OpenVPN

[mick.ch]

Bonjour,

J'essaie actuellement d'installer un OpenVPN entre deux machines pour que les utilisateurs puissent se connecter au réseau de mon entreprise.

J'ai donc installé la partie serveur et client en générant les certificats etc.

J'ai cependant une erreur (à priori régulière) lors de la connection, voici les logs :

Wed Oct 20 11:49:46 2010 OpenVPN 2.2-beta3 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Sep 2 2010
Wed Oct 20 11:49:46 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Oct 20 11:49:46 2010 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Wed Oct 20 11:49:46 2010 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Oct 20 11:49:46 2010 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Oct 20 11:49:46 2010 LZO compression initialized
Wed Oct 20 11:49:46 2010 Control Channel MTU parms [ L:1574 D:166 EF:66 EB:0 ET:0 EL:0 ]
Wed Oct 20 11:49:46 2010 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Oct 20 11:49:46 2010 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Wed Oct 20 11:49:46 2010 Local Options hash (VER=V4): '13a273ba'
Wed Oct 20 11:49:46 2010 Expected Remote Options hash (VER=V4): '360696c5'
Wed Oct 20 11:49:46 2010 UDPv4 link local: [undef]
Wed Oct 20 11:49:46 2010 UDPv4 link remote: MON_IP_PUBLIC:1194
Wed Oct 20 11:50:47 2010 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Oct 20 11:50:47 2010 TLS Error: TLS handshake failed
Wed Oct 20 11:50:47 2010 TCP/UDP: Closing socket
Wed Oct 20 11:50:47 2010 SIGUSR1[soft,tls-error] received, process restarting
Wed Oct 20 11:50:47 2010 Restart pause, 2 second(s)

J'ai fait des recherches mais je continue de bloquer sur ce problème. Des idées ?

[ccnet]

OpenVPN entre deux machines pour que les utilisateurs puissent se connecter

Je ne comprend pas. Sans voulez vous dire un serveur openvpn et un client ?

A priori vous utilisez une "PreShared Key" ce qui n'est pas très prudent ....
Il manque de nombreuses informations.
Un schéma réseau car il n'est pas certain que la connectivité soit bonne, les fichiers de conf serveur et clients et si vous expliquiez comment vous avez généré vos certificats ce serait utile. L'échange de clés échoue a priori mais la connectivité nécessaire est elle présente ?

[mick.ch]

Le fonctionnement que je veux c'est un serveur dans le réseau de l'entreprise et des clients nomades qui puissent se connecter n'importe ou!
J'ai suivit le tuto http://doc.ubuntu-fr.org/openvpn pour la génération des certificats et tout c'est bien passé.
voici la configuration serveur :

port 1194

;proto tcp
proto udp

dev tap
;dev tun

ca ca.crt
cert server.crt
key server.key

dh dh1024.pem

;server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

server-bridge 192.168.1.200 255.255.255.0 192.168.1.201 192.168.1.210


client-to-client

keepalive 10 120

tls-auth ta.key 0

comp-lzo

persist-key
persist-tun

status openvpn-status.log
verb 3

et celle du client :

client

dev tap
;dev tun

;proto tcp
proto udp

remote MON_IP 1194

resolv-retry infinite

nobind

persist-key
persist-tun

ca ca.crt
cert client1.crt
key client1.key

ns-cert-type server

tls-auth ta.key 1

comp-lzo

verb 3

La connexion reste jaune sur mon client et boucle sans fin sur l'erreur TLS

[ccnet]

ta.key est bien présent des deux côtés, même fichier ?
Sommes nous certains que le serveur VPN reçoit bien le trafic 1194/UDP en provenance du client (firewall filtrage translation ?)
Vous êtes en configuration Bridge attention aux éventuels problèmes d'adresses.

[mick.ch]

Pour le ta.key oui identique
Pour le trafic udp/1194 normalement il doit passer le routeur/pare-feu règle dans le firewall et redirection vers l'IP du poste serveur. Je dit normalement car je ne maitrise pas très bien ce modèle de routeur un ZyXel USG 100, la config n'y est pas très clair je trouve.
Quel problème d'adresse est ce que je peux avoir par exemple en mode bridge?
Le mode bridge est bien la configuration adapté dans mon cas?
J'ai donc bien fait de décommenter la ligne "client-to-client" sur le serveur?
Est ce que je peux savoir si la redirection du port 1194 se fait bien sur mon routeur?

Merci de votre aide

[ccnet]

Quel problème d'adresse est ce que je peux avoir par exemple en mode bridge?

Des adresses en double sur le réseau et avec un utilisateur distant. Tout dépend de votre
gestion de l'adressage.

Le mode bridge est bien la configuration adapté dans mon cas?

Le plus souvent on utilise la configuration routée (TUN au lieu de TAP).
Ce qui permet, entre autre de filtrer spécifiquement les trafic en provenance et à destination
des utilisateurs VPN. Plutôt plus prudent.

J'ai donc bien fait de décommenter la ligne "client-to-client" sur le serveur?

Ne pas dé-commenter permet d'éviter que les clients connectés se voient ... ce qui me semble préférable.

Est ce que je peux savoir si la redirection du port 1194 se fait bien sur mon routeur?

Des logs peut être ? Sinon sur le serveur vpn TCPDUMP pour un Linux, Wireshark pour un Windows.

[mick.ch]

Le problème viens en effet de la redirection de port qui ne se fait pas correctement sur mon routeur. Le version du firmware est à mettre à jour selon ZyXel (modèle USG 100). Je vous informerais du résultat suite à la mise à jour

[mick.ch]

Bonjour,

Mon problème venait en effet du routeur dont le Firmware n'était pas à jour

Merci pour votre aide