Synology a sorti il y a quelques mois maintenant son premier routeur : le RT1900ac. Vous pouvez d’ailleurs le retrouver en test sur le blog.
Depuis, le système d’exploitation SRM a bien évolué. Avec SRM 1.1 Synology a introduit quelques nouveaux paquets. Parmi ceux ci, on retrouve VPN Plus Server qui n’est encore qu’en bêta mais qui mérite d’être présenté.
Ce paquet n’est pas disponible sur les NAS Synology (le sera t’il un jour ?) et n’est donc pour le moment compatible qu’avec le RT1900ac (en attendant les prochains routeurs).
Présentation
J’avais déjà présenté le paquet VPN Server sur les NAS, mais celui ci est un peu plus avancé.
Pour reprendre la description fournie par le constructeur, VPN Plus Server permet de créer un serveur VPN sur notre routeur. Il prend en charge plusieurs protocoles : WebVPN, SSL VPN, L2TP/IPsec, SSTP, OpenVPN et PPTP (qu’on déconseillera d’utiliser).
Installation et configuration de VPN Plus Server
Pour lancer l’installation est l’utilisation du paquet VPN Plus Server, il est nécessaire d’avoir un périphérique de stockage USB connecté au routeur. J’y ai pour ma part branché une clé USB de 8Go.
Ensuite, on se rend dans le Centre de Paquets et on lance l’installation.
L’installation terminée on peut lancer le paquet et découvrir l’interface de VPN Plus Server.
On remarque immédiatement que Synology a fait le choix de séparer ses implémentations du VPN SSL des autres technologies. On se retrouve donc avec deux onglets : Synology VPN et VPN Standard.
La configuration des protocoles Standards ne diffèrent pas de la configuration que j’avais présenté sur un NAS de la marque.
Nous allons donc nous pencher sur les deux nouveaux protocoles implémentés par le constructeur.
SSL VPN
Il est nécessaire de créer un sous réseaux dédier aux connexions VPN. Cela se fait dans l’onglet Objet. Un sous réseau par défaut en 10.0.0.0/24 est créé à l’installation.
On active donc le service SSL VPN en choisissant l’objet correspondant à notre sous réseau ou notre plage d’IP.
Il est possible de choisir une limite de connexions simultanées pour éviter les ralentissements.
L’avantage du VPN SSL est de le faire passer par le port 443 qui est normalement ouvert partout. Si pour une raison particulière il est nécessaire de modifier, il est possible de choisir un autre port.
Je préfère le protocole de sécurité TLSv12 plutôt qu’SSLv3, ensuite pour le chiffrement on utilisera SHA256 et AES256.
Avant de passer à l’utilisation, il faudra penser à ouvrir les ports sur le firewall. Et si comme moi ce n’est pas votre routeur principal, à faire une redirection de ports.
La connexion au VPN se fait par l’intermédiaire d’un client VPN disponible actuellement sur Windows, Linux et iOS.
Web VPN
Contrairement au protocole précédent, ce protocole ne permet d’avoir accès qu’à des services accessibles depuis un navigateur Web. Par exemple un NAS, un intranet, une interface de configuration etc…
Pour le mettre en place il est obligatoire de posséder un nom de domaine, et des sous domaines pour chaque services auxquels on souhaitera accéder.
Une fois notre domaine configuré, on passe à l’onglet Portail.
C’est ici que nous allons définir les ressources qui seront accessibles par l’intermédiaire du VPN.
Chaque portail correspond à une ressource.
A la création d’un portail, il faut lui attribuer un nom et définir l’adresse IP locale de la ressource. On définit ensuite les autorisations d’accès et le nom de domaine d’accès à la ressource. Ici, Iron permettra d’accéder à mon NAS, sans pour autant l’ouvrir sur l’extérieur.
Connexions
Maintenant que notre VPN est configuré, nous allons nous y connecter.
On se rend à l’adresse de notre portail VPN et on se connecte avec notre utilisateur.
De là, on arrive sur une interface nous permettant d’accéder à nos portails Web, ou bien de télécharger notre client SSL VPN.
On va commencer par cette deuxième option. Nous sommes invité à télécharger le client correspondant à notre OS.
Personnellement je n’ai pas réussi à le faire fonctionner sur Windows 10. Sur iOS il suffit d’entrer les informations de connexions, et l’application installe alors le profile dans les paramètres d’iOS. Une fois connecté on peut alors accéder facilement à toutes les ressources de notre réseau local.
Pour le Web VPN, il suffit de cliquer sur le portail que nous avons paramétré pour accéder à la ressource dans un nouvel onglet de navigateur.
Nous avons découvert la configuration de VPN Plus Server, mais ce paquet reste actuellement en bêta et son interface est susceptible d’évoluer avant sa mise à disposition finale.
J’apprécie tout de même cet effort que fait Synology pour rendre ses routeurs aussi personnalisables que ses NAS, avec des fonctions souvent réservées à des routeurs de catégories professionnelles.