Les redirections de port doivent se faire sur l’ERL (encore une fois parce que c’est lui qui porte l’IP publique), et directement vers l’adresse IP du serveur sur le LAN de l’ASUS (donc dans la plage 192.168.1.0/24).

Par contre si les serveurs utilisaient UPnP pour ouvrir automatiquement des ports, alors c’est mort, uPnP n’est pas compatible avec cette architecture réseau.

édit: faut mettre 192.168.1.8 dans forward to address et ensuite s’assurer que le firewall de l’Asus ne va rien bloquer.

Non, je ne pense pas (même si perso je n’utilise pas le port forwarding de l’interface web mais plutôt des règles DNAT + firewall en ligne de commande).

Pour moi le problème est sur l’Asus maintenant.

Bon et bien ça marche nikel ce simple NAT, par contre j'ai quelques questions :

Est-il possible de sauver la configuration avec l'utilitaire backup de l'ERL et de la remettre aussi facilement une fois un reset usine ? Faudra il remette ensuite certains fichiers à la mano dans le routeur via le FTP comme le dhclients ?

Mon accès externe VPN par open VPN ne marche pas, mon port est ouvert dans le routeur ERL mais impossible de naviguer et pourtant je me connecte bien à mon VPN de mon nas Synology. Y a-t-il des choses à compléter dans le routeur pour que les flux du VPN transitent bien ?

Je n'arrive plus à accéder à mon NAS en local que ce soit par son iP 192.168.1.5 ou par l'adresse de mon domaine. De l'extérieur ça marche bien en saisissant mon site "nas.fr". Est ce qu'il faut recréer une route ou gérer une sorte de loopback dans le routeur ? J'ai bien ouvert les ports pourtant. Par exemple mon accès FTP fonctionne donc ...🤔.

J'ai réussi en accès interne sur l'iP locale. C'est le firewall du NAS qui bloquait ...

Par contre mon accès VPN (openVpn) j'arrive à me loguer de l'extérieur mais aucune navigation possible  .
Mon port est bien ouvert dans l'ERL et dans le firewall du NAS pourtant ... J'ai bien la petite clé qui s'affiche et la connexion Ok mais bizarre aucun flux ne transite et ça avance à rien ... comme si ça ne plaisait pas à l'ERL...

L’ERL ne bloque rien si tu ne lui demandes pas de bloquer explicitement... C’est pas un machin grand public qui essaye de faire des trucs dans ton dos sois-disant pour ton bien...

Si la connexion aboutit mais qu’après il n’y a aucun flux qui passe, alors le problème est sur le serveur ou le client OpenVPN. Déjà, où est le serveur OpenVPN ? Sur l’ERL ? Sur l’ASUS ? sur une autre machine ? Si sur une autre machine, elle est où cette machine ? Sur le LAN de l’ASUS ? Sur son WAN ?

Par exemple si elle est sur le WAN de l’ASUS, il faudra:

• Qu’elle ait la même route statique que celle qu’on a configuré dans l’ERL. En fait tous les équipements sur le WAN de l’ASUS doivent avoir cette route
• Que le firewall de l’ASUS soit configuré pour ne pas bloquer le traffic entrant provenant des clients VPN
• Rajouter une route statique dans l’ASUS vers le serveur VPN pour la plage d’IP utilisée par les clients OpenVPN

Accessoirement la configuration de ton réseau n’est plus triviale, je recommande fortement d’essayer de comprendre ce qu’est une route, quitte à suivre des trainings en ligne, parce que sinon tu ne t’en sortiras jamais... Et on atteint vraiment les limites de ce qu’il est possible de faire par l’intermédiaire d’un forum.

L’ERL ne bloque rien si tu ne lui demandes pas de bloquer explicitement... C’est pas un machin grand public qui essaye de faire des trucs dans ton dos sois-disant pour ton bien...

Si la connexion aboutit mais qu’après il n’y a aucun flux qui passe, alors le problème est sur le serveur ou le client OpenVPN. Déjà, où est le serveur OpenVPN ? Sur l’ERL ? Sur l’ASUS ? sur une autre machine ? Si sur une autre machine, elle est où cette machine ? Sur le LAN de l’ASUS ? Sur son WAN ?

Par exemple si elle est sur le WAN de l’ASUS, il faudra:

• Qu’elle ait la même route statique que celle qu’on a configuré dans l’ERL. En fait tous les équipements sur le WAN de l’ASUS doivent avoir cette route
• Que le firewall de l’ASUS soit configuré pour ne pas bloquer le traffic entrant provenant des clients VPN
• Rajouter une route statique dans l’ASUS vers le serveur VPN pour la plage d’IP utilisée par les clients OpenVPN

Accessoirement la configuration de ton réseau n’est plus triviale, je recommande fortement d’essayer de comprendre ce qu’est une route, quitte à suivre des trainings en ligne, parce que sinon tu ne t’en sortiras jamais... Et on atteint vraiment les limites de ce qu’il est possible de faire par l’intermédiaire d’un forum.

Salut !
D'accord bien lu ta réponse merci

Mon serveur VPN est hebergé sur mon NAS Synology qui lui à l'adresse 192.168.1.5.
J'ai un domaine + certificat let's encrypt tout va bien de ce côté la.
Mon Syno est donc sur le Lan de mon routeur Asus qui lui est sur le Lan de l'ERL en sortie ETH2.
La plage d'IP pour mon VPN est 10.8.0.0 ~ 10.8.0.255

Ce n'est pas une règle de pare feu car il est désactivé dans le routeur ASUS.
J'ai vérifié que le port 1194 est bien accessible en externe par le Syno et le parefeu est Ok.

Je pensais plus à une règle de ports ... car mon ERL n'heberge pas le serveur VPN il laisse passer et ouvrir le port 1194 sur mon NAS ... ça doit pas être compliqué pourtant dans cette architecture 

Merci Zoc