[WIKI] OpenVPN

smolski · 27-01-2017 18:54:13

Tu penses que c'est lié à l'installation ou à la configuration de ton navigateur ?

obelix1502 · 27-01-2017 18:57:49

L'installation: non car j'ai tous les bons paramètres comme indiqué sur le tutoriel.

Le navigateur : j'ai désactivé https everywhere car j'ai lu qu'il pouvait bloquer les connexions VPN.

J'ai aussi utilisé qupzilla, qui n'a lui aucun module complémentaire installé.

Alors là, je sais plus...

kawer · 27-01-2017 19:22:45

Surrement dû au dns.

obelix1502 · 27-01-2017 19:27:23

Faut tout recommencer ???

kawer · 27-01-2017 19:40:09

Non, il faut juste changer le bypass dns par d'autres dns. Si s'est le problème.

shlagou · 10-02-2017 20:26:48

Salut,

je rencontre moi aussi des difficultés pour atteindre internet une fois connecte a mon vpn. J'ai essayer plusieurs tutos avant celui-ci et je me retrouve toujours bloque a cette même étape sans comprendre pourquoi.
Je suis débutant avec Linux et encore plus en ce qui concerne la création d'un réseau vpn donc excusez moi si je fournis des informations inutiles mais voici 2-3 retours de commandes qui pourront peut-être aider :

Coté serveur

root@23b045c8fa:/etc/openvpn/easy-rsa# openvpn /etc/openvpn/server.conf

 

Fri Feb 10 13:59:40 2017 OpenVPN 2.3.4 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Nov 12 2015

Fri Feb 10 13:59:40 2017 library versions: OpenSSL 1.0.1t  3 May 2016, LZO 2.08

Fri Feb 10 13:59:40 2017 Diffie-Hellman initialized with 2048 bit key

Fri Feb 10 13:59:40 2017 Socket Buffers: R=[133120->131072] S=[133120->131072]

Fri Feb 10 13:59:40 2017 ROUTE_GATEWAY ON_LINK IFACE=venet0 HWADDR=00:00:00:00:00:00

Fri Feb 10 13:59:40 2017 TUN/TAP device tun0 opened

Fri Feb 10 13:59:40 2017 TUN/TAP TX queue length set to 100

Fri Feb 10 13:59:40 2017 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0

Fri Feb 10 13:59:40 2017 /sbin/ip link set dev tun0 up mtu 1500

Fri Feb 10 13:59:40 2017 /sbin/ip addr add dev tun0 local 10.8.0.1 peer 10.8.0.2

Fri Feb 10 13:59:40 2017 /sbin/ip route add 10.8.0.0/24 via 10.8.0.2

Fri Feb 10 13:59:40 2017 GID set to nogroup

Fri Feb 10 13:59:40 2017 UID set to nobody

Fri Feb 10 13:59:40 2017 UDPv4 link local (bound): [undef]

Fri Feb 10 13:59:40 2017 UDPv4 link remote: [undef]

Fri Feb 10 13:59:40 2017 MULTI: multi_init called, r=256 v=256

Fri Feb 10 13:59:40 2017 IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0

Fri Feb 10 13:59:40 2017 IFCONFIG POOL LIST

Fri Feb 10 13:59:40 2017 Initialization Sequence Completed

[1]+  Running                 openvpn /etc/openvpn/server.conf &

root@23b045c8fa:/etc/openvpn/easy-rsa# ifconfig tun0

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  

          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255

          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1

          RX packets:0 errors:0 dropped:0 overruns:0 frame:0

          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:100 

          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

root@23b045c8fa:/etc/openvpn/easy-rsa# ping -c5 10.8.0.6

PING 10.8.0.6 (10.8.0.6) 56(84) bytes of data.

64 bytes from 10.8.0.6: icmp_seq=1 ttl=64 time=68.0 ms

64 bytes from 10.8.0.6: icmp_seq=2 ttl=64 time=59.4 ms

64 bytes from 10.8.0.6: icmp_seq=3 ttl=64 time=61.9 ms

64 bytes from 10.8.0.6: icmp_seq=4 ttl=64 time=60.0 ms

64 bytes from 10.8.0.6: icmp_seq=5 ttl=64 time=67.9 ms

--- 10.8.0.6 ping statistics ---

5 packets transmitted, 5 received, 0% packet loss, time 4004ms

rtt min/avg/max/mdev = 59.414/63.493/68.036/3.784 ms

root@23b045c8fa:/etc/openvpn/easy-rsa# ping -c5 google.com

PING google.com (172.217.22.174) 56(84) bytes of data.

64 bytes from arn09s11-in-f14.1e100.net (172.217.22.174): icmp_seq=1 ttl=58 time=7.37 ms

64 bytes from arn09s11-in-f14.1e100.net (172.217.22.174): icmp_seq=2 ttl=58 time=7.20 ms

64 bytes from arn09s11-in-f14.1e100.net (172.217.22.174): icmp_seq=3 ttl=58 time=7.19 ms

64 bytes from arn09s11-in-f14.1e100.net (172.217.22.174): icmp_seq=4 ttl=58 time=7.16 ms

64 bytes from arn09s11-in-f14.1e100.net (172.217.22.174): icmp_seq=5 ttl=58 time=7.29 ms

--- google.com ping statistics ---

5 packets transmitted, 5 received, 0% packet loss, time 4004ms

rtt min/avg/max/mdev = 7.168/7.247/7.373/0.120 ms

root@23b045c8fa:/etc/openvpn/easy-rsa# iptables -L    

Chain INPUT (policy ACCEPT)

target     prot opt source               destination         

ACCEPT     udp  --  anywhere             anywhere             udp dpt:openvpn

Chain FORWARD (policy ACCEPT)

target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination

Coté client

root@a20-olimex:~# openvpn /etc/openvpn/client.conf 

Fri Feb 10 19:11:24 2017 OpenVPN 2.2.1 arm-linux-gnueabihf [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Dec  1 2014

Fri Feb 10 19:11:24 2017 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables

Fri Feb 10 19:11:24 2017 LZO compression initialized

Fri Feb 10 19:11:24 2017 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]

Fri Feb 10 19:11:24 2017 Socket Buffers: R=[163840->131072] S=[163840->131072]

Fri Feb 10 19:11:24 2017 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]

Fri Feb 10 19:11:24 2017 Local Options hash (VER=V4): '41690919'

Fri Feb 10 19:11:24 2017 Expected Remote Options hash (VER=V4): '530fdded'

Fri Feb 10 19:11:24 2017 UDPv4 link local: [undef]

Fri Feb 10 19:11:24 2017 UDPv4 link remote: [AF_INET]185.86.150.31:1194

Fri Feb 10 19:11:24 2017 TLS: Initial packet from [AF_INET]185.86.150.31:1194, sid=4effcb35 7a3f9c83

Fri Feb 10 19:11:24 2017 VERIFY OK: depth=1, /C=US/ST=CA/L=SanFrancisco/O=Fort-Funston/OU=MyOrganizationalUnit/CN=Fort-Funston_CA/name=EasyRSA/emailAddress=me@myhost.mydomain

Fri Feb 10 19:11:24 2017 VERIFY OK: nsCertType=SERVER

Fri Feb 10 19:11:24 2017 VERIFY OK: depth=0, /C=US/ST=CA/L=SanFrancisco/O=Fort-Funston/OU=MyOrganizationalUnit/CN=Serveur-VPN/name=EasyRSA/emailAddress=me@myhost.mydomain

Fri Feb 10 19:11:26 2017 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key

Fri Feb 10 19:11:26 2017 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication

Fri Feb 10 19:11:26 2017 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key

Fri Feb 10 19:11:26 2017 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication

Fri Feb 10 19:11:26 2017 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA

Fri Feb 10 19:11:26 2017 [Serveur-VPN] Peer Connection Initiated with [AF_INET]185.86.150.31:1194

Fri Feb 10 19:11:28 2017 SENT CONTROL [Serveur-VPN]: 'PUSH_REQUEST' (status=1)

Fri Feb 10 19:11:28 2017 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'

Fri Feb 10 19:11:28 2017 OPTIONS IMPORT: timers and/or timeouts modified

Fri Feb 10 19:11:28 2017 OPTIONS IMPORT: --ifconfig/up options modified

Fri Feb 10 19:11:28 2017 OPTIONS IMPORT: route options modified

Fri Feb 10 19:11:28 2017 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified

Fri Feb 10 19:11:28 2017 ROUTE default_gateway=192.168.0.1

Fri Feb 10 19:11:28 2017 TUN/TAP device tun0 opened

Fri Feb 10 19:11:28 2017 TUN/TAP TX queue length set to 100

Fri Feb 10 19:11:28 2017 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0

Fri Feb 10 19:11:28 2017 /sbin/ifconfig tun0 10.8.0.6 pointopoint 10.8.0.5 mtu 1500

Fri Feb 10 19:11:28 2017 /sbin/route add -net 185.86.150.31 netmask 255.255.255.255 gw 192.168.0.1

Fri Feb 10 19:11:28 2017 /sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 10.8.0.5

Fri Feb 10 19:11:28 2017 /sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 10.8.0.5

Fri Feb 10 19:11:28 2017 /sbin/route add -net 10.8.0.1 netmask 255.255.255.255 gw 10.8.0.5

Fri Feb 10 19:11:28 2017 Initialization Sequence Completed

[1]+  Running                 openvpn /etc/openvpn/client.conf &

root@a20-olimex:~# ifconfig tun0

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  

          inet addr:10.8.0.6  P-t-P:10.8.0.5  Mask:255.255.255.255

          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1

          RX packets:0 errors:0 dropped:0 overruns:0 frame:0

          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:100 

          RX bytes:0 (0.0 B)  TX bytes:608 (608.0 B)

root@a20-olimex:~# ping -c5 10.8.0.1

PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data.

64 bytes from 10.8.0.1: icmp_req=1 ttl=64 time=66.2 ms

64 bytes from 10.8.0.1: icmp_req=2 ttl=64 time=68.2 ms

64 bytes from 10.8.0.1: icmp_req=3 ttl=64 time=67.5 ms

64 bytes from 10.8.0.1: icmp_req=4 ttl=64 time=70.3 ms

64 bytes from 10.8.0.1: icmp_req=5 ttl=64 time=70.2 ms

--- 10.8.0.1 ping statistics ---

5 packets transmitted, 5 received, 0% packet loss, time 4009ms

rtt min/avg/max/mdev = 66.247/68.526/70.324/1.576 ms

ping -c5 google.com

ping: unknown host google.com

 

...
Je precise que j'ai active le transfert de ports (1194/both) pour l'ip 192.168.0.25 (addresse locale de mon ordinateur client).

Voila j'espere que vous pourrez m'aider a y voir plus clair, n'hesitez pas a demander plus de details. Merci!

Dernière modification par shlagou (10-02-2017 20:34:26)

shlagou · 11-02-2017 19:12:56

Encore moi,

Sur le serveur la commande

ifconfig

me donne :

lo        Link encap:Local Loopback  

          inet addr:127.0.0.1  Mask:255.0.0.0

          inet6 addr: ::1/128 Scope:Host

          UP LOOPBACK RUNNING  MTU:65536  Metric:1

          RX packets:0 errors:0 dropped:0 overruns:0 frame:0

          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:0 

          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  

          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255

          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1

          RX packets:65 errors:0 dropped:0 overruns:0 frame:0

          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:100 

          RX bytes:4156 (4.0 KiB)  TX bytes:0 (0.0 B)

venet0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  

          inet addr:127.0.0.2  P-t-P:127.0.0.2  Bcast:0.0.0.0  Mask:255.255.255.255

          inet6 addr: 2a02:7aa0:1619::5286:f25e/128 Scope:Global

          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1

          RX packets:827 errors:0 dropped:0 overruns:0 frame:0

          TX packets:540 errors:0 dropped:109 overruns:0 carrier:0

          collisions:0 txqueuelen:0 

          RX bytes:67768 (66.1 KiB)  TX bytes:58612 (57.2 KiB)

venet0:0  Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  

          inet addr:185.86.150.31  P-t-P:185.86.150.31  Bcast:185.86.150.31  Mask:255.255.255.255

          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1

Est-ce que ca veux dire que je dois utiliser l'interface venet0:0 plutot que eth0 ? J'ai essayer de reparamétrer iptables en utilisant les commandes du wiki avec venet0 et venet0:0 a la place d'eth0 mais ca ne fonctionne pas mieux... J'avoue que je sais pas trop ce que je fait.

Edit : Résolu ( https://debian-facile.org/viewtopic.php … 96#p213496 )

Dernière modification par shlagou (14-02-2017 20:13:54)

kyodev · 08-04-2017 18:04:57

une touche de cosmétique.

ce tuto est ici: https://debian-facile.org/doc:reseau:vpn:openvpn
et sur une autre adresse (mal classée?), un tuto datant de 2012: https://debian-facile.org/doc:reseau:openvpn

cayolargo · 09-04-2017 05:52:38

Bonjour,

Tuto impeccable mais j'ai quand même bien galéré, car rien ne démarrait sur ma configuration, et rien non plus dans syslog ou dans /var/log/openvpn.log

en lancant à la main avec "openvpn --config /etc/openvpn/server.conf" la j'ai eu des messages dans le log, au final avec "/etc/openvpn/jail/tmp" tout est rentré dans l'ordre et cela fonctionne

++

enicar · 27-07-2017 17:50:35

Modification mineur mais combien importante :
J'ai changé le

echo > "net.ipv4.ip_forward=1" /etc/sysctl.d/78-sysctl.conf

 

en

echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/ip_forwading.conf

 

En dehors du fait que la commande était fausse, le nom donné pour le
fichier « 78-sysctl.conf » était assez obscur. Il vaut mieux donner des
noms de fichiers qui indiquent à quoi sert le fichier

cemoi · 25-12-2017 15:14:18

enicar a écrit :

Modification mineur mais combien importante :
J'ai changé le

echo > "net.ipv4.ip_forward=1" /etc/sysctl.d/78-sysctl.conf

en

echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/ip_forwading.conf

En dehors du fait que la commande était fausse, le nom donné pour le
fichier « 78-sysctl.conf » était assez obscur. Il vaut mieux donner des
noms de fichiers qui indiquent à quoi sert le fichier

Quelques précisions par ici ( https://debian-facile.org/viewtopic.php … 93#p232793 ) pour ceux qui cherchent des explications sur le fonctionnement.

cemoi · 25-12-2017 15:56:37

Je voudrai améliorer la page sur openvpn car je trouve qu'il en manque pas mal.

En vrac ce qui me passe par le tête:
- forcer toutes les connexions à passer par le vpn (coté cllient): redirect-gateway def1 >> done!
- forcer la verification du certificat (coté client): remote-cert-tls server
- imposer la méthode d'auth car le conf de base utilise un truc tout pourri et dépassé (SHA1): auth SHA256
- ne pas mettre en cache la clef d'auth: auth.nocache
- préciser quel cipher utiliser
- éventuellement générer une clef avec une courbe elliptique
- définir une validité dans le temps de/des clef(s)
-imposer la version minimal de tls
- passer la topologie en subnet au lieu de net30 et expliquer pour quoi
- faire changer l'ip par default de l'openvpn
- modifier le pool d'adresses vpn
- faire pousser les routes à partir du serveur vers le/les client(s)
-expliquer/préciser un peu plus la gestions des logs
- faire connaitre qq options pouvant etre tres utiles comme client-to-client
- expliquer comment attribuer coté serveur des possibilités particulières de conf par client via leur Common Name du certif client
-passer le protocol udp à tcp
-préciser le fonctionnement du firewall (il n'y en a plus sauf si openvpn est configuré pour exécuter du firewall dans le tunnel)
- faire une introduction aux possibilités données par des régles de filtrage par client
-parler des clients sur mobile

... quand j'aurais fait ça ce sera déjà tres beau!!...

yaskos · 17-02-2018 21:11:41

Tres bon tuto j'ai suivit sa ma beaucoup aidé par contre j'avais copié betement la regle ip table au début sa ma dérangé mais sa passe jutilise debian 9 et l'interface n'est plus eth0

smolski · 17-02-2018 21:31:50

yaskos a écrit :

'interface n'est plus eth0

Ah oui... Tu peux corriger le tuto sur ce point ?

yaskos · 17-02-2018 21:37:39

j'ai pensé à sa mais ceux qui auront les anciennes versions auront des problemes
par contre mon serveur n'est pas au démarage je suis obligé de lancer manuelement
#openvpn /etc/openvpn/server.conf pour que le client puisse se connecter
meme quand je fais #service openvpn start le client ne se connecte pas

smolski · 17-02-2018 21:48:08

yaskos a écrit :

ceux qui auront les anciennes versions auront des problemes

Les tutos sont faits pour les branches actuelles, si tu prends une branche anciennes, alors c'est que tu sais ce que tu fais, tu ne peux plus être considéré comme un débutant.

Ce serait mieux de corriger donc.

yaskos · 17-02-2018 21:56:57

ok je le fais je propose de mettre ethx(nom de votre interface) pour que le tutos soit plus général tu en pense quoi

smolski · 18-02-2018 04:43:42

Voilà, j'ai corrigé le tuto.
Au lieu de eth0 j'ai mis : votre_interface avec un petit bout d'explication le précédent.

Merci de ton attention.

obelix1502 · 31-03-2018 12:49:02

Bonjour,

Bon nouvelle version je pense de easy-rsa et lors du ./build-ca, j'obtiens :

/etc/openvpn/easy-rsa# ./build-ca

grep: /etc/openvpn/easy-rsa/openssl.cnf: No such file or directory

pkitool: KEY_CONFIG (set by the ./vars script) is pointing to the wrong

version of openssl.cnf: /etc/openvpn/easy-rsa/openssl.cnf

The correct version should have a comment that says: easy-rsa version 2.x

Avez-vous une idée de ce que je devrais faire ?

Merci.

Bon j'ai trouvé ce qui clochait :

Donc pour ceux à qui cela arrive, voici ce qui se passe. Le message d'erreur lors de

./build-ca

grep: /etc/openvpn/easy-rsa/2.0/openssl.cnf: No such file or directory

pkitool: KEY_CONFIG (set by the ./vars script) is pointing to the wrong

version of openssl.cnf: /etc/openvpn/easy-rsa/2.0/openssl.cnf

The correct version should have a comment that says: easy-rsa version 2.x

Ce problème est dû au fait que easy-rsa n'a pas trouvé openssl.cnf dans /etc/openvpn/easy-rsa dans Stretch.

Il faut donc créer un lien symbolique qui pointe vers le fichier le plus récent présent dans ls -l /etc/openvpn/easy-rsa et qui est openssl-1.0.0.cnf

ln -s openssl-1.0.0.cnf openssl.cnf

Ceci résout le problème et on recommence au point source vars.

Dernière modification par obelix1502 (31-03-2018 17:37:24)

kawer · 04-04-2018 00:46:56

J'améliorais le tuto quand j'aurais le temps, surrement ce weekend ou la semaine prochaine (peut-être), en attendant tu peu apporter tes modifications testé dans le wiki, chacun est libre ici d'apporter sa pierre à l'édifice

cemoi · 07-08-2018 11:12:04

Hello, j'ai apporté la modif au wiki

par contre je ne sais pourquoi je rame pour ajouter un nouveau client...

coté serveur j'ai fait un ./build-key amilo
ça m'a pondu dans le repertoire keys (que j'ai du créer avant):
amilo.crt
amilo.csr
amilo.key

j'ai coupé ces trois fichiers pour les mettre sur mon client + j'ai copié le ca.crt qui est d'origine j'ai tout mis dans /etc/openvpn/ coté client.

Quand je lance le client openvpn ça donne;

openvpn /etc/openvpn/client.conf

Tue Aug  7 11:38:28 2018 OpenVPN 2.4.6 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 30 2018

Tue Aug  7 11:38:28 2018 library versions: OpenSSL 1.1.0h  27 Mar 2018, LZO 2.10

Tue Aug  7 11:38:28 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]***.***.***.***:****

Tue Aug  7 11:38:28 2018 Socket Buffers: R=[212992->212992] S=[212992->212992]

Tue Aug  7 11:38:28 2018 UDP link local: (not bound)

Tue Aug  7 11:38:28 2018 UDP link remote: [AF_INET]***.***.***.***:****

Tue Aug  7 11:38:28 2018 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay

Tue Aug  7 11:39:28 2018 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

Tue Aug  7 11:39:28 2018 TLS Error: TLS handshake failed

Tue Aug  7 11:39:28 2018 SIGUSR1[soft,tls-error] received, process restarting

Tue Aug  7 11:39:28 2018 Restart pause, 5 second(s)

dans le client.conf j'ai mis ça:

cat client.conf

...

ca /etc/openvpn/ca.crt

cert /etc/openvpn/amilo.crt

key /etc/openvpn/amilo.key

...

C'est quel train que je rate?...

Dernière modification par cemoi (26-08-2018 13:19:07)

almos · 12-12-2018 17:35:49

Bonjour à tous,

Je suis nouveau, plutôt débutant, je viens de m'inscrire afin de vous remercier d'avoir réalisé ce tuto qui m'a bien aidé à appréhender la mise en place d'un VPN avec debian 9 sur un VPS, mais également pour vous donner un retour d'expérience. En effet, après de nombreuses heures passées à tout effacer et recommencer à de nombreuses reprises, j'ai enfin réussi !!!

En fait, je me suis aperçu bien tard que je perdais l'ensemble des règles iptables après chaque reboot, reboot que je lançais à la fin du setup, et du coup mon client se connectait bien au VPN, mais ne se connectait plus au web et je recommençais tout... (Je ne connaissais pas iptables)

Dans le tuto, il est précisé que pour rendre ces règles persistantes après un reboot du serveur, il faut commencer par créer un script de chargement de règles de Firewall (ou utiliser un script existant) :

iptables-save > /etc/iptables.rules

Pour moi, ça n'a eut aucun effet. (Je n'ai certainement pas tout compris !)

Du coup, j'ai trouvé une autre méthode, celle d'utiliser "iptables-persistent", que je propose de partager avec vous et qui pourrait peut-être aider ceux qui rencontrent le même soucis.

iptables-persistent sauvegarde les règles dans le dossier /etc/iptables, fichier rules.v4 pour les règles IPv4 et rules.v6 pour les règles IPv6. Le script peut s’appeler via :

service iptables-persistent

Il prend les arguments : save pour sauvegarder les règles, flush pour vider toutes les règles et reload pour les recharger depuis les fichiers précités.

Pour l'installer :

apt-get install iptables-persistent

Pendant, l'installation du paquet, il vous est demandé si vous souhaitez que les règles actuellement en cours d'utilisation soient enregistrées dans le fichier.
Répondez Oui, pour IP V4 comme pour IP V6.

Ensuite, j'ai bloqué l'IP V6 en ouvrant /etc/iptables/rules.v6

nano /etc/iptables/rules.v6

La configuration par défaut est "ACCEPT" :
J'ai remplacé par DROP les 3 traffics réseau.

# Generated by ip6tables-save v1.6.0 on (date)

*filter

:INPUT DROP [0:0]

:FORWARD DROP [0:0]

:OUTPUT DROP [0:0]

COMMIT

# Completed on (date)

Ensuite passer à l'IP V4

nano /etc/iptables/rules.v4

Et vérifier la présences des règles initialement entrées.

Enfin, on redémarre le service pour recharger et appliquer ses règles.
Le service s'appelle "netfilter-persistent"

service netfilter-persistent restart

Et on vérifie qu'elles ont bien été chargées.

iptables -L

Puis iptables -t nat -vnL

Bien à vous

Dernière modification par almos (12-12-2018 18:52:57)

smolski · 12-12-2018 18:31:54

Ah super !
Et on peut mettre ton post en lien dans le tuto pour un autre visiteur, qu'en penses-tu ?
Je rappelle que les tutos du wiki sont tous ouverts aux interventions de tous les membres inscrits !

almos · 12-12-2018 18:44:03

Oui bien sûr, si ça peut aider... (je viens à l'instant de modifier la fin, la vérification des règles)
Je ne saurais pas encore l'intégrer, mais je prends note de la possibilité !

Je souhaite également ouvrir un port supplémentaire vers un client mais je ne sais pas comment m'y prendre… ( genre "port forwarding")

Comme exemple plus parlant, j’ai une IP public 10.20.30.40 (remote 10.20.30.40 1194), une IP VPN server 10.8.0.1 et une IP VPN "client assigné"10.8.0.6, et enfin un port 30000
Comment ouvrir ce port 10.20.30.40:30000 vers 10.8.0.6:30000 ?

Merci à vous

Dernière modification par almos (12-12-2018 18:54:08)

kawer · 18-12-2018 03:31:14

Pour ceux qui sont intéressé, voici une ébauche (wiki mal soigné) sur openvpn avec les normes de sécurité d'aujourd'hui, si vous voulez essayer, et valider en éditant le wiki de ce thread en le modelant pour y intégrer toutes les modifs de ma page perso, libre à vous

Dernière modification par kawer (18-12-2018 03:31:43)

Debian-facile

#26 27-01-2017 18:54:13

Re : [WIKI] OpenVPN

#27 27-01-2017 18:57:49

Re : [WIKI] OpenVPN

#28 27-01-2017 19:22:45

Re : [WIKI] OpenVPN

#29 27-01-2017 19:27:23

Re : [WIKI] OpenVPN

#30 27-01-2017 19:40:09

Re : [WIKI] OpenVPN

#31 10-02-2017 20:26:48

Re : [WIKI] OpenVPN

#32 11-02-2017 19:12:56

Re : [WIKI] OpenVPN

#33 08-04-2017 18:04:57

Re : [WIKI] OpenVPN

#34 09-04-2017 05:52:38

Re : [WIKI] OpenVPN

#35 27-07-2017 17:50:35

Re : [WIKI] OpenVPN

#36 25-12-2017 15:14:18

Re : [WIKI] OpenVPN

#37 25-12-2017 15:56:37

Re : [WIKI] OpenVPN

#38 17-02-2018 21:11:41

Re : [WIKI] OpenVPN

#39 17-02-2018 21:31:50

Re : [WIKI] OpenVPN

#40 17-02-2018 21:37:39

Re : [WIKI] OpenVPN

#41 17-02-2018 21:48:08

Re : [WIKI] OpenVPN

#42 17-02-2018 21:56:57

Re : [WIKI] OpenVPN

#43 18-02-2018 04:43:42

Re : [WIKI] OpenVPN

#44 31-03-2018 12:49:02

Re : [WIKI] OpenVPN

#45 04-04-2018 00:46:56

Re : [WIKI] OpenVPN

#46 07-08-2018 11:12:04

Re : [WIKI] OpenVPN

#47 12-12-2018 17:35:49

Re : [WIKI] OpenVPN

#48 12-12-2018 18:31:54

Re : [WIKI] OpenVPN

#49 12-12-2018 18:44:03

Re : [WIKI] OpenVPN

#50 18-12-2018 03:31:14

Re : [WIKI] OpenVPN

Pied de page des forums