Bonjour à tous,

je souhaite crée un serveur VPN avec le dockstar de Seagate que l’on peut voir à cette adresse :

forum.hardware.fr/hfr/OSAlternat … 1314_1.htm.

Installé sous Debian squeeze grâce à ce Tuto : jeff.doozan.com/debian/

Pour l’installation du VPN j’ai suivi le tuto suivant :

coagul.org/spip.php?article422

Tout c’est bien passé, installation de openVPN openSSL création des clef serveur client du paramètre deffie Hellman.
le fichier de configuration du server est celui la :

[code];Port en écoute utilisé pour la connexion VPN
;port 1194

;Protocole utilisé (Le protocole udp est plus sécurisé que le tcp)
proto udp

;Type d’interface réseau virtuelle créée
dev tun

;Nom des fichiers servant à l’authentification des clients via OpenSSL
ca ca.crt
cert benoit_vpn_server.crt
key benoit_vpn_server.key
dh dh1024.pem

;Adresse du réseau virtuel (Le serveur aura l’adresse 10.8.0.1)
server 10.8.0.0 255.255.255.0

;Cette ligne ajoute sur le client la route du réseau du serveur
push “route 192.168.0.0 255.255.255.0”

;Ces lignes indiquent aux clients l’adresse des serveur DNS et WINS
push "dhcp-option DNS 192.168.0.2"
push "dhcp-option DOMAIN MonDomaine.com"
push “dhcp-option WINS 192.168.0.3”

Cette ligne permet aux clients de voire les autres clients

client-to-client

keepalive 10 120

;Cette ligne active la compression
comp-lzo

;Ces lignes indiquent un user et un group particulier pour le processus
user openvpn
group openvpn

;Ces lignes permettent de rendre persistante la connexion
persist-key
persist-tun

status openvpn-status.log

;Cette ligne permet d’indiquer le niveau de log souhaité (de 1 à 9)
verb 1
[/code]

je voie bien l’interface tun0 avec ifconfig.

root@dockstar:/etc# ifconfig tun0 tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

root@dockstar:/etc# netstat -r Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 10.8.0.2 * 255.255.255.255 UH 0 0 0 tun0 10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0 192.168.1.0 * 255.255.255.0 U 0 0 0 eth0 link-local * 255.255.0.0 U 0 0 0 eth0 default bbox 0.0.0.0 UG 0 0 0 eth0

Mais elle ne répond pas au ping. d’où peut venir cette erreur ?
J’aurais bien voulu voir mes log pour savoirs si le serveur démarre bien sans erreur, mais il faut croire que ces dernier on disparue il n’y a pas de syslog dans /var/log.

Merci pour votre aide.

Salut,

Il y a vraiment personne qui puisse me donner un petit coup de main.

Salut,
Pour information,

J’ai tenté une connections au serveur VPN via un poste sous Windows :

Fichier de Configuration :

client dev tun proto udp remote benoit-bb.ath.cx 1194 resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert laptopdell.crt key laptopdell.key comp-lzo verb 3

Bon il ne se connecte pas et dans les fichier de log j’obtien ce message :

Tue Aug 17 13:42:18 2010 OpenVPN 2.0.5 Win32-MinGW [SSL] [LZO] built on Nov 2 2005 Tue Aug 17 13:42:18 2010 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port. Tue Aug 17 13:42:18 2010 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. Tue Aug 17 13:42:18 2010 LZO compression initialized Tue Aug 17 13:42:18 2010 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ] Tue Aug 17 13:42:20 2010 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ] Tue Aug 17 13:42:20 2010 Local Options hash (VER=V4): '41690919' Tue Aug 17 13:42:20 2010 Expected Remote Options hash (VER=V4): '530fdded' Tue Aug 17 13:42:20 2010 UDPv4 link local: [undef] Tue Aug 17 13:42:20 2010 UDPv4 link remote: 89.89.17.157:1194 Tue Aug 17 13:43:21 2010 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Tue Aug 17 13:43:21 2010 TLS Error: TLS handshake failed Tue Aug 17 13:43:21 2010 TCP/UDP: Closing socket Tue Aug 17 13:43:21 2010 SIGUSR1[soft,tls-error] received, process restarting Tue Aug 17 13:43:21 2010 Restart pause, 2 second(s)

J’ai un doute sur la ligne Waring peut être mal configuré openvpn sur le client, il y a la ligne avec TLS Error il ce peux que mes certifia soie mauvais je ne comprend pas trop ou est mon erreur.

Bonjour,

Pour le Warning en ajoutant la ligne suivante dans le fichier de configuration coté client ce problème a disparue :

source : http://openvpn.net/archive/openvpn-users/2005-08/msg00190.html
cependant le problème avec le TLS subsiste encore, j’ai lu quelque par dans le web que cela proviendrais de :

-port non ouvert sur le routeur
-par feux coter client ou serveur pas ouvert

J’ai vérifié sur le web que le port utilisé était bien ouvert c’est le cas coter client Windows j’ai désactive le par-feux et enfin coter serveur je crois que mon port et ouvert j’ai utilisé les commandes suivante :

iptables -A INPUT -p UDP --dport 1194 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p UDP --dport 1194 -m state --state NEW -j ACCEPT

source : http://memoire-grise-liberee.fr.eu.org/IpTables/ports/

Mais cela n’a pas résolu mon problème peut être avez vous des idée ?

[quote=“beneos”]je voie bien l’interface tun0 avec ifconfig.
Mais elle ne répond pas au ping. d’où peut venir cette erreur ?[/quote]
Quel message d’erreur ? Ping depuis où ? Le serveur lui-même ? Une autre machine du même réseau local ? Une machine en dehors du réseau local ?

[quote=“beneos”]côté serveur je crois que mon port et ouvert j’ai utilisé les commandes suivantes :

iptables -A INPUT -p UDP --dport 1194 -m state --state NEW -j ACCEPT iptables -A OUTPUT -p UDP --dport 1194 -m state --state NEW -j ACCEPT [/quote]
Ces règles peuvent être insuffisantes selon le reste des règles déjà en place. Qu’affiche iptables-save ?

J’observe que l’adresse à laquelle est censé se connecter le client Windows appartient à un pool ADSL d’un certain FAI, et que la passerelle par défaut du serveur OpenVPN s’appelle “bbox”, ce qui évoque le nom de la box du même FAI. J’en déduis que le serveur est derrière ladite box et le client est à l’extérieur de l’autre côté. Par conséquent il faut configurer la box pour rediriger le port 1194 UDP vers l’adresse du serveur.

Bonjour à toi,

voila alors j’ai du nouveau :
sur le forum j’ai trouvé un poste de 2009 :
http://forum.debian-fr.org/viewtopic.php?f=3&t=23034&hilit=tuto+vpn
J’ai donc changé mon interface pour Tap dans les fichier de configuration client et serveur.
et la il ce connecte enfin.

Pour répondre à ta question oui je n’arrive pas à faire de ping (erreur pas vraiment 100% de perte des données envoyé) de la carte tap0 à partir du serveur.
et sur le client (Windows 7) je ne vois pas mon réseaux.

j’ai ajouté les route sur le PC client avec les commande :

et j’ai autorisé le serveur Linux à transmettre les paquets au reste du réseau avec la commande suivante :

aurais-je oublié de faire quelque chose ?
j’allais oublié :
iptables-save:

[code]root@debian:~# iptables-save

Generated by iptables-save v1.4.8 on Thu Aug 19 14:36:43 2010

*filter
:INPUT ACCEPT [2104:392314]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5160:624206]
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 1194 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1194 -m state --state NEW -j ACCEPT
-A OUTPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p udp -m udp --dport 1194 -m state --state NEW -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 1194 -m state --state NEW -j ACCEPT
COMMIT

Completed on Thu Aug 19 14:36:43 2010

[/code]

[quote=“beneos”]J’ai donc changé mon interface pour Tap dans les fichier de configuration client et serveur.
et la il ce connecte enfin.[/quote]
Effectivement il me semble avoir lu que le pilote tun/tap pour Windows ne supporte que le mode tap, ce qui est fort regrettable au demeurant.

Primo, on ne fait pas un ping d’une interface mais d’une adresse.
Secundo, les adresses configurées sur les interfaces de la machine sont routées par l’interface de loopback “lo” et non par l’interface en question. Logique : l’adresse 10.0.8.1 c’est le serveur, or à l’autre bout de tap0 il y a le client, pas le serveur. Pour causer avec le serveur depuis le serveur c’est-à-dire soi-même, il faut envoyer les paquets par l’interface derrière laquelle il y a soi-même. Cette interface, c’est lo. Par conséquent quand on s’envoie un ping à soi-même on ne teste que l’interface lo.

Il serait plus utile de faire un ping vers l’adresse de l’interface tap du serveur depuis le client et vice versa.

Qu’entends-tu par “voir ton réseau” ?

A quoi correspond 172.16.0.1 ?

Tes règles iptables ne servent à rien, elles sont toutes en ACCEPT alors que les politiques par défaut des chaînes sont déjà ACCEPT.

je me suis mal exprimé j’ai fait un ping de l’adresse de l’interface tap.

172.16.0.1 à remplacé 10.0.8.1 dessolé j’ai oublié de prévenir.

j’entends par mon réseau toute les ressource qui sont en local :
mon serveur samba le serveur minidnla mes imprimante (bien que peut utile à distance )…
le but étant quand même de pouvoir utilisé les ressources disponibles chez mois à distance.
hors je ne peux même pas faire un ping du serveur VPN quand je suis connecté.

Je ne sais pas pour les autres mais pour moi c’est pas clair tout ça.
On pourrait avoir, VPN établi :

• sortie d’ifconfig et route -n (ou de préférence ip addr et ip route) sur le serveur
• sortie d’ipconfig et route print sur le client Windows ?

Tu n’as répondu qu’à la moitié de ma question précédente ; qu’entends-tu par “voir ton réseau” ? A moins de parler des câbles, switches et routeurs, un réseau ça ne se “voit” pas.

j’entends encore une fois par voire mon réseau, voire( ou pouvoir dialoguer) l’ensemble de mes ressources local ( je compte pas voir mes câble ni mes switch à distance heu bien qu’il ce peut qu’une photo traine sur un de mes disques !!!) sur mon réseau or-mit les câble il y a des serveur du style contrôleur de domaine et de groupe de travail ex SAMBA qui partage aussi des fichiers document … mais il n’y pas que ça derrière mon routeur il y a aussi un serveur DNLA qui permet à ma TV ou autre de lire un contenue multimédia stocké sur un serveur (sous Linux j’utilise minidnla) et il y a aussi des impriment partagé par samba aussi des ordinateur sous Windows qui partage certain fichier … donc si je dit je souhaite voire toute les ressources de mon réseau lors de mes connections en VPN je cela veux pas je souhaite brancher un webcam sur mon serveur qui pointe sur mon routeur pour voire toute les belles led clignoté mais juste dialogué avec mes serveur (en général pour Windows ça ce matérialise concrètement par l’apparition de petit icon en forme de PC ou en forme d’imprimante dans les favori réseau et lorsque que l’on clique sur un de ces icon on vois d’autre dossier apparaitre et concrètement ces ceux que le serveur partage) je sais que l’on voie pas son réseau mais on dialogue avec mais là ces icon se voie.
les laptop qui me serve a me connecter a mon vpn son en dual boot Windows/linux mais pour l’instant je souhaite seulement configuré les client windows.
pour les autres question voila les réponse:
coter serveur :

root@debian:~# netstat -a
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 *:ssh                   *:*                     LISTEN
tcp        0      0 *:259                   *:*                     LISTEN
tcp        0      0 *:webmin                *:*                     LISTEN
tcp        0      0 192.168.1.4:ssh         175.158.169.29:28002    ESTABLISHED
tcp        0      0 192.168.1.4:ssh         89.89.17.157:64179      ESTABLISHED
tcp        0      0 192.168.1.4:259         175.158.169.29:27714    ESTABLISHED
tcp6       0      0 [::]:ssh                [::]:*                  LISTEN
tcp6       0      0 [::]:microsoft-ds       [::]:*                  LISTEN
tcp6       0      0 [::]:netbios-ssn        [::]:*                  LISTEN
udp        0      0 192.168.1.4:netbios-ns  *:*
udp        0      0 10.8.0.1:netbios-ns     *:*
udp        0      0 *:netbios-ns            *:*
udp        0      0 192.168.1.4:netbios-dgm *:*
udp        0      0 10.8.0.1:netbios-dgm    *:*
udp        0      0 *:netbios-dgm           *:*
udp        0      0 *:10000                 *:*
udp        0      0 localhost:60465         localhost:syslog        ESTABLISHED
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node   Path
unix  2      [ ]         DGRAM                    1339     @/org/kernel/udev/udevd
unix  3      [ ]         DGRAM                    1344
unix  3      [ ]         DGRAM                    1343

root@debian:~# ip addr 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000 link/ether 00:10:75:1a:bd:50 brd ff:ff:ff:ff:ff:ff inet 192.168.1.4/24 brd 192.168.1.255 scope global eth0 inet6 fe80::210:75ff:fe1a:bd50/64 scope link valid_lft forever preferred_lft forever 14: tap0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100 link/ether 06:b3:08:99:72:24 brd ff:ff:ff:ff:ff:ff inet 10.8.0.1/24 brd 10.8.0.255 scope global tap0 inet6 fe80::4b3:8ff:fe99:7224/64 scope link valid_lft forever preferred_lft forever

root@debian:~# ip route 10.8.0.0/24 dev tap0 proto kernel scope link src 10.8.0.1 192.168.1.0/24 via 10.8.0.1 dev tap0 scope link 192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.4 169.254.0.0/16 dev eth0 scope link default via 192.168.1.1 dev eth0

coté client :

[code]C:\Windows\system32>ipconfig

Configuration IP de Windows

Carte Ethernet Connexion au réseau local* 17 :

Statut du média. . . . . . . . . . . . : Média déconnecté
Suffixe DNS propre à la connexion. . . :

Carte réseau sans fil Connexion réseau sans fil :

Suffixe DNS propre à la connexion. . . :
Adresse IPv6 de liaison locale. . : fe80::bdf7:41d3:4bef:5ee3%11
Adresse IPv4. . . . . . . . . . . : 192.168.16.71
Masque de sous-réseau. . . . . . . . . : 255.255.255.0
Passerelle par défaut. . . . . . . . . : 192.168.16.1

Carte Ethernet Connexion au réseau local :

Statut du média. . . . . . . . . . . . : Média déconnecté
Suffixe DNS propre à la connexion. . . :

Carte Tunnel Connexion au réseau local* :

Statut du média. . . . . . . . . . . . : Média déconnecté
Suffixe DNS propre à la connexion. . . :

Carte Tunnel Connexion au réseau local* 2 :

Statut du média. . . . . . . . . . . . : Média déconnecté
Suffixe DNS propre à la connexion. . . :

Carte Tunnel Connexion au réseau local* 6 :

Statut du média. . . . . . . . . . . . : Média déconnecté
Suffixe DNS propre à la connexion. . . :
[/code]

[code]C:\Windows\system32>route print

Liste d’Interfaces
46 …54 a4 2c e2 ea 14 … Check Point Virtual Network Adapter For SecureCl
ient
11 …00 16 44 c4 db ce … Adaptateur rÚseau USB 2.0 54Mbps, 802.11b/g sans
fil Realtek RTL8187B
10 …00 1e 68 f1 3d 72 … Marvell Yukon 88E8040T PCI-E Fast Ethernet Contr
oller
1 … Software Loopback Interface 1
15 …00 00 00 00 00 00 00 e0 isatap.{A6B9F649-671E-463E-B3C0-A510AEB44008}
14 …00 00 00 00 00 00 00 e0 isatap.{525D28FA-CEA0-4265-B9B6-3FB37B8BB82C}
12 …02 00 54 55 4e 01 … Teredo Tunneling Pseudo-Interface

IPv4 Table de routage

Itinéraires actifs :
Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique
0.0.0.0 0.0.0.0 192.168.16.1 192.168.16.71 25
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.0.0 255.255.255.0 10.8.0.1 192.168.16.71 26
192.168.1.0 255.255.255.0 10.8.0.1 192.168.16.71 45
192.168.16.0 255.255.255.0 On-link 192.168.16.71 281
192.168.16.71 255.255.255.255 On-link 192.168.16.71 281
192.168.16.255 255.255.255.255 On-link 192.168.16.71 281
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.16.71 281
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.16.71 281

Itinéraires persistants :
Aucun

IPv6 Table de routage

Itinéraires actifs :
If Metric Network Destination Gateway
1 306 ::1/128 On-link
11 281 fe80::/64 On-link
11 281 fe80::bdf7:41d3:4bef:5ee3/128
On-link
1 306 ff00::/8 On-link
11 281 ff00::/8 On-link

Itinéraires persistants :
Aucun
[/code]

voila il y tout je pense