Openvpn

Support Debian
#1

Bonjour a tous, voilà je bloque sur la configurationde openvpn sur debian.
j’ai un debian connecté sur ma box en eth0 et eth1 sur mon lan le reseau fonctionne correctement avec dhcp et forwarding.

mon souci et que les client qui se connectent au serveur vpn arrivent bien a se connecter mais n’arrivent pas a se joindre, ni meme le serveur narrive pas a pinguer les client meme la connexion vpn établi. Mon attente a ce serveur , et quil accepte plusieurs connexion de clients vpn et quils puissent “communiquer” entre eux.
Voici le server.conf

serveur

tcp 443
mode server
proto tcp
port 443
dev tun
ca ca.crt
cert nomduserveur.crt
key nomduserveur.key
dh dh1024.pem
tls-auth ta.key 0
cipher AES-256-CBC
server 10.8.0.0 255.255.0.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 192.168.1.20"
push "dhcp-option DNS 10.8.0.1"
push "route 192.168.0.0 255.255.255.0"
push "route 10.8.0.0 255.255.0.0"
push "route 192.168.1.0 255.255.255.0"
client-to-client
keepalive 10 120
user nobody
group nogroup
chroot /etc/openvpn/jail
persist-key
persist-tun
comp-lzo
verb 3
mute 20
status openvpn-status.log

voici mes routes
Destination Passerelle Genmask Indic Metric Ref Use Iface
10.8.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
10.8.0.0 10.8.0.2 255.255.0.0 UG 0 0 0 tun0
0.0.0.0 192.168.1.11 0.0.0.0 UG 0 0 0 eth0

Merci d’avance pour vos éclaircissement.

#2

Il y a du filtrage sur le serveur ou les clients ?

#3

Salut,

Personnellement j’ai suivi et adapté ce tuto :

Mis à part le PB de route sur les postes clients que je n’ai pas encore résolu. Les tests de connectivité via PING fonctionne.

http://www.nemako.net/dc2/?post/openvpn

#4

Bonjour, non pas de filtrage j’ai installé debian et de suite installer openvpn

*filter
:INPUT ACCEPT [225:17808]
:FORWARD ACCEPT [75:54098]
:OUTPUT ACCEPT [163:16396]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A fail2ban-ssh -j RETURN
COMMIT

Completed on Wed Apr 4 22:24:39 2012

Generated by iptables-save v1.4.8 on Wed Apr 4 22:24:39 2012

*nat
:stuck_out_tongue:REROUTING ACCEPT [6:616]
:stuck_out_tongue:OSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT

Completed on Wed Apr 4 22:24:39 2012

#5

Utilise la commande “tcpdump” sur ton serveur pour voir si les ping des clients lui arrivent. Si ce n’est pas le cas, regarde plutôt du coté client :

  • les routes via la commande “route print” sous MS-DOS (Windows)
  • le pare-feu
#6

bon je viens de tester le pin passe dans le sens client vers serveur, mais l’autre coté non, je vais voir coté client je vous tiens au courant.

Merci pour l’astuce tcpdump

#7

Si ton PING client - serveur fonctionne et que ton architecture ressemble à ça :

client 1 -> Internet -> serveur VPN -> Internet -> client 2

1/ Effectue une écoute sur “serveur VPN” via “tcpdump” exemple “tcpdump host x.x.x.x” en remplaçant “x.x.x.x” par l’adresse IP de client 2 afin de ne voir que les flux provenant pour partant de client 2

2/ Effectue une écoute sur “client 2” via “wireshark” sous Windows

3/ Effectue depuis ton “client 1” un “traceroute x.x.x.x” (sous MS-DOS en remplaçant “x.x.x.x” par l’adresse IP de client 2

Le traceroute te permettra de détecter le dernier équipement répondant correctement à “client1”.

Poste les résultats. J’ai deux hypothèses à confirmer :

1/ Sur “serveur VPN”, ne faut-il pas activer le routage ? -> "echo 1 > /proc/sys/net/ipv4/ip_forward"
2/ Sur “serveur VPN”, as-tu décommenter la ligne qui va bien permettant d’autoriser les clients à se voir :

... client-to-client ...

Si ce n’était pas le cas, redémarre ensuite le service OpenVPN :

#8

l’architecture est : client VPN > INTERNET <> eth0 serveur eth1 LAN
re, j’ai testé depuis un second pc, sur le serveur en ssh a distance tcpdump host 10.8.0.10 (client2) rien ne passe, j’ai fait les manip suivante depuis le client 2 :
ping 10.8.0.1 TUN0 pas de réponse
ping eth0 ou eth1 (les 2 carte lan du serveur) pas de réponse
ping 192.168.1.11 le ping passe (livebox)
ces test on était fait depuis un pc vista (parefeu et antivirus désactiver le temp des manip)
ip_forward est déjà sur 1 et l’option client-to-client est aussi inscrit dans le server.conf

#9

Bonjour,
voilà je viens poster les nouvelles,
client1 (à distance) est connecté sur le serveur vpn, le ping passe, il arrive a pinguer tous les périphériques sur le réseau et y accède bien.
Je me suis posté sur un pc sur le reseau lan du serveur, le serveur n’arrive pas a pinguer le client vpn a distance et réciproquement.
De plus j’ai testé tout le weekend à me connecté depuis plusieurs pc à différent endroits géographique,tous la connexion vpn se fait bien mais les ping ne passent pas et n’accede pas aux réseau, seul un client a réussi a se connecté et accède au reseau entier.

je remets le server.conf

serveur tcp 443

mode server
proto tcp
port 443
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
tls-auth ta.key 0
cipher AES-256-CBC
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1"
push "dhcp-option DNS 10.8.0.1"
push "route 192.168.0.0 255.255.255.0"
push "route 10.8.0.0 255.255.0.0"
push "route 192.168.1.0 255.255.255.0"
client-to-client
keepalive 10 120
user nobody
group nogroup
chroot /etc/openvpn/jail
persist-key
persist-tun
comp-lzo
verb 3
mute 20
status openvpn-status.log

VOICI IPTABLES

Generated by iptables-save v1.4.8 on Wed Apr 4 22:24:39 2012

*filter
:INPUT ACCEPT [225:17808]
:FORWARD ACCEPT [75:54098]
:OUTPUT ACCEPT [163:16396]
#iptables -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to-source 192.168.1.20
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A fail2ban-ssh -j RETURN
COMMIT

Completed on Wed Apr 4 22:24:39 2012

Generated by iptables-save v1.4.8 on Wed Apr 4 22:24:39 2012

*nat
:stuck_out_tongue:REROUTING ACCEPT [6:616]
:stuck_out_tongue:OSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT

Completed on Wed Apr 4 22:24:39 2012

VOICI /ETC/NETWORK/INTERFACE

The loopback network interface

auto lo
iface lo inet loopback

The primary network interface

auto eth0
iface eth0 inet static
address 192.168.1.20
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.11
pre-up iptables-restore < /etc/iptables/iptables-active
post-down iptables -t nat -F

auto eth1
iface eth1 inet static
address 192.168.0.5
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.1.11

merci d’avance

#10

Edit: post inutile à supprimer.

(je proposais la directive client-to-client mais c’est déjà dans ta conf)

#11

Voilà j’ai trouvé la solution,jai supprimer eth1 et réinstaller debian, puis openvpn tout est opérationnel ensuite jai remit eth1 pour mon lan en mettant simplement un dhcp dns, openvpn toujours ok, c’est dès lors où j’ai voulu entrer dans iptables pour le cofigurer que les client vp ont laché, mais débutant sur iptables je peine a comprendre dès que j’ai trouvé je vous informe, en tout cas merci pour votre assistance les gens :slightly_smiling:

#12

Cool. Bonne utilisation.

:slightly_smiling:

#13

Bonjour a tous, voilà mon serveur VPN sur le site A fonctionne correctement. Maintenant j’ai besoin de relier un autre site, le site B a ce reseau et je voudrais utiliser le VPN.

Sur le site B j’ai configurer le serveur debian en DHCP et partage de connexion internet qui fonctionne, maintenant je voudrais que le serveur du site B se connecte automatiquement sur le serveur du sita A afin que les poste du site A et Site B puissent communiquer entre eux.

Serveur site A eth0 192.168.1.20/24 gw 192.168.1.1
eth1 10.8.0.10/24 gw 192.168.1.20
tun0 10.8.0.1 255.255.255.240
Serveur site B eth0 192.168.1.30/24 gw 192.168.1.1
eth1 192.168.2.1/24 gw 192.168.1.30.

Merci d’avance de vos éclaircissement

Cdlt Raf