La Fibre

Télécom => Réseau => reseau VPN => Discussion démarrée par: Mr.Nobody le 18 novembre 2017 à 20:56:09

Titre: Installation OpenVPN sur VPS Debian 9
Posté par: Mr.Nobody le 18 novembre 2017 à 20:56:09
Bonjour à tous,

J'ai récemment souscris à une offre VPS chez firstheberg, afin de créer un serveur VPN pour ensuite utiliser le client VPN de mon DDWRT (Netgear R7000 branché derrière une Freebox en bridge).

J'ai suivi plusieurs tutos et regarder le "HowTo" officiel mais malheureusement quelque chose coince quelque part...
Déjà je voudrais m'assurer, à l'aide de vos conseils avisés, si mon serveur est bien opérationnel.

J'ai suivi notamment ce tuto https://www.tutos-informatique.com/openvpn-creer-son-vpn/ (https://www.tutos-informatique.com/openvpn-creer-son-vpn/) ainsi que celui-ci https://www.fontenay-ronan.fr/openvpn-server-on-debian/ et celui ci http://debian-facile.org/doc:reseau:vpn:openvpn (http://debian-facile.org/doc:reseau:vpn:openvpn).

Tout se passe logiquement bien; j'arrive à générer les clefs (en laissant par défaut les infos du fichier VARS)  et je les place à la racine:

• CA.crt
• dh2048.pem
• server.crt
• server.key

Ensuite j'édite le fichier server.conf de la sorte :

# Serveur TCP/4443
mode server
proto tcp
port 4443
dev tun
# Cles et certificats
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
tls-auth ta.key 1
key-direction 0
cipher AES-256-CBC
# Reseau
server 10.8.0.0 255.255.255.0
#la route doit être l'ip externe du serveur (si on veut utiliser la connexion de ce serveur)
 push " route [b]mon-ip-serveur[/b] 255.255.255.0"
 #De même, force le client a rediriger son trafic vers le vpn (il faudra aussi faire un nat du range vpn (10.8.) vers internet (178.33.250.38)
 push "redirect-gateway def1 bypass-dhcp"
 push "dhcp-option DNS 10.8.0.1"
 push "dhcp-option DNS 8.8.4.4"
 keepalive 10 120
 # Securite
 user nobody
 group nogroup
 chroot /etc/openvpn/jail
 persist-key
 persist-tun
 comp-lzo
 # Log
 verb 3
 mute 20
 status openvpn-status.log
 ; log-append /var/log/openvpn.log


Je lance ensuite le service via la commande service open vpn start. ( à partir de ce moment j'ai un doute car la console me met juste un : OK en vert et rien de plus).

Mais je continue et j'applique les règles de routage comme ceci :

h -c 'echo 1 > /proc/sys/net/ipv4/ip_forward'

iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.8.0.2/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source [b]mon-ip-serveur[/b]


Ensuite, coté client, afin de m'assurer que le serveur fonctionne je voulais établir une connexion via windows avant d'essayer sur mon DD_WRT.

Je poursuis donc avec la créations des clefs client (que je laisse également valeur par défaut en VARS) et jes les colle dans le dossier config d'openVPN avec le fichier client suivant :

# Client
 client
 dev tun
 proto tcp-client
 remote [b]mon-ip-serveur[/b] 4443
 resolv-retry infinite
 cipher AES-256-CBC
 push "redirect-gateway def1"
 ; client-config-dir ccd
 # Cles
 ca ca.crt
 cert user1.crt
 key user1.key
 tls-auth ta.key 1
 key-direction 1
 # Securite
 nobind
 persist-key
 persist-tun
 comp-lzo
 verb 3



J'essaye la connexion et j'ai malheureusement les messages suivant :

Citer
Sat Nov 18 20:45:52 2017 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sat Nov 18 20:45:52 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]XX.XX.XX.XX:4443
Sat Nov 18 20:45:52 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Sat Nov 18 20:45:52 2017 Attempting to establish TCP connection with [AF_INET]XX.XX.XXX.XX:4443 [nonblock]
Sat Nov 18 20:45:52 2017 MANAGEMENT: >STATE:1511034352,TCP_CONNECT,,,,,,
Sat Nov 18 20:47:52 2017 TCP: connect to [AF_INET]XX.XX.XX.XX.XX:4443 failed: Unknown error
Sat Nov 18 20:47:52 2017 SIGUSR1[connection failed(soft),init_instance] received, process restarting
Sat Nov 18 20:47:52 2017 MANAGEMENT: >STATE:1511034472,RECONNECTING,init_instance,,,,,
Sat Nov 18 20:47:52 2017 Restart pause, 5 second(s)
Sat Nov 18 20:47:57 2017 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sat Nov 18 20:47:57 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]XX.XX.XX.XX:4443
Sat Nov 18 20:47:57 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Sat Nov 18 20:47:57 2017 Attempting to establish TCP connection with [AF_INET]XX.XX.XX.XX:4443 [nonblock]
Sat Nov 18 20:47:57 2017 MANAGEMENT: >STATE:1511034477,TCP_CONNECT,,,,,,



J'ai essayé à la fois avec mon routeur  en connexion direct depuis ma freebox avec le port 4443 TCP ouvert sur mon ip local mais aussi avec mon routeur entre les 2 en bridge et malheureusement rien n'y fait.

Quelqu'un aurait-il une petite piste à me conseiller ?

D'avance merci :)
Titre: Installation OpenVPN sur VPS Debian 9
Posté par: JeannotPlanche le 18 novembre 2017 à 23:06:47
Je lance ensuite le service via la commande service open vpn start. ( à partir de ce moment j'ai un doute car la console me met juste un : OK en vert et rien de plus).

Pour voir ce qu'il se passe, le temps de la mise en place, il est plus pratique de faire :
openvpn --config fichier_de_conf.conf


Titre: Installation OpenVPN sur VPS Debian 9
Posté par: Mr.Nobody le 19 novembre 2017 à 04:09:14
Merci,

je viens d'essayer et j'obtiens ceci :

root@vps-29074:~# openvpn --config server.conf
Options error: In [CMD-LINE]:1: Error opening configuration file: server.conf
Use --help for more information.

bizarre non?
Titre: Installation OpenVPN sur VPS Debian 9
Posté par: zoc le 19 novembre 2017 à 08:29:26
Les règles iptables me semblent assez folkloriques en ce qui me concerne... Certaines ne vont jamais matcher étant donné qu'elle sont située après d'autres règles moins restrictives...
Titre: Installation OpenVPN sur VPS Debian 9
Posté par: zoc le 19 novembre 2017 à 08:31:02
Merci,

je viens d'essayer et j'obtiens ceci :

root@vps-29074:~# openvpn --config server.conf
Options error: In [CMD-LINE]:1: Error opening configuration file: server.conf
Use --help for more information.

bizarre non?
Tu es bien dans le dossier qui contient le fichier de conf ? essaye aussi "openvpn --config ./server.conf"
Titre: Installation OpenVPN sur VPS Debian 9
Posté par: Mr.Nobody le 19 novembre 2017 à 18:17:49
Merci pour ton aide,

Je viens d'essayer à nouveau :
root@vps-29074:/etc/openvpn# ls -l
total 48
-rwxr--r-- 1 root root 1818 Nov 18 19:10 ca.crt
drwxr-xr-x 2 root root 4096 Jul 18 20:15 client
drwxr-xr-x 3 root root 4096 Nov 18 19:17 clientconf
-rwxr--r-- 1 root root  424 Nov 18 19:12 dh2048.pem
drwxr-xr-x 3 root root 4096 Nov 18 19:07 easy-rsa
drwxr-xr-x 2 root root 4096 Nov 18 19:13 jail
drwxr-xr-x 2 root root 4096 Jul 18 20:15 server
-rwxr--r-- 1 root root  541 Nov 18 20:07 server.conf
-rwxr--r-- 1 root root 5728 Nov 18 19:10 server.crt
-rwx------ 1 root root 1704 Nov 18 19:10 server.key
-rwx------ 1 root root  636 Nov 18 19:10 ta.key
root@vps-29074:/etc/openvpn# openvpn --config ./server.conf
root@vps-29074:/etc/openvpn# openvpn --config ./server.conf
root@vps-29074:/etc/openvpn# service openvpn stop
root@vps-29074:/etc/openvpn# openvpn --config server.conf
root@vps-29074:/etc/openvpn# service openvpn start
root@vps-29074:/etc/openvpn#

Bizarre je n'ai aucune réponse de la console...

Je vais reset le VPS et essayer une nouvelle configuration propre.
As-tu un tutoriel particulier à me conseiller ?

Le but étant pour le moment d’effectuer une simple connexion avec un client windows, puis si cela fonctionne avec mon DD WRT.

Merci :)
Titre: Installation OpenVPN sur VPS Debian 9
Posté par: Mr.Nobody le 19 novembre 2017 à 19:27:37
J'ai finalement réussi ! ( sans me prendre la tête).

Avec un script de Nyr :

wget https://git.io/vpn -O openvpn-install.sh && bash openvpn-install.sh
Avec seulement quelques informations à renseigner ( IP Serveur, Protocole, port, DNS et nom du certif ).

ça fonctionne du tonnerre !
Maintenant je vais essayé de lancer le client depuis mon DDWRT, mais il y a vraiment beaucoup de paramètres à renseigner et j'essaye de désactiver l'encryption pour gagner en bande passante et simplifier le paramétrage client.