Nous allons voir aujourd’hui, comment configurer et utiliser le serveur VPN de Synology. Ce sujet n’a jamais été autant d’actualité et vous allez voir qu’un simple NAS vous permettra de mettre en place une solution de télétravail pour vos employés ou encore vous permettra de sécuriser l’accès à votre NAS.
C’est quoi un VPN ?
Alors attention, à ne pas tout mélanger, car le VPN a été beaucoup démocratiser pour se protéger sur internet ou encore pour télécharger vos séries préférées sans vous faire attraper par Hadopi. Cependant, ici l’utilisation ne sera pas vraiment la même nous n’allons pas parler de VPN commercial, mais plutôt de VPN d’entreprise. Ici c’est une solution VPN Client to Site, qui nous permettra de nous connecter à notre NAS, mais également à l’ensemble de son réseau à travers un tunnel chiffré et sécurisé.
Pourquoi un VPN ?
Un VPN peut avoir de multiple utilisation, dans notre cas, la mise en place d’un VPN nous permettra par exemple de sécuriser le flux entre l’ordinateur où je suis connecté et mon NAS. Ainsi, cela sécurise grandement la connexion vers mon NAS. Mais ce n’est pas la seule raison. L’utilisation du VPN sur un NAS pourra également si on le souhaite permettre d’avoir accès à l’intégralité sur réseau sur lequel il se trouve. Ainsi, vous aurez accès aux autres périphériques réseau, tels que d’autres serveurs, PC ou système d’impression. Indispensable pour le télétravail !
Comment installer et configurer un serveur VPN sur Synology
Aujourd’hui nous allons voir comment installer et configurer une solution de VPN à l’aide d’un serveur NAS Synology. Il faudra donc bien évidemment, posséder un NAS Synology. Personnellement j’ai un DS920+, mais nombreux de mes clients utilisent l’option VPN avec des plus petits modèles, comme l’excellent DS220+ ou DS720+ ! Au choix, il y en a pour toutes les bourses et tous les besoins !
Installation de l’application VPN Server
Ici rien de compliqué et c’est d’ailleurs la force de Synology, la simplicité et son magasin d’application conséquent. Direction donc le Centre de paquet pour lancer l’installation de « VPN Server« .
Configuration de l’application VPN Server
Maintenant que l’application est installée, lancer là. Vous avez ici plusieurs protocoles possibles :
- PPTP : Protocole très peu sécurisé et obsolète, à proscrire
- OpenVPN : Rapide et sécurisé mais nécessite l’installation du client OpenVPN
- L2TP / IPSEC : Théoriquement sécurisé et dispo sur tous les systèmes en natif. Plus compliqué pour contourner les pare-feu et moins rapide qu’OpenVPN.
Aujourd’hui nous parlerons d’OpenVPN et je reviendrai vers vous avec un guide pour le L2TP/IPSec.
Depuis l’interface VPN Server de Synology, vous pouvez octroyer les droits à vos utilisateurs. Ainsi, il sera possible d’autoriser ou non la connexion via VPN.
Depuis le panneau « Privilège« , sélectionner le ou les utilisateurs ainsi que le protocole autorisé à être utilisé. Dans mon cas, l’utilisateur zerobug est autorisé à utiliser OpenVPN.
Place maintenant à la configuration d’OpenVPN sur votre NAS Synology.
Depuis la panneau « OpenVPN« , vous allez pouvoir choisir quelques options en fonction de vos besoins.
- Adresse IP Dynamique : C’est ici le réseau du tunnel, mais également l’adresse ip de votre NAS lorsque vous serez sous VPN.
- Nombre de connexions max : Vous pouvez ici réguler le nombre de connexions sur votre serveur VPN
- Nombre maximum de connexions d’un compte : Cela permet ici de limiter le nombre de connexions par compte
- Port : Port utilisé pour votre tunnel VPN, par défaut 1194 sous OpenVPN, mais peut être modifié.
- Protocole : Protocole utilisé, UDP étant le protocole par défaut d’OpenVPN
- Chiffrement : Méthode de chiffrement utilisé
- Authentification : Chiffrement pour l’authentification
- Activer la compression sur la liaison VPN : Cette option permet d’augmenter la vitesse de transmission, mais risque de consommer davantage de ressources système.
- Autoriser aux clients l’accès au serveur LAN : Cette option permet d’autoriser les clients à accéder au LAN du serveur ou non. Par exemple si vous souhaitez laisser l’accès aux autres serveurs, imprimantes du LAN distant, il faudra autoriser l’accès au LAN.
- Activer le mode serveur IPv6 : Permet d’autoriser OpenVPN à envoyer des adresses IPV6.
- Exporter la configuration : Une des options les plus importantes puisqu’elle vous permettra de lancer l’export de votre configuration afin de l’utiliser sur votre client VPN.
L’export vous permet de récupérer les fichiers de certificat pour le serveur VPN et également le fichier de configuration openvpn.ovpn pour le client. Dans ce guide, nous n’utiliserons pas le certificat.
Maintenant que notre serveur VPN est configuré, place à la configuration de notre client OpenVPN. Vous pouvez installer OpenVPN sur Windows, Linux, MacOS ou encore sur votre smartphone, globalement, ce sera la même méthode sur toutes les plateformes.
Configuration d’OpenVPN
Dans notre cas, nous testerons sur Windows 10.
Attention, pour tester correctement votre VPN, il est nécessaire de faire le test en dehors de votre réseau ou est installé le serveur VPN.
Ici, c’est surtout le fichier ovpn qui va nous intéresser, c’est lui qui stocke toute la configuration du client VPN, cependant, il y a quelques petites modifications à faire avant que tout soit parfait et fonctionnel.
Éditer votre fichier ovpn avec l’éditeur de texte de votre choix.
Voici les quelques lignes que vous pouvez modifier :
- remote YOUR_SERVER_IP 1194
-Ici, ajouter l’adresse ip externe de votre serveur NAS ou encore le nom de domaine, attention, si vous avez une adresse ip dynamique (comme chez orange) pensez à utiliser le DDNS de Synology. - #redirect-gateway def1
Cette fonctionnalité va vous permettre de faire du Full Tunelling il est donc nécessaire de comprendre la notion de Full Tunelling et Split tunneling pour toucher à cette option.
Le Split Tunnel va diviser votre trafic Ethernet avec un morceau qui va vers votre entreprise et un autre vers Internet. L’objectif principal du split-tunneling est simplement de donner à vos employés la possibilité d’utiliser internet sans passer par le réseau de l’entreprise et donc de pouvoir naviguer sans problème, regarder des films, ect… Mais cela permet aussi d’éviter de surcharger le trafic de votre VPN. Si vous déployer du Split Tunneling, c’est bien évidemment, moins sécurisé également.
Maintenant, vous l’avez peut être compris, le Full Tunneling, lui va tout faire passer via le tunnel, que ce soit le trafic pour accéder à vos serveurs du bureau, impression, mais aussi cette fois le trafic internet de type navigation, streaming, ect.. (en fonction de ce qui est autorisé sur votre réseau).
Maintenant que vous avez compris la différence entre split et full tunneling, vous pouvez ou non décommenter la ligne #redirect-gateway def1
Si vous la décommenter, alors vous passez en mode « Full Tunneling« .
Dans notre cas, il ne sera pas nécessaire de toucher au reste. Vous pouvez enregistrer votre fichier de configuration OpenVPN et passer à l’import sur votre client.
Installation et configuration du client OpenVPN
Le client OpenVPN étant compatible Windows, Linux, macOS, iOS et Android, il faudra adapter cette procédure.
Dans notre cas, nous prendrons l’exemple d’une installation sur Windows 10. Commencer par télécharger le client OpenVPN pour Windows.
Télécharger le client OpenVPNInstaller le client, rien de particulier ici.
Importer votre fichier OVPN fraichement configuré, soit en effectuant un glisser déposé, soit en cliquant sur « File » puis « Browse ».
Vous pouvez ici ajouter l’identifiant de votre compte VPN ainsi que sauvegarder le mot de passe si vous le souhaitez. L’ajout d’un certificat est également possible, mais nous ne verrons pas cette étape dans cet article. Cliquez sur « Add » une fois les champs remplis.
Vous voilà prêt à lancer la première connexion sur votre serveur VPN Synology. Pour cela, basculer l’interrupteur sur ON !
Si vous n’utilisez pas de certificat alors vous aurez certainement le message « Connection Error – Missing external certificate« . Pas de panique, vous pouvez tout de même continuer. Et si ce message vous agace, il est possible de le « bypasser » en ajoutant la ligne suivante à votre fichier de configuration « .ovpn ».
setenv CLIENT_CERT 0
Vous voilà maintenant connecté à votre serveur VPN !
Dans le cas où vous n’avez pas coché la case pour avoir accès à tout votre LAN, alors il faudra accéder à votre NAS via l’adresse IP affichée dans la configuration de VPN Server Synology. Dans mon cas, 10.8.0.1
Nous avons vu ensemble comment utiliser son serveur Synology en tant que VPN avec OpenVPN, j’espère que cet article vous sera utile. N’hésitez pas à utiliser les commentaires si vous avez des questions à ce sujet.
Et si vous avez un serveur QNAP…
Si vous n’avez pas de serveur NAS Synology mais un Qnap il est aussi possible de mettre en place un serveur VPN facilement. N’ayant pas de QNAP sous la main je vous conseille de jeter un oeil sur le guide de Tutos-Info qui vous permettra d’installer un serveur VPN sur un NAS Qnap facilement.
Bonjour super tuto indispensable !
Par contre quelques fois j’ai un message « impossible de trouver l’adresse DNS du serveur »
Avez vous une idée d’où cela peut il venir ?
Merci à vous pour cette excellente explication !
Bonjour, j ai suivi toutes les étapes mais je me retrouve avec une connexion qui échoue et dans la liste des connexions sur le nas j’ai bien la trace des tentatives mais avec UNDEF dans la liste des identifiants