Bonjour,
J'ai installé Zerina sur Ipcop 1.418.
Aux tests avec le client OpenVPN-gui, je tombe sur l'erreur suivante:
Wed Nov 05 21:53:21 2008 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Wed Nov 05 21:53:21 2008 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Wed Nov 05 21:53:29 2008 LZO compression initialized
Wed Nov 05 21:53:29 2008 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1400)
Wed Nov 05 21:53:29 2008 Control Channel MTU parms [ L:1442 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Nov 05 21:53:30 2008 Data Channel MTU parms [ L:1442 D:1442 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Nov 05 21:53:30 2008 Local Options hash (VER=V4): 'a6ae7d69'
Wed Nov 05 21:53:30 2008 Expected Remote Options hash (VER=V4): '006a55ce'
Wed Nov 05 21:53:30 2008 UDPv4 link local (bound): [undef]:1194
Wed Nov 05 21:53:30 2008 UDPv4 link remote: 196.207.198.2:1194
Wed Nov 05 21:54:29 2008 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Nov 05 21:54:29 2008 TLS Error: TLS handshake failed
Wed Nov 05 21:54:29 2008 TCP/UDP: Closing socket
Wed Nov 05 21:54:29 2008 SIGUSR1[soft,tls-error] received, process restarting
Wed Nov 05 21:54:29 2008 Restart pause, 2 second(s)
- J'utilise dyndns pour me connecter et j'ai bien précisé host.dyndns.org dans les configurations.
- J'ai bien paramétré les ACCES EXTERNES dans Ipcop et fait les redirections dans mon modem routeur. J'ai le schéma suivant:
INTERNET <==> MODEM ROUTEUR =====> IPCOP + ZERINA ======>RESEAU GREEN
Merci d'avance.
Erreur connexion clientVPN ZERINA
Modérateur: modos Ixus
13 messages
• Page 1 sur 1
Erreur connexion clientVPN ZERINA
par malcolm » 06 Nov 2008 00:16
- malcolm
- Quartier Maître
- Messages: 14
- Inscrit le: 05 Nov 2008 23:55
par jdh » 06 Nov 2008 00:31
Bonsoir,
La réponse doit être dans "check your network connectivity", "ACCES EXTERNES dans Ipcop", "redirections dans mon modem routeur".
Le 2nd est sans doute INUTILE (et correspondant à une méconnaissance de "ACCES EXTERNES").
Le 3me est à vérifier : est ce PARFAITEMENT en accord avec ce qui est configuré ?
Faire ces contrôles avec le contrôle de l'adresse ip/dns dynamique est ce qui est appelé "check your network connectivity".
(Idéalement, le modem devrait être un bridge et non un routeur : l'adresse Red d'IPCOP serait directement publique ce qui simplifie beaucoup de choses !)
La réponse doit être dans "check your network connectivity", "ACCES EXTERNES dans Ipcop", "redirections dans mon modem routeur".
Le 2nd est sans doute INUTILE (et correspondant à une méconnaissance de "ACCES EXTERNES").
Le 3me est à vérifier : est ce PARFAITEMENT en accord avec ce qui est configuré ?
Faire ces contrôles avec le contrôle de l'adresse ip/dns dynamique est ce qui est appelé "check your network connectivity".
(Idéalement, le modem devrait être un bridge et non un routeur : l'adresse Red d'IPCOP serait directement publique ce qui simplifie beaucoup de choses !)
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par malcolm » 06 Nov 2008 00:57
Voici un peu ma config:
***Dans le modem routeur:
- redirection des paquets entrants par les ports 4449, 222, 5000 et 1194 vers IP RED INTERNE de IPCOP (192.168.10.20)
***Dans Acces externesdu IPCOP, j'ai juste accepé tous les paquets entrants par les ports cités plus haut.
Je vais essayer de revoir les config de manière générale. JE vais aussi voir comment configurer le modem routeur en mode bridge.
Merci
***Dans le modem routeur:
- redirection des paquets entrants par les ports 4449, 222, 5000 et 1194 vers IP RED INTERNE de IPCOP (192.168.10.20)
***Dans Acces externesdu IPCOP, j'ai juste accepé tous les paquets entrants par les ports cités plus haut.
Je vais essayer de revoir les config de manière générale. JE vais aussi voir comment configurer le modem routeur en mode bridge.
Merci
- malcolm
- Quartier Maître
- Messages: 14
- Inscrit le: 05 Nov 2008 23:55
par jdh » 06 Nov 2008 01:16
- Si j'écris qu'ACCES EXTERNE est sans doute inutile, c'est que cela a peut-être du sens ... (je ne suis pas spécialiste d'IPCOP certes mais ... ce N'EST SUREMENT PAS accès externes !)
- Zerina (alias OpenVPN) utiliserait AUTANT de ports ?
- Qu'est ce qu'un n° de port SANS un protocole ?
Bon il faudrait faire simple !
- Zerina/OpenVPN utilise généralement UDP/1194. Dans le cas, qu'est ce qui est prévu dans Zerina ?
- Lire la doc sur ACCES EXTERNES sur ipcop ...
- Zerina (alias OpenVPN) utiliserait AUTANT de ports ?
- Qu'est ce qu'un n° de port SANS un protocole ?
Bon il faudrait faire simple !
- Zerina/OpenVPN utilise généralement UDP/1194. Dans le cas, qu'est ce qui est prévu dans Zerina ?
- Lire la doc sur ACCES EXTERNES sur ipcop ...
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par malcolm » 08 Nov 2008 17:19
Bonjour,Voici ma config:
*J'ai un mode-routeur qui a pour IP 192.168.10.254 + ADSL (ip dynamik) docdoc.dyndns.org
- J'ai natté le port par defaut (1194) sur le modem.
*IPCOP relié au routeur et au switch. IP RED: 192.168.10.20; IP GREEN=192.168.12.20
* Pour Zerina, j'ai activé openvpn sur l'interface Rouge et j'ai mis docdoc.dyndns.org comme nom d'hôte ou IP local du RPV.
Commes ADDON, j'ai BOT et COPFILTER (non utilisé).
Voilà !
*J'ai un mode-routeur qui a pour IP 192.168.10.254 + ADSL (ip dynamik) docdoc.dyndns.org
- J'ai natté le port par defaut (1194) sur le modem.
*IPCOP relié au routeur et au switch. IP RED: 192.168.10.20; IP GREEN=192.168.12.20
* Pour Zerina, j'ai activé openvpn sur l'interface Rouge et j'ai mis docdoc.dyndns.org comme nom d'hôte ou IP local du RPV.
Commes ADDON, j'ai BOT et COPFILTER (non utilisé).
Voilà !
- malcolm
- Quartier Maître
- Messages: 14
- Inscrit le: 05 Nov 2008 23:55
par malcolm » 08 Nov 2008 17:20
Bonjour,Voici ma config:
*J'ai un mode-routeur qui a pour IP 192.168.10.254 + ADSL (ip dynamik) docdoc.dyndns.org
- J'ai natté le port par defaut (1194) sur le modem.
*IPCOP relié au routeur et au switch. IP RED: 192.168.10.20; IP GREEN=192.168.12.20
* Pour Zerina, j'ai activé openvpn sur l'interface Rouge et j'ai mis docdoc.dyndns.org comme nom d'hôte ou IP local du RPV.
Commes ADDON, j'ai BOT et COPFILTER (non utilisé).
Voilà !
*J'ai un mode-routeur qui a pour IP 192.168.10.254 + ADSL (ip dynamik) docdoc.dyndns.org
- J'ai natté le port par defaut (1194) sur le modem.
*IPCOP relié au routeur et au switch. IP RED: 192.168.10.20; IP GREEN=192.168.12.20
* Pour Zerina, j'ai activé openvpn sur l'interface Rouge et j'ai mis docdoc.dyndns.org comme nom d'hôte ou IP local du RPV.
Commes ADDON, j'ai BOT et COPFILTER (non utilisé).
Voilà !
- malcolm
- Quartier Maître
- Messages: 14
- Inscrit le: 05 Nov 2008 23:55
par gemoussier » 08 Nov 2008 18:16
Aucune adresse IP associée à docdoc.dyndns.org :
Donc il me parait éventuellement difficile à un client de se connecter en utilisant ce nom. Peut-on avoir un extrait d'une configuration du client ?
Est ce qu'ipcop met bien à jour le nom docdoc.dyndns.org avec la bonne adresse IP ?
Que se passe-t-il si vous désactivez BOT le temps d'un essai ?
- Code: Tout sélectionner
geoffrey@debian:~$ dig @192.168.1.1 A docdoc.dyndns.org
; <<>> DiG 9.3.4-P1.1 <<>> @192.168.1.1 A docdoc.dyndns.org
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 19930
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;docdoc.dyndns.org. IN A
;; AUTHORITY SECTION:
dyndns.org. 600 IN SOA ns1.dyndns.org. hostmaster.dyndns.org. 229587943 600 300 604800 600
;; Query time: 3 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Sat Nov 8 17:12:19 2008
;; MSG SIZE rcvd: 35
Donc il me parait éventuellement difficile à un client de se connecter en utilisant ce nom. Peut-on avoir un extrait d'une configuration du client ?
Est ce qu'ipcop met bien à jour le nom docdoc.dyndns.org avec la bonne adresse IP ?
Que se passe-t-il si vous désactivez BOT le temps d'un essai ?
- gemoussier
- Lieutenant de vaisseau
- Messages: 233
- Inscrit le: 08 Avr 2008 16:42
par ccnet » 08 Nov 2008 18:36
Que se passe-t-il si vous désactivez BOT le temps d'un essai ?
Je suggère aussi ce test. BOT v2 était sans effet sur le trafic vpn (zérina), or BOT v3 a été modifié sur ce point. Il filtre aussi ce trafic. Je vous conseille de lire attentive la documentation de BOT sur ce point, d'activer éventuellement le log de toutes les règles de BOT pour test et lecture des logs. Et bien sur un test en désactivant BOT.
Dernière édition par ccnet le 08 Nov 2008 19:56, édité 1 fois au total.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par malcolm » 08 Nov 2008 19:50
Essayez avec digisen.dyndns.org.
Voici la config côté client:
#OpenVPN Server conf
tls-client
client
dev tun
proto udp
tun-mtu 1400
remote digisen.dyndns.org 1194
pkcs12 mgadioVPN.p12
cipher BF-CBC
comp-lzo
verb 3
ns-cert-type server
Les IP en interne sont de la forme: 192.168.12.X (GREEN) ou 192.168.10.X (RED)
Voici la config côté client:
#OpenVPN Server conf
tls-client
client
dev tun
proto udp
tun-mtu 1400
remote digisen.dyndns.org 1194
pkcs12 mgadioVPN.p12
cipher BF-CBC
comp-lzo
verb 3
ns-cert-type server
Les IP en interne sont de la forme: 192.168.12.X (GREEN) ou 192.168.10.X (RED)
- malcolm
- Quartier Maître
- Messages: 14
- Inscrit le: 05 Nov 2008 23:55
RESOLU
par malcolm » 08 Nov 2008 21:22
Bonsoir tout le monde.
Problème réglé.
Il s'agissait d'un problème d'horloge. Mon Ipcop avait la date du 23 Aout 2023, de ce fait, toute connexion était impossible car le certificat délivré était mauvais.
Merci pour votre aide.
Problème réglé.
Il s'agissait d'un problème d'horloge. Mon Ipcop avait la date du 23 Aout 2023, de ce fait, toute connexion était impossible car le certificat délivré était mauvais.
Merci pour votre aide.
- malcolm
- Quartier Maître
- Messages: 14
- Inscrit le: 05 Nov 2008 23:55
13 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité