LAN du serveur . Le reste peut rester par défaut. Cliquez sur Appliquer .

4. Accédez au privilège section et assurez-vous que le compte d'utilisateur avec lequel vous souhaitez vous connecter au VPN a l'autorisation pour OpenVPN .

3. Configuration du pare-feu OpenVPN du Synology NAS

Notre serveur VPN est maintenant configuré, mais nous devons nous assurer que notre pare-feu autorise l'accès au port UDP 1194. Si vous n'êtes pas sûr de savoir comment configurer le pare-feu de Synology, vous pouvez apprendre comment dans notre Guide d'installation et de configuration Ultimate Synology NAS.

5. Si vous utilisez le pare-feu de Synology, ouvrez le Contrôle Panneau , Sécurité , puis accédez au pare-feu et Modifier Règles .

6. Créer un Autoriser règle pour le VPN Serveur (OpenVPN) application, UDP port 1194 .

7. Une fois terminée, la règle doit être au-dessus du refuser tous règle.

4. Transfert de port

Nous venons de configurer notre pare-feu Synology pour autoriser les connexions sur le port UDP 1194 . Nous devons maintenant rediriger le port UDP 1194 sur notre routeur à notre Synology NAS. Synology dispose de la fonctionnalité UPnP, qui donne à votre NAS la possibilité d'ouvrir automatiquement des ports sur votre routeur. Si vous avez un routeur compatible UPnP, il est très facile de le configurer. Cependant, il y a beaucoup de débats sur la sécurité de l'UPnP, donc je ne vais pas en parler dans ce tutoriel. Si vous souhaitez procéder de cette façon, vous pouvez lire l'article d'aide de Synology ici.

Maintenant, la redirection de port sera complètement différente sur la page des paramètres du routeur de chaque marque. Il s'agit d'un excellent guide qui montre comment transférer des ports sur différentes marques de routeurs, mais la meilleure chose à faire est d'essayer de rechercher sur Google le nom de votre routeur et le transfert de port. . Exemple :Transfert de port Netgear

Ce processus nécessite que vous ayez une configuration d'adresse IP statique. Si vous ne disposez pas actuellement d'une configuration d'adresse IP statique, lisez comment configurer une adresse IP statique ici.

8. Créer une règle de transfert de port pour le port UDP 1194 à l'adresse IP de votre Synology NAS. Dans l'exemple ci-dessous, 192.168.1.220 est l'adresse IP de mon Synology NAS.

En supposant que vous avez pu ouvrir le port UDP 1194 et configurer la règle de pare-feu Synology avec succès, la configuration du port est maintenant terminée !

5. Modifications du fichier de configuration Synology NAS OpenVPN

Maintenant que notre serveur est configuré, nous devons modifier notre fichier de configuration. Avant d'entrer dans les étapes, vous devez vous assurer que vous avez configuré le DDNS. La plupart des gens ont des adresses IP externes dynamiques, il est donc nécessaire de créer un nom d'hôte DDNS car vous devez vous assurer que vous accédez toujours à votre adresse IP externe. Si vous souhaitez configurer le DDNS à l'aide d'un nom d'hôte synology.me gratuit, vous pouvez suivre les instructions de Synology ici. Si vous souhaitez utiliser DuckDNS, j'ai écrit un tutoriel sur la façon de le faire ici. Si vous êtes absolument certain d'avoir une adresse IP externe statique qui ne change jamais, vous n'avez pas besoin de configurer le DDNS. Utilisez simplement votre adresse IP externe comme YOUR_SERVER_IP.

Il est également important de noter que le fournisseur DDNS n'est pas pertinent, il vous suffit de vous assurer que vous avez configuré un nom d'hôte DDNS !

9. Ouvrez le serveur VPN l'application et sélectionnez OpenVPN . Sélectionnez Exporter la configuration .

10. Extrayez le contenu du dossier. Nous ne modifierons que le fichier OpenVPN.ovpn, alors ouvrez ce fichier avec un éditeur de texte.

