Bonjour,
Voila, je viens d'installer Zerina sur mon Ipcop et je viens de tester le fonctionnement VPN et tout fonctionne sans probleme (acces aux machine) et ce avec plusieurs clients connectés dessus.
Maintenant je reste bloqué à une étape :
Comment faire pour faire cohabité le reseau Green avec les clients VPN
Pour y avoir acces par exemple dans une liste reseau, etc
faut t'il rajouter une route ?
Exemple :
Mon reseau green 192.168.5.x /255.255.255.0
-------IPCOP/ZERIANA--------
Green --> 192.168.5.254/255.255.255.0
red-->
Zerina openVPN --> 192.168.45.0/255.255.255.0
-------IPCOP/ZERIANA--------
Client VPN 1 --> 192.168.45.1
Client VPN 2 --> 192.168.45.6
ETC...
Merci par avance de vos réponses
Green et Zerina OpenVPN
Modérateur: modos Ixus
12 messages
• Page 1 sur 1
Green et Zerina OpenVPN
par aeroyo » 30 Nov 2006 10:43
- aeroyo
- Quartier Maître
- Messages: 23
- Inscrit le: 21 Mars 2005 17:38
par leon1800 » 30 Nov 2006 12:58
Alors il y a plusieurs possibilités:
soit on veut que tous le trafic passe par le VPN (cool pour la sécurité):
- il faut activer le redirect gateway sur DEF dans le GUI de OpenVpn / Advanced Server Options,
cette option a pour action de rediriger la default gateway pendant la connexion VPN.
soit on veut laisser cette passerelle par défaut comme ça (parce que quand les clients veulent
surfer c'est mieux qu'ils plombent leur lien, plustôt que le votre).
Là il va falloir tripoter le fichier de conf par défaut du serveur OpenVpn, pour que l'on puisse
voir le Lan Green ou autres réseau accessible par IPCOP.
Le fichier à modifier est /home/httpd/cgi-bin/ovpnmain.cgi
vous recherchez un ligne comme
print CONF "push \"route $netsettings{'GREEN_NETADDRESS'} $netsettings{'GREEN_NETMASK'}\"\n";
vous dupliquer cette ligne et vous ajouter la plage d'adresse désirez.
Vous redémarrez votre Service OpenVpn via le GUI et vous controler le contenue du fichier de conf
réel du Serveur OpenVpn (/var/ipcop/ovpn/server.conf).
Vous devez trouver une ligne avec push "route 192.168.5.0 255.255.255.0" et d'autre lignes potentielles
suivants le nombre de sous réseaux que vous pouvez avoir.
Ceci à pour but lors de la connection du client VPN d'enrichir la table de routage et de ne pas
s'attribuer la gateway.
Il va s'en dire que la table de routage doit être stable CAD
192.168.45.0 vers tun0 (vpn)
192.168.5.0 vers green (ethX)
soit on veut que tous le trafic passe par le VPN (cool pour la sécurité):
- il faut activer le redirect gateway sur DEF dans le GUI de OpenVpn / Advanced Server Options,
cette option a pour action de rediriger la default gateway pendant la connexion VPN.
soit on veut laisser cette passerelle par défaut comme ça (parce que quand les clients veulent
surfer c'est mieux qu'ils plombent leur lien, plustôt que le votre).
Là il va falloir tripoter le fichier de conf par défaut du serveur OpenVpn, pour que l'on puisse
voir le Lan Green ou autres réseau accessible par IPCOP.
Le fichier à modifier est /home/httpd/cgi-bin/ovpnmain.cgi
vous recherchez un ligne comme
print CONF "push \"route $netsettings{'GREEN_NETADDRESS'} $netsettings{'GREEN_NETMASK'}\"\n";
vous dupliquer cette ligne et vous ajouter la plage d'adresse désirez.
Vous redémarrez votre Service OpenVpn via le GUI et vous controler le contenue du fichier de conf
réel du Serveur OpenVpn (/var/ipcop/ovpn/server.conf).
Vous devez trouver une ligne avec push "route 192.168.5.0 255.255.255.0" et d'autre lignes potentielles
suivants le nombre de sous réseaux que vous pouvez avoir.
Ceci à pour but lors de la connection du client VPN d'enrichir la table de routage et de ne pas
s'attribuer la gateway.
Il va s'en dire que la table de routage doit être stable CAD
192.168.45.0 vers tun0 (vpn)
192.168.5.0 vers green (ethX)
- leon1800
- Matelot
- Messages: 8
- Inscrit le: 29 Nov 2006 19:31
par alexaz » 30 Nov 2006 15:48
je crois que je suis dans le même cas que toi, je n'ai pas accès au green avec mon pc connecté au vpn
on m'a dit d'installer le dernière version de zerina mais pour l'installer il faut aussi que je mette a jour ipcop et je ne peux le faire que le soir.
pour info l'option redirect ne fonctionne pas chez moi... je désespèrere
on m'a dit d'installer le dernière version de zerina mais pour l'installer il faut aussi que je mette a jour ipcop et je ne peux le faire que le soir.
pour info l'option redirect ne fonctionne pas chez moi... je désespèrere
- alexaz
- Quartier Maître
- Messages: 20
- Inscrit le: 29 Nov 2006 17:32
par leon1800 » 01 Déc 2006 11:36
moi perso,
Je suis en ZERINA-0.9.4d avec un IPCOP 1.4.11,
pour info si tes tables de routage client et serveur sont bonnes, peut etre que le Firewall
bloque ICMP.
Je sais c'est bête mais ca arrive qqle fois lors d'un oubli /pare-feu/ Option du Firewall,
Je suis en ZERINA-0.9.4d avec un IPCOP 1.4.11,
pour info si tes tables de routage client et serveur sont bonnes, peut etre que le Firewall
bloque ICMP.
Je sais c'est bête mais ca arrive qqle fois lors d'un oubli /pare-feu/ Option du Firewall,
ipcop : 1.4.11, openvpn, copfilter
dmz : postfix/cyrus/horde --fedora 6
lan : apache -- fedora6 + AD 2000
dmz : postfix/cyrus/horde --fedora 6
lan : apache -- fedora6 + AD 2000
- leon1800
- Matelot
- Messages: 8
- Inscrit le: 29 Nov 2006 19:31
par aeroyo » 08 Déc 2006 14:30
Bonjour,
Ce n'est pas plutot en probleme de configuration ?
La actuellement j'arrive parfaitement à faire fonctionner mon VPN avec ce type de paramètre :
dev tun ----> Serveur mode route
Mais j'ai cru comprendre qu'il fallait passer le serveur en mode bridge pour que tous les clients VPN arrivent à ce voir sur le reseau et donc avoir la possibilité de faire du broadcast
Je me trompe ?
Du coup mon serveur devrait etre de ce type :
#OpenVPN Server conf
daemon openvpnserver
writepid /var/run/openvpn.pid
#DAN prepare ZERINA for listening on blue and orange
;local foken.no-ip.org
dev tap
tun-mtu 1400
proto udp
port 1194
tls-server
ca /var/ipcop/ovpn/ca/cacert.pem
cert /var/ipcop/ovpn/certs/servercert.pem
key /var/ipcop/ovpn/certs/serverkey.pem
dh /var/ipcop/ovpn/ca/dh1024.pem
client-config-dir /var/ipcop/ovpn/ccd ----->Ceci me permet d'atribuer des IP aux clients
server 192.168.55.0 255.255.255.0 ----> Plage adresse Reseau OPENVPN
push "route 192.168.5.0 255.255.255.0" -----> ça c'est la route vers mon reseau local à moi
client-to-client
keepalive 10 60
status-version 1
status /var/ipcop/ovpn/server.log 30
cipher BF-CBC
max-clients 25
tls-verify /var/ipcop/ovpn/verify
crl-verify /var/ipcop/ovpn/crls/cacrl.pem
user nobody
group nobody
persist-key
persist-tun
verb 3
Voila, y'a t'il quelque chose d'autre à faire (surement que oui) car la ça ne fonctionne pas au niveau de la partie client meme si il finit par ce connecter avec des erreurs
Log :
Fri Dec 08 14:31:18 2006 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Fri Dec 08 14:31:18 2006 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Fri Dec 08 14:31:21 2006 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1400)
Fri Dec 08 14:31:21 2006 Control Channel MTU parms [ L:1473 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Dec 08 14:31:21 2006 Data Channel MTU parms [ L:1473 D:1450 EF:41 EB:4 ET:32 EL:0 ]
Fri Dec 08 14:31:21 2006 Local Options hash (VER=V4): '6d83133f'
Fri Dec 08 14:31:21 2006 Expected Remote Options hash (VER=V4): 'c28a73c6'
Fri Dec 08 14:31:21 2006 UDPv4 link local (bound): [undef]:1194
Fri Dec 08 14:31:21 2006 UDPv4 link remote: 213.44.163.190:1194
Fri Dec 08 14:31:21 2006 TLS: Initial packet from 213.44.163.190:1194, sid=1cabe038 ab41354f
Fri Dec 08 14:31:21 2006 VERIFY OK: depth=1, /C=FR/O=nom du serveur/CN=nom du serveur_CA
Fri Dec 08 14:31:21 2006 VERIFY OK: nsCertType=SERVER
Fri Dec 08 14:31:21 2006 VERIFY OK: depth=0, /C=FR/O=nom du serveur/CN=d07m-ipinternet.club-internet.fr
Fri Dec 08 14:31:22 2006 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Dec 08 14:31:22 2006 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Dec 08 14:31:22 2006 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Dec 08 14:31:22 2006 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Dec 08 14:31:22 2006 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Fri Dec 08 14:31:22 2006 [d07m-ipinternet.club-internet.fr] Peer Connection Initiated with 213.44.163.190:1194
Fri Dec 08 14:31:23 2006 SENT CONTROL [d07m-89-86-126-45.d4.club-internet.fr]: 'PUSH_REQUEST' (status=1)
Fri Dec 08 14:31:23 2006 PUSH: Received control message: 'PUSH_REPLY,route 192.168.5.0 255.255.255.0,route-gateway 192.168.55.1,ping 10,ping-restart 60,route 192.168.5.0 255.255.255.0,ifconfig 192.168.55.13 192.168.55.14'
Fri Dec 08 14:31:23 2006 OPTIONS IMPORT: timers and/or timeouts modified
Fri Dec 08 14:31:23 2006 OPTIONS IMPORT: --ifconfig/up options modified
Fri Dec 08 14:31:23 2006 OPTIONS IMPORT: route options modified
Fri Dec 08 14:31:23 2006 WARNING: Since you are using --dev tap, the second argument to --ifconfig must be a netmask, for example something like 255.255.255.0. (silence this warning with --ifconfig-nowarn)
Fri Dec 08 14:31:23 2006 TAP-WIN32 device [Connexion au réseau local 2] opened: \\.\Global\{EAF9D512-1FE8-4A84-85E9-564256AA3FEE}.tap
Fri Dec 08 14:31:23 2006 TAP-Win32 Driver Version 8.4
Fri Dec 08 14:31:23 2006 TAP-Win32 MTU=1500
Fri Dec 08 14:31:23 2006 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.55.13/192.168.55.14 on interface {EAF9D512-1FE8-4A84-85E9-564256AA3FEE} [DHCP-serv: 192.168.55.12, lease-time: 31536000]
Fri Dec 08 14:31:23 2006 Successful ARP Flush on interface [3] {EAF9D512-1FE8-4A84-85E9-564256AA3FEE}
Fri Dec 08 14:31:23 2006 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Fri Dec 08 14:31:23 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:24 2006 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Fri Dec 08 14:31:24 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:25 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:25 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:26 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:26 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:27 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:27 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:28 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:28 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:29 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:29 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:30 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:30 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:31 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:31 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:33 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:33 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:34 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:34 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:35 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:35 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:36 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:36 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:37 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:37 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:38 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:38 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:39 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:39 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:40 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:40 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:41 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:41 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:42 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:42 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:43 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:43 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:44 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:44 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:45 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:45 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:46 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:46 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:47 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:47 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:48 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:48 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:50 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:50 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:51 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:51 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:52 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:52 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:53 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:53 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:54 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:54 2006 route ADD 192.168.5.0 MASK 255.255.255.0 192.168.55.1
Fri Dec 08 14:31:54 2006 Warning: route gateway is not reachable on any active network adapters: 192.168.55.1
Fri Dec 08 14:31:54 2006 Route addition via IPAPI failed
Fri Dec 08 14:31:54 2006 route ADD 192.168.5.0 MASK 255.255.255.0 192.168.55.1
Fri Dec 08 14:31:54 2006 Warning: route gateway is not reachable on any active network adapters: 192.168.55.1
Fri Dec 08 14:31:54 2006 Route addition via IPAPI failed
Fri Dec 08 14:31:54 2006 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )
J'insiste sur le fait que en mode : dev tun, je n'ai pas de probleme
Ce n'est pas plutot en probleme de configuration ?
La actuellement j'arrive parfaitement à faire fonctionner mon VPN avec ce type de paramètre :
dev tun ----> Serveur mode route
Mais j'ai cru comprendre qu'il fallait passer le serveur en mode bridge pour que tous les clients VPN arrivent à ce voir sur le reseau et donc avoir la possibilité de faire du broadcast
Je me trompe ?
Du coup mon serveur devrait etre de ce type :
#OpenVPN Server conf
daemon openvpnserver
writepid /var/run/openvpn.pid
#DAN prepare ZERINA for listening on blue and orange
;local foken.no-ip.org
dev tap
tun-mtu 1400
proto udp
port 1194
tls-server
ca /var/ipcop/ovpn/ca/cacert.pem
cert /var/ipcop/ovpn/certs/servercert.pem
key /var/ipcop/ovpn/certs/serverkey.pem
dh /var/ipcop/ovpn/ca/dh1024.pem
client-config-dir /var/ipcop/ovpn/ccd ----->Ceci me permet d'atribuer des IP aux clients
server 192.168.55.0 255.255.255.0 ----> Plage adresse Reseau OPENVPN
push "route 192.168.5.0 255.255.255.0" -----> ça c'est la route vers mon reseau local à moi
client-to-client
keepalive 10 60
status-version 1
status /var/ipcop/ovpn/server.log 30
cipher BF-CBC
max-clients 25
tls-verify /var/ipcop/ovpn/verify
crl-verify /var/ipcop/ovpn/crls/cacrl.pem
user nobody
group nobody
persist-key
persist-tun
verb 3
Voila, y'a t'il quelque chose d'autre à faire (surement que oui) car la ça ne fonctionne pas au niveau de la partie client meme si il finit par ce connecter avec des erreurs
Log :
Fri Dec 08 14:31:18 2006 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Fri Dec 08 14:31:18 2006 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Fri Dec 08 14:31:21 2006 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1400)
Fri Dec 08 14:31:21 2006 Control Channel MTU parms [ L:1473 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Dec 08 14:31:21 2006 Data Channel MTU parms [ L:1473 D:1450 EF:41 EB:4 ET:32 EL:0 ]
Fri Dec 08 14:31:21 2006 Local Options hash (VER=V4): '6d83133f'
Fri Dec 08 14:31:21 2006 Expected Remote Options hash (VER=V4): 'c28a73c6'
Fri Dec 08 14:31:21 2006 UDPv4 link local (bound): [undef]:1194
Fri Dec 08 14:31:21 2006 UDPv4 link remote: 213.44.163.190:1194
Fri Dec 08 14:31:21 2006 TLS: Initial packet from 213.44.163.190:1194, sid=1cabe038 ab41354f
Fri Dec 08 14:31:21 2006 VERIFY OK: depth=1, /C=FR/O=nom du serveur/CN=nom du serveur_CA
Fri Dec 08 14:31:21 2006 VERIFY OK: nsCertType=SERVER
Fri Dec 08 14:31:21 2006 VERIFY OK: depth=0, /C=FR/O=nom du serveur/CN=d07m-ipinternet.club-internet.fr
Fri Dec 08 14:31:22 2006 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Dec 08 14:31:22 2006 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Dec 08 14:31:22 2006 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Dec 08 14:31:22 2006 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Dec 08 14:31:22 2006 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Fri Dec 08 14:31:22 2006 [d07m-ipinternet.club-internet.fr] Peer Connection Initiated with 213.44.163.190:1194
Fri Dec 08 14:31:23 2006 SENT CONTROL [d07m-89-86-126-45.d4.club-internet.fr]: 'PUSH_REQUEST' (status=1)
Fri Dec 08 14:31:23 2006 PUSH: Received control message: 'PUSH_REPLY,route 192.168.5.0 255.255.255.0,route-gateway 192.168.55.1,ping 10,ping-restart 60,route 192.168.5.0 255.255.255.0,ifconfig 192.168.55.13 192.168.55.14'
Fri Dec 08 14:31:23 2006 OPTIONS IMPORT: timers and/or timeouts modified
Fri Dec 08 14:31:23 2006 OPTIONS IMPORT: --ifconfig/up options modified
Fri Dec 08 14:31:23 2006 OPTIONS IMPORT: route options modified
Fri Dec 08 14:31:23 2006 WARNING: Since you are using --dev tap, the second argument to --ifconfig must be a netmask, for example something like 255.255.255.0. (silence this warning with --ifconfig-nowarn)
Fri Dec 08 14:31:23 2006 TAP-WIN32 device [Connexion au réseau local 2] opened: \\.\Global\{EAF9D512-1FE8-4A84-85E9-564256AA3FEE}.tap
Fri Dec 08 14:31:23 2006 TAP-Win32 Driver Version 8.4
Fri Dec 08 14:31:23 2006 TAP-Win32 MTU=1500
Fri Dec 08 14:31:23 2006 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.55.13/192.168.55.14 on interface {EAF9D512-1FE8-4A84-85E9-564256AA3FEE} [DHCP-serv: 192.168.55.12, lease-time: 31536000]
Fri Dec 08 14:31:23 2006 Successful ARP Flush on interface [3] {EAF9D512-1FE8-4A84-85E9-564256AA3FEE}
Fri Dec 08 14:31:23 2006 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Fri Dec 08 14:31:23 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:24 2006 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Fri Dec 08 14:31:24 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:25 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:25 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:26 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:26 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:27 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:27 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:28 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:28 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:29 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:29 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:30 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:30 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:31 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:31 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:33 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:33 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:34 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:34 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:35 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:35 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:36 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:36 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:37 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:37 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:38 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:38 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:39 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:39 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:40 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:40 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:41 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:41 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:42 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:42 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:43 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:43 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:44 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:44 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:45 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:45 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:46 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:46 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:47 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:47 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:48 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:48 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:50 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:50 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:51 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:51 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:52 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:52 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:53 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:53 2006 Route: Waiting for TUN/TAP interface to come up...
Fri Dec 08 14:31:54 2006 TEST ROUTES: 0/2 succeeded len=2 ret=0 a=0 u/d=up
Fri Dec 08 14:31:54 2006 route ADD 192.168.5.0 MASK 255.255.255.0 192.168.55.1
Fri Dec 08 14:31:54 2006 Warning: route gateway is not reachable on any active network adapters: 192.168.55.1
Fri Dec 08 14:31:54 2006 Route addition via IPAPI failed
Fri Dec 08 14:31:54 2006 route ADD 192.168.5.0 MASK 255.255.255.0 192.168.55.1
Fri Dec 08 14:31:54 2006 Warning: route gateway is not reachable on any active network adapters: 192.168.55.1
Fri Dec 08 14:31:54 2006 Route addition via IPAPI failed
Fri Dec 08 14:31:54 2006 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )
J'insiste sur le fait que en mode : dev tun, je n'ai pas de probleme
- aeroyo
- Quartier Maître
- Messages: 23
- Inscrit le: 21 Mars 2005 17:38
par ccnet » 17 Fév 2007 19:31
DM a écrit:essaye deja de mettre tap-mtu 1400 au lieu de tun-mtu 1400
J' essaye de faire fonctionner des clients nomades (Win 2000 sp4 - Win XP sp1) avec un client openvpn + GUI vers ipcop 1.4.13 + BOT + ZERINA-0.9.4g.
Si je fais cette modification dans server.conf ZERINA ne démarre plus avec l'erreur :
Options error: Unrecognized option or missing parameter(s) in /var/ipcop/ovpn/se rver.conf:8: tap-mtu (2.0.9)
Si je supprime cette ligne il démarre. En dehors de cela si le tunnel VPN est bien établi, je n'arrive à rien coté client. Bien que le client VPN m'indique une connexion établi avec une adresse qui vient bien du pool spécifié coté serveur.(server-bridge etc ...), L'adresse n'est pas affectée à l'interface TAP sur le client et elle reste à 0.0.0.0. Pas d'erreur coté certificats.
Comme ce client est connecté via NOOS et un autre ipcop, je soupconne NOOS de filtrage de port, sport qu'ils ont beaucoup pratiqué. Du coté ZERINA + IPCOP le BOT est désactivé pour les tests.
Voyez vous une autre explication possible du comportement du client (pas de firewall ni d'antivirus) ?
Rien de bloqué dans les logs des ipcop.
Le log du client :
Sat Feb 17 17:31:16 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Sat Feb 17 17:31:16 2007 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Sat Feb 17 17:31:22 2007 LZO compression initialized
Sat Feb 17 17:31:22 2007 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1326)
Sat Feb 17 17:31:22 2007 Control Channel MTU parms [ L:1400 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sat Feb 17 17:31:22 2007 Data Channel MTU parms [ L:1400 D:1400 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Sat Feb 17 17:31:22 2007 Local Options hash (VER=V4): '9e5d01ea'
Sat Feb 17 17:31:22 2007 Expected Remote Options hash (VER=V4): '42097d75'
Sat Feb 17 17:31:22 2007 UDPv4 link local (bound): [undef]:1194
Sat Feb 17 17:31:22 2007 UDPv4 link remote: 82.229.189.163:1194
Sat Feb 17 17:31:22 2007 TLS: Initial packet from 82.229.189.163:1194, sid=dd1b3f04 10397837
Sat Feb 17 17:31:22 2007 VERIFY OK: depth=1, /C=FR/O=ccnet/CN=ccnet_CA
Sat Feb 17 17:31:22 2007 VERIFY OK: nsCertType=SERVER
Sat Feb 17 17:31:22 2007 VERIFY OK: depth=0, /C=FR/O=ccnet/CN=mailgate.ccnet.fr
Sat Feb 17 17:31:23 2007 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1400', remote='link-mtu 1574'
Sat Feb 17 17:31:23 2007 WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1358', remote='tun-mtu 1532'
Sat Feb 17 17:31:23 2007 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Feb 17 17:31:23 2007 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Feb 17 17:31:23 2007 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Feb 17 17:31:23 2007 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Feb 17 17:31:23 2007 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sat Feb 17 17:31:23 2007 [mailgate.ccnet.fr] Peer Connection Initiated with 82.229.189.163:1194
Sat Feb 17 17:31:24 2007 SENT CONTROL [mailgate.ccnet.fr]: 'PUSH_REQUEST' (status=1)
Sat Feb 17 17:31:24 2007 PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0 192.168.1.254,dhcp-option DOMAIN ccnet.fr,dhcp-option DNS 212.27.60.20,route-gateway 192.168.1.254,ping 10,ping-restart 60,ifconfig 192.168.1.123 255.255.255.0'
Sat Feb 17 17:31:24 2007 OPTIONS IMPORT: timers and/or timeouts modified
Sat Feb 17 17:31:24 2007 OPTIONS IMPORT: --ifconfig/up options modified
Sat Feb 17 17:31:24 2007 OPTIONS IMPORT: route options modified
Sat Feb 17 17:31:24 2007 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Sat Feb 17 17:31:24 2007 TAP-WIN32 device [Connexion au réseau local 5] opened: \\.\Global\{E97D6C5B-D72C-4D67-AA05-5CE585DE8A13}.tap
Sat Feb 17 17:31:24 2007 TAP-Win32 Driver Version 8.4
Sat Feb 17 17:31:24 2007 TAP-Win32 MTU=1500
Sat Feb 17 17:31:24 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.1.123/255.255.255.0 on interface {E97D6C5B-D72C-4D67-AA05-5CE585DE8A13} [DHCP-serv: 192.168.1.0, lease-time: 31536000]
Sat Feb 17 17:31:24 2007 Successful ARP Flush on interface [2] {E97D6C5B-D72C-4D67-AA05-5CE585DE8A13}
Sat Feb 17 17:31:24 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Sat Feb 17 17:31:24 2007 Route: Waiting for TUN/TAP interface to come up...
[ ... ]
Sat Feb 17 17:31:54 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Sat Feb 17 17:31:54 2007 route ADD 192.168.1.0 MASK 255.255.255.0 192.168.1.254
Sat Feb 17 17:31:54 2007 Route addition via IPAPI succeeded
Sat Feb 17 17:31:54 2007 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
12 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité