logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#26 27-01-2017 18:54:13

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : [WIKI] OpenVPN

Tu penses que c'est lié à l'installation ou à la configuration de ton navigateur ?

saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#27 27-01-2017 18:57:49

obelix1502
Membre
Lieu : Frameries, Hainaut, Belgique
Distrib. : Debian Stretch - KDE
Inscription : 05-05-2016
Site Web

Re : [WIKI] OpenVPN

L'installation: non car j'ai tous les bons paramètres comme indiqué sur le tutoriel.

Le navigateur : j'ai désactivé https everywhere car j'ai lu qu'il pouvait bloquer les connexions VPN.

J'ai aussi utilisé qupzilla, qui n'a lui aucun module complémentaire installé.

Alors là, je sais plus...

OS utilisés : Debian Stretch , Linux Mint 18.2, Manjaro 17.0.2.
Carte graphique : Nvidia 750 GTX 16 Go Ram Carte mère ASUS HB1M-C
Voir le tuto : Trop cool d'indiquer son installation dans son profil !

Hors ligne

#28 27-01-2017 19:22:45

kawer
Membre
Lieu : Earth
Distrib. : Debian Stable
Noyau : Current
(G)UI : Xfce
Inscription : 08-10-2013

Re : [WIKI] OpenVPN

Surrement dû au dns.

ThinkPad T530 - Debian - CoreBoot

Hors ligne

#29 27-01-2017 19:27:23

obelix1502
Membre
Lieu : Frameries, Hainaut, Belgique
Distrib. : Debian Stretch - KDE
Inscription : 05-05-2016
Site Web

Re : [WIKI] OpenVPN

Faut tout recommencer ???

OS utilisés : Debian Stretch , Linux Mint 18.2, Manjaro 17.0.2.
Carte graphique : Nvidia 750 GTX 16 Go Ram Carte mère ASUS HB1M-C
Voir le tuto : Trop cool d'indiquer son installation dans son profil !

Hors ligne

#30 27-01-2017 19:40:09

kawer
Membre
Lieu : Earth
Distrib. : Debian Stable
Noyau : Current
(G)UI : Xfce
Inscription : 08-10-2013

Re : [WIKI] OpenVPN

Non, il faut juste changer le bypass dns par d'autres dns. Si s'est le problème.

ThinkPad T530 - Debian - CoreBoot

Hors ligne

#31 10-02-2017 20:26:48

shlagou
Membre
Distrib. : Debian GNU/Linux 7 (wheezy)
Noyau : Linux 3.4.90+
(G)UI : slim
Inscription : 10-02-2017

Re : [WIKI] OpenVPN

Salut,

je rencontre moi aussi des difficultés pour atteindre internet une fois connecte a mon vpn. J'ai essayer plusieurs tutos avant celui-ci et je me retrouve toujours bloque a cette même étape sans comprendre pourquoi.
Je suis débutant avec Linux et encore plus en ce qui concerne la création d'un réseau vpn donc excusez moi si je fournis des informations inutiles mais voici 2-3 retours de commandes qui pourront peut-être aider :

Coté serveur

root@23b045c8fa:/etc/openvpn/easy-rsa# openvpn /etc/openvpn/server.conf
 


Fri Feb 10 13:59:40 2017 OpenVPN 2.3.4 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Nov 12 2015
Fri Feb 10 13:59:40 2017 library versions: OpenSSL 1.0.1t  3 May 2016, LZO 2.08
Fri Feb 10 13:59:40 2017 Diffie-Hellman initialized with 2048 bit key
Fri Feb 10 13:59:40 2017 Socket Buffers: R=[133120->131072] S=[133120->131072]
Fri Feb 10 13:59:40 2017 ROUTE_GATEWAY ON_LINK IFACE=venet0 HWADDR=00:00:00:00:00:00
Fri Feb 10 13:59:40 2017 TUN/TAP device tun0 opened
Fri Feb 10 13:59:40 2017 TUN/TAP TX queue length set to 100
Fri Feb 10 13:59:40 2017 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Fri Feb 10 13:59:40 2017 /sbin/ip link set dev tun0 up mtu 1500
Fri Feb 10 13:59:40 2017 /sbin/ip addr add dev tun0 local 10.8.0.1 peer 10.8.0.2
Fri Feb 10 13:59:40 2017 /sbin/ip route add 10.8.0.0/24 via 10.8.0.2
Fri Feb 10 13:59:40 2017 GID set to nogroup
Fri Feb 10 13:59:40 2017 UID set to nobody
Fri Feb 10 13:59:40 2017 UDPv4 link local (bound): [undef]
Fri Feb 10 13:59:40 2017 UDPv4 link remote: [undef]
Fri Feb 10 13:59:40 2017 MULTI: multi_init called, r=256 v=256
Fri Feb 10 13:59:40 2017 IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Fri Feb 10 13:59:40 2017 IFCONFIG POOL LIST
Fri Feb 10 13:59:40 2017 Initialization Sequence Completed



[1]+  Running                 openvpn /etc/openvpn/server.conf &
root@23b045c8fa:/etc/openvpn/easy-rsa# ifconfig tun0
 


tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
 



root@23b045c8fa:/etc/openvpn/easy-rsa# ping -c5 10.8.0.6


PING 10.8.0.6 (10.8.0.6) 56(84) bytes of data.
64 bytes from 10.8.0.6: icmp_seq=1 ttl=64 time=68.0 ms
64 bytes from 10.8.0.6: icmp_seq=2 ttl=64 time=59.4 ms
64 bytes from 10.8.0.6: icmp_seq=3 ttl=64 time=61.9 ms
64 bytes from 10.8.0.6: icmp_seq=4 ttl=64 time=60.0 ms
64 bytes from 10.8.0.6: icmp_seq=5 ttl=64 time=67.9 ms

--- 10.8.0.6 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4004ms
rtt min/avg/max/mdev = 59.414/63.493/68.036/3.784 ms
 



root@23b045c8fa:/etc/openvpn/easy-rsa# ping -c5 google.com


PING google.com (172.217.22.174) 56(84) bytes of data.
64 bytes from arn09s11-in-f14.1e100.net (172.217.22.174): icmp_seq=1 ttl=58 time=7.37 ms
64 bytes from arn09s11-in-f14.1e100.net (172.217.22.174): icmp_seq=2 ttl=58 time=7.20 ms
64 bytes from arn09s11-in-f14.1e100.net (172.217.22.174): icmp_seq=3 ttl=58 time=7.19 ms
64 bytes from arn09s11-in-f14.1e100.net (172.217.22.174): icmp_seq=4 ttl=58 time=7.16 ms
64 bytes from arn09s11-in-f14.1e100.net (172.217.22.174): icmp_seq=5 ttl=58 time=7.29 ms

--- google.com ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4004ms
rtt min/avg/max/mdev = 7.168/7.247/7.373/0.120 ms



root@23b045c8fa:/etc/openvpn/easy-rsa# iptables -L    


Chain INPUT (policy ACCEPT)
target     prot opt source               destination        
ACCEPT     udp  --  anywhere             anywhere             udp dpt:openvpn

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination  





Coté client

root@a20-olimex:~# openvpn /etc/openvpn/client.conf


Fri Feb 10 19:11:24 2017 OpenVPN 2.2.1 arm-linux-gnueabihf [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Dec  1 2014
Fri Feb 10 19:11:24 2017 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Feb 10 19:11:24 2017 LZO compression initialized
Fri Feb 10 19:11:24 2017 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Feb 10 19:11:24 2017 Socket Buffers: R=[163840->131072] S=[163840->131072]
Fri Feb 10 19:11:24 2017 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Feb 10 19:11:24 2017 Local Options hash (VER=V4): '41690919'
Fri Feb 10 19:11:24 2017 Expected Remote Options hash (VER=V4): '530fdded'
Fri Feb 10 19:11:24 2017 UDPv4 link local: [undef]
Fri Feb 10 19:11:24 2017 UDPv4 link remote: [AF_INET]185.86.150.31:1194
Fri Feb 10 19:11:24 2017 TLS: Initial packet from [AF_INET]185.86.150.31:1194, sid=4effcb35 7a3f9c83
Fri Feb 10 19:11:24 2017 VERIFY OK: depth=1, /C=US/ST=CA/L=SanFrancisco/O=Fort-Funston/OU=MyOrganizationalUnit/CN=Fort-Funston_CA/name=EasyRSA/emailAddress=me@myhost.mydomain
Fri Feb 10 19:11:24 2017 VERIFY OK: nsCertType=SERVER
Fri Feb 10 19:11:24 2017 VERIFY OK: depth=0, /C=US/ST=CA/L=SanFrancisco/O=Fort-Funston/OU=MyOrganizationalUnit/CN=Serveur-VPN/name=EasyRSA/emailAddress=me@myhost.mydomain
Fri Feb 10 19:11:26 2017 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Feb 10 19:11:26 2017 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Feb 10 19:11:26 2017 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Feb 10 19:11:26 2017 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Feb 10 19:11:26 2017 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Fri Feb 10 19:11:26 2017 [Serveur-VPN] Peer Connection Initiated with [AF_INET]185.86.150.31:1194
Fri Feb 10 19:11:28 2017 SENT CONTROL [Serveur-VPN]: 'PUSH_REQUEST' (status=1)
Fri Feb 10 19:11:28 2017 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'
Fri Feb 10 19:11:28 2017 OPTIONS IMPORT: timers and/or timeouts modified
Fri Feb 10 19:11:28 2017 OPTIONS IMPORT: --ifconfig/up options modified
Fri Feb 10 19:11:28 2017 OPTIONS IMPORT: route options modified
Fri Feb 10 19:11:28 2017 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Fri Feb 10 19:11:28 2017 ROUTE default_gateway=192.168.0.1
Fri Feb 10 19:11:28 2017 TUN/TAP device tun0 opened
Fri Feb 10 19:11:28 2017 TUN/TAP TX queue length set to 100
Fri Feb 10 19:11:28 2017 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Fri Feb 10 19:11:28 2017 /sbin/ifconfig tun0 10.8.0.6 pointopoint 10.8.0.5 mtu 1500
Fri Feb 10 19:11:28 2017 /sbin/route add -net 185.86.150.31 netmask 255.255.255.255 gw 192.168.0.1
Fri Feb 10 19:11:28 2017 /sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 10.8.0.5
Fri Feb 10 19:11:28 2017 /sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 10.8.0.5
Fri Feb 10 19:11:28 2017 /sbin/route add -net 10.8.0.1 netmask 255.255.255.255 gw 10.8.0.5
Fri Feb 10 19:11:28 2017 Initialization Sequence Completed
 



[1]+  Running                 openvpn /etc/openvpn/client.conf &
root@a20-olimex:~# ifconfig tun0
 


tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.8.0.6  P-t-P:10.8.0.5  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:608 (608.0 B)
 



root@a20-olimex:~# ping -c5 10.8.0.1


PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data.
64 bytes from 10.8.0.1: icmp_req=1 ttl=64 time=66.2 ms
64 bytes from 10.8.0.1: icmp_req=2 ttl=64 time=68.2 ms
64 bytes from 10.8.0.1: icmp_req=3 ttl=64 time=67.5 ms
64 bytes from 10.8.0.1: icmp_req=4 ttl=64 time=70.3 ms
64 bytes from 10.8.0.1: icmp_req=5 ttl=64 time=70.2 ms

--- 10.8.0.1 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4009ms
rtt min/avg/max/mdev = 66.247/68.526/70.324/1.576 ms

 



ping -c5 google.com


ping: unknown host google.com
 



...
Je precise que j'ai active le transfert de ports (1194/both) pour l'ip 192.168.0.25 (addresse locale de mon ordinateur client).

Voila j'espere que vous pourrez m'aider a y voir plus clair, n'hesitez pas a demander plus de details. Merci! big_smile

Dernière modification par shlagou (10-02-2017 20:34:26)

Hors ligne

#32 11-02-2017 19:12:56

shlagou
Membre
Distrib. : Debian GNU/Linux 7 (wheezy)
Noyau : Linux 3.4.90+
(G)UI : slim
Inscription : 10-02-2017

Re : [WIKI] OpenVPN

Encore moi,

Sur le serveur la commande

ifconfig

me donne :

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:65 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:4156 (4.0 KiB)  TX bytes:0 (0.0 B)

venet0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:127.0.0.2  P-t-P:127.0.0.2  Bcast:0.0.0.0  Mask:255.255.255.255
          inet6 addr: 2a02:7aa0:1619::5286:f25e/128 Scope:Global
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
          RX packets:827 errors:0 dropped:0 overruns:0 frame:0
          TX packets:540 errors:0 dropped:109 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:67768 (66.1 KiB)  TX bytes:58612 (57.2 KiB)

venet0:0  Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:185.86.150.31  P-t-P:185.86.150.31  Bcast:185.86.150.31  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
 



Est-ce que ca veux dire que je dois utiliser l'interface venet0:0 plutot que eth0 ? J'ai essayer de reparamétrer iptables en utilisant les commandes du wiki avec venet0 et venet0:0 a la place d'eth0 mais ca ne fonctionne pas mieux... J'avoue que je sais pas trop ce que je fait.

Edit : Résolu ( https://debian-facile.org/viewtopic.php … 96#p213496 )

Dernière modification par shlagou (14-02-2017 20:13:54)

Hors ligne

#33 08-04-2017 18:04:57

kyodev
Banni(e)
Lieu : Lyon
Distrib. : Debian
Noyau : probablement stretch
(G)UI : variable selon l'humeur de naguam
Inscription : 18-08-2013

Re : [WIKI] OpenVPN

une touche de cosmétique.

ce tuto est ici: https://debian-facile.org/doc:reseau:vpn:openvpn
et sur une autre adresse (mal classée?), un tuto datant de 2012: https://debian-facile.org/doc:reseau:openvpn

[mode aéré]

Hors ligne

#34 09-04-2017 05:52:38

cayolargo
Membre
Inscription : 09-04-2017

Re : [WIKI] OpenVPN

Bonjour,

Tuto impeccable mais j'ai quand même bien galéré, car rien ne démarrait sur ma configuration, et rien non plus dans syslog ou dans /var/log/openvpn.log

en lancant à la main avec "openvpn --config /etc/openvpn/server.conf" la j'ai eu des messages dans le log, au final avec "/etc/openvpn/jail/tmp" tout est rentré dans l'ordre et cela fonctionne

++

Hors ligne

#35 27-07-2017 17:50:35

enicar
Membre
Lieu : pas ici
Distrib. : sid
Noyau : Linux 6.5.3
(G)UI : openbox
Inscription : 26-08-2010

Re : [WIKI] OpenVPN

Modification mineur mais combien importante :
J'ai changé le


echo > "net.ipv4.ip_forward=1" /etc/sysctl.d/78-sysctl.conf
 


en


echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/ip_forwading.conf
 


En dehors du fait que la commande était fausse, le nom donné pour le
fichier « 78-sysctl.conf » était assez obscur. Il vaut mieux donner des
noms de fichiers qui indiquent à quoi sert le fichier wink

Hors ligne

#36 25-12-2017 15:14:18

cemoi
Membre
Distrib. : Debian 10 Buster et une SID
Noyau : Linux 4.19.0-9-amd64
(G)UI : XFCE
Inscription : 21-10-2008

Re : [WIKI] OpenVPN

enicar a écrit :

Modification mineur mais combien importante :
J'ai changé le


echo > "net.ipv4.ip_forward=1" /etc/sysctl.d/78-sysctl.conf
 


en


echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/ip_forwading.conf
 


En dehors du fait que la commande était fausse, le nom donné pour le
fichier « 78-sysctl.conf » était assez obscur. Il vaut mieux donner des
noms de fichiers qui indiquent à quoi sert le fichier wink


Quelques précisions par ici ( https://debian-facile.org/viewtopic.php … 93#p232793 ) pour ceux qui cherchent des explications sur le fonctionnement.


Linux debDesk Linux 4.19.0-9-amd64

Hors ligne

#37 25-12-2017 15:56:37

cemoi
Membre
Distrib. : Debian 10 Buster et une SID
Noyau : Linux 4.19.0-9-amd64
(G)UI : XFCE
Inscription : 21-10-2008

Re : [WIKI] OpenVPN

Je voudrai améliorer la page sur openvpn car je trouve qu'il en manque pas mal.


En vrac ce qui me passe par le tête:
- forcer toutes les connexions à passer par le vpn (coté cllient): redirect-gateway def1 >> done!
- forcer la verification du certificat (coté client): remote-cert-tls server
- imposer la méthode d'auth car le conf de base utilise un truc tout pourri et dépassé (SHA1): auth SHA256
- ne pas mettre en cache la clef d'auth: auth.nocache
- préciser quel cipher utiliser
- éventuellement générer une clef avec une courbe elliptique
- définir une validité dans le temps de/des clef(s)
-imposer la version minimal de tls
- passer la topologie en subnet au lieu de net30 et expliquer pour quoi
- faire changer l'ip par default de l'openvpn
- modifier le pool d'adresses vpn
- faire pousser les routes à partir du serveur vers le/les client(s)
-expliquer/préciser un peu plus la gestions des logs
- faire connaitre qq options pouvant etre tres utiles comme client-to-client
- expliquer comment attribuer coté serveur des possibilités particulières de conf par client via leur Common Name du certif client
-passer le protocol udp à tcp
-préciser le fonctionnement du firewall (il n'y en a plus sauf si openvpn est configuré pour exécuter du firewall dans le tunnel)
- faire une introduction aux possibilités données par des régles de filtrage par client
-parler des clients sur mobile

... quand j'aurais fait ça ce sera déjà tres beau!!...

Linux debDesk Linux 4.19.0-9-amd64

Hors ligne

#38 17-02-2018 21:11:41

yaskos
Membre
Inscription : 17-02-2018

Re : [WIKI] OpenVPN

Tres bon tuto j'ai suivit sa ma beaucoup aidé par contre j'avais copié betement la regle ip table au début sa ma dérangé mais sa passe jutilise debian 9 et l'interface n'est plus eth0

Hors ligne

#39 17-02-2018 21:31:50

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : [WIKI] OpenVPN

yaskos a écrit :

'interface n'est plus eth0


Ah oui... Tu peux corriger le tuto sur ce point ? smile


saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#40 17-02-2018 21:37:39

yaskos
Membre
Inscription : 17-02-2018

Re : [WIKI] OpenVPN

j'ai pensé à sa mais ceux qui auront les anciennes versions auront des problemes
par contre mon serveur n'est pas au démarage je suis obligé de lancer manuelement
#openvpn /etc/openvpn/server.conf pour que le client puisse se connecter
meme quand je fais  #service openvpn start le client ne se connecte pas

Hors ligne

#41 17-02-2018 21:48:08

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : [WIKI] OpenVPN

yaskos a écrit :

ceux qui auront les anciennes versions auront des problemes


Les tutos sont faits pour les branches actuelles, si tu prends une branche anciennes, alors c'est que tu sais ce que tu fais, tu ne peux plus être considéré comme un débutant.

Ce serait mieux de corriger donc. smile


saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#42 17-02-2018 21:56:57

yaskos
Membre
Inscription : 17-02-2018

Re : [WIKI] OpenVPN

ok je le fais je propose de mettre ethx(nom de votre interface) pour que le tutos soit plus général tu en pense quoi

Hors ligne

#43 18-02-2018 04:43:42

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : [WIKI] OpenVPN

Voilà, j'ai corrigé le tuto.
Au lieu de eth0 j'ai mis : votre_interface avec un petit bout d'explication le précédent.

Merci de ton attention. smile

saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#44 31-03-2018 12:49:02

obelix1502
Membre
Lieu : Frameries, Hainaut, Belgique
Distrib. : Debian Stretch - KDE
Inscription : 05-05-2016
Site Web

Re : [WIKI] OpenVPN

Bonjour,

Bon nouvelle version je pense de easy-rsa et lors du ./build-ca, j'obtiens :

/etc/openvpn/easy-rsa# ./build-ca
grep: /etc/openvpn/easy-rsa/openssl.cnf: No such file or directory
pkitool: KEY_CONFIG (set by the ./vars script) is pointing to the wrong
version of openssl.cnf: /etc/openvpn/easy-rsa/openssl.cnf
The correct version should have a comment that says: easy-rsa version 2.x



Avez-vous une idée de ce que je devrais faire ?

Merci.


Bon j'ai trouvé ce qui clochait :

Donc pour ceux à qui cela arrive, voici ce qui se passe. Le message d'erreur lors de

./build-ca



grep: /etc/openvpn/easy-rsa/2.0/openssl.cnf: No such file or directory
pkitool: KEY_CONFIG (set by the ./vars script) is pointing to the wrong
version of openssl.cnf: /etc/openvpn/easy-rsa/2.0/openssl.cnf
The correct version should have a comment that says: easy-rsa version 2.x



Ce problème est dû au fait que easy-rsa n'a pas trouvé openssl.cnf dans /etc/openvpn/easy-rsa dans Stretch.

Il faut donc créer un lien symbolique qui pointe vers le fichier le plus récent présent dans ls -l /etc/openvpn/easy-rsa et qui est openssl-1.0.0.cnf

ln -s openssl-1.0.0.cnf openssl.cnf



Ceci résout le problème et on recommence au point source vars.

Dernière modification par obelix1502 (31-03-2018 17:37:24)


OS utilisés : Debian Stretch , Linux Mint 18.2, Manjaro 17.0.2.
Carte graphique : Nvidia 750 GTX 16 Go Ram Carte mère ASUS HB1M-C
Voir le tuto : Trop cool d'indiquer son installation dans son profil !

Hors ligne

#45 04-04-2018 00:46:56

kawer
Membre
Lieu : Earth
Distrib. : Debian Stable
Noyau : Current
(G)UI : Xfce
Inscription : 08-10-2013

Re : [WIKI] OpenVPN

J'améliorais le tuto quand j'aurais le temps, surrement ce weekend ou la semaine prochaine (peut-être), en attendant tu peu apporter tes modifications testé dans le wiki, chacun est libre ici d'apporter sa pierre à l'édifice smile

ThinkPad T530 - Debian - CoreBoot

Hors ligne

#46 07-08-2018 11:12:04

cemoi
Membre
Distrib. : Debian 10 Buster et une SID
Noyau : Linux 4.19.0-9-amd64
(G)UI : XFCE
Inscription : 21-10-2008

Re : [WIKI] OpenVPN

Hello, j'ai apporté la modif au wiki wink

par contre je ne sais pourquoi je rame pour ajouter un nouveau client...

coté serveur j'ai fait un  ./build-key amilo
ça m'a pondu dans le repertoire keys (que j'ai du créer avant):
amilo.crt
amilo.csr
amilo.key

j'ai coupé ces trois fichiers pour les mettre sur mon client + j'ai copié le ca.crt qui est d'origine j'ai tout mis dans /etc/openvpn/ coté client.

Quand je lance le client openvpn ça donne;

openvpn /etc/openvpn/client.conf


Tue Aug  7 11:38:28 2018 OpenVPN 2.4.6 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 30 2018
Tue Aug  7 11:38:28 2018 library versions: OpenSSL 1.1.0h  27 Mar 2018, LZO 2.10
Tue Aug  7 11:38:28 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]***.***.***.***:****
Tue Aug  7 11:38:28 2018 Socket Buffers: R=[212992->212992] S=[212992->212992]
Tue Aug  7 11:38:28 2018 UDP link local: (not bound)
Tue Aug  7 11:38:28 2018 UDP link remote: [AF_INET]***.***.***.***:****
Tue Aug  7 11:38:28 2018 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Tue Aug  7 11:39:28 2018 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Aug  7 11:39:28 2018 TLS Error: TLS handshake failed
Tue Aug  7 11:39:28 2018 SIGUSR1[soft,tls-error] received, process restarting
Tue Aug  7 11:39:28 2018 Restart pause, 5 second(s)
 



dans le client.conf j'ai mis ça:

cat client.conf


...
ca /etc/openvpn/ca.crt
cert /etc/openvpn/amilo.crt
key /etc/openvpn/amilo.key
...



C'est quel train que je rate?...

Dernière modification par cemoi (26-08-2018 13:19:07)


Linux debDesk Linux 4.19.0-9-amd64

Hors ligne

#47 12-12-2018 17:35:49

almos
Membre
Inscription : 12-12-2018

Re : [WIKI] OpenVPN

Bonjour à tous,

Je suis nouveau, plutôt débutant, je viens de m'inscrire afin de vous remercier d'avoir réalisé ce tuto qui m'a bien aidé à appréhender la mise en place d'un VPN avec debian 9 sur un VPS, mais également pour vous donner un retour d'expérience. En effet, après de nombreuses heures passées à tout effacer et recommencer à de nombreuses reprises, j'ai enfin réussi !!!

En fait, je me suis aperçu bien tard que je perdais l'ensemble des règles iptables après chaque reboot, reboot que je lançais à la fin du setup, et du coup mon client se connectait bien au VPN, mais ne se connectait plus au web et je recommençais tout... (Je ne connaissais pas iptables)

Dans le tuto, il est précisé que pour rendre ces règles persistantes après un reboot du serveur, il faut commencer par créer un script de chargement de règles de Firewall (ou utiliser un script existant) :

iptables-save > /etc/iptables.rules



Pour moi, ça n'a eut aucun effet. (Je n'ai certainement pas tout compris !)

Du coup, j'ai trouvé une autre méthode, celle d'utiliser "iptables-persistent", que je propose de partager avec vous et qui pourrait peut-être aider ceux qui rencontrent le même soucis.

iptables-persistent sauvegarde les règles dans le dossier /etc/iptables, fichier rules.v4 pour les règles IPv4 et rules.v6 pour les règles IPv6. Le script peut s’appeler via :

service iptables-persistent



Il prend les arguments : save pour sauvegarder les règles, flush pour vider toutes les règles et reload pour les recharger depuis les fichiers précités.

Pour l'installer :

apt-get install iptables-persistent



Pendant, l'installation du paquet, il vous est demandé si vous souhaitez que les règles actuellement en cours d'utilisation soient enregistrées dans le fichier.
Répondez Oui, pour IP V4 comme pour IP V6.

Ensuite, j'ai bloqué l'IP V6 en ouvrant /etc/iptables/rules.v6

nano /etc/iptables/rules.v6



La configuration par défaut est "ACCEPT" :
J'ai remplacé par DROP les 3 traffics réseau.


# Generated by ip6tables-save v1.6.0 on (date)
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
COMMIT
# Completed on (date)



Ensuite passer à l'IP V4

nano /etc/iptables/rules.v4



Et vérifier la présences des règles initialement entrées.

Enfin, on redémarre le service pour recharger et appliquer ses règles.
Le service s'appelle "netfilter-persistent"

service netfilter-persistent restart



Et on vérifie qu'elles ont bien été chargées.

iptables -L

Puis iptables -t nat -vnL



Bien à vous

Dernière modification par almos (12-12-2018 18:52:57)

Hors ligne

#48 12-12-2018 18:31:54

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : [WIKI] OpenVPN

Ah super !
Et on peut mettre ton post en lien dans le tuto pour un autre visiteur, qu'en penses-tu ?
Je rappelle que les tutos du wiki sont tous ouverts aux interventions de tous les membres inscrits ! big_smile

saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#49 12-12-2018 18:44:03

almos
Membre
Inscription : 12-12-2018

Re : [WIKI] OpenVPN

Oui bien sûr, si ça peut aider... (je viens à l'instant de modifier la fin, la vérification des règles)
Je ne saurais pas encore l'intégrer, mais je prends note de la possibilité !

Je souhaite également ouvrir un port supplémentaire vers un client mais je ne sais pas comment m'y prendre… ( genre "port forwarding")

Comme exemple plus parlant, j’ai une IP public 10.20.30.40 (remote 10.20.30.40 1194), une IP VPN server 10.8.0.1 et une IP VPN "client assigné"10.8.0.6, et enfin un port 30000
Comment ouvrir ce port 10.20.30.40:30000 vers 10.8.0.6:30000 ?

Merci à vous

Dernière modification par almos (12-12-2018 18:54:08)

Hors ligne

#50 18-12-2018 03:31:14

kawer
Membre
Lieu : Earth
Distrib. : Debian Stable
Noyau : Current
(G)UI : Xfce
Inscription : 08-10-2013

Re : [WIKI] OpenVPN

Pour ceux qui sont intéressé, voici une ébauche (wiki mal soigné) sur openvpn avec les normes de sécurité d'aujourd'hui, si vous voulez essayer, et valider en éditant le wiki de ce thread en le modelant pour y intégrer toutes les modifs de ma page perso, libre à vous smile

Dernière modification par kawer (18-12-2018 03:31:43)


ThinkPad T530 - Debian - CoreBoot

Hors ligne

Pied de page des forums