11. Par défaut, vous recevrez un fichier de configuration OpenVPN par défaut avec un certificat unique en bas. Ce document ne doit être partagé avec personne d'autre que les utilisateurs que vous souhaitez authentifier avec votre VPN. Nous devons modifier les éléments ci-dessous qui sont surlignés en rose .

  • VOTRE_IP_SERVEUR  :Il doit s'agir du nom d'hôte DDNS que vous avez configuré.
  • redirect-gateway def1 :C'est ce qui détermine si vous configurez un VPN split-tunnel ou full-tunnel. Si vous n'êtes pas sûr de ce que vous souhaitez, reportez-vous à l'image ci-dessus pour voir les différences. Je crée deux fichiers de configuration distincts (un pour le split-tunnel et un pour le full-tunnel) et selon la situation, j'utilise l'un ou l'autre. Pour activer le tunnel complet, supprimez le signe "#" (c'est le symbole d'un commentaire). Le simple fait de supprimer le symbole de commentaire activera le VPN à tunnel complet. REMARQUE : Si vous utilisez un iPhone et disposez d'iOS 7 ou supérieur, vous devrez ajouter redirect-gateway ipv6 sous redirect-gateway def1.
  • option DHCP :Si vous avez un serveur DNS local que vous souhaitez utiliser, vous pouvez y ajouter l'adresse IP de votre serveur DNS. Si vous n'avez pas de serveur DNS local, laissez cette ligne commentée. REMARQUE :Si vous n'avez pas configuré de serveur DNS local, OpenVPN utilisera par défaut les enregistrements DNS publics de Google. Cela signifie que vous ne pourrez accéder à aucune des ressources de votre réseau local par nom d'hôte, uniquement par adresse IP. Si vous souhaitez configurer un serveur DNS local, vous pouvez consulter mon tutoriel sur Pi-hole ici. REMARQUE : Il s'agit d'un exemple très simple d'utilisation du DNS.
  • certificat client non requis :Cette option n'est pas ajoutée par défaut mais devrait être ajoutée si vous utilisez les nouveaux clients OpenVPN (la plupart des gens le seront). Si vous n'ajoutez pas cette option, vous recevrez un message d'erreur lorsque vous vous connecterez. Bien que vous puissiez passer à travers le message d'erreur, cela empêchera l'erreur de se produire.
dev tun
tls-client
remote YOUR_SERVER_IP 1194
# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)
#float
# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)
#redirect-gateway def1
#redirect-gateway ipv6 #REQUIRED for iOS 7 and above.
# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.
#dhcp-option DNS DNS_IP_ADDRESS
pull
# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp
script-security 2
comp-lzo
reneg-sec 0
cipher AES-256-CBC
auth SHA512
auth-user-pass
client-cert-not-required
-----BEGIN CERTIFICATE-----
[YOUR CERTIFICATE WILL BE HERE. LEAVE THIS ALL AS DEFAULT]
-----END CERTIFICATE-----

12. Enregistrez le fichier de configuration et ajoutez-le à tous les appareils avec lesquels vous souhaitez tester la connexion VPN. Je teste normalement la connexion avec mon téléphone portable, car vous ne pouvez pas être sur le même réseau que votre serveur VPN. Vous DEVEZ le tester à partir d'un réseau externe (le téléphone portable/point d'accès est une excellente option).

6. Configuration et test du client Synology NAS OpenVPN

Maintenant que nous avons tout configuré, nous devons tester notre connexion. Téléchargez le client OpenVPN sur votre téléphone portable ou sur un PC que vous pouvez connecter à un autre réseau. N'oubliez pas que vous devez être connecté à un autre réseau pour tester cela.

13. Téléchargez ici le logiciel client OpenVPN pour votre appareil.

14. Sélectionnez le bouton Ajouter en bas, puis choisissez Fichier . Vous devriez maintenant être invité à rechercher le .ovpn fichier que nous avons créé précédemment. Téléchargez le fichier, puis connectez-vous avec votre nom d'utilisateur et votre mot de passe DSM.

15. Vous devriez pouvoir vous connecter à votre VPN maintenant.

16. Je vais montrer deux exemples ci-dessous. Tout d'abord, je suis connecté à mon serveur VPN à l'aide de ma connexion par tunnel partagé. Vous pouvez voir que mon adresse IP externe est mon réseau mobile (car j'accède à une page Web externe).

17. Dans cette capture d'écran, je suis connecté à mon serveur VPN à l'aide de ma connexion en tunnel complet. Mon adresse IP externe est celle de mon FAI, car tout le trafic est acheminé via mon réseau domestique.

Les connexions VPN à tunnel partagé et à tunnel complet vous permettent d'accéder à vos ressources locales, mais les connexions VPN à tunnel complet doivent être utilisées si vous essayez de sécuriser votre trafic réseau (comme lorsque vous êtes sur un réseau Wi-Fi public) .

7. Configuration de route statique - Configuration de Synology NAS OpenVPN

Cette étape n'est pas nécessaire, sauf si vous avez besoin d'accéder à des appareils VPN depuis votre réseau domestique.

Votre réseau domestique et votre réseau VPN seront sur des sous-réseaux différents, ce qui signifie que vos appareils locaux ne pourront parler qu'aux machines de son sous-réseau (le réseau VPN verra les deux). Pour que votre réseau local communique avec votre réseau VPN (dans mon cas, 192.168.1.X et 10.5.0.X), une route statique devra être configurée dans votre routeur. Je ne peux pas passer en revue les étapes de configuration car chaque routeur est différent, mais vous trouverez ci-dessous une capture d'écran de la route statique que j'ai configurée. L'adresse IP de la passerelle sera l'adresse IP de votre Synology NAS (puisque c'est là que votre VPN s'exécute). Le sous-réseau 10.5.0.0/24 est l'endroit où vous devrez entrer la plage IP que vous utilisez (telle que définie dans les paramètres OpenVPN).

8. Configuration de Synology NAS OpenVPN – Conclusion

Ce fut un long tutoriel qui a traversé de nombreuses étapes. La configuration du serveur VPN de Synology vous permet de vous connecter en toute sécurité à votre réseau domestique pour accéder à votre NAS et aux ressources locales. Il contourne également complètement le besoin de QuickConnect ou l'exposition de votre NAS à Internet (ce qui représente un risque pour la sécurité). Comme avantage supplémentaire, la connexion VPN à tunnel complet sécurise également votre connexion lorsque vous êtes sur des appareils Wi-Fi publics !

Il y a une chose que je veux mentionner en ce qui concerne la sécurité de ce VPN. Synology fait un travail assez médiocre en permettant à l'utilisateur de configurer cela de la manière la plus sécurisée possible. Avec la façon dont cela est configuré, techniquement , vous êtes exposé à une attaque man-in-the-middle. Il y a beaucoup de choses à faire pour que vous soyez exposé à ce type d'attaque, mais je tiens à mentionner que c'est une préoccupation valable. Si la sécurité complète est votre principale préoccupation, j'envisagerais d'implémenter OpenVPN sur un Raspberry Pi ou votre routeur (le cas échéant). L'appareil exécutant OpenVPN n'a pas vraiment d'importance, il doit juste pouvoir configurer facilement les certificats serveur/client.

Si vous avez des questions, n'hésitez pas à les laisser dans les commentaires ! Si vous avez aimé le contenu, partagez-le !


OpenVPN

  1. Configurer l'authentification basée sur OpenVPN LDAP

  2. VPN Kill Switch pour OpenVPN Connect maintenant disponible

  3. Les solutions commerciales OpenVPN ne sont pas affectées par l'exploit Log4Shell (alias Log4j)

  4. Configurer un serveur VPN Linux à l'aide d'OpenVPN - Guide étape par étape

  5. Renforcement du VPN :qu'est-ce que c'est et comment le faire

Comment puis-je créer un transfert d'e-mail dans SolidCP ?

Comment mettre à niveau Ubuntu vers 21.10

Personnalisez votre bureau Linux avec KDE Plasma

Comment installer Ruby on Rails sur Debian 11

Comment installer LAMP sur Ubuntu 14.04

Comment surveiller Nginx à l'aide de Netdata sur Ubuntu 16.04