Openvpn
Problème sur ./build-ca
Logiciels / Logiciels Internet
zatox Membre non connecté
-
- Voir le profil du membre zatox
- Inscrit le : 27/09/2011
- Groupes :
J'ai commencé avec ce tutoriel:
Quand je fais ./build-ca voici ce que j'obtiens:
Caché :
[root@localhost easy-rsa]# ./build-ca
grep: /etc/openvpn/easy-rsa/openssl.cnf: Aucun fichier ou dossier de ce type
pkitool: KEY_CONFIG (set by the ./vars script) is pointing to the wrong
version of openssl.cnf: /etc/openvpn/easy-rsa/openssl.cnf
The correct version should have a comment that says: easy-rsa version 2.x
[root@localhost easy-rsa]#
grep: /etc/openvpn/easy-rsa/openssl.cnf: Aucun fichier ou dossier de ce type
pkitool: KEY_CONFIG (set by the ./vars script) is pointing to the wrong
version of openssl.cnf: /etc/openvpn/easy-rsa/openssl.cnf
The correct version should have a comment that says: easy-rsa version 2.x
[root@localhost easy-rsa]#
Effectivement je n'ai pas de fichier /etc/openvpn/easy-rsa/openssl.cnf mais ceci:
Caché :
[root@localhost easy-rsa]# ls -l
total 116
-rwxr-xr-x 1 root root 123 janv. 25 10:20 build-ca*
-rwxr-xr-x 1 root root 356 janv. 25 10:20 build-dh*
-rwxr-xr-x 1 root root 192 janv. 25 10:20 build-inter*
-rwxr-xr-x 1 root root 167 janv. 25 10:20 build-key*
-rwxr-xr-x 1 root root 161 janv. 25 10:20 build-key-pass*
-rwxr-xr-x 1 root root 253 janv. 25 10:20 build-key-pkcs12*
-rwxr-xr-x 1 root root 272 janv. 25 10:20 build-key-server*
-rwxr-xr-x 1 root root 217 janv. 25 10:20 build-req*
-rwxr-xr-x 1 root root 162 janv. 25 10:20 build-req-pass*
-rwxr-xr-x 1 root root 432 janv. 25 10:20 clean-all*
-rwxr-xr-x 1 root root 1461 janv. 25 10:20 inherit-inter*
drwx------ 2 root root 4096 janv. 25 10:33 keys/
-rwxr-xr-x 1 root root 299 janv. 25 10:20 list-crl*
-rw-r--r-- 1 root root 7768 janv. 25 10:20 openssl-0.9.6.cnf
-rw-r--r-- 1 root root 8325 janv. 25 10:20 openssl-0.9.8.cnf
-rw-r--r-- 1 root root 8222 janv. 25 10:20 openssl-1.0.0.cnf
-rwxr-xr-x 1 root root 12679 janv. 25 10:20 pkitool*
-rwxr-xr-x 1 root root 922 janv. 25 10:20 revoke-full*
-rwxr-xr-x 1 root root 182 janv. 25 10:20 sign-req*
-rw-r--r-- 1 root root 2035 janv. 25 10:28 vars
-rwxr-xr-x 1 root root 719 janv. 25 10:20 whichopensslcnf*
[root@localhost easy-rsa]#
total 116
-rwxr-xr-x 1 root root 123 janv. 25 10:20 build-ca*
-rwxr-xr-x 1 root root 356 janv. 25 10:20 build-dh*
-rwxr-xr-x 1 root root 192 janv. 25 10:20 build-inter*
-rwxr-xr-x 1 root root 167 janv. 25 10:20 build-key*
-rwxr-xr-x 1 root root 161 janv. 25 10:20 build-key-pass*
-rwxr-xr-x 1 root root 253 janv. 25 10:20 build-key-pkcs12*
-rwxr-xr-x 1 root root 272 janv. 25 10:20 build-key-server*
-rwxr-xr-x 1 root root 217 janv. 25 10:20 build-req*
