Topic: openvpn et pki

[trazomtg]

Bonjour à tous.
dans la doc d'installation, OPENvpn fait installer PKI
étant donné que j'utilise un autre chiffrement pour SSH et Thunderbird, puis je utiliser ces clés à la place de PKI?

Merci
T

[trazomtg]

autre question:

je suis sous SMEserver 9.2
pour installer OPENVPN Routed, laquelle de ces 2 docs :

https://wiki.contribs.org/OpenVPN   et
https://wiki.contribs.org/OpenVPN_Routed

dois je utiliser?

merci

[guest22]

It's clearly explained on both wiki pages. You have to decide how you want to put either of them into use.

And please 1 topic only per thread. Please open a new topic for each question.

[trazomtg]

j'aimerais, si c'est possible, ne pas installer PKI. Jr ptreferais utiliser des cles RSA que j'ai deja. Est ce possible

Bonjour,
j'aimerias ne pas installer PKI cat je possede deja des cles RSA. Est ce possible?
merci

[stephdl]

https://wiki.contribs.org/OpenVPN  est une page obsolete, se referer a openvpn bridge, routed, site2site, des contribs de daniel.
Concernant phpki, je crois qu'openvpn bridge peut fonctionner sans, les certificat du serveur et racine doivent etre renseigné dans le panel....mais comme pour toutes customisations, il faut le background derriere pour parametrer.

[Daniel B.]

j'aimerias ne pas installer PKI cat je possede deja des cles RSA. Est ce possible?

Il est tout à fait possible de se passer de PHPki, qui reste complètement indépendant d'OpenVPN. Tu peux utiliser une autre PKI, il faut par contre des certificats x509 (au format PEM)

[trazomtg]

hello,

j'ai installé openvpn-bridge, ça s'est bien passé.
j'ai installé PKI, ça s'est bien passé.

j'ai créé un certificat à partir de "gestion des certificats"  de server-manager
quand je regarde : CERTIFICATE MANAGEMENT CONTROL PANEL je ne vois aucun certificat.

j'ai bien les fichiers :

./opt/phpki/phpki-store/CA/certs/cacert.pem
./opt/phpki/phpki-store/CA/private/takey.pem
./opt/phpki/phpki-store/CA/private/cakey.pem
./opt/phpki/phpki-store/CA/private/dhparam1024.pem
./opt/phpki/phpki-store/CA/crl/cacrl.pem

mais aucun certificat ne s'affiche
donc dans le panel de configuration de openvpn je ne peux renseigner les valeurs demandées

que faire?
merci

[Daniel B.]

Une fois que tu as créé la CA, il faut créer les certificats (certificat serveur, côté serveur et client VPN pour les clients). Tout est détaillé sur la page https://wiki.contribs.org/OpenVPN_Bridge#Using_PHPki_to_manage_the_certificates

[trazomtg]

c'est bien la doc que j'ai suivie

mais quand cette doc dit:

Server certificate: You should put here the certificate of the server. You can get it in PHPki, manage certificates, click on the download link corresponding to the certificate you have created for the server ("openvpn-bridge" in the example), choose PEM certificate in the drop-down menu, download it. You can open this file with a text editor. Copy and paste this text into the "Server certificate" window.

je n'ai pas de lien correspondant au certificat créé.
je n'ai pas de PEM certificate dans le menu

[Daniel B.]

Il faudrait que tu postes une capture d'écran pour confirmer, mais à priori, tu n'as pas créé le certificat pour le serveur sur PHPki

[trazomtg]

je n'arrive pas à inserer une image!!!

[trazomtg]

je ne sais pas ou trouver :

le certificat su serveur
la clé secrète associée au certificat

est ce dans les fichiers  /opt/phpki/phpki-store/CA ou /etc/pki ou ailleurs?

j'ai bien le certificat de root , de Diffie-Helman et la clé statique partagée

je ne sais même pas si c'est juste

[gieres]

Bonsoir,

Tout est là : https://wiki.contribs.org/OpenVPN_Bridge/fr#Certificat_du_serveur

Qu'est-ce qui n'est pas clair ?

Bonne soirée.

[trazomtg]

J'recréé un certificat en renseignants les zpnes de cette manièe:

 Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 1048577 (0x100001)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=fr, ST=Sud Ouest, L=Toulouse, O=trazom, OU=Certificate Authority, CN=PHPki Certificate Authority/emailAddress=trazom.informatique@free.fr
        Validity
            Not Before: Jul  1 21:49:12 2017 GMT
            Not After : Jul  2 21:49:12 2019 GMT
        Subject: C=fr, ST=Sud Ouest, L=grenoble, O=ens, O=21232f297a57a5a743894a0e4a801fc3, OU=phy, CN=thierry/emailAddress=trazom.informatique@free.fr
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:d4:49:5f:d2:43:8d:ef:e2:43:f2:3f:8a:10:c9:
                    e9:7c:74:27:91:29:c7:82:c8:d9:1d:80:83:4f:ad:
                    9d:a1:f9:99:c3:6e:7c:fc:8e:3f:cb:21:91:a8:af:
                    fb:3a:8e:a3:18:e3:25:ce:87:5b:8e:1a:49:d7:9d:
                    99:b2:ff:c5:34:66:32:0d:15:20:6a:b0:e8:71:10:
                    a8:64:96:6f:25:bf:12:0b:f3:39:bc:d0:c3:2e:f7:
                    b4:04:3d:0a:07:51:6a:fc:0e:7a:93:44:37:6c:86:
                    85:82:3b:47:9b:39:cf:04:2e:34:22:b3:7b:d9:61:
                    8b:eb:c5:55:4a:4c:2f:58:e9:f1:64:03:a6:48:b5:
                    c7:b8:c5:e5:bb:eb:ee:01:39:f1:56:25:c8:a2:c9:
                    c2:3c:83:d2:e8:28:c1:43:3b:ac:00:e0:2e:e6:85:
                    87:37:2d:b3:ca:c0:38:0f:19:9a:76:f2:ed:76:bc:
                    38:cb:b1:cd:5a:49:45:06:97:12:83:dc:8a:09:e5:
                    38:fa:94:b9:d7:4e:db:3a:3d:d6:30:35:c3:9c:fe:
                    f4:b7:ee:d3:be:b9:57:81:37:1a:96:d2:0a:89:96:
                    f2:43:a2:c2:fe:b9:05:3e:7f:2c:af:6a:4e:d2:e7:
                    b3:04:e7:fd:7c:3e:69:59:6a:48:d0:69:b2:63:8a:
                    28:69
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Key Usage: critical
                Digital Signature, Non Repudiation, Key Encipherment
            X509v3 Extended Key Usage: critical
                E-mail Protection, TLS Web Client Authentication
            Netscape Cert Type: critical
                SSL Client, S/MIME
            X509v3 Subject Key Identifier:
                B1:ED:BC:C8:DF:92:BF:86:25:4A:8C:81:3C:69:E0:F5:11:2F:54:D8
            X509v3 Authority Key Identifier:
                keyid:9D:F7:68:86:3C:A1:84:B7:B7:6B:A1:7F:D4:77:B1:B7:63:54:75:5B
                DirName:/C=fr/ST=Sud Ouest/L=Toulouse/O=trazom/OU=Certificate Authority/CN=PHPki Certificate Authority/emailAddress=trazom.informatique@free.fr
                serial:A5:44:F6:B9:12:0A:F6:56

