Openvpn
Problème sur ./build-ca
Logiciels / Logiciels Internet
zatox Membre non connecté
-
- Voir le profil du membre zatox
- Inscrit le : 27/09/2011
- Groupes :
Reprise du message précédent
Re-bonjour,Pour ma part, les 2 machines client et serveur sont en mageia 8.
nic80 :
Il ne me semble pas que j' ai modifié les options proposées dans le tutoriel.
Tu veux parler de quelles options ?!
nic80 :
Sur le client, la mise à jour des routes et DNS se fait correctement ( taper /sbin/route avant ( la route classique doit s' afficher avec uniquement le 192.168.1.X) et après le lancement du client vpn ( une nouvelle route par défaut doit pointer vers 10.8.0.X) ?
Voici ce que j'ai sur le client avant lancement d'openvpn:
Caché :
[root@allinone-mga8-beta2 robert]# /sbin/route
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
default box 0.0.0.0 UG 0 0 0 enp3s0
link-local 0.0.0.0 255.255.0.0 U 1002 0 0 enp3s0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 enp3s0
[root@allinone-mga8-beta2 robert]#
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
default box 0.0.0.0 UG 0 0 0 enp3s0
link-local 0.0.0.0 255.255.0.0 U 1002 0 0 enp3s0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 enp3s0
[root@allinone-mga8-beta2 robert]#
Après lancement d'openvpn (la réponse est beaucoup moins rapide):
Caché :
root@allinone-mga8-beta2 robert]# /sbin/route
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
0.0.0.0 10.8.0.5 128.0.0.0 UG 0 0 0 tun0
default box 0.0.0.0 UG 0 0 0 enp3s0
10.8.0.0 10.8.0.5 255.255.255.0 UG 0 0 0 tun0
10.8.0.5 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
128.0.0.0 10.8.0.5 128.0.0.0 UG 0 0 0 tun0
link-local 0.0.0.0 255.255.0.0 U 1002 0 0 enp3s0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 enp3s0
192.168.1.64 box 255.255.255.255 UGH 0 0 0 enp3s0
[root@allinone-mga8-beta2 robert]#
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
0.0.0.0 10.8.0.5 128.0.0.0 UG 0 0 0 tun0
default box 0.0.0.0 UG 0 0 0 enp3s0
10.8.0.0 10.8.0.5 255.255.255.0 UG 0 0 0 tun0
10.8.0.5 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
128.0.0.0 10.8.0.5 128.0.0.0 UG 0 0 0 tun0
link-local 0.0.0.0 255.255.0.0 U 1002 0 0 enp3s0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 enp3s0
192.168.1.64 box 255.255.255.255 UGH 0 0 0 enp3s0
[root@allinone-mga8-beta2 robert]#
Je cherche où je peux trouver la log d'openvpn du clent et si je trouve je l'envoie.
Édité par zatox Le 31/01/2021 à 17h36
nic80 Membre non connecté
-
- Voir le profil du membre nic80
- Inscrit le : 06/08/2018
- Groupes :
-
Modérateur
Je pense que la sortie lors du lancement devrait suffire pour comparer.
En tous cas, les routes semblent ressembler à ce que j' ai.
Pour les options, il me semble avoir fait un copier coller des instructions du tutoriel.
Sur le client, le parefeu est désactivé (pour voir si c' est lui qui bloquerait un échange vers le réseau 10.8.0.x) ?
zatox Membre non connecté
-
- Voir le profil du membre zatox
- Inscrit le : 27/09/2011
- Groupes :
nic80 :
Je pense que la sortie lors du lancement devrait suffire pour comparer.
Voici la sortie lors du lancement:
Caché :
[root@allinone-mga8-beta2 robert]# openvpn --config /etc/openvpn/clientmga.ovpn
2021-01-31 18:32:31 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.
2021-01-31 18:32:31 DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-128-CBC' to --data-ciphers or change --cipher 'AES-128-CBC' to --data-ciphers-fallback 'AES-128-CBC' to silence this warning.
2021-01-31 18:32:31 OpenVPN 2.5.0 x86_64-mageia-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Nov 9 2020
2021-01-31 18:32:31 library versions: OpenSSL 1.1.1i 8 Dec 2020, LZO 2.10
2021-01-31 18:32:31 WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead.
2021-01-31 18:32:31 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Enter Private Key Password: (no echo)
2021-01-31 18:32:53 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
2021-01-31 18:32:53 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.1.64:1194
2021-01-31 18:32:53 UDP link local: (not bound)
2021-01-31 18:32:53 UDP link remote: [AF_INET]192.168.1.64:1194
2021-01-31 18:32:53 [serveurmga-porpompa] Peer Connection Initiated with [AF_INET]192.168.1.64:1194
2021-01-31 18:32:53 TUN/TAP device tun0 opened
2021-01-31 18:32:53 net_iface_mtu_set: mtu 1500 for tun0
2021-01-31 18:32:53 net_iface_up: set tun0 up
2021-01-31 18:32:53 net_addr_ptp_v4_add: 10.8.0.6 peer 10.8.0.5 dev tun0
2021-01-31 18:32:53 /etc/openvpn/update-resolv-conf tun0 1500 1553 10.8.0.6 10.8.0.5 init
dhcp-option DNS 208.67.222.222
dhcp-option DNS 208.67.220.220
2021-01-31 18:32:53 Initialization Sequence Completed
2021-01-31 18:32:31 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.
2021-01-31 18:32:31 DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-128-CBC' to --data-ciphers or change --cipher 'AES-128-CBC' to --data-ciphers-fallback 'AES-128-CBC' to silence this warning.
2021-01-31 18:32:31 OpenVPN 2.5.0 x86_64-mageia-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Nov 9 2020
2021-01-31 18:32:31 library versions: OpenSSL 1.1.1i 8 Dec 2020, LZO 2.10
2021-01-31 18:32:31 WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead.
2021-01-31 18:32:31 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Enter Private Key Password: (no echo)
2021-01-31 18:32:53 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
2021-01-31 18:32:53 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.1.64:1194
2021-01-31 18:32:53 UDP link local: (not bound)
2021-01-31 18:32:53 UDP link remote: [AF_INET]192.168.1.64:1194
2021-01-31 18:32:53 [serveurmga-porpompa] Peer Connection Initiated with [AF_INET]192.168.1.64:1194
2021-01-31 18:32:53 TUN/TAP device tun0 opened
2021-01-31 18:32:53 net_iface_mtu_set: mtu 1500 for tun0
2021-01-31 18:32:53 net_iface_up: set tun0 up
2021-01-31 18:32:53 net_addr_ptp_v4_add: 10.8.0.6 peer 10.8.0.5 dev tun0
2021-01-31 18:32:53 /etc/openvpn/update-resolv-conf tun0 1500 1553 10.8.0.6 10.8.0.5 init
dhcp-option DNS 208.67.222.222
dhcp-option DNS 208.67.220.220
2021-01-31 18:32:53 Initialization Sequence Completed
nic80 :
Sur le client, le parefeu est désactivé (pour voir si c' est lui qui bloquerait un échange vers le réseau 10.8.0.x) ?
Ah ... non je vais le faire pour voir ...
Je viens de le faire mais le résultat est le même !!
nic80 Membre non connecté
-
- Voir le profil du membre nic80
- Inscrit le : 06/08/2018
- Groupes :
-
Modérateur
Je viens de faire un test rapide ( et un peu bancal ( parce que je peux pas installer les 1,2Go de mise à jour) !) depuis une live de Mageia 8 B2.
Cependant j' arrive bien à faire la liaison entre le client Mageia 8 et le serveur Mageia 8.
En revanche, il est important de faire attention à ce que le fichier /proc/sys/net/ipv4/ip_forward contienne bien la valeur 1 ( sinon je pense que le transfert entre le tun0 du serveur et wl0 ne se fait pas; un "echo 1 > proc/sys/net/ipv4/ip_forward" change cette valeur).Quelle est sa valeur sur le serveur ( uniquement) ? Sinon le traceroute/ping ne fonctionne pas.
Édité par nic80 Le 31/01/2021 à 23h22
zatox Membre non connecté
-
- Voir le profil du membre zatox
- Inscrit le : 27/09/2011
- Groupes :
Caché :
[root@allinone-mga8-beta2 robert]# /sbin/route
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
0.0.0.0 10.8.0.5 128.0.0.0 UG 0 0 0 tun0
default _gateway 0.0.0.0 UG 0 0 0 enp3s0
10.8.0.0 10.8.0.5 255.255.255.0 UG 0 0 0 tun0
10.8.0.5 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
128.0.0.0 10.8.0.5 128.0.0.0 UG 0 0 0 tun0
link-local 0.0.0.0 255.255.0.0 U 1002 0 0 enp3s0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 enp3s0
192.168.1.64 _gateway 255.255.255.255 UGH 0 0 0 enp3s0
[root@allinone-mga8-beta2 robert]# traceroute www.mageialinux-online.org
traceroute to www.mageialinux-online.org (80.247.225.3), 30 hops max, 60 byte packets
1 10.8.0.1 (10.8.0.1) 2.240 ms 3.324 ms 3.414 ms
2 * * *
3 * * *
4 * * *
5 157.173.136.77.rev.sfr.net (77.136.173.157) 36.776 ms 38.042 ms 39.093 ms
6 129.10.136.77.rev.sfr.net (77.136.10.129) 53.054 ms 38.774 ms 38.547 ms
7 129.10.136.77.rev.sfr.net (77.136.10.129) 39.137 ms 39.917 ms 40.615 ms
8 nfrance.par.franceix.net (37.49.237.14) 51.522 ms 52.467 ms 54.450 ms
9 * * *
10 atalante.nfrance.com (80.247.225.3) 58.391 ms 59.840 ms 61.224 ms
[root@allinone-mga8-beta2 robert]#
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
0.0.0.0 10.8.0.5 128.0.0.0 UG 0 0 0 tun0
default _gateway 0.0.0.0 UG 0 0 0 enp3s0
10.8.0.0 10.8.0.5 255.255.255.0 UG 0 0 0 tun0
10.8.0.5 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
128.0.0.0 10.8.0.5 128.0.0.0 UG 0 0 0 tun0
link-local 0.0.0.0 255.255.0.0 U 1002 0 0 enp3s0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 enp3s0
192.168.1.64 _gateway 255.255.255.255 UGH 0 0 0 enp3s0
[root@allinone-mga8-beta2 robert]# traceroute www.mageialinux-online.org
traceroute to www.mageialinux-online.org (80.247.225.3), 30 hops max, 60 byte packets
1 10.8.0.1 (10.8.0.1) 2.240 ms 3.324 ms 3.414 ms
2 * * *
3 * * *
4 * * *
5 157.173.136.77.rev.sfr.net (77.136.173.157) 36.776 ms 38.042 ms 39.093 ms
6 129.10.136.77.rev.sfr.net (77.136.10.129) 53.054 ms 38.774 ms 38.547 ms
7 129.10.136.77.rev.sfr.net (77.136.10.129) 39.137 ms 39.917 ms 40.615 ms
8 nfrance.par.franceix.net (37.49.237.14) 51.522 ms 52.467 ms 54.450 ms
9 * * *
10 atalante.nfrance.com (80.247.225.3) 58.391 ms 59.840 ms 61.224 ms
[root@allinone-mga8-beta2 robert]#
Au niveau internet maintenant ça marche super merci pour ton aide.
Normalement ce que j'écris en ce moment doit passer par mon VPN.
Concernant le fichier /proc/sys/net/ipv4/ip_forward sur le serveur, celui là, je ne sais pas si je l'avais zappé ou bien s'il est emis à zéro quand je fais les manips arrêt relance du serveur, du client ect ... je pense qu'il y a des remises à zéro en fonction des manips que j'ai faites, bon à voir ...
Donc maintenant il me reste à voir l'histoire des ports car là tous les ports sont ouverts sur le client et le serveur, il faut que je vois si ça marche avec uniquement le port 1194/udp ouvert euh ... sur client et serveur, je ne sais plus, bon à voir.
Puis ensuite je vais essayer de positionner 1 dans le fichier /proc/sys/net/ipv4/ip_forward systématiquement au démarrage du serveur, également la commande iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o wlo1 -j MASQUERADE
Une fois que j'aurai réglé tout ça, est-ce qu'il y a un moyen de voir que les messages qui transitent sur internet sont bien cryptés ? peut-être un coup de wireshark pourrai apporter la réponse ?
Dernière question: à ton avis, est-ce qu'un serveur VPN comme ça est équivalent aux serveurs VPN qu'on peut trouver à droite et à gauche moyennant finances ou pas ?
ça fait beaucoup de questions.
Je te remercie pour ton aide.
Bonne soirée.
Édité par zatox Le 01/02/2021 à 01h58
zatox Membre non connecté
-
- Voir le profil du membre zatox
- Inscrit le : 27/09/2011
- Groupes :
J'ai essayé sur le serveur de refermer les ports et de laisser positionné ouverts 1194/udp et 1194/tcp (bien que le tutoriel ne parle que du 1194/udp) mais je n'arrive pas à le faire marcher. Pour le moment j'ai laissé tous les ports du client ouverts pour procéder de proche en proche.
pour vos réponses
nic80 Membre non connecté
-
- Voir le profil du membre nic80
- Inscrit le : 06/08/2018
- Groupes :
-
Modérateur
Sur le site openvpn.net, j' ai vu:
openvpn.net :
Another common mistake is to forget to open the 3 ports required for OpenVPN Access Server to be reachable properly. By default these are TCP 443, TCP 943, and UDP 1194.
Après est ce qu' openvpn et openvpn access server sont la même chose...
Au niveau du client, je ne sais pas si en fermant tout les ports cela ne fonctionne pas. En effet, la plupart du temps si la machine ouvre une connexion, c' est qu' elle en attend une réponse, le parefeu n' a donc aucune raison de bloquer la réponse (après cela dépend des règles du FW, mais si une connexion est dans l'état "established", il n' y a aucune raison qu' elle soit bloquée).
Édité par nic80 Le 01/02/2021 à 20h14
zatox Membre non connecté
-
- Voir le profil du membre zatox
- Inscrit le : 27/09/2011
- Groupes :
openvpn.net :
Another common mistake is to forget to open the 3 ports required for OpenVPN Access Server to be reachable properly. By default these are TCP 443, TCP 943, and UDP 1194.
Ah ...!! j'avais vu sur un site pour le 943 mais pas le 443, en effet j'ai ouvert ces 2 ports en tcp et 1194 en udp sur le serveur et ça marche.
Sur le client je n'ai rien paramétré par rapport à openvpn.
pour ta réponse
zatox Membre non connecté
-
- Voir le profil du membre zatox
- Inscrit le : 27/09/2011
- Groupes :
1) Arret du serveur openvpn par: systemctl stop openvpn@server.service
2) sysctl -p
3) iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o wlo1 -j MASQUERADE
4) systemctl start openvpn@server.service
5) systemctl status openvpn@server.service (petite vérification)
Ensuite je peux passer sur mon client et remettre 1 dans /proc/sys/net/ipv4/ip_forward car il est à 0
Je vérifie qu'il y a bien 1: nano /proc/sys/net/ipv4/ip_forward
Puis openvpn --config /etc/openvpn/clientmga.ovpn --> saisie du ot de passe puis
/sbin/route
et
traceroute www.mageialinux-online.org
Voilà, c'était juste pour info c'est tout.
Je voulais monter un seveur openvpn grace à toi nic80 j'y suis parvenu, après l'utilité pour moi de ce serveur vpn est peut-être limitée ...
En tous cas merci
pour ton aide nic80.Répondre
Vous n'êtes pas autorisé à écrire dans cette catégorie