NAS Synology : Serveur OpenVPN

Suite à un précédent article, j’avais parlé d’utiliser votre NAS Synology en tant que serveur VPN pour vous connecter à Jeedom ou sur n’importe quel autre équipement chez vous depuis l’extérieur, que ce soit sur un PC, un Smartphone Android/Ios, un NAS, bref… tout ce qui a une IP quoi :p

Un VPN par simple définition permet de joindre 2 réseaux entre eux afin d’accéder à des ressources de l’un et de l’autre. La communication est plus ou moins sécurisée suivant le protocole utilisé mais ici, nous ne verrons ici que la configuration OpenVPN qui peut fonctionner sur n’importe quelle plate-forme PC/MAC et mobiles, Android/IOS. Une fois connecté, vous pourrez faire ce que vous voulez depuis l’extérieur : accès http sur Jeedom, connexion SSH sur un RPI, etc…

Avant de commencer, je vais vous expliquer pourquoi il est plus sécurisant d’utiliser un VPN plutôt que d’ouvrir les ports 80 (HTTP), 443 (HTTPS) ou un autre port redirigé vers votre Jeedom. Il faudra bien sur rediriger le port 1194 pour qu’OpenVPN fonctionne mais ça sera beaucoup plus sécurisé vous verrez !

En redirigeant les flux de l’extérieur depuis un port 80, 443 ou un autre port, vous ouvrez une porte béante sur votre réseau local. D’une, vous ne filtrez rien car tout sera redirigé quelque soit l’adresse IP source et deux, une personne malveillante saura exactement quelle faille exploiter si elle veut rentrer.

Avec OpenVPN, uniquement le port 1194 en UDP sera à rediriger vers l’adresse IP locale de votre NAS Synology. Pas de port 80 (HTTP) ni 443 (HTTPS) ni 8080 ou autre port. Un seul port ! Vous pourrez ensuite vous connecter sur l’interface de Jeedom avec votre identifiant mot de passe.

Allez on regarde tout ça !

Configuration du VPN Server

Connectez-vous sur DSM puis dans le le Centre de Paquets –  Rubrique Utilitaires, sur le paquet VPN Server, cliquez sur Installer.

A la fin de l’installation, si vous avez le pare-feu du NAS d’activé, vous aurez une fenêtre vous demandant d’autoriser certains ports. Dans notre cas, il faut laisser uniquement le 1194 correspondant à OpenVPN et valider par OK.

Dans le menu principal icône en haut à gauche, lancer le menu VPN Server puis Paramètres Généraux.

Choisissez votre interface, décochez « Accorder le privilège… » pour éviter d’autoriser tous les nouveaux comptes sur le VPN. Enfin, configurez le blocage automatique suivant votre convenance pour éviter le brut force Exemple chez moi :

Dans Privilèges, cocher uniquement les comptes locaux sur le Synology qui auront accès au VPN. Bien entendu, les comptes qui ont accès à OpenVPN doivent avoir un vrai mot de passe (Majuscules, minuscules, chiffres, caractères spéciaux, etc…). Le mieux est d’utiliser un compte non admin afin de faire la connexion VPN.

Dans la partie OpenVPN, nous allons tout d’abord activer le service et configurer plusieurs éléments :

  • Indiquer une adresse IP qui sera l’adresse attribuée à l’équipement distant une fois la connexion établie
  • Le nombre maximal de connexions simultanées. Minimum 5 chez moi.
  • Nombre maximal de connexions par utilisateur. Une seul connexion par compte utilisateur.
  • Le port 1194 en UDP
  • Le chiffrement. Suivant votre version de DSM, vous aurez plus ou moins de choix possible. Pour le chiffrement, j’ai choisi AES-128-CBC.
  • Authentification. De même. Ici préférez une authentification connue comme SHA1 ou SHA256 voir SHA512.
  • Cocher « Activer la compression »
  • Cocher « Autoriser aux clients l’accès au serveur LAN ».
  • Valider 🙂

Le serveur OpenVPN est prêt. Et là, vous aurez la possibilité de cliquer sur le bouton « Exporter la configuration ». A quoi sert ce bouton ? Et bien vous allez pouvoir récupérer la configuration directement dans un fichier ainsi que le certificat, le tout à importer dans OpenVPN sur Android/Ios par exemple et il ne restera plus qu’à inscrire votre identifiant et votre mot de passe utilisateur.

