[OpenVPN] j'y arrive pas

[steff00]

Bonjour a tous

je dois installer un serveur openvpn avec une seule carte réseau sur un centos 6.4
et malgré google qui ne doit pas être mon ami aujourd'hui
je n'y arrive pas
l'install est ok mais je n'arrive pas à comprendre donc à paramètrer les interfaces réseau

oui vous avez le droit d'en rire ou de me traiter de noob,

mais un peu d'aide sera aussi surement la bienvenue

Cordialemetn

[Zedoune]

Salut

Il n'y a rien à modifier sur les cartes réseaux.
OpenVPN crée des interfaces tun (ou tap si tu choisis des ponts ethernet) pour chaque client. Après selon la config du serveur, ils pourront accéder à internet par le serveur, ou pas.

[steff00]

J'ai choisi l'interface tun
mais elle ne prend pas d'adresse ip alors que partout sur le net je lis le contraire

quand je fais ifconfig tun0 j'ai ca


tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
POINTOPOINT NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:100
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

[Zedoune]

Je crois qu'elle prend une adresse que lorsque quelqu'un est connecté, si je me souviens bien !

[steff00]

bon j'ai un peu progressé mais ce n'est pas encore ça. voila le message d'erreur que j'ai cote client (sous win)


Thu Sep 26 14:01:23 2013 us=887723 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain:
Thu Sep 26 14:01:23 2013 us=887779 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Thu Sep 26 14:01:23 2013 us=887786 TLS Error: TLS object -> incoming plaintext read error

[kalistyan]

As tu essayé de recréer un certificat ?
Tu devrais poster les fichiers de conf.

[dsebire]

ton certificat, il est stocké ou ? machine ou user ?
quel OS (win XP, 7 etc...) ?

j'ai eu de gros pbs avec openVPN sous Win7 qui n'arrive pas a récupérer un certificat machine (c'est pas possible en fait)

[steff00]

ça c'est mon server.conf

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/cerbere.sbsr.crt
key /etc/openvpn/easy-rsa/keys/cerbere.sbsr.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
server 192.168.5.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
keepalive 10 120
cipher AES-128-CBC
comp-lzo
max-clients 10
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 5


mon client.conf

client
dev tun
proto udp
remote 192.168.1.71 1194
resolv-retry infinite
nobind
persist-key
persist-tun
mute-replay-warnings
ca ca.crt
cert stephane.crt
key stephane.key
cipher AES-128-CBC
comp-lzo
verb 5

recreation de certificats et meme punition

[steff00]

Je continue a avancer

j'avais un souci d'heure, pas synchro sur le vieux PC qui me sert de serveur openvpn
j'ai triché avec l'heure sur mon client

nouveau message

Thu Sep 26 20:50:32 2013 us=221134 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Sep 26 20:50:32 2013 us=221151 [cerbere.sbsr] Peer Connection Initiated with 192.168.1.71:1194
Thu Sep 26 20:50:33 2013 us=311998 SENT CONTROL [cerbere.sbsr]: 'PUSH_REQUEST' (status=1)
Thu Sep 26 20:50:33 2013 us=314469 PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route 192.168.5.1,topology net30,ping 10,ping-restart 120,ifconfig 192.168.5.6 192.168.5.5'
Thu Sep 26 20:50:33 2013 us=314527 Options error: Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:3: topology (2.0.9)

la syntaxe de l'option push je l'ai prise sur un site openvpn
j'y arriverai

[kalistyan]

Essaye sans push, voir si cela passe. Tu pourras tjrs la rajouter à la main pour les tests.

[steff00]

meme resultat en ayant commenté le push sur le serveur.conf

je suis effectivement sur win 7
mais j'ai copié les certificats du serveur sur le client

[kalistyan]

Pas certain, que cela chnage la donne... Mais l'on ne sait jamais!

Code : Tout sélectionner

dev tun => dev tun0

Edit : Tuto en Fr => http://arnofear.free.fr/linux/template. ... =17&page=1

[steff00]

Merci a vous

j'ai enfin fait un morceau de la route

le client windows que j'utilisais etait pourri
enfin eu le bon et enfin pu me connecter

maintenant il reste toute la partie paramètrage a faire

http://swupdate.openvpn.org/community/r ... nstall.exe

[steff00]

je reviens parce que j'ai pu avancer mais pas encore fini

donc depuis l'exterieur je me connecte bien sur mon serveur VPN, mais je n'arrive pas à atteindre le reste de mon réseau local

toute idée est la bienvenue

[Zedoune]

Faut pas activer le ip forward ou une connerie dans le genre ?

[steff00]

j'ai activé l'ip forward

echo 1 > /proc/sys/net/ipv4/ip_forward

[gizmo78]

y a une ligne de conf à mettre pour forcer les clients à utiliser le vpn mais je sais plus laquelle ^^

[kalistyan]

@Steff00 Une dois fois connecté, ajoute la route pour atteindre ton réseau local.

Edit :

Sous linux :

Code : Tout sélectionner

route add -net 192.168.1.0/24 gw 192.168.94.1

1.0 = mon lan
94.1 = ip serveur openvpn

[steff00]

bon ca ne marche pas

je me connecte sur le serveur openvpn
je pingue son ip sur le lan mais aucune autre

[cpp]route

Destination Passerelle Genmask Indic Metric Ref Use Iface
192.168.5.2 * 255.255.255.255 UH 0 0 0 tun0
192.168.5.0 192.168.5.2 255.255.255.0 UG 0 0 0 tun0
10.1.1.0 * 255.255.255.0 U 0 0 0 eth0
link-local * 255.255.0.0 U 1002 0 0 eth0
default 10.1.1.250 0.0.0.0 UG 0 0 0 eth0

[/cpp]

j'ai rajouté la table de routage du client apres connexion

[steff00]

n'y arrivant toujours pas
je suis en contact maintenant avec le support open vpntete dure la bas

[vhnet]

Hello
t'as essayer d'executer OpenVPN en tant qu'administrateur ?

Les routes ne s'ajoutent automatiquement que si tu executes OpenVPN en administrateur sur un W7.

Je viens de refaire ma conf site-site avec OpenVPN, un KS2G et 3 réseaux différents + 2 PC et ca tourne impec

Si tu as besoin d'info je suis dispo demain soir

[poulpito]

+1 pareil ovpn a lancer en admin

[steff00]

Non cela ne marche toujours pas
et oui je lance le client en administrateur
sur le poste windows 7