Le DMS de Synology permet très simplement de configurer un compte client OpenVPN mais hélas ne propose que l’authentification par un couple user:pwd. On peut tout à fait bidouiller sur le NAS pour passer outre mais ça nécessite de mettre les mains dedans aussi dans un souci de simplicité voici comment modifier votre serveur VPN (OpenVPN) afin d’y ajouter une authentification via login:pwd.
Évidemment vous ne pouvez modifier votre serveur OpenVPN que si vous l’administrez vous-mêmes. Pour ceux qui seraient intéressés mais pas enclins à vous y mettre j’installe vos serveurs VPN (clairs/anonymes/1-X utilisateurs) pour quelques Euros. Je gagne de quoi me payer des cafés et vous gagnez en sérénité ;)
Le but est de servir de PAM, plugin d’authentification en général installé sur toute distribution Linux, pour gérer un accès au serveur OpenVPN via user:pwd et non certificat. Donc utiliser un compte existant sur la machine Linux hébergeant votre serveur OpenVPN.
Pour vérifier si vous avez PAM, un petit ls /etcsuffira (vous devez voir pam.d/ en l’occurrence).
Si vous ne l’avez pas installez-le.
Sur votre serveur il vous faut éditer le fichier de configuration d’OPenVPN :
sudo nano /etc/openvpn/openvpn.conf (ou server.conf selon vos installations)
Vous pouvez avoir différents contenus selon votre installation, voici un exemple
# Serveur UDP/907
mode server
proto udp
port 907
dev tun
sndbuf 0
rcvbuf 0
# Cles et certificats
crl-verify crl.pem
ca Testing.crt
cert Testing.crt
key Testing.key
dh dh4096.pem
tls-auth ta.key 1
key-direction 0
# Reseau
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 84.200.69.80"
push "dhcp-option DNS 84.200.70.40"
keepalive 10 120
# Securite
user nobody
group nogroup
chroot /etc/openvpn/jail
persist-key
persist-tun
comp-lzo
# Log
verb 3
mute 20
status openvpn-status.log
log-append /var/log/openvpn.log
mode server
proto udp
port 907
dev tun
sndbuf 0
rcvbuf 0
# Cles et certificats
crl-verify crl.pem
ca Testing.crt
cert Testing.crt
key Testing.key
dh dh4096.pem
tls-auth ta.key 1
key-direction 0
# Reseau
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 84.200.69.80"
push "dhcp-option DNS 84.200.70.40"
keepalive 10 120
# Securite
user nobody
group nogroup
chroot /etc/openvpn/jail
persist-key
persist-tun
comp-lzo
# Log
verb 3
mute 20
status openvpn-status.log
log-append /var/log/openvpn.log
A la fin ajoutez ceci
# No cert use, prefer user:pwd
lugin /usr/lib/openvpn/openvpn-auth-pam.so login
client-cert-not-required
username-as-common-name
client-cert-not-required
username-as-common-name
Puis relancez votre serveur OpenVPN
sudo /etc/init.d/openvpn restart
Vous pouvez maintenant ajouter votre compte VPN sur un serveur Synology en utilisant un user:pwd. Et ce sera votre user:pwd du serveur Linux sur lequel tourne votre serveur OpenVPN.
(1 474 vues)
Salut,
j’ai installé OVPN via OpenVPN Connect grace au tuto de Korben : http://korben.info/installer-openvpn.html
Est ce que tu penses que ta manip marcherait avec ? En fait je ne trouve pas openvpn.conf ou server.conf pour ma configuration.
Merci
Salut, Oui ça fonctionnera. Les fichiers en question sont présents, reste à savoir quel chemin tu as pris lors de l’installation de ton serveur… Dans le 1er cas tu as le .ovpn chez toi, dans le second tu as un user:passwd qui te permettra donc de te connecter, je pense, depuis ton Synology. Récupérez ensuite le fichier .ovpn proposé par… Lire la suite »
Merci pour ta réponse, En fait je suis sur Qnap, et mon problème est qu’il veut absolument que je rentre un certificat : Si je « dissèque » mon .ovpn, je me retrouve avec un ca.crt, un cert,crt et un ta.key. J’ai essayé avec chacun des trois sans succès. Lorsque j’essaye directement sur mon ordinateur avec le .ovpn, ça fonctionne. En tout… Lire la suite »