La Fibre
Télécom => Réseau => VPN => Discussion démarrée par: Mr.Nobody le 18 novembre 2017 à 20:56:09
-
Bonjour à tous,
J'ai récemment souscris à une offre VPS chez firstheberg, afin de créer un serveur VPN pour ensuite utiliser le client VPN de mon DDWRT (Netgear R7000 branché derrière une Freebox en bridge).
J'ai suivi plusieurs tutos et regarder le "HowTo" officiel mais malheureusement quelque chose coince quelque part...
Déjà je voudrais m'assurer, à l'aide de vos conseils avisés, si mon serveur est bien opérationnel.
J'ai suivi notamment ce tuto https://www.tutos-informatique.com/openvpn-creer-son-vpn/ (https://www.tutos-informatique.com/openvpn-creer-son-vpn/) ainsi que celui-ci https://www.fontenay-ronan.fr/openvpn-server-on-debian/ et celui ci http://debian-facile.org/doc:reseau:vpn:openvpn (http://debian-facile.org/doc:reseau:vpn:openvpn).
Tout se passe logiquement bien; j'arrive à générer les clefs (en laissant par défaut les infos du fichier VARS) et je les place à la racine:
• CA.crt
• dh2048.pem
• server.crt
• server.key
Ensuite j'édite le fichier server.conf de la sorte :
# Serveur TCP/4443
mode server
proto tcp
port 4443
dev tun
# Cles et certificats
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
tls-auth ta.key 1
key-direction 0
cipher AES-256-CBC
# Reseau
server 10.8.0.0 255.255.255.0
#la route doit être l'ip externe du serveur (si on veut utiliser la connexion de ce serveur)
push " route [b]mon-ip-serveur[/b] 255.255.255.0"
#De même, force le client a rediriger son trafic vers le vpn (il faudra aussi faire un nat du range vpn (10.8.) vers internet (178.33.250.38)
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 10.8.0.1"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
# Securite
user nobody
group nogroup
chroot /etc/openvpn/jail
persist-key
persist-tun
comp-lzo
# Log
verb 3
mute 20
status openvpn-status.log
; log-append /var/log/openvpn.log
Je lance ensuite le service via la commande service open vpn start. ( à partir de ce moment j'ai un doute car la console me met juste un : OK en vert et rien de plus).
Mais je continue et j'applique les règles de routage comme ceci :
h -c 'echo 1 > /proc/sys/net/ipv4/ip_forward'
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.8.0.2/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source [b]mon-ip-serveur[/b]
Ensuite, coté client, afin de m'assurer que le serveur fonctionne je voulais établir une connexion via windows avant d'essayer sur mon DD_WRT.
Je poursuis donc avec la créations des clefs client (que je laisse également valeur par défaut en VARS) et jes les colle dans le dossier config d'openVPN avec le fichier client suivant :
# Client
client
dev tun
proto tcp-client
remote [b]mon-ip-serveur[/b] 4443
resolv-retry infinite
cipher AES-256-CBC
push "redirect-gateway def1"
; client-config-dir ccd
# Cles
ca ca.crt
cert user1.crt
key user1.key
tls-auth ta.key 1
key-direction 1
# Securite
nobind
persist-key
persist-tun
comp-lzo
verb 3
J'essaye la connexion et j'ai malheureusement les messages suivant :
Sat Nov 18 20:45:52 2017 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sat Nov 18 20:45:52 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]XX.XX.XX.XX:4443
Sat Nov 18 20:45:52 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Sat Nov 18 20:45:52 2017 Attempting to establish TCP connection with [AF_INET]XX.XX.XXX.XX:4443 [nonblock]
Sat Nov 18 20:45:52 2017 MANAGEMENT: >STATE:1511034352,TCP_CONNECT,,,,,,
Sat Nov 18 20:47:52 2017 TCP: connect to [AF_INET]XX.XX.XX.XX.XX:4443 failed: Unknown error
Sat Nov 18 20:47:52 2017 SIGUSR1[connection failed(soft),init_instance] received, process restarting
Sat Nov 18 20:47:52 2017 MANAGEMENT: >STATE:1511034472,RECONNECTING,init_instance,,,,,
Sat Nov 18 20:47:52 2017 Restart pause, 5 second(s)
Sat Nov 18 20:47:57 2017 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sat Nov 18 20:47:57 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]XX.XX.XX.XX:4443
Sat Nov 18 20:47:57 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Sat Nov 18 20:47:57 2017 Attempting to establish TCP connection with [AF_INET]XX.XX.XX.XX:4443 [nonblock]
Sat Nov 18 20:47:57 2017 MANAGEMENT: >STATE:1511034477,TCP_CONNECT,,,,,,
J'ai essayé à la fois avec mon routeur en connexion direct depuis ma freebox avec le port 4443 TCP ouvert sur mon ip local mais aussi avec mon routeur entre les 2 en bridge et malheureusement rien n'y fait.
Quelqu'un aurait-il une petite piste à me conseiller ?
D'avance merci :)
-
Je lance ensuite le service via la commande service open vpn start. ( à partir de ce moment j'ai un doute car la console me met juste un : OK en vert et rien de plus).
Pour voir ce qu'il se passe, le temps de la mise en place, il est plus pratique de faire :
openvpn --config fichier_de_conf.conf
-
Merci,
je viens d'essayer et j'obtiens ceci :
root@vps-29074:~# openvpn --config server.conf
Options error: In [CMD-LINE]:1: Error opening configuration file: server.conf
Use --help for more information.
bizarre non?
-
Les règles iptables me semblent assez folkloriques en ce qui me concerne... Certaines ne vont jamais matcher étant donné qu'elle sont située après d'autres règles moins restrictives...
-
Merci,
je viens d'essayer et j'obtiens ceci :
root@vps-29074:~# openvpn --config server.conf
Options error: In [CMD-LINE]:1: Error opening configuration file: server.conf
Use --help for more information.
bizarre non?
Tu es bien dans le dossier qui contient le fichier de conf ? essaye aussi "openvpn --config ./server.conf"
-
Merci pour ton aide,
Je viens d'essayer à nouveau :
root@vps-29074:/etc/openvpn# ls -l
total 48
-rwxr--r-- 1 root root 1818 Nov 18 19:10 ca.crt
drwxr-xr-x 2 root root 4096 Jul 18 20:15 client
drwxr-xr-x 3 root root 4096 Nov 18 19:17 clientconf
-rwxr--r-- 1 root root 424 Nov 18 19:12 dh2048.pem
drwxr-xr-x 3 root root 4096 Nov 18 19:07 easy-rsa
drwxr-xr-x 2 root root 4096 Nov 18 19:13 jail
drwxr-xr-x 2 root root 4096 Jul 18 20:15 server
-rwxr--r-- 1 root root 541 Nov 18 20:07 server.conf
-rwxr--r-- 1 root root 5728 Nov 18 19:10 server.crt
-rwx------ 1 root root 1704 Nov 18 19:10 server.key
-rwx------ 1 root root 636 Nov 18 19:10 ta.key
root@vps-29074:/etc/openvpn# openvpn --config ./server.conf
root@vps-29074:/etc/openvpn# openvpn --config ./server.conf
root@vps-29074:/etc/openvpn# service openvpn stop
root@vps-29074:/etc/openvpn# openvpn --config server.conf
root@vps-29074:/etc/openvpn# service openvpn start
root@vps-29074:/etc/openvpn#
Bizarre je n'ai aucune réponse de la console...
Je vais reset le VPS et essayer une nouvelle configuration propre.
As-tu un tutoriel particulier à me conseiller ?
Le but étant pour le moment d’effectuer une simple connexion avec un client windows, puis si cela fonctionne avec mon DD WRT.
Merci :)
-
J'ai finalement réussi ! ( sans me prendre la tête).
Avec un script de Nyr :
wget https://git.io/vpn -O openvpn-install.sh && bash openvpn-install.sh
Avec seulement quelques informations à renseigner ( IP Serveur, Protocole, port, DNS et nom du certif ).
ça fonctionne du tonnerre !
Maintenant je vais essayé de lancer le client depuis mon DDWRT, mais il y a vraiment beaucoup de paramètres à renseigner et j'essaye de désactiver l'encryption pour gagner en bande passante et simplifier le paramétrage client.