Connexion au serveur VPN grâce a PfSense.

Mac-Gayver · 2013-03-13 20:32:12

Dernière modification par Mac-Gayver (2013-03-13 20:39:38)

David · 2013-03-13 20:46:55

Bonjour ...

Déjà, vous pouvez retirer les "route-method" et "route-delay" qui sont spécifiques à Windows.
Ensuite, je ne sait pas si en première ligne le "Disabled" doit resté coché !? devil

Sinon, voyez pour nous envoyer les logs et mettez les en plus verbeux ... "verb 3" serait pas mal smile

Cordialement, David.

Mac-Gayver · 2013-03-13 21:41:02

Waouh, je ne m'attendais pas à une réponse aussi rapide, merci :-)

Effectivement, pour le disabled, c'était juste histoire d'avoir une connexion internet le temps de résoudre le problème ^^
J'ai retiré les "route-method", "route-delay", et changé le niveau des logs pour 3.

Voici les logs lorsque pour "Client Certificat" je choisis le certificat le certificat que j'ai importé :

[== Logs ==]
Mar 13 20:25:02	 openvpn[37935]: OpenVPN 2.2.0 amd64-portbld-freebsd8.1 [SSL] [LZO2] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Aug 6 2012
Mar 13 20:25:02	 openvpn[37935]: MANAGEMENT: unix domain socket listening on /var/etc/openvpn/client1.sock
Mar 13 20:25:02	 openvpn[37935]: WARNING: file '/conf/pass.txt' is group or others accessible
Mar 13 20:25:02	 openvpn[37935]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Mar 13 20:25:02	 openvpn[37935]: Cannot load private key file /var/etc/openvpn/client1.key: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib
Mar 13 20:25:02	 openvpn[37935]: Error: private key password verification failed
Mar 13 20:25:02	 openvpn[37935]: Exiting

Mais sinon, quand j'utilise un certificat qui été déjà présent dans PfSense, tout semble OK niveau VPN, mais ne pourrais t'il pas y avoir un problème (Due au mauvais certificat), qui empêcherait toutes communications, mais qui ne serait pas indiqué dans les logs ? Sinon mon problème se situerait plutôt après le VPN.

Voici les logs lorsque pour "Client Certificat" je choisis le certificat déjà présent dans PfSense (webConfigurator default) :

[== Logs ==]
Mar 13 20:33:01	 openvpn[25386]: OpenVPN 2.2.0 amd64-portbld-freebsd8.1 [SSL] [LZO2] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Aug 6 2012
Mar 13 20:33:01	 openvpn[25386]: MANAGEMENT: unix domain socket listening on /var/etc/openvpn/client1.sock
Mar 13 20:33:01	 openvpn[25386]: WARNING: file '/conf/pass.txt' is group or others accessible
Mar 13 20:33:01	 openvpn[25386]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Mar 13 20:33:01	 openvpn[25386]: Control Channel Authentication: using '/var/etc/openvpn/client1.tls-auth' as a OpenVPN static key file
Mar 13 20:33:01	 openvpn[25386]: Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mar 13 20:33:01	 openvpn[25386]: Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mar 13 20:33:01	 openvpn[25386]: LZO compression initialized
Mar 13 20:33:01	 openvpn[25386]: Control Channel MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:0 ]
Mar 13 20:33:01	 openvpn[25386]: Socket Buffers: R=[42080->65536] S=[57344->65536]
Mar 13 20:33:01	 openvpn[25386]: Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Mar 13 20:33:01	 openvpn[25386]: Local Options hash (VER=V4): '9e7066d2'
Mar 13 20:33:01	 openvpn[25386]: Expected Remote Options hash (VER=V4): '162b04de'
Mar 13 20:33:01	 openvpn[25461]: UDPv4 link local (bound): [AF_INET]192.168.0.2
Mar 13 20:33:01	 openvpn[25461]: UDPv4 link remote: [AF_INET]94.23.145.51:53
Mar 13 20:33:01	 openvpn[25461]: TLS: Initial packet from [AF_INET]94.23.145.51:53, sid=f3b8ec72 6c076ecb
Mar 13 20:33:01	 openvpn[25461]: WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Mar 13 20:33:01	 openvpn[25461]: VERIFY OK: depth=1, /C=NL/ST=CA/L=Amsterdam/O=FreedomIP/CN=FreedomIP_CA/emailAddress=freedom@freedom-ip.com
Mar 13 20:33:01	 openvpn[25461]: VERIFY OK: nsCertType=SERVER
Mar 13 20:33:01	 openvpn[25461]: VERIFY OK: depth=0, /C=NL/ST=CA/L=Amsterdam/O=FreedomIP/CN=server/emailAddress=freedom@freedom-ip.com
Mar 13 20:33:01	 openvpn[25461]: Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Mar 13 20:33:01	 openvpn[25461]: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mar 13 20:33:01	 openvpn[25461]: Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Mar 13 20:33:01	 openvpn[25461]: Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mar 13 20:33:01	 openvpn[25461]: Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Mar 13 20:33:01	 openvpn[25461]: [server] Peer Connection Initiated with [AF_INET]94.23.145.51:53
Mar 13 20:33:04	 openvpn[25461]: SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Mar 13 20:33:04	 openvpn[25461]: PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,route 10.16.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.16.1.234 10.16.1.233'
Mar 13 20:33:04	 openvpn[25461]: OPTIONS IMPORT: timers and/or timeouts modified
Mar 13 20:33:04	 openvpn[25461]: OPTIONS IMPORT: --ifconfig/up options modified
Mar 13 20:33:04	 openvpn[25461]: OPTIONS IMPORT: route options modified
Mar 13 20:33:04	 openvpn[25461]: OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Mar 13 20:33:04	 openvpn[25461]: ROUTE default_gateway=192.168.0.1
Mar 13 20:33:04	 openvpn[25461]: TUN/TAP device /dev/tun1 opened
Mar 13 20:33:04	 openvpn[25461]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Mar 13 20:33:04	 openvpn[25461]: /sbin/ifconfig ovpnc1 10.16.1.234 10.16.1.233 mtu 1500 netmask 255.255.255.255 up
Mar 13 20:33:04	 openvpn[25461]: /usr/local/sbin/ovpn-linkup ovpnc1 1500 1558 10.16.1.234 10.16.1.233 init
Mar 13 20:33:04	 openvpn[25461]: /sbin/route add -net 94.23.145.51 192.168.0.1 255.255.255.255
Mar 13 20:33:04	 openvpn[25461]: /sbin/route add -net 0.0.0.0 10.16.1.233 128.0.0.0
Mar 13 20:33:04	 openvpn[25461]: /sbin/route add -net 128.0.0.0 10.16.1.233 128.0.0.0
Mar 13 20:33:04	 openvpn[25461]: /sbin/route add -net 10.16.0.1 10.16.1.233 255.255.255.255
Mar 13 20:33:04	 openvpn[25461]: Initialization Sequence Completed

P.S. : Je viens de voir dans les logs qu'il dit que ma passerelle par defaut est 192.168.0.1 (ma Freebox) mais normalement c'est l'interface du VPN, j'ai du changer juste le temps d'avoir une connexion internet ...

Encore merci

David · 2013-03-13 21:55:12

Re ...

Bon, le TLS est bien le contenu du fichier "ta.key" mais ce que je ne saisi pas c'est l'utilisation du "ca.crt" ... dans le premier log, le message suivant semble vouloir dire que le format n'est pas bon ou qu'il n'existe pas :

Cannot load private key file /var/etc/openvpn/client1.key: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib

Pour le second log, vous dites utiliser le certificat déjà présent dans PfSense ... !?

Cordialement, David.

Mac-Gayver · 2013-03-13 22:40:11

Dernière modification par Mac-Gayver (2013-03-13 22:42:35)

David · 2013-03-13 23:01:00

Re ...

Est-il possible de ne pas choisir de certificat pour "Client Certificat" (None ou Autre) !?

Ok ... le TLS est bien le "ta.key".
Pour moi le "Peer Certificate Authority" est le "ca.crt" (ce que j'appelle le Certificat Racine / Certficate CA Root) ... mais bon, lorsque les termes changent, surtout à cette heure, pas évident smile

Cordialement, David.

Mac-Gayver · 2013-03-13 23:01:46

Je viens de refaire un test avec quelques ping après s'être connecté au VPN, et passerelle configurée :

Ping vers interface LAN 192.168.1.1--> OK
Ping vers interface WAN 192.168.0.1--> OK
Ping vers 94.23.145.51 (Serveur Freedom-IP ?) --> OK
Ping vers google.com --> Résolution DNS OK, mais pas de réponse.
Ping vers 8.8.8.8 (DNS Google) --> Pas de réponse
Ping vers l'IP qu'il ma été attribué par le DHCP de Freedom-ip (10.16.1.233) c'est donc l'IP de ma passerelle --> Pas de réponse

Je pense avoir un problème de configuration après le VPN.
Sur ce, je reviens demain ... Bonne soirée, Merci.
___________________________________________

Non pas possible de ne pas choisir de certificat malheureusement ...
Le "Peer Certificate Authority" est bien le "ca.crt", je vais quand même revérifier (On ne sait jamais ^^)
Cordialement

David · 2013-03-13 23:14:13

Re ...

Pour le ping, il est bloqué par le VPN ... Du moins, j'ai toujours constaté que "ping" et "traceroute" n'aboutissent pas chez moi ... en même temps, ça évite les abus (là, sous NL5 le ping ne passe pas ... sur les autres non plus d'ailleurs) ... smile

Donc, le test que vous avez effectué n'est pas significatif.

Cordialement, David.

Mac-Gayver · 2013-03-13 23:27:18

Non pas possible de ne pas choisir de certificat malheureusement ...

Le "Peer Certificate Authority" est bien le "ca.crt", je vais quand même revérifier (On ne sait jamais ^^)

Demain je vais essayer de me pencher sur la configuration interface VPN, je me suis peu être trompé.

En tout cas dès que tout fonctionne et que j'ai compris d'où vient le problème, je prépare un petit tuto, ça peu être intéressant ^^

Cordialement

Forum Freedom-IP VPN

Annonce

#1 2013-03-13 20:32:12

Connexion au serveur VPN grâce a PfSense.

#2 2013-03-13 20:46:55

Re : Connexion au serveur VPN grâce a PfSense.

#3 2013-03-13 21:41:02

Re : Connexion au serveur VPN grâce a PfSense.

#4 2013-03-13 21:55:12

Re : Connexion au serveur VPN grâce a PfSense.

#5 2013-03-13 22:40:11

Re : Connexion au serveur VPN grâce a PfSense.

#6 2013-03-13 23:01:00

Re : Connexion au serveur VPN grâce a PfSense.

#7 2013-03-13 23:01:46

Re : Connexion au serveur VPN grâce a PfSense.

#8 2013-03-13 23:14:13

Re : Connexion au serveur VPN grâce a PfSense.

#9 2013-03-13 23:27:18

Re : Connexion au serveur VPN grâce a PfSense.

Pied de page des forums