IPCOP + OpenVPN

par DM » 24 Mai 2006 16:51

Bonjour,

J'ai installé Zerina sans soucis sur IPCOP
quand j'essaie de connecter mon client il me met le message d'erreur dhcpserv
j'ai fait pls modifs mais sans succés j'ai toujours cette erreur
j'ai ouvert le port 1194 sur le firewall du réseau cote client
une idée ?

cote client :
#OpenVPN Server conf
tls-client
client
dev tun
proto udp
tun-mtu 1400
remote x.x.x.x 1194
pkcs12 DM.p12
cipher DES-EDE3-CBC
comp-lzo
verb 3
ns-cert-type server

cote serveur :
#OpenVPN Server conf

daemon openvpnserver
writepid /var/run/openvpn.pid
#DAN prepare ZERINA for listening on blue and orange
;local x.x.x.x
dev tun
tun-mtu 1400
proto udp
port 1194
tls-server
ca /var/ipcop/ovpn/ca/cacert.pem
cert /var/ipcop/ovpn/certs/servercert.pem
key /var/ipcop/ovpn/certs/serverkey.pem
dh /var/ipcop/ovpn/ca/dh1024.pem
server 10.0.10.0 255.255.255.0
push "route y.y.y.0 255.255.255.0 y.y.y.254"
keepalive 10 60
status-version 1
status /var/ipcop/ovpn/server.log 30
cipher DES-EDE3-CBC
comp-lzo
push "redirect-gateway def1"
push "dhcp-option DNS z.z.z.z"
push "dhcp-option WINS y.y.y.1"
max-clients 100
tls-verify /var/ipcop/ovpn/verify
crl-verify /var/ipcop/ovpn/crls/cacrl.pem
user nobody
group nobody
persist-key
persist-tun
verb 4

par **kinkey** » 24 Mai 2006 16:55

Salut, pour zerina tu n'a pas de port à ouvrir.

par **shwing** » 25 Mai 2006 16:24

regarde ce post, peut-être que cela te mettra sur la voix... de la recherche ;=)

par **erreipnaej** » 29 Mai 2006 06:35

Bonjour,

Passes ton protocole en TCP. Je penses que ça devrais solutionner tes problémes.
Fais aussi eventuellement sauter la ligne en italique sur le client.

DM a écrit:cote client :
#OpenVPN Server conf
tls-client
client
dev tun
proto TCP
tun-mtu 1400
remote x.x.x.x 1194
pkcs12 DM.p12
cipher DES-EDE3-CBC
comp-lzo
verb 3
ns-cert-type server

cote serveur :
#OpenVPN Server conf

daemon openvpnserver
writepid /var/run/openvpn.pid
#DAN prepare ZERINA for listening on blue and orange
;local x.x.x.x
dev tun
tun-mtu 1400
proto TCP
port 1194
tls-server
ca /var/ipcop/ovpn/ca/cacert.pem
cert /var/ipcop/ovpn/certs/servercert.pem
key /var/ipcop/ovpn/certs/serverkey.pem
dh /var/ipcop/ovpn/ca/dh1024.pem
server 10.0.10.0 255.255.255.0
push "route y.y.y.0 255.255.255.0 y.y.y.254"
keepalive 10 60
status-version 1
status /var/ipcop/ovpn/server.log 30
cipher DES-EDE3-CBC
comp-lzo
push "redirect-gateway def1"
push "dhcp-option DNS z.z.z.z"
push "dhcp-option WINS y.y.y.1"
max-clients 100
tls-verify /var/ipcop/ovpn/verify
crl-verify /var/ipcop/ovpn/crls/cacrl.pem
user nobody
group nobody
persist-key
persist-tun
verb 4

@+

par **shwing** » 29 Mai 2006 16:54

shwing a écrit:regarde ce post, peut-être que cela te mettra sur la voix... de la recherche ;=)

désolé, le lien c'est perdu dans le ctrl+v ...

http://forums.fr.ixus.net/viewtopic.php ... highlight=

par DM » 29 Mai 2006 18:59

post deja suivi, mais ca n'a pas arrangé mon affaire

j'ai écris apres avoir chercher sur ce forum et sur bien d'autres...

merci qd meme pour l'info

je vais tenter le TCP pour voir

par **yassaway** » 30 Mai 2006 11:48

Mmm[/img]

par **Franck78** » 30 Mai 2006 12:17

@DM,

Salut, DM
Ne prend pas ca mal mais:

1) tu balances un message 'sans préciser le contexte', comme si c'était évident pour tous...
2) on te suggères une modification (jeanpiere) et tu répond 'je vais voir'
3) tu dis avoir déjà essayé des tas de trucs sans succès, mais on ne sait rien en réalité
4) verb=X; indiquerait un niveau trace qu'il serait peut être utile de publier non ?

Alors ne soit pas étonné de tourner en rond...

Pour le "nscerttype=server", si ca peut aider certain:

J'avais activé ça dans openssl.conf sans y préter attention.
Tout les certificats générés avec çette extension sont inutilisables avec firefox 1.5.
Il les rejette systématiquement avec erreur "-8101"
Konquerror ou IE semblent s'en accomoder (j'ai pas poussé plus).

L'erreur se produit plutôt dans les lib openssl. De la à ce que cela gène aussi zerina... Mais pour ça, attendons les vrais logs/infos :roll:

bye

par DM » 30 Mai 2006 15:17

salut francky

pas de soucis
pour la modif j'ai indiqué que j'allais voir... voir si ca fonctionne

mais je ne peux faire les tests que le soir donc il me faut attenre ce soir pour tester la modif
j'ai essayé à peut près tout ce qui est indiqué sur ce post : http://forums.fr.ixus.net/viewtopic.php ... ht=openvpn

j'ai essayé de trouver des infos sur le site zerina.de, http://home.arcor.de/u.altinkaynak/openvpn_faq.html, http://thinkhole.org/wp/2006/03/28/ipcop-openvpn-howto et bien d'autres...

j'ai mis verb à 4 et 0 pour voir si cela changeait qqcchose mais sans succes

je précise ce soir les erreurs si cela ne fonctionne pas

par DM » 30 Mai 2006 22:20

passe en TCP

voici les messages du clients :

Tue May 30 22:10:24 2006 OpenVPN 2.0.7 Win32-MinGW [SSL] [LZO] built on Apr 12 2006
Tue May 30 22:10:24 2006 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Tue May 30 22:10:31 2006 LZO compression initialized
Tue May 30 22:10:31 2006 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1400)
Tue May 30 22:10:31 2006 Control Channel MTU parms [ L:1444 D:140 EF:40 EB:0 ET:0 EL:0 ]
Tue May 30 22:10:31 2006 Data Channel MTU parms [ L:1444 D:1444 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Tue May 30 22:10:31 2006 Local Options hash (VER=V4): '2fb29446'
Tue May 30 22:10:31 2006 Expected Remote Options hash (VER=V4): '5247ebff'
Tue May 30 22:10:31 2006 Attempting to establish TCP connection with x.x.x.x:1194
Tue May 30 22:10:31 2006 TCP connection established with x.x.x.x:1194
Tue May 30 22:10:31 2006 TCPv4_CLIENT link local: [undef]
Tue May 30 22:10:31 2006 TCPv4_CLIENT link remote: x.x.x.x:1194
Tue May 30 22:10:31 2006 TLS: Initial packet from x.x.x.x:1194, sid=7af44e57 4033ce9a
Tue May 30 22:10:33 2006 VERIFY OK: depth=1
Tue May 30 22:10:33 2006 VERIFY OK: nsCertType=SERVER
Tue May 30 22:10:33 2006 VERIFY OK: depth=0, /C=FR /CN=x.x.x.x
Tue May 30 22:10:36 2006 Data Channel Encrypt: Cipher 'DES-EDE3-CBC' initialized with 192 bit key
Tue May 30 22:10:36 2006 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue May 30 22:10:36 2006 Data Channel Decrypt: Cipher 'DES-EDE3-CBC' initialized with 192 bit key
Tue May 30 22:10:36 2006 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue May 30 22:10:36 2006 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue May 30 22:10:36 2006 [x.x.x.x] Peer Connection Initiated with x.x.x.x:1194
Tue May 30 22:10:37 2006 SENT CONTROL [x.x.x.x]: 'PUSH_REQUEST' (status=1)
Tue May 30 22:10:38 2006 PUSH: Received control message: 'PUSH_REPLY,route y.y.y.0 255.255.255.0 y.y.y.254,redirect-gateway def1,route 10.0.10.1,ping 10,ping-restart 60,ifconfig 10.0.10.6 10.0.10.5'
Tue May 30 22:10:38 2006 OPTIONS IMPORT: timers and/or timeouts modified
Tue May 30 22:10:38 2006 OPTIONS IMPORT: --ifconfig/up options modified
Tue May 30 22:10:38 2006 OPTIONS IMPORT: route options modified
Tue May 30 22:10:38 2006 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Tue May 30 22:10:38 2006 TAP-WIN32 device [Connexion au réseau local 3] opened: \\.\Global\{4D3B0600-58CE-418A-ACB9-CE1A5B74F256}.tap
Tue May 30 22:10:38 2006 TAP-Win32 Driver Version 8.1
Tue May 30 22:10:38 2006 TAP-Win32 MTU=1500
Tue May 30 22:10:38 2006 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.10.6/255.255.255.252 on interface {4D3B0600-58CE-418A-ACB9-CE1A5B74F256} [DHCP-serv: 10.0.10.5, lease-time: 31536000]
Tue May 30 22:10:38 2006 Successful ARP Flush on interface [3] {4D3B0600-58CE-418A-ACB9-CE1A5B74F256}
Tue May 30 22:10:38 2006 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Tue May 30 22:10:38 2006 Route: Waiting for TUN/TAP interface to come up...
[..]
Tue May 30 22:11:08 2006 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Tue May 30 22:11:08 2006 Route: Waiting for TUN/TAP interface to come up...
Tue May 30 22:11:09 2006 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Tue May 30 22:11:09 2006 route ADD 213.223.114.16 MASK 255.255.255.255 192.168.0.1
Tue May 30 22:11:09 2006 Route addition via IPAPI succeeded
Tue May 30 22:11:09 2006 route ADD 0.0.0.0 MASK 128.0.0.0 10.0.10.5
Tue May 30 22:11:09 2006 Warning: route gateway is not reachable on any active network adapters: 10.0.10.5
Tue May 30 22:11:09 2006 Route addition via IPAPI failed
Tue May 30 22:11:09 2006 route ADD 128.0.0.0 MASK 128.0.0.0 10.0.10.5
Tue May 30 22:11:09 2006 Warning: route gateway is not reachable on any active network adapters: 10.0.10.5
Tue May 30 22:11:09 2006 Route addition via IPAPI failed
Tue May 30 22:11:09 2006 route ADD y.y.y.0 MASK 255.255.255.0 y.y.y.254
Tue May 30 22:11:09 2006 Warning: route gateway is not reachable on any active network adapters: 192.168.3.254
Tue May 30 22:11:09 2006 Route addition via IPAPI failed
Tue May 30 22:11:09 2006 route ADD 10.0.10.1 MASK 255.255.255.255 10.0.10.5
Tue May 30 22:11:09 2006 Warning: route gateway is not reachable on any active network adapters: 10.0.10.5
Tue May 30 22:11:09 2006 Route addition via IPAPI failed
Tue May 30 22:11:09 2006 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )

une idee ????

par **shwing** » 30 Mai 2006 22:26

essaye de descendre la valeur du MTU.
Ma valeur est de 1300.

(sans garantie)

par **erreipnaej** » 30 Mai 2006 22:31

Bonsoir,

Même idée que Schwing, tombes ta MTU à 1400 max, c'est la valeur que zerina me donne par défaut.
J'ai eu des soucis avec une MTU à 1500, solutionnés en passant à 1400.
Fais aussi sauter la derniére ligne dans ta config client comme je te l'ai indiqué dans mon précedent post.
@+

par **Franck78** » 31 Mai 2006 00:56

Salut,

J'ai pas encore essayé zerina donc pas très calé... Cependant, la lecture des dernières lignes du log semble vraiment dire que la config réseau de ton client est foireuse.
Dans quelle mesure, je sais pas. En tout ca, ca fait beaucoup

La carte TUN/TAP qui ne monte pas.
Des gateways qui ne sont pas atteignables par les interfaces réseaux.
Des IP en
192.168.3.x
10.0.10.x
213.223.114.16

Sort donc un ipconfig de ton windows!!!

par **erreipnaej** » 31 Mai 2006 06:38

Bonjour,

Tue May 30 22:11:09 2006 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )

T'aurais pas un firewall sur ta machine Windaube?
Si oui déclares le réseau 10.0.10.0 en réseau sans risque (trusted).
@+

par nl » 31 Mai 2006 14:20

Que te donne un ipconfig /all sur ton poste windows lorsque tu te connectes ?

Est ce que tu es sûr de tes routes openvpn ?
Tes logs disent qu'il y a un problème au niveau du routing.

Tue May 30 22:11:09 2006 route ADD 213.223.114.16 MASK 255.255.255.255 192.168.0.1
Tue May 30 22:11:09 2006 Route addition via IPAPI succeeded
Tue May 30 22:11:09 2006 route ADD 0.0.0.0 MASK 128.0.0.0 10.0.10.5
Tue May 30 22:11:09 2006 Warning: route gateway is not reachable on any active network adapters: 10.0.10.5
Tue May 30 22:11:09 2006 Route addition via IPAPI failed
Tue May 30 22:11:09 2006 route ADD 128.0.0.0 MASK 128.0.0.0 10.0.10.5
Tue May 30 22:11:09 2006 Warning: route gateway is not reachable on any active network adapters: 10.0.10.5
Tue May 30 22:11:09 2006 Route addition via IPAPI failed
Tue May 30 22:11:09 2006 route ADD y.y.y.0 MASK 255.255.255.0 y.y.y.254
Tue May 30 22:11:09 2006 Warning: route gateway is not reachable on any active network adapters: 192.168.3.254
Tue May 30 22:11:09 2006 Route addition via IPAPI failed
Tue May 30 22:11:09 2006 route ADD 10.0.10.1 MASK 255.255.255.255 10.0.10.5
Tue May 30 22:11:09 2006 Warning: route gateway is not reachable on any active network adapters: 10.0.10.5
Tue May 30 22:11:09 2006 Route addition via IPAPI failed

IPCOP + OpenVPN

IPCOP + OpenVPN

Re: IPCOP + OpenVPN

Qui est en ligne ?