Topic: openvpn et pki

[Daniel B.]

En général, cette erreur montre que ton client ne peut pas contacter le port UDP 1194 du serveur. Sans savoir depuis où tu te connectes, je ne peux pas en dire plus

[trazomtg]

je me connecte depuis un ordi sur mon lan derriere SMEserver

[Daniel B.]

Alors, depuis le LAN, ça ne pourra pas marcher, quoi qu'il arrive (la connexion devrait cependant s'établir). Tu as peut être mal configuré les certificats du serveur. Vérifies que le démon soit bien lancé

Code: [Select]

tailf /var/log/openvpn-bridge/current


[trazomtg]

pourquoi ça ne marchera pas depuis le lan?

voici le résultat du tailf:

Code: [Select]

@400000005960ccd104ed9ab4 WARNING: file 'priv/takey.pem' is group or others accessible
@400000005960ccd104ee4694 OpenVPN 2.4.2 x86_64-redhat-linux-gnu [Fedora EPEL patched] [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on May 11 2017
@400000005960ccd104ee524c library versions: OpenSSL 1.0.1e-fips 11 Feb 2013, LZO 2.03
@400000005960ccd104f51c94 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:11194
@400000005960ccd104f71c4c NOTE: when bridging your LAN adapter with the TAP adapter, note that the new bridge adapter will often take on its own IP address that is different from what the LAN adapter was previously set to
@400000005960ccd10519abf4 Diffie-Hellman initialized with 1024 bit key
@400000005960ccd1051e47a4 neither stdin nor stderr are a tty device and you have neither a controlling tty nor systemd - can't ask for 'Enter Private Key Password:'.  If you used --daemon, you need to use --askpass to make passphrase-protected keys work, and you can not use --auth-nocache.
@400000005960ccd1051e535c Exiting due to fatal error

j'ai aussi trouvé ça:
https://openvpn.net/index.php/open-source/faq/79-client/253-tls-error-tls-key-negotiation-failed-to-occur-within-60-seconds-check-your-network-connectivity.html

[Daniel B.]

Tu as créé un certificat dont la clé privée est protégée par mot de passe. Comme indiqué dans la Doc, il ne faut pas de mot de passe. Recrée un certificat, et met le en place via le panel du server-manager

[trazomtg]

quel est ce certificat? le principal du server? (CA)

j'ai 2 certificats sur mon client:  cert.pem et cacert.pem + takey.pem

et j'ai tout ça sur le server (entre autres)

Code: [Select]

./etc/openvpn/bridge/pub/cacert.pem
./etc/openvpn/bridge/pub/cacrl.pem
./etc/openvpn/bridge/pub/cert.pem
./etc/openvpn/bridge/pub/dh.pem
./etc/openvpn/bridge/priv/takey.pem
./etc/openvpn/bridge/priv/key.pem
./etc/raddb/certs/radiusd.pem
./etc/raddb/certs/ca.pem
./etc/raddb/certs/server.pem
./etc/raddb/certs/01.pem

[Stefano]

I beg your pardon but you introduced yourself as an old sysadmin IIRC
you'd be able to read and follow the documentati on
If anything in the DOC is unclear, please open a bug or, if you feel you can help us, ask for a wiki access and amend the wiki

[trazomtg]

hi,

the doc is multiple and has a lot of pages out of services.
for exemple: what's the utility of the script firewall.sh?
the port 1194 must be opened and we find sometimes the port 443

so i'd like to know what's this certificat and its private key?

when i have resolve my problemes i thought to give you all i in a file on your website.
if you don't agree, ok, let's me search alone, i never give up and i allways find the solutions.
but you'll not receive any of my contribution and le next client will have the same problems

Best regards
T

[gieres]

Bonsoir,

Certificat du serveur

Maintenant, vous devez créer un certificat pour OpenVPN sur le serveur. Pour cela, dans le gestionnaire du serveur, section « Sécurité », le menu « Gestion des certificats » permet d'accéder à l’interface PHPki en anglais. (A vérifier)

Choisir « Create a new certificate ». Ici, vous devrez entrer quelques informations sur le certificat :

    Common Name: c’est le nom du certificat. Vous pouvez entrer ce que vous voulez, par exemple « openvpn-bridge »
    Email address: l’adresse e-mail du contact technique (ce champ n’est pas utilisé, vous pouvez entrer ce que vous voulez tant qu’il s’agit d’une adresse e-mail valide), par exemple admin@domain.tld
    Organization, Department, Locality, State and Country: les champs devraient avoir les valeurs que vous avez entrées lorsque vous avez créé votre PKI. Vous pouvez laisser ces valeurs.
    Password: Ce champ doit être vide. Rappelez-vous que le démon OpenVPN démarre sans intervention humaine lors du démarrage du serveur, donc il faut avoir accès à la clé du certificat sans être invité à entrer un mot de passe.

Bonne fin de semaine.

[trazomtg]

j'ai installé le certificat server ... correctement j'espère!

je vais faire de même avec le client
je te tiens au courant

[trazomtg]

ça va mieux mais j'ai une nouvelle erreur:

Code: [Select]

[root@fedora-msi Certificats]# openvpn --config /home/thierry/Informatique/SMEserver/Certificats/client.ovpn
Sun Jul  9 18:02:26 2017 OpenVPN 2.4.2 x86_64-redhat-linux-gnu [Fedora EPEL patched] [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on May 11 2017
Sun Jul  9 18:02:26 2017 library versions: OpenSSL 1.0.1e-fips 11 Feb 2013, LZO 2.08
Sun Jul  9 18:02:26 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.0.1:1194
Sun Jul  9 18:02:26 2017 UDP link local: (not bound)
Sun Jul  9 18:02:26 2017 UDP link remote: [AF_INET]192.168.0.1:1194
Sun Jul  9 18:02:26 2017 write UDP: Network is unreachable (code=101)
Sun Jul  9 18:02:26 2017 Network unreachable, restarting
Sun Jul  9 18:02:26 2017 SIGUSR1[soft,network-unreachable] received, process restarting


je pense que le fichier openvpn.conf n'est pas bon:

#------------------------------------------------------------
#          !!DO NOT MODIFY THIS FILE!!
#
# Manual changes will be lost when this file is regenerated.
#
# Please read the developer's guide, which is available
# at http://www.contribs.org/development/
#
# Copyright (C) 1999-2006 Mitel Networks Corporation
#------------------------------------------------------------
# Virtual Interface Configuration

port 1194
proto udp
dev tap0


# Drop down privileges
user nobody
group nobody
chroot /etc/openvpn/bridge

persist-key
persist-tun

# Certificates config
dh pub/dh.pem
ca pub/cacert.pem
cert pub/cert.pem
key priv/key.pem
tls-server



# CRL file for certificates verification
crl-verify pub/cacrl.pem

# Plugin for user-auth


# Server mode
server-bridge 192.168.0.1 255.255.255.0 192.168.0.22 192.168.0.25

# Options
keepalive 10 120
push "dhcp-option DOMAIN trazom.thierry"
push "dhcp-option DNS 192.168.0.1"
push "dhcp-option WINS 192.168.0.1"

mtu-test
passtos


nice 5

# Routes


# Management interface
management localhost 11194 management-pass.txt

# Clients options
client-config-dir ccd
max-clients 20
comp-lzo adaptive
push "comp-lzo adaptive"


# Log
status-version 2
status bridge-status.txt
suppress-timestamps
verb 3

qu'en penses-tu?

[stephdl]

Je vais simplement suggerer de reprendre a zero, il me semble que vous etes passé à côté de points tout simplement indispendable.

Quitte a faire cela sur une machine vierge histoire de voir si une customisation ne mettrait pas la panique

Quelques liens que j'ai ecris sur le sujet, networkmanager a changé graphiquement mais le fond est le même

https://geekeries.de-labrusse.fr/?p=2766
https://geekeries.de-labrusse.fr/?p=360
https://geekeries.de-labrusse.fr/?p=235

[trazomtg]

bonjour,

j'ai eu le problème de https://geekeries.de-labrusse.fr/?p=2766  mais je l'ai résolu.
dans ton 2ème lien https://geekeries.de-labrusse.fr/?p=360  je n'arrive pas à rentrer les valeurs user.pem CA.pem et user-key.pem
de plus je n'ai pas créé de user-key car il est écrit dans la doc que ce n'est pas nécessaire.

[stephdl]

Va bien falloir rentrer les certificats du client sur le pc qui demande a se connecter au vpn.....sinon marchera pas.

De plus que veux tu dire par je n'y arrive pas.....surtout que la c'est sur le client et non sur la sme

La user-key est obligatoirement crée.....quel est le lien qui vous demande de ne pas la créer.

Utiliser openvpn est simple, le parametrer l est presque tout autant je crois que vous etes passé à côté d'un truc évident du style mettre le bon certificat a la bonne place

[guest22]

[Quote author = trazomtg link = topic = 53176.msg275640 # msg275640 date = 1499548393]
Receive goal you'll not'any of my contribution and the next customer will avez la même problems
[/ quote]


How friendly.... and you are asking for help?