Configuration de votre routeur

Dans cette partie, je ne vais pas pouvoir détailler toutes les box/routeurs possibles. Il faut tout simplement rediriger le port 1194 en UDP vers votre adresse IP local correspondant à votre NAS Synology. Et vous pourrez ensuite supprimer vos redirections d’avant.

Sur certaines box, penser à rebooter.

Configuration avec Android :

Sur le Play Store, installer OpenVPN Connect sur votre smartphone Android :

 

Avant de vous envoyer les fichiers contenus dans le Zip par mail pour les avoir sur votre smartphone, éditer le fichier VPNConfig.ovpn et indiquer votre adresse IP publique. Si vous avez un nom de domaine, vous pouvez très bien faire une redirection vers votre IP publique avec un champs A ou CNAME de la forme acces-vpn.domoteek.fr. Si votre adresse IP n’est pas fixe, utiliser un service comme No-IP qui permettra de vous connecter chez vous en utilisant une URL de la forme domoteek.ddns.net.  Il vous faudra pour finir paramétrer l’agent sur votre Synology dans Panneau de configuration –> Accès Externe –> DDNS.

Dans OpenVPN Connect, il va falloir importer le fichier VPNConfig.ovpn. En haut à droite, aller dans le menu puis Import puis Import Profile from SD Card :

Aller choisir votre fichier VPNConfig.ovpn qui doit être dans le dossier Download. Indiquer votre identifiant et mot de passe. Cocher Save si vous le souhaitez. Faire « Connect » et installer le certificat ca.crt.

 

Voilà ce que ça donne ensuite si je veux accéder à mon serveur LMS par exemple avec l’adresse IP locale.

 

Conclusion

Vous pourrez désormais vous connecter depuis votre smartphone directement sur votre réseau local. Un peu plus de sécurité que d’ouvrir les ports et les rediriger vers vos différents équipements. Pour accéder à l’interface de Jeedom par exemple, il faudra connaitre la configuration OpenVPN, votre identifiant/mdp et enfin l’identifiant/mot de passe de Jeedom. Autre point sécuritaire au niveau des robots sniffers qui ne verront que le port 1194 d’ouverts sur votre IP et non plus le port 80, 443, etc…

Autre bon point avec OpenVPN c’est qu’il fonctionne avec toute plateforme : Windows, MAC, Linux et les smartphones Android/iOS. Pour Mac et Ipad, utilsez plutôt TunnelBlick. Enfin, sur iPhone, il faudra très certainement activer l’option « Force AES-CBC ciphersuites » non pas dans OpenVPN mais dans vos paramètres généraux.

Pour les environnements professionnels, ce n’est pas dit que vous puissiez réussir à vous connecter avec les différents pare-feu et autres règles de sécurités, de même que sur certains points d’accès WiFi public restrictifs.

Pour pousser encore plus loin la sécurité, dans cette configuration nous passons par les certificats de Synology, vous pouvez très bien utiliser votre propre certificat comme avec StartSSL qui propose des certificats SSL gratuits pour 3 ans. Personnellement, je ne le ferai pas car j’estime que mon réseau n’est pas la NASA et pas besoin d’autant de sécurité… quoique…  😉

Pour finir, il y a peut être des éléments manquants dans le tuto car j’ai fait pas mal de manipulations différentes avec mon smartphone alors n’hésitez pas si besoin.

