OpenVPN: comment s'en servir?

kimented · Le 19/02/2010, à 16:26

Bonjour,

J'ai installé et configuré un serveur OpenVPN en suivant cette doc: http://doc.ubuntu-fr.org/openvpn
En le lançant en ligne de commande, je n'obtiens pas d'erreur, j'ai bien le message "Initialization Sequence Completed".

J'ai configuré le client en me basant sur le lien ci-dessus et celui-ci: http://doc.ubuntu-fr.org/client_openvpn
Dans la conf, j'ai juste ajouté la ligne qu'il proposent dans la partie "routage".

Je suis actuellement chez quelqu'un d'autre pour faire des tests, et ça n'a pas l'air de fonctionner comme il faudrait.
En lançant le client, j'ai ceci:

kimented@kimented-laptop:/etc/openvpn$ sudo openvpn --script-security 2 --config client.conf
Fri Feb 19 15:09:32 2010 OpenVPN 2.1_rc19 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Oct 13 2009
Fri Feb 19 15:09:32 2010 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Fri Feb 19 15:09:32 2010 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Fri Feb 19 15:09:32 2010 LZO compression initialized
Fri Feb 19 15:09:32 2010 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Feb 19 15:09:32 2010 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Feb 19 15:09:32 2010 Local Options hash (VER=V4): '41690919'
Fri Feb 19 15:09:32 2010 Expected Remote Options hash (VER=V4): '530fdded'
Fri Feb 19 15:09:32 2010 Socket Buffers: R=[114688->131072] S=[114688->131072]
Fri Feb 19 15:09:32 2010 UDPv4 link local: [undef]
Fri Feb 19 15:09:32 2010 UDPv4 link remote: 80.185.196.89:1194
Fri Feb 19 15:09:32 2010 TLS: Initial packet from 80.185.196.89:1194, sid=29a825a7 c0dd08be
Fri Feb 19 15:09:32 2010 VERIFY OK: depth=1, /C=FR/ST=57/L=Loupershouse/O=nope/OU=nope/CN=kiki/emailAddress=kimented@gmail.com
Fri Feb 19 15:09:32 2010 VERIFY OK: nsCertType=SERVER
Fri Feb 19 15:09:32 2010 VERIFY OK: depth=0, /C=FR/ST=57/L=Loupershouse/O=nope/OU=nope/CN=kiki/emailAddress=kimented@gmail.com
Fri Feb 19 15:09:34 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Feb 19 15:09:34 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Feb 19 15:09:34 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Feb 19 15:09:34 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Feb 19 15:09:34 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Fri Feb 19 15:09:34 2010 [kiki] Peer Connection Initiated with 80.185.196.89:1194
Fri Feb 19 15:09:35 2010 SENT CONTROL [kiki]: 'PUSH_REQUEST' (status=1)
Fri Feb 19 15:09:35 2010 PUSH: Received control message: 'PUSH_REPLY,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'
Fri Feb 19 15:09:35 2010 OPTIONS IMPORT: timers and/or timeouts modified
Fri Feb 19 15:09:35 2010 OPTIONS IMPORT: --ifconfig/up options modified
Fri Feb 19 15:09:35 2010 OPTIONS IMPORT: route options modified
Fri Feb 19 15:09:35 2010 ROUTE default_gateway=192.168.1.1
Fri Feb 19 15:09:35 2010 TUN/TAP device tun0 opened
Fri Feb 19 15:09:35 2010 TUN/TAP TX queue length set to 100
Fri Feb 19 15:09:35 2010 /sbin/ifconfig tun0 10.8.0.6 pointopoint 10.8.0.5 mtu 1500
Fri Feb 19 15:09:35 2010 /sbin/route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.8.0.5
Fri Feb 19 15:09:35 2010 /sbin/route add -net 10.8.0.1 netmask 255.255.255.255 gw 10.8.0.5
Fri Feb 19 15:09:35 2010 Initialization Sequence Completed

Donc à priori je suis connecté à mon serveur. Je vais dans Firefox à cette adresse pour voir mon ip: je n'obtiens pas celle de mon serveur. Y-a-t-il autre chose à configurer?

