Un NAS peut permettre d'avoir un VPN pour le consulter à distance.
Là, il faut payer un certificat SSL.
ça évite que quelqu'un mal intentionné aille fouiller dans ton NAS ou dans ton réseau local grâce à des ports ouvert à tord et à travers.
Bonjour
Chez Qnap, c'est comme cela, chez Synlogie, je ne sais pas.
Je sais qu'il existait une société qui délivrait des certificats gratuitement mais il y a eu des problèmes de sécurité
Si tu as une solution, je suis preneur.
Let's Encrypt.
Ou un certificat autogénéré.
Avec quel logiciel ?
De ?
Pour générer un certificat SSL.
Je n'avais pas compris ce qu'était Let's Encrypt
Pas de problème de compromission chez eux
Je regarde ça ce soir: il fait trop beau pour rester derrière un PC
Merci
Bonjour
Pour utiliser un certificat généré par Letsencrypt, il faut avoir certbot d'installé
le package certbot à la mode qnap n'existe pas
Par contre en fouillant dans mon interface d'administration, j'ai trouvé la possibilité d'obtenir un certificat de Letsencrypt, coup de chance.
Il faut donner un nom de domaine pour obtenir le certificat.
N'aillant pas de serveur web à la maison, je n'ai pas pris de nom de domaine.
Avec Knet, il me semble qu'on peut avoir une URL qui pointe vers l'adresse de mon routeur (A vérifier)
Es ce que je pourrais utiliser ça pour remplir ma case "nom de domaine"
Citation de: albert91 le 17 Février 2018 à 12:05:28
Il faut donner un nom de domaine pour obtenir le certificat.
Euh bah c'est le principe en fait d'un certificat, en gros tu lui dis je veux aller chez MR TOTO et ton certificat TOTO répond oui c'est moi TOTO tu peux venir c'est safe ;D
Donc si t'as pas de domaine et que tu attaques ton NAS juste par l'IP ça ne marchera pas !
Dans l'interface knet, on a notre reverse DNS, est ce que ça peut convenir comme domaine ?
c'est du style xxx-xxx-xx-xx.ftth.cust.kwaoo.net
ça me semble bon
J'ai tester ping "mon reverse DNS": ça ping bien l'adresse IP de mon routeur coté Wan, c'est le but je sais
Testé sur mon NAS, la demande de certificat n'aboutis pas, il me dit que le port 80 n'est pas ouvert.
J'ai bien ouvert le port 80 en direction du NAS mais sur le NAS, je n'ai pas de serveur web qui tourne donc rien au bout de ce port 80.
Le but de tout ça est de faire tourner un serveur VPN sur mon NAS et un client VPN sur un PC portable qui pourrait se promener un peu partout, pas de monter un serveur web chez moi.
Il y a bien un certificat par défaut sur mon NAS, mais c'est même certificat que tout le monde, donc pas terrible
Je ne sais pas si nous sommes pas parti sur une fausse piste, la cryto ce n'est pas ma spécialité.
Citation de: albert91 le 17 Février 2018 à 14:17:38
Il y a bien un certificat par défaut sur mon NAS, mais c'est même certificat que tout le monde, donc pas terrible
Non ce n'est pas le même que tout le monde, c'est juste qu'il n'est pas signé par une authorité "publix" donc un navigateur (FireFox) par exemple ne peut pas savoir si c'est vraiment un bon certificat, mais dans le principe si toi tu connais le certificat et que tu dis je lui fais confiance le résultat sera le même à savoir crypter la conversation entre toi et ton NAS.
Dans l'interface, il est indiqué certificat par défault et Qnap indique que le certificat VENDU était plus sécuritaire
Ils ont tout intérêt à avoir une rente tous les ans mais bon ...
Dans l'interface de configuration du serveur VPN, j'ai un paramètre qui me dérange: Groupe des IP des clients VPN
S'il faut mettre l'IP que doit avoir le client, impossible, c'est fonction de l'endroit où je me connecte (wifi publique)
J'ai mis toute la plage des adresse LAN mais sans conviction
Tes clients VPN doivent avoir une adresse dans ton LAN.
C'est ça, il ne faut surtout pas attribuer ce que tu as fait, sinon les clients vont écraser des IP de tes machines et ça sera la cata.
Sinon c'est vrai que c'est plus sécuritaire : tu n'as pas besoin de confirmer une exception de sécurité. Vu que personne ne vérifie le certif dans ce cas, ça peut être un vecteur d'attaque, évité avec un vrai certif.
Ceux qui ont une adresse sur mon LAN, ce sont les machines (adresse IP distribué par le DHCP en fonction de la MAC)
Mais pour la même machine appelant de l'autre bout de la France, elle n'a pas d'adresse sur mon LAN
Le VPN n'est pas dans le routeur, c'est juste entre le NAS et l'extérieur.
Je veux bien mettre l'adresse de la gateway 192.168.1.1 dans l'interface, ça fera une plage d'une seule adresse.
J'ai trouvé cette page
https://www.qnap.com/fr-fr/how-to/tutorial/article/comment-configurer-un-qnap-nas-en-tant-que-serveur-vpn (https://www.qnap.com/fr-fr/how-to/tutorial/article/comment-configurer-un-qnap-nas-en-tant-que-serveur-vpn)
Je vais regarder ça de près.
Citation de: albert91 le 17 Février 2018 à 20:08:14
Ceux qui ont une adresse sur mon LAN, ce sont les machines (adresse IP distribué par le DHCP en fonction de la MAC)
Mais pour la même machine appelant de l'autre bout de la France, elle n'a pas d'adresse sur mon LAN
Le VPN n'est pas dans le routeur, c'est juste entre le NAS et l'extérieur.
Je veux bien mettre l'adresse de la gateway 192.168.1.1 dans l'interface, ça fera une plage d'une seule adresse.
Je pense que tu n'as pas compris ce que tu es entrain de faire.
Tu configures un
serveur VPN, un truc qui te permet d'accéder à ton réseau local.
Et pour accéder à ton réseau local, il te
faut une IP appartenant à ton réseau local.
Donc ton NAS attribue une IP de ton réseau local à tes clients.
Bonjour
OK, je vais donc mettre une plage d'adresse non distribuée par le DHCP.
Ce type de VPN ne donne accès qu'au NAS, l'attribution d'une autre adresse IP ne peut se faire qu'à l'intérieur du NAS pas dans le routeur.
Ce VPN représente avant tout plus une curiosité technique que j'aimerai bien maitriser qu'un besoin, juste pour le fun quoi.
Je l'ai testé une fois avec un client installé sur un PC portable, ça ne fonctionnaire pas, j'avais laissé tombé.
Il y a bien une solution Qnap qui permet à coup sur d'accéder de l'extérieur, elle passe par l'achat d'un certificat et est dépendante de serveur surement chinois.
Pas trop confiance.
La plage d'adresse est prévu pour un réseau classe C, elle est prévue en dur de 2 à 254, partie grisée non modifiable.
Comme l'adressage est interne au NAS et que mon réseau est réduit, il y a très peu de chance d'avoir deux fois la même adresse qui accède au NAS en même temps.
le problème n'est pas là.
Je viens de tester mon client sur mon réseau local en lui donnant l'adresse du NAS, le VPN se connecte
Si je met l'adresse WAN de mon routeur dans la configuration du client, le VPN ne se connecte pas (les 3 ports UDP demandé sont configurés vers le NAS dans le routeur)
L'aller retour dans le NAT ne doit pas plaire ce qui pourrait être normal.
Citation de: albert91 le 18 Février 2018 à 09:40:40
Je viens de tester mon client sur mon réseau local en lui donnant l'adresse du NAS, le VPN se connecte
Si je met l'adresse WAN de mon routeur dans la configuration du client, le VPN ne se connecte pas (les 3 ports UDP demandé sont configurés vers le NAS dans le routeur)
L'aller retour dans le NAT ne doit pas plaire ce qui pourrait être normal.
Mais tu as ouvert sur ton routeur les ports adéquates utilisés par le protocole de ton serveur VPN ?
Je n'ai pas d'Icotera, mais est-ce qu'elle sait faire du Nat Loopback (Hairpin) ?
Pour Titipalm: effectivement les 3 ports UDP qui sont nécessaires sont ouvert.
Je testerais hors de chez moi quand je le pourrais mais je ne voie pas pourquoi ça fonctionnerait plus cette fois que l'autre.
Sur mon NAS, j'ai 3 protocoles possible pour faire du VPN: j'ai pris celui qui me semble bien sécurisé et qui fonctionne avec Windows 10.
Bonsoir
TitiPalm, voici un post où je suis "approximatif"
Remarque quand même que cette fois ci c'est moi qui demande de l'aide.
Je n'ai pas pratiqué la cryptographie et ce n'est pas clair pour moi, personne ne peut tout savoir.
Ce que je ne comprend pas sur les réponses données c'est le fait que le PC qui se connecte de l'extérieur récupère à une adresse locale. je ne vois pas comment chez moi.
Je suis dans un camping, je connecte mon PC portable au wifi du camping, il récupère une adresse au DHCP du camping.
Je lance le VPN que j'ai configuré dans mon PC portable.
Grace au VPN, il récupère une adresse IP sur mon réseau interne (c'est ce que vous m'avez dit).
C'est là que j'ai un problème: le DHCP chez moi est géré par le routeur, le fait d'avoir configuré une plage d'adresse dans le NAS pour le VPN ne fait pas un DHCP.
Je ne pense pas qu'il va donner une adresse a un ordi qui passe au travers du NAT dans les ports ouvert vers le NAS.
Faudrait il que j'arrête le DHCP du routeur pour faire la même configuration sur le NAS (on peut y lancer un serveur DHCP) ?
Vu le nombre d'adresses MAC a transférer, je préfèrerais être certain avant de faire.
Pour ton information, je ne suis pas sur Facebook ou un autre réseau social, je ne raconte pas ma vie à Google