Créer une connexion VPN sur votre Nas Synology sous DSM 7

VPN

Le constructeur Synology offre avec ses NAS son fameux système d’exploitation DiskStation Manager (DSM) propriétaire basé sur Linux. La dernière version – pas encore sortie – (prévue pour septembre 2021) DSM 7 apporte une refonte quasi totale du design et du fonctionnement. Nous allons voir aujourd’hui comment configurer VPN Server sur le nouveau DSM 7 de Synology. Ce tutoriel fonctionne aussi sous DSM 6, peu de choses changent niveau configuration (moins de paramètres sous DSM 6).

Comme son nom l’indique, le paquet VPN Server permet d’utiliser son NAS comme un serveur VPN.

VPN pour Virtual Private Network, un réseau privé virtuel en français. Je suppose qu’avec toutes les pubs que l’ont voit pour NordVPN et autres, vous commencez à connaître le fonctionnement, non.. ?

Pour ceux qui sont totalement passés à côté, un VPN permet de créer un tunnel chiffré entre une machine (un client) et un serveur. Le chiffrement par clé, permet ainsi de rendre tout ce qui transite entre ces deux machines techniquement inviolables (dépend du chiffrement et du protocole utilisé. Après le risque zéro…). C’est alors au serveur de récupérer les requêtes émises par le client et de faire la faire transiter au site web ou au serveur local de votre domicile /société.

Avec à votre NAS Synology il est tout à fait possible de l’utiliser comme serveur VPN afin d’atteindre notre réseau local partout dans le monde, ou de simuler notre localisation à l’endroit du serveur (car c’est lui qui exécute vos requêtes sur le réseau HTTP).

Synology nous facilite la configuration et vous allez voir que ça reste à la portée de tout le monde.

Temps de réalisation : ~30 minutes.

1 – Prérequis

  • Un NAS Synology avec la version à jour de DSM
  • Un nom de domaine actif sur votre NAS. Vous vous n’en avez pas, vous pouvez en obtenir un gratuit sur noip.com.
  • Le paquet VPN Server installé sur le NAS. Il suffit de le télécharger depuis le centre de paquets)
  • Un accès à la console d’administration de sa Box internet, afin d’effectuer l’ouverture de port pour un accès depuis l’extérieur
  • Un logiciel client VPN : OpenVPN sous Windows, ou Tunneblick sous MacOS

2 – Configuration de votre Box internet

Avant de commencer la configuration du VPN sous votre NAS Synology. Il faut d’abord définir sur quel port il sera possible de se connecter au NAS (par le biais du client VPN).

Pour cela je ne vais pas pouvoir lister les étapes pour chacune des Box internet qui existe en France ou ailleurs.

Je vais vous montrer la manipulation sous une Box Freebox (la mini 4K).

Configuration Freebox

Pour commencer, il faut se connecter à la console d’administration de la box. Pour Free, il suffit d’aller sur ce lien :

🔗 : http://mafreebox.freebox.fr/login.php

Ensuite, une fois connecté, il faut cliquer sur “Paramètres de la Freebox“. Cela permet d’accéder à la configuration des ports de la box.

Menu de la Box Free
Menu Freebox

Dans la fenêtre qui s’ouvre, allez dans l’onglet “Mode avancé“. Une fois dans ce mode cliquez sur “Gestion des ports“.

Gestion des ports sur la Freebox
Gestion des ports

Après avoir cliqué sur “Ajouter une redirection“, renseignez les différents champs sur la pop-up :

Création de la redirection de port
Création de la redirection de port
  • IP Destination : l’adresse IP sur laquelle vous allez faire la redirection (votre NAS Synology).
  • Redirection active : cochée, cela permet d’activer la redirection du port vers l’IP de destination.
  • IP Source : choisissez sur “Toutes”.
  • Protocole : choisir UDP*.
  • Port de début / Port de fin : port sur lequel notre client (ordinateur) se connectera VPN Server (depuis l’extérieur du domicile).
  • Port de destination : port sur lequel sera configuré VPN Server sur notre NAS Synology.
  • Commentaire : recommandé d’ajouter un petit commentaire afin de ne pas se perdre dans la redirection des ports.

*UDP : Choisir le protocole UDP permet de se passer de la vérification des paquets envoyés/reçus (TCP), on améliore la rapidité de connexion entre les deux machines. Dans le cas d’un VPN, on privilégie la rapidité du flux de connexion.

Uns fois la redirection de port configurée, cliquez sur “sauvegarder”. Vous devriez arriver sur la page d’avant avec votre redirection ajoutée.

Redirection de port effectué
Redirection de port effectué

C’est terminé pour la configuration de la Box. Place à la configuration de VPN Server !

3 – Configuration de VPN Server sous DSM 7

Avant de commencer l’installation il faut bien entendu que le paquet VPN Server sous DSM soit installé. Je ne vais pas détailler la manip; il suffit juste de se rendre dans le centre des paquets et de télécharger VPN Server.

VPN Server

Une fois le paquet téléchargé et installé que le NAS, ouvrez-le :

VPN Server sous Synology DSM 7
VPN Server sous Synology DSM 7

Une fois le VPN Server ouvert on se retrouve avec trois choix de VPN : PPTP, OpenVPN et L2TP.

  • PPTP pour Point-To-Point Tunneling Protocole, c’est un protocole développé par Microsoft dans les années 2000. Il est encore utilisé de nos jours car on le retrouve nativement sous les Windows & Windows Server. Cependant comme il commence à dater, nous n’allons pas configurer celui-ci. (lien Wikipédia)
  • OpenVPN : Permet de créer un VPN à partir de deux machines (minimum) avec une connexion faite sous forme de clé (certificat) partagé à l’avance. C’est le plus utilisé aujourd’hui et c’est celui-ci que nous allons développer. (lien Wikipédia)
  • L2TP pour Layer 2 Tunneling Protocole, c’est un protocole sorti dans les années 1999 et il utilise une connexion IP/UDP sous un port en particulier (par défaut le 1701). Comme le PPTP nous n’allons pas le parcourir, trop ancien. (lien Wikipédia)

L’aparté étant fait sur les différents protocoles, passons à la configuration de OpenVPN.

Configuration de OpenVPN

Pour configurer OpenVPN, c’est simple il suffit de cliquer sur “OpenVPN” dans la partie inférieure gauche sous “Configuration de VPN Server” :

Configuration de OpenVPN sous VPN Server
Configuration de OpenVPN sous VPN Server

Une fois “Activer le serveur OpenVPN”, coché vous pouvez définir les paramètres suivants :

  • Adresse IP dynamique : l’IP que prendra votre connexion une fois connectée au serveur VPN (votre NAS)
  • Nombre de connexions maximales : nombre maximal de connexions que vous autorisez en simultanés sur votre serveur VPN.
  • Nombre maximum de connexions d’un compte : nombre de connexions maximales autorisées sous le même compte Synology
  • Port : le port de votre serveur VPN (port externe de votre réseau)
  • Protocole : le protocole utilisé pour se connecter au serveur (UDP conseillé)
  • Chiffrement : le niveau de chiffrement que vous souhaitez établir sur vos connexions (AES-256-CBC recommandé)
  • Authentification : le chiffrement pour l’authentification au serveur (SHA512 recommandé)
  • Valeur de l’option Mssfix : la taille maximale des paquets UDP qui transiteront sur le serveur. Permets de garantir une couche de sécurité supplémentaire.

Enfin pour les trois cases à cocher, ne cochez que la deuxième si vous souhaitez pouvoir accéder à votre réseau local quand vous êtes connecté en VPN à votre serveur (aux IP 192.168…).

Sans trop rentrer dans le détail mais :

  • la première case, permet de compresser les paquets afin d’améliorer la rapidité du trafic, mais elle comporte deux problèmes. Elle consomme davantage de ressource système (traitement de la compression), et elle est aussi considérée par certains comme une faille de sécurité.
  • La dernière concernant l’IPv6, permet à OpenVPN d’envoyer des Ipv6 aux clients. Mais attention il faut dans un premier temps activer la prise en charge sur le système.

Exportation de la configuration

Une fois la configuration terminée il ne reste plus qu’a exporter la configuration du serveur (afin d’obtenir la clé/certificat – on n’oublie pas 😉 – requise par le client pour faire le lien entre les deux machines).

Pour récupérer le .ZIP avec la configuration, il faut juste cliquer sur “Exporter la configuration” :

Exportation de la configuration OpenVPN depuis VPN Server
Exportation de la configuration OpenVPN depuis VPN Server

4 – Configuration du logiciel client VPN

Un fois la configuration exportée, vous allez vous retrouver avec un .ZIP contenant 3 fichiers

  • Un fichier ca.crt : un certificat
  • Un README.txt : un fichier d’info
  • Un VPNConfig.ovpn : le fichier de configuration pour un client OpenVPN. C’est celui-ci que nous allons éditer.

Avant de commencer le paramétrage du fichier il faut installer sur son poste un client VPN.

Vous avec le choix mais je conseille Tunneblick sous macOS et OpenVPN sous Windows

  • Lien pour télécharger Tunnelblick : ici
  • Lien pour télécharger OpenVPN : ici

Paramétrer le fichier VPNConfig.ovpn

Ouvrez le fichier VPNConfig.ovpn avec un IDE ou un NotePad++/ Bloc-note/ etc.

Il va falloir modifier deux lignes :

Fichier de configuration de OpenVPN
Fichier de configuration de OpenVPN

Il va falloir changer la ligne qui contient :

remote YOUR_SERVER_IP 7997

Remplacez le YOUR_SERVEUR_IP, par votre nom de domaine, ou votre adresse IP public (celle de votre box dans la plupart des cas).

Exemple :

remote ilyaptech.fr 7997

⚠️ : Ne pas oublier d’ouvrir uniquement le port du VPN sur sa box (ici le 7997). Le fait d’ajouter un nom de domaine qui renvoie vers l’adresse IP public de la box, expose à des risques d’attaque de personne malveillante.

Une fois cette ligne modifiée, vous pouvez quitter et essayer. Votre VPN fonctionne.

Mais on peut avant de quitter décocher une option dans ce fichier qui permet de rediriger l’intégralité du trafic qui transite sur son client vers son serveur. utilse si on veut exclusivement passer par la connexion du NAS Synology.

Pour ce faire, il suffit d’enlever le “#” qui se trouve devant la ligne :

# redirect-gateway def1

Exemple :

redirect-gateway def1

Vous pouvez enregistrer ce fichier VPNConfig.ovpn.

Installation de la configuration sur le VPN client

Dernière étape de ce tutoriel, l’intégration du fichier dans le logiciel VPN client.

Pour ce faire il suffit juste d’ouvrir le fichier VPNConfig.ovpn que vous venez d’enregistrer avec votre client VPN.
Il se chargera d’intégrer la configuration de votre VPN.

Si besoin, installez le deuxième fichier ca.crt, sur votre poste pour ne pas avoir d’erreur de certificat.

C’est fini, vous avez accès à votre NAS Synology depuis où vous voulez !


Marc 🐥
Fondateur de ilyaptech


Entrepreneur, passionné de tech, j’aime toucher à tout et tester pleins de choses. Jamais loin des nouveautés surtout quand ça concerne la tech ou l’automobile. Apple addict à mes heures perdues.

Merci à vous.

N’hésitez pas à intervenir si vous avez des questions dans les commentaires.

⚠️ : Les commentaires doivent rester courtois et agréable.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments