Reprise du message précédent :

 
En fait j'ai :
un serveur sous Windows 2000 Pro avec une adresse IP en 192.168.xxx.xxx
un client sous Windows XP Pro SP2 avec une adresse IP en 192.168.xxx.xxx
Ils sont tous les 2 sur le même réseau....et ils sont connectés à un routeur France Telecom
 
Voilou....si t'as d'autres questions...

DOnc t'avais pas besoin d'ouvrir de port... sur le routeur ! (Nous on utilise internet.... c'est plus pratique....)

 
Comment ça ?? oui mais là ils sont sur le même réseau parce que je veux faire des tests, mais au final il faut pouvoir communiquer avec Paris qui n'est pas sur le même réseau....  
Je viens de tester les ports avec un simulateur et il semblerait au final que ça vienne de la config d'OpenVPN, est ce qu'il ouvre bien comme il faut le port 1194 ?? sans qu'il n'y est rien à faire ?? il n'y a pas un truc supplémentaire à paramétrer....  
Merci

Bon sur le serveur OpenVPN tu peut essayer de lancer l'utilitaire TCP view
TCPView for NT/2000/XP/9x
Copyright (C) 1997-2002 Mark Russinovich  
Sysinternals - www.sysinternals.com
 Je te l'envoie par mail sur ton adresse
 
Sinon, le serveur est dans quel etat ? Vert ?  Jaune ? Rouge ?
Que donne le log serveur ?

(En privé...)
Sotaz dit:  Le VPN Marche... (Erreur IP serveur)
Une petite question (peut être stupide) mais en gros ils ont créé des fichiers partagés c'est ça ?? une fois que le tunnel est créé il discute comment ??
 
Mugnier102>Le client demande au serveur un tunnel, il le fait avec ta.key (si actif) client.crt et ca.crt en encodant sa demande avec client.key (sa cle prive). Le serveur peut decoder la demande grace a la cle publique client.crt et le ta.key...
Si la demande est legitime, le serveur l'accepte et renvoie le paquet d'acceptation encodé avec sa clé prive (server.key) le client décode le paquet et quelque échange sont fait pour negocier une clé qui sera utilise pour la suite de la communication (créé a l'aide du dh1024 du serveur car sinon trop facile de savoir ou en est le generateur aleatoire) (Encodage, longeur, validité dans le temps (reneg-sec) par defaut 1h)
Une fois au point, toute trame est encodé par la clé negocié.
 
PS: Ceci sont les grande ligne de ce genre de procedure... je ne suis pas aller voir le detail...

 
 
Ok merci, donc tout est invisible en fait.....en (vraiment) gros....!!

Bonjour,  
 
erreur 721 ? ca vous dis quelque chose?
 
je suis sous win xp pro sp2 avec livebox inventel
 
j'ai ouvert les ports pour le ptpp
 
par contre je me suis lancé directement avec win XP pas d'autres logiciels ...  
 
aidez moi je suis en galere !!!!!!!!!!!!!! argggggg

BOn... OpenVPN ne donne pas a ma connaissance des erreurs 721...
Ici, on parle d'OpenVPN uniquement donc pas du VPN XP !!!
 
Mais une recherche google devrait te renseigner:
Si cela marche sur le lan et pas depuis l'exterieur, c'est ton modem qui est mal configuré...ou qui ne suporte pas le VPN XP
(Le PPTP utilise des ports mais egalement d'autre protocol que TCP ou UDP (GRE entre autre))
 
-->Solution Passer a OpenVPN ;-)

Ok en effet, j'utilise pour le moment Xp mais le truc c que j'aimerais passer a autre chose.  
en faite je suis deriere un routeur. (livebox)
apparement au niveau du gre ca a pas l'air d'aller mais pourtant tout est configuré sur le routeur.
 
tu pense donc que la solution serait OpenVPN??? ca gere les routeurs et tout ?
 
merci de votre aide.

OpenVPN s'apuie sur la couche TCP UDP... difficile de faire plus simple...
Il suffit d'ouvrir un port sur le routeur et de le rediriger sur le serveur...
Le client ne demande aucune chose particuliere au routeur...
C'est la meme couche que pour une page https... Donc le routeur ne peut pas ignorer cela !

Bon ca y est j'ai réussi à créer une seconde configuration par contre dommage vu qu'il y a un seul tap-driver
je ne peux faire fonctionner qu'un seul serveur à la fois. Y a t'il un moyen d'installer un second pilote tap ?
 
Petit truc pour créer un second certificat serveur il faut mettre unique_subject = no dans le fichier
index.txt.attr dans le répertoire keys.

Il suffit d'installer une autre interface OpenVPN...
Cela peut se faire dans le groupe de demarrage de OpenVPN / Ajout d'une interface TAP qui pointe sur "C:\Program Files\OpenVPN\bin\addtap.bat"
Voila qui devrait te combler...
(Mais ne compte pas en rajouter 300 !!)

De la balle ! Ca marche ! merci.
 
Encore une question j'ai essayé de mettre un mot de passe. Alors je comprends pas tout. Je l'ai mis au niveau de la
création du certifca serveur et puis au niveau du certif client mais jamais il me demande celui ci quand je me connecte
???...

Bonjour,  
je ne comprend rien du tout a openVPN...
 
En fait il faut installer le logiciel, puis faire un fichier de config par utilisateur que l'on veut connecter?  
comment on spécifie les fichiers a partager??

>halo21 : Moi non plus j'ai jamais su faire fonctionner les mots de passe.. Mystere ! Mais je croit qu'il y a des lignes a decommenté dans easy-rsa\openssl.cnf (Il me semblait avoir vu cela en tout cas...)
 
>aspire1520:
OpenVPN en multiclient fonctionne avec un system de certificat et de clé partagé et priver...
Il installe une carte reseau virtuel se qui permet de gerer tres facilement le system et de configurer facilement un parfeu.
 
Le fichier serveur contient plus de parametre que le fichiers client
donc le fichiers client ne contiendra pas de changement majeurs
 
Le seul changement dans le fichier client est en general le nom du fichier contenant le certicat a utiliser. On peut egalement toujours utiliser le même nom pour les certificats mais attention a ne pas les confondre dans ce cas !!! Cela ne facilite pas la gestion apres !
 
Le VPN est une couche reseau d'encodage, pour partager les fichiers tu peut utiliser windows, un FTP ou ce que tu veut... mais pas forcement besoin d'un VPN qui n'est surement pas le plus simple...

re! merci pour l'info.
 
le truc c'est que je veux développer un reseau pour un projet, et permettre le travail collaboratif. Hors je ne vois qu'une solution, c'est VPN!  
 
apres il faut que je mette ca en place mais je ne m'y connais pas trop du tout ! et honnetement ce tutorial est vraiment bien fait mais j'aime comprendre ce que je fais!
 
voila tout et merci bien !

j'y arrive pas du tout!! je bloque a build-ca
 
franchement editer comme ca c pas le top :s
 
merci quand meme !

Sous dos, utilise edit (edit vars.bat par ex)
Sous windows, il te faut qq chose comme notepad++
 
Mais c'est sur que le VPN XP est plus simple
ou Tamachi !

tr

Petit Up...

 
 
oué bah c bon ca a l'air de fonctionner mais je trouve ca assez contraignant tout de meme!  
je pense qu'il y a plus simple ! merci pour votre aide !!!!

C'est vrai que les sripts peuvent etre amelioré...
(Faut que je leur propose ...;-) )

 
Bonjour tout le monde,
J'aimerais savoir si quelqu'un a eut l'occasion de mettre en place ce système de routage sur openVPN ?? et si éventuellement il pouvait me donner quelques infos en plus !!
J'envisage de le mettre en place sur mon vpn, mais le problème c'est que je n'est pas très bien saisi comment forcer le routage des clients ?? faut-il rajouter une ligne concernant le routage dans le fichier client.ovpn ?? si oui ou ?? ou ailleurs ??
 
Mille merci pour vos infos  

Bonjour!  
 
en fait comme je le disais c'est vraiment compliqué a mettre en oeuvre... ce qui pourrait etre proposé est déja une interface... pour utilisateur non confirmé      
 
merci tout du moins de votre aide

aspire1520 =>Tu est sur un tuto pour les certificats... cela ne simplifie pas les choses... tu peut commencer par des fichier de config a cle partager... et eviter 90% des choses decrite...
 
=>Sotaz... Je l'ai déjà fait... Je tiens a ta dispo des fichiers de config... mais il me faut la config du reseau utilisé... (Plage d'IP des 2 coté du VPN)

Re bonjour,
 
Voila je vous explique mon problème !
J'ai mis en place mon vpn avec mon serveur vpn à toulouse, 2 clients vpn sur toulouse (dc dans le même réseau) et 1 client sur Paris. Dans mon cas le but du vpn est que les 2 sociétés (celle de Paris et celle de Toulouse) puissent échanger des fichiers, dossiers...toutes les 2, mais quand je dis échangé c'est à dire dans les 2 sens, toulouse doit pouvoir accéder aux clients de paris, et les clients de paris à toulouse. Donc j'ai mis tout ça en place et il se trouve que que le client de paris s'est connecté, on se ping mutuellement, il arrive à accéder à nos machines (à voir les fichiers partagés..) mais le soucis c'est que mes clients sur toulouse ping le client de paris mais ils n'arrivent pas accéder au client de paris. Pourtant lorsque je lance une recherche de l'ordinateur de paris (avec l'IP 10.8.0.x) il me le trouve mais impossible d'y accéder.
J'aimerais donc savoir si quelqu'un a déjà eut ce problème et comment il a fait pour arrangé le truc.
Sachant que de mes 2 côtés les firewall sont débloqués, le port 1194 ouvert des 2 côtés...!
Est ce que pour que le client de toulouse accède au client de paris il faut mettre en place un deuxième serveur vpn sur paris qui se chargera de rediriger vers les clients ?? ou est ce que c'est la méthode bridge qui permet de faire ça ?? et dans ce cas là si c'est le bridge est ce qu'il y a la possibilité de changer l'espace d'adressage car mes 2 LAN sont tous les 2 en 192.168.xxx.xxx et j'ai peur que ça fasse des conflits....????
   
 
Je vous remercie pour vos infos  

1. Tu n'a pas besoin de clients pour les postes de toulouse...
2. Bravo, le VPN fonctionne, le reste est histoire de cnfiguration et routage.
3. Peut tu presicer l'OS de l'ordi de paris ? de toulouse ?
A paris que donne sur la machine \\127.0.0.1 ? \\192.168.yyy.xxx ?
4. Pas besoin d'ouvrir le port 1194 a Paris...

 
1.Oui mais il faut bien que j'ai des clients sur toulouse pour qu'ils puissent communiquer avec paris, non ??!!
2.Donc si c'est une histoire de routage celà veut dire que je dois rappeler FT pour qu'il me configure le routeur ??
3.A mon avis l'OS de paris doit être XP, et sur toulouse mon serveur est un serveur 2000, et mes clients : 1 XP et un 2000 Pro
Il faut que je demande à l'administrateur de Paris ce que ça donne !! je vais lui posait la question je te dis ça après !! mais qd tu dis \\192.168.yyy.xxx c'est la machine sur laquelle il est ou une autre ???
4.Il a préféré ouvrir de son côté histoire d'éviter les problème....mais s'il faut quand celà marchera bien il fera les modif nécessaires...  
En tout cas merci pour toutes tes précieuses infos  

1.Non, le serveur transmettra la demande au reseau local...
(Sauf si tu ne peut pas avoir 192.168.yyy.xxx et 192.168.zzz.xxx auquelle cas il te faudra un client sur toute les machines sans exceptions...)
2. C'est le plus simple, a condition de savoir quoi mettre dans le routeur..
3. XP peut ne pas autoriser l'acces... Il faut que le compte invité soit activé.. pour que cela fonctionna avec 98.. et d'autre chose pour 2000...
Essaye d'avoir le meme nom d'utilisateur sur les 2 machines et le meme mot de passe.
4. Pas d'urgence en effet...

1.Donc en fait s'ils ont le même plan d'adressage, il faudra que je mette en place des clients sur toutes les machines ?!!
2.Oui justement c'est bien ça le problème, c'est que je ne sais pas ce qu'il a comme routage pour l'instant, mais concrètement il faut router quoi ?? je suis pas très calée en routage    parce que j'ai regardé les tables de routage sur les machines en faisant route print, mais c'est vrai que pour certaines lignes j'ai du mal à comprendre comment ça marche    donc il faut que je dise quoi à FT ?
3.j'ai demandé à l'administrateur de paris si le compte était activé mais il ne m'a toujours pas répondu donc j'attends...!!

1. Oui... forcement, cela n'est pas le plus simple et charge bcp le serveur... donc a eviter
2.On voit cela en priver
3. Ben... Peut rien faire !

bonjour,
j'ai suivi votre tutoriel de pres mais j'ai un probleme lorsque je tape
> build-dh  
 
le curseur clignotte mais il ne se passe rien  
 
que se passe t'il ?
 
quelqu'un a une idée... merki d'avance

Bon depuis toulouse je ne peux toujours pas accéder à ma machine de paris.....
.....lorsque je tente de me connecter il me dit :
"la relation d'approbation entre cette station de travail et le domaine principal a échoué"
 
Si quelqu'un a une idée...  
Merci d'avance  

>Fatal83: La creation de la cle dh prend 2 minutes pendant laquelle s'affiche seulement des points... Il doit revenir a la ligne de commande apres 15 min max....  
 
>Sotaz: Ton ordinateur n'est pas approuve sur le domaines de Paris... Il te faut joindre le domaines (C'est l'administrateur de Paris qui pourra t'aider...)

[quotemsg=276446,393,463198]>Fatal83: La creation de la cle dh prend 2 minutes pendant laquelle s'affiche seulement des points... Il doit revenir a la ligne de commande apres 15 min max....  
 
Eh bien ecoute j'ai encor essayé, j'ai laissé pendant une heure mais rien
je n'ai pas de petits points juste le curseur qui clignote

Je viens de tomber sur ce tuto et je me demande si vous avez parlé de la connexion automatique ? Si oui je n'ai pas trouvé (mea culpa)
 
Une solution trouvée a l'époque sur le net et qui marche bien depuis ici :
 
1) Enlever le lancement d’OpenVPN GUI avec MSCONFIG
 
2) Créer un raccourci dans C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage (All Users pour tous les utilisateurs mais la c’est a vous de voir)
 
Vers
 
"C:\Program Files\OpenVPN\bin\openvpn-gui.exe" --connect server.ovpn
 
(Pour le serveur et en suivant le guide rapide. A remplacer par "C:\Program Files\OpenVPN\bin\openvpn-gui.exe" --connect clientX.ovpn pour les clients)

Hello,
 
J'ai mis en place OpenVPN. Le server openvpn se trouve sur un PC (A) derriere une livebox avec le NAT active. Le service Television est actif.
Le PC A est connecté par WIFI à la livebox.
Un deuxième PC (B) est relié à la livebox sur l'interface Ethernet.  J'ai installé le client VPN pour le test. Par la suite le client sera installé sur un autre PC situé sur un autre site (d'ou l'interet de VPN).
 
J'ai saisie la regle de forward dans la livebox :  
 
nom: VPN
active : Oui
protocol : UDP  
Port debut : 1194
Port fin : 1194
adresse local  : celle PC A  
 
Je test depuis le PC B
si je connecte avec l'adresse IP interne du PC A (192.168.x.x) ca fonctionne (je ne passe pas par le NAT)
 
si je connecte sur l'adresse IP externe attribué par Orange ce ne fonctionne pas. Il semble que le port soit fermé;
 
Pourtant la regle de NAT est présente et active.
 
Théoriquement OpenVPN s'appuis sur SSL, il n'y a pas besoin d'ouvrir d'autre port/protocol comme avec IPSec / PPTP ou L2TP (GRE ...)
 
Avez vous un avis sur le problème. Dois-je jetter la LB aux orties ?
 
Merci de votre aide
 
M3Z

Voila j'aurais une petite question concernant dh1024.pem...!!
Je suis allée sur le lien fourni dans le tuto.....en anglais...  
J'aimerais donc avoir des précisions sur la fonction exacte de ce fichier... Qu'est ce qu'il génère au juste ??
Merci pour votre aide...

 
 
Bonjour,
 
Tout d'abord si j'ai bien compris, les deux PC son chez toi et tu voudrait tester avec l'@ externe de ta livebox ? Si c'est ca, j'ai eu le meme problème je crois : la livebox ne reroute pas vers ton réseau des IPs interne... CAD que ta configuration est peut-etre bone et marchera de partout sauf de chez toi... va donc tester chez un ami avec ton PC portable si tu en as un... ou demande lui d'installer openVPN.
 
Voila ce que j'en pense...

Bonjour a tous,
 
Je me suis dit que tout le monde ne voulait peut-être pas utiliser le système d'authentification par certificat (méthode sécurisé mais lourde à mettre en place). OpenVPN propose une solution d'authentification par mot de passe. Je vais expliquer comment cela se passe et les modifications des fichiers a effectuer.
 
 
 
Tout d'abord sur le client :
 

 
Mon client fonctionnel :

 
 
Ensuite sur le serveur :

 
Explications des lignes ajoutés :

==> nécessaire si ont utilise une authentification par mot de passe uniquement et sans les certificats
 
 

==> ligne indiquant le script utiliser pour vérifier le mot de passe et le username saisie par le client. (J'expliquerais cela plus loin).
 
 

==> Utiliser le username en tant que common name (ligne facultative mais recommandé pour simplifier la lecture des logs et faire des configuration plus compexe)
 
 
A ce stade la configuration pure d'openVPN est terminé. Il reste a gérer les utilisateurs et mot de passes. Des dizaine de solutions existent (surtout sur UNIX). Sur windows les infos sont plutôt rare.  
 
 
L'avantage et l'inconvénient d'OpenVPN est que la gestion des utilisateur est laissé à l'entière charge de celui qui l'instal. Il faut donc créer un script décidant de laisser le client se connecter ou non. Voici mon script que j'ai placé dans le répertoire "config" d'OpenVPN :
 
script.bat :

 
Ce script fonctionne et est très simple. Je l'ai créer rapidement pour mes propres besoins. Il est évident que si vous devez gérer un nombre important d'utilisateurs (ou récupérer dans une base LDAP par exemple), il est impossible d'utiliser un script comme celui ci. A vos clavier pour en faire de plus sophistiquer. Je précise qu'il en existe des dizaines sous Unix!!
 
L'essentiel est de dire que le script doit renvoyer 0 si l'utilisateur est autorisé a se connecter et un dans le cas contraire. C'est ce que je fait avec le "EXIT 0" et le "EXIT 1". Le username et le password saisi sur le client sont récupérer dans deux variables d'environnement "username" et "password".  
 
Voila, je pense avoir dit l'essentiel !!

Salut à tous,
 
J'ai quelque problème dans la comprehension des mécanismes. Je crois que j'ai fait tous les sites exista,t abordant le sujet et je ne trouve pas de reponse. Je m'en remet don à vous:
 
- A quoi servent les 3 fichiers .crt .key et ca.crt côté clients. Pourquoi le client a -t- il besoin de ces 3 fichiers ??
- A quel moment le fichier dh1024.pem est il utilisé??
 
- Enfin, est-ce qu'on est censé voir des trames ssl ou udp lorsqu'on utilise un analyseur de trames (ex: ethereal)
 
Merci d'avance à tous ceux qui m'accorderons leur attention.
 
 
Mathieu