Auteur Sujet: [RESOLU avec Wireguard] OpenVPN via UDPv6 sur réseaux 4G Orange non fonctionnel  (Lu 902 fois)

0 Membres et 1 Invité sur ce sujet

alsoares2

  • Client Bbox fibre
  • *
  • Messages: 588
  • Roubaix (59) Bbox 6 1G/600 Paris RED 1G/60
Bonjour,

Novice en réseaux (du moins je n'en suis qu'à mes débuts), je n'arrive pas à comprendre pourquoi mon VPN ne fonctionne pas.

J'arrive bien à me connecter mais je n'ai pas de connexion internet (je n'arrive même pas à acceder à l'IP locale de mon interface web PiHole). J'utilise l'app OpenVPN sur iOS.
Avant chez Orange, ça ne fonctionnait pas non plus, mais j'avais contourner le problème en ne faisant passer que les requêtes DNS (je ne sais plus comment), et PiHole fonctionnait donc sur mon portable à distance.
J'étais d'ailleurs connecté avec le protocole UDPv4 chez Orange, maintenant c'est en UDPv6 (je n'ai pas d'IPV6 chez Bouygues actuellement), pourtant je suis bien connecté.
J'utilise PiHole comme resolveur DNS

Je vous poste des captures de ma configuration:
etc/openvpn/server.conf:
dev tun
proto udp
port 1194
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/raspberrypi_be109df0-00a8-4c89-b75c-d8f776fa73d8.crt
key /etc/openvpn/easy-rsa/pki/private/raspberrypi_be109df0-00a8-4c89-b75c-d8f776fa73d8.key
dh none
ecdh-curve prime256v1
topology subnet
server 10.8.0.0 255.255.255.0
# Set your primary domain name server address for clients
push "dhcp-option DNS 10.8.0.1"
push "block-outside-dns"
# Override the Client default gateway by using 0.0.0.0/1 and
# 128.0.0.0/1 rather than 0.0.0.0/0. This has the benefit of
# overriding but not wiping out the original default gateway.
push "redirect-gateway def1"
client-to-client
client-config-dir /etc/openvpn/ccd
keepalive 15 120
remote-cert-tls client
tls-version-min 1.2
tls-crypt /etc/openvpn/easy-rsa/pki/ta.key
cipher AES-256-CBC
auth SHA256
user openvpn
group openvpn
persist-key
persist-tun
crl-verify /etc/openvpn/crl.pem
status /var/log/openvpn-status.log 20
status-version 3
syslog
verb 3
#DuplicateCNs allow access control on a less-granular, per user basis.
#Remove # if you will manage access by user instead of device.
#duplicate-cn
# Generated for use by PiVPN.io

etc/iptables
# Generated by xtables-save v1.8.2 on Thu Jun 18 16:59:18 2020
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Thu Jun 18 16:59:18 2020
# Generated by xtables-save v1.8.2 on Thu Jun 18 16:59:18 2020
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -m comment --comment openvpn-nat-rule -j MASQUERADE
COMMIT
# Completed on Thu Jun 18 16:59:18 2020

etc/pivpn/openvpn/setupvars
PLAT=Raspbian
OSCN=buster
USING_UFW=0
IPv4dev=eth0
dhcpReserv=1
IPv4addr=192.168.1.54/24
IPv4gw=192.168.1.254
install_user=pi
install_home=/home/pi
VPN=openvpn
pivpnPROTO=udp
pivpnPORT=1194
pivpnDNS1=10.8.0.1
pivpnDNS2=
pivpnSEARCHDOMAIN=
pivpnHOST=[b]Mon ip publique[/b]
TWO_POINT_FOUR=1
pivpnENCRYPT=256
USE_PREDEFINED_DH_PARAM=0
INPUT_CHAIN_EDITED=0
FORWARD_CHAIN_EDITED=0
pivpnDEV=tun0
pivpnNET=10.8.0.0
subnetClass=24
UNATTUPG=1
INSTALLED_PACKAGES=(openvpn grepcidr expect unattended-upgrades)
HELP_SHOWN=1

fichier profil openvpn
client
dev tun
proto udp
remote [b]Mon IP publique[/b] 1194
resolv-retry infinite
nobind
remote-cert-tls server
tls-version-min 1.2
verify-x509-name raspberrypi_be109df0-00a8-4c89-b75c-d8f776fa73d8 name
cipher AES-256-CBC
auth SHA256
auth-nocache
verb 3
<ca>
-----BEGIN CERTIFICATE-----
XXXXXXX...
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
XXXXXXX...
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN ENCRYPTED PRIVATE KEY-----
XXXXXXX...

-----END ENCRYPTED PRIVATE KEY-----
</key>
<tls-crypt>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
XXXXXXX...
-----END OpenVPN Static key V1-----
</tls-crypt>

Je ne sais pas s'il est nécessaire de poster d'autres fichiers pour que quelqu'un puisse m'aider..
Merci d'avance!
« Modifié: 13 juillet 2020 à 19:18:42 par alsoares2 »

alsoares2

  • Client Bbox fibre
  • *
  • Messages: 588
  • Roubaix (59) Bbox 6 1G/600 Paris RED 1G/60
OpenVPN Raspberry - Connecté mais pas d'internet
« Réponse #1 le: 19 juin 2020 à 22:29:55 »
En continuant mes investigations, je vois que mes requêtes DNS sont bien reçu par PiHole, mais la réponse n'est donc pas envoyée en retour sur mon portable..

2ème chose, PiHole ne fonctionne pas sur mes équipements même en local sur mon réseau WiFi... bien qu'il semble bien configuré. Il ne reçoit pas les requêtes de mon PC (bien qu'il soit écrit 12 requêtes reçues, aucune ne s'affiche).
J'ai cru voir que la Bbox 6 n'a pas de loopback, est-ce du à ça ? J'arrive pourtant bien à accèder à l'interface de gestion web, alors pourquoi pas aux DNS ? (oui j'ai bien mis l'IP du RP en statique et j'ai mis les DNS du RP sur Windows)

Mazout

  • Client K-Net
  • *
  • Messages: 19
  • POMMEUSE 77
Bonjour,

Je suis pas super calé mis j'ai aussi openvpn sur raspberry ( PIVPN ) avec pihole...
Chez moi tout marche nickel...
Vous n'auriez pas un problème entre iIP V4 et IP v6, je vois sur votre fenetre de connexion client openvpn que vous etes connecté en IPv6....
Dans /ect/iptables/ j'ai deux fichiers, un pour v4 et un autre pour v6...
Personnellement, j'ai complétement désactivé l'ip v6 coté raspberry et je ne suis pas sûr d'avoir une ip public v6 ( je suis chez l’opérateur KNet..)
C'est peut-être une piste à creuser...

Mazout

  • Client K-Net
  • *
  • Messages: 19
  • POMMEUSE 77
Pour le deuxième souci avec pihole, je sèche...
Chez moi, je laisse ma box gerer le DHCP, j'ai remplacer les DNS de mon FAI par celui de pihole ( donc l'adresse local de mon raspberry ).
Le serveur DHCP de pihole est désactivé puisque c'est ma box qui le fait..
Tout marche nickel que se soit en filaire ou en Wifi ( d’ailleurs pihole me sert également au contrôle parental : résultats de recherche et site bloqués )

alsoares2

  • Client Bbox fibre
  • *
  • Messages: 588
  • Roubaix (59) Bbox 6 1G/600 Paris RED 1G/60
Salut !
Merci pour tes réponses j’arrive un peu en retard.
Je ne sais pas si j’aurais le temps de tester ce we mais effectivement désactiver l’IPV6 peut être une solution.
J’avais essayer de forcer UDPv4 sur la ligne protocole du server.conf mais ça n’avait pas fonctionné
Peut être qu’en refaisant tout depuis 0 et en forçant Pi Hole a ne pas avoir d’IPV6 ca fonctionnera.
Surtout qu’étant chez Bouygues je n’ai pas d’IPv6.

PiHole re fonctionne en local d’ailleurs, je ne sais pas ce qu’il l’en empêchait.

alsoares2

  • Client Bbox fibre
  • *
  • Messages: 588
  • Roubaix (59) Bbox 6 1G/600 Paris RED 1G/60
Bon, je perds espoir.

J'ai refait une configuration neuve du RBPi avec PiHole et PiVPN complétement à jour et ça ne fonctionne toujours pas... Je n'ai pas activé l'IPv6 sur PiHole.
Je n'arrive pas à forcer OpenVPN a être sur le protocole udpv4, j'ai beau mettre la ligne "proto udp4" sur le client et le server.conf rien n'y fait, c'est énervant.

Le comble, c'est que je pensais que le problème venait de la nouvelle Bbox 6 de Bouygues mais en faite non, c'est la même chose sur mon abonnement RED câble (sans IPv6).

Points que j'ai noté:
- PiHole -d ne montre aucun soucis (sauf IPv6 HS), pivpn -d pareil, tout est OK.
- Je test le VPN avec l'appli OpenVPN téléchargée depuis l'appstore en ayant importé le profil généré par pivpn.
- Je test en 4G avec un abonnement Sosh, et je suis en IPv6 sur mobile.
- Avant chez Orange en fixe, ça fonctionnai très bien, malgré mon tel en IPv6, le protocole utilisé par OpenVPN était udpv4.
- PiHole fonctionne en local.
- En étant connecté au VPN en 4G, j'arrive à accèder UNIQUEMENT à l'interface Web de ma box RED sur l'IP 192.168.0.1. Pas moyen d'accèder à l'interface PiHole 192.168.0.X par exemple...
-Sur l'interface Web PiHole, je vois mon client OpenVPN effectuer des requêtes DNS, cependant, les réponses ne semblent pas revenir vers le client puisque je n'ai pas internet..
-Le port 1194 est ouvert et redirige vers mon Raspberry Pi

Je reposte ma config:

server.conf
dev tun
proto udp4
port 1194
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/raspberrypi_aXXXXXXcrt
key /etc/openvpn/easy-rsa/pki/private/raspberryXXXXXXXae.key
dh none
ecdh-curve prime256v1
topology subnet
server 10.8.0.0 255.255.255.0
# Set your primary domain name server address for clients
push "dhcp-option DNS 10.8.0.1"
push "block-outside-dns"
# Override the Client default gateway by using 0.0.0.0/1 and
# 128.0.0.0/1 rather than 0.0.0.0/0. This has the benefit of
# overriding but not wiping out the original default gateway.
push "redirect-gateway def1"
client-to-client
client-config-dir /etc/openvpn/ccd
keepalive 15 120
remote-cert-tls client
tls-version-min 1.2
tls-crypt /etc/openvpn/easy-rsa/pki/ta.key
cipher AES-256-CBC
auth SHA256
user openvpn
group openvpn
persist-key
persist-tun
crl-verify /etc/openvpn/crl.pem
status /var/log/openvpn-status.log 20
status-version 3
syslog
verb 3
#DuplicateCNs allow access control on a less-granular, per user basis.
#Remove # if you will manage access by user instead of device.
#duplicate-cn
# Generated for use by PiVPN.io

fichier .ovpn pour le client (mon portable)
client
dev tun
proto udp4
remote MON IP PUBLIQUE 1194
resolv-retry infinite
nobind
remote-cert-tls server
tls-version-min 1.2
verify-x509-name raspberrypi_a5f74XXXXXXae name
cipher AES-256-CBC
auth SHA256
auth-nocache
verb 3
<ca>
-----BEGIN CERTIFICATE-----
XXXXXX
I+J7K3D/vkmoI4U=
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
XXXXX
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN ENCRYPTED PRIVATE KEY-----
XXXXXXX
-----END ENCRYPTED PRIVATE KEY-----
</key>
<tls-crypt>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
XXXXXXX
-----END OpenVPN Static key V1-----
</tls-crypt>

rules4:
# Generated by xtables-save v1.8.2 on Mon Jul  6 19:59:28 2020
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Mon Jul  6 19:59:28 2020
# Generated by xtables-save v1.8.2 on Mon Jul  6 19:59:28 2020
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/24 -o eth0 -m comment --comment openvpn-nat-rule -j MASQUERADE
COMMIT
# Completed on Mon Jul  6 19:59:28 2020

dnsmasq.d/01-pihole:
# Pi-hole: A black hole for Internet advertisements
# (c) 2017 Pi-hole, LLC (https://pi-hole.net)
# Network-wide ad blocking via your own hardware.
#
# Dnsmasq config for Pi-hole's FTLDNS
#
# This file is copyright under the latest version of the EUPL.
# Please see LICENSE file for your rights under this license.

###############################################################################
#      FILE AUTOMATICALLY POPULATED BY PI-HOLE INSTALL/UPDATE PROCEDURE.      #
# ANY CHANGES MADE TO THIS FILE AFTER INSTALL WILL BE LOST ON THE NEXT UPDATE #
#                                                                             #
#        IF YOU WISH TO CHANGE THE UPSTREAM SERVERS, CHANGE THEM IN:          #
#                      /etc/pihole/setupVars.conf                             #
#                                                                             #
#        ANY OTHER CHANGES SHOULD BE MADE IN A SEPARATE CONFIG FILE           #
#                    WITHIN /etc/dnsmasq.d/yourname.conf                      #
###############################################################################

addn-hosts=/etc/pihole/local.list
addn-hosts=/etc/pihole/custom.list


localise-queries


no-resolv



cache-size=10000

log-queries
log-facility=/var/log/pihole.log

local-ttl=2

log-async
server=1.1.1.1
server=1.0.0.1
domain-needed
bogus-priv
except-interface=nonexisting
server=/use-application-dns.net/


dnsmasq.d/02-pivpn:
addn-hosts=/etc/pivpn/hosts.openvpn
interface=tun0

proc/sys/net/ip_forward à 1.

MERCI POUR TOUTE AIDE.

alsoares2

  • Client Bbox fibre
  • *
  • Messages: 588
  • Roubaix (59) Bbox 6 1G/600 Paris RED 1G/60
OpenVPN Raspberry - Connecté mais pas d'internet
« Réponse #6 le: 07 juillet 2020 à 21:14:20 »
J'ai remarqué que je parviens à me connecter via udp4 en étant connecté sur un mon réseau local en IPv4 only (RED), et que là ça fonctionne parfaitement.

Sur Orange en 4G IPv6+IPv4, c'est du udp6 only sur le client OpenVPN.. et le serveur ne semble donc pas réussir à me répondre. Je ne sais pas s'il me voit sur une IPv6 ou une IPv4.

Pas de fallback sur Orange 4G.

Il y a 2 mois ça fonctionnai pourtant très bien avec la même configuration mais en étant chez Orange fixe qui a la seul différence de Bouygues et RED offre une IPv6 (malgré le fait qu'OpenVPN était bien connecté en udp4).
« Modifié: 07 juillet 2020 à 21:52:39 par alsoares2 »

alsoares2

  • Client Bbox fibre
  • *
  • Messages: 588
  • Roubaix (59) Bbox 6 1G/600 Paris RED 1G/60
OpenVPN via UDPv6 sur réseaux 4G Orange non fonctionnel
« Réponse #7 le: 13 juillet 2020 à 19:15:47 »
Problème résolu en utilisant Wireguard qui est a des années lumières d'OpenVPN niveau simplicité d'utilisation et de configuration.
Installé en 20min avec plusieurs config (route DNS only / full VPN).

Fonctionne sur mon tel en réseau IPv6 4G Orange sans problème.
Sur PC, le VPN fonctionne mais pas en mode DNS only, je n'ai pas encore trouvé pourquoi.