Monthly Archives: juillet 2015

NAS Synology : utilisation du serveur OpenVPN

Avec le NAS Synology, la mise en place d’un serveur VPN est extrêmement simple. Dans cette article, je vais uniquement parler d’OpenVPN car c’est probablement le protocole VPN le plus simple à utiliser, c’est en partie ce qui fait son succès par rapport à PPTP ou IPSec.

 1. Configurer le NAS

Commencer par installer le paquet « VPN Server », il est disponible dans l’onglet « Utilitaire » du centre de paquets.

centre_de_paquetA la fin de l’installation votre Synology vous prévient que l’installation s’est correctement déroulée.

vpn_server_installe

Lancer ensuite l’application « VPN Server » dont l’icône a du apparaitre dans le menu principal.

lancer_vpn_server

Commencer par gérer les privilèges et donner le droit d’accès aux utilisateurs de votre choix. Dans l’exemple, je permet à un seul utilisateur de se connecter à ce serveur VPN via les 3 protocoles proposés.

privilegesEnsuite, rendez-vous dans les paramètres d’OpenVPN du menu de gauche et cocher la case « Activer le serveur OpenVPN ». Vous pouvez laisser la configuration par défaut, elle est tout à fait valable. Cliquer sur le bouton « Appliquer » pour sauvegarder vos changements.

Pour vérifier que vous avez bien activé le service, allez dans « Vue d’ensemble » et vérifiez que le statut d’OpenVPN est « Activé ».

openvpn_actifDernière chose côté NAS, retournez sur la page précédente et cliquez sur le bouton « Exporter la configuration », votre navigateur vous proposera alors de télécharger un fichier ZIP. Ce fichier sera utile pour configurer le/les client/s VPN.

 2. Configurer le routeur / box

La configuration du routeur est très simple, il suffit d’une seule règle de NAT, à savoir rediriger le port entrant (de votre choix et différent du port sortant dans notre exemple ci-dessus 1194) vers votre NAS.

Je vais vous présenter l’exemple de la Freebox Revolution. Commencez par vous rendre sur votre interface de gestion http://mafreebox.freebox.fr. Ensuite allez dans « Paramètre de la Freebox », puis « Gestion des ports ». Cliquer sur le bouton « Ajouter une redirection » et saisissez les informations suivantes :

  • Ip Destination : l’adresse ip de votre NAS (ip privée)
  • Redirection active : cochez la case
  • Ip sources : Toutes
  • Protocole : UDP (sauf si vous avez mis TCP dans la conf du serveur OpenVPN)
  • Port de début : le port que vous voulez (celui que vous devrait utiliser depuis le client
  • Port de fin : le même
  • Port de destination : le port qui est dans la conf du serveur VPN
  • Commentaire : ce que vous voulez pour vous rappeler à quoi sert cette règle

freebox

3. Installation / configuration du client VPN

Téléchargez OpenVPN GUI ici par exemple. C’est une interface graphique pour se connecter à un serveur VPN. Installez le.

Dézippez le fichier que vous avez précédemment téléchargé (la configuration du serveur OpenVPN) et éditez le fichier « openvpn.ovpn ».

Remplacez « YOUR_SERVER_IP » par votre adresse ip publique (celle du serveur VPN). Éventuellement, dé commentez la ligne « #redirect-gateway » en enlevant le #. Cela aura pour effet de router tout votre trafic web par le server VPN : en clair, l’adresse ip vue par les sites web que vous visiterez verront l’adresse ip du serveur VPN quelque soit le lieu d’où vous vous connectez.

Copiez ce fichier ainsi que le fichier « ca.crt » dans le dossier d’installation de OpenVPN GUI (probablement « C:\Program Files\OpenVPN\config\ »).

Lancez ensuite OpenVPN GUI, et saisissez votre login / password (celui défini dans votre serveur NAS).

openvpngui

Cliquez sur le bouton « OK » et voilà vous êtes connecté sur votre serveur VPN.

Let’s Encrypt : De l’HTTPS gratuit pour tout le monde

Les protocoles HTTP et HTTPS (S pour sécurisé) sont des protocoles qui permettent de naviguer sur le web. La différence entre les deux est que comme son nom l’indique HTTPS est sécurisé car il s’appuie sur les protocoles SSL/TLS. Concrètement, les informations qui passent par l’HTTPS sont chiffrées et donc ne passent pas « en clair » sur le réseau. Plutôt bien pour les mots de passe par exemple, ou encore pour contrer le phising… De plus en plus les sites web proposent un accès en HTTPS et c’est tant mieux.

Maintenant, si vous voulez mettre en place un accès HTTPS sur votre site web, il vous faut un certificat SSL/TLS (qui en gros atteste de l’identité de votre serveur). Pour vous procurer un certificat, vous avez deux solutions :

  1. générer un certificat vous-même
  2. acheter un certificat auprès d’une autorité de certification

La première solution est tout à fait faisable et valable, mais vous allez vite vous rendre compte d’un problème : le navigateur web affiche un gros message rouge bien flippant :

Alors certes, on peut passer outre ces message et accéder au site, mais l’utilisateur lambda ne le fera surement pas.

La raison est que le navigateur s’appuie sur un magasin de certificat et des autorités de certification de confiance dont vous ne faites pas partie, évidemment.

Pour éviter ça il faut acheter un certificat (les tarifs ne sont pas forcément excessifs, mais ça fait toujours une dépense en plus) auprès d’une autorité de certification connue et reconnue par les navigateurs web.  Il y en a beaucoup. Pour voir la liste des AC reconnues par Windows par exemple, il vous suffit de lancer le programme « certmgr.msc » et de regarder les « Autorités de certification racines de confiance ».

 

Après avoir résumé très rapidement la problématique, je vais vous présenter une nouvelle autorité de certification : Let’s Encrypt.

Soutenue notamment par Mozilla et la fondation Linux et mis en œuvre par l’Internet Security Research Group (donc on est dans du très sérieux), cette AC vise à démocratiser le protocole HTTPS (et donc sécuriser un peu plus le web) en émettant des certificats SSL/TLS gratuitement !

Let’s Encrypt sera évidemment reconnu comme AC de confiance, donc plus de problème de message d’avertissement.

Sur leur site web, ils indiquent l’ouverture du service pour septembre 2015, c’est donc imminent.

Bref, c’est une excellente nouvelle, cette initiative va vraiment dans le bon sens.

Site de Let’s Encrypt : https://letsencrypt.org/

Auto-hébergement : Mon serveur NAS Synology

Pour héberger toute ma vie numérique, j’ai pensé à deux solutions (il y en a évidemment pleins d’autres) :

  •  une solution libre et gratuite : Freenas
  • une solution payante : Synology

La première avait l’avantage d’être gratuite évidemment, mais aussi d’être Open source ce qui allait plutôt bien avec ma démarche, et en plus cela me permettait de recycler un vieux PC.

Je me suis donc lancé dans l’installation d’un Freenas.  Certes, je n’avais pas de problème particulier à l’utilisation, mais je dois avouer que ce n’était pas très user friendly et j’aurai dû envoyer du apt-get et gratter du fichier de conf pour mettre en place tout ce que j’envisageais. Et ce n’était pas le but : pas le temps et moyennement envie de toute façon.

Après réflexion, j’ai décidé de commander un Nas Synology : visiblement la référence absolue des NAS. J’ai choisi le modèle DS414.

La machine est plutôt classe, peu bruyante, et très simple à installer.

Une fois installé, je me connecte dessus et là c’est une petite claque. C’est très stylé, et l’interface est ultra intuitive ! Temps de prise en main : environ 10s.

Panneau de configuration

Les choses à prévoir :

  •  il sera ouvert sur internet donc il faut assurer une certaine sécurité (c’est bien beau de garder ses données chez soi mais si le NAS est open bar ça ne sert pas à grand chose, c’est même pire)
  •  réfléchir aux services dont je vais avoir besoin (le centre de paquets donne envie de tout installer tellement c’est simple)
  • acheter un nom de domaine pour avoir accès au NAS depuis n’importe où sans avoir à retenir votre adresse ip (il y a des alternatives gratuites)

Avec ça je pense que je suis paré pour mon projet d’auto-hébergement ! En avant pour la configuration de mon NAS : sécurité, gestion des utilisateurs, préférences, applications, etc.

Auto-héberger sa vie numérique

Depuis quelques temps, il me prend l’envie d’héberger moi-même mes informations qui sont pour le moment et depuis plusieurs années hébergées par Google (notamment mais aussi par des Dropbox ou autres) via Gmail, Drive, etc.

Plusieurs raisons à cela :

  • si Google arrête son service mail (comme avec Google Reader) je perdrais une dizaine d’années de mails
  • idem pour les contacts et mon agenda
  • essayer autant que possible de garder ma vie privée… privée
  • m’amuser un peu avec des applications sympas :)

Concrètement, j’aimerai retrouver la main sur mes informations et avoir un semblant de contrôle dessus (peut-être illusoire).

Ma situation au jour de cette décision :

  • j’ai une boite e-mail Gmail (qui est mon compte principal), une boite Hotmail (mon compte principal créé quand j’étais ado et qui est trop ridicule aujourd’hui pour être communiqué…), une boite Yahoo (qui me sert de compte poubelle), et un boite chez mon FAI (que je n’utilise pas).
  • j’utilise systématiquement le webmail de Google pour lire mes mails (maison, travail, public, etc) => comme je n’utilise pas de client lourd pour récupérer mes mails, ils sont pour le moment uniquement sur les serveurs de Google
  • j’utilise l’application Gmail sur Android
  • tous mes contacts sont synchronisés sur mon compte Gmail
  • je mets pas mal de chose sur Google Drive (j’utilise notamment beaucoup la suite bureautique)
  • je navigue quasi exclusivement sur Chrome (pc et smartphone)
  • toutes mes recherches sont faites sur Google (évidemment)
  • j’ai un Dropbox que j’utilise un peu aussi
  • j’ai un Facebook (sur lequel je ne mets rien et qui me sert le plus souvent à contacter des gens dont je n’ai ni numéro de téléphone, ni adresse e-mail)
  • j’ai un Twitter sur lequel je suis tout le temps mais je n’y mets rien, ça remplace une agrégateur RSS pour moi et ça me permet de suivre les actualités qui m’intéressent
  • j’ai un compte Evernote

Je dois en oublier mais plus j’avancerai plus je découvrirai de nouvelles données sur lesquelles reprendre le contrôle.

Mon principal challenge sera de me débarrasser des services de Google qui, il faut l’avouer, même s’ils sont très pratiques, sont trop envahissants dans ma vie.

Concernant le reste, il n’y a rien sur mon FB, donc je ne vois pas l’utilité de supprimer mon compte (j’ai juste fait le ménage dans mes photos, vestiges de ma vie étudiante…), j’ai vidé mon Dropbox et supprimé mon compte, et mon Twitter, je ne le touche pas ! Remplacer Evernote ne sera pas très compliqué.

Dans une série d’articles à suivre, je vais expliquer tout ce que j’ai mis en œuvre pour atteindre mon but.