Le ping vers 10.8.0.1 fonctionne:

kimented@kimented-laptop:~$ ping 10.8.0.1
PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data.
64 bytes from 10.8.0.1: icmp_seq=1 ttl=64 time=106 ms
64 bytes from 10.8.0.1: icmp_seq=2 ttl=64 time=104 ms

Autre chose: quand j'ai généré les clés de mon serveur et de mon client, j'ai du entrer un mot de passe. Or on ne me le demande pas quand je lance le serveur ou le client, est-ce normal?

Ah autre chose: en lançant le serveur, j'ai un avertissement: mon réseau local utilise les adresses 192.168.0.x qui sont très courantes, je risque d'avoir des problèmes si le réseau local utilise les mêmes adresses de là où je me connecte. Est-ce cela le problème? Mon routeur est une Neufbox, je vais essayer de modifier ça...

Dernière modification par kimented (Le 19/02/2010, à 16:35)

Hawkmoon · Le 19/02/2010, à 17:27

"Ton IP" te donne l'ip avec laquelle tu vas sur internet.
Ce n'est pas celle avec laquelle tu entres dans le tunnel VPN.

Dans un terminal,

ifconfig

kimented · Le 19/02/2010, à 17:54

Justement. J'étais chez mon frère, qui a une adresse publique 86.x.x.x, celle de chez moi étant 80.x.x.x. Si de chez mon frère, j'affiche un site en passant par le tunnel VPN, celui-ci devrait voir que je me connecte depuis 80.x.x.x. Or là ce n'était pas le cas.

ifconfig depuis chez moi, on voit qu'aucun paquet n'est passé dans le(s) tunnel(s):

kimented@kimented-laptop:~$ ifconfig
eth0      Link encap:Ethernet  HWaddr 00:16:d4:c3:9a:d1  
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          Packets reçus:0 erreurs:0 :0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000 
          Octets reçus:0 (0.0 B) Octets transmis:0 (0.0 B)
          Interruption:16 Adresse de base:0x2000 

eth2      Link encap:Ethernet  HWaddr 00:1a:73:39:29:c9  
          inet adr:192.168.1.26  Bcast:192.168.1.255  Masque:255.255.255.0
          adr inet6: fe80::21a:73ff:fe39:29c9/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Packets reçus:7931 erreurs:0 :0 overruns:0 frame:159
          TX packets:6890 errors:12 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000 
          Octets reçus:5847920 (5.8 MB) Octets transmis:951617 (951.6 KB)
          Interruption:18 

lo        Link encap:Boucle locale  
          inet adr:127.0.0.1  Masque:255.0.0.0
          adr inet6: ::1/128 Scope:Hôte
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          Packets reçus:0 erreurs:0 :0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0 
          Octets reçus:0 (0.0 B) Octets transmis:0 (0.0 B)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet adr:10.8.0.6  P-t-P:10.8.0.5  Masque:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          Packets reçus:0 erreurs:0 :0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:100 
          Octets reçus:0 (0.0 B) Octets transmis:0 (0.0 B)

tun1      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet adr:10.8.0.6  P-t-P:10.8.0.5  Masque:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          Packets reçus:0 erreurs:0 :0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:100 
          Octets reçus:0 (0.0 B) Octets transmis:0 (0.0 B)

Dans le retour de la commande que j'ai posté précédemment, il y a "ROUTE default_gateway=192.168.1.1", ça ne devrait pas être plutôt être "10.8.0.1" ?

Dernière modification par kimented (Le 19/02/2010, à 18:00)

droopy191 · Le 19/02/2010, à 18:15

Salut,

Ici, votre VPN n'est qu'un sous réseau parmi d'autres.
Il faut que la route par défaut passe par le vpn.
Voir la directive redirect-gateway
http://openvpn.net/index.php/open-sourc … l#redirect
Si j'ai bien compris votre montage, vous avez un autre réseau local au niveau du serveur.
Je commencerais par mettre en place le routage vers le LAN du serveur ( et vérifier que ca marche ) puis ensuite activer le redirect-gateway.

kimented · Le 19/02/2010, à 23:05

Apparemment c'est bien ça le problème.
J'ai ajouté dans la conf du server la ligne : push "redirect-gateway def1"
J'ai également lancé sur le serveur cette commande: iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE"

Maintenant sur mon client, il y a bien des paquets qui passent dans le tunnel VPN, mais que dans un sens:

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet adr:10.8.0.6  P-t-P:10.8.0.5  Masque:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          Packets reçus:0 erreurs:0 :0 overruns:0 frame:0
          TX packets:26 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:100 
          Octets reçus:0 (0.0 B) Octets transmis:3983 (3.9 KB)

Donc quand je vais sur le web, je n'accède à rien. La règle Iptable était bien à lancer sur le serveur? J'ai bien vérifié qu'il y a l'adresse 10.8.0.0 dans ma conf serveur, mais il n'y a pas le /24 (qui correspond à quoi?).
Je précise que je n'ai jamais utilisé iptable, je ne connais presque rien en réseau...

droopy191 · Le 19/02/2010, à 23:20

kimented a écrit :

Apparemment c'est bien ça le problème.
J'ai ajouté dans la conf du server la ligne : push "redirect-gateway def1"
J'ai également lancé sur le serveur cette commande: iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE"
[snip]
Donc quand je vais sur le web, je n'accède à rien. La règle Iptable était bien à lancer sur le serveur? J'ai bien vérifié qu'il y a l'adresse 10.8.0.0 dans ma conf serveur, mais il n'y a pas le /24 (qui correspond à quoi?).
Je précise que je n'ai jamais utilisé iptable, je ne connais presque rien en réseau...

Dans la commande iptables, eth0 correspond à l'interface lan du serveur
Dans votre cas je crois que c'est eth2 au vu de votre ifconfig précedent.
le /24 est le masque de sous réseau ( c'est comme 255.255.255.0 )

Mais il me semble qu'il manque aussi l'activation du routage.

sudo echo 1 > /proc/sys/net/ipv4/ip_forward

Notez enfin que la modif iptables et l'activation du routage vont disparaitre au prochain démarrage ( si ca marche on verra pour rendre les 2 règles permanentes )

Hawkmoon · Le 19/02/2010, à 23:34

Confondrais-tu "réseau" et "'internet" ?
Le VPN sert à monter un tunnel crypté entre deux réseaux, pas à accèder à internet.
Ton interface tun1 est montée, et tu dois pouvoir pinguer le(s) machine de ton réseaux depuis celui du frère. Donc, le VPN est ok. Pas besoin d'aller sur internet pour ça.
Accèder à internet depuis chez lui en passant par chez toi, je ne vois pas l'interêt.

kimented · Le 19/02/2010, à 23:39

C'est bien eth0 qui représente ma carte réseau sur mon serveur, ce que j'avais donné avant provenait de mon client, donc je n'ai même pas eu à modifier la commande.

La commande que vous venez de me donner ne change rien (J'ai relancé ma connexion VPN depuis le client pour tester). Y-a-t-il autre chose à relancer? Une configuration du pare-feu, du routeur? J'ai uniquement configuré le port 1194 dans mon routeur, et ouvert ce port sur mon serveur.

Merci pour votre aide.
Le server et le client sont actuellement branchés sur le même routeur, au cas où ça influerait.

@Hawkmoon
L'intérêt est que je je n'accède pas toujours à internet depuis chez moi. Dans un cas normal, tous mes identifiants/password des sites auxquels je me connecte et qui n'utilisent pas ssl sont potentiellement visibles à toute personne connectée au réseau. Ce n'est pas pour me connecter de chez mon frère que je fais ça, c'était juste un test...

Dernière modification par kimented (Le 19/02/2010, à 23:45)

droopy191 · Le 20/02/2010, à 01:03

kimented a écrit :

Le server et le client sont actuellement branchés sur le même routeur, au cas où ça influerait.

En général, c'est pas une bonne idée, ca risque de rentrer par une interface et de sortir par une autre.

Hawkmoon · Le 20/02/2010, à 11:52

Je pense qu'il faut surtout comprendre sur le même switch (qui fait aussi routeur, mais peu importe)
Tu peux très bien à des fins d'expérimentation de formation monter un VPN dans le même LAN.

kimented · Le 20/02/2010, à 23:50

Je ne suis actuellement pas chez moi, je n'ai pas beaucoup de temps, mais ça tombe bien pour faire des tests

Donc j'ai lancé le tunnel, puis j'ai testé ces adresses dans mon navigateur:
google.fr
192.168.31.1 // mon routeur
10.8.0.1
4 10.8.0.5

Aucune page ne s'est affichée. Même si la règle ipconfig n'est pas juste, je devrais quand même pouvoir accéder aux adresses locales, si j'ai bien compris...
Je posterai tous mes fichiers config si quelqu'un veut prendre le temps d'y jeter un oeil.

Hawkmoon · Le 21/02/2010, à 10:00

Encore une fois, tester google dans le cadre d'un VPN n'est pas nécessaire, sauf si tu veux que ton surf passe par l'accès internet de là ou tu y es (pour le tunnel) puis par le tien.

Pour tester le tunnel tu dois pinguer l'adresse IP du serveur VPN.
As-tu bien mis en place le routage entre l'interface de sortie du tunnel côté serveur VPN et ton interface eth ?

droopy191 · Le 21/02/2010, à 19:44

kimented a écrit :

Je ne suis actuellement pas chez moi, je n'ai pas beaucoup de temps, mais ça tombe bien pour faire des tests
Donc j'ai lancé le tunnel, puis j'ai testé ces adresses dans mon navigateur:
google.fr
192.168.31.1 // mon routeur
10.8.0.1
4 10.8.0.5
Aucune page ne s'est affichée. Même si la règle ipconfig n'est pas juste, je devrais quand même pouvoir accéder aux adresses locales, si j'ai bien compris...
Je posterai tous mes fichiers config si quelqu'un veut prendre le temps d'y jeter un oeil.

La table de routage du client donne quoi ?

kimented · Le 21/02/2010, à 20:49

@Hawkmoon: Ce que je souhaite, c'est pouvoir naviguer sur le net en passant par une machine hébergée chez moi, sans que cela ne se remarque du coté client (en dehors du débit moindre...). L'accès entre mon client et le routeur serait entièrement chiffré, et c'est mon serveur qui déchiffre et accède à Internet. C'est le principe des accès VPN qu'on vend au grand-public, pour qu'ils puissent naviguer sans divulguer leur réelle adresse ip (sauf que je n'ai pas le même but, vu que l'adresse de mon serveur sera toujours visible).
Pour le ping, tu parles de quelle adresse, celle donnée par mon FAI? Celle du serveur sur le réseau local?

@droopy191: Table de routage de mon client? Elle est par défaut, je crois, à moins que OpenVPN ne la modifie suivant le fichier de config. Je posterai le retour de "route -n" quand j'aurai le temps de faire des tests.

Je n'aurai pas le temps de faire des tests en début de semaine. Je fournirai les fichiers de conf, les tables de routage, la configuration de mon routeur, de mes pare-feus... dès que je pourrais vous répondre.

droopy191 · Le 21/02/2010, à 20:53

kimented a écrit :

@droopy191: Table de routage de mon client? Elle est par défaut, je crois, à moins que OpenVPN ne la modifie suivant le fichier de config. Je posterai le retour de "route -n" quand j'aurai le temps de faire des tests.

Oui, l'idée est de voir si la route par défaut passe par le vpn ( modifée par la directive redirect-gateway du fichier de conf ).

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 19/02/2010, à 16:26

OpenVPN: comment s'en servir?

#2 Le 19/02/2010, à 17:27

Re : OpenVPN: comment s'en servir?

#3 Le 19/02/2010, à 17:54

Re : OpenVPN: comment s'en servir?

#4 Le 19/02/2010, à 18:15

Re : OpenVPN: comment s'en servir?

#5 Le 19/02/2010, à 23:05

Re : OpenVPN: comment s'en servir?

#6 Le 19/02/2010, à 23:20

Re : OpenVPN: comment s'en servir?

#7 Le 19/02/2010, à 23:34

Re : OpenVPN: comment s'en servir?

#8 Le 19/02/2010, à 23:39

Re : OpenVPN: comment s'en servir?

#9 Le 20/02/2010, à 01:03

Re : OpenVPN: comment s'en servir?

#10 Le 20/02/2010, à 11:52

Re : OpenVPN: comment s'en servir?

#11 Le 20/02/2010, à 23:50

Re : OpenVPN: comment s'en servir?

#12 Le 21/02/2010, à 10:00

Re : OpenVPN: comment s'en servir?

#13 Le 21/02/2010, à 19:44

Re : OpenVPN: comment s'en servir?

#14 Le 21/02/2010, à 20:49

Re : OpenVPN: comment s'en servir?

#15 Le 21/02/2010, à 20:53

Re : OpenVPN: comment s'en servir?

Pied de page des forums