Reprise du message précédent :
Quelle taille fait votre .crt sur le client ? Chez d'autres personnes qui ont ce problème, le fichier fait 0 octet. Cela indique que la procédure de génération du certificat ne s'est pas correctement déroulée. Il faut le refaire.  
 
Assurez-vous également de bien mettre un nom équivalent pour le nom du certificat et le nom de son common name. Le common name de vienne.crt doit être "vienne" et non "server". J'ai trouvé une personne qui avait fait cette erreur et avait un fichier vide.
 
Le nom "common name" peut prêter à confusion.

 
 
   Ouuaii     bravo Master_Jul tu as trouvé et en plus les yeux bandés, en effet mon fichier "vienne.crt" fait 0 octet.
 
Je fais la modif demain.      

Ce qui m'intéresserait c'est de savoir comment tu es arrivé à cette erreur comme apparemment tu n'es pas le seul à l'avoir faite.

 
hé bien quand tu écris
 
"Génération des certificats et clés pour les clients. Chaque nom doit être unique et mettez le « common name » correspondant à chaque nouveau certificat « client1 », « client2 », etc. Contentez-vous de valider en tapant entrée à chaque fois et répondez deux fois « y » aux questions à la fin.  
> build-key client1  "
 
J'ai cru que le nom du client qui est passé en paramètre à "build-key" suffisait et il est vrai qu'a la fin du batch je n'ai pas eu à répondre 2 fois "Y".
Mais comme j'ai trouvé les fichiers je n'ai pas réagit    
 
Je n'ai pas pu attendre demain et je me suis connecté à distance sur mon serveur pour générer les fichiers correctement cette fois.
Il faud lancer la commande "vars" pour ensuite passer la commande "build-key client1" et ne pas oublier de taper "client1" lorsqu'il demande "common name" et là au miracle une fois les fichiers transfèrés sur le client, sa roule type top    
 
Grand merci à toi Master_Jul    

Pas de problème ! Content de voir que ça peut être utile. On est déjà bien référencés dans Google.
 
Je vais ajouter un paragraphe pour les problèmes rencontrés, demain je pense, il se fait tard.

 
Oui j'ai essaye et ca ne fonctionne pas non plus
 
Je comprend pas, je vais continuer a chercher en tout cas super boulot vraiment
 

drapeau et

Salut,
 
J'ai suivi ce tutorial pour l'installation d'OpenVPN entre mon réseau local (avec une Freebox comme routeur) et des ordinateurs distants. Je ne suis pas arrivé à lancer le client (essai depuis le réseau et essai en distant). Voilà mes constatations et quelques questions:
1) Remarque lors de l'installation:
- Paragraphe "Génération du certificat root et de sa clé pour le réseau": Comme j'ai pu lire dans les différents message l'importance du "Common Name" pour le client, je signale que j'ai mis pour cette partie "Serveur-VPN-Gilles" (dans le tut c'est "OpenVPN-MJ.net" ). Je ne pense pas que celà soit important
- J'ai généré les clés en local et elle ne sont pas vide (*.crt 3,46 ko, *.key 887 oct)
- Le lancement du serveur parait bon et j'obtient l'IP 10.8.0.1
    Note => Un ping depuis l'ordi ayant OpenVPN en serveur abouti mais les autres ordi du réseau local ne ping pas sur l'IP 10.8.0.1 ?
    Note => Par rapport au log du serveur, la seule différence, que je remarque, est dans "IFCONFIG POOL LIST". Dans le tut, il y a une liste de client alors que moi je n'ai rien ?
 
Sun Apr 23 09:47:06 2006 UDPv4 link remote: [undef]
Sun Apr 23 09:47:06 2006 MULTI: multi_init called, r=256 v=256
Sun Apr 23 09:47:06 2006 IFCONFIG POOL: base=10.8.0.4 size=62
Sun Apr 23 09:47:06 2006 IFCONFIG POOL LIST
Sun Apr 23 09:47:06 2006 Initialization Sequence Completed
 
- Pour le port (1194) redirigé du routeur pour le serveur, je pense qu'il faut faire une redirection en UDP (vu le fichier config du serveur) ? Dans le doute, j'ai redirigé en UDP et en TCP
- Pour faire des essais en local, doit-on aussi rediriger le port 1194 ? (je l'ai fait aussi)
- J'utilise XP familial et le pare-feu de Windows. Apparement le pare-feu bloque quelque chose car quand je l'ai desactive, dans les essais de connection client, des lignes "Sun Apr 23 09:48:20 2006 read UDPv4: ..." s'ajoute.
 
2) Se qui ne marche pas
- TLS Error dans la connection client. voir le log partiel ci-dessous:
 
Sun Apr 23 09:46:40 2006 UDPv4 link local: [undef]
Sun Apr 23 09:46:40 2006 UDPv4 link remote: 82.227.52.177:1194
Sun Apr 23 09:47:40 2006 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Apr 23 09:47:40 2006 TLS Error: TLS handshake failed
Sun Apr 23 09:47:40 2006 TCP/UDP: Closing socket
Sun Apr 23 09:47:40 2006 SIGUSR1[soft,tls-error] received, process restarting
Sun Apr 23 09:47:40 2006 Restart pause, 2 second(s)
Sun Apr 23 09:47:42 2006 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Sun Apr 23 09:47:42 2006 Re-using SSL/TLS context
Sun Apr 23 09:47:42 2006 LZO compression initialized
Sun Apr 23 09:47:42 2006 Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Sun Apr 23 09:47:42 2006 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Apr 23 09:47:42 2006 Local Options hash (VER=V4): '504e774e'
Sun Apr 23 09:47:42 2006 Expected Remote Options hash (VER=V4): '14168603'
Sun Apr 23 09:47:42 2006 UDPv4 link local: [undef]
Sun Apr 23 09:47:42 2006 UDPv4 link remote: 82.227.52.177:1194
Sun Apr 23 09:48:20 2006 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Sun Apr 23 09:48:23 2006 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
 
Dans l'attente de tes conseils
 
Gilles  

up pour un tuto utile et bien pratique, meme si j'ai pas essayé, ça évitera de passer des heures sur une doc

re drapal

Salut LaBourse, alors on va essayer de déméler tout ça.
 
Sur le serveur derrière la freebox, il faut rediriger le port en udp uniquement, comme tu l'indiques dans son fichier de configuration.
 
Tu n'as pas de pool list car aucun client n'a pu encore se connecter. C'est une sorte de "mémoire".
 
Le firewall Windows doit être désactivé. Je n'ai pas trouvé d'alternative pour le moment avec.
 
Pour l'erreur TLS, cela vient de la clé ta.key. Tu l'as bien générée et mise sur tous les postes ? Clients et serveur.

Ok pour désactivé le Firewall Windows (éventuellement, indique moi un autre à utiliser)
Sinon, j'utilise le même ta.key sur les 2 machines (essai en local)

Mille excuse! C'est mon routeur US Robotics 5462 qui bloque (je l'ai remplacé pour essayé par un hub 10 mb).
Ce routeur fait aussi WIFI mais je n'arrive pas à l'utiliser correctement. Si quelqu'un peu me renseigner sur son utilisation.
 
Sinon merci pour ton tut et ton aide

L'informatique c'est bizarre. J'ai remis mon routeur et maintenant tout marche (essai en local pour le moment), même avec les firewall Windows !

Pour ma part, j'avais du mal à faire fonctionner les partages windows avec le firewall activé. Tant mieux si tout remarche.

Bonjour,
 
Grâce à votre excellent tutorial j'ai installer sous Windows XP Pro en "mode route" un vpn entre mon travail et mon pc persol. Mon serveur openvpn est démarré sur mon pc perso avec un utilisateur ayant des droits admin, appelons le "user_admin", le client est lancé à mon travail.
 
Sur mon PC perso j'ai partagé un répertoire en autorisant uniquement et sans "héritage" 2 users : "user_admin" et "guest_vpn" qui a des droits plus restreints.
 
La connexion VPN s'établie sans pb, j'ai ainsi accès depuis mon travail à mon répertoire partagé sur mon pc perso.
 
Par contre j'ai du mal à comprendre sous quel compte par défaut la connexion vpn est établie : est-ce celui qui à démarré le serveur openvpn, à savoir "user_admin" ?
 
En effet je trouve bizarre de pouvoir monter mon répertoire partagé sans aucune identification, juste en faisant "connecter un lecteur réseau", auquel cas j'ai l'air d'avoir des droits admin sur le répertoire partagé (ceux de "admin_toto" ?), alors que lorsque je veux utiliser l'autre compte "guest_vpn" il me sort l'erreur : "le dossier réseau spécifié est actuellement mappé avec un nom d'utilisateur et un mot de passe différent...." bien qu'aucun mappage n'est alors déjà actif.
 
J'ai du mal à comprendre la gestion des droits via openvpn sous Windows, contrairement à Linux où on peut utiliser les directives du fichier de config openvpn user et group.
 
Merci d'avance de m'aider sur ces différentes questions.
 
Labavure

slt Master_Jul.J'ai une livebox et j'ai ouvert le "port 1194". J'ai un souci pour mon client. Il reste jaune et m'écrit:

  Merci d'avance

Salut à tous !
 
J'ai une question, pour le moment simple....
Je sauvegarde mes données professionnelles (sauvegardes photos et données courantes) sur un 2eme dd sur mon pc (je synchronise quotidiennement avec beyond compare)... mais aussi sur dvd (sauvegarde de mes photos uniquement) et pour compléter tout celà, j'ai mis un 3eme dd dans un boitier externe, chez mon père, je compte m'en servir pour faire la même chose qu'avec le 2eme dd de mon pc (photos et données courantes donc)
 
il faut maintenant connecter ce dd à mon pc... comment faire ? j'avais pensé au ftp mais beyond compare est vraiment impeccable pour mon utilisation, il faut donc que je puisse intervenir sur le dd qui est chez mon père comme s'il était branché sur mon pc, ou sur mon réseau (j'ai 4 pc connectés).
 
la solution OpenVPN vous semble-t-elle adaptée ?

Je répondrai (dumoins je tenterai) à vos (labavure1, roilived & elcap)  questions et interrogations dans quelques jours si quelqu'un ne l'a pas fait avant car je suis en période d'exams.

ok, merci
 
bons exams !

bonne chance! (ou merde!). Merci.

Merci à vous.

 
Bonjours j'ai un gros problèmes avec le client. J'ai suivi ce tutorial pour l'installation d'OpenVPN entre mon réseau local (avec une livebox comme routeur) et un hôte distant. Je ne suis pas arrivé à lancer le client (essai depuis le réseau et essai en distant). Voilà mes constatations et quelques questions:  
 
j'ai cette erreur qui s'affiche :
 
WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sat Apr 29 11:04:37 2006 us=25436 Cannot load private key file client1.key: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch
Sat Apr 29 11:04:37 2006 us=25520 Error: private key password verification failed
Sat Apr 29 11:04:37 2006 us=25541 Exiting
 
ma clé doit etre bien était générer ( j'ai bien suivie le tutoriel, et elle ne fais pas 0 ko) et j'ai mis ca dans mon serveur (qui lui fonctionne s'en probleme):
 
OpenVPN Server (Windows XP Professional, Multiple Clients)
lport 5000
dev tap
tls-server
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
mode server
ifconfig 192.168.0.1 255.255.255.0
ifconfig-noexec
ifconfig-pool 192.168.0.110 192.168.0.119
local 192.168.0.10
push "route 10.0.0.1 255.255.255.0 192.168.39.1"
duplicate-cn #use this for testing only
client-to-client
ping 10
ping-restart 120
push "ping 10"
push "ping-restart 60"
verb 4
 
et ca dans le clients:
 
OpenVPN Client (Windows XP Professional)
remote <IP.Address.or.DNS.Name.of.OpenVPN.Server>
port 5000
dev tap
nobind
tls-client
ca ca.crt
cert client.crt
key client.key
pull
verb 4
 
 
Aider moi please, ca fais des jours que j'y suis dessus. Merci pour votre aide, et merde pour vos exam les gars.

Bonjour!
en avant-propos...
 
  clapo-clapo mastejul!Pour ce fabuleux tuto!
 
mais ca n'empèche que cela ne marche pô!  
 
sans rire cela marche seulement à moitié,la création du reseau,le paramétrage du serveur ainsi
que des clients avec certificats crées en local se passe bien.
 
une fois les données envoyées au clients,la connexion faite,il nous est impossible de nous connecter ensemble!
ce test est en distant,je n'est pas éssayé en local.
 
quand le client(sur l'ordi distant) ping mon serveur (10.8.0.1) il à 0% de perte de paquets.
quand je teste du pc où le serveur est installé (toujours vers 10.8.0.1) j'obtient 0% de perte de paquets,par contre et c'est là le hic quand je ping du pc avec le serveur vers le client(10.8.0.6) j'obtient 100% de pertes...  
 

 
le serveur est derrière un routeur netgear wgr614 avec firmware à jour,j'ai aussi le parefeu xp
j'ai ouvert le port 1194 en udp sur le routeur ainsi que sur xp,j'ai débloquer openvpn-gui.exe sur le parefeu xp et j'ai l'ai coupé pour la connexion réseau virtuelle(on ne sait jamais)mais est toujours actif pour la connexion wifi.
 
le client est aussi derrière un routeur dont je n'ait aucune info mais je sait juste que le port 1194 udp est ouvert ainsi que sur xp.
 
en espérant que quelqu'un puisse m'aider.
 
encore    
 

Bonjour,
je voudrais savoir s'il était possible pour un client d'OpenVPN d'utiliser la connexion internet du serveur auquel il se connecte ?
je suis entrain de tester le forfait SFR 3G intranet illimité, dont l'accès est restreint à quelques ports uniquement (pas de web par exemple)..  
le client se connecte bien au serveur, ping même le routeur mais je ne sais pas ce qu'il faut faire après dans l'éventualité que ça soit possible
merci d'avance

Normalement oui. Un fois sur le réseau local ...

Bonjour,
J'ai un souci avec la commande build-dh.
Lorsque je la lance rien ne se passe et le fichier dh1024.pem ne se créé pas
Merci pour votre aide

Bonjour, je voudrais savoir s'il est possible d'installer openvpn sur un serveur (par exemple windows 2000) et d'utiliser les utilisateurs de l'active directory pour se connecter?
merci pour vos réponses.

Chapo pour le fameux Tuto, j'ai galéré 2 semaine avant de trouver ce super tuto.
Neanmoins j'ai un petit soucis, Mon serveur VPN marche pas coté client car il n'arrive pas  à se connecté. Sinon coté serveur, il démarre bien. J'ai la Freebox et lorsque je fais mes pig sur mes adresses, tout semble bien marché en local. Quelqu'un pourra me renseigner.
Lor de la connexion de mon client, il bloque et j'ai le message suivant: UDPv4 link remote : mon ip:1194
Encore Bravo.  
 

Merci pour ce tuto.
 
Petite question, c 'est censé marcher si on fait un test entre deux postes du meme reseau ? (un test sur mon reseau local donc)
 

Nickel, merci pour le tuto !
 
VPN installé, y'a plus qu'à tester demain depuis chez un pote.
 
Mais j'ai quelques questions (questions/réponses à ajouter sur les 1er posts, ça va intéresser du monde je pense) :
 
 1 - Côté serveur, on peut changer le mot de passe. Vu que jusqu'ici on en a pas mis, à qioi sert-il ? Bloquer l'accès à OpenVPN GUI ?
 
 2 - Par defaut, les connexions se font en UDP. Bizarre, j'imaginais ça en TCP. Que se passe t'il si y'a des paquets dropés ?
 
 
Mon besoin de VPN :
Récup d'un PC portable, ajout de carte WiFi B/G.
Depuis chez des amis/boulot/HotSpots (McDo, TGV, etc. par exemple)/etc. je veux avoir accès au net. Mais par sécurité, je ne veux pas que le trafic passe directement par le HotSpot. Je veux donc passer par "mon chez moi" (le serveur VPN), comme si j'étais chez moi (pour le routage, j'ai ce qu'il faut). Donc :
 
 3 -  

Donc (je ne peux pas encore tester), par defaut les clients passent par le VPN pour accéder au serveur VPN ou aux machines du même NetID (10.8.0.x), ou aux réseaux côté serveur VPN si on a ajouté les routes côté client ?
Comment activer cette option pour seulement un client ? (pour que tous les flux soient redirigés vers le serveur VPN ? (Je lance le VPN depuis un HotSpot, puis je peux passer par le VPN pour tous les flux, mail, http, IM, etc.)
 
 4 -  

Bon, j'imagine qu'il faut décommenter dans mon cas ?
 
 5 - Ca me semble logique, mais j'ai assez peu de bases pour l'instant en VPN. Vu que les clefs ont été créées côté serveur et copiées de façon sûre sur le client, (en théorie) il n'y a aucun risque pour que les clefs de cryptage/décryptage soient interceptées, elles ne transitent pas ? Les flux sont directement cryptés ?

Promis, j'essaie de répondre à tout le monde à partir de mercredi aprem'. J'aurai fini mes exams, en attendant c'est tendu !

VPN testé ce We pendant 2 jours, nickel.
 
Pour ma question N° 3, je n'ai pas trouvé.
J'ai du activer cette option pour que tous mes flux soient redirigés vers mon serveur VPN.
 
 
Aucun prb hier. Mais aujourd'huii, j'ai eu du mal. Il fallait bcp de temps pour que la connexion se termine, puis une fois faite, impossible de l'utiliser. L'IP attribuée pour le VPN n'est pas du tout du NetID configuré côté serveur, mais du type de celui attribué automatiquement par XP quand aucune requète DHCP n'aboutit.
Reboot, même chose, puis je vois les logs, j'ai des tas de lignes dans ce genre avant que la connexion se termine :
 

 
puis une erreur à la fin, mais je ne l'ai pas dans le log, et je ne peux la reproduire pour l'instant.
 
 
Puis en insistant, le VPN fonctionne. Déco, reco, re problème, jusqu'à ce que ça repasse.
 
 
Quelqu'un connait ce prb ?

Merci Master_jul pour cette doc vraiment très bien bien expliqué et très précise, j'ai installé ce VPN sans aucun soucis et ça marche tout est au vert.
Par contre maintenant, comment on accède de la machine client à la machine serveur.  
Et es ce que tout les programmes que l'on fait fonctionner entre ces deux machines sont automatiquents protégé dans le tunnel?
Si on peut accéder aux répertoires , peut-on les définir pour en restreindre l'accès.
Merci de pouvoir m'aider pour une utilisation pratique.

Ce sont les "routes" (configuré côté client) qui s'occuperont de faire passer ou non les flux dans le tunnel.
 
Si tu ajoutes une route qui dit que quand tu veux contacter du "192.168.7.x", à chaque tentative, depuis n'importe quel programme, de connexion version IP de ce NetID, ça passera direct dans le VPN. Le serveur VPN reçoit le flux, balance ça à la pile TCP/IP (la gestion TCP/IP de Windows par exemple) qui s'occupera d'envoyer ça où il faut. Perso, j'utiliser WinRoute pour l'interconnexion de réseaux, le routage, viltrage, etc.
 
De mon côté, j'ai activé l'option (voir mes posts ci dessus) côté serveur VPN pour que les routes soient modifiées de telle façon que TOUS les flux (côtés client) sauf les locaux (sinon impossible de communiquer avec le routeur (ethernet, Wi-Fi, etc.)) soient balancés dans le tunnel. Ce qui donne que n'importe quelle connexion sera renvoyée au serveur VPN (mail, http, ftp, IM, etc.).
 
 
Si tu veux partager un dossier sur le serveur VPN, bouton droit sur le serveur, puis tu actives le partage et règles les permissions.
Reviens sur le client :
Démarrer > Exécuter > \\IpDuServeur
Ca va te demander de t'identifier, il faudra utiliser un compte utilisateur valide sur le serveur (par exemple, "Barnabo" + "mot de passe de barnabo" ).
 
Et hop, tu verras le contenu.

 
 
Merci pour la réponse rapide, mais j'ai un soucis de compréhension, tu vas trop vite pour moi...
 
si je veux partager un dossier je dois aller dasn program files /openVPN et créer un dossier que je partage...  
 
j'ai essayer du coté client de faire \\10.8.0.1 puisque c'est l'adresse du serveur , mais rien ne se passe..
 
Merci d'avance pour ton aide.

Quelle version de Windows utilises-tu ?
 
 
Non, pas besoin d'aller dans le dossier d'OpenVPN. Tu choisis n'importe quel dossier sur ton PC, "clic droit, propriétés, partager", tu lui donnes un nom, et tu choisis qui à le droit d'y accéder et comment (lecture seul, écriture, etc.).
 
Bizarre que rien ne se passe. Cöté serveur, vas dans les propriétés de cette connexion réseau (via le panneau de configuration puis "connexions réseau" ). Dans le dernier onglet, désactive le "pare-feu" si il est actif.
 
 
Depuis le client, arrives-tu à pinguer le serveur ? (Démarrer > Exécuter > CMD > Ok > ping 10.8.0.1)

 
 
J'ai windows XP pro sur les deux ordis
 
c'est bon j'ai partagé un dossier et désactivé mon  "pare-feu"
 
mais depuis le client le ping ne marche pas alors que tout est Vert (openVPN)
 
et pourtant mes pare-feu sont arrétés

Tu ne dois les arrêter QUE sur les connexion VPN, surtout pas tes connexions à Internet (pour ne pas compromettre la sécurité de tes PC).
 
Regarde les logs du client pour trouver l'IP qui t'a été attribué ainsi que d'éventuels messages d'erreur.
 
Fais aussi Démarrer > Executer > CMD > ipconfig
et regarde si la connexion VPN est bien configurée (automatiquement, par le serveur VPN lors de la connexion, style 10.8.0.X etc.).

 
 
OK je remettrais les pare-feu (sauf vpn) dès que cela marchera  
A priori pas de message d'erreur dans le log
pour l'ip config,  pas de problème sauf peux-être qu'il n'y a pas de passerelle par defaut, cela as-t-il de l'importance dans notre cas?