Reprise du message précédent :
Peut-on voir :
  * les fichiers de conf
  * les ipconfig client et serveur
  * les log du client

Bonjour,
 
Mon client OpenVPN ne fonctionne pas sous Windows 7 à cause d'une erreur de vérification du certificat car il est auto-signé alors que sous Vista cela marchait très bien.
 
Quelqu'un aurait une idée sur la source du problème ?
 
Merci d'avance

Bonjour,
 
Je met actuellement en place un Open Vpn mode routeur entre 2 sites. Le serveur OpenVPN est sur un poste xp et le client auquel j'accède en SSH est un 2003 serveur (idiot mais c'est juste un test ).  
 
Schéma:
 
| 192.168.250.0 /24| ==| 192.168.250.15 |==| Routeur |== Tunnel VPN ==| Routeur |==| 192.168.1.100 |==| 192.168.1.0 /24 |
                                       10.24.0.1                                                                          10.24.0.6
 
Mon problème:  - depuis le client, je ping le serveur sur l'interface 10.24.0.1, 192.168.250.15 et par son nom netbios (tout va bien)
                     - depuis le serveur je ne ping mon client que par son adresse virtuelle 10.24.0.6, sur son adresse réelle le ping échoue.
 
 
voici mon fichier de config serveur:
 
local 192.168.250.15
port 1194
proto udp
dev tun
mode server
tls-server
tun-mtu 1500
mssfix  
;dev-node MyTap
ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh1024.pem
server 10.24.0.0 255.255.255.0
push "route 10.24.0.0 255.255.255.0"
route 192.168.250.0 255.255.255.0
route 192.168.1.0.255.255.255.0
push "route 192.168.250.0 255.255.255.0"
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1"  
push "dhcp-option DNS 192.168.250.10"
client-to-client
;duplicate-cn
keepalive 10 120
tls-auth ta.key 0 # This file is secret
;replay-persist tls-auth.log
cipher BF-CBC        # Blowfish (default)
comp-lzo
max-clients 10
persist-key
persist-tun
status openvpn-status.log
verb 5
;mute 20
 
Voici mon fichier de config client:
 
client
dev tun
;dev-node MyTap
proto udp
remote IP_Publique_Serveur ****   # port publique redirigé sur le 1194 en local
;remote my-server-2 1194
;remote-random
nobind
tls-client
persist-key
persist-tun
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
;mute-replay-warnings
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
tls-auth ta.key 1
cipher BF-CBC
comp-lzo
verb 5
;mute 20
 
 
 
Les log du serveur
 
 
Thu Feb 04 14:12:17 2010 us=686931 OpenVPN 2.0.7 Win32-MinGW [SSL] [LZO] built on Apr 12 2006
Thu Feb 04 14:12:17 2010 us=860661 Diffie-Hellman initialized with 1024 bit key
Thu Feb 04 14:12:17 2010 us=925845 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Thu Feb 04 14:12:17 2010 us=925953 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Feb 04 14:12:17 2010 us=925977 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Feb 04 14:12:17 2010 us=926018 TLS-Auth MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Feb 04 14:12:17 2010 us=969341 TAP-WIN32 device [Connexion au réseau local 3] opened: \\.\Global\{4B97F23E-B48D-4F8B-AD56-1A95B830AF31}.tap
Thu Feb 04 14:12:17 2010 us=971889 TAP-Win32 Driver Version 8.1  
Thu Feb 04 14:12:17 2010 us=974177 TAP-Win32 MTU=1500
Thu Feb 04 14:12:17 2010 us=976476 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.24.0.1/255.255.255.252 on interface {4B97F23E-B48D-4F8B-AD56-1A95B830AF31} [DHCP-serv: 10.24.0.2, lease-time: 31536000]
Thu Feb 04 14:12:17 2010 us=978961 Sleeping for 10 seconds...
Thu Feb 04 14:12:27 2010 us=981110 NOTE: FlushIpNetTable failed on interface [65540] {4B97F23E-B48D-4F8B-AD56-1A95B830AF31} (status=259) : Aucune donnée n'est disponible.  
Thu Feb 04 14:12:27 2010 us=985338 route ADD 192.168.250.0 MASK 255.255.255.0 10.24.0.2
Thu Feb 04 14:12:27 2010 us=990218 Route addition via IPAPI succeeded
Thu Feb 04 14:12:27 2010 us=990277 route ADD 192.168.1.0 MASK 255.255.255.255 10.24.0.2
Thu Feb 04 14:12:27 2010 us=997412 Route addition via IPAPI succeeded
Thu Feb 04 14:12:27 2010 us=997473 route ADD 10.24.0.0 MASK 255.255.255.0 10.24.0.2
Thu Feb 04 14:12:28 2010 us=4485 Route addition via IPAPI succeeded
Thu Feb 04 14:12:28 2010 us=4560 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Feb 04 14:12:28 2010 us=4645 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Feb 04 14:12:28 2010 us=7357 UDPv4 link local (bound): [undef]:1194
Thu Feb 04 14:12:28 2010 us=7401 UDPv4 link remote: [undef]
Thu Feb 04 14:12:28 2010 us=7418 MULTI: multi_init called, r=256 v=256
Thu Feb 04 14:12:28 2010 us=7519 IFCONFIG POOL: base=10.24.0.4 size=62
Thu Feb 04 14:12:28 2010 us=7578 IFCONFIG POOL LIST
Thu Feb 04 14:12:28 2010 us=7592 client1,10.24.0.4
Thu Feb 04 14:12:28 2010 us=7643 Initialization Sequence Completed
Thu Feb 04 14:12:32 2010 us=186242 MULTI: multi_create_instance called
Thu Feb 04 14:12:32 2010 us=186361 "IP_Publique_Client":2151 Re-using SSL/TLS context
Thu Feb 04 14:12:32 2010 us=186406 "IP_Publique_Client":2151 LZO compression initialized
Thu Feb 04 14:12:32 2010 us=186627 "IP_Publique_Client":2151 Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Feb 04 14:12:32 2010 us=186651 "IP_Publique_Client":2151 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Feb 04 14:12:32 2010 us=186725 "IP_Publique_Client":2151 Local Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
Thu Feb 04 14:12:32 2010 us=186747 "IP_Publique_Client":2151 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
Thu Feb 04 14:12:32 2010 us=186790 "IP_Publique_Client":2151 Local Options hash (VER=V4): '14168603'
Thu Feb 04 14:12:32 2010 us=186817 "IP_Publique_Client":2151 Expected Remote Options hash (VER=V4): '504e774e'
Thu Feb 04 14:12:32 2010 us=186894 "IP_Publique_Client":2151 TLS: Initial packet from "IP_Publique-client":2151, sid=3e723c27 f31718f4
Thu Feb 04 14:12:33 2010 us=466335 "IP_Publique_Client":2151 VERIFY OK: depth=1, /C=FR/ST=DR/L=Villefranche/O=DLSystem/CN=OpenVPN-DLSystem/emailAddress=mail@host.domain
Thu Feb 04 14:12:33 2010 us=467091 "IP_Publique_Client":2151 VERIFY OK: depth=0, /C=FR/ST=DR/O=DLSystem/CN=client1/emailAddress=mail@host.domain
Thu Feb 04 14:12:33 2010 us=663681 "IP_Publique_Client":2151 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Feb 04 14:12:33 2010 us=663742 "IP_Publique_Client":2151 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Feb 04 14:12:33 2010 us=663838 "IP_Publique_Client":2151 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Feb 04 14:12:33 2010 us=663859 "IP_Publique_Client":2151 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Feb 04 14:12:33 2010 us=764068 "IP_Publique_Client":2151 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Feb 04 14:12:33 2010 us=764165 "IP_Publique_Client":2151 [client1] Peer Connection Initiated with "IP_Publique-client":2151
Thu Feb 04 14:12:33 2010 us=764263 client1/"IP_Publique_Client":2151 MULTI: Learn: 10.24.0.6 -> client1/"IP_Publique-client":2151
Thu Feb 04 14:12:33 2010 us=764286 client1/"IP_Publique_Client":2151 MULTI: primary virtual IP for client1/"IP_Publique-client":2151: 10.24.0.6
Thu Feb 04 14:12:34 2010 us=798027 client1/"IP_Publique_Client":2151 PUSH: Received control message: 'PUSH_REQUEST'
Thu Feb 04 14:12:34 2010 us=798159 client1/"IP_Publique_Client":2151 SENT CONTROL [client1]: 'PUSH_REPLY,route 10.24.0.0 255.255.255.0,route 192.168.250.0 255.255.255.0,redirect-gateway def1,route 10.24.0.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 10.24.0.6 10.24.0.5' (status=1)
 
 
Les log du client
 
 
Thu Feb 04 14:12:33 2010 us=426237 OpenVPN 2.0.7 Win32-MinGW [SSL] [LZO] built on Apr 12 2006
Thu Feb 04 14:12:33 2010 us=426327 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Thu Feb 04 14:12:33 2010 us=427525 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Thu Feb 04 14:12:33 2010 us=427554 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Feb 04 14:12:33 2010 us=427568 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Feb 04 14:12:33 2010 us=427591 LZO compression initialized
Thu Feb 04 14:12:33 2010 us=427679 Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Feb 04 14:12:33 2010 us=435184 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Feb 04 14:12:33 2010 us=435221 Local Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 1,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
Thu Feb 04 14:12:33 2010 us=435233 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1542,tun-mtu 1500,proto UDPv4,comp-lzo,keydir 0,cipher BF-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
Thu Feb 04 14:12:33 2010 us=435255 Local Options hash (VER=V4): '504e774e'
Thu Feb 04 14:12:33 2010 us=435270 Expected Remote Options hash (VER=V4): '14168603'
Thu Feb 04 14:12:33 2010 us=435296 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Feb 04 14:12:33 2010 us=435309 UDPv4 link local: [undef]
Thu Feb 04 14:12:33 2010 us=435318 UDPv4 link remote: "IP_Publique_serveur":"Port_publique_serveur"
Thu Feb 04 14:12:33 2010 us=622490 TLS: Initial packet from "IP_Publique_serveur":"Port_publique_serveur", sid=9ef2f577 099ba84f
Thu Feb 04 14:12:34 2010 us=199201 VERIFY OK: depth=1, /C=FR/ST=DR/L=Villefranche/O=DLSystem/CN=OpenVPN-DLSystem/emailAddress=mail@host.domain
Thu Feb 04 14:12:34 2010 us=199619 VERIFY OK: nsCertType=SERVER
Thu Feb 04 14:12:34 2010 us=199629 VERIFY OK: depth=0, /C=FR/ST=DR/O=DLSystem/CN=server/emailAddress=mail@host.domain
Thu Feb 04 14:12:35 2010 us=106655 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Feb 04 14:12:35 2010 us=106679 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Feb 04 14:12:35 2010 us=106742 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Feb 04 14:12:35 2010 us=106754 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Feb 04 14:12:35 2010 us=106797 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Feb 04 14:12:35 2010 us=106824 [server] Peer Connection Initiated with "IP_Publique_serveur":"Port_publique_serveur"
Thu Feb 04 14:12:36 2010 us=138170 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Thu Feb 04 14:12:36 2010 us=241968 PUSH: Received control message: 'PUSH_REPLY,route 10.24.0.0 255.255.255.0,route 192.168.250.0 255.255.255.0,redirect-gateway def1,route 10.24.0.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 10.24.0.6 10.24.0.5'
Thu Feb 04 14:12:36 2010 us=242026 OPTIONS IMPORT: timers and/or timeouts modified
Thu Feb 04 14:12:36 2010 us=242035 OPTIONS IMPORT: --ifconfig/up options modified
Thu Feb 04 14:12:36 2010 us=242043 OPTIONS IMPORT: route options modified
Thu Feb 04 14:12:36 2010 us=257118 TAP-WIN32 device [Connexion au réseau local 5] opened: \\.\Global\{7C2576FD-C97A-49F8-AF8B-C336BAC80B30}.tap
Thu Feb 04 14:12:36 2010 us=257141 TAP-Win32 Driver Version 8.1  
Thu Feb 04 14:12:36 2010 us=257152 TAP-Win32 MTU=1500
Thu Feb 04 14:12:36 2010 us=257168 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.24.0.6/255.255.255.252 on interface {7C2576FD-C97A-49F8-AF8B-C336BAC80B30} [DHCP-serv: 10.24.0.5, lease-time: 31536000]
Thu Feb 04 14:12:36 2010 us=258366 NOTE: FlushIpNetTable failed on interface [2] {7C2576FD-C97A-49F8-AF8B-C336BAC80B30} (status=1413) : Index non valide.  
Thu Feb 04 14:12:36 2010 us=260156 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Thu Feb 04 14:12:36 2010 us=260194 Route: Waiting for TUN/TAP interface to come up...
Thu Feb 04 14:12:37 2010 us=293021 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Thu Feb 04 14:12:37 2010 us=293044 Route: Waiting for TUN/TAP interface to come up...
Thu Feb 04 14:12:38 2010 us=325134 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Thu Feb 04 14:12:38 2010 us=325156 Route: Waiting for TUN/TAP interface to come up...
Thu Feb 04 14:12:39 2010 us=357296 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Thu Feb 04 14:12:39 2010 us=357316 Route: Waiting for TUN/TAP interface to come up...
Thu Feb 04 14:12:40 2010 us=389474 TEST ROUTES: 0/0 succeeded len=3 ret=0 a=0 u/d=down
Thu Feb 04 14:12:40 2010 us=389498 Route: Waiting for TUN/TAP interface to come up...
Thu Feb 04 14:12:41 2010 us=421657 TEST ROUTES: 4/4 succeeded len=3 ret=1 a=0 u/d=up
Thu Feb 04 14:12:41 2010 us=421687 route ADD "IP_Publique_serveur" MASK 255.255.255.255 192.168.1.1
Thu Feb 04 14:12:41 2010 us=423137 Route addition via IPAPI succeeded
Thu Feb 04 14:12:41 2010 us=423155 route ADD 0.0.0.0 MASK 128.0.0.0 10.24.0.5
Thu Feb 04 14:12:41 2010 us=424754 ROUTE: route addition failed using CreateIpForwardEntry: Paramètre incorrect.   [if_index=2]
Thu Feb 04 14:12:41 2010 us=424769 Route addition via IPAPI failed
Thu Feb 04 14:12:41 2010 us=424780 route ADD 128.0.0.0 MASK 128.0.0.0 10.24.0.5
Thu Feb 04 14:12:41 2010 us=426369 ROUTE: route addition failed using CreateIpForwardEntry: Paramètre incorrect.   [if_index=2]
Thu Feb 04 14:12:41 2010 us=426384 Route addition via IPAPI failed
Thu Feb 04 14:12:41 2010 us=426395 route ADD 10.24.0.0 MASK 255.255.255.0 10.24.0.5
Thu Feb 04 14:12:41 2010 us=427964 ROUTE: route addition failed using CreateIpForwardEntry: Paramètre incorrect.   [if_index=2]
Thu Feb 04 14:12:41 2010 us=427980 Route addition via IPAPI failed
Thu Feb 04 14:12:41 2010 us=427991 route ADD 192.168.250.0 MASK 255.255.255.0 10.24.0.5
Thu Feb 04 14:12:41 2010 us=429565 ROUTE: route addition failed using CreateIpForwardEntry: Paramètre incorrect.   [if_index=2]
Thu Feb 04 14:12:41 2010 us=429578 Route addition via IPAPI failed
Thu Feb 04 14:12:41 2010 us=429590 route ADD 10.24.0.0 MASK 255.255.255.0 10.24.0.5
Thu Feb 04 14:12:41 2010 us=431168 ROUTE: route addition failed using CreateIpForwardEntry: Paramètre incorrect.   [if_index=2]
Thu Feb 04 14:12:41 2010 us=431181 Route addition via IPAPI failed
Thu Feb 04 14:12:41 2010 us=431192 Initialization Sequence Completed
 
 
ipconfig + Tables de routage:
 
Serveur:
 
Client:  
 
 
Les 2 erreurs flagrantes que je vois sont:  
 
"FlushIpNetTable failed on interface" que je n'arrive pas a corriger, je ne sais même pas ce que c'est
 
" ROUTE: route addition failed using CreateIpForwardEntry: Paramètre incorrect.   [if_index=2]
Route addition via IPAPI failed "  
 
Pour cette dernière ca dois être lié a la passerelle car les erreurs sont pas les même en fonction des paramètres de passerelle que je configure (push "redirect-gateway" ,push "redirect-gateway def1" ou rien.
 
 
Sinon quand la connexion est établie dans les log du serveur, la ligne suivante se répète:
 
Fri Feb 05 11:37:30 2010 us=412900 client1/"IP_Publique_Client":2795 MULTI: bad source address from client [192.168.1.100], packet dropped
 
 
 
Voila ca fais une semaine que je suis sur ce problème et je sais plus quoi faire
 
PS: Le routage IP est activé sur les 2 PC et le parfeu Windows désactivé sur les interfaces réseau correspondantes.
 
Merci et désolé pour la tartine que je viens de poster lol

Thomas7169,
Un principe de base dans la pratique des réseaux : tester pas à pas chaque fonctionnalité...pour un premier test, la configuration serveur est trop verbeuse (client à client, alors qu'un seul client est défini,  redondances de directives ...).
Il faut également supposer que les routeurs sont configurés pour permettre les routes de retour ...
Pour le problème du FlushIpNetTable, peut-être rajoutez dans la configuration client les directives : route-method exe
                                               route-delay 10

merci pour ta réponse, je vais tester tout ca

Salut
 
D'après mes sources, avec un client et un serveur je serai en mode "Roadwarrior" ce qui signifierai que seul mon client peut aller vers le serveur et non l'inverse.  
Dans mon cas il me faudrai du Net to Net c'est a dire que chaque réseau ai accès à l'autre réseau.  
 
Y a t'il une configuration spécifique pour cela ? J' ai vu que l' on ne pouvais utiliser OpenVPN que en client/serveur et non en serveur/serveur, à moins qu'il y ai une astuce.
 
merci

Une architecture client-serveur ne veut pas dire que l'on ne peut accéder que du client vers le serveur !! Bien sûr, OPENVPN permet l'accès de sous-réseau à un autre sous-réseau, quelque soit sa qualité de serveur ou client (client à serveur, serveur à client, client à client). Les configurations adéquates sont fort bien documentées dans le "HOWTO' officiel (en anglais !) à http://openvpn.net/index.php/open- [...] howto.html, dans le chapitre "Expanding the scope of the VPN to include additional machines on either the client or server subnet."

Bonjour,
 
Je ne ping toujours que dans un sens:
 
le client OpenVPN ping tout le réseau derrière le serveur OpenVPN seulement quand je fais un tracert dans le même sens, mon serveur drop les paquets ce qui signifie qu'il ne connais pas la route de retour (qui est pourant présente)
 
J' en déduit donc que mon option client-config-dir ccd est mal configuré
 
le reseau de mon serveur est le 192.168.250.0 /24
le réseau de mon client est le 192.168.1.0 /24
les 2 postes client et serveur OpenVPN sont sous windows
 
Dans mon fichier de config serveur j'ai:
 
client-config-dir ccd
route 192.168.1.0 255.255.255.0  
 
j'ai créé un dossier "ccd" dans de dossier "/config" et j'y ai mis un fichier portant le common name de mon client en .txt
a l'interieur j'ai écrit:
 
iroute 192.168.1.0 255.255.255.0
 
ma configuration vous parait elle correct ?
 
mes questions:
 
1) le fichier dans ccd doit il bien être un .txt ?
 
2)faut il utiliser le deuxieme client-config-ccd qui se trouve dans le fichier de config serveur?
 
;client-config-dir ccd
;10.9.0.0 255.255.255.252  
 
3) y a t'il une ligne spécifique a rajouter sur le client par rapport a ça ?
 
merci

Je le redis.. Si quelqu'un l'a sur MSN, etc...
 
C'est dommage, Master_Jul, celui qui a fait le tuto et qui tient le topic, ne lit pas ses PM, je lui avais écrit pour lui donner quelques modifs / corrections / ajouts pour le tuto...
Et pourtant, il est tjs actif sur le forum.
 

Voila tout fonctionne
 
en réalité le fichier a mettre dans ccd n' a aucune extention c'est un fichier tout bête.
 
1) aucune extension
2) non pas besoin du 2 eme client-config-dir ccd
3) pas besoin
 
mon VPN sous windows, mode routé avec les 2 réseau accessible, fonctionne.
 
Comme je l'ai dit, je ferai un tuto pour mon cas de figure.
Le temps que je rédige la doc pour l'entreprise et mon rapport de stage et après je vous ferai part de mon expérience.
 
encore merci

Bonjour,
j'utilise openvpn sur une session virtuel vmware.
Je voudrais savoir si vous connaissez un moyen ( un script j'imagine ?) pour fermer la session si je perds la connectivité du vpn ?
 
Merci beaucoup !!

Je me suis fais un vpn mais j'arrive pas a force TSE a passer par mon vpn vous connaissé une astuce?

Bonjour,  
 
J'ai mis en place un serveur vpn sur mon pc sous windows 7 pro.
Et je me connecte depuis un client vpn sous windows 7 pro.
Je lance les deux j'ai bien l'icône verte mais je ping pas client<->serveur.

 
Uniquement un problème de routage. Il faut plus d'info sur le réseau.
Quelques pistes : ajouter modifier des route, redirect gateway.

 
Même réponse que ci-dessus.

quelqu'un a deja essayer avec 2 routeurs nat??
 
je m'explique j'ai une livebox en 192.168.0.1 avec un routeur dd wrt relier sur le port wan en 192.168.0.2.Sur ce dd wrt est installé openvpn qui a comme ip coter local 192.168.1.1. Mes clients arrivent a se connecter mais que en local(inutile donc) et sont donc en 192.168.1.X . que dois-je faire ? merci d'avance.

Bonjour,
Windows xp pro sp2, version openvpn "openvpn-2.0.9-gui-1.0.3-install.exe". Je suis au tout début du tuto. J'ouvre l'invite de commande (cmd) en mode administrateur, tout va bien jusqu'à la commande "build.ca". Là j'ai l'erreur suivante "buil-ca n'est pas reconnu en tant que commande ou externe, un programme exécutable ou un fichier de commande", je ne comprends pas pourquoi il ne reconnait pas la commande.
Si quelqu'un passe par là. Merci de m'aider.
   

Bonjour et merci pour ce tuto très bien fait.
Cependant je ne comprends pas pourquoi j'ai un problème lorsque j'essaie de me connecter avec mon client (j'ai pourtant bien redirigé le port de ma box sur mon server) :
 
Wed Apr 07 14:34:44 2010 UDPv4 link remote: xx.x.xxx.xxx:443
Wed Apr 07 14:35:44 2010 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Apr 07 14:35:44 2010 TLS Error: TLS handshake failed
Wed Apr 07 14:35:44 2010 TCP/UDP: Closing socket
Wed Apr 07 14:35:44 2010 SIGUSR1[soft,tls-error] received, process restarting  
 
J'ai l'impression que le client n'arrive pas du tout à contacter le serveur, avez vous une idée ?
 
Merci d'avance !

 
 
Il faut se placer dans le dossier d'installation au préalable.

 
 
En local cela fonctionne?
Le service est bien démarré et en écoute sur le 443?
Pas de problème de FW?

Merci pour ta réponse, en fait j'ai trouvé le port 443 était bloqué en udp, maintenant en tcp ça marche !
 
Par contre, faut il activer quelque chose dans le fichier de conf pour utiliser les ports qui sont bloqués à travers openvpn ?  
 
De plus, mon serveur ayant l'adresse 10.8.0.1 est-ce normal que je n'arrive pas à faire de ping dessus (que ce soit directement sur le serveur ou à partir du client) ?
J'ai pourtant bien rajouté les lignes coté client et serveur :
route-method exe
route-delay 2  
 
Merci d'avance pour vos réponses.

Les fichiers de conf du client et du serveur, ainsi qu'un ipconfig /all des deux, seraient utile pour répondre

Bonjour à tous.
 
Félicitations pour votre forum, il m'a bien aidé pour mettre en route mon serveur OPENVPN.
 
Donc tout fonctionnait bien jusqu'à hier, et je ne peux plus me connecter. Le serveur est bien configuré et en attente alors que le client affiche "TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)"
 
Alors biensûr, j'ai changé quelque chose : j'ai remplacer ma carte réseau Realtek sur le serveur par une Dlink qui supporte le WOL. Lors de la config de OPENVPN, je me souviens avoir utilisé Netsh quelque chose. Je pense donc qu'il s'agit d'un problème dans windows XP qui ne reconnait pas la nouvelle carte dans sa config de routage.
Pouvez-vous me rappeller la manip à suivre pour modifier les cartes réseau dans windows ?
 
Merci d'avance.

C bon j'ai trouvé, il fallait juste refaire netsh avec la nouvelle carte réseau installée.

Salut,
 
Je suis en stage dans une entreprise, et cette entreprise souhaite mettre en place un système qui en cas de force majeur (H1N1 par exemple) veut proposer à ses employés la possibilité de travailler de chez eux, mettre en place un système de télétravail en fait.
 
L'entreprise utilise beaucoup les ressources du réseau informatique, il y a un serveur avec Windows 2003 Server avec identification par TSE. Ce serveur propose des lecteurs réseaux à l'ensemble des postes sur le parc. Et ces utilisateurs travaillent donc directement sur les lecteurs réseaux situé sur le serveur.
 
D'où l'idée de mettre en place un système VPN. Pour cela, j'ai opté pour OpenVPN disponible ici : openvpn.se (licence LGPL oblige). Toute les configurations sont faites sans problème, je lance le serveur vpn sur le Windows Server 2003, et je lance un client vpn à distance via UltraVNC.
Le serveur et le client vpn se ping, mais c'est tout ^^'.
Sauf que sur le réseau local de l'entreprise, l'administrateur a appliqué des droits d'accès sur les lecteurs réseaux (partage). Et la mon client vpn, pouvait accéder à tout les lecteurs sans aucunes contraintes (car le serveur est lancé avec un compte admin).
 
D'ou ma question, est-ce que OpenVPN peut gérer des droits sur des dossiers partagés et/ou lecteurs partagés ?
Ou même dans le meilleur des cas OpenVPN peut reprendre les session TSE des personne de l'entreprise et les droits qui y sont associés ^^' ?
 
si je comprends bien mon problème vient d'une route manquante ?
 
 
Note: le réseau vpn est en .150 jusqu'a .159 et le reseau de l'entreprise est en .110 à .149, chacun des 2 réseaux possèdent sont propre dhcp.
Sur le réseau de l'entreprise le dns est en .12, la passerelle en .9, le controleur de domaine en .12.

J'ai résolu mon problème, en passant par la VPN intégré de Windows

question rapide : comment trouver le cid et kid d'un client dans l'interface de management?
la documentation est radine au possible sur ces attributs
 
merci

Bonjour à tous,
J'ai monté un vpn avec le tuto et malheuresement, j'ai quelques soucis ...
La machine cliente est un portable
Le serveur OpenVpn est installé sur un 2003 server (192.168.10.3) desrvi par routeur NetGear - FVG318 (192.168.1.2/192.168.10.1) sur lequel est connecté tout le Lan
Le tout est sur le net via une Livebox (192.168.1.1)
Le client et le serveur se ping bien et dans les deux sens.
 
Le problème est celui que beaucoup de gens ont rencontré, et malgrè mes recherches, je n'ai pas reussi à résoudre ...
Le client n'arrive pas à pinger les machines du reseau 192.168.10.0, sauf le serveur !
 
Autre chose qui me chagrine, c'est l'interface reseau en 10 Mb/s  et pas de passerelle (???) http://www.photosreflex.net/dossie [...] eseaux.jpg
si quelqu'un a une idée ...
Merci d'avance

Problème de route.
Rependre le tuto pour pousser les routes ou passer en bridge.

Bonjour,
J'ai fait et refait ce qui est dit dans le tuto, j'ai meme mis la route 10.8.0.0 255.255.255.0 10.8.0.1 en dur dans le routeur ...
Par contre dans mon doc http://www.photosreflex.net/dossie [...] eseaux.txt  
192.168.10.0    255.255.255.0         10.8.0.5        10.8.0.6       1
je ne comprends pas pourquoi le saut passe par 10.8.0.5

Bonjour à tous,  
 
Dans le cadre de mon stage, je dois réaliser un VPN avec OPENVPN comme indiqué sur le schéma ci-dessous à savoir :  
- les 5 sites doivent communiquer entre eux via le tunnel VPN comme s'ils étaient sur le même site  
- des clients seront ammenés à se connecter au tunnel depuis un des sites ou depuis un réseau externe  
 

 
A savoir également :  
 
- chaque site (mis à part le site 1) sortent sur internet via un routeur (firewall intégré)  
- le site 1 est protégé par un firewall physique et se connecte à internet via une box belgacom pro  
 
Voici mes questions :  
 
- mis à part le serveur VPN du site 1, faut-il confugurer une machine dans les autres sites?  
si oui, de type client VPN ou de type serveur VPN ?  
 
- sur les clients externes aux sites, faut-il installer un client VPN sur chaque machine?  
 
- pour ce genre d'infrastructure, est-il mieux de configurer le VPN en bridged ou en routed?  
Sachant que mon boss veut une topologie en étoile pour que chaque site puisse communiquer entre eux même si un site est indisponible.  
 
La plupart des tutos que j'ai trouvé ne sont pas adapté à une telle infrastructure et donc je voulais vérifier ces informations avant de faire quoi que ce soit !  
 
Merci d'avance    
 

Il faut un client VPN sur chaque site en sortie et sur les postes nomades.
Bridged ou routed n'est pas la bonne question.
Mais plutôt quel est le plan d'adressage actuel et que peut on faire? Il faut d'abord faire le point la dessus : nb IP, masque sous-réseau, nombre de sous-réseau, évolution future...
 

Merci pour cette réponse qui m'éclaire déjà un peu plus.    
Je pense que je devrais m'en sortir pour la suite et si jamais j'ai un soucis je repasserai par ici  

Bonjour,
Grosses difficultés pour faire fonctionner en mode routé (j'ai des processus SNMP qui se plantent) et la config en mode Bridge ne convient pas non plus ...
Bon, j'ai résolu le problème en me connectant directement sur mon  NETGEAR ProSafe-Wireless VPN Firewall FVG318
avec le client Vpn Shrew !
 

Bonjour à tous,
 
J'ai un problème de route avec openvpn.
 
Premièrement, petite explication:
 
- J'ai un client qui est en-dehors de mon réseau local (depuis l'ecole, mes voisins,etc).
- J'ai un serveur Debian(192.168.1.4) derrière un routeur (192.168.1.1) dans mon réseau local.
 
Le réseau vpn utilise la plage d'IP 10.8.0.0 avec 10.8.0.1 pour le serveur et 10.8.0.2 pour le client.
 
Tout fonctionne nickel, j'arrive pingé le client depuis le serveur et inversement.
 
Le problème, c'est pour voir le réseau local dont fait parti le serveur depuis le client vpn. J'y arrive sans problème en faisant ces deux manip's:
 
1. Configurer une route statique dans mon routeur pour rediriger 10.8.0.0 sur 192.168.1.4.
2. Faire un "route ADD 192.168.1.0 MASK 255.255.255.0 10.8.0.1" sur mon client vpn
 
Après ces deux manip's, tout fonctionne impecc ! La route statique sur le routeur ne me dérange pas, c'est à faire une fois. Ce qui me dérange c'est le "route ADD..." sur le client. Si j'ai bien compris l'utilité des "push "route..."", il me semble qu'un "push "route 192.168.0.1 10.8.0.1"" dans le fichier config  du serveur résoudrait le problème.
 
Malheureusement, ça n'ajoute pas la règle de route sur mon client au moment de la connexion...
 
Alors comment faire?
 
Merci de votre aide !
 
[EDIT]
 
En faite il suffisait de lire le man^^. Donc un "push" côté serveur implique un "pull" côté client ainsi que l'implémentation de certificat car un "push" s'effectue uniquement lorsque le client a totalement confiance en le serveur.

Bonjour j'ais un gros souci je dois faire une présentation samedi devent un juri et presenter l'openVPN mon souci c'est que le serveur ne démare pas voici ce que le panel me dit  
 
Mon Jun 07 14:01:41 2010 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009
Mon Jun 07 14:01:41 2010 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Mon Jun 07 14:01:41 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Jun 07 14:01:41 2010 Cannot open C:\Program Files\OpenVPN\easy-rsa\keys\dh1024.pem for DH parameters: error:02001003:system library:fopen:No such process: error:2006D080:BIO routines:BIO_new_file:no such file
Mon Jun 07 14:01:41 2010 Exiting
 
merci pour vos réponce
 
je suis sous WindoWs 7 pro en 64 Bit
pour le serveur et le client en xp

C'est un peu tard, mais je me permet tout de même de répondre.
C'est pourtant simple : no such file

Super topic, super tuto    
 
Je suis connecté en VPN via OpenVPN. Je passe via un fournisseur.

Bonjour à tous  
voilà je vous explique vite fait, je suis hospitaliser pendant une longue période pas moyen de sortir toussa ....
et on me dit que j'ai une connexion internet dans la chambre via modem cisco donc sa suit l'infrastructure du chu.
 
Mon probléme est que je voudrais jouer en reseaux mais tout les ports sont bloquer à part pour msn et skype ! c'est deja pas mal mais sa m'empeche de me connecter à mes serveurs!!
 
est ce qu'en prenant le tuto 5mns sa peut marché ? ou est ce très compliquer je connais un peu l'info mais là je suis un peu paumé ^^
 
j'ai un ordinateur fixe qui peut être branché H24 chez moi avec free

Bonjour,
En effet tu peux très bien te connecter à msn ou skype parce qu'ils passent par le port 80 lorsque la connexion les empêchent d'utiliser leur port standard.
 
Tu montes un serveur VPN sur le port 80 (http) ou 443 (https) et le tour est joué.
Si tu ne veux pas te faire trop vite repérer. Utilise la méthode de l'useragent dans openvpn : http://forum.hardware.fr/hfr/resea [...] 1681_1.htm

Bonjour,
 
J'avais participé a ce topic il y a quelques années... Aujourd'hui je reviens sur une conf que j'avais en partie mise en place a l'époque, mais que je n'arrive plus a faire fonctionner.
 
objectif :
client1 => serveur => client2 => network
 
client1 : windows XP
serveur : debian
client 2 : Redhat entreprise 4
 
J'arrive bien a faire communiquer mes deux clients ensemble en utilisant les IP du VPN. Par contre je souhaiterais faire du routage derrière un client. Voici ce que j'ai fait sans succès :
1 - J'ai créé le fichier /etc/ccd/client2
2 - J'ai mis ma route comme ceci dans le fichier client2 : iroute 192.x.x.x 255.255.255.0
3 - J'ai ajouter une ligne route dans le fichier de conf server : route 192.x.x.x 255.255.255.0
4 - J'ai ajouter un push sur mon serveur : push "route 192.x.x.x 255.255.255.0"
 
Cette modif de conf est-elle suffisante ? D'après ce que j'ai trouvé sur le net, oui. Mais lorsque je ping l'@ 192.x.x.x du client2 (depuis le client 1 ou le serveur), je ne vois même pas le paquet arriver dans l'interface tun0 du client2 avec un tcpdump...
 
Merci d'avance pour vos éclaircissements...