Topic: openvpn et pki

[Daniel B.]

Il nous est absolument impossible de dire comme ça ce qu'il ne va pas. Si ton client est sous Linux avec une interface graphique, tu peux utiliser NetworkManager comme le wiki l'indique (pour F19, mais devrait être applicable aux versions plus récentes). Ce fichier de configuration là est valable si tu exécute openvpn à la main

Code: [Select]

openvpn --config /chemin/vers/ce/fichier/client.ovpn

Auquel cas, tu auras des messages d'erreurs si ça ne fonctionne pas

[trazomtg]

après quelques modifications du fichier client.opvn
j'essaye de comprendre pourquoi la commande
 openvpn --config /home/client.openVPN/client.ovpn

renvoie l'erreur:

[root@fedora-msi log]# openvpn --config /home/client.openVPN/client.ovpn
Tue Jul  4 22:13:27 2017 WARNING: file '/home/thierry/Informatique/SMEserver/thierry.p12' is group or others accessible
Tue Jul  4 22:13:27 2017 WARNING: file '/home/client.openVPN/takey.pem' is group or others accessible
Tue Jul  4 22:13:27 2017 OpenVPN 2.4.2 x86_64-redhat-linux-gnu [Fedora EPEL patched] [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on May 11 2017
Tue Jul  4 22:13:27 2017 library versions: OpenSSL 1.0.1e-fips 11 Feb 2013, LZO 2.08
Enter Private Key Password: ***************
Tue Jul  4 22:13:32 2017 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Tue Jul  4 22:13:32 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]82.240.100.49:1194
Tue Jul  4 22:13:32 2017 UDP link local: (not bound)
Tue Jul  4 22:13:32 2017 UDP link remote: [AF_INET]82.240.100.49:1194
Tue Jul  4 22:14:32 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Jul  4 22:14:32 2017 TLS Error: TLS handshake failed
Tue Jul  4 22:14:32 2017 SIGUSR1[soft,tls-error] received, process restarting
Tue Jul  4 22:14:37 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]82.240.100.49:1194
Tue Jul  4 22:14:37 2017 UDP link local: (not bound)
Tue Jul  4 22:14:37 2017 UDP link remote: [AF_INET]82.240.100.49:1194



j'e me dmande si ce n'est pas le firewall de SMEserver qui bloque.
j'ai trouvé ce fichier sur le server:
./usr/share/doc/openvpn-2.4.2/sample/sample-config-files/firewall.sh

est ce que je dois le lancer ou le modifier avant?
merci

[trazomtg]

hou ouh!!!

ne m'abandonnez pas !!!

je n'ose pas modifier et lancer le script firewall.sh. Quel est le fichier "iptables" qui est utilisé par defaut?
je pourrai le sauvegarder avant la manip mais je ne suis même pas sûr de retrouver la situation actuelle.

merci

[Jean-Philippe Pialasse]

j'essaye de comprendre pourquoi la commande
 openvpn --config /home/client.openVPN/client.ovpn

renvoie l'erreur:

[root@fedora-msi log]# openvpn --config /home/client.openVPN/client.ovpn
Tue Jul  4 22:13:27 2017 WARNING: file '/home/thierry/Informatique/SMEserver/thierry.p12' is group or others accessible
Tue Jul  4 22:13:27 2017 WARNING: file '/home/client.openVPN/takey.pem' is group or others accessible

le fichier est accessible per le groupe et les autres (que l'utilisateur) , veut certainement dire que le logiciel refuse d'utilsier cette configuration non sécuritaire !
changes les droits sur ces fichiers

j'e me dmande si ce n'est pas le firewall de SMEserver qui bloque.
j'ai trouvé ce fichier sur le server:
./usr/share/doc/openvpn-2.4.2/sample/sample-config-files/firewall.sh

est ce que je dois le lancer ou le modifier avant?
merci

si tu as utilisé la contribution smeserver-openvpn-bridge et suivi le how to, le firewall est configuré automatiquement.
aucune intervention manuelle n'est necessaire sur le firewall du SME.

[trazomtg]

comment je peux voir la configuration du firewall?

[trazomtg]

j"ai modifié les droits sur le
chmod 600 thierry.p12

 et plutot que de modifier les droits sur de fichier takey.pem j'ai fait un su - root

j'ai relancé la commande et voila ce que j'ai:  (plus de warning)

[root@fedora-msi ~]# openvpn --config /home/client.openVPN/client.ovpn
Thu Jul  6 02:24:31 2017 OpenVPN 2.4.2 x86_64-redhat-linux-gnu [Fedora EPEL patched] [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on May 11 2017
Thu Jul  6 02:24:31 2017 library versions: OpenSSL 1.0.1e-fips 11 Feb 2013, LZO 2.08
Enter Private Key Password: ***************
Thu Jul  6 02:24:38 2017 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Thu Jul  6 02:24:38 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]82.240.100.49:1194
Thu Jul  6 02:24:38 2017 UDP link local: (not bound)
Thu Jul  6 02:24:38 2017 UDP link remote: [AF_INET]82.240.100.49:1194
Thu Jul  6 02:25:38 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Jul  6 02:25:38 2017 TLS Error: TLS handshake failed
Thu Jul  6 02:25:38 2017 SIGUSR1[soft,tls-error] received, process restarting


je pense vraiment que c'est une question de firewall ou de port 1194 bloqué

[trazomtg]

j'ai ouvert le prot 1194 avec:

Le tableau ci-dessous résume les règles de renvoi de port actuellement définies sur ce serveur. Cliquez sur le lien "Supprimer" pour retirer la règle correspondante.
Protocole    Port(s) source    Adresse IP de l'hôte de destination    Port(s) de destination    Hôtes autorisés    Commentaire sur la règle    Action
UDP    1194    localhost                   Supprimer

j'ai la même erreur
je sens que je vais craquer!!!!!!!!!!!