-rwxr-xr-x 1 root root 162 janv. 25 10:20 build-req-pass*
-rwxr-xr-x 1 root root 432 janv. 25 10:20 clean-all*
-rwxr-xr-x 1 root root 1461 janv. 25 10:20 inherit-inter*
drwx------ 2 root root 4096 janv. 25 10:33 keys/
-rwxr-xr-x 1 root root 299 janv. 25 10:20 list-crl*
-rw-r--r-- 1 root root 7768 janv. 25 10:20 openssl-0.9.6.cnf
-rw-r--r-- 1 root root 8325 janv. 25 10:20 openssl-0.9.8.cnf
-rw-r--r-- 1 root root 8222 janv. 25 10:20 openssl-1.0.0.cnf
-rwxr-xr-x 1 root root 12679 janv. 25 10:20 pkitool*
-rwxr-xr-x 1 root root 922 janv. 25 10:20 revoke-full*
-rwxr-xr-x 1 root root 182 janv. 25 10:20 sign-req*
-rw-r--r-- 1 root root 2035 janv. 25 10:28 vars
-rwxr-xr-x 1 root root 719 janv. 25 10:20 whichopensslcnf*
[root@localhost easy-rsa]#
Est-ce que quelqu(un pourrait me dire ce qu'il en est et ce qque je dois faire ?
pour votre aide.
steven Membre non connecté
-
- Voir le profil du membre steven
- Inscrit le : 18/05/2018
zatox :
Bonjour, je voudrais installer openvpn sur l'un de mes ordinateurs portables (Mageia 8 bêta 2) connectés sur mon réseau local.
J'ai commencé avec ce tutoriel:
Quand je fais ./build-ca voici ce que j'obtiens:
Effectivement je n'ai pas de fichier /etc/openvpn/easy-rsa/openssl.cnf mais ceci:
Est-ce que quelqu(un pourrait me dire ce qu'il en est et ce qque je dois faire ?
pour votre aide.
J'ai commencé avec ce tutoriel:
Quand je fais ./build-ca voici ce que j'obtiens:
Caché :
[root@localhost easy-rsa]# ./build-ca
grep: /etc/openvpn/easy-rsa/openssl.cnf: Aucun fichier ou dossier de ce type
pkitool: KEY_CONFIG (set by the ./vars script) is pointing to the wrong
version of openssl.cnf: /etc/openvpn/easy-rsa/openssl.cnf
The correct version should have a comment that says: easy-rsa version 2.x
[root@localhost easy-rsa]#
grep: /etc/openvpn/easy-rsa/openssl.cnf: Aucun fichier ou dossier de ce type
pkitool: KEY_CONFIG (set by the ./vars script) is pointing to the wrong
version of openssl.cnf: /etc/openvpn/easy-rsa/openssl.cnf
The correct version should have a comment that says: easy-rsa version 2.x
[root@localhost easy-rsa]#
Effectivement je n'ai pas de fichier /etc/openvpn/easy-rsa/openssl.cnf mais ceci:
Est-ce que quelqu(un pourrait me dire ce qu'il en est et ce qque je dois faire ?
pour votre aide.A moins que je ne me trompe, mais on dirais qu'il recherche le fichier de config (d'ou l'abreviation .cnf)...
Alors je me pose 1 question :
- Soit il manque ce fichier a l'installation d'openvpn
soit :
- il a besoin que tu lui donne quelques info's (repondre a quelques questions) pour creer openssl.cnf
Bon ! ce n'est que mon avis, maiiiiiiisssss si ca peut t'aider....
Édité par steven Le 25/01/2021 à 17h47
No Comment ... 
Merci de ne pas 'rebondir' sur mes post's Censor => 2025
Merci de ne pas 'rebondir' sur mes post's Censor => 2025 
nic80 Membre non connecté
-
- Voir le profil du membre nic80
- Inscrit le : 06/08/2018
- Groupes :
-
Modérateur
En fait le script vars utilise le script whichopenssl.cnf qui défini la version du fichier cnf a utiliser:
vars :
export EASY_RSA="`pwd`"
#
# This variable should point to
# the requested executables
#
export OPENSSL="openssl"
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"
# This variable should point to
# the openssl.cnf file included
# with easy-rsa.
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`
#
# This variable should point to
# the requested executables
#
export OPENSSL="openssl"
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"
# This variable should point to
# the openssl.cnf file included
# with easy-rsa.
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`
Sauf que pour whichopenssl.cnf, il manque un test pour la version 1.1.0
whichopenssl.cnf :
#!/usr/bin/sh
cnf="$1/openssl.cnf"
if [ "$OPENSSL" ]; then
if $OPENSSL version | grep -E "0\.9\.6[[:alnum![:]](/images/smileys/8.gif ":]")
]?" > /dev/null; then
cnf="$1/openssl-0.9.6.cnf"
elif $OPENSSL version | grep -E "0\.9\.8[[:alnum]?" > /dev/null; then
cnf="$1/openssl-0.9.8.cnf"
elif $OPENSSL version | grep -E "1\.0\.[[:digit][[:alnum]?" > /dev/null; then
cnf="$1/openssl-1.0.0.cnf"
else
cnf="$1/openssl.cnf"
fi
fi
cnf="$1/openssl.cnf"
if [ "$OPENSSL" ]; then
if $OPENSSL version | grep -E "0\.9\.6[[:alnum
]?" > /dev/null; thencnf="$1/openssl-0.9.6.cnf"
elif $OPENSSL version | grep -E "0\.9\.8[[:alnum
]?" > /dev/null; thencnf="$1/openssl-0.9.8.cnf"
elif $OPENSSL version | grep -E "1\.0\.[[:digit
][[:alnum]?" > /dev/null; thencnf="$1/openssl-1.0.0.cnf"
else
cnf="$1/openssl.cnf"
fi
fi
Or chez moi openssl retourne
Code BASH :
usr/bin/openssl version OpenSSL 1.1.0l 10 Sep 2019
Donc c' est forcément un openssl.cnf qui est retourné. Mais celui ci n' existe pas !
Je doute que renommer le fichier openssl-1.0.0.cnf en openssl.cnf soit suffisant.
Ceci dit, je crois que openssl <1.1 n' est plus supporté, donc les fichiers 0.9 et 1.0.0 ne devraient même plus exister.
Le problème semble également présent dans le paquet Openvpn de Cauldron ( les mêmes tests sont effectués apparement).
edit: je pense que cela nécessite un rapport de bug ( parce que peut être que les options entre les différentes versions changent et que cela risque de générer un message d' erreur de syntaxe si on utilise le fichier openssl-1.0.0.cnf)
edit2: dommage la version de easy-rsa est maintenant la version 3.0 ( qui elle je pense doit fonctionner avec openssl-1.1.x.cnf). peut être essayer avec ce fichier https://github.com/OpenVPN/easy-rsa/blob/master/easyrsa3/openssl-easyrsa.cnf en renommant en openssl.cnf?)
Édité par nic80 Le 25/01/2021 à 19h19
zatox Membre non connecté
-
- Voir le profil du membre zatox
- Inscrit le : 27/09/2011
- Groupes :
steven :
A moins que je ne me trompe, mais on dirais qu'il recherche le fichier de config (d'ou l'abreviation .cnf)...
Oui je suis d'accord avec toi je pense qu'il recherche bien ce fichier mais il n'existe pas !!
steven :
Soit il manque ce fichier a l'installation d'openvpn
Oui peut-être ...
steven :
il a besoin que tu lui donne quelques info's (repondre a quelques questions) pour creer openssl.cnf
Ben là il faudrait qu'il me pose les questions ce qui n'est pas le cas.
nic80 :
Or chez moi openssl retourne
Copier vers le presse-papierCode BASH :
usr/bin/openssl version
OpenSSL 1.1.0l 10 Sep 2019
Copier vers le presse-papierCode BASH :
usr/bin/openssl version
OpenSSL 1.1.0l 10 Sep 2019
Et chez moi voici ce que retourne openssl version:
Caché :
[root@localhost bin]# /usr/bin/openssl version
OpenSSL 1.1.1i 8 Dec 2020
[root@localhost bin]#
OpenSSL 1.1.1i 8 Dec 2020
[root@localhost bin]#
nic80 :
edit2: dommage la version de easy-rsa est maintenant la version 3.0 ( qui elle je pense doit fonctionner avec openssl-1.1.x.cnf). peut être essayer avec ce fichier https://github.com/OpenVPN/easy-rsa/blob/master/easyrsa3/openssl-easyrsa.cnf en renommant en openssl.cnf?)
Ok j'ai donc créé le fichier /etc/openvpn/easy-rsa/openssl.cnf avec ce fichier là.
J'ai repassé la commande: ./build-ca
Caché :
[root@localhost easy-rsa]# ./build-ca
pkitool: KEY_CONFIG (set by the ./vars script) is pointing to the wrong
version of openssl.cnf: /etc/openvpn/easy-rsa/openssl.cnf
The correct version should have a comment that says: easy-rsa version 2.x
[root@localhost easy-rsa]#
pkitool: KEY_CONFIG (set by the ./vars script) is pointing to the wrong
version of openssl.cnf: /etc/openvpn/easy-rsa/openssl.cnf
The correct version should have a comment that says: easy-rsa version 2.x
[root@localhost easy-rsa]#
Bon voilà, je ne sais plus trop bien ce que je dois faire ...
pour votre aide.
nic80 Membre non connecté
-
- Voir le profil du membre nic80
- Inscrit le : 06/08/2018
- Groupes :
-
Modérateur
Il doit un avoir un test concernant la première ligne du fichier qui doit contenir un commentaire. Il faudrait rajouter en première ligne.
#easy-rsa version 2.x
Sans ça le message d' erreur se produira toujours...
zatox Membre non connecté
-
- Voir le profil du membre zatox
- Inscrit le : 27/09/2011
- Groupes :
nic80 :
Il doit un avoir un test concernant la première ligne du fichier qui doit contenir un commentaire. Il faudrait rajouter en première ligne.
#easy-rsa version 2.x
#easy-rsa version 2.x
Euh ... excuse-moi je ne comprends pas très bien, tu veux dire de rajouter #easy-rsa version 2.x en première ligne du fichier /etc/openvpn/easy-rsa/openssl.cnf ?
Comme ça ?
openssl.cnf.txt
J'ai rajouté la première ligne, si c'est ce qu'il fallait faire, j'avoue ne pas comprendre car, d'une part elle est en commentaire, d'autre part elle a l'air contradictoire avec la deuxième ligne !!!!
Bon si tu peux éclaicir ma lanterne ?
pour votre aide.
nic80 Membre non connecté
-
- Voir le profil du membre nic80
- Inscrit le : 06/08/2018
- Groupes :
-
Modérateur
Citation :
J'ai rajouté la première ligne, si c'est ce qu'il fallait faire, j'avoue ne pas comprendre car, d'une part elle est en commentaire, d'autre part elle a l'air contradictoire avec la deuxième ligne !!!!
En fait le script pkitool qui se trouve dans le répertoire d' easy-rsa et qui est appellé par build.ca contient:
pkitool :
if $GREP -i 'easy-rsa version 2\.[0-9]' "$KEY_CONFIG" >/dev/null; then
:
else
echo "$PROGNAME: KEY_CONFIG (set by the ./vars script) is pointing to the wrong"
echo "version of openssl.cnf: $KEY_CONFIG"
echo "The correct version should have a comment that says: easy-rsa version 2.x";
exit 1;
:
else
echo "$PROGNAME: KEY_CONFIG (set by the ./vars script) is pointing to the wrong"
echo "version of openssl.cnf: $KEY_CONFIG"
echo "The correct version should have a comment that says: easy-rsa version 2.x";
exit 1;
Et typiquement si on n' a pas "easy-rsa version 2.0" dans le fichier ( peut importe l' endroit) openssl-X.X.X.cnf ou openssl.cnf, le script s' arrête. Bien entendu le fichier étant probablement lu par openssl, easy-rsa version 2.0 n' est pas une option valide pour lui, c' est pour cela qu' il faut le mettre en commentaire.
edit: le fichier du github ne peut pas fonctionner tel quel visiblement...
Il semble qu' au moins les variables utilisées dans le openssl.cnf ( version 3.0) ne sont pas définies dans le fichier vars de la version 2. Openssl risque donc de lancer des erreurs et donc ne pas générer les certificats, clés privées et publique correctement.
Édité par nic80 Le 26/01/2021 à 19h21
zatox Membre non connecté
-
- Voir le profil du membre zatox
- Inscrit le : 27/09/2011
- Groupes :
nic80 :
edit: je pense que cela nécessite un rapport de bug ( parce que peut être que les options entre les différentes versions changent et que cela risque de générer un message d' erreur de syntaxe si on utilise le fichier openssl-1.0.0.cnf)
est-ce que ce serait la solution ?
Si oui est-ce que quelqu'un peut me guider un peu pour faire un rapport de bug parce que je ne sais pas trop faire ça et en plus je suppose que c'est en anglais ?!!!! ça risque d'être un peu compliqué pour moi mais si quelqu'un pouvait déjà m'indiquer la procédure ?
pour votre aide.
nic80 Membre non connecté
-
- Voir le profil du membre nic80
- Inscrit le : 06/08/2018
- Groupes :
-
Modérateur
Voila ma tentative pour l'étape qui bloque:
Caché :
Code BASH :
[root@Mageia8 usertest]# urpmi openvpn Pour satisfaire les dépendances, les paquetages suivants vont être installés : Paquetage Version Révision Arch (média « Core Release (distrib46) ») libobjc4 10.2.1 0.20210123.1> x86_64 openvpn 2.5.0 2.mga8 x86_64 perl-Authen-PAM 0.160.0 25.mga8 x86_64 un espace additionnel de 2.1Mo sera utilisé. 792Ko de paquets seront récupérés. Procéder à l'installation des 3 paquetages ? (O/n) o ftp://distrib-coffee.ipsl.jussieu.fr/pub/linux/Mageia/distrib/cauldron/x86_64/media/core/release/perl-Authen-PAM-0.160.0-25.mga8.x86_64.rpm ftp://distrib-coffee.ipsl.jussieu.fr/pub/linux/Mageia/distrib/cauldron/x86_64/media/core/release/openvpn-2.5.0-2.mga8.x86_64.rpm ftp://distrib-coffee.ipsl.jussieu.fr/pub/linux/Mageia/distrib/cauldron/x86_64/media/core/release/libobjc4-10.2.1-0.20210123.1.mga8.x86_64.rpm installation de openvpn-2.5.0-2.mga8.x86_64.rpm libobjc4-10.2.1-0.20210123.1.mga8.x86_64.rpm perl-Authen-PAM-0.160.0-25.mga8.x86_64.rpm depuis /var/cache/urpmi/rpms Préparation... #################################################################################################################################################################################################### 1/3: perl-Authen-PAM #################################################################################################################################################################################################### 2/3: libobjc4 #################################################################################################################################################################################################### 3/3: openvpn #################################################################################################################################################################################################### [root@Mageia8 usertest]# cp -r /usr/share/openvpn/easy-rsa/ /etc/openvpn/easy-rsa [root@Mageia8 usertest]# cd /etc/op openldap/ openvpn/ opt/ [root@Mageia8 usertest]# cd /etc/open openldap/ openvpn/ [root@Mageia8 usertest]# cd /etc/openvpn/easy-rsa/ [root@Mageia8 easy-rsa]# nano vars [root@Mageia8 easy-rsa]# source ./vars ************************************************************** No /etc/openvpn/easy-rsa/openssl.cnf file could be found Further invocations will fail ************************************************************** NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/easy-rsa/keys [root@Mageia8 easy-rsa]# ./clean-all [root@Mageia8 easy-rsa]# ./build-ca grep: /etc/openvpn/easy-rsa/openssl.cnf: Aucun fichier ou dossier de ce type pkitool: KEY_CONFIG (set by the ./vars script) is pointing to the wrong version of openssl.cnf: /etc/openvpn/easy-rsa/openssl.cnf The correct version should have a comment that says: easy-rsa version 2.x [root@Mageia8 easy-rsa]# ln -s openssl openssl-0.9.6.cnf openssl-0.9.8.cnf openssl-1.0.0.cnf [root@Mageia8 easy-rsa]# ln -s openssl-1.0.0.cnf openssl.cnf [root@Mageia8 easy-rsa]# ./build-ca Can't load /root/.rnd into RNG 139855088166720:error:2406F079:random number generator:RAND_load_file:Cannot open file:crypto/rand/randfile.c:98:Filename=/root/.rnd Generating a RSA private key ...................................................................................................................................................................................................................+++++ ..................................+++++ writing new private key to 'ca.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [US]:FR State or Province Name (full name) [CA]:Dummy Locality Name (eg, city) [SanFrancisco]:Dummy-city Organization Name (eg, company) [Fort-Funston]:Fictive-organisation Organizational Unit Name (eg, section) [changeme]:fictive-OU Common Name (eg, your name or your server's hostname) [changeme]:Mageia8 Name [changeme]:Mageia8-Openvpncertificate Email Address [mail@host.domain]: [root@Mageia8 easy-rsa]# ls build-ca* build-inter* build-key-pass* build-key-server* build-req-pass* inherit-inter* list-crl* openssl-0.9.8.cnf openssl.cnf@ revoke-full* vars build-dh* build-key* build-key-pkcs12* build-req* clean-all* keys/ openssl-0.9.6.cnf openssl-1.0.0.cnf pkitool* sign-req* whichopensslcnf* [root@Mageia8 easy-rsa]# ls keys ca.crt ca.key index.txt serial [root@Mageia8 easy-rsa]#
Édité par nic80 Le 27/01/2021 à 23h19
zatox Membre non connecté
-
- Voir le profil du membre zatox
- Inscrit le : 27/09/2011
- Groupes :
nic80, merci pour ta réponse.
Donc en fait tu as créé un lien symbolique openssl.cnf qui pointe vers le fichier openssl-1.0.0.cnf
Ce qui revient à utiliser le fichier openssl-1.0.0.cnf comme étant openssl.cnf (ce qui, je pense, doit revenir au même que si tu avais renommé le fichier openssl-1.0.0.cnf en openssl.cnf)
J'ai fait comme toi, j'ai rempli les champs comme tu les as remplis, j'obtiens le même résultat.
Je vais essayer de continuer la mise en place d'openvpn. Il n'est donc pas impossible que je sois amené à revenir ici dans le cas où ça ne s'exécuterai pas comme indiqué dans le tutoriel.
zatox Membre non connecté
-
- Voir le profil du membre zatox
- Inscrit le : 27/09/2011
- Groupes :
Fichier de configuration du serveur openvpn
J'ai créé le fichier /etc/openvpn/server.conf dans lequel j'ai mis ce qui est indiqué dans le tutoriel à savoir:
Caché :
local 192.168.1.15 # adresse IP locale de votre serveur
dev tun # type de VPN, tun (tunnel IP) ou tap (tunnel Ethernet/bridge)
proto udp # protocole à utiliser : tcp ou udp, généralement udp
port 1194 # le port par défaut pour OpenVPN, à ajuster au besoin
ca /etc/openvpn/easy-rsa/keys/ca.crt # clé publique de l’autorité de certification
cert /etc/openvpn/easy-rsa/keys/serveurmga.crt # Clé publique du serveur
key /etc/openvpn/easy-rsa/keys/serveurmga.key # Clé privée du serveur
dh /etc/openvpn/easy-rsa/keys/dh2048.pem # si vous êtes restés sur du 2024 bits
server 10.8.0.0 255.255.255.0 #le réseau au sein duquel vous allez attribuer des IP. Les clients auront une ip en 10.8.0x
push "redirect-gateway def1 bypass-dhcp" # Permet au serveur de se comporter comme une passerelle.
#push "dhcp-option DNS 10.8.0.1" # votre serveur DNS primaire (votre routeur, souvent)
push "dhcp-option DNS 208.67.222.222" # votre serveur DNS primaire OpenDNS
push "dhcp-option DNS 208.67.220.220" # votre serveur DNS primaire OpenDNS
# vous pouvez aussi utiliser le DNS Google 8.8.8.8 ou OpenDNS 208.67.222.222
# pour le reste, a priori pas de raisons d'y toucher à moins de savoir ce que vous faites !
client-to-client
duplicate-cn
keepalive 10 120
tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0
cipher AES-128-CBC
comp-lzo #Active la compression
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log 20
log /var/log/openvpn.log
verb 3
dev tun # type de VPN, tun (tunnel IP) ou tap (tunnel Ethernet/bridge)
proto udp # protocole à utiliser : tcp ou udp, généralement udp
port 1194 # le port par défaut pour OpenVPN, à ajuster au besoin
ca /etc/openvpn/easy-rsa/keys/ca.crt # clé publique de l’autorité de certification
cert /etc/openvpn/easy-rsa/keys/serveurmga.crt # Clé publique du serveur
key /etc/openvpn/easy-rsa/keys/serveurmga.key # Clé privée du serveur
dh /etc/openvpn/easy-rsa/keys/dh2048.pem # si vous êtes restés sur du 2024 bits
server 10.8.0.0 255.255.255.0 #le réseau au sein duquel vous allez attribuer des IP. Les clients auront une ip en 10.8.0x
push "redirect-gateway def1 bypass-dhcp" # Permet au serveur de se comporter comme une passerelle.
#push "dhcp-option DNS 10.8.0.1" # votre serveur DNS primaire (votre routeur, souvent)
push "dhcp-option DNS 208.67.222.222" # votre serveur DNS primaire OpenDNS
push "dhcp-option DNS 208.67.220.220" # votre serveur DNS primaire OpenDNS
# vous pouvez aussi utiliser le DNS Google 8.8.8.8 ou OpenDNS 208.67.222.222
# pour le reste, a priori pas de raisons d'y toucher à moins de savoir ce que vous faites !
client-to-client
duplicate-cn
keepalive 10 120
tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0
cipher AES-128-CBC
comp-lzo #Active la compression
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log 20
log /var/log/openvpn.log
verb 3
J'ai changé la première ligne pour mettre l'adresse IP locale de mon serveur.
Jusque là pas de problème, tout semble s'être déroulé normalement.
Mais, parce qu'il y a un mais !!!!!!! ça se corse quand il est dit que je dois ouvrir le fichier /etc/sysctl.conf pour mettre à la fin: net.ipv4.ip_forward = 1
Le problème est que le fichier /etc/sysctl.conf n'existe pas chez moi !!!!!!!! enfin sur mon serveur !
Qu'est-ce que j'ai raté ?!!
nic80 Membre non connecté
-
- Voir le profil du membre nic80
- Inscrit le : 06/08/2018
- Groupes :
-
Modérateur
Est ce que le fichier n' aurait pas migré de place ; /etc/systcl.d (ou alors il faudrait le créer ?) ?
https://bugs.mageia.org/show_bug.cgi?id=12066
Je ne peux pas vérifier pour l' instant.
Édité par nic80 Le 29/01/2021 à 19h13
zatox Membre non connecté
-
- Voir le profil du membre zatox
- Inscrit le : 27/09/2011
- Groupes :
nic80 :
Est ce que le fichier n' aurait pas migré de place ; /etc/systcl.d (ou alors il faudrait le créer ?) ?
Non, j'avais eu la même idée mais après vérification, je n'ai que 2 fichiers dans /etc/sysctl.d:
51-alt-sysrq.conf
et
51-drakx.conf
Sur le serveur sur lequel je suis entrain de monter openvpn (c'est un portable connecté sur le même réseau que mon ordi de bureau) je fais ça sur mageia8-bêta 2 mais j'ai aussi dessus un système mageia7 et sur mageia 7 le fichier /etc/sysctl.conf existe mais il n'y a rien dedans.
J'essaie de voir comment créér ce fichier peut-être avec justement la commande sysctl et une option qui va bien mais je ne sais pas trop laquelle et je ne voudrais pas me mettre la grouille avec cette commande qui, si j'ai bien compris peut bidouiller le noyau linux !!!! . Sinon je vais peut-être créer un fichier vide et y mettre ensuite ce qui est indiqué dans le tutoriel ? c'est rapport à IP V4, il faut rajouter cette ligne:
net.ipv4.ip_forward = 1
Bon affaire à suivre et merci encore pour ton aide.
nic80 Membre non connecté
-
- Voir le profil du membre nic80
- Inscrit le : 06/08/2018
- Groupes :
-
Modérateur
Utiliser la commande sysctl permet effectivement de changer des paramètres du noyau ( ici en l' occurrence la possibilité de transférer des paquets d' une interface à une autre (https://www.kernel.org/doc/html/latest/networking/ip-sysctl.html)).
Sans passer par sysctl, on pourrait je pense faire un " echo 1 > /proc/sys/net/ipv4/ip_forward" pour le système en cours de fonctionnement (autrement dit la modification est perdue en cas de redémarrage).
En fait sysctl permet d' automatiser ce réglage au démarrage du système, ceci par la lecture des fichiers présents dans /etc/systctl.d . Il est donc possible de créer un fichier xx-openvpn.conf ( ou xx correspond à un nombre ( je suppose de 01-parameter.conf sera lu en premier, et ces paramètres seront éventuellement modifiés par ceux définis dans 02-ecraseparameters.conf) et mettre les paramètres nécessaires à Openvpn dedans.
Bien entendu il est préférable de savoir ce que fait une option avant de la mettre définitivement dans un fichier de configuration lu par sysctl ( /sbin/sysctl -a permet de savoir les paramètres modifiables et une page pour savoir ce qu' ils peuvent modifier https://www.kernel.org/doc/html/latest/admin-guide/sysctl/index.html).
zatox Membre non connecté
-
- Voir le profil du membre zatox
- Inscrit le : 27/09/2011
- Groupes :
J'ai déroulé la suite, mais la log openvpn n'est pas tout à fait celle du tutoriel et je ne sais pas ce qu'il en est. Je joins le fichier dessous:
8-var-log-openvpn-log.txt
J'ai quand même continué, l'interface tun0 est présente sur le serveur mais ensuite au lancement du client vpn, ça plante ...
Caché :
[root@localhost openvpn]# openvpn --config /etc/openvpn/clientmga.ovpn
2021-01-30 01:26:05 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.
Options error: Unrecognized option or missing or extra parameter(s) in /etc/openvpn/clientmga.ovpn:15: mute (2.5.0)
Use --help for more information.
[root@localhost openvpn]#
2021-01-30 01:26:05 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.
Options error: Unrecognized option or missing or extra parameter(s) in /etc/openvpn/clientmga.ovpn:15: mute (2.5.0)
Use --help for more information.
[root@localhost openvpn]#
Je joins ci-dessous le fichier /etc/openvpn/clientmga.ovpn
clientmga.ovpn.txt
Je précise que chez moi le nom du serveur mga qui s'appelle serveurmga dans le tutoriel s'appelle chez moi serveurmga-porpompa mais j'ai remplacé à chaque fois que j'ai trouvé serveurmga par serveurmga-porpompa.
Voilà, pour le moment je vais aller dans les bras de morphée ...
pour votre aide. Répondre
Vous n'êtes pas autorisé à écrire dans cette catégorie