Logo du forum
 

Forum TTH-News

| Inscription | | Recherche | | FAQ | | Accueil | | Liste des membres |
| Calendrier |
 
Vous n'êtes pas identifié! [Connexion] ou [Inscription] Forum » Software - OS - Réseaux » [Réseaux] » [Résolu] Soucis de config VPN (par OpenVPN)
Login Mot de passe

5 visiteurs sur ce topic (0 membre(s), 5 invité(s) )


Auteur
Sujet : [Résolu] Soucis de config VPN (par OpenVPN)
Vegan
Vétéran
Membre # 1636

 
Lieu : Area51

Messages :
3203 (0.53 par jour)


Score :

Message du 04-08-2015 @ 10:39   Afficher le profil   Envoyer un message privé   Editer le message   Citer le message      Afficher l'adresse IP   Alerter les modérateurs   


Bonjour,
Je cherche à installer un petit VPN (OpenVPN). les messages d'erreur de mon client semblent indiquer qu'il n'arrive pas à connecter le serveur (installé chez un particulier). Sur le serveur, j'ai bien ouvert le port 1194 (c'est un raspberry pi, sous Raspbian).
Sur le modem/routeur du reseau du serveur, j'ai défini une règle NAT sur ce port, mais ca n'a pas l'air de suffire. J'ai ajouté une règle PAT pour utiliser le port 443 à l'extérieur mais ca ne va pas mieux (changement évidemment effectué dans mon fichier de config client).
L'IP externe est correcte (vérifiée par un SSH sur cette IP) et bien configurée dans mon client OpenVPN.

Serait-ce mon réseau professionnel qui bloque ces ports? Ou l'ISP du serveur? Comment est-ce possible de checker (je suis sous Win7Pro) ?
Merci pour votre aide...

[message édité le 27-08-2015 @ 15:05 Par Vegan]
----------
Amicalement vôtre
- Haut de page -
bEsTiAn
Le fauve du forum
Membre # 6846

 Avatar du membre
Lieu : Neigembos

Messages :
13208 (2.4 par jour)


Score :

Message du 04-08-2015 @ 10:54   Site personnel   Afficher le profil   Envoyer un message privé   Editer le message   Citer le message      Afficher l'adresse IP   Alerter les modérateurs   

Vérifie que c est bien le port udp que tu as forwardé, pas tcp

[message édité le 04-08-2015 @ 10:55 Par bEsTiAn]
----------
chwi fatigué...
HP 2540p + HP 650g1
puis un iPad 2 (bêêêrk) pour ma fille
- Haut de page -
Vegan
Vétéran
Membre # 1636

 
Lieu : Area51

Messages :
3203 (0.53 par jour)


Score :

Message du 04-08-2015 @ 11:26   Afficher le profil   Envoyer un message privé   Editer le message   Citer le message      Afficher l'adresse IP   Alerter les modérateurs   

Je forwarde les 2, TCP et UDP (mais c'est bien UDP configuré au niveau serveur et client). C'est pas incompatible tout de même?

(... merci ... )

[message édité le 04-08-2015 @ 11:26 Par Vegan]
----------
Amicalement vôtre
- Haut de page -
bEsTiAn
Le fauve du forum
Membre # 6846

 Avatar du membre
Lieu : Neigembos

Messages :
13208 (2.4 par jour)


Score :

Message du 04-08-2015 @ 18:06   Site personnel   Afficher le profil   Envoyer un message privé   Editer le message   Citer le message      Afficher l'adresse IP   Alerter les modérateurs   

Non du tout, c'est juste une erreur facile à faire
----------
chwi fatigué...
HP 2540p + HP 650g1
puis un iPad 2 (bêêêrk) pour ma fille
- Haut de page -
Pollux
admin ad vitam aeternam
Membre # 1335

 Avatar du membre
Lieu : Now and Then, Here and There

Messages :
8420 (1.37 par jour)


Score :

Message du 04-08-2015 @ 20:42   Afficher le profil   Envoyer un message privé   Editer le message   Citer le message      Afficher l'adresse IP   Alerter les modérateurs   

Tu es sûr que ce n'est pas une erreur de conf ? Je présume que tu as vérifié que ton serveur Raspbian écoutait bien sur le port 1194 d'OpenVPN ?

Tu peux vérifier l'ouverture d'un port (mais uniquement en TCP) via ce site : https://www.grc.com/x/ne.dll?rh1dkyd2



----------
"I've got a gun, you've got a body, let's paint the walls !" (Sam "Serious" Stone, bourrin de naissance)

Asus P8Z77-M PRO, Intel Core i7 3770K, Noctua NH-U12P, Corsair Vengeance 4x4Go DDR3-1600 CL9, Gigabyte GeForce GTX 1070 G1 Gaming 8Go, Fractal Design Define Mini, Seasonic M12II 520W, Samsung 850 EVO 1To, HGST 7K500 500Go, IIyama ProLite B2409HDS
- Haut de page -
bEsTiAn
Le fauve du forum
Membre # 6846

 Avatar du membre
Lieu : Neigembos

Messages :
13208 (2.4 par jour)


Score :

Message du 06-08-2015 @ 8:27   Site personnel   Afficher le profil   Envoyer un message privé   Editer le message   Citer le message      Afficher l'adresse IP   Alerter les modérateurs   

regarder les fichiers de log coté serveur lors d'une tentative de connexion coté client, il y a rien d'autre a faire malheureusement
----------
chwi fatigué...
HP 2540p + HP 650g1
puis un iPad 2 (bêêêrk) pour ma fille
- Haut de page -
Vegan
Vétéran
Membre # 1636

 
Lieu : Area51

Messages :
3203 (0.53 par jour)


Score :

Message du 06-08-2015 @ 9:50   Afficher le profil   Envoyer un message privé   Editer le message   Citer le message      Afficher l'adresse IP   Alerter les modérateurs   

SOLVED :)
(cfr EDIT de ce message)

Merci pour vos réponses à tous 2. Pas eu l'occasion d'y retourner beaucoup hier, mais effectivement ce log est instructif. Ca n'a pas l'air d'un souci de ports bloqués mais plutôt d'une config quelque part...
Je me permets de vous copier la fin du log (openvpn.log) (avec les masquages d'usage pour les adresses IP).
Si vous avez une idée, ça m'intéresse...
Code :


Tue Aug 4 14:11:46 2015 UDPv4 link local (bound): [AF_INET]IP.LOC.ALE.SRV:1194

Tue Aug 4 14:11:46 2015 UDPv4 link remote: [undef]
Tue Aug 4 14:11:46 2015 Initialization Sequence Completed
Tue Aug 4 14:12:22 2015 IP.PUB.LIK.CLI:64552 Re-using SSL/TLS context

Tue Aug 4 14:12:22 2015 IP.PUB.LIK.CLI:64552 LZO compression initialized

Tue Aug 4 14:12:24 2015 IP.PUB.LIK.CLI:64552 [cle_client1] Peer Connection Initiated with [AF_INET]IP.PUB.LIK.CLI:64552

Tue Aug 4 14:12:24 2015 cle_client1/IP.PUB.LIK.CLI:64552 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=f8d1:817e:805e:fa76:348b:ff76:2490:5577

Tue Aug 4 14:12:26 2015 cle_client1/IP.PUB.LIK.CLI:64552 send_push_reply(): safe_cap=960

Tue Aug 4 14:14:19 2015 event_wait : Interrupted system call (code=4)
SIOCDELRT: Operation not permitted

Tue Aug 4 14:14:19 2015 ERROR: Linux route delete command failed: external program exited with error status: 7

Tue Aug 4 14:14:19 2015 /sbin/ifconfig tun0 0.0.0.0
SIOCSIFADDR: Operation not permitted
SIOCSIFFLAGS: Operation not permitted

Tue Aug 4 14:14:19 2015 Linux ip addr del failed: external program exited with error status: 255

Tue Aug 4 14:14:19 2015 SIGINT[hard,] received, process exiting


J'ai vu cette réponse mais il semblerait que ce soit encore plus bête: mon serveur openvpn n'a peut-etre pas suffisamment de droits.

EDIT:

je n'ai plus l'erreur du log ci-dessus: erreur de manip dans la config du serveur, je n'avais pas indiqué le bon DNS
Concernant les droits, openvpn est exécuté en tant que "nobody".

SOLVED: l'adresse IP publique du serveur a changé (probleme informatique hmmmm? ;) )
Merci beaucoup pour votre aide jusque ici :)

[message édité le 06-08-2015 @ 12:33 Par Vegan]
----------
Amicalement vôtre
- Haut de page -
Vegan
Vétéran
Membre # 1636

 
Lieu : Area51

Messages :
3203 (0.53 par jour)


Score :

Message du 06-08-2015 @ 14:15   Afficher le profil   Envoyer un message privé   Editer le message   Citer le message      Afficher l'adresse IP   Alerter les modérateurs   

Nouvelles questions (parce que ca ne va pas encore si bien que ca...)

- Est-ce normal que je doive démarrer OpenVPN-GUI (sur mon client windows) en mode "Administrateur"? Sans ça, mon ip publique reste celle du réseau client. Vérifié à l'aide de http://checkip.dyndns.org/

- Depuis mon serveur, le ping sur l'IP virtuelle de mon client (10.8.0.x selon ce qu'il lui aura attribué) ne fonctionne pas
Je présume que ca relève d'autres soucis?

Z'avez des suggestions? (merci...)

- Question bonus: à chaque changement d'IP du serveur, suis-je obligé de modifier les fichiers de config chez les clients? Est-ce possible d'automatiser simplement cette manip?
(le serveur est sur un dns dynamique. Je m'en sors, mais c'est un peu fastidieux pour une petite connexion vite fait, ou pour quelqu'un qui serait moins familier à SSH)

[message édité le 06-08-2015 @ 15:25 Par Vegan]
----------
Amicalement vôtre
- Haut de page -
bEsTiAn
Le fauve du forum
Membre # 6846

 Avatar du membre
Lieu : Neigembos

Messages :
13208 (2.4 par jour)


Score :

Message du 06-08-2015 @ 19:45   Site personnel   Afficher le profil   Envoyer un message privé   Editer le message   Citer le message      Afficher l'adresse IP   Alerter les modérateurs   

Le lancement en admin c'est pour rajouter des routes statiques. Malheureusement moi j'ai pas encore trouvé un workaround
----------
chwi fatigué...
HP 2540p + HP 650g1
puis un iPad 2 (bêêêrk) pour ma fille
- Haut de page -
Pollux
admin ad vitam aeternam
Membre # 1335

 Avatar du membre
Lieu : Now and Then, Here and There

Messages :
8420 (1.37 par jour)


Score :

Message du 06-08-2015 @ 19:45   Afficher le profil   Envoyer un message privé   Editer le message   Citer le message      Afficher l'adresse IP   Alerter les modérateurs   

Vegan a écrit

- Est-ce normal que je doive démarrer OpenVPN-GUI (sur mon client windows) en mode "Administrateur"? Sans ça, mon ip publique reste celle du réseau client. Vérifié à l'aide de http://checkip.dyndns.org/


Oui, sinon Windows ne peut faire les modifications réseau nécessaire (il faut les privilèges admin pour ca).

Vegan a écrit

- Depuis mon serveur, le ping sur l'IP virtuelle de mon client (10.8.0.x selon ce qu'il lui aura attribué) ne fonctionne pas
Je présume que ca relève d'autres soucis?


Firewall côté client ?

Vegan a écrit

- Question bonus: à chaque changement d'IP du serveur, suis-je obligé de modifier les fichiers de config chez les clients? Est-ce possible d'automatiser simplement cette manip?
(le serveur est sur un dns dynamique. Je m'en sors, mais c'est un peu fastidieux pour une petite connexion vite fait, ou pour quelqu'un qui serait moins familier à SSH)


Oui, sauf si tu mets dans le champ remote un FQDN qui est mis à jour automatiquement par le serveur lors du changement d'IP. C'est facile à faire avec un truc genre noip ou DtDNS qui sont des services gratuits avec pleins de clients existants sous linux.

----------
"I've got a gun, you've got a body, let's paint the walls !" (Sam "Serious" Stone, bourrin de naissance)

Asus P8Z77-M PRO, Intel Core i7 3770K, Noctua NH-U12P, Corsair Vengeance 4x4Go DDR3-1600 CL9, Gigabyte GeForce GTX 1070 G1 Gaming 8Go, Fractal Design Define Mini, Seasonic M12II 520W, Samsung 850 EVO 1To, HGST 7K500 500Go, IIyama ProLite B2409HDS
- Haut de page -
Vegan
Vétéran
Membre # 1636

 
Lieu : Area51

Messages :
3203 (0.53 par jour)


Score :

Message du 07-08-2015 @ 9:37   Afficher le profil   Envoyer un message privé   Editer le message   Citer le message      Afficher l'adresse IP   Alerter les modérateurs   

Merci pour vos réponses.

Firewall côté client: oui (Astaro...).

Pour l'adresse ip dynamique, j'utilise déjà DynDNS, via le client du modem/routeur. Je compte améliorer (ie: utiliser d'autres services que les 5 semi-gratuits proposés) en installant un tel service directement sur le Raspberry.

Mais dans le fichier de config des clients OpenVPN, puis-je mettre une URL plutôt qu'une adresse IP? (je n'ai pas vu de tuto le proposant, je m'en étonne donc).

Merci encore :)
----------
Amicalement vôtre
- Haut de page -
Pollux
admin ad vitam aeternam
Membre # 1335

 Avatar du membre
Lieu : Now and Then, Here and There

Messages :
8420 (1.37 par jour)


Score :

Message du 07-08-2015 @ 18:53   Afficher le profil   Envoyer un message privé   Editer le message   Citer le message      Afficher l'adresse IP   Alerter les modérateurs   

Vegan a écrit

Firewall côté client: oui (Astaro...).


C'est probablement lui qui bloque les requêtes ICMP (ping).

Vegan a écrit

Mais dans le fichier de config des clients OpenVPN, puis-je mettre une URL plutôt qu'une adresse IP? (je n'ai pas vu de tuto le proposant, je m'en étonne donc).


Oui c'est bien ce que j'ai dit précédemment. Pour être pointilleux c'est FQDN et pas URL :capel:

----------
"I've got a gun, you've got a body, let's paint the walls !" (Sam "Serious" Stone, bourrin de naissance)

Asus P8Z77-M PRO, Intel Core i7 3770K, Noctua NH-U12P, Corsair Vengeance 4x4Go DDR3-1600 CL9, Gigabyte GeForce GTX 1070 G1 Gaming 8Go, Fractal Design Define Mini, Seasonic M12II 520W, Samsung 850 EVO 1To, HGST 7K500 500Go, IIyama ProLite B2409HDS
- Haut de page -
Vegan
Vétéran
Membre # 1636

 
Lieu : Area51

Messages :
3203 (0.53 par jour)


Score :

Message du 11-08-2015 @ 14:21   Afficher le profil   Envoyer un message privé   Editer le message   Citer le message      Afficher l'adresse IP   Alerter les modérateurs   

Merci à tous pour vos conseils et votre aide précieuse! (et cette leçon de pointillisme :D (*) )
Et à ce stade, ça fonctionne!

(* my g*d, tout ce que j'ignore... mais c'est chouette d'apprendre :) )

[message édité le 11-08-2015 @ 14:23 Par Vegan]
----------
Amicalement vôtre
- Haut de page -
stackware
Inutile, mais indispensable :)
Membre # 6403

 Avatar du membre
Lieu : Paris

Messages :
9504 (1.72 par jour)


Score :

Message du 05-10-2015 @ 16:07   Site personnel   Afficher le profil   Envoyer un message privé   Editer le message   Citer le message      Afficher l'adresse IP   Alerter les modérateurs   

Déterrage de topic :)
J'ai aussi un vpn perso sur un raspi2, et quand je l'utilise au taf, les sites intranet répondent : est-ce parce que le navigateur est intelligent (et ne sort vers le vpn que quand il s'agit de sites externes) ou bien que j'ai l'impression que la liaison fonctionne, alors qu'en fait ce n'est pas le cas?
----------
Nul n'est jamais assez fort pour ce calcul

Visitez le Site Officiel du V Paris et des Vx

Fractal R5 Titanium; i7 3770K; Asus P8Z77-V; Corsair DDR3-1600 8Go ; M4 512 Go + Toshiba 4To ; Asus GTX 780 DirectCU II (Spook inside); BenQ EW2730V 27''; Win X Home; Netgear R7000
- Haut de page -
Vegan
Vétéran
Membre # 1636

 
Lieu : Area51

Messages :
3203 (0.53 par jour)


Score :

Message du 06-10-2015 @ 10:09   Afficher le profil   Envoyer un message privé   Editer le message   Citer le message      Afficher l'adresse IP   Alerter les modérateurs   

Tu as peut-etre un mix dans les adresses privées (du style 192.168.1.x), si c'est le même range chez toi et au boulot.
----------
Amicalement vôtre
- Haut de page -
stackware
Inutile, mais indispensable :)
Membre # 6403

 Avatar du membre
Lieu : Paris

Messages :
9504 (1.72 par jour)


Score :

Message du 06-10-2015 @ 14:26   Site personnel   Afficher le profil   Envoyer un message privé   Editer le message   Citer le message      Afficher l'adresse IP   Alerter les modérateurs   

Pas vraiment en fait. Les adresses au taf sont du style 172.... alors que ce que j'obtiens du vpn est plutôt 10.8...
----------
Nul n'est jamais assez fort pour ce calcul

Visitez le Site Officiel du V Paris et des Vx

Fractal R5 Titanium; i7 3770K; Asus P8Z77-V; Corsair DDR3-1600 8Go ; M4 512 Go + Toshiba 4To ; Asus GTX 780 DirectCU II (Spook inside); BenQ EW2730V 27''; Win X Home; Netgear R7000
- Haut de page -
stackware
Inutile, mais indispensable :)
Membre # 6403

 Avatar du membre
Lieu : Paris

Messages :
9504 (1.72 par jour)


Score :

Message du 07-10-2015 @ 10:57   Site personnel   Afficher le profil   Envoyer un message privé   Editer le message   Citer le message      Afficher l'adresse IP   Alerter les modérateurs   

Bon, j'ai refait un test hier : l'ip externe change bien, et les sites intranet sont bien inaccessibles, comme attendu. Je pense qu'en fait mon navigateur était ouvert lorsque j'ai lancé ma connexion la dernière fois, et il utilise les chemins "normaux" dans ce cas là.
Une fermeture/ouverture rétablit les choses. Comme je suis en détection automatique des paramètres réseau, ceci explique cela :oui:
----------
Nul n'est jamais assez fort pour ce calcul

Visitez le Site Officiel du V Paris et des Vx

Fractal R5 Titanium; i7 3770K; Asus P8Z77-V; Corsair DDR3-1600 8Go ; M4 512 Go + Toshiba 4To ; Asus GTX 780 DirectCU II (Spook inside); BenQ EW2730V 27''; Win X Home; Netgear R7000
- Haut de page -


Aller dans le forum :  

Plan du forum | Contacter l'administrateur

Powered by SoulBB 3.0.1
© Soulmanto, 2003-2010

Valid XHTML 1.0 Transitional

Page générée en 0.072 secondes