Bonsoir,

J ai suivi le tuto pour creer son serveur vpn avec openvpn sous debian.

J ai suivi le tuto et tout s 'est bien passé jusqu au moment ou j ai essayé de me connecté d un poste client au serveur vpn.

Voici ce que m ecris OpenVPN GUI :

Wed Aug 26 22:52:13 2015 OpenVPN 2.3.8 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Aug  4 2015
Wed Aug 26 22:52:13 2015 library versions: OpenSSL 1.0.1p 9 Jul 2015, LZO 2.08
Enter Management Password:
Wed Aug 26 22:52:13 2015 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Wed Aug 26 22:52:13 2015 Need hold release from management interface, waiting...
Wed Aug 26 22:52:13 2015 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Wed Aug 26 22:52:13 2015 MANAGEMENT: CMD 'state on'
Wed Aug 26 22:52:13 2015 MANAGEMENT: CMD 'log all on'
Wed Aug 26 22:52:13 2015 MANAGEMENT: CMD 'hold off'
Wed Aug 26 22:52:13 2015 MANAGEMENT: CMD 'hold release'
Wed Aug 26 22:52:13 2015 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Wed Aug 26 22:52:14 2015 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Wed Aug 26 22:52:14 2015 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Aug 26 22:52:14 2015 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Aug 26 22:52:14 2015 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Aug 26 22:52:14 2015 Attempting to establish TCP connection with [AF_INET]5.196.71.93:443 [nonblock]
Wed Aug 26 22:52:14 2015 MANAGEMENT: >STATE:1440622334,TCP_CONNECT,,,
Wed Aug 26 22:52:24 2015 TCP: connect to [AF_INET]10.45.124.14:443 failed, will try again in 5 seconds: Le système a tenté de joindre un lecteur à un répertoire stocké sur un lecteur joint.  
Wed Aug 26 22:52:29 2015 MANAGEMENT: >STATE:1440622349,TCP_CONNECT,,,

Voici le fichier de configuration server.conf :

#############################
#       Configuration       #
#           VPN             #
#############################
     
    # port et mode
    mode server
    proto tcp
    port 443
    dev tun
     
    # certificats + cles
    ca ca.crt
    cert server.crt
    key server.key
    dh dh1024.pem
    tls-auth ta.key 0
    cipher AES-256-CBC
     
    # Config reseau
    server 10.8.0.0 255.255.255.0
    push "redirect-gateway def1 bypass-dhcp"
    push "dhcp-option DNS 4.4.4.4"
    push "dhcp-option DNS 8.8.8.8"
    keepalive 10 120
     
    # Config securite
    user nobody
    group nogroup
    chroot /etc/openvpn/jail
    persist-key
    persist-tun
    comp-lzo
     
    # Config des logs
    verb 3
    mute 20
    status openvpn-status.log
    log-append /var/log/openvpn.log

et le fichier de configuration de l utilisateur :

# Config Client
client
dev tun
proto tcp-client
remote 10.45.124.14 443
resolv-retry infinite
cipher AES-256-CBC
# Certificats + Cles
ca ca.crt
cert toto.crt
key toto.key
tls-auth ta.key 1
# Config Securite
nobind
persist-key
persist-tun
comp-lzo
verb 3

Merci de votre aide.

-
Edité par stitch75017 26 août 2015 à 22:57:13

Ton remote a une adresse privée en 10.x.x.x, tu es sûr ?

en fait l adresse 10.45.124.14 que j ai mis pour l exemple est une adresse bidon, je voulais pas mettre ma vraie ip ici, mais c est l ip d un serveur dedié que je loue, j ai donc mis l adresse ip (fixe) de ce serveur dans le fichier de conf.

Alors je ne comprends pas tes logs dans lesquels on voit les deux adresses IP. A priori le problème est au niveau réseau pour joindre le serveur:

j ai desinstaller openvpn sur le serveur et j ai supprimer tous les fichiers de config puis j ai tout reinstaller.

Toujours le meme probleme, je comprend pas...

Voila la liste des fichiers que je mets dans "C:\Program Files (x86)\OpenVPN\config" :

ca.crt

client.conf

client.ovpn

ta.key

toto.crt

toto.key

Voici ce que m ecris OpenVPN GUI :

Fri Aug 28 04:28:49 2015 OpenVPN 2.2.0 Win32-MSVC++ [SSL] [LZO2] built on Apr 26 2011
Fri Aug 28 04:28:49 2015 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Fri Aug 28 04:28:49 2015 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Aug 28 04:28:49 2015 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Fri Aug 28 04:28:49 2015 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Aug 28 04:28:49 2015 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Aug 28 04:28:49 2015 LZO compression initialized
Fri Aug 28 04:28:49 2015 Control Channel MTU parms [ L:1560 D:168 EF:68 EB:0 ET:0 EL:0 ]
Fri Aug 28 04:28:49 2015 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Aug 28 04:28:49 2015 Data Channel MTU parms [ L:1560 D:1450 EF:60 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Aug 28 04:28:49 2015 Local Options hash (VER=V4): '2f2c6498'
Fri Aug 28 04:28:49 2015 Expected Remote Options hash (VER=V4): '9915e4a2'
Fri Aug 28 04:28:49 2015 Attempting to establish TCP connection with 5.196.71.1:443
Fri Aug 28 04:28:50 2015 TCP: connect to 5.196.71.1:443 failed, will try again in 5 seconds: Connection refused (WSAECONNREFUSED)
Fri Aug 28 04:28:56 2015 TCP: connect to 5.196.71.1:443 failed, will try again in 5 seconds: Connection refused (WSAECONNREFUSED)
Fri Aug 28 04:29:02 2015 TCP: connect to 5.196.71.1:443 failed, will try again in 5 seconds: Connection refused (WSAECONNREFUSED)
Fri Aug 28 04:29:07 2015 SIGTERM[hard,init_instance] received, process exiting

Voici le fichier de configuration server.conf :

#############################
#       Configuration       #
#           VPN             #
#############################

# port et mode
mode server
proto tcp
port 443
dev tun

# certificats + cles
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
tls-auth ta.key 0
cipher AES-256-CBC

# Config reseau
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 4.4.4.4"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120

# Config securite
user nobody
group nogroup
chroot /etc/openvpn/jail
persist-key
persist-tun
comp-lzo

# Config des logs
verb 3
mute 20
status openvpn-status.log
log-append /var/log/openvpn.log

et le fichier de configuration de l utilisateur :

# Config Client
client
dev tun
proto tcp-client
remote 5.196.71.1 443
resolv-retry infinite
cipher AES-256-CBC
# Certificats + Cles
ca ca.crt
cert toto.crt
key toto.key
tls-auth ta.key 1
# Config Securite
nobind
persist-key
persist-tun
comp-lzo
verb 3

edit: de mon pc j arrive bien a ping le serveur.

-
Edité par Anonyme 28 août 2015 à 4:35:05

Sur ton pc, peux-tu tester si tu arrives à joindre le port 443 ? avec telnet ou nmap ?

bonjour,

voila le resultat:

C:\Users\assistant>telnet 5.196.71.1 443
Connexion à 5.196.71.1...Impossible d'ouvrir une connexion à l'hôte, sur le port 443: Échec lors de la connexion

Donc vraisemblablement, ton PC n'a pas accès au serveur.

Est-ce que le service tourne bien sur le serveur ? 

Que donne un netstat -antp ou netstat -anup ?

elalitte a écrit:

Donc vraisemblablement, ton PC n'a pas accès au serveur.

C est etonnant car quand j essaye de pingué mon serveur ca fonctionne.

C:\Users\assistant>ping 5.196.71.1

Envoi d'une requête 'Ping'  5.196.71.1 avec 32 octets de données :
Réponse de 5.196.71.1 : octets=32 temps=41 ms TTL=55
Réponse de 5.196.71.1 : octets=32 temps=41 ms TTL=55
Réponse de 5.196.71.1 : octets=32 temps=41 ms TTL=55
Réponse de 5.196.71.1 : octets=32 temps=41 ms TTL=55

Statistiques Ping pour 5.196.71.1:
    Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
    Minimum = 41ms, Maximum = 41ms, Moyenne = 41ms

elalitte a écrit:

Est-ce que le service tourne bien sur le serveur ? 

Oui il tourne tout le temps c'est un serveur dédié hébergé chez OVH que je loue et qui me sert juste de FTP a la base.

elalitte a écrit:

Que donne un netstat -antp ou netstat -anup ?

C:\Users\assistant>netstat -antp

Connexion actives

  Proto  Adresse locale          Adresse distante      État            État de déchargement

Donc visiblement netstat -antp ne donne rien.


Je viens de redemarrer le service sur le serveur au cas ou mais ca change rien.

root@ns31688:~# /etc/init.d/openvpn restart
[ ok ] Restarting openvpn (via systemctl): openvpn.service.

-
Edité par stitch75017 28 août 2015 à 17:03:40

Le netstat est sur le serveur.

Tu ping le serveur, mais tu ne peux pas joindre le service VPN, donc je cherche à savoir s'il tourne sur le serveur. Si oui, tu as un problème de filtrage quelque part.

ah ok, voila le netstat du serveur alors ;).

root@ns31688:~# netstat -antp
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        PID/Program name
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      614/named
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      610/sshd
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      614/named
tcp        0    272 5.196.71.1:22          90.63.147.20:51240      ESTABLISHED 4888/0
tcp6       0      0 :::21                   :::*                    LISTEN      671/proftpd: (accep
tcp6       0      0 ::1:53                  :::*                    LISTEN      614/named
tcp6       0      0 :::22                   :::*                    LISTEN      610/sshd
tcp6       0      0 ::1:953                 :::*                    LISTEN      614/named

Est ce que OVH peux faire en sorte de me bloquer pour pas que j utilise le serveur en serveur VPN ?

-
Edité par stitch75017 28 août 2015 à 17:23:19

Non OVH ne ferait pas cela.

Sinon que donne le netstat -anup ? car là, pas de trace d'openVPN.

elalitte a écrit:

Sinon que donne le netstat -anup ? car là, pas de trace d'openVPN.

root@ns31688:~# netstat -anup
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        PID/Program name
udp        0      0 127.0.0.1:53            0.0.0.0:*                           614/named
udp6       0      0 ::1:53                  :::*                                614/named

Pas de trace non plus visiblement ?

-
Edité par stitch75017 28 août 2015 à 17:23:49

Ok, donc ton serveur ne tourne pas, il faut que tu regardes les logs pour savoir ce qui se passe.

qu est ce que tu entends par "ton serveur ne tourne pas" ? C est le service openvpn qui ne tourne pas ?

Je procède comment pour les logs. (je suis sous Debian 8 x64)

J ai trouvé ca comme log d openvpn:

openvpn.log :

Wed Aug 26 22:14:45 2015 OpenVPN 2.3.4 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Dec  1 2014
Wed Aug 26 22:14:45 2015 library versions: OpenSSL 1.0.1k 8 Jan 2015, LZO 2.08
Wed Aug 26 22:14:45 2015 Control Channel Authentication: using '/etc/openvpn/easy-rsa/keys/ta.key' as a OpenVPN static key file
Wed Aug 26 22:14:45 2015 TUN/TAP device tun0 opened
Wed Aug 26 22:14:45 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Wed Aug 26 22:14:45 2015 /sbin/ip link set dev tun0 up mtu 1500
Wed Aug 26 22:14:45 2015 /sbin/ip addr add dev tun0 10.8.0.1/24 broadcast 10.8.0.255
Wed Aug 26 22:14:45 2015 Listening for incoming TCP connection on [undef]
Wed Aug 26 22:14:45 2015 TCPv4_SERVER link local (bound): [undef]
Wed Aug 26 22:14:45 2015 TCPv4_SERVER link remote: [undef]
Wed Aug 26 22:14:45 2015 Initialization Sequence Completed
Wed Aug 26 22:35:32 2015 /sbin/ip addr del dev tun0 10.8.0.1/24
Wed Aug 26 22:35:32 2015 SIGTERM[hard,] received, process exiting
Options error: Temporary directory (--tmp-dir) fails with '/etc/openvpn/jail//tmp': No such file or directory
Options error: Please correct these errors.
Use --help for more information.

openvpn-status.log :

OpenVPN CLIENT LIST
Updated,Wed Aug 26 22:35:26 2015
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
GLOBAL STATS
Max bcast/mcast queue length,0
END

stitch75017 a écrit:

Options error: Temporary directory (--tmp-dir) fails with '/etc/openvpn/jail//tmp': No such file or directory
Options error: Please correct these errors.
Use --help for more information.

Pourquoi chroot tu le process ?

Est-ce que le répertoire /etc/openvpn/jail existe et qu'il a les bons droits ?

A priori c'est ce qui empêche ton serveur de démarrer.

stitch75017 a écrit:

Options error: Temporary directory (--tmp-dir) fails with '/etc/openvpn/jail//tmp': No such file or directory
Options error: Please correct these errors.
Use --help for more information.

pour le répertoire jail il existe bien pourtant et il est bien dans /etc/openvpn.

il a comme caractéristiques, groupe : root et utilisateur : root aussi.

je lui ai donné les droits 777 pour essayer, j ai redémarré le service openvpn via /etc/init.d/openvpn restart, rien n y fait toujours pareil

edit: le port 443 n est toujours pas en écoute sur le serveur.

d ailleur pourquoi dans mon log il y a 2 slash dans le chemin entre jail et tmp ('/etc/openvpn/jail//tmp')

-
Edité par stitch75017 29 août 2015 à 2:35:22

Ca ne devrait pas avoir d'impact.

Peux tu essayer de créer le répertoire tmp

mkdir /etc/openvpn/jail/tmp

c est bon ca fonctionne, j ai donc creer le dossier tmp j ai donner les droits 777 et j ai taper la commdande :

cd /etc/openvpn
openvpn server.conf
/etc/init.d/openvpn restart

Merci beaucoup.

-
Edité par stitch75017 29 août 2015 à 20:12:44

maintenant que mon vpn semble fonctionner je peux passer a la suite.

J aimerais avoir acces aux pc de mon travail.

Actuellement je passe par teamviewer mais c est pas fluide du tout, ca lag etc.

Voici un schema du systeme informatique de ma société (j ai mis que les pc) :

Donc pour etre bref j ai 4 pc clients et un serveur dans la société.

Tous les jours les pc clients sauvegarde toutes les donnees de la journée dans le serveur, et ce serveur se sauvegarde lui meme 1 fois par semaine dans mon ftp OVH. Voila pour la petite histoire.

Maintenant que j ai parametrer mon serveur OVH pour qu il ai le role de vpn, je voudrais savoir comment je peux faire pour pouvoir me connecter a l aide de mon serveur vpn sur nimporte quel des 4 pc de ma societe, vu que je n ai qu une ip publique ?

Merci

Tu ne pourras pas plus. Pour accéder aux PC de ton entreprise, il faut soit qu'un serveur VPN soit à l'intérieur, soit que tu rediriges un port pour donner accès à l'un des serveurs pour rebondir ensuite vers les autres.

Salut Eric,

Bah, si sur son serveur windows 2008, il a configuré un client VPN, et que sur son serveur VPN il met les bonnes routes, il aura accès aux clients depuis chez lui.

Je vois pas où est la difficulté et l'impossiblité de la chose, à moins que j'ai mal compris la demande.

Williams

Cela dépend si sn VPN est aujourd'hui entre chez lui et le serveur OVH ou entre son entreprise et le serveur OVH en fait.

La difficulté est là car de toute façon c'est une configuration complexe, l'impossibilité n'a jamais été envisagée

donc le mieux est que j installe le serveur vpn directement dans l entreprise ?

Oui, c'est la solution la plus simple je pense.

c'est ce que je vais faire donc, et ensuite comment je dois proceder pour configurer de tel sorte a avoir acces a tous mes postes ?

edit: je vais acheter un serveur basique d occasion qui fera juste tourner openvpn dessus.

Ca suffirait un pentium4 avec 1gb de ram ?

-
Edité par stitch75017 30 août 2015 à 16:13:28

Hum, il faut se méfier, les VPN demandent de la crypto donc du proc, je n'ai pas l'habitude mais il faudrait demander sur le site OpenVPN par exemple.

Après, pour l'accès aux postes, il faudra configurer le routage ou le bridging selon le choix fait.

et que me conseillerais tu ? routage ou bridging ?