Comment configurer un VPN sur un Nas Synology (pour accéder à son système domotique en toute sécurité !)

Avoir un système domotique chez soi, c'est bien, mais encore faut il pouvoir y accéder de façon sécurisée quand on est à distance. En effet, une faille de sécurité pourrait donner accès à tout le contrôle de la maison à un hackeur. Pour cela, il existe les connexions VPN, qui créent des réseaux privés sécurisés. Si cela peut sembler compliqué pour le néophyte, la mise en place reste relativement aisée grâce à de nombreux équipements informatiques proposant cette possibilité, comme les routeurs ou même les NAS. Comme beaucoup possèdent un NAS Synology, nous allons voir aujourd'hui comment configurer un VPN sur un NAS Synology pour accéder à son système domotique en toute sécurité.

Qu'est ce qu'un VPN ?

Nous avons déjà eu l'occasion de parler de VPN à plusieurs reprises, notamment pour pouvoir regarder les programmes Netflix d'autres pays par exemple. Une connexion VPN permet en effet de nombreuses choses:

  • surfer de façon anonyme
  • outrepasser les limites géographiques de certains services
  • protéger sa connexion
A lire également:
Vacances confinées: Débloquez les films et séries "cachés" de Netflix !

C'est cette dernière option qui nous intéresse tout particulièrement ici. En effet, un VPN est un réseau privé virtuel qui étend votre réseau privé à un réseau public. En termes simples, il vous permet de vous connecter en toute sécurité à votre réseau local depuis un réseau extérieur. Pas besoin d'ouvertures et de redirection de ports pour chaque machine, ouvrant autant de portes aux intrus sur votre réseau informatique: seuls ceux disposant des accès VPN pourront se connecter comme s'ils étaient sur place, et ainsi accéder aux ressources locales du réseau.

Il existe deux types de réseaux VPN :

  • VPN à tunnel partagé : Le trafic n'est envoyé à travers votre réseau que s'il tente d'accéder à une ressource interne. Votre adresse IP lorsque vous naviguez vers un site en dehors de votre réseau sera l'adresse IP du réseau sur lequel vous êtes actuellement.
  • VPN à tunnel complet : Tout le trafic est envoyé via votre réseau domestique. Votre adresse IP pour les requêtes internes et externes sera celle de votre réseau domestique.

L'un ou l'autre peuvent convenir pour notre besoin.

Pour commencer, nous allons devoir créer un serveur VPN sur notre réseau local. Si ces mots peuvent faire peur, rassurez vous: le NAS Synology possède tout le nécessaire.

Comment configurer un VPN sur un Nas Synology

Tout d'abord, il faudra installer l'application VPN Server, en allant dans le Centre de Paquets du NAS Synology:

vpn server 1

Une fois installée, ouvrez l'application et rendez vous dans la section OpenVPN. C'est un type de VPN très utilisé aujourd'hui, et très sécurisé, qui est d'ailleurs utilisé par Jeedom quand on souscrit l'option Accès à distance facilité par exemple.

Activez le serveur OpenVPN. Modifiez la plage d'adresses IP dynamiques et les propriétés de connexion maximales si vous le souhaitez. Puisque nous essayons d'accéder à notre NAS Synology en dehors de notre réseau, nous devons activer l'option “Autoriser aux clients l'accès au serveur LAN“. Le reste peut rester par défaut. Cliquez sur Appliquer.

config openvpn

Rendez vous ensuite dans la section Privilège et assurez vous que le compte utilisateur avec lequel vous souhaitez vous connecter au VPN a la permission pour OpenVPN.

privilege openvpn

Le serveur VPN est maintenant configuré, mais il faut s'assurer que le pare feu du NAS Synology nous laisse bien entrer, en nous donnant accès au port UDP 1194 (indiqué lors de la configuration OpenVPN plus haut). Pour cela, il faut se rendre dans le Panneau de Configuration, Sécurité, puis onglet Pare Feu. Là, cliquez sur Modifier les règles.

modifier les regles

Créez une règle Autoriser pour l'application VPN Server (OpenVPN), port UDP 1194, en la sélectionnant dans la liste:

parefeu 02
parefeu 01

Après validation, vous devez obtenir cette règle:

parefeu 03

Il ne reste plus qu'à rediriger le port UDP 1194 sur le routeur, afin que celui ci sache où nous rediriger quand il y a une connexion extérieure sur ce port.
Le NAS Synology dispose de la fonctionnalité UPnP, qui donne à votre NAS la possibilité d'ouvrir automatiquement les ports sur votre routeur. Si vous avez un routeur compatible UPnP, il est donc très facile de le configurer. Mais la sécurité de l'UPnP fait l'objet de nombreux débats, nous allons donc configurer la redirection manuellement.

Celle ci sera différente d'un routeur à l'autre, mais le principe reste le même.

Sur mon routeur Orbi, par exemple, cela se présente de cette façon:

port orbi

On crée une règle de transfert de port pour le port UDP 1194 vers l'adresse IP du NAS Synology. Dans l'exemple ci-dessus, Mon NAS a une IP finissant par 100.

Attention: Pour fonctionner, ce processus exige que votre NAS ait une adresse IP statique.

La configuration du port est maintenant terminée !

Il nous reste à apporter quelques modifications sur le fichier de configuration OpenVPN du NAS Synology.
Avant tout, vous devez vous assurer que vous avez configuré DDNS. La plupart des gens ont des adresses IP externes dynamiques, donc la création d'un nom d'hôte DDNS est nécessaire car vous devez vous assurer que vous pouvez toujours accéder à votre adresse IP externe, quelle qu'elle soit. Vous pouvez simplement configurer le DDNS en utilisant un nom d'hôte gratuit synology.me (disponible dans le Panneau de Configuration, Accès Externe, puis DDNS).

ddns synology

Certains fournisseurs d'accès, comme Free par exemple, proposent directement une IP publique fixe, dans ce cas vous n'aurez pas besoin de configurer DDNS. Utilisez simplement votre adresse IP externe comme VOTRE_SERVER_IP (cf plus loin).

Ouvrez l'application Serveur VPN et sélectionnez OpenVPN. Sélectionnez Exporter la configuration.

exporter configuration openvpn

Puis extraire le contenu du dossier. Nous allons seulement éditer le fichier VPNConfig.ovpn avec un éditeur de texte.

fichiers openvpn

Par défaut, ce fichier de configuration OpenVPN dispose d'un certificat unique en bas. Ce document ne doit être partagé avec personne d'autre que les utilisateurs que vous souhaitez authentifier avec votre VPN.

Dans ce fichier, nous devons modifier les éléments ci-dessous (en gras):

  • YOUR_SERVER_IP : Il s'agit de votre nom d'hôte DDNS que vous avez configuré, ou de votre adresse IP fixe.
  • redirect-gateway def1 : c'est ce qui détermine si vous configurez un VPN à tunnel partagé ou à tunnel complet (évoqué plus haut dans les types de VPN). Pour activer full-tunnel, enlevez le signe “#” pour décommenter la ligne.
  • dhcp-option : Si vous avez un serveur DNS local que vous souhaitez utiliser, vous pouvez ajouter l'adresse IP de votre serveur DNS à cet endroit. Si vous n'avez pas de serveur DNS local, laissez cette ligne commentée. NOTE : Si vous n'avez pas de serveur DNS local configuré, OpenVPN utilisera par défaut les enregistrements DNS publics de Google. Cela signifie que vous ne serez pas en mesure d'accéder aux ressources de votre réseau local par nom d'hôte, seulement par adresse IP.
  • client-cert-not-required : Cette option n'est pas ajoutée par défaut mais devrait être ajoutée si vous utilisez les nouveaux clients OpenVPN. Si vous n'ajoutez pas cette option, vous recevrez un message d'erreur lorsque vous vous connecterez. Même si la connexion peut se faire malgré ce message d'erreur, cette option permettra de ne pas la voir à chaque fois.
fichier config openvpn

Une fois les modifications effectuées, enregistrez le fichier de configuration et envoyez-le à tous les appareils avec lesquels vous souhaitez tester la connexion VPN. Il ne reste plus qu'à tester cette connexion VPN.

Configuration du client OpenVPN

Maintenant que nous avons tout configuré, nous devons tester notre connexion. Téléchargez le client OpenVPN sur votre téléphone portable ou sur un PC que vous pouvez connecter à un réseau différent.

Attention: le test doit se faire depuis un réseau externe, cela ne fonctionnera pas en étant connecté à votre réseau domestique. Vous pouvez donc faire le test depuis votre smartphone, par exemple, en prenant soin de couper le Wifi. Ainsi le smartphone se connectera depuis la ligne GSM, donc un réseau externe à votre réseau domestique.

screenshot 20210330 103431

Une fois l'application lancée, sélectionnez le bouton d'importation en bas, puis choisissez File. Vous devriez maintenant être invité à rechercher le fichier .ovpn que nous avons créé plus tôt. Téléchargez le fichier, puis connectez-vous avec votre nom d'utilisateur et votre mot de passe DSM.

screenshot 20210330 103448

Vous devriez être en mesure de vous connecter à votre VPN.

A partir de là, une fois votre connexion VPN active, c'est comme si vous étiez connecté localement sur votre réseau domestique. En tapant le nom de machine ou l'adresse IP interne d'une machine de votre réseau, vous pouvez y accéder de n'importe où dans le monde, comme si vous étiez chez vous. Que ce soit votre NAS, votre box domotique (sur une machine séparée, ou même une machine virtuelle sur votre Synology), ou tout autre appareil, vous y avez maintenant accès, et ceci de façon sécurisée !

Ce n'est bien sûr qu'une méthode parmi d'autres, car beaucoup d'appareils permettent aujourd'hui de configurer un serveur VPN. On peut le faire sur son routeur, ou parfois même directement sur sa box ADSL (Free propose par exemple cette possibilité). L'important est de disposer d'un serveur VPN sur le réseau domestique, pour pouvoir ensuite s'y connecter à distance de façon sécurisée.

Inscrivez vous à notre newsletter !

Ne ratez plus aucun article, test de produit ou guide, grâce à un mail dans votre boite chaque vendredi !

Tags :

Que pensez vous de cet article ? Laissez nous vos commentaires !

Laisser un commentaire

Maison et Domotique
Register New Account
Enregistrez vous, et stockez vos articles préférés sur votre compte pour les retrouver n'importe où, n'importe quand !
Reset Password
Compare items
  • Casques Audio (0)
  • Sondes de Piscine Connectées (0)
  • Smartphones (0)
Compare