Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
1442 connectés 

 


 Mot :   Pseudo :  
  Aller à la page :
 
 Page :   1  2  3  4  5  ..  41  42  43  44  45  46
Page Suivante
Auteur Sujet :

Réseau privé virtuel sous Windows - OpenVPN - Tutoriels.

n°688497
fils_de_la​_lumiere
Posté le 08-08-2013 à 21:18:03  profilanswer
 

Reprise du message précédent :
J'ai trouvé!
 

push "redirect-gateway def1 bypass-dhcp"


 
dans le serveur.

mood
Publicité
Posté le 08-08-2013 à 21:18:03  profilanswer
 

n°740577
gokum5
Posté le 02-02-2014 à 15:20:49  profilanswer
 

Bonjour tt le monde  
 
Tout d'abord je vous remercie pour le post qui ma beaucoup aidé.
 
Je ne sais pas si le sujet est toujours d'actualité et surtout si je trouverais réponse à ma question en tout cas voila mon problème.
 
Ma configuration:
 
Client ---------> Routeur client -------INTERNET------> Routeur Entreprise --> Serveur VPN  
192.168.0.20      192.168.0.1                                      192.168.1.1               192.168.1.13
255.255.255.0                                                                                         255.255.255.0
10.8.0.6                                                                                                 10.8.0.1
 
Alors voila les deux Ordinateurs en bas à coté de l'horloge sont en vert aucune erreur dans le fichier STATUT.
 
J'arrive à faire le Ping du :
 
PC client : - Ping 10.8.0.1 "ping ok"
               - Ping 192.168.1.13 "ping ok"
 
PC Serveur: - Ping 10.8.0.6 "ping ok"
                 - Ping 192.168.0.20 "ping ne passe pas"
 
Voila mon problème c'est le petit texte en rouge....
 
Si vous pouviez m'aider ça serai Cool  :love:


Message édité par gokum5 le 02-02-2014 à 15:41:32
n°746452
acetone802​000
J'aime les circuits imprimés
Posté le 27-02-2014 à 07:31:34  profilanswer
 

Une question (pas trouvé dans le sujet)
 
Avez vous réussi à faire fonctionner OpenVPN au travers d'un SFR Wifi FON ?
 
Merci d'avance

n°752576
lune90
force ds a sagess
Posté le 21-03-2014 à 16:17:42  profilanswer
 

Bonsoir masterjul. j'ai suivi ton tuto étape par étape. il n'y a pas de problème dans les différentes configuration mais malheureusement j'ai rencontré se problème et je ne sais pas d'ou se trouve le problème alors svp aidez moi a le corriger car je tiens beaucoup a mettre cette solution en place
 
coté serveur voila ce que sa affiche
 
Fri Mar 21 15:08:07 2014 NOTE: --user option is not implemented on Windows
Fri Mar 21 15:08:07 2014 NOTE: --group option is not implemented on Windows
Fri Mar 21 15:08:07 2014 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009
Fri Mar 21 15:08:07 2014 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Mar 21 15:08:08 2014 Diffie-Hellman initialized with 1024 bit key
Fri Mar 21 15:08:08 2014 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Fri Mar 21 15:08:08 2014 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Mar 21 15:08:08 2014 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Mar 21 15:08:08 2014 TLS-Auth MTU parms [ L:1544 D:168 EF:68 EB:0 ET:0 EL:0 ]
Fri Mar 21 15:08:08 2014 ROUTE default_gateway=192.168.153.2
Fri Mar 21 15:08:08 2014 TAP-WIN32 device [Connexion au réseau local 2] opened: \\.\Global\{6004A19F-0787-4939-BA97-956F41E8485D}.tap
Fri Mar 21 15:08:08 2014 TAP-Win32 Driver Version 9.6  
Fri Mar 21 15:08:08 2014 TAP-Win32 MTU=1500
Fri Mar 21 15:08:09 2014 NETSH: C:\WINDOWS\system32\netsh.exe interface ip set address Connexion au réseau local 2 dhcp
Fri Mar 21 15:08:11 2014 ERROR: netsh command failed: returned error code 1
Fri Mar 21 15:08:16 2014 NETSH: C:\WINDOWS\system32\netsh.exe interface ip set address Connexion au réseau local 2 dhcp
Fri Mar 21 15:08:17 2014 ERROR: netsh command failed: returned error code 1
Fri Mar 21 15:08:22 2014 NETSH: C:\WINDOWS\system32\netsh.exe interface ip set address Connexion au réseau local 2 dhcp
Fri Mar 21 15:08:24 2014 ERROR: netsh command failed: returned error code 1
Fri Mar 21 15:08:29 2014 NETSH: C:\WINDOWS\system32\netsh.exe interface ip set address Connexion au réseau local 2 dhcp
Fri Mar 21 15:08:30 2014 ERROR: netsh command failed: returned error code 1
Fri Mar 21 15:08:34 2014 NETSH: command failed
Fri Mar 21 15:08:34 2014 Exiting

n°755054
clemence22​7
Posté le 29-03-2014 à 22:38:04  profilanswer
 

Tous les liens hotfiles ne fonctionne plus :'(

n°767490
Deadlock
Feck off, cup !
Posté le 21-05-2014 à 07:48:57  profilanswer
 

Bonjour,
 
Ce topic étant le plus "gros" dédié à OpenVPN, est-il éventuellement ouvert au questions de son implémentation sous Linux ?
 
Merci :jap:


---------------
"Les Doigts sont nos dieux!" - Année 100.000.667, 23ème, rebelle déiste.
n°767491
acetone802​000
J'aime les circuits imprimés
Posté le 21-05-2014 à 08:03:09  profilanswer
 

Le topic est surtout mort :s

n°767494
Master_Jul
Posté le 21-05-2014 à 08:37:27  profilanswer
 

En 8 ans (déjà...), les commandes ont dû pas mal évoluer.
 
Je ne perds pas espoir de rafraichir le topic quand j'aurai un peu de temps cependant. :)


---------------
En français, on écrit "connexion", pas "connection".
n°767498
Deadlock
Feck off, cup !
Posté le 21-05-2014 à 09:04:26  profilanswer
 

Je peux tenter quand même une question ici ou vaut mieux que j'ouvre un topic ?


---------------
"Les Doigts sont nos dieux!" - Année 100.000.667, 23ème, rebelle déiste.
n°767500
Master_Jul
Posté le 21-05-2014 à 09:08:49  profilanswer
 

On risque de te renvoyer ici je pense mais si tu penses que ça peut donner plus de visibilité à ton post vu que c'est propre à l'implémentation Linux pourquoi pas ! :p


---------------
En français, on écrit "connexion", pas "connection".
mood
Publicité
Posté le 21-05-2014 à 09:08:49  profilanswer
 

n°767581
Deadlock
Feck off, cup !
Posté le 21-05-2014 à 11:19:56  profilanswer
 

Bon ben je tente ici alors.
 
J'ai configuré un VPN dans le but de:
 
1.- Accéder aux shares de mon Syno "localement".
2.- Utiliser ma connexion internet quand je suis sur un wifi public (hôtel, etc, ...)
 
Le serveur est un Raspberry PI sous Raspbian (debian) avec OpenVPN 2.2.1
Les clients sont des terminaux Android (OpenVPN Connect 1.1.14), une VM debian (OpenVPN 2.3.2) et ensuite des clients Windows7, mais je ne me suis pas encore penché sur ce cas.
 
Infrastructure:
 
Livebox Play: 192.168.1.1/DHCP serveur/Default DNS (TCP1194 -> RPI)
Raspberry Pi: 192.168.1.200/Serveur OpenVPN
 
server.conf:

local 192.168.1.200
dev tun
proto tcp
port 1194
 
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/rpivpn.crt
key /etc/openvpn/easy-rsa/keys/rpivpn.key
dh /etc/openvpn/easy-rsa/keys/dh1024.pem
 
server 10.8.0.0 255.255.255.0
ifconfig 10.8.0.1 10.8.0.2
 
push "route 10.8.0.1 255.255.255.255"
push "route 10.8.0.0 255.255.255.0"
push "route 192.168.1.200 255.255.255.0"
push "dhcp-option DNS 192.168.1.1"
push "redirect-gateway def1"
 
client-to-client
duplicate-cn
keepalive 10 120
tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0
cipher AES-128-CBC
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log 20
log /var/log/openvpn.log
verb 1


client.conf

client  
dev tun  
proto udp  
remote my.dyndns.org 1194  
resolv-retry infinite  
nobind  
persist-key  
persist-tun  
mute-replay-warnings  
ns-cert-type server  
key-direction 1  
cipher AES-128-CBC  
comp-lzo  
verb 1  
mute 20  
<ca>
-----BEGIN CERTIFICATE-----
[...]
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
[...]
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN RSA PRIVATE KEY-----
[...]
-----END RSA PRIVATE KEY-----
</key>
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
[...]
-----END OpenVPN Static key V1-----
</tls-auth>


 
Lorsque je me connecte (depuis Android ou linux) l'interface tun0 est bien créée/activée, je peux me connecter au RPI en ssh en utilisant son adresse locale (192.168.1.200) mais je ne peux pas accéder au reste du réseau local.
 
Rien de particulier n'est log côté serveur:

Wed May 21 07:20:10 2014 Re-using SSL/TLS context
Wed May 21 07:20:10 2014 LZO compression initialized
Wed May 21 07:20:10 2014 TCP connection established with [AF_INET]XXX.XXX.XXX.XXX:28236
Wed May 21 07:20:10 2014 TCPv4_SERVER link local: [undef]
Wed May 21 07:20:10 2014 TCPv4_SERVER link remote: [AF_INET]XXX.XXX.XXX.XXX:28236
Wed May 21 07:20:15 2014 XXX.XXX.XXX.XXX:28236 [cs] Peer Connection Initiated with [AF_INET]XXX.XXX.XXX.XXX:28236
Wed May 21 07:20:15 2014 cs/XXX.XXX.XXX.XXX:28236 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=bccd:800:8ced:200:14c2:700:ec22:ef01
Wed May 21 07:20:17 2014 cs/XXX.XXX.XXX.XXX:28236 send_push_reply(): safe_cap=960


Par conre (évidemment) y'a un problème de route côté client:

Wed May 21 07:20:05 2014 OpenVPN 2.3.2 i686-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [eurephia] [MH] [IPv6] built on Jul 12 2013
Enter Private Key Password:
Wed May 21 07:20:09 2014 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Wed May 21 07:20:09 2014 Control Channel Authentication: tls-auth using INLINE static key file
Wed May 21 07:20:09 2014 Attempting to establish TCP connection with [AF_INET]YYY.YYY.YYY.YYY:8080 [nonblock]
Wed May 21 07:20:10 2014 TCP connection established with [AF_INET]YYY.YYY.YYY.YYY:8080
Wed May 21 07:20:12 2014 TCPv4_CLIENT link local: [undef]
Wed May 21 07:20:12 2014 TCPv4_CLIENT link remote: [AF_INET]YYY.YYY.YYY.YYY:8080
Wed May 21 07:20:15 2014 [rpivpn] Peer Connection Initiated with [AF_INET]YYY.YYY.YYY.YYY:8080
Wed May 21 07:20:17 2014 TUN/TAP device tun0 opened
Wed May 21 07:20:17 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Wed May 21 07:20:17 2014 /sbin/ip link set dev tun0 up mtu 1500
Wed May 21 07:20:17 2014 /sbin/ip addr add dev tun0 local 10.8.0.6 peer 10.8.0.5
RTNETLINK answers: Invalid argument
Wed May 21 07:20:17 2014 ERROR: Linux route add command failed: external program exited with error status: 2
RTNETLINK answers: File exists
Wed May 21 07:20:17 2014 ERROR: Linux route add command failed: external program exited with error status: 2
Wed May 21 07:20:17 2014 Initialization Sequence Completed


 
Les ifconfig/netstat du Server:
 

eth0      Link encap:Ethernet  HWaddr b8:27:eb:45:a5:e2  
          inet addr:192.168.1.200  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:10237639 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10026941 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000  
          RX bytes:1252322733 (1.1 GiB)  TX bytes:1643561381 (1.5 GiB)
 
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:1083 errors:0 dropped:0 overruns:0 frame:0
          TX packets:681 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100  
          RX bytes:95984 (93.7 KiB)  TX bytes:95664 (93.4 KiB)
 
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         192.168.1.1     0.0.0.0         UG        0 0          0 eth0
10.8.0.0        10.8.0.2        255.255.255.0   UG        0 0          0 tun0
10.8.0.2        0.0.0.0         255.255.255.255 UH        0 0          0 tun0
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0


 
Les ifconfig/netstat du Client (après connexion, 10.139.7.11 est un proxy http):
 

eth0      Link encap:Ethernet  HWaddr 08:00:27:f0:bd:e2  
          inet addr:10.0.2.15  Bcast:10.0.2.255  Mask:255.255.255.0
          inet6 addr: fe80::a00:27ff:fef0:bde2/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:60227 errors:0 dropped:0 overruns:0 frame:0
          TX packets:40169 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000  
          RX bytes:50890073 (50.8 MB)  TX bytes:4121065 (4.1 MB)
 
tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.8.0.6  P-t-P:10.8.0.5  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:725 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1100 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100  
          RX bytes:103538 (103.5 KB)  TX bytes:93714 (93.7 KB)
 
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         10.8.0.5        128.0.0.0       UG        0 0          0 tun0
0.0.0.0         10.0.2.2        0.0.0.0         UG        0 0          0 eth0
10.0.2.0        0.0.0.0         255.255.255.0   U         0 0          0 eth0
10.8.0.0        10.8.0.5        255.255.255.0   UG        0 0          0 tun0
10.8.0.1        10.8.0.5        255.255.255.255 UGH       0 0          0 tun0
10.8.0.5        0.0.0.0         255.255.255.255 UH        0 0          0 tun0
10.139.7.11     10.0.2.2        255.255.255.255 UGH       0 0          0 eth0
128.0.0.0       10.8.0.5        128.0.0.0       UG        0 0          0 tun0


 
Une idée pour ce soucis de route ?
 
Merci d'avance :jap:


Message édité par Deadlock le 21-05-2014 à 11:22:36

---------------
"Les Doigts sont nos dieux!" - Année 100.000.667, 23ème, rebelle déiste.
n°767613
theperco
Professional Topic Breaker
Posté le 21-05-2014 à 12:15:18  profilanswer
 

Salut,
 
pour commence peux tu rajouter manuellement la route vers le réseau 192.168.1.0 /24 dans la table de ton client et constater que tu accède bien à tes machines.
 
Sinon dans la configuration du serveur :
push "route 192.168.1.200 255.255.255.0" -> push "route 192.168.1.0 255.255.255.0"
 
Les configurations du paramètre proto sont différentes sur ton serveur (tcp) et ton client (udp) même si ca ne semble avoir aucun impact dans ton cas.
 
Voilà quelques idées  [:dru]  
 


---------------
Topic des certifs CISCO| Profil GameGolf|
n°767679
Deadlock
Feck off, cup !
Posté le 21-05-2014 à 15:02:18  profilanswer
 

Merci theperco !
 
En fait le mauvais proto vient du fait que j'ai pré-configuré tous les fichiers conf sur le serveur en suivant un tuto en UDP. Entre temps je suis passé en TCP en modifiant directement sur les clients et serveur mais pas sur les sources (et c'est les sources que j'ai collé) :)
 
J'ai fait la modif que tu m'as conseillé et j'ai une erreur de moins au lancement du client, de fait la route vers 192.168.1.0 est maintenant correctement ajouté lors de l'initialisation du client:

Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         10.8.0.5        128.0.0.0       UG        0 0          0 tun0
0.0.0.0         10.0.2.2        0.0.0.0         UG        0 0          0 eth0
10.0.2.0        0.0.0.0         255.255.255.0   U         0 0          0 eth0
10.8.0.0        10.8.0.5        255.255.255.0   UG        0 0          0 tun0
10.8.0.1        10.8.0.5        255.255.255.255 UGH       0 0          0 tun0
10.8.0.5        0.0.0.0         255.255.255.255 UH        0 0          0 tun0
10.139.7.11     10.0.2.2        255.255.255.255 UGH       0 0          0 eth0
128.0.0.0       10.8.0.5        128.0.0.0       UG        0 0          0 tun0
192.168.1.0     10.8.0.5        255.255.255.0   UG        0 0          0 tun0


Par contre toujours pas moyen de ping/ssh/nmap sur autre chose que 192.168.1.200 sur mon réseau local ... Le client n'est d'ailleurs pas capable de ping l'adresse p-t-p de tun0 (10.8.0.5).


---------------
"Les Doigts sont nos dieux!" - Année 100.000.667, 23ème, rebelle déiste.
n°767714
theperco
Professional Topic Breaker
Posté le 21-05-2014 à 16:13:53  profilanswer
 

A mon avis c'est parce que la route de retour vers ton client n'est pas connu par tes machines du lan 192.168.1.0

 
Citation :

The last step, and one that is often forgotten, is to add a route to the server's LAN gateway which directs 192.168.4.0/24 to the OpenVPN server box (you won't need this if the OpenVPN server box is the gateway for the server LAN). Suppose you were missing this step and you tried to ping a machine (not the OpenVPN server itself) on the server LAN from 192.168.4.8? The outgoing ping would probably reach the machine, but then it wouldn't know how to route the ping reply, because it would have no idea how to reach 192.168.4.0/24. The rule of thumb to use is that when routing entire LANs through the VPN (when the VPN server is not the same machine as the LAN gateway), make sure that the gateway for the LAN routes all VPN subnets to the VPN server machine.

 

Similarly, if the client machine running OpenVPN is not also the gateway for the client LAN, then the gateway for the client LAN must have a route which directs all subnets which should be reachable through the VPN to the OpenVPN client machine.

 

Etant donné que dans ton cas la passerelle de ce réseau est ta livebox il faudrait y rajouter une route du type :

 

10.8.0.6 192.168.1.200 255.255.255.255

 

Tiens nous au jus ;)


Message édité par theperco le 21-05-2014 à 16:15:34

---------------
Topic des certifs CISCO| Profil GameGolf|
n°767912
Deadlock
Feck off, cup !
Posté le 22-05-2014 à 10:41:10  profilanswer
 

Yes ! Ca fonctionne parfaitement à présent :)
 
J'ai ajouté la règle 10.8.0.0/24 -> 192.168.1.200 sur mes NAS et le PI XBMC et (j'étais passé à côté) j'ai activé l'ip_forwarding sur serveur OpenVPN.
 
Je viens de tester un mount NFS depuis la VM Linux créée sur un host derrière un proxy HTTP sans soucis et un accès au PI XBMC via XBMC remote depuis mon Android sur un Wifi publique !
 
Reste plus qu'à regarder comment se configure le client Windows pour permettre d'accéder aux shares CIFS, mais ça ne devrait pas poser de problème.
 
Merci beaucoup et bonne journée :jap:


---------------
"Les Doigts sont nos dieux!" - Année 100.000.667, 23ème, rebelle déiste.
n°768016
manu_75
Posté le 22-05-2014 à 15:31:28  profilanswer
 

On sait pourquoi la dernière version d'openvpn gui (1.0.3) date de 2006 ?
C'est pas dangereux d'utiliser quelque chose d'aussi vieux ... ?
Ou alors j'ai raté quelque chose ...

 

2 ème question : le vpn natif de windows 7 est il correct niveau sécurité/stabilité ?

 

Merci.

n°768093
theperco
Professional Topic Breaker
Posté le 22-05-2014 à 17:40:10  profilanswer
 

Salut,
tu es probablement tombé sur une ancienne version, la toute dernière est ici en date du 08/06/2013 : http://sourceforge.net/projects/op [...] rce=navbar

 

Message cité 1 fois
Message édité par theperco le 22-05-2014 à 17:41:51

---------------
Topic des certifs CISCO| Profil GameGolf|
n°768245
Deadlock
Feck off, cup !
Posté le 23-05-2014 à 11:24:59  profilanswer
 

Deadlock a écrit :

Yes ! Ca fonctionne parfaitement à présent :)

 

J'ai ajouté la règle 10.8.0.0/24 -> 192.168.1.200 sur mes NAS et le PI XBMC et (j'étais passé à côté) j'ai activé l'ip_forwarding sur serveur OpenVPN.

 

Je viens de tester un mount NFS depuis la VM Linux créée sur un host derrière un proxy HTTP sans soucis et un accès au PI XBMC via XBMC remote depuis mon Android sur un Wifi publique !

 

Reste plus qu'à regarder comment se configure le client Windows pour permettre d'accéder aux shares CIFS, mais ça ne devrait pas poser de problème.

 

Merci beaucoup et bonne journée :jap:

 

Pour donner accès au net si la box/routeur ne permet pas d'ajouter des routes statiques (merci la Livebox Play ...) il faut ajouter une règle nat iptables sur le serveur VPN (si linux):

 

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to 192.168.1.200

 

J'ai testé un client W7 aved OpenVPN GUI et tout fonctionne aussi.

 

Merci pour votre aide !


Message édité par Deadlock le 23-05-2014 à 13:23:13

---------------
"Les Doigts sont nos dieux!" - Année 100.000.667, 23ème, rebelle déiste.
n°768488
manu_75
Posté le 23-05-2014 à 22:14:46  profilanswer
 

theperco a écrit :

Salut,
tu es probablement tombé sur une ancienne version, la toute dernière est ici en date du 08/06/2013 : http://sourceforge.net/projects/op [...] rce=navbar
 


j'avais cherché seulement sur les sites officiels (openvpn.net et .se) ...
merci  :jap:

n°787347
pilef
Posté le 20-08-2014 à 09:49:03  profilanswer
 

Bonjour,
 
J'ai une question un peu théorique sur l'utilisation d'OpenVPN.
 
J'ai lu que les proxy d'entreprise étaient capables de décrypter des flux SSL (HTTPS) en plaçant une attaque de "l'homme du milieu".
 
J'utilise une clef privée pour me connecter via OpenVPN à mon serveur perso depuis mon PC au travail. Ma question est la suivante, est-ce que l'utilisation d'une clef provée (qui n'a jamais transité par le réseau) me protège contre cette attaque ? Mes connaissances à propos du cryptage me font penser que oui, mais j'aimerais avoir d'autres avis.
 
Par avance merci pour vos réponses :jap:

n°787362
Master_Jul
Posté le 20-08-2014 à 11:30:54  profilanswer
 

Quand tu te connectes à une machine distante en SSL, c'est peut-être déjà trop tard si tu ne vérifies pas le certificat approuvé.
 
Voilà ce qu'il se passe, dans une vision assez simpliste :
1) Ton entreprise pousse un certificat root sur les navigateurs. Cela fait qu'ils font confiance à l'intermédiaire qui est le proxy ici.
2) Lorsque tu demandes à te connecter sur un site en SSL ou un VPN, ce n'est pas ton navigateur qui fait la demande mais le proxy qui se fait passer pour toi. Il ouvre un canal sécurisé entre lui et le serveur distant.
3) Le proxy te présente un navigateur qu'il a spoofé, c'est-à-dire qu'il va tenter au mieux d'usurper l'identité du serveur distant.
4) Le navigateur de l'entreprise faisant confiance à ce proxy, la connexion est affichée en tant que sécurisée. C'est bien le cas entre ton navigateur et le proxy mais lui déchiffre les informations avant de les transférer à nouveau, chiffrée avec le véritable certificat.
 
Pour te prémunir des modifications de certificat, il existe plusieurs outils ou extensions qui peuvent être utilisées comme https://addons.mozilla.org/fr/firef [...] te-patrol/ de préférence dans un navigateur portable, non contrôlé par l'entreprise.
 
Note supplémentaire : Les proxy d'entreprise détectent très bien les canaux ouverts, quels que soit le port utilisé. Du SSH, du SSL, du HTTP ou du SSH encapsulé dans du SSL. Les patterns sont identifiables et identifiés. Je parle en connaissance de cause... Si l'entreprise met un proxy c'est justement fait pour ne pas que l'on le contourne ou que l'on tente de rendre invisible ce qui passe à travers. Aussi bien pour ta sécurité que celle de ton entreprise. J'ai retenu la leçon de mon côté. Si tu peux préférer une utilisation de ta 4G perso plutôt que la connexion du boulot, tu prendras peut-être moins de risques, aussi bien pour tes communications... que pour ton boulot. ;)


---------------
En français, on écrit "connexion", pas "connection".
n°787383
theperco
Professional Topic Breaker
Posté le 20-08-2014 à 13:36:59  profilanswer
 

Pour aller un peu plus loin dans ta réponse Master_Jul, ton explication est valable dans le cas ou l'authentification est réalisée uniquement côté serveur (le cas courant pour de la navigation web).
 
Mais dans le cas de pilef il y a également l'authentification du client par le serveur et je vois mal comment le serveur proxy peut se faire passer pour pilef s'il n'est pas en possession de la clef privée.
 
Edit : sinon j'irais dans le sens de la note supplémentaire, l'utilisation d'un réseau privé par dessus celui de l'entreprise va souvent à l'encontre de la charte informatique. Ce n'est vraiment pas une pratique que j'encourage à faire dans un milieu pro.


Message édité par theperco le 20-08-2014 à 13:47:46
n°787452
Master_Jul
Posté le 20-08-2014 à 17:54:04  profilanswer
 

C'est vrai qu'au final, je n'ai pas répondu à la question de départ, plutôt à côté de la plaque. :D

 

Dans le scénario décrit, ça semble en effet impossible pour ce type d'attaque. :jap:


Message édité par Master_Jul le 20-08-2014 à 17:54:44

---------------
En français, on écrit "connexion", pas "connection".
n°792304
XaTriX
Now we are all sons of bitches
Posté le 07-09-2014 à 22:49:24  profilanswer
 

[:drapo]
 
J'viens de monter un openvpn depuis un vps au canada et mes débits sont nazes. J'ai 160ko/s en down quoi :/
Y'a quoi à optimiser ?
 
XaT


---------------
eargasm § • Topics JV Rage Nostalgie • Discu Expatriés Toulouse Ryanair
n°828988
anglemort
Posté le 10-02-2015 à 04:35:45  profilanswer
 

Bonjour les amis…. j’ai suivi ton tuto a la lettre mais j’ais un souci avec le serveur… voici ce qu’il affiche quand je lui de demande de demarrer sur le fichier de confi openvpn.ovpn
 
Tue Feb 10 03:14:37 2015 OpenVPN 2.3.4 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [P
KCS11] [IPv6] built on Oct 21 2014
Tue Feb 10 03:14:37 2015 library versions: OpenSSL 1.0.1j 15 Oct 2014, LZO 2.05
Tue Feb 10 03:14:37 2015 Diffie-Hellman initialized with 1024 bit key
Tue Feb 10 03:14:37 2015 Control Channel Authentication: using ‘ta.key’ as a Ope
nVPN static key file
Tue Feb 10 03:14:37 2015 Outgoing Control Channel Authentication: Using 160 bit
message hash ‘SHA1′ for HMAC authentication
Tue Feb 10 03:14:37 2015 Incoming Control Channel Authentication: Using 160 bit
message hash ‘SHA1′ for HMAC authentication
Tue Feb 10 03:14:37 2015 Socket Buffers: R=[8192->8192] S=[8192->8192]
Tue Feb 10 03:14:37 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Tue Feb 10 03:14:37 2015 open_tun, tt->ipv6=0
Tue Feb 10 03:14:37 2015 CreateFile failed on TAP device: \\.\Global\{19549A0C-1
10E-4DAE-9ABD-FDC9161E3873}.tap
Tue Feb 10 03:14:37 2015 All TAP-Windows adapters on this system are currently i
n use.
Tue Feb 10 03:14:37 2015 Exiting due to fatal error
Press any key to continue…
 
pouvez vous m’aider svp

n°834823
Natopsi
☭ Sodium Metal ☭
Posté le 08-03-2015 à 18:30:21  profilanswer
 

:hello:  
 
J'ai un problème à la con je sait pas si vous avez une solution: j'ai un accès internet via wifi ouvert depuis ma résidence secondaire donc pour être peinard j'ai foutu un VPN en mode routé jusqu'à mon infrastructure réseau pour chiffrer le merdier et pouvoir accéder à mon NAS à distance. De ce côté la pas de problème, vous vous doutez bien que j'ai un redirect-gateway def1 dans le coin.
[PC]<-Internet chiffré->[Chez moi]<->Internet
 
La ou ça se corse, c'est qu'en ce moment je souhaiterai faire du développement sur mon raspberry pi.  Sur mon client j'ai un port Ethernet, j'ai donc mis à profit celui ci pour me connecter au jouet. Un sous réseau différent de mon infrastructure, des ip fixes et hop je peut me connecter sur le RPI c'est bien. Un petit route 192.168.2.0 255.255.255.0 192.168.2.1 dans la config. du client pour pas être emmerdé tout de même.
[RPI 192.168.2.2]<-Ethernet->[PC 192.168.2.1]
La ou ça se corse c'est dans l'autre sens.
Un ping du RPI depuis le PC marche, mais un ping du PC depuis le RPI non  :fou:  
 
J'aimerai donc déjà que le RPI soit capable de communiquer avec le PC, et surtout que le RPI puisse profiter du VPN lui aussi. J'ai cherché et j'ai pas trouvé grand chose de concluant :/
 
Vous préconiseriez quoi comme solution?
 
Edit : ping vers le PC ok (désactivé par défaut :o), routage depuis mon RPI vers le serveur VPN ok, par contre ça ne va pas plus loin.
 
Edit2 : problème réglé avec un coup d'iptables sudo iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE. Je hais le routage.
 
Bon je résumerai ma config au cas ou ça intéresse quelqu'un  :jap:


Message édité par Natopsi le 08-03-2015 à 22:12:35

---------------
ACH/VDSHFRCoin:7Z2K2a9BLZ1yo1v8uMr4rg7qD3vtBFXZ6p◈1435mm◈
n°877827
nerosso
Posté le 15-10-2015 à 22:43:30  profilanswer
 

J'ai un message warning dans mon log qui m'agace et je ne sais pas comment le régler: RESOLVE: Cannot resolve host address: my-server-1: Name or service not known
 
J'ai beau mettre dans client.conf:
remote mon_ip_du_serveur 1194
 
mais j'ai toujours le warning dans le log.
 
Merci d'avance :jap:

n°938748
btbw03
Posté le 30-08-2016 à 08:59:22  profilanswer
 

Bonjour ici
 
Alors déjà je n y connais pas grand chose en Linux pour poser les bases :o
 
J ai installé openvpn sur un petit vps, jusque là pas de soucis  
 
Ensuite j ai configuré mon routeur asus pour avoir une partie de mon réseau sous ce vpn  
 
Sur mon iPhone iPad, j ai installe l appli pour pouvoir m y connecter de partout
 
Hors, à la maison pas de soucis, en wifi tout fonctionne bien si connecté au routeur  
 
Mais en mobilité depuis mon iPhone ou iPad, je me connecte bien au vpn mais au bout de 5/10 minutes je ne reçois plus rien, je suis toujours connecté mais c est comme si le vpn était inactif, plus de connection, si je me déconnecte et reconnecte ca refonctionne ....
 
Des idées ? ( je l ai installé à partir d'un script tout fait ) merci


Message édité par btbw03 le 30-08-2016 à 09:00:13
n°938767
btbw03
Posté le 30-08-2016 à 10:19:31  profilanswer
 

Ça fonctionne si je laisse pas connecté le routeur en permanence au vpn.... Bizarre  
 
Peut être mon asus qui est pas génial pour ça  
 
J ai cru comprendre qu'on pouvait le flusher avec un distri "libre" je jetterais un coup d œil à ça

n°938785
btbw03
Posté le 30-08-2016 à 11:13:50  profilanswer
 

Je crois que j ai trouvé :  
 
"   --duplicate-cn
          Allow multiple clients with the same common name to concurrently
          connect.  In the absence of this option, OpenVPN will disconnect
          a  client  instance  upon  connection of a new client having the
          same common name."
 
En gros je connecte un de mes appareils iOS, ça déconnecte le routeur qui doit essayer de se connecter ensuite et ça déconnecte l'iOS  
 
Je mettrais peut être les mains dans le cambouis pour régler ça un jour

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2  3  4  5  ..  41  42  43  44  45  46
Page Suivante

Aller à :
Ajouter une réponse
 

Sujets relatifs
*** Réseau domestique et partage de connexion Internet 
Plus de sujets relatifs à : Réseau privé virtuel sous Windows - OpenVPN - Tutoriels.



Copyright © 1997-2016 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR