Configuration OpenVPN

K -Lune noire · Le 23/06/2011, à 14:19

Bonjour,

J'ai suivi le tuto de la doc et celui de NicoLargo pour installer un serveur OpenVPN sur mon serveur dédié.
Mais impossible de me connecter avec mon client VPN, apparement le serv est mal réglé mais je ne sais pas où se trouve le problème...

Mon /etc/openvpn/server.conf est le suivant :

# Serveur TCP/443
mode server
proto tcp
port 443
dev tun
# Cles et certificats
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
tls-auth ta.key 0
cipher AES-256-CBC
# Reseau
server 10.8.18.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 4.4.4.4"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
# Securite
user nobody
group nogroup
chroot /etc/openvpn/jail
persist-key
persist-tun
comp-lzo
# Log
verb 3
mute 20
status openvpn-status.log
log-append /var/log/openvpn.log

Seulement si j'essaye de lancer le server VPN il me dit:

xavier@ks380744:~$ sudo /etc/init.d/openvpn start 
 * Starting virtual private network daemon(s)...
 *   Autostarting VPN 'server'
   ...fail!

Dans les logs j'ai

Thu Jun 23 14:19:01 2011 OpenVPN 2.1.0 x86_64-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [MH] [PF_INET6] [eurephia] built on Jul 20 2010
Thu Jun 23 14:19:01 2011 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Thu Jun 23 14:19:01 2011 Diffie-Hellman initialized with 1024 bit key
Thu Jun 23 14:19:01 2011 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Thu Jun 23 14:19:01 2011 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Thu Jun 23 14:19:01 2011 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jun 23 14:19:01 2011 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jun 23 14:19:01 2011 TLS-Auth MTU parms [ L:1560 D:168 EF:68 EB:0 ET:0 EL:0 ]
Thu Jun 23 14:19:01 2011 TCP/UDP: Socket bind failed on local address [undef]: Address already in use
Thu Jun 23 14:19:01 2011 Exiting

Une idée ??

billou · Le 24/06/2011, à 10:12

J'ai le même problème... Si quelqu'un a une solution?..

Le fichier de configuration :

    # Serveur TCP/443
    mode server
    proto tcp
    port 443
    dev tun
    # Cles et certificats
    ca ca.crt
    cert server.crt
    key server.key
    dh dh1024.pem
    #tls-auth ta.key 0
    #cipher AES-256-CBC
    # Reseau
    server 10.8.0.0 255.255.255.0
    push "redirect-gateway def1 bypass-dhcp"
    push "dhcp-option DNS 127.0.0.1"
    push "dhcp-option DNS 8.8.8.8"
    keepalive 10 120
# Securite
    user nobody
    group nogroup
    chroot /etc/openvpn/jail
    persist-key
    persist-tun
    comp-lzo
    # Log
    verb 3
    mute 20
    status openvpn-status.log
    ; log-append /var/log/openvpn.log
    client-cert-not-required
    username-as-common-name
    plugin /usr/lib/openvpn/openvpn-auth-pam.so common-auth

Et le log :

Kinux@Serveur:/etc/openvpn$ sudo openvpn server.conf
Fri Jun 24 10:12:49 2011 OpenVPN 2.1.3 i686-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [MH] [PF_INET6] [eurephia] built on Mar 11 2011
Fri Jun 24 10:12:49 2011 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Fri Jun 24 10:12:49 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Jun 24 10:12:49 2011 PLUGIN_INIT: POST /usr/lib/openvpn/openvpn-auth-pam.so '[/usr/lib/openvpn/openvpn-auth-pam.so] [common-auth]' intercepted=PLUGIN_AUTH_USER_PASS_VERIFY 
Fri Jun 24 10:12:49 2011 Diffie-Hellman initialized with 1024 bit key
Fri Jun 24 10:12:49 2011 WARNING: POTENTIALLY DANGEROUS OPTION --client-cert-not-required may accept clients which do not present a certificate
Fri Jun 24 10:12:49 2011 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Fri Jun 24 10:12:50 2011 TLS-Auth MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Fri Jun 24 10:12:50 2011 Socket Buffers: R=[87380->131072] S=[16384->131072]
Fri Jun 24 10:12:50 2011 TCP/UDP: Socket bind failed on local address [undef]: Address already in use
Fri Jun 24 10:12:50 2011 Exiting

Même erreur :

Fri Jun 24 10:12:50 2011 TCP/UDP: Socket bind failed on local address [undef]: Address already in use

Mes sources de configuration => http://blog.nicolargo.com/2010/10/insta … buntu.html & http://blog.gaetan-grigis.eu/systeme/ad … -de-passe/

Dernière modification par billou (Le 24/06/2011, à 10:21)

hayou · Le 24/06/2011, à 16:43

tu dois avoir un serveur apache ou quelques chose du genre qui tourne... tu ne peux pas utiliser le port 443...

billou · Le 24/06/2011, à 19:14

J'ai fait un sudo /etc/init.d/apache2 stop puis retenté le lancement d'openVPN, même erreur.

Et voilà le listing des services utilisant ce port :

Kynux@Serveur:/etc/openvpn$ cat /etc/services|grep 443
https        443/tcp                # http protocol over TLS/SSL
https        443/udp

Une idée?

K -Lune noire · Le 24/06/2011, à 19:15

J'ai arreté apache sur le serv mais j'ai toujours un fail.. Mes logs :

Fri Jun 24 19:14:30 2011 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Fri Jun 24 19:14:30 2011 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Jun 24 19:14:30 2011 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Jun 24 19:14:30 2011 TLS-Auth MTU parms [ L:1560 D:168 EF:68 EB:0 ET:0 EL:0 ]
Fri Jun 24 19:14:30 2011 TCP/UDP: Socket bind failed on local address [undef]: Address already in use
Fri Jun 24 19:14:30 2011 Exiting

J'aimerai bien passer par le 443, justement parce que c'est un port commun

billou · Le 24/06/2011, à 19:55

Yep, de plus c'est forcément un service qui bloque ça, vu qu'en passant en udp ça fonctionne.

K -Lune noire · Le 25/06/2011, à 12:15

Bah 443 c'est le port du SSh et je me connecte a mon serv distant en ..... SSH.
ça peut venir de là non ?

Il est possible de le configurer sur le port 80 ?

Sinon je vais tester sur un port exotique mais ça veut dire me retaper la config de tous les certificats non? IL n'y a pas moyen d'avoir une authentification plus light?

src · Le 25/06/2011, à 12:29

T'as pas à refaire tes certificats pour un port... c'est juste une ligne à changer dans le server.conf et le fichier de conf du client. Et oui sur le 80 ça passe sauf si tu as déjà un Apache bien entendu.

K -Lune noire · Le 25/06/2011, à 13:01

Je viens de faire la modif et effectivement cela passe, le serv OpenVPN se lance !

il me reste encore des bugs dans les certificats par contre apparement :

2011-06-25 12:59:49 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
2011-06-25 12:59:49 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2011-06-25 12:59:49 MANAGEMENT: Client disconnected

Il faut que je fouille, mais décidement c'est assez chiant a mettre en place. On ne peut pas shinter les certificats ?

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 23/06/2011, à 14:19

Configuration OpenVPN

#2 Le 24/06/2011, à 10:12

Re : Configuration OpenVPN

#3 Le 24/06/2011, à 16:43

Re : Configuration OpenVPN

#4 Le 24/06/2011, à 19:14

Re : Configuration OpenVPN

#5 Le 24/06/2011, à 19:15

Re : Configuration OpenVPN

#6 Le 24/06/2011, à 19:55

Re : Configuration OpenVPN

#7 Le 25/06/2011, à 12:15

Re : Configuration OpenVPN

#8 Le 25/06/2011, à 12:29

Re : Configuration OpenVPN

#9 Le 25/06/2011, à 13:01

Re : Configuration OpenVPN

Pied de page des forums