NAS Synology OpenVPN : changer le port d’écoute par défaut

Les NAS Synology sont de très belles machines intégrant des fonctionnalités très intéressantes. Nous allons parler de la fonction serveur VPN, et notament OpenVPN.

Le serveur OpenVPN est intégré maintenant par défaut, il suffit donc de l’activer. Par contre, dans la configuration part défaut, il n’est pas possible de modifier le port d’écoute ni le protocole. Mais rassurez-vous, même si via l’interface web, on ne peut le faire, en cli c’est très facile.

Connectez vous en ssh sur votre NAS Synology, puis éditer à l’aide de vi le fichier de conf d’OpenVPN :

vi /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf

et ajouter 2 lignes :

proto tcp
port 443

Ce qui vous donne le fichier de conf suivant :

push "route 192.168.1.0 255.255.255.0"
push "route 10.8.0.0 255.255.255.0"

dev tun
# les lignes à ajouter manuellement

port 443
proto tcp
management 127.0.0.1 1195
server 10.8.0.0 255.255.255.0
dh /var/packages/VPNCenter/target/etc/openvpn/keys/dh1024.pem
ca /var/packages/VPNCenter/target/etc/openvpn/keys/ca.crt
cert /var/packages/VPNCenter/target/etc/openvpn/keys/server.crt
key /var/packages/VPNCenter/target/etc/openvpn/keys/server.key
max-clients 3
persist-tun
persist-key
verb 3
#log-append /var/log/openvpn.log
keepalive 10 60
reneg-sec 0
plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf
client-cert-not-required
username-as-common-name
duplicate-cn

Ensuite, vous redémarrer le serveur OpenVPN.

Vous pouvez maintenant vous connecter en VPN à votre NAS. Ah oui, petite précision, il faut modfier le fichier de configuration que vous exportez de l’interface web de votre Synology. Voici ce que vous devez obtenir :

dev tun
tls-client
### Ajouter votre adresse IP Publique et le port choisi - ici 443 
remote VOTRE_IP_PUBLIQUE 443 
proto tcp-client 
auth-nocache 
# The "float" tells OpenVPN to accept authenticated packets from any address, 
# not only the address which was specified in the --remote option. 
# This is useful when you are connecting to a peer which holds a dynamic address 
# such as a dial-in user or DHCP client. 
# (Please refer to the manual of OpenVPN for more information.) 
#float # If redirect-gateway is enabled, the client will redirect it's 
# default network gateway through the VPN. 
# It means the VPN connection will firstly connect to the VPN Server # and then to the internet. 
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway # dhcp-option DNS: To set primary domain name server address. 

# Repeat this option to set secondary DNS server addresses. 

#dhcp-option DNS DNS_IP_ADDRESS 
pull script-security 2 
ca ca.crt 
comp-lzo 
reneg-sec 0 
auth-user-pass

Enjoy.

Auteur/autrice : Mathias

Qui suis-je ? Je travaille dans les télécoms et réseaux depuis 1996 (oui, le siècle dernier). Je suis ingénieur en génie électrique et informatique industrielle réseaux et télécoms. Je suis passionné de technologies et je participe à plusieurs projets touchant les télécoms (asterisk et freeswitch notament) et la sécurité informatique (PfSense). J’interviens en tant que freelance afin d'accompagner les entreprises et opérateurs en leur apportant mon expérience et mon expertise.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *