Forum Freedom-IP

Forum d'entraide de la communauté Freedom-IP

Vous n'êtes pas identifié(e).

#1 2013-03-13 20:32:12

Mac-Gayver
Membre
Inscription : 2013-03-13
Messages : 6

Connexion au serveur VPN grâce a PfSense.

Bonjour,


Pour commencer je tiens à remercier Freedom-IP de m'avoir accepté parmi ses membres.

C'est mon premier post sur ce forum, j'espère être aussi claire que possible ...

Le matériel :
Un firewall (PfSense) connecté derrière une Freebox, gère l'accès internet de mon domicile.

Le but :
J'aimerais pouvoir rediriger l'entièreté du trafic internet de mon domicile à travers le serveur NL5_freedomip, grâce à PfSence histoire d'avoir un accès transparent à celui-ci pour les PC connectés au réseau LAN.

Schéma (simplifié) :
1363199881_vpn_pfsense.jpg

Les configurations effectués :
Grâce au Cert Manager de PfSense, j'ai importé un certificat dont le contenu viens du fichier ca.crt de Freedom-IP, dans la catégorie "Certificate Authority".
Dans la catégorie "Certificates" j'ai importé un certificat dont le "Certificate data" est le contenu de ca.crt de Freedom-IP, et le "Private key data" est le contenu de ta.key (sans les lignes commencent par #)
--> A mon avis il y à un problème avec le second, car lorsque je l'utilise dans la configuration du VPN, j'ai une erreur, alors que quand j'utilise un certificat déjà présent dans PfSense (webConfigurator default), là OpenVPN parviens bien à se connecter sur NL5.

Ensuite, j'ai configuré un nouveau client OpenVPN, voici un ScreenShoot :
configvpn.png

Uploaded with ImageShack.us

Erreurs possibles, si vous en voyez ... Merci ^^

Ensuite, j'ai créé une interface  nommée VPN dont le port et le client OpenVPN [ovpnc1 (NL5_freedomip)].

Ensuite, j'ai indiqué que la passerelle par défaut été sur l'interface VPN

Et enfin, j'ai essayé de déterminer mon adresse IP grâce au site Host IP, mais là je me suis aperçu que je n'avais plus de connexion internet ...

Après de multiples essais, me voila ici en train de vous demander de l'aide ...


Merci à tout ceux qui ont eu le courage de tout lire  smile

Dernière modification par Mac-Gayver (2013-03-13 20:39:38)

Hors ligne

#2 2013-03-13 20:46:55

David
Bof !!!
Inscription : 2012-01-30
Messages : 6 121

Re : Connexion au serveur VPN grâce a PfSense.

Bonjour ...

Déjà, vous pouvez retirer les "route-method" et "route-delay" qui sont spécifiques à Windows.
Ensuite, je ne sait pas si en première ligne le "Disabled" doit resté coché !? devil

Sinon, voyez pour nous envoyer les logs et mettez les en plus verbeux ... "verb 3" serait pas mal smile

Cordialement, David.


C.G.U.                Règles

Hors ligne

#3 2013-03-13 21:41:02

Mac-Gayver
Membre
Inscription : 2013-03-13
Messages : 6

Re : Connexion au serveur VPN grâce a PfSense.

Waouh, je ne m'attendais pas à une réponse aussi rapide, merci :-)

Effectivement, pour le disabled, c'était juste histoire d'avoir une connexion internet le temps de résoudre le problème ^^
J'ai retiré les "route-method", "route-delay", et changé le niveau des logs pour 3.

Voici les logs lorsque pour "Client Certificat" je choisis le certificat le certificat que j'ai importé :

[== Logs ==]
Mar 13 20:25:02	 openvpn[37935]: OpenVPN 2.2.0 amd64-portbld-freebsd8.1 [SSL] [LZO2] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Aug 6 2012
Mar 13 20:25:02	 openvpn[37935]: MANAGEMENT: unix domain socket listening on /var/etc/openvpn/client1.sock
Mar 13 20:25:02	 openvpn[37935]: WARNING: file '/conf/pass.txt' is group or others accessible
Mar 13 20:25:02	 openvpn[37935]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Mar 13 20:25:02	 openvpn[37935]: Cannot load private key file /var/etc/openvpn/client1.key: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib
Mar 13 20:25:02	 openvpn[37935]: Error: private key password verification failed
Mar 13 20:25:02	 openvpn[37935]: Exiting

Mais sinon, quand j'utilise un certificat qui été déjà présent dans PfSense, tout semble OK niveau VPN, mais ne pourrais t'il pas y avoir un problème (Due au mauvais certificat), qui empêcherait toutes communications, mais qui ne serait pas indiqué dans les logs ? Sinon mon problème se situerait plutôt après le VPN.


Voici les logs lorsque pour "Client Certificat" je choisis le certificat déjà présent dans PfSense (webConfigurator default) :

[== Logs ==]
Mar 13 20:33:01	 openvpn[25386]: OpenVPN 2.2.0 amd64-portbld-freebsd8.1 [SSL] [LZO2] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Aug 6 2012
Mar 13 20:33:01	 openvpn[25386]: MANAGEMENT: unix domain socket listening on /var/etc/openvpn/client1.sock
Mar 13 20:33:01	 openvpn[25386]: WARNING: file '/conf/pass.txt' is group or others accessible
Mar 13 20:33:01	 openvpn[25386]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Mar 13 20:33:01	 openvpn[25386]: Control Channel Authentication: using '/var/etc/openvpn/client1.tls-auth' as a OpenVPN static key file
Mar 13 20:33:01	 openvpn[25386]: Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mar 13 20:33:01	 openvpn[25386]: Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mar 13 20:33:01	 openvpn[25386]: LZO compression initialized
Mar 13 20:33:01	 openvpn[25386]: Control Channel MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:0 ]
Mar 13 20:33:01	 openvpn[25386]: Socket Buffers: R=[42080->65536] S=[57344->65536]
Mar 13 20:33:01	 openvpn[25386]: Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Mar 13 20:33:01	 openvpn[25386]: Local Options hash (VER=V4): '9e7066d2'
Mar 13 20:33:01	 openvpn[25386]: Expected Remote Options hash (VER=V4): '162b04de'
Mar 13 20:33:01	 openvpn[25461]: UDPv4 link local (bound): [AF_INET]192.168.0.2
Mar 13 20:33:01	 openvpn[25461]: UDPv4 link remote: [AF_INET]94.23.145.51:53
Mar 13 20:33:01	 openvpn[25461]: TLS: Initial packet from [AF_INET]94.23.145.51:53, sid=f3b8ec72 6c076ecb
Mar 13 20:33:01	 openvpn[25461]: WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Mar 13 20:33:01	 openvpn[25461]: VERIFY OK: depth=1, /C=NL/ST=CA/L=Amsterdam/O=FreedomIP/CN=FreedomIP_CA/emailAddress=freedom@freedom-ip.com
Mar 13 20:33:01	 openvpn[25461]: VERIFY OK: nsCertType=SERVER
Mar 13 20:33:01	 openvpn[25461]: VERIFY OK: depth=0, /C=NL/ST=CA/L=Amsterdam/O=FreedomIP/CN=server/emailAddress=freedom@freedom-ip.com
Mar 13 20:33:01	 openvpn[25461]: Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Mar 13 20:33:01	 openvpn[25461]: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mar 13 20:33:01	 openvpn[25461]: Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Mar 13 20:33:01	 openvpn[25461]: Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mar 13 20:33:01	 openvpn[25461]: Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Mar 13 20:33:01	 openvpn[25461]: [server] Peer Connection Initiated with [AF_INET]94.23.145.51:53
Mar 13 20:33:04	 openvpn[25461]: SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Mar 13 20:33:04	 openvpn[25461]: PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,route 10.16.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.16.1.234 10.16.1.233'
Mar 13 20:33:04	 openvpn[25461]: OPTIONS IMPORT: timers and/or timeouts modified
Mar 13 20:33:04	 openvpn[25461]: OPTIONS IMPORT: --ifconfig/up options modified
Mar 13 20:33:04	 openvpn[25461]: OPTIONS IMPORT: route options modified
Mar 13 20:33:04	 openvpn[25461]: OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Mar 13 20:33:04	 openvpn[25461]: ROUTE default_gateway=192.168.0.1
Mar 13 20:33:04	 openvpn[25461]: TUN/TAP device /dev/tun1 opened
Mar 13 20:33:04	 openvpn[25461]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Mar 13 20:33:04	 openvpn[25461]: /sbin/ifconfig ovpnc1 10.16.1.234 10.16.1.233 mtu 1500 netmask 255.255.255.255 up
Mar 13 20:33:04	 openvpn[25461]: /usr/local/sbin/ovpn-linkup ovpnc1 1500 1558 10.16.1.234 10.16.1.233 init
Mar 13 20:33:04	 openvpn[25461]: /sbin/route add -net 94.23.145.51 192.168.0.1 255.255.255.255
Mar 13 20:33:04	 openvpn[25461]: /sbin/route add -net 0.0.0.0 10.16.1.233 128.0.0.0
Mar 13 20:33:04	 openvpn[25461]: /sbin/route add -net 128.0.0.0 10.16.1.233 128.0.0.0
Mar 13 20:33:04	 openvpn[25461]: /sbin/route add -net 10.16.0.1 10.16.1.233 255.255.255.255
Mar 13 20:33:04	 openvpn[25461]: Initialization Sequence Completed

P.S. : Je viens de voir dans les logs qu'il dit que ma passerelle par defaut est 192.168.0.1 (ma Freebox) mais normalement c'est l'interface du VPN, j'ai du changer juste le temps d'avoir une connexion internet ...

Encore merci

Hors ligne

#4 2013-03-13 21:55:12

David
Bof !!!
Inscription : 2012-01-30
Messages : 6 121

Re : Connexion au serveur VPN grâce a PfSense.

Re ...

Bon, le TLS est bien le contenu du fichier "ta.key" mais ce que je ne saisi pas c'est l'utilisation du "ca.crt" ... dans le premier log, le message suivant semble vouloir dire que le format n'est pas bon ou qu'il n'existe pas :

Cannot load private key file /var/etc/openvpn/client1.key: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib

Pour le second log, vous dites utiliser le certificat déjà présent dans PfSense ... !?

Cordialement, David.


C.G.U.                Règles

Hors ligne

#5 2013-03-13 22:40:11

Mac-Gayver
Membre
Inscription : 2013-03-13
Messages : 6

Re : Connexion au serveur VPN grâce a PfSense.

Re,

Voici les 2 certificats (ta et celui que j'ai importé) :
1363210937_certificats.jpg

Pour la création du certificat, je doit remplir 2 champs :
Certificate data  --> Je copie le contenu de ca.crt
Private key data --> Je copie le contenu de ta.key

Je me demande si je ne peu pas me passer de ce certificat et utiliser l'autre ...
Je viens de réessayer en vain.

Dernière modification par Mac-Gayver (2013-03-13 22:42:35)

Hors ligne

#6 2013-03-13 23:01:00

David
Bof !!!
Inscription : 2012-01-30
Messages : 6 121

Re : Connexion au serveur VPN grâce a PfSense.

Re ...

Est-il possible de ne pas choisir de certificat pour "Client Certificat" (None ou Autre) !?

Ok ... le TLS est bien le "ta.key".
Pour moi le "Peer Certificate Authority" est le "ca.crt" (ce que j'appelle le Certificat Racine / Certficate CA Root) ... mais bon, lorsque les termes changent, surtout à cette heure, pas évident smile

Cordialement, David.


C.G.U.                Règles

Hors ligne

#7 2013-03-13 23:01:46

Mac-Gayver
Membre
Inscription : 2013-03-13
Messages : 6

Re : Connexion au serveur VPN grâce a PfSense.

Je viens de refaire un test avec quelques ping après s'être connecté au VPN, et passerelle configurée :

Ping vers interface LAN  192.168.1.1--> OK
Ping vers interface WAN 192.168.0.1--> OK
Ping vers 94.23.145.51 (Serveur Freedom-IP ?) --> OK
Ping vers google.com --> Résolution DNS OK, mais pas de réponse.
Ping vers 8.8.8.8 (DNS Google) --> Pas de réponse
Ping vers l'IP qu'il ma été attribué par le DHCP de Freedom-ip (10.16.1.233) c'est donc l'IP de ma passerelle --> Pas de réponse

Je pense avoir un problème de configuration après le VPN.
Sur ce, je reviens demain ... Bonne soirée, Merci.
___________________________________________

Non pas possible de ne pas choisir de certificat malheureusement ...
Le "Peer Certificate Authority" est bien le "ca.crt", je vais quand même revérifier (On ne sait jamais ^^)
Cordialement

Hors ligne

#8 2013-03-13 23:14:13

David
Bof !!!
Inscription : 2012-01-30
Messages : 6 121

Re : Connexion au serveur VPN grâce a PfSense.

Re ...

Pour le ping, il est bloqué par le VPN ... Du moins, j'ai toujours constaté que "ping" et "traceroute" n'aboutissent pas chez moi ... en même temps, ça évite les abus (là, sous NL5 le ping ne passe pas ... sur les autres non plus d'ailleurs) ... smile

Donc, le test que vous avez effectué n'est pas significatif.

Cordialement, David.


C.G.U.                Règles

Hors ligne

#9 2013-03-13 23:27:18

Mac-Gayver
Membre
Inscription : 2013-03-13
Messages : 6

Re : Connexion au serveur VPN grâce a PfSense.

Non pas possible de ne pas choisir de certificat malheureusement ...

Le "Peer Certificate Authority" est bien le "ca.crt", je vais quand même revérifier (On ne sait jamais ^^)

Demain je vais essayer de me pencher sur la configuration interface VPN, je me suis peu être trompé.

En tout cas dès que tout fonctionne et que j'ai compris d'où vient le problème, je prépare un petit tuto, ça peu être intéressant ^^

Cordialement

Hors ligne

Pied de page des forums