10 pensées sur “NAS Synology : Serveur OpenVPN

  • 9 mars 2017 à 21 h 12 min
    Permalink

    Super tuto !
    Tu m’avais déjà aidé à faire tout cela par mail à l’époque, mais maintenant je vais pouvoir peaufiner tout ça car tu donnes beaucoup de détails pertinent !
    Thxxx

    Répondre
    • 9 mars 2017 à 23 h 01 min
      Permalink

      Merci à toi 🙂

      Par mail j’avais pas poussé autant en effet 🙂

      Répondre
  • 14 mars 2017 à 9 h 44 min
    Permalink

    merci pour le tuto c’est très pratique pour se connecter en toute sécurité.
    j’ai bien galéré avec ma box par contre pour ouvrir le port que tu indique

    Répondre
  • 16 mars 2017 à 14 h 49 min
    Permalink

    Bonjour,

    super tuto, j’ai pu affiner ma configuration avec vos précisions

    Juste une question (voir si vous avez le même problème)
    => je me connecte avec un compte dédié VPN depuis mon smartphone en 4G => connexion OK, je peux bien aller sur mon RPI (/domotique), sur DS cam, DS finder …
    => quand j’essaie par contre d’aller sur les applications mobiles DS Photo ou DS files, impossible de me connecter (pourtant j’ai bien activé la case « Autoriser aux clients l’accès au serveur LAN »)

    Par contre quand je suis en wifi sur mon smartphone, aucun souci j’accède à toutes les applis syno sans pb

    => auriez-vous une idée ? c’est un truc qui me rend fou…

    Merci

    Répondre
    • 16 mars 2017 à 19 h 56 min
      Permalink

      Bonjour,

      Je n’ai pas testé mais je testerai et te ferais le retour ce week end.
      Je pense que l’aplication ne passe pas par le VPN. A tester.

      Répondre
  • 19 mars 2017 à 18 h 52 min
    Permalink

    Je viens de tester et depuis le VPN, j’ai bien accès à DS photo. J’ai mis mon IP locale du NAS pour y accéder et aucun pb.

    Dans la partie pare-feu du NAS, n’aurais-tu pas mis que certaines IP à accéder à certains ports/appli ?

    Répondre
    • 20 mars 2017 à 9 h 59 min
      Permalink

      Merci pour ton retour

      Non, j’ai même essayé en désactivant les pare-feu du NAS et celui de la Box (donc en mode totalement open / juste pour tests) => toujours KO
      Le fonctionnement interne de DS Photo est différent des autres applis car Photostation tourne en 443 (si https activé) ou 80 (si http only) car exposé depuis un serveur apache dans le syno, mais sans firewall çà devrait passer sans souci…

      Je suis en 6.0.2 et vais migrer en 6.1 dès que possible

      Répondre
      • 20 mars 2017 à 12 h 00 min
        Permalink

        Perso je suis en 6.1 Update 1 (dernière maj)

        Si tu veux on peut continuer par mail.
        Arrives-tu à pinguer ton NAS depuis le VPN et arrives-tu ensuite à accéder au NAS depuis l’interface web depuis le VPN tjs ?

        Répondre
  • 23 mars 2017 à 0 h 59 min
    Permalink

    Salut,

    Super tuto bien détaillé !
    Je pensais passer par un RPI avec pivpn mais cette solution par le NAS me plait bien pour éviter l’install d’un nouvel équipement.

    Par contre, je suis bloqué rapidement sur un truc tout bête..
    Le serveur oblige la configuration de l’IP locale au format XXX.XXX.XXX.1 et la configuration FREE oblige une IP de redirection au format 192.168.0.XXX et 192.168.0.1 est déjà utilisée (je ne sais pas par quoi mais j’ai un message d’erreur lorsque je tente de la configurer au niveau du serveur VPN)

    quelqu’un connaît une solution de contournement pour gérer ce problème ?

    Merci.

    Répondre
    • 23 mars 2017 à 14 h 01 min
      Permalink

      En fait, il faut rediriger vers l’adresse IP local de ton NAS et non pas vers l’IP que tu définis pour la plage d’IP d’OpenVPN.

      Exemple, je redirige chez moi vers le 192.168.1.10 et en VPN j’ai par exemple 172.16.0.1

      Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *