Echec de connexion OpenVPN

par **mgadio** » 09 Déc 2007 01:02

Bonjour,
Je viens d'installer IPCOP 1.4.16 dans mon réseauN°1 (BUREAU) qui marche bien pour le moment.

Voici mon architecture réseau:
RESEAU INTERNE (GREEN): 192.168.12.0 / 255.255.255.0
eth0(patte interne):192.168.12.100 FIREWALL IPCOP eth1(patte externe):192.168.10.100
192.168.10.200 MODEM ROUTEUR ADSL mondomaine.dyndns.org ====> INTERNET

Pour mettre en place OpenVPN entre réseauN°1 (BUREAU) et mon poste XP SP2 situé à la maison(A 2 kilomètres), J'ai installé ZERINA 0.9.5a pour créer un roadwarrior. Pour cela, j'ai suivi le tutoriel suivant: http://www.vpnforum.de/zerina/?q=docume ... oadwarrior
PRECISION
- Le OpenVPN Subnet assigné est le suivant: 10.135.111.0/255.255.255.0
- Nom d'hôte ou IP locale du RPV = mondomaine.dyndns.org
- Le IPCOP est aussi serveur DHCP pour la plage [192.168.12.10 - 192.168.12.60]

Sur le XP, j'ai installé et lancé le client OpenVpn-GUI et j'ai obtenu le message d'erreur suivant:

Sat Dec 08 21:20:35 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Sat Dec 08 21:20:35 2007 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Sat Dec 08 21:20:40 2007 LZO compression initialized
Sat Dec 08 21:20:40 2007 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1400)
Sat Dec 08 21:20:40 2007 Control Channel MTU parms [ L:1444 D:140 EF:40 EB:0 ET:0 EL:0 ]
Sat Dec 08 21:20:40 2007 Data Channel MTU parms [ L:1444 D:1444 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Sat Dec 08 21:20:40 2007 Local Options hash (VER=V4): '7dfc3732'
Sat Dec 08 21:20:40 2007 Expected Remote Options hash (VER=V4): '347277f0'
Sat Dec 08 21:20:40 2007 Attempting to establish TCP connection with 196.207.198.157:1194
Sat Dec 08 21:21:01 2007 TCP: connect to 196.207.198.157:1194 failed, will try again in 5 seconds
Sat Dec 08 21:21:27 2007 TCP: connect to 196.207.198.157:1194 failed, will try again in 5 seconds
Sat Dec 08 21:21:53 2007 TCP: connect to 196.207.198.157:1194 failed, will try again in 5 seconds

Quel peut être l'origine de ce problème?
Y-a-t-il une route à ajouter quelque part?
Le protocole, doit il être TCP ou UDP?

Merci d'avance.[/b]

par **DWAM2** » 09 Déc 2007 01:14

Salut

soit tu passes ton modem en bridge derrière IPCop
soit tu rediriges le port 1194 de ton modem vers IPCop

En effet, selon ton schéma, à ton avis, qui est mondomaine.dyndns.org ?

Problème récurrent... Explication déjà donnée...

Guillaume

par **mgadio** » 09 Déc 2007 23:51

Salut!
mondomaine.dyndns.org pointe sur l'IP publique du modem routeur.
Après avoir ouvert le port 1194 du modem sur le IPCOP, j'obtiens le message d'erreur suivant:

Sun Dec 09 21:38:50 2007 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Sun Dec 09 21:38:50 2007 LZO compression initialized
Sun Dec 09 21:38:50 2007 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1400)
Sun Dec 09 21:38:50 2007 Control Channel MTU parms [ L:1444 D:140 EF:40 EB:0 ET:0 EL:0 ]
Sun Dec 09 21:38:50 2007 Data Channel MTU parms [ L:1444 D:1444 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Dec 09 21:38:50 2007 Local Options hash (VER=V4): '7dfc3732'
Sun Dec 09 21:38:50 2007 Expected Remote Options hash (VER=V4): '347277f0'
Sun Dec 09 21:38:50 2007 Attempting to establish TCP connection with 196.207.198.125:1194
Sun Dec 09 21:38:50 2007 TCP connection established with 196.207.198.125:1194
Sun Dec 09 21:38:50 2007 TCPv4_CLIENT link local: [undef]
Sun Dec 09 21:38:50 2007 TCPv4_CLIENT link remote: 196.207.198.125:1194
Sun Dec 09 21:39:50 2007 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Dec 09 21:39:50 2007 TLS Error: TLS handshake failed
Sun Dec 09 21:39:50 2007 Fatal TLS error (check_tls_errors_co), restarting
Sun Dec 09 21:39:50 2007 TCP/UDP: Closing socket
Sun Dec 09 21:39:50 2007 SIGUSR1[soft,tls-error] received, process restarting
Sun Dec 09 21:39:50 2007 Restart pause, 5 second(s)

Voici mon fichier de configuration sur le Openvpn-GUI
#OpenVPN Server conf
tls-client
client
dev tun
proto tcp
tun-mtu 1400
remote mondomaine.dyndns.org 1194
pkcs12 DigiVPN.p12
cipher BF-CBC
comp-lzo
verb 3
ns-cert-type server

J'avoue que je ne comprends pas du tout les lignes suivantes:
Sun Dec 09 21:39:50 2007 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Dec 09 21:39:50 2007 TLS Error: TLS handshake failed
Sun Dec 09 21:39:50 2007 Fatal TLS error (check_tls_errors_co), restarting

Merci d'avance.

par **DWAM2** » 10 Déc 2007 00:16

Après avoir ouvert le port 1194 du modem sur le IPCOP

Attention à ce que tu écris !
Il s'agit de "transférer le port", pas juste de l'ouvrir... VERS IPCop, pas SUR IPCop...

Quant au port 1194, comme il est écrit partout, c'est l'UDP qu'il faut privilégier avec OpenVPN...

Refais tes fichiers .opvn après avoir corrigé ton transfert de port et le choix du protocole.

par **mgadio** » 10 Déc 2007 01:30

Quand je dis "Ouvrir le port...." cela veut dire que j'ai fait ceci:

- Sur le modem routeur, j'ai redirigé tous les paquets entrant par le port 1194 du modem vers le port 1194 du IPCOP
- Sur le IPCOP, dans ACCES EXTERNES, j'ai accepté les paquets entrants par le port 1194
- Sur IPCOP encore, dans le httpd.conf, j'ai ajouté l'option Listen 1194

Est ce correct?

Demain je vais vérifier le protocole et regénérer le fichier .ovpn.

Merci et @ bientôt.

par **jdh** » 10 Déc 2007 02:07

3 erreurs !

* "rediriger le port 1194" ... cela n'a pas de sens : il faut rediriger le trafic tcp/1194 (NB: OpenVPN recommande udp/1194).

* "Acces externes" : Le service OpenVPN n'a pas besoin d'accès externes. Cela n'est pas destiné au services présents sur IPCOP.

* httpd.conf est le fichier de conf d'Apache. Il ne doit pas écouter le port tcp/1194 puisque OpenVPN le fait.

par **mgadio** » 12 Déc 2007 13:42

- "rediriger le port 1194" ... cela n'a pas de sens : il faut rediriger le trafic tcp/1194 (NB: OpenVPN recommande udp/1194).

- "Acces externes" : Le service OpenVPN n'a pas besoin d'accès externes. Cela n'est pas destiné au services présents sur IPCOP.

- httpd.conf est le fichier de conf d'Apache. Il ne doit pas écouter le port tcp/1194 puisque OpenVPN le fait.

Merci beaucoup AMIRAL. J'ai pris en compte vos remarques et tout a bien marché. Je me connecte à mon réseau distant avec mon mot de passe (clé partagé).

Cependant j'ai un autre souci.
Comment faire pour que chaque utilisateur se connecte avec son propre mot de passe? Doit-on crééer autant de certificats clients que d'utilisateurs autorisés à se connecter? Si c'est ce la, comment est ce que le client peut modifier son mot de passe avec son openvpn-gui?

par **jdh** » 12 Déc 2007 14:31

(Et pourtant je n'ai essayé qu'une fois IPCOP !)

Les certificats sont faits pour être "personnel".

Le certificat peut avoir un mot de passe, qui ne peut pas changer. (Attention à openvpngui qui nécessite d'être administrateur pour utiliser le certificat avec mot de passe ... comme tous les clients vpn).

Le certificat a une durée de validité et peut être révoqué.

(Enfin, les spécialistes me corrigeront ..)

par **Pit_Bull** » 12 Déc 2007 17:05

Salut,

Le mot de passe est définissable à la création bien sûr et peut être modifié à partir du client :
Clic-droit sur l'icone d'OpenVPN GUI / Change Password

++

par **mgadio** » 12 Déc 2007 19:54

ok, je vais essayer d'en créer pour mes utilisateurs et je vous tiens informé.

J'ai posé la question car javais vu qu'avec 2003 ser
ver, au moment de la configuration du VPN, on spécifiait les utilisateurs autorisés à se connecter...

merci beaucoup.

par **shwing** » 12 Déc 2007 20:04

Salut,

jdh a écrit:NB: OpenVPN recommande udp/1194

Le fait de mettre en UPD, cela augmenterai la rapidité ? (chose qui serai pas mal : )

Merci.

par **jdh** » 12 Déc 2007 21:57

J'ai appris quelque chose : le mot de passe peut être changer ! Néanmoins, j'attire l'attention sur la notion d'utilisateur "administrateur local" qui a un impact sur l'activation de l'interface réseau TUN/TAP.

Il est clair que les paquets udp sont plus faciles à "manipuler" par une stack ip. (Ils sont plus petits parce qu'il n'y a pas les n° de séquences et autres possibilités des paquets tcp). Sur le site on invoque même un meilleur passage dans les firewalls. Je suis très circonspect.

par **mgadio** » 13 Déc 2007 10:55

Le compte utilisateur qu'on spécifie au moment de créer le certificat client doit -il forcément figurer parmi les utilisateurs système?

par **razel 92** » 19 Déc 2007 10:58

Bonjour
J'ai exactement le meme problème que toi mgadio, cad que quand je tante de me connecter a partir de OpenVPN gui, ces lignes la apparait et l'etat de la connexion rest en jaune :
TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
TLS Error: TLS handshake failed
Fatal TLS error (check_tls_errors_co), restarting
TCP/UDP: Closing socket
SIGUSR1[soft,tls-error] received, process restarting
Restart pause, 5 second(s)
J'ai suivi plusieurs tuto dispo sur se site mais je n'arrive pas à m'y retrouve

j'ai tenter par l'interface web ipcop d'accepter les connexions entrantes par le port 1194 mais je ne suis pas sûre d'avoir fait la bonne manipulation.
Ensuite j'ai un routeur derrière mon modem, la il faut également que j'intervienne pour le port 1194 vers mon ipcop, c'est bien cela?!

Merci d'avance

Echec de connexion OpenVPN

Echec de connexion OpenVPN

Qui est en ligne ?