Les NAS Synology sont de très belles machines intégrant des fonctionnalités très intéressantes. Nous allons parler de la fonction serveur VPN, et notament OpenVPN.
Le serveur OpenVPN est intégré maintenant par défaut, il suffit donc de l’activer. Par contre, dans la configuration part défaut, il n’est pas possible de modifier le port d’écoute ni le protocole. Mais rassurez-vous, même si via l’interface web, on ne peut le faire, en cli c’est très facile.
Connectez vous en ssh sur votre NAS Synology, puis éditer à l’aide de vi le fichier de conf d’OpenVPN :
vi /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf
et ajouter 2 lignes :
proto tcp port 443
Ce qui vous donne le fichier de conf suivant :
push "route 192.168.1.0 255.255.255.0" push "route 10.8.0.0 255.255.255.0" dev tun # les lignes à ajouter manuellement port 443 proto tcp management 127.0.0.1 1195 server 10.8.0.0 255.255.255.0 dh /var/packages/VPNCenter/target/etc/openvpn/keys/dh1024.pem ca /var/packages/VPNCenter/target/etc/openvpn/keys/ca.crt cert /var/packages/VPNCenter/target/etc/openvpn/keys/server.crt key /var/packages/VPNCenter/target/etc/openvpn/keys/server.key max-clients 3 persist-tun persist-key verb 3 #log-append /var/log/openvpn.log keepalive 10 60 reneg-sec 0 plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf client-cert-not-required username-as-common-name duplicate-cn
Ensuite, vous redémarrer le serveur OpenVPN.
Vous pouvez maintenant vous connecter en VPN à votre NAS. Ah oui, petite précision, il faut modfier le fichier de configuration que vous exportez de l’interface web de votre Synology. Voici ce que vous devez obtenir :
dev tun tls-client ### Ajouter votre adresse IP Publique et le port choisi - ici 443 remote VOTRE_IP_PUBLIQUE 443 proto tcp-client auth-nocache # The "float" tells OpenVPN to accept authenticated packets from any address, # not only the address which was specified in the --remote option. # This is useful when you are connecting to a peer which holds a dynamic address # such as a dial-in user or DHCP client. # (Please refer to the manual of OpenVPN for more information.) #float # If redirect-gateway is enabled, the client will redirect it's # default network gateway through the VPN. # It means the VPN connection will firstly connect to the VPN Server # and then to the internet. # (Please refer to the manual of OpenVPN for more information.) #redirect-gateway # dhcp-option DNS: To set primary domain name server address. # Repeat this option to set secondary DNS server addresses. #dhcp-option DNS DNS_IP_ADDRESS pull script-security 2 ca ca.crt comp-lzo reneg-sec 0 auth-user-pass
Enjoy.