Zerina et IP sattique pour les clients [Résolu]

[ko0nz]

salut,

Un autre fil sur le sujet...

J'utilise évidemment les versions IPCop/Zerina actuelles.
Le but étant de définir les IP Statiques à certains de mes clients VPN pour plein de raisons louables...

J'ai opté pour la solution 2 parmi les 3:

OpenVPN's internal client IP address selection algorithm works as follows:

1 -- Use --client-connect script generated file for static IP (first choice).
2 -- Use --client-config-dir file for static IP (next choice).
3 -- Use --ifconfig-pool allocation for dynamic IP (last choice).

...et après, j'ai utilisé cette example:

# EXAMPLE: Suppose you want to give
# Thelonious a fixed VPN IP address of 10.9.0.1.
# First uncomment out these lines:
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
# Then add this line to ccd/Thelonious:
# ifconfig-push 10.9.0.1 10.9.0.2

Donc, dans le /var/ipcop/ovpn, il n'y avait pas de répertoire "cdd", je ne sais pas si c'est juste un répertoire quelconque ou spéfcifique ( si le nom importe peu ou pas...).
J'en ai crée un évidemment:

Code: Tout sélectionner

#mkdir /var/ipcop/ovpn/cdd

changer le propriétaire:

Code: Tout sélectionner

#chown nobody:nobody /var/ipcop/ovpn/cdd

j'ai ajouté ces 2 lignes dans /var/ipcop/ovpn/server.conf:

Code: Tout sélectionner

client-config-dir ccd
route 10.10.1.0 255.255.255.252      ----> 10.10.1.0/24 est évidemment mon réseau VPN

j'ai créé un fichier utilisateur "toto" qui veut avoir un IP fixe:

Code: Tout sélectionner

echo "ifconfig-push 10.10.1.1 10.10.1.2" > /var/ipcop/ovpn/cdd/toto

Résumons:

Code: Tout sélectionner

# cat /var/ipcop/ovpn/server.conf

#OpenVPN Server conf

daemon openvpnserver
writepid /var/run/openvpn.pid
#DAN prepare ZERINA for listening on blue and orange
;local IP caché
dev tun
tun-mtu 1400
proto udp
port 1194
tls-server
ca /var/ipcop/ovpn/ca/cacert.pem
cert /var/ipcop/ovpn/certs/servercert.pem
key /var/ipcop/ovpn/certs/serverkey.pem
dh /var/ipcop/ovpn/ca/dh1024.pem
server 10.10.1.0 255.255.255.0
push "route 192.168.10.0 255.255.255.0"
keepalive 10 60
status-version 1
status /var/log/ovpnserver.log 30
cipher BF-CBC
comp-lzo
max-clients 100
tls-verify /var/ipcop/ovpn/verify
crl-verify /var/ipcop/ovpn/crls/cacrl.pem
user nobody
group nobody
persist-key
persist-tun
verb 3
client-config-dir ccd
route 10.10.1.0 255.255.255.252

Code: Tout sélectionner

# cat /var/ipcop/ovpn/cdd/toto

Code: Tout sélectionner

ifconfig-push 10.10.1.1 10.10.1.2

Code: Tout sélectionner

# cat client_toto_.conf

tls-client
client
dev tun
proto udp
tun-mtu 1400
remote IP_caché 1194
pkcs12 toto.p12
cipher BF-CBC
comp-lzo
verb 3
ns-cert-type server
--route 192.168.0.0 255.255.0.0

Conclusion:
j'ai redémarré le server, démarré le client qui obtient une IP 10.10.1.6
que je ne sais pas si c'est statique ou pas?
le sous-réseau 10.10.1.0/255.255.255.252 donne bien 2 IP possible, non?
4-2=2
Et dans le fichier /var/ipcop/ovpn/cdd/toto, j'ai bien défini les IP que je voudrais récupérer 10.10.1.1 et 10.10.1.2 .
Me suis-je trompé quelque part?
Ai-je sauté quelque chose d'essentiel?

Merci d'avance de vos retours.

[gemoussier]

Bonjour,
Je n'ai pas d'expérience dans ce domaine particulier mais un petit détail m'interpelle :

client-config-dir ccd

et

#mkdir /var/ipcop/ovpn/cdd

[jdh]

Il suffit de lire : ccd désigne un répertoire (à créer, comme le fait ko0nz). (Peut-être serait-il meilleur de mettre le chemin complet ...)

Il faudrait peut-être faire attention prise par le serveur OpenVPN ... (par exemple ne pas attribuer à un client la même adresse !!)

[ko0nz]

oui, en effet.
le chemin complète serait mieux:

Code: Tout sélectionner

client-config-dir /var/ipcop/ovpn/ccd

Mais je ne m'explique pourquoi je récupère une IP en 10.10.1.6 qui semble bien statique...
J'aimerais plus tôt attribuer à toto, une IP que j'aurais prédéfinie!!!!

[jdh]

Voilà que je n'écris pas en français !

Il faudrait peut-être faire attention prise par le serveur OpenVPN ... (par exemple ne pas attribuer à un client la même adresse !!)

Il faudrait peut-être faire attention à ne pas attribuer à un client l'adresse du serveur OpenVPN.


Hélas, dans le fichier de conf, on ne précise pas l'adresse du serveur. On doit déduire celle-ci au vu de la ligne "serveur x.x.x.x m.m.m.m".

Par ailleurs sans "client-config-dir /path/", on peut obtenir une adresse ip constante par user avec "ifconfig-pool-persist ipp.txt" (ici ipp.txt est un fichier que l'on indiquera avec son chemin ...).

[ko0nz]

Il faudrait peut-être faire attention à ne pas attribuer à un client l'adresse du serveur OpenVPN.

En effet, je comprends mieux quand c'est en français...
Sérieusement,
# ifconfig
sur le IPCop me donne:

inet addr:10.10.1.1 P-t-P:10.10.12 Mask:255.255.255.255

Je comprends mieux l'adresse ip fixe que "toto" obtient.
J'avais complételment oublié l'ip virtuel du Serveur.

Ce système de définition d'IP fixe ne nous donne pas beaucoup d'adresse disponible...
On en perd pas mal, n'est-ce pas?

Hélas, dans le fichier de conf, on ne précise pas l'adresse du serveur. On doit déduire celle-ci au vu de la ligne "serveur x.x.x.x m.m.m.m".

C'est du francais mais je n'ai pas compris...

Par ailleurs sans "client-config-dir /path/", on peut obtenir une adresse ip constante par user avec "ifconfig-pool-persist ipp.txt" (ici ipp.txt est un fichier que l'on indiquera avec son chemin ...).

Je n'ai pas cherché à comprendre cette méthode.
Si celle-ci est plus simple et permet de ne pas "gaspiller" les IP, je vais me pencher dessus...

Merci!

[ko0nz]

avec
../cdd/toto

ifconfig-push 10.10.1.9 10.10.1.10

le client toto n'obtient toujours qu'une adresse IP virtuel 10.10.1.6

inet addr:10.10.1.6 P-t-P:10.10.1.5 Mask:255.255.255.255

je n'arrive pas à prédéfinir une IP virtuelle...

[gemoussier]

Bonjour,
Juste pour vérifier, vous avez bien vu le différence entre la configuration et l'arborescence ? (voir premier poste ccd/cdd). J'espère qu'il s'agit juste d'une erreur de recopie, sinon ce n'est pas prêt de fonctionner...

[ko0nz]

\o/

Merci de l'avoir noté!
En effet, problème résolu.

[goliath940]

Bonjour,

J'ai effectuée les mêmes opérations et j'ai une erreur,

on Jun 16 18:00:50 2008 PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route 10.10.1.1,ping 10,ping-restart 60,ifconfig 10.10.1.1 10.10.1.12'
Mon Jun 16 18:00:50 2008 OPTIONS IMPORT: timers and/or timeouts modified
Mon Jun 16 18:00:50 2008 OPTIONS IMPORT: --ifconfig/up options modified
Mon Jun 16 18:00:50 2008 OPTIONS IMPORT: route options modified
Mon Jun 16 18:00:50 2008 There is a problem in your selection of --ifconfig endpoints [local=10.10.1.1, remote=10.10.1.12]. The local and remote VPN endpoints must exist within the same 255.255.255.252 subnet. This is a limitation of --dev tun when used with the TAP-WIN32 driver. Try 'openvpn --show-valid-subnets' option for more info.
Mon Jun 16 18:00:50 2008 Exiting

Et je ne vois pas d'où sa peut venir,

Merci de vôtre aide....

[gemoussier]

Bonsoir,
A première vue 10.0.1.1 et 10.0.1.12 ne sont pas dans le même sous réseau avec un masque 255.255.255.252. Ce ne serait pas plutôt 10.0.1.2 ?