Erreur VPN Zerina+Radius

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Erreur VPN Zerina+Radius

Messagepar malcolm » 15 Nov 2008 16:41

Bonjour,
J'ai installé Zerina + Radius d'après le lien http://www.vpnforum.de/zerina/?q=docume ... -IA-RADIUS mais à la tentative de connexion, la boîte de dialogue de connexion s'affiche tout le temps.
Voici mes paramètres.

Config client:
#OpenVPN Server conf
auth-user-pass
tls-client
client
dev tun
proto udp
tun-mtu 1400
remote digisen.dyndns.org 1194
pkcs12 mgadioIAS.p12
cipher BF-CBC
comp-lzo
verb 3
ns-cert-type server

Message d'Erreur:

Sun Nov 09 19:14:09 2008 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Sun Nov 09 19:14:16 2008 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Sun Nov 09 19:14:16 2008 LZO compression initializedSun Nov 09 19:14:16 2008 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1400)
Sun Nov 09 19:14:16 2008 Control Channel MTU parms [ L:1442 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Nov 09 19:14:16 2008 Data Channel MTU parms [ L:1442 D:1442 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Nov 09 19:14:16 2008 Local Options hash (VER=V4): 'a6ae7d69'
Sun Nov 09 19:14:16 2008 Expected Remote Options hash (VER=V4): '006a55ce'
Sun Nov 09 19:14:16 2008 UDPv4 link local (bound): [undef]:1194
Sun Nov 09 19:14:16 2008 UDPv4 link remote: 41.208.140.244:1194
Sun Nov 09 19:14:16 2008 TLS: Initial packet from 41.208.140.244:1194, sid=5a2dc8a4 9a973722
Sun Nov 09 19:14:17 2008 VERIFY OK: depth=1, /C=SN/ST=SENEGAL/L=DAKAR/O=DIGISEN/OU=IT/CN=DIGISEN_CA/emailAddress=digisen@digisen.org
Sun Nov 09 19:14:17 2008 VERIFY OK: nsCertType=SERVER
Sun Nov 09 19:14:17 2008 VERIFY OK: depth=0, /C=SN/ST=SENEGAL/O=DIGISEN/OU=IT/CN=digisen.dyndns.org
Sun Nov 09 19:14:18 2008 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Nov 09 19:14:18 2008 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Nov 09 19:14:18 2008 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Nov 09 19:14:18 2008 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Nov 09 19:14:18 2008 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sun Nov 09 19:14:18 2008 [digisen.dyndns.org] Peer Connection Initiated with 41.208.140.244:1194
Sun Nov 09 19:14:19 2008 SENT CONTROL [digisen.dyndns.org]: 'PUSH_REQUEST' (status=1)
Sun Nov 09 19:14:19 2008 AUTH: Received AUTH_FAILED control message
Sun Nov 09 19:14:19 2008 TCP/UDP: Closing socket
Sun Nov 09 19:14:19 2008 SIGTERM[soft,auth-failure] received, process exiting
Sun Nov 09 19:14:20 2008 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006


OpenVPN User Authentication fenetre revient tout le temps username /password

Côté Serveur
#OpenVPN Server confplugin
/var/ipcop/ovpn/radiusplugin.so
/var/ipcop/ovpn/radiusplugin.cnfdaemon openvpnserverwritepid
/var/run/openvpn.pid
#DAN prepare ZERINA for listening on blue and orange
;local digisen.dyndns.org
dev tuntun-mtu 1400
proto udpport 1194
tls-server
ca /var/ipcop/ovpn/ca/cacert.pemcert
/var/ipcop/ovpn/certs/servercert.pemkey
/var/ipcop/ovpn/certs/serverkey.pemdh
/var/ipcop/ovpn/ca/dh1024.pemserver
10.135.111.0 255.255.255.0
push "route 192.168.12.0 255.255.255.0"
client-to-client
keepalive 10 60
status-version 1
status /var/ipcop/ovpn/server.log 30
cipher BF-CBC
comp-lzomax-clients 100
tls-verify /var/ipcop/ovpn/verifycrl-verify
/var/ipcop/ovpn/crls/cacrl.pemuser
nobodygroup
nobodypersist-keypersist-tun
verb 3

Settings
DCIPHER=BF-CBC
DCOMPLZO=on
DHCP_WINS=
DHCP_DOMAIN=
KEEPALIVE_1=10
ROOTCERT_OU=IT
RADIUS_AUTHPORT=1812
CLIENT2CLIENT=on
DOVPN_SUBNET=10.135.111.0/255.255.255.0
ROOTCERT_ORGANIZATION=DIGISEN
ROOTCERT_STATE=SENEGAL
DPROTOCOL=udp
DDEST_PORT=1194
RADIUS_ENABLED=on
MAX_CLIENTS=100
RADIUS_TIMEOUT=5
DHCP_DNS=ROOT
CERT_COUNTRY=SN
RADIUS_RETRY=3
ROOTCERT_CITY=DAKAR
RADIUS_HOST=192.168.12.200
LOG_VERB=3
ENABLED=on
KEEPALIVE_2=60
DMTU=1400
ENABLED_BLUE=off
NOBIND=off
ROOTCERT_EMAIL=digisen@digisen.org
DDEVICE=tun
ENABLED_ORANGE=off
RADIUS_ACCTPORT=1813
RADIUS_PASS1=digisen
REDIRECT_GW_DEF1=
ROOTCERT_HOSTNAME=digisen.dyndns.org
VPN_IP=digisen.dyndns.org
======

J'ai lu quelque part qu'une variable reneg_sec doit être déclarée mais je n'y comprends rien.
Merci de votre aide.
malcolm
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 05 Nov 2008 23:55

Messagepar mgadio » 15 Nov 2008 16:45

C'est un paramètre pour gérer le timeout je crois.
Revois tes fichiers de config.
mgadio
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 08 Déc 2007 23:37

Messagepar malcolm » 16 Nov 2008 21:58

Bonjour,
Après avoir jeté un coup d'oeil sur ce lien: http://openvpn.net/archive/openvpn-user ... 00175.html
J'ai ajouté l'option reneg-sec = 21600 côté serveur et côté client.
J'ai aussi ajouté l'option auth-nocache côté config du client mais toujours rien.

Avez vous une idée?
malcolm
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 05 Nov 2008 23:55

Messagepar malcolm » 25 Nov 2008 13:44

Bonjour.

Aucune idée?
Pensez vous qu'il vaille mieux se limiter à l'install de Zerina et les certificats sans passer par Radius?
malcolm
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 05 Nov 2008 23:55

Messagepar malcolm » 21 Fév 2009 23:22

Problème résolu.
Il fallait:
- aller sur les propriétés de l'utilisateur (ou du groupe) dans active directory (Win 2003 server)
- Onglet Appel Entrant
- cocher l'option "autoriser l'accès"

Et voilà ! J'ai réussi à faire marcher l'authetification avec Zerina+radius.

Merci à tous.
malcolm
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 05 Nov 2008 23:55


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité