Topic: openvpn et pki

[stephdl]

[Quote author = trazomtg link = topic = 53176.msg275640 # msg275640 date = 1499548393]
Receive goal you'll not'any of my contribution and the next customer will avez la même problems
[/ quote]


How friendly.... and you are asking for help?

I read also some sentences not really cool against trazomtg, you have one new user to integrate and it is a problem. I know that thierry is an IT professional, but he must learn from the beginning.

Honestly it is a pity, I'm sad.

[Stefano]

Sad things are other, but this is not the place to discuss about them
BTW, contact me offline, thank you

[trazomtg]

merci stephdl 

j'ai les certificats suivants sur le client:

cacert.pem-------------->CA
debergerauc.pem------>user
debergerac-key.pem--->kser-key
takey-pem
debergerac.p12--------->pcks12
client.ovpn

sur le server j'ai:

cacert.pem--------------->CA
cert.pem
carl.pem
dh.pem
/etc/openvpn/bridge/openvpn.conf

je fais de mon mieux pour essayer de trouver tout seul. j'ai déjà fait pal mal de choses.
Quant à ceux qui se croient "supérieurs" et pensent que je mérite pas la moindre aide pour des questions aussi bêtes je leur rappelle que ce sont en général ceux qui en savent le moins qui tentent de protéger leur tout petit, tout petit jardin.
j'espère que je n'aurai pas à vous aider sur d'autres sujets, mais je le ferrai volontiers
T

[Stefano]

kinda of dejavu, isn't it?

strange enough, similar sentences, almost the same words.. I repeat: I already saw all of this.. I hope I'm wrong

[guest22]

I've got the same feeling Stefano, same old same old, just with a slightly different 'colour'. The tactics and 'I am right' are similar.

[Daniel B.]

Svp, on est dans la section française du forum, donc en français uniquement. Second point: tout ce qui n'est pas en rapport avec la configuration d'OpenVPN est hors sujet ici.
Guys please, we're in the french section of the forum, so please only speak french. Also, everything which is not related to OpenVPN's config is OT here.

Thanks

[guest22]

There are no translations available. If you are in the IT business, it's all English, if not, Google translate, Siti or whatever engine translates on the fly.


The whole point of this discussion is beyond me, all is on the wiki pages, but somehow somebody is trying for a free education. I have seen al of you say 'READ THE DOCS'. This is costing too much management time on monitoring the forums. Unsubscribing from this topic.

[trazomtg]

ho les anglais!!! que veulent dire toutes vos insultes?
je ne comprends pas vos échanges à mon sujet!!!
si vous n'etes pas assez malins pour comprendre le français, barrez-vous.
je n'ai jamais vu ça sur un forum

i think i'm going to send a message to to your president with your mails attached. and a copy to Fedora, Debian, Redhat et Suse administrators.

en attendant si stephdl ao Daniek B acceptent de m'aider encore un peu j'en serai tres heureux.
j'ai modifié le fichier client.opvn sur ler client:

rport 1194
proto udp
dev tap
nobind
# Uncomment the following line if your system
# support passtos (not supported on Windows)
# passtos
remote smeserver-toshiba
tls-client
tls-auth /home/thierry/Informatique/SMEserver/Certificats/takey.pem 1
--remote-cert-tls server


# Replace user.p12 with the certificate
# bundle in PKCS12 format
#pkcs12 /home/thierry/Informatique/SMEserver/Certificats/debergerac.p12

# You can replace the pkcs12
# directive with the old ones
#ca cacert.pem
#cert user.pem
#key user-key.pem

ca /home/thierry/Informatique/SMEserver/Certificats/cacert.pem
cert /home/thierry/Informatique/SMEserver/Certificats/debergerac.pem
key /home/thierry/Informatique/SMEserver/Certificats/debergerac-key.pem


mtu-test
comp-lzo
pull



et j'ai une autre erreur:

Code: [Select]

[root@fedora-msi Certificats]# openvpn --config /home/thierry/Informatique/SMEserver/Certificats/client.ovpn
Mon Jul 10 20:47:51 2017 WARNING: file '/home/thierry/Informatique/SMEserver/Certificats/takey.pem' is group or others accessible
Mon Jul 10 20:47:51 2017 OpenVPN 2.4.2 x86_64-redhat-linux-gnu [Fedora EPEL patched] [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on May 11 2017
Mon Jul 10 20:47:51 2017 library versions: OpenSSL 1.0.1e-fips 11 Feb 2013, LZO 2.08
Mon Jul 10 20:47:51 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.0.1:1194
Mon Jul 10 20:47:51 2017 UDP link local: (not bound)
Mon Jul 10 20:47:51 2017 UDP link remote: [AF_INET]192.168.0.1:1194
Mon Jul 10 20:47:51 2017 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]192.168.0.1:1194
Mon Jul 10 20:47:53 2017 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]192.168.0.1:1194

j'ai trouvé ça sur le site de OPENVPN:

https://community.openvpn.net/openvpn/wiki/BridgingOverview

et ça:

https://forums.openvpn.net/viewtopic.php?t=22462

merci beaucoup

[stephdl]

Revenir au basique.......

A ce stade des impressions d'ecrans de la configuration des certificats du server sont indispensables, pareil pour le parametrage de networkmanager car les erreurs peuvent être multiples.

Malheureusement on ne pourra pas t'aider sans.

En fait tu cherches un bug, alors que probablement tu es la raison de ce bug...tu sais l'interface chaise/clavier et toussa.

[Jean-Philippe Pialasse]

Revenir au basique.......

A ce stade des impressions d'ecrans de la configuration des certificats du server sont indispensables, pareil pour le parametrage de networkmanager car les erreurs peuvent être multiples.

Malheureusement on ne pourra pas t'aider sans.

En fait tu cherches un bug, alors que probablement tu es la raison de ce bug...tu sais l'interface chaise/clavier et toussa.

je mettrais juste un bemol sur "impressions d'ecrans de la configuration des certificats du server " pour éviter de compromettre tes clefs.



personnellement ce que j'aurais conseillé c'est de reprendre la configuration du début en utilisant phpki comme décrit dans le wiki, jusqu’à ce que tu aies une configuration fonctionnelle. J'aurais ensuite migré vers mes certificats perso déjà en main, en comparant les formats des clefs générées par phpki et celles en main.

je ne vois que des logs venant de ton client mais aucun de ton serveur, prouvant que le service tourne correctement et avec une bonne configuration, il est fort probable que tu trouve le problème en regardant tes logs serveur. Par exemple un certificat utilisé invalide ou non prévu pour une utilisation vpn.

Code: [Select]

# tail -f /var/log/openvpn-bridge/current
ou via le manager par la panel des logs.

[trazomtg]

merci pour votre réponse.
voici la log /var/log/open-bridge/current du server:

Code: [Select]

@400000005963cbe11fe07044 192.168.0.20:55445 TLS: Initial packet from [AF_INET]192.168.0.20:55445, sid=a6c1adec 11579188
@400000005963cbe11fe07fe4 192.168.0.20:55445 TLS Error: reading acknowledgement record from packet
@400000005963cbe328888c7c 192.168.0.20:55445 TLS Error: reading acknowledgement record from packet
@400000005963cc1d1c868f14 192.168.0.20:55445 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
@400000005963cc1d1c86a29c 192.168.0.20:55445 TLS Error: TLS handshake failed
@400000005963cc1d1c896d74 192.168.0.20:55445 SIGUSR1[soft,tls-error] received, client-instance restarting

network-manager ne fonctionne pas: je n'arrive pas à créer une connexion VPN car je ne peux remplir tous les champs!

j'ai aussi: sur le server

Code: [Select]

[root@smeserver-toshiba openvpn-bridge]#  brctl show br0
bridge name bridge id STP enabled interfaces
br0 8000.00249b233f6c no eth1
tap0

et

Code: [Select]

[root@smeserver-toshiba openvpn-bridge]# db configuration show bridge
bridge=service
    bridgeInterface=br0
    ethernetInterface=eth1
    status=enabled
    tapInterface=tap0


je suis assez d'accord avec l'interface chaise/clavier
je vais reprendre la configuration depuis le début et je vous tiendrai au courant.
bonne nuit
Merci encore
T.

[stephdl]

network-manager ne fonctionne pas: je n'arrive pas à créer une connexion VPN car je ne peux remplir tous les champs!

commence par le commencement, répare ton NM, installe une autre distribution linux

NM est tout simplement indispendable....si il ne marche pas.... as tu installé NetworkManager-openvpn-gnome

[Daniel B.]

Le problème (du moins un problème) est assez simple: tu as utilisé la clé d'auth secrète (clé partagée, takey.pem) sur le client, mais pas sur le serveur. Soit elle l'est sur les 2, soit sur aucun des deux, sinon, la connexion sera refusée bien avant que les certificats ne soient vérifiés. Mais tout ça est bien documenté sur le wiki (Static Key: This is optional. You can get it using the "Display the static pre-shared key" link in PHPki. Note that if you enter this key on the server, you'll have to deploy it on each client.), lis le calmement, et en entier

[Jean-Philippe Pialasse]

bonjour,

je suis en train de configurer le client openvpn sur ma Fedora 25.
la doc  https://wiki.contribs.org/OpenVPN_Bridge#Linux_with_Network_Manager ne donne la marche à suivre que pour Fedora 19
est ce que c'est valable pour Fedora 25 ou y a t il une autre doc?

merci

je confirme que le NM marche sur Fedora 25. Cela marche pour moi sur 3 ordinateurs différents vers plusieurs serveurs openvpn différents. Pas vu de doc spécifique a fedora 25.

les champs à enseigner pour une auth par certificats
- Identité
-- passerelle : ip de ton serveur
-- authentification :
--- type: certificat (TLS)
---certificat utilisateur ( peut être un pem ou un p12, doit être dans un dossier respectant les politiques de sécurité : /home/username/.cert/tonserveur avec droits en lecture et écriture seulement par l'utilisateur, inaccessible pour le groupe et les autres !  )
---certificat du CA ( peut être un pem ou un p12, doit être dans un dossier respectant les politiques de sécurité : /home/username/.cert/tonserveur avec droits en lecture et écriture seulement par l'utilisateur, inaccessible pour le groupe et les autres !  )
---clé privée ( peut être un key ou un p12, doit être dans un dossier respectant les politiques de sécurité : /home/username/.cert/tonserveur  avec droits en lecture et écriture seulement par l'utilisateur, inaccessible pour le groupe et les autres ! )
---mot de passe clé privée: (obligatoire donc ta clef doit avoir été générée avec mot de passe sinon NM n'en voudra pas et n'enregistrera pas ta configuration) SI tu veux utiliser une clef sans passphrase, alors tu dois utiliser la configuration manuelle de openvpn et créer une entrée spécifique dans systemd pour ouvrir la connexion au démarrage. Cherche aussi sur internet comment générer une clef avec passphrase à partir d'une clef sans.

--avancé :
---général coché LZO si activé sur serveur
---authentification TLS: cocher "utilsier authentification TLS supplémentaire" si activée sur serveur, renseigner le fichier clé (.pem qui doit être dans un sous dossier /home/username/.cert/tonserveur avec droits en lecture et écriture seulement par l'utilisateur, inaccessible pour le groupe et les autres ! ), direction de la clé ( meme valeur que sur le serveur)

tout le reste peut être laissé par défaut !

[trazomtg]

je vous remercie pour ces réponses.
je vais suivre exactement ce que vous me dites et je vous tiendrai au courant.

c'est vrai que la doc est précise et j'ai donc du sauter un point crucial
cordialement
T.