            X509v3 Subject Alternative Name:
                email:trazom.informatique@free.fr
            X509v3 Issuer Alternative Name:
                email:trazom.informatique@free.fr
            X509v3 CRL Distribution Points:

                Full Name:
                  URI:https://trazom.thierry/phpki/index.php?stage=dl_crl

            Netscape Comment:
                PHPki/OpenSSL Generated Personal Certificate
            Netscape Base Url:
                https://trazom.thierry/phpki/
            Netscape Revocation Url:
                ns_revoke_query.php?
            Netscape CA Policy Url:
                https://trazom.thierry/phpki/policy.html
    Signature Algorithm: sha1WithRSAEncryption
         27:25:fc:f7:97:18:02:bc:f3:20:5b:e7:e8:66:58:cc:20:e4:
         fd:7b:01:1c:15:b6:7c:c4:66:fc:7d:97:45:40:4d:48:11:4c:
         81:29:ce:c9:13:0c:4f:9d:b1:73:e1:6e:56:9b:4e:22:48:a2:
         14:70:22:11:98:41:5f:8b:60:16:de:c9:d2:70:38:08:12:e8:
         ec:ab:77:79:f3:00:54:22:b2:43:74:04:80:fb:ea:76:1b:13:
         7d:35:ac:55:27:d9:fa:29:54:80:16:d3:85:a9:1f:63:c8:5b:
         a2:f2:38:bb:96:3d:83:9a:1d:7b:6a:65:94:a7:45:c8:de:e0:
         4c:35:70:41:51:f5:c8:c8:87:db:9f:fb:66:37:9b:46:f4:41:
         0e:57:54:e0:df:a1:8d:c0:85:80:41:4a:70:2a:3f:ef:6e:de:
         ce:6d:18:a7:a2:79:96:2d:fd:4a:b6:ab:e9:6a:44:2c:6e:f1:
         5d:b6:a7:cc:de:5c:ce:27:d9:14:45:a3:0a:31:75:4c:3d:2b:
         3c:2e:5b:2a:86:d2:52:d6:b4:b7:f8:5e:13:33:9f:b0:59:88:
         1d:a6:74:eb:64:5b:26:50:ed:28:2b:7e:ed:b5:53:fa:2e:4b:
         f6:e8:d3:3e:31:2c:80:09:d2:77:a8:34:a2:6e:40:a0:31:8c:
         e4:11:9e:7c
Certificate purposes:
SSL client : Yes
SSL client CA : No
SSL server : No
SSL server CA : No
Netscape SSL server : No
Netscape SSL server CA : No
S/MIME signing : Yes
S/MIME signing CA : No
S/MIME encryption : Yes
S/MIME encryption CA : No
CRL signing : No
CRL signing CA : No
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : No
Time Stamp signing : No
Time Stamp signing CA : No
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
 
qu'est ce que j'en fait?

[Daniel B.]

Tout est expliqué dans la doc: https://wiki.contribs.org/OpenVPN_Bridge/fr#Configuration_du_serveur_OpenVPN

[trazomtg]

j'ai bien installé un certificat pour le serveur et je le vois dans "gestion des cerificats" mais voici quelques paramètres et je pense que j'ai fait une erreur

Certificate purposes:
SSL client : Yes
SSL client CA : No
SSL server : No
SSL server CA : No
Netscape SSL server : No
Netscape SSL server CA : No
S/MIME signing : Yes
S/MIME signing CA : No
S/MIME encryption : Yes
S/MIME encryption CA : No
CRL signing : No
CRL signing CA : No
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : No
Time Stamp signing : No
Time Stamp signing CA : No

qu'en penses tu?
si c'est le cas est ce que je peux modifier certains parametres ou dois je supprimer le certificat et en créer un autre?

[Daniel B.]

Ça c'est un certificat client. Ce n'est pas modifiable, il faut en faire un autre. Lis attentivement la Doc, c'est détaillé tous les champs qu'il faut saisir.

[trazomtg]

je vois dans la doc en anglais  qu'il faut telecharger la cle secrete du serveur.
If you have configured and shared secret key on the server, you also need to download it.

 c'est vrai?

ça n'apparait pas dans la doc en français

faut-il le faire?

si c'est le cas je ne sais pas quoi choisir dans le menu déroulant . lequel prendre?

PKCS#12 Bundle
PEM Certificate
PEM key
PEM Bundle
PEM W/Root

merci pour ton aide précieuse

[trazomtg]

bonjour,

je suis en train de configurer le client openvpn sur ma Fedora 25.
la doc  https://wiki.contribs.org/OpenVPN_Bridge#Linux_with_Network_Manager ne donne la marche à suivre que pour Fedora 19
est ce que c'est valable pour Fedora 25 ou y a t il une autre doc?

merci

[guest22]

bonjour,

je suis en train de configurer le client openvpn sur ma Fedora 25.
la doc  https://wiki.contribs.org/OpenVPN_Bridge#Linux_with_Network_Manager ne donne la marche à suivre que pour Fedora 19
est ce que c'est valable pour Fedora 25 ou y a t il une autre doc?

merci

No there none, but if you would take some screenshots and post it to the wiki, that would help others. That is the nature of the community and the wiki.

[gieres]

Bonjour,
@tramzomtg
Effectivement, si tu peux rédiger cette procédure, cela (me) permettrait peut-être de comprendre ce qui n'est pas clair dans celle en français.
Bonne journée.

[trazomtg]

ok nice.

i don't know how to insert image in this post

here is the configuration file downloaded from smeserver

rport 1194
proto udp
dev tap
nobind
# Uncomment the following line if your system
# support passtos (not supported on Windows)
# passtos
remote smeserver-toshiba.trazom.thierry

tls-client
tls-auth takey.pem 1
ns-cert-type server


# Replace user.p12 with the certificate
# bundle in PKCS12 format
pkcs12 user.p12

# You can replace the pkcs12
# directive with the old ones
#ca cacert.pem
#cert user.pem
#key user-key.pem

mtu-test
comp-lzo
pull

 in which directory and what name to use for this file?

[guest22]

[Quote author = trazomtg link = topic = 53176.msg275443 # msg275443 date = 1499083462]
ok nice.

i do not know how to insert picture in this post
[/ quote]


You can use this http://picpaste.com/ and post the link.

[Stefano]

first of all, if possible, keep this discussion in one language only

to add an image, click on "reply" link below the post you want to answer (see pic)


in the page you are in front of, expand "Attachments and other options" link (see pic)

[guest22]

It seems that we are providing the basic help contrary the advanced help offered

[Stefano]

indeed, sad but true (let me say)

[trazomtg]

je suis tout simplement la doc

il est dit  dans la doc  https://wiki.contribs.org/OpenVPN_Bridge/fr

Pour aller plus en avant il nous faut obtenir les 4 certificats que la Sme vous a fourni dans la gestion intégrée des certificats (phpky)

    le certificat Racine ou ca, en général nommé ca.pem
    le certificat de l’utilisateur, en général user.pem
    la clef privée de l’utilisateur, en général user-key.pem
    une clef statique prépartagée, en général takey.pem

ou sont ces fichiers?
j'en ai un peu de partout!!!!

[guest22]

I unsubscribed from this topic.

[trazomtg]

j'ai trouvé, je crois, les fichiers.

malheureusement quand je veux créer une connexion VPN (connexion vpn) avec Network Manager, le renseigne les champs et je fais "enregistrer" mais rien n'est enregistré.
pas moyen de modifier les parametres de Network Manager!!

y a t il un autre moyen de créer une connexion VPN?

merci

quand tout marchera je ferai un petit topo que je vous enverrai

[trazomtg]

voici mon fichier client.ovpn

rport 1194
proto udp
dev tap
nobind
# Uncomment the following line if your system
# support passtos (not supported on Windows)
# passtos
remote smeserver-toshiba.trazom.thierry

tls-client
tls-auth takey.pem 1
ns-cert-type server


# Replace user.p12 with the certificate
# bundle in PKCS12 format
pkcs12 /home/thierry/Informatique/SMEserver/thierry.p12

# You can replace the pkcs12
# directive with the old ones
#ca /home/thierry/Informatique/SMEserver/Certificats/cacert.pem
#cert /home/thierry/Informatique/SMEserver/Certificats/cert.pem
#key /home/thierry/Informatique/SMEserver/thierry.p12

mtu-test
comp-lzo
pull

je pense qu'il est mauvais mais où?

[Daniel B.]

Il nous est absolument impossible de dire comme ça ce qu'il ne va pas. Si ton client est sous Linux avec une interface graphique, tu peux utiliser NetworkManager comme le wiki l'indique (pour F19, mais devrait être applicable aux versions plus récentes). Ce fichier de configuration là est valable si tu exécute openvpn à la main

Code: [Select]

openvpn --config /chemin/vers/ce/fichier/client.ovpn

Auquel cas, tu auras des messages d'erreurs si ça ne fonctionne pas

[trazomtg]

après quelques modifications du fichier client.opvn
j'essaye de comprendre pourquoi la commande
 openvpn --config /home/client.openVPN/client.ovpn

renvoie l'erreur:

[root@fedora-msi log]# openvpn --config /home/client.openVPN/client.ovpn
Tue Jul  4 22:13:27 2017 WARNING: file '/home/thierry/Informatique/SMEserver/thierry.p12' is group or others accessible
Tue Jul  4 22:13:27 2017 WARNING: file '/home/client.openVPN/takey.pem' is group or others accessible
Tue Jul  4 22:13:27 2017 OpenVPN 2.4.2 x86_64-redhat-linux-gnu [Fedora EPEL patched] [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on May 11 2017
Tue Jul  4 22:13:27 2017 library versions: OpenSSL 1.0.1e-fips 11 Feb 2013, LZO 2.08
Enter Private Key Password: ***************
Tue Jul  4 22:13:32 2017 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Tue Jul  4 22:13:32 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]82.240.100.49:1194
Tue Jul  4 22:13:32 2017 UDP link local: (not bound)
Tue Jul  4 22:13:32 2017 UDP link remote: [AF_INET]82.240.100.49:1194
Tue Jul  4 22:14:32 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Jul  4 22:14:32 2017 TLS Error: TLS handshake failed
Tue Jul  4 22:14:32 2017 SIGUSR1[soft,tls-error] received, process restarting
Tue Jul  4 22:14:37 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]82.240.100.49:1194
Tue Jul  4 22:14:37 2017 UDP link local: (not bound)
Tue Jul  4 22:14:37 2017 UDP link remote: [AF_INET]82.240.100.49:1194



j'e me dmande si ce n'est pas le firewall de SMEserver qui bloque.
j'ai trouvé ce fichier sur le server:
./usr/share/doc/openvpn-2.4.2/sample/sample-config-files/firewall.sh

est ce que je dois le lancer ou le modifier avant?
merci

[trazomtg]

hou ouh!!!

ne m'abandonnez pas !!!

je n'ose pas modifier et lancer le script firewall.sh. Quel est le fichier "iptables" qui est utilisé par defaut?
je pourrai le sauvegarder avant la manip mais je ne suis même pas sûr de retrouver la situation actuelle.

merci

[Jean-Philippe Pialasse]

j'essaye de comprendre pourquoi la commande
 openvpn --config /home/client.openVPN/client.ovpn

renvoie l'erreur:

[root@fedora-msi log]# openvpn --config /home/client.openVPN/client.ovpn
Tue Jul  4 22:13:27 2017 WARNING: file '/home/thierry/Informatique/SMEserver/thierry.p12' is group or others accessible
Tue Jul  4 22:13:27 2017 WARNING: file '/home/client.openVPN/takey.pem' is group or others accessible

le fichier est accessible per le groupe et les autres (que l'utilisateur) , veut certainement dire que le logiciel refuse d'utilsier cette configuration non sécuritaire !
changes les droits sur ces fichiers

j'e me dmande si ce n'est pas le firewall de SMEserver qui bloque.
j'ai trouvé ce fichier sur le server:
./usr/share/doc/openvpn-2.4.2/sample/sample-config-files/firewall.sh

est ce que je dois le lancer ou le modifier avant?
merci

si tu as utilisé la contribution smeserver-openvpn-bridge et suivi le how to, le firewall est configuré automatiquement.
aucune intervention manuelle n'est necessaire sur le firewall du SME.

[trazomtg]

comment je peux voir la configuration du firewall?

[trazomtg]

j"ai modifié les droits sur le
chmod 600 thierry.p12

 et plutot que de modifier les droits sur de fichier takey.pem j'ai fait un su - root

j'ai relancé la commande et voila ce que j'ai:  (plus de warning)

[root@fedora-msi ~]# openvpn --config /home/client.openVPN/client.ovpn
Thu Jul  6 02:24:31 2017 OpenVPN 2.4.2 x86_64-redhat-linux-gnu [Fedora EPEL patched] [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on May 11 2017
Thu Jul  6 02:24:31 2017 library versions: OpenSSL 1.0.1e-fips 11 Feb 2013, LZO 2.08
Enter Private Key Password: ***************
Thu Jul  6 02:24:38 2017 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Thu Jul  6 02:24:38 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]82.240.100.49:1194
Thu Jul  6 02:24:38 2017 UDP link local: (not bound)
Thu Jul  6 02:24:38 2017 UDP link remote: [AF_INET]82.240.100.49:1194
Thu Jul  6 02:25:38 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Jul  6 02:25:38 2017 TLS Error: TLS handshake failed
Thu Jul  6 02:25:38 2017 SIGUSR1[soft,tls-error] received, process restarting


je pense vraiment que c'est une question de firewall ou de port 1194 bloqué

[trazomtg]

j'ai ouvert le prot 1194 avec:

Le tableau ci-dessous résume les règles de renvoi de port actuellement définies sur ce serveur. Cliquez sur le lien "Supprimer" pour retirer la règle correspondante.
Protocole    Port(s) source    Adresse IP de l'hôte de destination    Port(s) de destination    Hôtes autorisés    Commentaire sur la règle    Action
UDP    1194    localhost                   Supprimer

j'ai la même erreur
je sens que je vais craquer!!!!!!!!!!!

[trazomtg]

voici mon fichier de config client:

rport 1194
proto udp
dev tap
nobind
# Uncomment the following line if your system
# support passtos (not supported on Windows)
# passtos
#remote smeserver-toshiba.trazom.thierry
remote 82.240.100.49

tls-client
tls-auth /home/client.openVPN/takey.pem 1
#ns-cert-type server
remote-cert-tls server

# Replace user.p12 with the certificate
# bundle in PKCS12 format
pkcs12 /home/thierry/Informatique/SMEserver/thierry.p12

# You can replace the pkcs12
# directive with the old ones
#ca /home/thierry/Informatique/SMEserver/Certificats/cacert.pem
#cert /home/thierry/Informatique/SMEserver/Certificats/cert.pem
#key /home/thierry/Informatique/SMEserver/thierry.p12

mtu-test
comp-lzo
pull


peut etre y a t il une erreur quelque part!!!

[gieres]

Bonjour,
La différence avec la configuration de référence, il n'y a pas ces lignes :

ns-cert-type server
auth-user-pass

Je suis totalement incompétent.

Bonne journée.

[Daniel B.]

Le port UDP 1194 de ton serveur n'est pas joignable. Il n'y a pas de renvoi à faire sur SME, tout est déjà préconfiguré. Il faut par contre soit que SME ait directement l'IP publique (box opérateur en mode bridge), soit que la box renvoi le port UDP 1194 vers l'IP SME (box opérateur en mode routeur). Aussi, depuis où tu te connectes ? Si c'est depuis ton LAN, il y a une autre complication, puisque tu tentes de te connecter sur l'IP publique, il faut que la box supporte la réflexion NAT, ce qui n'est généralement pas le cas. Bref, pour tester, fais le depuis un autre endroit (via un modem 4G par exemple)

[trazomtg]

est ce que j'ai correctement ouvert le port 1194?
mon SMEserver a sur don interface externe l'adresse ip de ma box: 82.ccc.ccc.ccc etil fait routeur puisque je l'ai installé en mode server/gateway.
ma box ne plus plus router mais seulement bridge

je dois ajouter  les 2 lignes :
ns-cert-type server
auth-user-pass   ????

[trazomtg]

j'ai peut-être une piste!!

j'ai lancé la commande sur le SMEserver:

Code: [Select]

tcpdump -p tcp -i eth1 -n port 1194
[b]tcpdump: WARNING: eth1: no IPv4 address assigned[/b]
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
^C
0 packets captured
2 packets received by filter
0 packets dropped by kernel

bizarre non?

j'ai fait un ifconfig sur le SMEserver

Code: [Select]

[root@smeserver-toshiba ~]# ifconfig
br0       Link encap:Ethernet  HWaddr 00:24:9B:23:3F:6C 
          inet adr:192.168.0.1  Bcast:192.168.0.255  Masque:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:22790774 errors:0 dropped:0 overruns:0 frame:0
          TX packets:45562030 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0
          RX bytes:2396952172 (2.2 GiB)  TX bytes:66299684446 (61.7 GiB)

eth0      Link encap:Ethernet  HWaddr 00:1E:68:8C:02:E9 
          inet adr:82.240.100.49  Bcast:82.240.100.255  Masque:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:46093837 errors:0 dropped:0 overruns:0 frame:0
          TX packets:22895872 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          RX bytes:66337627199 (61.7 GiB)  TX bytes:2678901152 (2.4 GiB)
          Interruption:17

eth1      Link encap:Ethernet  HWaddr 00:24:9B:23:3F:6C 
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:22790787 errors:0 dropped:0 overruns:0 frame:0
          TX packets:45562044 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          RX bytes:2396959972 (2.2 GiB)  TX bytes:66664184354 (62.0 GiB)

lo        Link encap:Boucle locale 
          inet adr:127.0.0.1  Masque:255.0.0.0
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:80728 errors:0 dropped:0 overruns:0 frame:0
          TX packets:80728 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0
          RX bytes:12139406 (11.5 MiB)  TX bytes:12139406 (11.5 MiB)

tap0      Link encap:Ethernet  HWaddr 2E:EB:86:DE:AA:56 
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:12981 overruns:0 carrier:0
          collisions:0 lg file transmission:100
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

je n'ai pas d'adresse ip sur le port eth1 ni sur tpa0

je crois que ça vient de là.
qu'en pensez-vous?
merci

[Daniel B.]

Ça ne vient pas de là. La partie serveur se configure toute seule. C'est normal qu'il n'y ait pas d'ip sur tap0 et l'interface locale, les deux sont membres du bridge br0. Et le trafic est en udp, voilà pourquoi ton tcpdump ne montre rien

[trazomtg]

ok merci

du coup je ne sais plus quoi faire!!

[trazomtg]

j'ai toujours la même erreur:

Code: [Select]

Fri Jul  7 14:24:34 2017 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Fri Jul  7 14:24:34 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]82.240.100.49:1194
Fri Jul  7 14:24:34 2017 UDP link local: (not bound)
Fri Jul  7 14:24:34 2017 UDP link remote: [AF_INET]82.240.100.49:1194
Fri Jul  7 14:25:34 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri Jul  7 14:25:34 2017 TLS Error: TLS handshake failed
Fri Jul  7 14:25:34 2017 SIGUSR1[soft,tls-error] received, process restarting

[Daniel B.]

En général, cette erreur montre que ton client ne peut pas contacter le port UDP 1194 du serveur. Sans savoir depuis où tu te connectes, je ne peux pas en dire plus

[trazomtg]

je me connecte depuis un ordi sur mon lan derriere SMEserver

[Daniel B.]

Alors, depuis le LAN, ça ne pourra pas marcher, quoi qu'il arrive (la connexion devrait cependant s'établir). Tu as peut être mal configuré les certificats du serveur. Vérifies que le démon soit bien lancé

Code: [Select]

tailf /var/log/openvpn-bridge/current


[trazomtg]

pourquoi ça ne marchera pas depuis le lan?

voici le résultat du tailf:

Code: [Select]

@400000005960ccd104ed9ab4 WARNING: file 'priv/takey.pem' is group or others accessible
@400000005960ccd104ee4694 OpenVPN 2.4.2 x86_64-redhat-linux-gnu [Fedora EPEL patched] [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on May 11 2017
@400000005960ccd104ee524c library versions: OpenSSL 1.0.1e-fips 11 Feb 2013, LZO 2.03
@400000005960ccd104f51c94 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:11194
@400000005960ccd104f71c4c NOTE: when bridging your LAN adapter with the TAP adapter, note that the new bridge adapter will often take on its own IP address that is different from what the LAN adapter was previously set to
@400000005960ccd10519abf4 Diffie-Hellman initialized with 1024 bit key
@400000005960ccd1051e47a4 neither stdin nor stderr are a tty device and you have neither a controlling tty nor systemd - can't ask for 'Enter Private Key Password:'.  If you used --daemon, you need to use --askpass to make passphrase-protected keys work, and you can not use --auth-nocache.
@400000005960ccd1051e535c Exiting due to fatal error

j'ai aussi trouvé ça:
https://openvpn.net/index.php/open-source/faq/79-client/253-tls-error-tls-key-negotiation-failed-to-occur-within-60-seconds-check-your-network-connectivity.html

[Daniel B.]

Tu as créé un certificat dont la clé privée est protégée par mot de passe. Comme indiqué dans la Doc, il ne faut pas de mot de passe. Recrée un certificat, et met le en place via le panel du server-manager

[trazomtg]

quel est ce certificat? le principal du server? (CA)

j'ai 2 certificats sur mon client:  cert.pem et cacert.pem + takey.pem

et j'ai tout ça sur le server (entre autres)

Code: [Select]

./etc/openvpn/bridge/pub/cacert.pem
./etc/openvpn/bridge/pub/cacrl.pem
./etc/openvpn/bridge/pub/cert.pem
./etc/openvpn/bridge/pub/dh.pem
./etc/openvpn/bridge/priv/takey.pem
./etc/openvpn/bridge/priv/key.pem
./etc/raddb/certs/radiusd.pem
./etc/raddb/certs/ca.pem
./etc/raddb/certs/server.pem
./etc/raddb/certs/01.pem

[Stefano]

I beg your pardon but you introduced yourself as an old sysadmin IIRC
you'd be able to read and follow the documentati on
If anything in the DOC is unclear, please open a bug or, if you feel you can help us, ask for a wiki access and amend the wiki

[trazomtg]

hi,

the doc is multiple and has a lot of pages out of services.
for exemple: what's the utility of the script firewall.sh?
the port 1194 must be opened and we find sometimes the port 443

so i'd like to know what's this certificat and its private key?

when i have resolve my problemes i thought to give you all i in a file on your website.
if you don't agree, ok, let's me search alone, i never give up and i allways find the solutions.
but you'll not receive any of my contribution and le next client will have the same problems

Best regards
T

[gieres]

Bonsoir,

Certificat du serveur

Maintenant, vous devez créer un certificat pour OpenVPN sur le serveur. Pour cela, dans le gestionnaire du serveur, section « Sécurité », le menu « Gestion des certificats » permet d'accéder à l’interface PHPki en anglais. (A vérifier)

Choisir « Create a new certificate ». Ici, vous devrez entrer quelques informations sur le certificat :

    Common Name: c’est le nom du certificat. Vous pouvez entrer ce que vous voulez, par exemple « openvpn-bridge »
    Email address: l’adresse e-mail du contact technique (ce champ n’est pas utilisé, vous pouvez entrer ce que vous voulez tant qu’il s’agit d’une adresse e-mail valide), par exemple admin@domain.tld
    Organization, Department, Locality, State and Country: les champs devraient avoir les valeurs que vous avez entrées lorsque vous avez créé votre PKI. Vous pouvez laisser ces valeurs.
    Password: Ce champ doit être vide. Rappelez-vous que le démon OpenVPN démarre sans intervention humaine lors du démarrage du serveur, donc il faut avoir accès à la clé du certificat sans être invité à entrer un mot de passe.

Bonne fin de semaine.

[trazomtg]

j'ai installé le certificat server ... correctement j'espère!

je vais faire de même avec le client
je te tiens au courant

[trazomtg]

ça va mieux mais j'ai une nouvelle erreur:

Code: [Select]

[root@fedora-msi Certificats]# openvpn --config /home/thierry/Informatique/SMEserver/Certificats/client.ovpn
Sun Jul  9 18:02:26 2017 OpenVPN 2.4.2 x86_64-redhat-linux-gnu [Fedora EPEL patched] [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on May 11 2017
Sun Jul  9 18:02:26 2017 library versions: OpenSSL 1.0.1e-fips 11 Feb 2013, LZO 2.08
Sun Jul  9 18:02:26 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.0.1:1194
Sun Jul  9 18:02:26 2017 UDP link local: (not bound)
Sun Jul  9 18:02:26 2017 UDP link remote: [AF_INET]192.168.0.1:1194
Sun Jul  9 18:02:26 2017 write UDP: Network is unreachable (code=101)
Sun Jul  9 18:02:26 2017 Network unreachable, restarting
Sun Jul  9 18:02:26 2017 SIGUSR1[soft,network-unreachable] received, process restarting


je pense que le fichier openvpn.conf n'est pas bon:

#------------------------------------------------------------
#          !!DO NOT MODIFY THIS FILE!!
#
# Manual changes will be lost when this file is regenerated.
#
# Please read the developer's guide, which is available
# at http://www.contribs.org/development/
#
# Copyright (C) 1999-2006 Mitel Networks Corporation
#------------------------------------------------------------
# Virtual Interface Configuration

port 1194
proto udp
dev tap0


# Drop down privileges
user nobody
group nobody
chroot /etc/openvpn/bridge

persist-key
persist-tun

# Certificates config
dh pub/dh.pem
ca pub/cacert.pem
cert pub/cert.pem
key priv/key.pem
tls-server



# CRL file for certificates verification
crl-verify pub/cacrl.pem

# Plugin for user-auth


# Server mode
server-bridge 192.168.0.1 255.255.255.0 192.168.0.22 192.168.0.25

# Options
keepalive 10 120
push "dhcp-option DOMAIN trazom.thierry"
push "dhcp-option DNS 192.168.0.1"
push "dhcp-option WINS 192.168.0.1"

mtu-test
passtos


nice 5

# Routes


# Management interface
management localhost 11194 management-pass.txt

# Clients options
client-config-dir ccd
max-clients 20
comp-lzo adaptive
push "comp-lzo adaptive"


# Log
status-version 2
status bridge-status.txt
suppress-timestamps
verb 3

qu'en penses-tu?

[stephdl]

Je vais simplement suggerer de reprendre a zero, il me semble que vous etes passé à côté de points tout simplement indispendable.

Quitte a faire cela sur une machine vierge histoire de voir si une customisation ne mettrait pas la panique

Quelques liens que j'ai ecris sur le sujet, networkmanager a changé graphiquement mais le fond est le même

https://geekeries.de-labrusse.fr/?p=2766
https://geekeries.de-labrusse.fr/?p=360
https://geekeries.de-labrusse.fr/?p=235

[trazomtg]

bonjour,

j'ai eu le problème de https://geekeries.de-labrusse.fr/?p=2766  mais je l'ai résolu.
dans ton 2ème lien https://geekeries.de-labrusse.fr/?p=360  je n'arrive pas à rentrer les valeurs user.pem CA.pem et user-key.pem
de plus je n'ai pas créé de user-key car il est écrit dans la doc que ce n'est pas nécessaire.

[stephdl]

Va bien falloir rentrer les certificats du client sur le pc qui demande a se connecter au vpn.....sinon marchera pas.

De plus que veux tu dire par je n'y arrive pas.....surtout que la c'est sur le client et non sur la sme

La user-key est obligatoirement crée.....quel est le lien qui vous demande de ne pas la créer.

Utiliser openvpn est simple, le parametrer l est presque tout autant je crois que vous etes passé à côté d'un truc évident du style mettre le bon certificat a la bonne place

[guest22]

[Quote author = trazomtg link = topic = 53176.msg275640 # msg275640 date = 1499548393]
Receive goal you'll not'any of my contribution and the next customer will avez la même problems
[/ quote]


How friendly.... and you are asking for help?

[stephdl]

[Quote author = trazomtg link = topic = 53176.msg275640 # msg275640 date = 1499548393]
Receive goal you'll not'any of my contribution and the next customer will avez la même problems
[/ quote]


How friendly.... and you are asking for help?

I read also some sentences not really cool against trazomtg, you have one new user to integrate and it is a problem. I know that thierry is an IT professional, but he must learn from the beginning.

Honestly it is a pity, I'm sad.

[Stefano]

Sad things are other, but this is not the place to discuss about them
BTW, contact me offline, thank you

[trazomtg]

merci stephdl 

j'ai les certificats suivants sur le client:

cacert.pem-------------->CA
debergerauc.pem------>user
debergerac-key.pem--->kser-key
takey-pem
debergerac.p12--------->pcks12
client.ovpn

sur le server j'ai:

cacert.pem--------------->CA
cert.pem
carl.pem
dh.pem
/etc/openvpn/bridge/openvpn.conf

je fais de mon mieux pour essayer de trouver tout seul. j'ai déjà fait pal mal de choses.
Quant à ceux qui se croient "supérieurs" et pensent que je mérite pas la moindre aide pour des questions aussi bêtes je leur rappelle que ce sont en général ceux qui en savent le moins qui tentent de protéger leur tout petit, tout petit jardin.
j'espère que je n'aurai pas à vous aider sur d'autres sujets, mais je le ferrai volontiers
T

[Stefano]

kinda of dejavu, isn't it?

strange enough, similar sentences, almost the same words.. I repeat: I already saw all of this.. I hope I'm wrong

[guest22]

I've got the same feeling Stefano, same old same old, just with a slightly different 'colour'. The tactics and 'I am right' are similar.

[Daniel B.]

Svp, on est dans la section française du forum, donc en français uniquement. Second point: tout ce qui n'est pas en rapport avec la configuration d'OpenVPN est hors sujet ici.
Guys please, we're in the french section of the forum, so please only speak french. Also, everything which is not related to OpenVPN's config is OT here.

Thanks

[guest22]

There are no translations available. If you are in the IT business, it's all English, if not, Google translate, Siti or whatever engine translates on the fly.


The whole point of this discussion is beyond me, all is on the wiki pages, but somehow somebody is trying for a free education. I have seen al of you say 'READ THE DOCS'. This is costing too much management time on monitoring the forums. Unsubscribing from this topic.

[trazomtg]

ho les anglais!!! que veulent dire toutes vos insultes?
je ne comprends pas vos échanges à mon sujet!!!
si vous n'etes pas assez malins pour comprendre le français, barrez-vous.
je n'ai jamais vu ça sur un forum

i think i'm going to send a message to to your president with your mails attached. and a copy to Fedora, Debian, Redhat et Suse administrators.

en attendant si stephdl ao Daniek B acceptent de m'aider encore un peu j'en serai tres heureux.
j'ai modifié le fichier client.opvn sur ler client:

rport 1194
proto udp
dev tap
nobind
# Uncomment the following line if your system
# support passtos (not supported on Windows)
# passtos
remote smeserver-toshiba
tls-client
tls-auth /home/thierry/Informatique/SMEserver/Certificats/takey.pem 1
--remote-cert-tls server


# Replace user.p12 with the certificate
# bundle in PKCS12 format
#pkcs12 /home/thierry/Informatique/SMEserver/Certificats/debergerac.p12

# You can replace the pkcs12
# directive with the old ones
#ca cacert.pem
#cert user.pem
#key user-key.pem

ca /home/thierry/Informatique/SMEserver/Certificats/cacert.pem
cert /home/thierry/Informatique/SMEserver/Certificats/debergerac.pem
key /home/thierry/Informatique/SMEserver/Certificats/debergerac-key.pem


mtu-test
comp-lzo
pull



et j'ai une autre erreur:

Code: [Select]

[root@fedora-msi Certificats]# openvpn --config /home/thierry/Informatique/SMEserver/Certificats/client.ovpn
Mon Jul 10 20:47:51 2017 WARNING: file '/home/thierry/Informatique/SMEserver/Certificats/takey.pem' is group or others accessible
Mon Jul 10 20:47:51 2017 OpenVPN 2.4.2 x86_64-redhat-linux-gnu [Fedora EPEL patched] [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on May 11 2017
Mon Jul 10 20:47:51 2017 library versions: OpenSSL 1.0.1e-fips 11 Feb 2013, LZO 2.08
Mon Jul 10 20:47:51 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.0.1:1194
Mon Jul 10 20:47:51 2017 UDP link local: (not bound)
Mon Jul 10 20:47:51 2017 UDP link remote: [AF_INET]192.168.0.1:1194
Mon Jul 10 20:47:51 2017 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]192.168.0.1:1194
Mon Jul 10 20:47:53 2017 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]192.168.0.1:1194

j'ai trouvé ça sur le site de OPENVPN:

https://community.openvpn.net/openvpn/wiki/BridgingOverview

et ça:

https://forums.openvpn.net/viewtopic.php?t=22462

merci beaucoup

[stephdl]

Revenir au basique.......

A ce stade des impressions d'ecrans de la configuration des certificats du server sont indispensables, pareil pour le parametrage de networkmanager car les erreurs peuvent être multiples.

Malheureusement on ne pourra pas t'aider sans.

En fait tu cherches un bug, alors que probablement tu es la raison de ce bug...tu sais l'interface chaise/clavier et toussa.

[Jean-Philippe Pialasse]

Revenir au basique.......

A ce stade des impressions d'ecrans de la configuration des certificats du server sont indispensables, pareil pour le parametrage de networkmanager car les erreurs peuvent être multiples.

Malheureusement on ne pourra pas t'aider sans.

En fait tu cherches un bug, alors que probablement tu es la raison de ce bug...tu sais l'interface chaise/clavier et toussa.

je mettrais juste un bemol sur "impressions d'ecrans de la configuration des certificats du server " pour éviter de compromettre tes clefs.



personnellement ce que j'aurais conseillé c'est de reprendre la configuration du début en utilisant phpki comme décrit dans le wiki, jusqu’à ce que tu aies une configuration fonctionnelle. J'aurais ensuite migré vers mes certificats perso déjà en main, en comparant les formats des clefs générées par phpki et celles en main.

je ne vois que des logs venant de ton client mais aucun de ton serveur, prouvant que le service tourne correctement et avec une bonne configuration, il est fort probable que tu trouve le problème en regardant tes logs serveur. Par exemple un certificat utilisé invalide ou non prévu pour une utilisation vpn.

Code: [Select]

# tail -f /var/log/openvpn-bridge/current
ou via le manager par la panel des logs.

[trazomtg]

merci pour votre réponse.
voici la log /var/log/open-bridge/current du server:

Code: [Select]

@400000005963cbe11fe07044 192.168.0.20:55445 TLS: Initial packet from [AF_INET]192.168.0.20:55445, sid=a6c1adec 11579188
@400000005963cbe11fe07fe4 192.168.0.20:55445 TLS Error: reading acknowledgement record from packet
@400000005963cbe328888c7c 192.168.0.20:55445 TLS Error: reading acknowledgement record from packet
@400000005963cc1d1c868f14 192.168.0.20:55445 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
@400000005963cc1d1c86a29c 192.168.0.20:55445 TLS Error: TLS handshake failed
@400000005963cc1d1c896d74 192.168.0.20:55445 SIGUSR1[soft,tls-error] received, client-instance restarting

network-manager ne fonctionne pas: je n'arrive pas à créer une connexion VPN car je ne peux remplir tous les champs!

j'ai aussi: sur le server

Code: [Select]

[root@smeserver-toshiba openvpn-bridge]#  brctl show br0
bridge name bridge id STP enabled interfaces
br0 8000.00249b233f6c no eth1
tap0

et

Code: [Select]

[root@smeserver-toshiba openvpn-bridge]# db configuration show bridge
bridge=service
    bridgeInterface=br0
    ethernetInterface=eth1
    status=enabled
    tapInterface=tap0


je suis assez d'accord avec l'interface chaise/clavier
je vais reprendre la configuration depuis le début et je vous tiendrai au courant.
bonne nuit
Merci encore
T.

[stephdl]

network-manager ne fonctionne pas: je n'arrive pas à créer une connexion VPN car je ne peux remplir tous les champs!

commence par le commencement, répare ton NM, installe une autre distribution linux

NM est tout simplement indispendable....si il ne marche pas.... as tu installé NetworkManager-openvpn-gnome

[Daniel B.]

Le problème (du moins un problème) est assez simple: tu as utilisé la clé d'auth secrète (clé partagée, takey.pem) sur le client, mais pas sur le serveur. Soit elle l'est sur les 2, soit sur aucun des deux, sinon, la connexion sera refusée bien avant que les certificats ne soient vérifiés. Mais tout ça est bien documenté sur le wiki (Static Key: This is optional. You can get it using the "Display the static pre-shared key" link in PHPki. Note that if you enter this key on the server, you'll have to deploy it on each client.), lis le calmement, et en entier

[Jean-Philippe Pialasse]

bonjour,

je suis en train de configurer le client openvpn sur ma Fedora 25.
la doc  https://wiki.contribs.org/OpenVPN_Bridge#Linux_with_Network_Manager ne donne la marche à suivre que pour Fedora 19
est ce que c'est valable pour Fedora 25 ou y a t il une autre doc?

merci

je confirme que le NM marche sur Fedora 25. Cela marche pour moi sur 3 ordinateurs différents vers plusieurs serveurs openvpn différents. Pas vu de doc spécifique a fedora 25.

les champs à enseigner pour une auth par certificats
- Identité
-- passerelle : ip de ton serveur
-- authentification :
--- type: certificat (TLS)
---certificat utilisateur ( peut être un pem ou un p12, doit être dans un dossier respectant les politiques de sécurité : /home/username/.cert/tonserveur avec droits en lecture et écriture seulement par l'utilisateur, inaccessible pour le groupe et les autres !  )
---certificat du CA ( peut être un pem ou un p12, doit être dans un dossier respectant les politiques de sécurité : /home/username/.cert/tonserveur avec droits en lecture et écriture seulement par l'utilisateur, inaccessible pour le groupe et les autres !  )
---clé privée ( peut être un key ou un p12, doit être dans un dossier respectant les politiques de sécurité : /home/username/.cert/tonserveur  avec droits en lecture et écriture seulement par l'utilisateur, inaccessible pour le groupe et les autres ! )
---mot de passe clé privée: (obligatoire donc ta clef doit avoir été générée avec mot de passe sinon NM n'en voudra pas et n'enregistrera pas ta configuration) SI tu veux utiliser une clef sans passphrase, alors tu dois utiliser la configuration manuelle de openvpn et créer une entrée spécifique dans systemd pour ouvrir la connexion au démarrage. Cherche aussi sur internet comment générer une clef avec passphrase à partir d'une clef sans.

--avancé :
---général coché LZO si activé sur serveur
---authentification TLS: cocher "utilsier authentification TLS supplémentaire" si activée sur serveur, renseigner le fichier clé (.pem qui doit être dans un sous dossier /home/username/.cert/tonserveur avec droits en lecture et écriture seulement par l'utilisateur, inaccessible pour le groupe et les autres ! ), direction de la clé ( meme valeur que sur le serveur)

tout le reste peut être laissé par défaut !

[trazomtg]

je vous remercie pour ces réponses.
je vais suivre exactement ce que vous me dites et je vous tiendrai au courant.

c'est vrai que la doc est précise et j'ai donc du sauter un point crucial
cordialement
T.

[trazomtg]

voici les nouvelles du front:

j'ai recréé les certificats et les clés.
j'ai configuré VPN depuis Network Manager

pour rappel  :  mon ordi A (192.168.0.20)est sur mon LAN derrière SMEserver
mon SMEserver est configuré en openvpn-bridge
il a 2 interfaces :  eth1 pour le lan et eth0 pour l'internet

voici ifconfig de A:

Code: [Select]

enp4s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.0.20  netmask 255.255.255.0  broadcast 192.168.0.255
        inet6 fe80::c9d3:d950:76bd:3241  prefixlen 64  scopeid 0x20<link>
        ether d8:cb:8a:85:1f:69  txqueuelen 1000  (Ethernet)
        RX packets 4904582  bytes 6250162814 (5.8 GiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 2574667  bytes 343598987 (327.6 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device interrupt 19 

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Boucle locale)
        RX packets 15922  bytes 1432768 (1.3 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 15922  bytes 1432768 (1.3 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

tap0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.0.22  netmask 255.255.255.0  broadcast 192.168.0.255
        inet6 fe80::40ec:60ff:fe4d:7373  prefixlen 64  scopeid 0x20<link>
        ether 42:ec:60:4d:73:73  txqueuelen 100  (Ethernet)
        RX packets 20  bytes 3337 (3.2 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 57  bytes 7820 (7.6 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

wlp5s0: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        ether 6a:d3:4f:b2:eb:5b  txqueuelen 1000  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

et ifconfig de SMEserver :

Code: [Select]

[root@smeserver-toshiba ~]# ifconfig
br0       Link encap:Ethernet  HWaddr 00:24:9B:23:3F:6C 
          inet adr:192.168.0.1  Bcast:192.168.0.255  Masque:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:42258082 errors:0 dropped:0 overruns:0 frame:0
          TX packets:94901959 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0
          RX bytes:4028977313 (3.7 GiB)  TX bytes:128727006320 (119.8 GiB)

eth0      Link encap:Ethernet  HWaddr 00:1E:68:8C:02:E9 
          inet adr:82.240.100.49  Bcast:82.240.100.255  Masque:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:81344439 errors:0 dropped:1 overruns:0 frame:0
          TX packets:40442761 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          RX bytes:117982592903 (109.8 GiB)  TX bytes:4268069370 (3.9 GiB)
          Interruption:17

eth1      Link encap:Ethernet  HWaddr 00:24:9B:23:3F:6C 
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:42256570 errors:0 dropped:0 overruns:0 frame:0
          TX packets:83169153 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          RX bytes:4028895641 (3.7 GiB)  TX bytes:119935724743 (111.6 GiB)

lo        Link encap:Boucle locale 
          inet adr:127.0.0.1  Masque:255.0.0.0
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:134581 errors:0 dropped:0 overruns:0 frame:0
          TX packets:134581 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0
          RX bytes:20206888 (19.2 MiB)  TX bytes:20206888 (19.2 MiB)

tap0      Link encap:Ethernet  HWaddr 2E:EB:86:DE:AA:56 
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:1525 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5947749 errors:0 dropped:5815322 overruns:0 carrier:0
          collisions:0 lg file transmission:100
          RX bytes:110822 (108.2 KiB)  TX bytes:8882499047 (8.2 GiB)


tout a l'air ok MAIS:

quand je suis connecté depuis A  et que je veux me connecter en VPN, je me connecte  mais mon adresse ip sur internet est toujours la mienne
si je coupe la connexion  enp4s0 sur A le VPN se coupe automatiquement
si je veux rétablir une connexion VPN je ne peux pas le faire si la connexion enp4s0 est coupée

bizarre non!!!!!

[Daniel B.]

quand je suis connecté depuis A  et que je veux me connecter en VPN

Comme je t'ai déjà dis, le VPN n'a pas de sens si tu te connectes depuis le LAN. Dans le meilleurs des cas, le trafic ne passera pas par le VPN, et ça servira à rien, sinon, ça coupera toute connexion réseau (boucle de routage)

je me connecte  mais mon adresse ip sur internet est toujours la mienne

Bien sûr, pourquoi, et comment ça te changerait ton IP ? Si tu te connectes depuis l'extérieur (par exemple, depuis la 3G partagée par ton tel), et que tu as activé la redirection de passerelle, là par contre, ton IP publique de sortie ne sera plus celle de ta 3G, mais celle de ton serveur.

si je coupe la connexion  enp4s0 sur A le VPN se coupe automatiquement
si je veux rétablir une connexion VPN je ne peux pas le faire si la connexion enp4s0 est coupée

bizarre non!!!!!

Ce n'est pas bizarre du tout, le VPN ne fait pas de magie, il faut une connexion réseau pour qu'il puisse s'établir....

J'ai du mal à comprendre ce que tu attends du VPN là, et j'ai l'impression que tu n'as pas compris du tout à quoi il peut servir

[trazomtg]

si si, mais je pensais qu'on pouvait, peut-être, se connecter à internet depuis le lan via le VPN, mais c'est vrai que cela n'a aucun sens
donc tout est normal!!!

2 petites questions faciles pour toi:

comment je fais la "redirection de passerelle"? j'ai utilisé la redirection de port sur smeserver mais je ne sais pas si c'est bon
comment je peux tester depuis mon LAN et mon ordi A que je me connecte bien à mon VPN depuis l'extérieur?

merci


PS:
pour avoir une connexion, j'ai quand même du faire:
        sur le client :  takey.pem = 1 et 0 sur le serveur éventuellement)
        sur le serveur :
             expand-template /etc/httpd/conf/httpd.conf
             expand-template /etc/httpd/pki-conf/httpd.conf
             sv t /service/httpd-e-smith
             sv u /service/httpd-pki
             lancer VPN avec la commande :  sv u /service/openvpn-bridge   et non pas avec la commande /etc/init.d/openvpn start

ces choses là m'avaient totalement échappé!!

[trazomtg]

hello,

je voudrais trouver un fournisseur de serveur VPN gratuit . Lequel me conseillez vous?
je suis content d'avoir quand même, grâce à vous tous, réussi à installer mon VPN
merci

[Daniel B.]

je voudrais trouver un fournisseur de serveur VPN gratuit . Lequel me conseillez vous?

Aucun, en particulier gratuit

[trazomtg]

bon!!!! ça a au moins me mérite d'être clair.
et un service payant?