Deconnexion VPN Zerina

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Publier une réponse

Deconnexion VPN Zerina

Messagepar mick.ch » 14 Avr 2009 11:27

Bonjour,

Je voudrais vous faire part d'un soucis concernant le module VPN (open VPN) de mon IPCOP. En effet, nous avons mis en place un serveur hébergé dans nos locaux pour un de nos clients.
Celui-ci ce connecte au serveur via openVPN gui sur des postes windows.
Le problème est que notre client ce plaint de déconnexion régulière 4-5 fois par jour. Il apparait toujours comme étant connecté (petit ordinateur verts dans la barre de notification) mais le tunnel passe en mode fermé sur l'interface d'IPCOP.
Nous avons crée un certificat client par utilisateur se connectant au serveur car avec un même certificat le client obtenait la même adresse IP ce qui provoquait également une déconnexion.
A présent les IP sont bien toutes différentes mais le problème subsiste (même si cela est moins systématique).
J'ai lu que le TLS provoquait une déconnexion toutes les heures mais je ne vois pas trop à quoi il sert et comment il fonctionne, si vous avez des infos je suis preneur.
mick.ch
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 17 Déc 2008 15:38
Haut

Messagepar mick.ch » 19 Avr 2009 22:21

Personne qui pourrais m'aider sur OpenVPN ???
mick.ch
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 17 Déc 2008 15:38
Haut

Messagepar leso » 20 Avr 2009 00:10

Quel version du client open vpn?
MCITP Windows Server 2008, Enterprise Administrator
MCITP Windows Server 2008, Server Administrator
MCITP Exchange 2007 Enterprise Messaging Administrator
Avatar de l’utilisateur
leso
Vice-Amiral
Vice-Amiral
 
Messages: 648
Inscrit le: 03 Avr 2003 00:00
Localisation: Paris
Haut

Messagepar fblondelle » 20 Avr 2009 09:47

Bonjour,

J'utilise Open Vpn de Zerina, je n'observe pas de coupure de lien.
Une erreur autour de l'option TLS n'est peut-etre pas à retenir.
En tout cas, mes liens VPN et Openvpn fonctionnent beaucoup mieux depuis que j'ai dévalidé le mode routeur sur les modem-routeurs des operateurs ADSL. De plus je ne passe plus par les lignes ADSL d'Orange pour mes liens vpn ou j'observait beaucoup de coupures.
Ensuite voir les versions utilisées:
- Ipcop 1.4.21
- ZERINA-0.9.5b
fblondelle
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 30 Mars 2007 08:51
Localisation: Besançon
Haut

Messagepar mick.ch » 20 Avr 2009 20:20

Merci de vos réponses.

Tout d'abord j'utilise bien Ipcop 1.4.21 et ZERINA-0.9.5b.
Nous fournissons à nos clients un accès VPN sur nos serveurs via OpenVPN, les déconnexions ont lieux toutes les 4 à 8 heures et de manière aléatoire. Nous avons une ligne fibre optique dédiée pour l'accès au serveur donc peu de chance d'avoir des coupures à ce niveau.
- J'ai penser peut être basculer en TCP ( pour l'instand, il fonctionne en UDP)
- Mettre le MTU à 1500 au lieu de 1400
- Supprimer les mots de passes sur les certificats


Pensez vous qu'une de ces idées soit éventuellement la cause du problème?

Voici tout de même le log de la connexion, qui fonctionne parfaitement (c'est on jamais) :

Mon Apr 20 20:17:39 2009 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Mon Apr 20 20:17:39 2009 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Mon Apr 20 20:17:41 2009 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1400)
Mon Apr 20 20:17:41 2009 Control Channel MTU parms [ L:1441 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Apr 20 20:17:41 2009 Data Channel MTU parms [ L:1441 D:1441 EF:41 EB:4 ET:0 EL:0 ]
Mon Apr 20 20:17:41 2009 Local Options hash (VER=V4): '57657c3f'
Mon Apr 20 20:17:41 2009 Expected Remote Options hash (VER=V4): '778eeec5'
Mon Apr 20 20:17:41 2009 UDPv4 link local (bound): [undef]:1194
Mon Apr 20 20:17:41 2009 UDPv4 link remote: X.X.X.X:1194
Mon Apr 20 20:17:41 2009 TLS: Initial packet from X.X.X.X:1194, sid=5c3f3462 7a54be8d
Mon Apr 20 20:17:42 2009 VERIFY OK: depth=1, /C=FR/O=client/CN=client42_CA
Mon Apr 20 20:17:42 2009 VERIFY OK: nsCertType=SERVER
Mon Apr 20 20:17:42 2009 VERIFY OK: depth=0, /C=FR/O=client42/CN=192.168.0.254
Mon Apr 20 20:17:44 2009 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Apr 20 20:17:44 2009 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Apr 20 20:17:44 2009 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Apr 20 20:17:44 2009 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Apr 20 20:17:44 2009 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Mon Apr 20 20:17:44 2009 [192.168.0.254] Peer Connection Initiated with X.X.X.X:1194
Mon Apr 20 20:17:45 2009 SENT CONTROL [192.168.0.254]: 'PUSH_REQUEST' (status=1)
Mon Apr 20 20:17:45 2009 PUSH: Received control message: 'PUSH_REPLY,route 192.168.10.0 255.255.255.0,route 10.198.188.1,ping 43200,ping-restart 86400,ifconfig 10.198.188.10 10.198.188.9'
Mon Apr 20 20:17:45 2009 OPTIONS IMPORT: timers and/or timeouts modified
Mon Apr 20 20:17:45 2009 OPTIONS IMPORT: --ifconfig/up options modified
Mon Apr 20 20:17:45 2009 OPTIONS IMPORT: route options modified
Mon Apr 20 20:17:45 2009 TAP-WIN32 device [NULL] opened: \\.\Global\{92CDE3F7-E759-4A88-9785-31E24F879E8A}.tap
Mon Apr 20 20:17:45 2009 TAP-Win32 Driver Version 8.4
Mon Apr 20 20:17:45 2009 TAP-Win32 MTU=1500
Mon Apr 20 20:17:45 2009 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.198.188.10/255.255.255.252 on interface {92CDE3F7-E759-4A88-9785-31E24F879E8A} [DHCP-serv: 10.198.188.9, lease-time: 31536000]
Mon Apr 20 20:17:45 2009 Successful ARP Flush on interface [5] {92CDE3F7-E759-4A88-9785-31E24F879E8A}
Mon Apr 20 20:17:45 2009 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Mon Apr 20 20:17:45 2009 Route: Waiting for TUN/TAP interface to come up...
Mon Apr 20 20:17:46 2009 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Mon Apr 20 20:17:46 2009 Route: Waiting for TUN/TAP interface to come up...
Mon Apr 20 20:17:48 2009 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Mon Apr 20 20:17:48 2009 Route: Waiting for TUN/TAP interface to come up...
Mon Apr 20 20:17:49 2009 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Mon Apr 20 20:17:49 2009 route ADD 192.168.10.0 MASK 255.255.255.0 10.198.188.9
Mon Apr 20 20:17:49 2009 Route addition via IPAPI succeeded
Mon Apr 20 20:17:49 2009 route ADD 10.198.188.1 MASK 255.255.255.255 10.198.188.9
Mon Apr 20 20:17:49 2009 Route addition via IPAPI succeeded
Mon Apr 20 20:17:49 2009 Initialization Sequence Completed
mick.ch
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 17 Déc 2008 15:38
Haut

Messagepar jdh » 20 Avr 2009 21:12

Passer OpenVPN sur tcp au lieu d'udp a peut-être des conséquences ? (l'encapsulation de tcp dans tcp ne dit rien ?)

Passez d'un MTU de 1400 à 1500 a peut-être des conséquences ? (notamment sur un lien PPP dont le MTU est typiquement de 1492 !)

Supprimer les mots de passe des certificats a peut-être des conséquences ? (des limitations sur le mot de passe ont disparu avec des versions récentes d'OpenVPN).


La question de leso n'a pas été vraiment comprise !

Perso, j'installe la dernière version d'OpenVPN 2.1 RC15 (cela donne TAP-Win32 Driver version 9.4 et non 8.4) mais les versions anciennes conviennent aussi.

Mais je ne vois rien de différent avec mes propres logs. Peut-être les fichiers de conf ?


NB : il ne faut pas passer en tcp. Je ne toucherais pas au MTU. Les mots de passe ne sont guère un problème ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes
Haut
Publier une réponse

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

Powered by boolaz
cron