Reprise du message précédent :
Suite du post précédent :
j'ai lu dans la pages précédentes qu'il fallait créer une route manuellement pour vista mais
- est ce côtés client ou serveur
- où la créer ? ( nom exact du fichier)
- dois je installer openvpn version vista sur le serveur aussi ( qui tourne sous xp) pour que ce dernier daigne fonctionner ou pas ?
Je précise que la connexion ne se fait pas du tout sur le client , pas possible de pinger , pas d'adresse attribuée rien.
Le firewall sur le client en vista est désactivé, pas de norton, pas d'antivirus non plus.
Voilà, n'hésitez à m posez vos qurestions si ça peut m'aider et non je ne peux pas passer ces postes en xp .
 
merki

Au lieu de Vista et XP, merci de donner du numero de version,
 
A version =, tu ne devrai pas avoir de prb. A version inegale, il est encore possible que cela marche, je n'ai pas essayer.
Mais cela me semble devoir fonctionner.
 
Sinon, le serveur se lance correctement sur vista ? Le client apparait dans le log ?

A Mugnier,
Bonjour et désolé du retard de la réponse. J'ai eu une longue coupure de la part de mon FAI. Finalement tout fonctionne bien, j'ai testé ma config sur plusieurs postes en local et en distant, tout est ok sauf pour un qui m'affiche toujours cette histoire de 'le nom réseau spécifié n'est plus disponible". J'en déduis que le Windows XP SP1 qui est dessus doit avoir un pb réseau mais je n'arrive vraiment pas à le cerner, pas grave, chez le client ça marche...J'utilise un programme réseau client qui vient se connecter à la base de données du serveur via Openvpn, c'est un peu lent mais je suppose que c'est le débit de l'upload qui limite tout ça.
Merci pour ton aide en tout cas.

Tu peut jeter un coup d'oeil sur l'utilisation du reseau pour avoir une idée.
Je te propose sur le PC déconnant de supprimer tout ce qui se trouve dans les propriete de la carte (voir des cartes) reseau concerné puis de supprimer la carte et de terminer par un reboot et une reinstallation (en generale, windows en fait la moitié tout seul....)
Il arrive tres souvent que la pile reseau de windows se retrouve buggé.

hello,
dsl mugnier mais j'étais pris donc je réponds à ta question : le problème venait de mon installation d'openvpn : mal installé donc maintenant ca fonctionne avec client sous vista et le serveur sous xp.
Mais pour faire un post utile j'ai deux questions :
- peut on avoir un pc qui serait client  d'un serveur ( cas habituel) mais aussi serveur pour des clients, en même temps ?
- peut avoir un poste qui serait client mais de plusieurs serveurs éloignés géographiquement, simultanément ou pas ?
J'avoue je demande ça sans avoir épluché les 20 pages précédentes ;-)
Merciiii

superbe tuto, vraiment excellent, bien réalisé et bien expliqué, du premier coup j'ai réussi a monter mon VPN alors que je ne connaissais vraiment que les bases
 
 
merci

Le tuto est très clair et tout s'est bien passé jusqu'à la génération de la clef "client". Les fichiers ca.crt, ca.key et homewz.csr (nom du client avec common name identique) sont bien dans le répertoire c:\program files\openvpn\easy-rsa\keys. Les vars sont correctes et complètes.
Le lancement de sign-req homewz se passe bien jusqu'à la confirmation de signature. Les lignes suivantes apparaissent alors:
 
sign the certificate? [y/n]:y
failed to update database
TXT_DB error number 2
 
et le fichier homewz.crt se crée avec une longuer de 0 bytes.

@Zarwal: A tu suivi la procedure en une seule fois ?
Sinon, il vaut relancer vars.bat avant de reprendre...
 
Si tu ne fais pas tout cela sur le meme ordinateur, il te faudra egalement lancer init-config sur le deuxieme ordinateur et editer vars.bat
 
Ton fichier CRT doit être supérieur a 0 octet avant de continuer...
 

une question je pense que d'autres ont le problème:
 
voila j ai créé une certificat et une clé pour un client tout testé tout marche bien.
 
Maintenant j ai une autre poste client et j'aimerais lui aussi lui creer un certificat...je relance donc build-key mais le drame il me donne toute une liste d'argument de "req" et finit par dire "impossible de trouver c*.old"
 
 
de plus imaginons le cas ou un des pc portacle client se fait voler....comment annuler le certificat du client sur le serveur?
 
merci

Rappel 1: Les Cle des autre clients doivent etre cree sur l'authorité de certification (en gros l'ordi qui a servi a creer les premieres clé...)
Rappel 2: Avant tout nouvelle appel a l'un des script, il faut relancer le fichier vars.bat
 
Pour l'annulation, on apelle cela revocation... Il te faut, le fichier publique a revoquer (fichier .crt). Le script revoke full te permet de faire la revocation... Reste plus qu'a copier le fichier crl.pem qui vient d'être créé dans le repertoire du serveur et d'activer la verification avec l'option "crl-verify crl.pem"
Voila....
 
Dit moi si ton prb persiste...

pas de soucis pour le rappel 1, car je suis bien sur le pc qui a crée les premières clé
 
Et j ai également fait un init-config, mais le problème demeure
 
faut il tout relancer (ca, server.key,...)?
 
De plus en meme temps:
Imaginons on crée a chaque fois un vars.bat différents (en gros le premier on est en en rhones alpes a lyon, le 2eme ile de france a paris,...), avec un nom de reseau différent. ca gene ensuite pour le fonctionnement?

SI tu a refait un init-config, tu a foutu toute l'installation en l'air.... donc il te faut tout recommencer !!
 
En fait, tu cree une autorité de certifications. (ca.key et ca.crt)
Tous les certificat signé avec cette authorité de certification seront valables pour cette autorite.
 
Il te faut changer le fichier ca.key et ca.crt pour passer d'une autorité a l'autre.... Quand a changer le fichier vars.bat, c'est un detail. Tu peut le renomer en vars1, vars2....

oui effectivement je m'étais planté
 
la tout marche bien. C'était effectivement la reexecution de vars.bat qui n'avais pas marché je ne sais pas pourquoi...
 
la tout va bien!
 
merci

très bon tuto, drapal par la même occasion

Bonjour,  
 
je viens de mettre en place ce système et j'ai un petit problème

 
Voici ce que le client m'indique, je suis bien allez voir le lien, j'ai bien suivi les indiques (firewall, dhcp, etc), mais rien n'y fait,
 
quand je clique sur l'interface réseau, j'ai x paquets envoyés mais 0 recus
 
 
Pour infos, j'ai configuré mon serveur comme indiqué dans le tuto et en mode "bridge"

Donne tes config serveur et clients en privé... (et efface les IP sur le site pour un peu plus de confidentialité ou en tout cas l'email qui apparait dans les log !)

Bonjour à tous.
 
Vraiment un grand bravo et un merci pour ce très bon article sur ce sujet Ô combien épineux qu'est le VPN
Cependant, j'ai un petit soucis de finalisation de la mise en oeuvre de cette architecture.
 
J'ai un serveur hébergé chez Ovh (debian 4) : H0 avec une adresse publique 91.X.X.X/8
VMware server est installé dessus et plusieurs vmware guest y sont présentes: H1, H2, H3, dans un sous-reseau privé NAT-é: 192.168.28.x/8
 
J'ai 3 portables nomades P0 avec vmware server aussi dessus
Ces P0 ont des adresses locales privées liées au sous-reseau wifi dans lequel on peut se trouver 192.168.0.x/8, ...
et chacun ont des vmware guest dessus:  P1, P2, P3 dans un sous-reseau privé NAT-é: 192.168.246.x/8
 
je souhaite pouvoir faire communiquer P1 (WinXP) avec H1 (Debian 4 en PDC/LDAP) via une integration a un domaine NT.
 
J'ai donc mis en oeuvre sur une vmware H2 un serveur VPN en mode bridged:

 
et coté client:

 
Mon serveur H0 redirige le port UDP 1194 sur le meme port de H2 192.168.28.50 (le serveur VPN)
 
Aujourd'hui la communication s'établit apparemment sans soucis, mais (il ya toujours un mais ;-) )
Mon client, P1 : 192.168.28.110 (ip obtenue via le bridge) ne peut pinger que H2
 
Des captures avec wireshark sur P1 montrent bien mes broadcast ARP (ping) mais sans reply, mais encore plus étrange on y voit les broadcast d'autres machines H2, H3 ...
 
Quelqu'un parmi vous aurait-il une idée sur ce qui pourrait dérailler dans l'architecure?
 
Merci a vous.
 
-R-
 
 
 

Je propose:
activation du forwarding sur le serveur linux du genre:
echo "1" > /proc/sys/net/ipv4/ip_forward
 
Car, je suis sur que la trame arrive sur l'interface reseau reelle mais pas sur l'interface VPN. De plus, l'interface VPN communique avec un moteur (le vrai serveur) et que lui risque d'avoir besoin de forwarder les paquets.
 

@Olivier: Merci tout d'adord de ta réponse. Mais je monte mon vpn avec 2 scripts, un pour monter le bridge et un pour le vpn en question.
pour celui-ci j'ai bien mis le forwarding IP:

 
La question ne serait-elle pas d'activer ce parametre sur toutes les machines H1, H2, H3... ?
 
Merci encore de ton eclairage.
 
-R-
 

Bon double post, mais c'est pour étayer la conversation.
J'ai remplacé mon script de "bridging" par un mecanisme un peu plus "standard" dans /etc/network/interfaces:

 
Et ca marche très bien. Au cas ou ca serve a quelqu'un.
 
Par contre c'est la ou je me suis rappelé que du coup je n'avais plus de default gateway sur ce serveur H2 et que j'avais du coup rajouté un :

 
sinon le tunnel ne se montait pas. ("Network is unreachable" en boucle sur la tentative de connexion client.
 
Autre chose, depuis un des autres serveurs H3, ou H4, je ping très bien le serveur VPN H2, mais pas du tout le client P1 ? comme si le routage ne se faisait pas...
 
Merci de votre aide.
 
-R-
 

Pour mon indication visiblement elle n'était pas utile. J'avoue ne pas maîtrisé complètement le mode Bridge. Je prefere nettement le mode route qui permet de gérer de plus prés les autorisations (Plan d'adressage spécifique et Par feu a la volé eventuel). Et d'éviter de charger le lien VPN avec du trafic inutile en broadcast.
Ton problème venait sûrement d'une route mal écrite ou manquante (Peut être la passerelle ? Arrivait tu a accéder a Internet sur le serveur ?)
A tu un par feu sur le client ? Quelle IP ping tu ?
Attention sous windows, le plan d'adressage du VPN est un peu spécial:
Une adresse IP pour le réseau, une adresse broadcast, Une adresse Client et une adresse serveur.... Soit 4 IP par client.
Si le paquet est correctement routé, tu ne devrait pas avoir besoin d'activer le routage sur les autres serveurs. Au plus, tu devra rajouter une route. Cependant, normalement tu ne doit pas en avoir besoin

@Olivier, Mais mon problème reste entier. en fait l'absence de la gateway empechait simplement toute initialisation coté client du VPN, sans pour autant que ce soit expliquable. avec des erreurs ("Network is unreachable" ) dans les logs du serveur.
 
Je n'ai pas de pare-feu sur les clients. l'ip que je cherche a pinger est (depuis P1) H2 (192.168.28.100) ou H0 (192.168.28.1) ou meme la gateway (192.168.28.2). Ce client ne voit que 192.168.28.50, le serveur VPN... snif'
 
Merci pour ton information sur le plan d'adressage WinXP. Donc si je comprends bien, mon client P1 en 192.168.28.110 utilise 3 autres adresses dans la plage decrite par mon serveur VPN 192.168.28.111, 192.168.28.112, 192.168.28.113?
 
J'ai essayé de dumper sur H2 avec tcpdump les trames y transitant lors d'un ping, on voit bien les requetes ICMP question et reponse....  mais cette réponse doit certainement être avalée par un ver géant sur Arakis, car personne ne la voit...  
 
J'avais bien essayé le mode "routed" au début, mais les broadcast netbios, necessaires a une integration dans un domaine NT (SMB) de mes clients ne passaient pas... A moins qu'il y ait une ruse de sioux pour ca ?
 
Merci de ton aide.
 
-R-

Balance ta table de routage (de H1), je suis sur a 90% que ton problème vient de la.

@Olivier:

Vu cette table, tout semble être correcte... Je doit vraiment être fatigué pour ne pas voir le prb.
 
Bon ecoute, je te propose un truc... car sinon je ne suis pas sur de pouvoir t'aider plus.
 
On passe en routed.
 
En routed, il te faudra une plage d'ip nouvelle differente du reseau interne et du reseau du client. Deplus, n'oublit pas que avec 4 adresses par client, il te faudra bien dimensionner la plage.
 
Pour le netbios et les partages samba, le contrôleur de domaine sera amplement suffisant.
Il faut savoir que sous windows 9x ce problème existait car dans 9x le protocole de partage de fichier utilisait la diffusion. Cependant la technologie XP utilise maintenant le port 445 et le protocol TCP/IP permettant au échange de transiter sans prb a travers les routeurs.
 
Pour tes essais, tu peut d'ailleurs toujours utilisé (et sans rien touché) un lien de la forme \\ip.du.serv.eur
Cela fonctionne parfaitement sans serveur wins.
Le serveur wins te permettra simplement d'avoir l'équivalent d'un dns
Note également que si le dns est correcte, il peut également être utilisé en lieu et place du wins.

Oki. Je teste.
Merci encore de ton temps.
 
-R-

bon retour donc en mode routed. mais pas mieux...
J'ai donc repris ma conf server:

desactive l'interface bridgé. un ifconfig sur le serveur me donne:

et la table de routage maintenant coté serveur est :

coté client j'ai reactivé dans la conf le parametre de dev a l'identique que coté serveur

le tuyau se monte apparemment bien.
un ipconfig coté client me donne:

et la table de routage:

je ne ping pas de serveur en 192.168.28.x car je n'ai pas de route

mais toujours pas de ping.

As-tu une idée?

Merci

-R-

Depuis le Client
Essaye de pinger 10.8.0.6  
puis 10.8.0.1
Depuis le serveur 10.8.0.1
puis 10.8.0.6
 
Toujours sur le serveur
ping 192.168.28.50
puis un echo /proc/sys/net/ipv4/ip_forward
(ou la commande equivalente, je n'ai pas de linux sous la main... Au passage, je remarque que tu a négliger les guillemets...)
 
Dit moi ce que tout cela te donne dans un premier temps.
 
PS: Je prefere utilisé OpenVPN pour rajouter la commande dans la table de routage, c'est plus pratique que la ligne de commande ;-)

Depuis le client 10.8.0.6 je ping bien 10.8.0.6 (ouf' )
je ping bien aussi 10.8.0.1
 
Depuis le serveur, je ping bien 10.8.0.6 et aussi moi-meme autant sur 10.8.0.1 que sur 192.168.28.50
 

 
Et j'ai effectivé configuré openvpn sur le serveur pour qu'il "pousse" la route sur 192.168.28.0 avec un  

 
-R-
 

(Et merde, de nouveau le chômage pour moi !!
Enfin presque.... parqu'il manque les PC derriere le PC client...   ;-)
Sauf que dans ce cas, il n'y en a pas...   !-) )
 
Bon. aller, pour finir il manque qd meme le ping du serveur depuis le client puisque la route est maintenant installé...
 
Pour finir de configurer l'accès au autre serveurs, le plus simple est d'ajouté une route dans la table de routage du routeur de sortie
avec pour règle 10.8.0.0 Masque 255.255.255.0 vers 192.168.28.50
Et tu pourra ensuite essayer de pinger n'importe quel adresse interne.
 
et hop, terminé en 2h de boulot !  

Le premier ping permet de verifier asser simplement l'existence de prb de par feu. En general 127.0.0.1 passe mais pas l'I.P.Ext.erne de la machine

avec la route coté client poussé par le server, le ping depuis le client de :
 -10.8.0.6 ok
 -10.8.0.1 ok
 -192.168.28.50 ok
 
la table de routage du serveur est :

 
Si je rajoute ta route, (sur le serveur VPN ?) avec:

 
Je ne ping toujours pas 192.168.28.2 depuis le client ... ?
 
Euh et désolé pour toi sur la premiere partie de ton post.  
 
-R-
 

Pas sur le serveur VPN, sur le routeur d'accès Internet ou sur tout les serveur sauf le serveur VPN

donc dans mon archi, sur H0 ?

Le serveur VPN est le seul a connaître où envoyer les paquet 10.8.x.x, par contre les autres serveurs ne le savent pas. Donc un serveur autre que VPN envoie sur la route par defaut, soit le routeur, le routeur ne sachant rien envoie vers internet (ou bloque si grand public car IP privé) Et internet de toute façon fini par jeter ces paquets faisant parti des plage réservés au usage interne.

Sur 192.168.28.2

la table de routage de H0 (192.168.28.2):

mais pas mieux . snif'

(Bravo pour le masquage de l'ip)
POurtant, il n'y a pas de raison... Je ne sais pas trop ce qu'est le UG qui traine... Je dirai qu'il ne me plait qu'a moitié..
Ensuite, tu peut peut-etre essayer de mettre 0.0.0.0 pour la passerelle.... et regarder si tu n'a pas une autre table de routage pour le noyau vmnet
 
Ton dernier problème n'est a mon avis plus de l'ordre du VPN mais plutôt du noyau VMWARE
Connaissant peut l'outil, je ne saurait trop me prononcer.

Sur ceux, je te souhaite une bonne nuit.

PS; Sinon tu peut faire un essai sur un serveur... Je sais, c'est chiant si il y en a plus de trois, mais cela t'évitera également de t'énerver...

Merci pour ton temps !
Bonne nuit.