[trazomtg]

voici mon fichier de config client:

rport 1194
proto udp
dev tap
nobind
# Uncomment the following line if your system
# support passtos (not supported on Windows)
# passtos
#remote smeserver-toshiba.trazom.thierry
remote 82.240.100.49

tls-client
tls-auth /home/client.openVPN/takey.pem 1
#ns-cert-type server
remote-cert-tls server

# Replace user.p12 with the certificate
# bundle in PKCS12 format
pkcs12 /home/thierry/Informatique/SMEserver/thierry.p12

# You can replace the pkcs12
# directive with the old ones
#ca /home/thierry/Informatique/SMEserver/Certificats/cacert.pem
#cert /home/thierry/Informatique/SMEserver/Certificats/cert.pem
#key /home/thierry/Informatique/SMEserver/thierry.p12

mtu-test
comp-lzo
pull


peut etre y a t il une erreur quelque part!!!

[gieres]

Bonjour,
La différence avec la configuration de référence, il n'y a pas ces lignes :

ns-cert-type server
auth-user-pass

Je suis totalement incompétent.

Bonne journée.

[Daniel B.]

Le port UDP 1194 de ton serveur n'est pas joignable. Il n'y a pas de renvoi à faire sur SME, tout est déjà préconfiguré. Il faut par contre soit que SME ait directement l'IP publique (box opérateur en mode bridge), soit que la box renvoi le port UDP 1194 vers l'IP SME (box opérateur en mode routeur). Aussi, depuis où tu te connectes ? Si c'est depuis ton LAN, il y a une autre complication, puisque tu tentes de te connecter sur l'IP publique, il faut que la box supporte la réflexion NAT, ce qui n'est généralement pas le cas. Bref, pour tester, fais le depuis un autre endroit (via un modem 4G par exemple)

[trazomtg]

est ce que j'ai correctement ouvert le port 1194?
mon SMEserver a sur don interface externe l'adresse ip de ma box: 82.ccc.ccc.ccc etil fait routeur puisque je l'ai installé en mode server/gateway.
ma box ne plus plus router mais seulement bridge

je dois ajouter  les 2 lignes :
ns-cert-type server
auth-user-pass   ????

[trazomtg]

j'ai peut-être une piste!!

j'ai lancé la commande sur le SMEserver:

Code: [Select]

tcpdump -p tcp -i eth1 -n port 1194
[b]tcpdump: WARNING: eth1: no IPv4 address assigned[/b]
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
^C
0 packets captured
2 packets received by filter
0 packets dropped by kernel

bizarre non?

j'ai fait un ifconfig sur le SMEserver

Code: [Select]

[root@smeserver-toshiba ~]# ifconfig
br0       Link encap:Ethernet  HWaddr 00:24:9B:23:3F:6C 
          inet adr:192.168.0.1  Bcast:192.168.0.255  Masque:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:22790774 errors:0 dropped:0 overruns:0 frame:0
          TX packets:45562030 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0
          RX bytes:2396952172 (2.2 GiB)  TX bytes:66299684446 (61.7 GiB)

eth0      Link encap:Ethernet  HWaddr 00:1E:68:8C:02:E9 
          inet adr:82.240.100.49  Bcast:82.240.100.255  Masque:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:46093837 errors:0 dropped:0 overruns:0 frame:0
          TX packets:22895872 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          RX bytes:66337627199 (61.7 GiB)  TX bytes:2678901152 (2.4 GiB)
          Interruption:17

eth1      Link encap:Ethernet  HWaddr 00:24:9B:23:3F:6C 
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:22790787 errors:0 dropped:0 overruns:0 frame:0
          TX packets:45562044 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          RX bytes:2396959972 (2.2 GiB)  TX bytes:66664184354 (62.0 GiB)

lo        Link encap:Boucle locale 
          inet adr:127.0.0.1  Masque:255.0.0.0
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:80728 errors:0 dropped:0 overruns:0 frame:0
          TX packets:80728 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0
          RX bytes:12139406 (11.5 MiB)  TX bytes:12139406 (11.5 MiB)

tap0      Link encap:Ethernet  HWaddr 2E:EB:86:DE:AA:56 
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:12981 overruns:0 carrier:0
          collisions:0 lg file transmission:100
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

je n'ai pas d'adresse ip sur le port eth1 ni sur tpa0

je crois que ça vient de là.
qu'en pensez-vous?
merci

[Daniel B.]

Ça ne vient pas de là. La partie serveur se configure toute seule. C'est normal qu'il n'y ait pas d'ip sur tap0 et l'interface locale, les deux sont membres du bridge br0. Et le trafic est en udp, voilà pourquoi ton tcpdump ne montre rien

[trazomtg]

ok merci

du coup je ne sais plus quoi faire!!

[trazomtg]

j'ai toujours la même erreur:

Code: [Select]

Fri Jul  7 14:24:34 2017 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Fri Jul  7 14:24:34 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]82.240.100.49:1194
Fri Jul  7 14:24:34 2017 UDP link local: (not bound)
Fri Jul  7 14:24:34 2017 UDP link remote: [AF_INET]82.240.100.49:1194
Fri Jul  7 14:25:34 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri Jul  7 14:25:34 2017 TLS Error: TLS handshake failed
Fri Jul  7 14:25:34 2017 SIGUSR1[soft,tls-error] received, process restarting