Reprise du message précédent :
Salut à tous,
 
J'ai quelque problème dans la comprehension des mécanismes. Je crois que j'ai fait tous les sites exista,t abordant le sujet et je ne trouve pas de reponse. Je m'en remet don à vous:
 
- A quoi servent les 3 fichiers .crt .key et ca.crt côté clients. Pourquoi le client a -t- il besoin de ces 3 fichiers ??
- A quel moment le fichier dh1024.pem est il utilisé??
 
- Enfin, est-ce qu'on est censé voir des trames ssl ou udp lorsqu'on utilise un analyseur de trames (ex: ethereal)
 
Merci d'avance à tous ceux qui m'accorderons leur attention.
 
 
Mathieu

nando94 > *Le serveur authentifie le client mais, le client authentifie egalement le serveur, il n'accepte pas de donner des données a un autre client imitant le serveur...
*DH1024 permet d'ajouter de l'aleatoire au generateur de nombre aleatoire dont tout le monde connait le fonctionnement... Donc en gros, si je connais une clé, je ne peut pas trouver les suivantes car il me manque une variable utilisé par le générateur aléatoire
*Les trames SSL sont généralement basé sur TCP... Je ne sais plus trop
ce que tu vois... mais en gros, de memoire... je vois les trames decripté sur l'interface OpenVPN et des Trames crypté sur l'interface modem / routeur.... Il ne te reste plus qu'a essayer !!
 
m3z > As tuouvert le même protocol que celui utiliser dans OpenVPN (proto udp OU proto tcp) ? Sinon, rien d'autre a ouvrir, je confirme !!!
 
fatal83 > On dirait que tu a trouver le BUG !!! Non plus serieux... T'est sous windows 2000 ou XP ? Tu peut essayer la procedure sur un autre PC ? Juste des pistes mais la je ne vois pas...

J'ai bien suivi le tutorial 5min mais arrivé a la fin je bloque :
 
il est ecrit  
" Pour chaque client, vous devez changer la ligne :
remote xx.xx.xxx.xx 1194  
en mettant l'adresse du serveur et le port.
 
Ainsi que
cert client1.crt
key client1.key
avec le nom correct correspondant au client."
 
C'est cette partie que je pige pas, enin ç partir du Ainsi que....
 
Que fois je faire?

Pour chaque client, tu dois spécifier la clé et le certificat qui vont lui permettre de s'authentifier au serveur.

Ba c'est juste le fait de refaire un build-key client x c'est tout non?

Bonjour à tous,
J'ai mis en place OpenVPN, et maintenant je cherche à mettre en place un système de mot de passe lors de la connexion d'un client au VPN ??? pour l'instant le seul mot de passe qu'il m'est demandé c'est lorsque l'on veut accéder à une machine via le VPN, hors j'aimerais savoir s'il serait possible de mettre en place un mot de passe autre, et LORS de la connexion ???
Merci pour vos infos et votre aide....!!!  

Bonjour,
 
Tout d'abord je tiens a dire bravo pour ce tuto vraiment utile mais j'ai cepedant un petit problème.
 
Une fois tout configurer je lance openVPN, l'icone devient verte, pas de problème. Du coté client ca s'allume vert aussi mais le problème c'est qu'il est  impossible de se pinger dans les 2 sens.
 
Voici un petit schéma de mon installation :
 

 
Donc comme vous le voyez le PC1 fait serveur VPN et je cherche a faire un réseau virtuel avec le PC3. Le PC2 et juste relié a mon réseau mais il ne sera pas utilisé pour le mise en place d'OpenVPN.
 
La freebox et en mode routeur et branché en ethernet et j'ai bien sûr rediriger le port vers le PC1.
 
L'adresse de ma freebox est 192.168.0.254 les sous réseau sont en 192.168.0.xxx
Mon adresse publique et sous la forme 82.242.xxx.xxx
J'utilise le Port 5000
 
Les firewall laisse passer des 2 coté.
 
Impossible pour moi de faire un pont entre la freebox et VPN a cause de la connexion internet. (si je fait le pont je perd ma connexion)
 
J'ai lu qu'il falait utiliser la fonction push mais je ne trouve pas comment elle fonctionne.
 
Si vous pouviez m'aider svp ca serait sympa ^^
 
@+

Ben... C'est le probleme du pont !
Laisse tomber le pont... et utilise du routage...
 
Basiquement ne fait pas de pont et configure manuellement les IP...

Ben expliquer moi comment router mes sous-réseau alors svp parceque j'ai pas compris comment il falait faire.
 
Sur la freebox je ne peut router que sur des IP type 192.168.xxx.xxx je ne peut pas faire autrement.
 
Merci ^^

BOn... tu a 2 cartes reseau...
Une relié a la freebox... et l'autre relié a travers un VPN, cad un espece de fil magique et invisible. Tu te contente de regler des adresses IP sur cette carte au fil magique. Si t'arrive a pinguer t'a reussi... et on verra si tu a besoin d'un routage plus avancé... (plusieurs poste... ou PC2 depuis le PC3 en passant par le VPN !)
Tu prend donc x,y,z deux chiffre entre 1 et 254
et tu met les IP fixe.
192.168.x.y sur le premier PC masque 255.255.255.0
192.168.x.z sur le deuxieme PC masque identique
Tu ping depuis le deuxieme 127.0.0.1
puis 192.168.x.z
puis pour finir 192.168.x.y !
Si cela marche reste plus qu'a utiliser...
 
Sinon, desactive les par feu ! C'est le seul point bloquant pour le PING si l'icone est verte...
Une copie des log en dernier recours par mail privé... (Clique droit/Voir le log...)

Ok merci beaucoup.  
 
J'ai tout de même une dernière question. Est ce normal qu'avec l'utilisation du mode routing, j'ai quand même accès, depuis mon ordinateur client VPN, aux serveurs samba situé dans le réseau local. Les broadcast ne sont pas censé passé dans ce mode routing, non ?? Et d'ailleurs, je ne comprend pas comment le client obtient une adresse IP, sachant que les messages dhcp sont des messages de diffusions.
 
Par ailleurs, je me pose la question de savoir qu'est ce qu'on peut faire avec le mode routing si on ne peut même pas accèder aux serveurs de fichiers.
 
Merci de bien vouloir me répondre.
 
C'est trés important.
 
Mathieu
 
PS: Je tiens à préciser que le serveur Samba auquel j'accède est situé sur la serveur OpenVPN.

Bonjour,
 
J'ai suivi le tres bon tuto pour la configuration de openVPN sur un windows et j ai un petit problème:
 
J ai donc un PC client (PC1) qui se connecte de l'extérieur via un routeur (ou le port 1194 est routé sur le serveur openvpn).
Le serveur openvpn (PC2) est un 2000 server.
 
La connexion se passe correctement entre PC1 et PC2, le voyant de openvpn est vert tout va bien.
Par contre le ping est impossible de chaque coté.
 
J'ai fait le test également sur le LAN mais le problème est identique.
Je précise que les pc en question n'ont aucun firewall...donc logiquement en internet ca devrait marcher...
 
merci d'avance pour votre aide

je precise que le LAN est en 192.168.120.x et j ai gardé la config IP de base pour openvpn 10.8.0.x

Florent42 > Tu est en Bridge ou Routed ? (DEV TUN ou DEV TAP)
Tu n'arrive pas a pinger PC2 depuis PC1... Hors PC1 est derriere un routeur... quelle est l'adresse du routeur ?
Que donne un ping du routeur ?
 
Nando94 > Helas... vu la securité toute relative de windows, il semble normale que tu puisse voir le PC Serveur et tout ce qui tourne dessus.
Par contre, il est a priori anormale que tu puisse acceder au partage situé sur une machines differentes. Cela est cependant possible si le serveurs est une edition Serveur de windows auquel cas, le routage est activé par defaut !
 
Sinon, pour le reste precise tes questions et fais suivre tes fichiers de config en prive...

je suis en dev tun (dc normalement routed)
le routeur est a ladresse 192.168.120.254...donc le ping ne marche forcément pas étant sur 2 plages différentes

et de l'autre coté ? Cote internet ?
Que donne les log OpenVPN ?
Fais passer ta config en privé...

 
 
Mon serveur VPN est une Debian. Quelqu'un a t'il une explication quant au fait que j'accède à tous les services de mon serveur VPN ( Samba notamment) malgré l'utilisation du mode routing ???
 
Je me pose la question de savoir qu'est ce qu'on est censé faire avec ce mode routing par rapport au mode bridge ???

Le mode route te permet d'acceder a des PC derriere le serveur ou derriere un clients... Reprend le shema de Neo,
Le serveur est le PC1. Le PC3 se connecte au PC1... Pas de prb pour acceder au contenu du PC1. Sauf qu'il serait sans doute interressant de pouvoir acceder au 15 autre serveur (PC2...) de la boite pour acceder a tout les service...
Mais si il faut ouvrir 15 tunnel, 1 avec chaque PC, j'imagine la galere pour rajouter un client sur les 15 serveur ou un serveur sur les 15 clients.
Sans compter des limitation physique de windows, de plan d'adressage et autre considerations d'encombrement de bande passante...
 
Je met donc un PC qui ne sert que de serveur, qui filtre les acces (par-feu), facile a maintenir, a faire évoluer... et je configure dessus un par-feu qui filtrera les connections du VPN au 15 serveurs interne... (et d'ailleurs pas les 30 autres qui sont interdit depuis l'exterieur... trop confidentiel !) De meme, je reduit les risque de piratages des stations...
 
Sur le mode bridge, on peut beaucoup plus facilement envoyé des trames indesirable (Hacking) car le serveur ne regarde même pas si le paquets est correcte... Ni la destination d'ailleurs...
En reliant en mode bridge 2 sites sur lequel j'ai des Hub, je vais avoir des problemes de collision 2 fois + vite !
 
Pour ce qui est de Samba et des autres... au lieu de les faire écouter sur toute les interfaces (defaut - 127.0.0.1), demande leurs d'écouter uniquement sur l'ip du reseau ou l'ip du VPN. Cela devrait resoudre ton probleme a condition de filtrer avec le firewall...(Sinon, il suffit de mettre l'ip interne et de trafiquer la table de routage de la station cible!)

bonjour,
Excusez moi d'insister mais personne n'aurait d'éléments à me donner par rapport à la mise en place d'un mot de passe lors de la connexion du client VPN....j'aimerais savoir s'il serait possible d'en mettre en place lors de la connexion parce que pour l'instant le seul mot de passe demandé c'est celui lorsque le client essaie d'accéder à une autre machine, et c'est donc le mot de passe du PC en question...
Merci pour vos réponses...

C'est cela le probleme de ne pas utiliser un serveur central... LDAP...
J'essaye de te bricoler qq chose...

 
Bon... le travail est deja donc tout fait !
 
Donc en gros...
auth-user-pass =>Dans le client
auth-user-pass-verify script.bat via-env => Dans le serveur
Eventuellement username-as-common-name =>Dans le serveur
 
script.bat : => Dans le repertoire config
--------------Script.Bat--------------
if %username%:%password%==roro:azert EXIT 0  
if %username%:%password%==toto:titit EXIT 0
if %username%:%password%==nom_utilisateur:mot_de_passe EXIT 0
ELSE EXIT 1
--------------Fin script.Bat--------------
 
PS: Rajoute autant de ligne que d'utilisateur...
 
J'essaye de voir pour un encodage des mots de passe....

Cela marche... j'ameliore et je poste en fin de journée

BOn... je m'arrete la pour ce soir...
C'est du PHP en ligne de commande...
 j'ai réussi l'ecriture dans un fichier des nom/mdp encodé
 J'ai réussi a retrouver les noms... mais il faut que je standardise
la methode d'encodage du mot de passe... presque fini...
Merci de me faire un privé pour ceux que cela interresse...

Bonjour,
 
Voilà mon probléme :
Je viens ici car je ne sais plus quoi faire.
En effet je viens de m'installer un serveur OpenVPN en mode bridge sous une debian Etch en mode texte...
Tout marche nickel....je ping tous mais pour le jeux en réseau je trouve que c'est pas le top.
Quand j'essai de jouer à blobby le jeu rame à mort d'un coté ou de l'autre suivant celui qui crée la partie.
Quand je joue à Command and Conquer 3, les joueurs distant ne voient pas les joueurs qui sont dans le réseau où se trouve le serveur OpenVpn....obligé de désactiver l'interface réseau principal (l'interface non virtuelle donc...) démarrer le jeu...le minimiser... réactiver l'interface principal me reconnecter au VPN et rerentrer dans le jeu....et là enfin je suis dans le jeu et je voit tout le monde...(tout les client VPN doive faire cela).
j'ai essayé de changer le protocole et d'utiliser TCP au lieu d'UDP mais aucun changement. J'ai essayé de diminuer le MTU et le passer à 1400 sur l'interface br0 eth0 et eth1 sur le serveur et sur les clients mais toujours aucun changement.
Quand je ping mon serveur OpenVpn j'ai une réponse au ping qui met 72ms et quand je ping un autre client openvpn le ping met entre 200 et 300ms...je trouve que c'est vraiment trés élevé pour dire que les tests sont réalisés depuis 3 connections 20Mbps/1Mbps avec des lignes de bonnes qualités donc pouvant atteindre réellement ces débits.
Et en réalité mon problème principal est que la connection OpenVPN est trop lente.... mais comment faire pour pouvoir profité du maximum des débit disponible depuis les clients et depuis la connection où se trouve les serveurs...
il me faudrait de bons temps de réponse pour pouvoir jouer au jeux en réseau.  
Pourriez vous m'envoyer vos config réseaux (débit connexion internet) et un copier coller de vos ping.
si quelqu'un voulait bien me donner une config qui irait bien pour faire du réseau...j'en serais ravi....
Toute les infos sont les bienvenues donc n'hésitez pas à poster si vous avez des idées...  
Merci beaucup d'avance.

Le probleme du VPN openVPN... c'est que tout passe par le serveur...
 
Et donc, tu n'a pas client1 <=> client2
mais client1 <=> serveur <=> client2
et donc logiquement...
un ping client2 depuis client fait
client1 => serveur : 30ms
serveur => client2 : 30ms
client2 => serveur : 30ms
serveur => client1 : 30ms
 
Rajoute a cela les temps d'encodage plus ou moins long en fonction de la puissance de la machine et de la clé.... il te manque encore le temps de traitement pour le routage... sur le serveur... qui a la base n'est pas conçu specialement pour cela....
Tu obtiens sans doute la difference !!!
 
1 Solution: Mettre le serveur sur une machine (dedié) directement
sur internet (Fibre optique: ping en general <10 ms contre plus de 30 sur de l'adsl !)
2 Solution: Simplifier l'encodage dans OpenVPN... mais la je ne connais pas encore l'option sauf a baisser la longueur de clé, eviter la renegociation (2h par defaut) et autre petit parametre...
 
Je me permet de te demander te completer ton post par les temps de ping suivant:
client1 => google
client1 => ip_serveur_hors_vpn
client1 => ip_serveur_en_vpn
client1 => client2_hors_vpn
client1 => client2_en_vpn
 
Et la ce sera top ! Je pense que l'on verra mieux ton prb !
 
PS: Si tu a baisse le mtu a 1400, tu aurais put descendre en dessous de 1300 voir de 1000 sans prb... mais je doute que cela resolve ton prb !
PS2: A tu essayer en mode routé ?
 
Jeu bloby: c'est la surcharge de la machine qui crée un fort ralentissement du VPN, essaye d'utiliser une autre (vielle) pour s'occuper du VPN.
Jeu C&C 3: Il me semble que TCP ne lui fait pas peur !
 
Hela pour toi, je ne croit pas que la securité et la vitesse fasse bon ménage !

oui mais même en pensant comme tu le fais c'est pas top car en fait 70 ms c'est une machine du réseau où se trouve le serveur VPN sous linux Debian (mon openVPN est en Bridging) qui ping un client donc c'est pareille si c'est le serveur qui ping ou le client ; et de client à client c'est plutôt entre 150 et 200ms de délai pour la réponse.
 
bon je redonne les valeurs :
client1=>google : 54
client1=>ip serveur sans VPN : 60
client1=>ip serveur avec VPN (donc là on ping une IP privé) : 250
client1=>client2 sans VPN :  
client1=>client2 avec VPN  (donc là on ping une IP privé) :  
(je réédite mon message pour mettre les informations dès que je l'ai ai!)

Bonjour a tous ,
 
J'utilise  la connexion VPN en tant que client, et j'ai un petit souci car j'aimerai bien fixer mon Adresse IP (celui du VPN) exp :192.168.1.200
j'ai cherché l'a reponse dans les postes précédents, mais j'ai pas trouvé !!!
alors s'il ya une solution, merci de m'informer.
 
encor merci
 

Moi j'ai mini 3 maxi 7 et moyenne 5 entre le serveur et un client sur du wifi et 8,8 moyenne 8 sur le meme client en ping a travers le VPN !
Ton reseau se traine... ou est sciemment ralenti ! (On evite certaine attaque en ralentissant les paquets)

Alors... Sachant que 4 ip sont utilise par client, il te faudra configurer manuellement les ip telle que:
 
Classe :  C  
Nombre de sous réseaux disponibles :  64  
Nombre d'hôtes disponibles :  2  
Masque de sous-réseau :  255. 255. 255. 252    
Incrément :  4
 
Num| Sous-Réseau| Adresse Début / Fin | Broadcast
1 | 192. 168. 1. 0 | 192. 168. 1. 1 / 192. 168. 1. 2 | 192. 168. 1. 3
2 | 192. 168. 1. 4 | 192. 168. 1. 5 / 192. 168. 1. 6 | 192. 168. 1. 7
3 | 192. 168. 1. 8 | 192. 168. 1. 9 / 192. 168. 1. 10 | 192. 168. 1. 11    
4 | 192. 168. 1. 12 | 192. 168. 1. 13 / 192. 168. 1. 14 | 192. 168. 1. 15    
 
Tu peut retrouver cela sur http://www.nt-conseil.com/TCP_Calcul_SR.asp
 
Ceci dit, dans un premier temps, tu peut t'assurer que les adresses reste identique en utilisant --ifconfig-pool-persist addresseip.txt
et pour affecter une ip definit a chaque client, il te faudra utiliser
--client-config-dir ccd
--ifconfig-push 10.9.0.1 10.9.0.2
Mais attention au probleme des 4 adresse, il faudra que tes adresses tombe juste !
 
Ah oui, evidemment ces modif se font sur le serveur uniquement ! (Si tout les clients demande la meme IP, a qui je la donne ?, au pirate ? ;-))

Bon en fait je me demande si mon problème viens pas simplement du fais que je suis obligé de faire un pont sur la connexion d'un client pour que command and conquer voit la connexion si il cherche sur la carte réseau plutot que sur l'interface virtuelle!!!!
n'y aurait il pas un moyen de dire que l'interface réseau virtuelle openvpn est la connexion par défaut ou un truc du style(hamachi est apparemment reconnu comme ça car cnc3 recherche direct sur l'interface hamachi et pas sur l'interface reseau physique!!!)

Si ton pont est correcte, tu n'a plus acces a 2 carte reseau mais une seule interface qui regroupe les 2 cartes... (Je dirai les 2 prises qui maintenant se comporte comme un hub).
Par contre il est difficile de faire le pont des 2 coté ! Il deviendrai alors difficile de se reperer entre les 2 connections...
 
Je me demande comment ferai C&C sur ma becane avec 2 carte physique + 2 carte virtuel ! et je pense qu'il saura trouve...
Red Alert prenait déjà les IP... donc le routage ne devrait pas le perturber !
Je pense que ton prb vient de ton utilisation de CC et de ces options...

rebonjour,
 
en réponse voici mes logs (desole j ai été un peu absent ces temps-ci)
coté client:

 
coté serveur:

 
merci

Moi je pense que ça vient du pont car j'ai reussit à y jouer à travers mon vpn en faisant ceci :
desactiver mon interface reseau physique (pour internet)
démarrer le jeu, entrer dans la partie réseau du jeu (donc là il voit que ma carte virtuelle)
je minimise le jeu, j'active mon interface réseau physique.
je remaximise le jeu, là je vois enfin les joueurs dans le réseau où se trouve le serveur vpn en mode bridge...
je démarre la partie et tout marche bien. Une fois la partie terminée, je reviens automatiquement dans la partie réseau et là rebelotte je dois refaire la manip si je veux voir les autres joueurs qui sont dans le réseau local où il y a le serveur vpn.

Tigermick =>Et que donne le lag ?
 
Florian42 => Bon... a la vue des log, tu est en DHCP...
je te conseil un ping sur l'IP 10.8.0.1 depuis le client et 10.8.0.6 depuis le serveur... a priori, il n'y a pas de raison que ces IP ne marche pas !

oui je suis en DHCP tout simplement et ca me va tres bien.
Malheureusement le ping ne passe pas...ni du client vers serveir, ni du serveur vers le client
(et je persiste il n y a aucun firewall activé!)

Ok... Je regarde tes fichiers de config...

que donne le lag???? peux tu etre un peu plus expicite? je comprend pas ce que tu ve dire par là

Les temps de reponse... Google te donnera une definition plus precise.

les temps de reponse son plutot normal finalement meme s'il paraisse elevé j'ai remarqué que j'ai un pote qui à une reponse au ping de 150ms rienq ue pour pinger google donc....
meme 200ms pour client à client à travers mon vpn ça devrais etre bon....
à mon avis fodrait que je sache dire à windows que l'interface reseau virtuelle est l'interface reseau principal ou par defaut ou un truc comme ça!!!!

Je ne sais pas comment le moteur du jeux est fait... Mais windows n'a pas d'interface par defaut. Il a une passerelle par defaut.
Par contre si tu met la carte reseau en passerelle par defaut, cela risque d'etre joyeux: Tu n'aura plus d'internet donc plus de VPN...
Je ne vois pas trop comment t'aider plus...
PS: 60ms sur de l'adsl est normal... mais 150ms pour ton pote pas vraiment !