Problème configuration OpenVPN

diim75 · Février 21, 2016, 8:17pm

Bonjour a tous,

J’essaie de configurer OpenVPN sur mon Raspberry Pi. Cependant, malgré plusieurs recherches, je suis bloqué.

En regardant dans les log, j’ai constaté qu’il y avait bien un probleme, mais mes compétences limitées ne me permettent pas de trouver l’origine de la panne. C’est pourquoi je m’adresse a vous en espérant que vous puissiez m’aider.

Voici mes log /var/log/openvpn.log

Sun May 4 12:01:40 2014 OpenVPN 2.3.0 armv6l-unknown-linux-gnueabi [SSL (OpenSSL)] [LZO] [EPOLL] [eurephia] [MH] [IPv6] built on May 3 2014
Sun May 4 12:01:40 2014 NOTE: OpenVPN 2.1 requires ‘–script-security 2’ or higher to call user-defined scripts or executables
Sun May 4 12:01:40 2014 Diffie-Hellman initialized with 1024 bit key
Sun May 4 12:01:40 2014 Control Channel Authentication: using ‘ta.key’ as a OpenVPN static key file
Sun May 4 12:01:40 2014 Outgoing Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
Sun May 4 12:01:40 2014 Incoming Control Channel Authentication: Using 160 bit message hash ‘SHA1’ for HMAC authentication
Sun May 4 12:01:40 2014 Socket Buffers: R=[163840->131072] S=[163840->131072]
Sun May 4 12:01:40 2014 ROUTE_GATEWAY 192.168.10.254/255.255.255.0 IFACE=eth0 HWADDR=b8:27:eb:9d:ea:28
Sun May 4 12:01:40 2014 TUN/TAP device tun0 opened
Sun May 4 12:01:40 2014 TUN/TAP TX queue length set to 100
Sun May 4 12:01:40 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sun May 4 12:01:40 2014 /sbin/ifconfig tun0 192.168.20.1 pointopoint 192.168.20.2 mtu 1500
Sun May 4 12:01:40 2014 /sbin/route add -net 192.168.20.0 netmask 255.255.255.0 gw 192.168.20.2
Sun May 4 12:01:40 2014 chroot to ‘/etc/openvpn/jail’ and cd to ‘/’ succeeded
Sun May 4 12:01:40 2014 GID set to nogroup
Sun May 4 12:01:40 2014 UID set to nobody
Sun May 4 12:01:40 2014 UDPv4 link local (bound): [undef]
Sun May 4 12:01:40 2014 UDPv4 link remote: [undef]
Sun May 4 12:01:40 2014 MULTI: multi_init called, r=256 v=256
Sun May 4 12:01:40 2014 IFCONFIG POOL: base=192.168.20.4 size=62, ipv6=0
Sun May 4 12:01:40 2014 Initialization Sequence Completed
Sun May 4 12:03:17 2014 event_wait : Interrupted system call (code=4)
Sun May 4 12:03:17 2014 /sbin/route del -net 192.168.20.0 netmask 255.255.255.0
Sun May 4 12:03:17 2014 ERROR: Linux route delete command failed: could not execute external program
Sun May 4 12:03:17 2014 Closing TUN/TAP interface
Sun May 4 12:03:17 2014 /sbin/ifconfig tun0 0.0.0.0
Sun May 4 12:03:17 2014 Linux ip addr del failed: could not execute external program
Sun May 4 12:03:17 2014 SIGINT[hard,] received, process exiting

Voila j’espère que ces log vous aideront plus qu’ils ne m’ont aidé.
Si vous avez besoin de complement d’information, n’hesitez pas !

leo-25 · Février 21, 2016, 8:17pm

Il serait bien de poster ton server.conf et client.conf

quel est l’adressage ip coté serveur et coté client?

donne nous des précisions afin que l’on puisse t’aider…

diim75 · Février 21, 2016, 8:17pm

Bonjour leo-25,
Coté serveur, mon rpi a une adresse en 192.168.10.14 /24 et mon client est en 192.168.10.13 /24
Sur ma box, j’ai ouvert les ports 1194 en udp et 443 en tcp.

Voila, si vous avez des questions n’hésitez pas

Mon server.conf :

Le client.conf :

leo-25 · Février 21, 2016, 8:17pm

Première remarque, le réseau du client et du serveur doit être différant. si le serveur ce trouve dans un réseau 192.168.10.X, le réseau du client ne doit pas être identique. A la boite, on c’est mis en 192.168.200.X pour évité de rencontrer le pb.

Dans un premier temps désactive les options :

push “redirect-gateway def1 bypass-dhcp” push “dhcp-option DNS 8.8.8.8″ push “dhcp-option DNS 8.8.4.4″

une fois le vpn fonctionnel tu pourra les réactiver.

diim75 · Février 21, 2016, 8:17pm

Je me suis trompé, le reseau du vpn est en 192.168.20.0
Peux tu me dire a quoi correspondent ces ligne :

Merci de ton aide.

leo-25 · Février 21, 2016, 8:17pm

Le push “redirect-gateway def1 bypass-dhcp” permet de rediriger la passerelle du client. en claire, le client naviguera sur le net en passant par le VPN.

lol · Février 21, 2016, 8:17pm

Salut,

[quote=“diim75”]

... Sun May 4 12:03:17 2014 /sbin/route del -net 192.168.20.0 netmask 255.255.255.0 Sun May 4 12:03:17 2014 ERROR: Linux route delete command failed: could not execute external program ...[/quote]

Un problème de droits non ?
Qui lance openvpn ?

fran.b · Février 21, 2016, 8:17pm

Tu fais un chroot et visiblement dans ce chroot soit la commande route n’existe pas, soit tu n’as pas le droits (user nobody) Je crains que la difficulté vient de changement d’UID. Essaye de regarder si cela s’améliore en mettant root,root comme utilisateur du vpn, et vérifie la population du chroot. Une fois le problème localisé, il faudra trouver une solution.

leo-25 · Février 21, 2016, 8:17pm

fran.b

J’avais pas vu le chroot

diim75 · Février 21, 2016, 8:20pm

Bonjour,

Dessolé du temps de réponse. J’ai essayer de mettre root root en utilisateur sur le server.conf, mais ca ne fonctionne toujours pas
En revanche, je ne comprend pas exactement ce que c’est “faire un chroot” ni “verifier la population chroot” :s Pouvez vous m’apporter une precision la dessus ?

Je vous remercie.

fran.b · Février 21, 2016, 8:20pm

Pour protéger la machine de ce qui peut venir du VPN, celui ci peut être exécuter dans une racine dédiée (un chroot). Théoriquement il ne peut sortir de cet environnement. Cependant les commandes utilisées doivent être présentes dans cet environnement. Souvent cet environnement est sous
/etc/openvpn/jail ou encore /var/lib/openvpn.

Il suffit de vérifier que la commande route peut être exécutée dans cet environnement

leo-25 · Février 21, 2016, 8:20pm

Juste pour le test ( histoire d’être sur que cela vient bien de la …) commente la ligne :

ce qui te donnerais :

[code]mode server
proto udp
port 1194
dev tun

ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
tls-auth ta.key 0
cipher AES-256-CBC

server 192.168.20.0 255.255.255.0
#push “redirect-gateway def1 bypass-dhcp”
#push “dhcp-option DNS 8.8.8.8″
#push “dhcp-option DNS 8.8.4.4″
keepalive 10 120

user nobody
group nogroup
#chroot /etc/openvpn/jail
persist-key
persist-tun
comp-lzo
verb 3
mute 20
status openvpn-status.log
log-append /var/log/openvpn.log[/code]

En ce qui concerne l’utilisation de ce VPN tu souhaite avoir accès uniquement au serveur ou à tout le réseau ou ce trouve le serveur?

Caragroot · Septembre 10, 2017, 9:26am

Bonjour,

Ayant le même problème que l’éditeur du sujet je m’y intéresse donc

Pour répondre à leo-25 j’aimerai dans un premier temps avoir accès au serveur, mais après à tout le réseau ou se trouve le serveur.

Je vais vous mettre toutes mes conf :

les droit du server.conf :

-rw-r–r-- 1 root root 852 sept. 10 11:15 server.conf

Le server.conf :

Fichier de configuration du serveur OpenVPN

Serveur

mode server
proto tcp
port 443
dev tun

Cles et certificats

ca ca.crt
cert server.crt
key server.key # Ce fichier doit être gardé secret
dh dh4096.pem
tls-auth ta.key 1
key-direction 0
cipher AES-256-CBC

Reseau

server 10.8.0.0 255.255.255.0
#push “redirect-gateway def1”
#push “dhcp-option DNS 8.8.8.8”
#push "dhcp-option DNS 8.8.4.4"
keepalive 10 120

Permet aux différentes clients de se contacter entre eux

#client-to-client

Securite

user nobody
group nogroup
#chroot /etc/openvpn/jail
persist-key
persist-tun
comp-lzo

Décommenter cette option si plusieurs clients utilisent un même certificat

(sinon l’un des clients sera déconnecté)

#duplicate-cn

Log

verb 3
mute 20
status openvpn-status.log
; log-append /var/log/openvpn.log

log-append /var/log/openvpn.log

Le client. conf :

Client

client
dev tun
proto tcp-client
remote caragroot.ddns.net 443
resolv-retry infinite
cipher AES-256-CBC
; client-config-dir ccd

Cles

ca ca.crt
cert caragroot.crt
key caragroot.key
tls-auth ta.key 1
key-direction 1

Securite

nobind
persist-key
persist-tun
comp-lzo
verb 3

Je précise que je suis derrière une box orange, j’ai bien configuré le NAT/PAT ainsi que le Dyndn.

Voilà j’espère que vous allez pouvoir m’aidé car moi je sèche un peu

Cordialement