Reprise du message précédent :
Bonjour,
 
J'avais participé a ce topic il y a quelques années... Aujourd'hui je reviens sur une conf que j'avais en partie mise en place a l'époque, mais que je n'arrive plus a faire fonctionner.
 
objectif :
client1 => serveur => client2 => network
 
client1 : windows XP
serveur : debian
client 2 : Redhat entreprise 4
 
J'arrive bien a faire communiquer mes deux clients ensemble en utilisant les IP du VPN. Par contre je souhaiterais faire du routage derrière un client. Voici ce que j'ai fait sans succès :
1 - J'ai créé le fichier /etc/ccd/client2
2 - J'ai mis ma route comme ceci dans le fichier client2 : iroute 192.x.x.x 255.255.255.0
3 - J'ai ajouter une ligne route dans le fichier de conf server : route 192.x.x.x 255.255.255.0
4 - J'ai ajouter un push sur mon serveur : push "route 192.x.x.x 255.255.255.0"
 
Cette modif de conf est-elle suffisante ? D'après ce que j'ai trouvé sur le net, oui. Mais lorsque je ping l'@ 192.x.x.x du client2 (depuis le client 1 ou le serveur), je ne vois même pas le paquet arriver dans l'interface tun0 du client2 avec un tcpdump...
 
Merci d'avance pour vos éclaircissements...

Personne n'a d'idée ?    
Merci.

Bonjour à tous,
 
Pour commencer, super tuto
Tout se déroule comme sur des roulettes jusqu'à la config du client, et là, impossible d'installer le TAP virtual ethernet adapter  
(OpenVPN 2.1.3 ; Windows 7)
 
Si quelqu'un à un conseil?
 
Je viens d'écumer les forums et je commence à désespérer

petit up

J'ai utilisé ce tuto : http://doc.ubuntu-fr.org/openvpn

Et quand j'essaye de me connecter via une clef 3G j'ai cette erreur :

alors que je n'utilise pas de TLS  

Google me dit de vérifier que mon port est bien redirigé sur la box et c'est le cas.

Bonsoir à tous , voila je me lance , j'ai installé un serveur openvpn sur mon pc de bureau en vue de pouvoir me connecter dessus depuis mon ordinateur portable à mon école pour pouvoir contourner le blocage de ports.
Le serveur installé sous windows , et ma machine client windows également mais virtualiser sous mac.
Mon serveur se lance , mon client arrive à se connecter mais impossible d'accéder à internet , j'ai pkusieurs messages d'erreur dans les logs , je vous poste donc mes logs , mes fichiers de conf , en espérant que vous saurez m'aider , heistez si vous avez des questions concernant d'autres choses , je repondrais rapidement ^^D'avance merci.
 
Voila le log du serveur
 
Sat Nov 20 20:26:48 2010 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Sat Nov 20 20:26:48 2010 Diffie-Hellman initialized with 1024 bit key
Sat Nov 20 20:26:48 2010 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Sat Nov 20 20:26:48 2010 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Nov 20 20:26:48 2010 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Nov 20 20:26:48 2010 TLS-Auth MTU parms [ L:1560 D:168 EF:68 EB:0 ET:0 EL:0 ]
Sat Nov 20 20:26:48 2010 TAP-WIN32 device [Connexion au réseau local 5] opened: \\.\Global\{8C3CC1C7-BF78-4DBF-8094-D3EE120787E9}.tap
Sat Nov 20 20:26:48 2010 TAP-Win32 Driver Version 8.4  
Sat Nov 20 20:26:48 2010 TAP-Win32 MTU=1500
Sat Nov 20 20:26:48 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.1/255.255.255.252 on interface {8C3CC1C7-BF78-4DBF-8094-D3EE120787E9} [DHCP-serv: 10.8.0.2, lease-time: 31536000]
Sat Nov 20 20:26:48 2010 Sleeping for 10 seconds...
Sat Nov 20 20:26:52 2010 NOTE: could not get adapter index for \DEVICE\TCPIP_{8C3CC1C7-BF78-4DBF-8094-D3EE120787E9}, status=55 : La ressource ou le périphérique réseau spécifié n'est plus disponible.  
Sat Nov 20 20:26:52 2010 route ADD 10.8.0.0 MASK 255.255.255.0 10.8.0.2
Sat Nov 20 20:26:52 2010 Warning: route gateway is not reachable on any active network adapters: 10.8.0.2
Sat Nov 20 20:26:52 2010 Route addition via IPAPI failed
Sat Nov 20 20:26:52 2010 Data Channel MTU parms [ L:1560 D:1450 EF:60 EB:135 ET:0 EL:0 AF:3/1 ]
Sat Nov 20 20:26:52 2010 Listening for incoming TCP connection on [undef]:443
Sat Nov 20 20:26:52 2010 TCPv4_SERVER link local (bound): [undef]:443
Sat Nov 20 20:26:52 2010 TCPv4_SERVER link remote: [undef]
Sat Nov 20 20:26:52 2010 MULTI: multi_init called, r=256 v=256
Sat Nov 20 20:26:52 2010 IFCONFIG POOL: base=10.8.0.4 size=62
Sat Nov 20 20:26:52 2010 MULTI: TCP INIT maxclients=60 maxevents=64
Sat Nov 20 20:26:52 2010 Initialization Sequence Completed
 
mon server.conf
 
#Serveur TCP/443            
 mode server      
 proto tcp    
 port 443      
 dev tun      
 
#Cles et certificats            
 ca ca.crt      
 cert server.crt      
 key server.key      
 dh dh1024.pem      
 tls-auth ta.key 0    
 cipher AES-256-CBC    
 
# Reseau  
 push "route 10.8.0.1 255.255.255.0"
 push "redirect-gateway def1"
 push "dhcp-option DNS 208.67.222.222"
 push "dhcp-option DNS 208.67.220.220"    
 server 10.8.0.0 255.255.255.0      
 keepalive 10 120    
 
# Securite      
       
        persist-key      
 persist-tun      
 comp-lzo      
 
# Log      
 verb 3      
 mute 20      
 status openvpn-status.log    
 ; log-append /var/log/openvpn.log
 
server.conf client
 
client
dev tun
proto tcp
remote 81.67.74.160 443
resolv-retry infinite
nobind
persist-key
persist-tun
tls-client
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
tls-auth ta.key 1
cipher AES-256-CBC
comp-lzo
verb 3
route-method exe  
route-delay 2  
 
 
 

log du client
 
Sat Nov 20 20:54:37 2010 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Sat Nov 20 20:54:37 2010 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Sat Nov 20 20:54:37 2010 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Sat Nov 20 20:54:37 2010 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Nov 20 20:54:37 2010 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Nov 20 20:54:37 2010 LZO compression initialized
Sat Nov 20 20:54:37 2010 Control Channel MTU parms [ L:1560 D:168 EF:68 EB:0 ET:0 EL:0 ]
Sat Nov 20 20:54:37 2010 Data Channel MTU parms [ L:1560 D:1450 EF:60 EB:135 ET:0 EL:0 AF:3/1 ]
Sat Nov 20 20:54:37 2010 Local Options hash (VER=V4): '2f2c6498'
Sat Nov 20 20:54:37 2010 Expected Remote Options hash (VER=V4): '9915e4a2'
Sat Nov 20 20:54:37 2010 Attempting to establish TCP connection with 81.67.74.160:443
Sat Nov 20 20:54:37 2010 TCP connection established with 81.67.74.160:443
Sat Nov 20 20:54:37 2010 TCPv4_CLIENT link local: [undef]
Sat Nov 20 20:54:37 2010 TCPv4_CLIENT link remote: 81.67.74.160:443
Sat Nov 20 20:54:37 2010 TLS: Initial packet from 81.67.74.160:443, sid=32c4938a 1945fc0a
Sat Nov 20 20:54:38 2010 VERIFY OK: depth=1, /C=FR/ST=NORD/L=Lille/O=GTM/OU=_GTM_/CN=_GTMVPN_/emailAddress=gtm725@hotmail.com
Sat Nov 20 20:54:38 2010 VERIFY OK: nsCertType=SERVER
Sat Nov 20 20:54:38 2010 VERIFY OK: depth=0, /C=FR/ST=NORD/O=GTM/OU=_GTM_/CN=server/emailAddress=gtm725@hotmail.com
Sat Nov 20 20:54:38 2010 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Sat Nov 20 20:54:38 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Nov 20 20:54:38 2010 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Sat Nov 20 20:54:38 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Nov 20 20:54:38 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sat Nov 20 20:54:38 2010 [server] Peer Connection Initiated with 81.67.74.160:443
Sat Nov 20 20:54:39 2010 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Sat Nov 20 20:54:39 2010 PUSH: Received control message: 'PUSH_REPLY,route 10.8.0.1 255.255.255.0,redirect-gateway def1,dhcp-option DNS 208.67.222.222,dhcp-option DNS 208.67.220.220,route 10.8.0.1,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'
Sat Nov 20 20:54:39 2010 OPTIONS IMPORT: timers and/or timeouts modified
Sat Nov 20 20:54:39 2010 OPTIONS IMPORT: --ifconfig/up options modified
Sat Nov 20 20:54:39 2010 OPTIONS IMPORT: route options modified
Sat Nov 20 20:54:39 2010 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Sat Nov 20 20:54:39 2010 TAP-WIN32 device [Connexion au réseau local 3] opened: \\.\Global\{1F8B9535-7F57-4AFF-9D75-54673E502513}.tap
Sat Nov 20 20:54:39 2010 TAP-Win32 Driver Version 8.4  
Sat Nov 20 20:54:39 2010 TAP-Win32 MTU=1500
Sat Nov 20 20:54:39 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {1F8B9535-7F57-4AFF-9D75-54673E502513} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Sat Nov 20 20:54:39 2010 Successful ARP Flush on interface [3] {1F8B9535-7F57-4AFF-9D75-54673E502513}
Sat Nov 20 20:54:42 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Sat Nov 20 20:54:42 2010 Route: Waiting for TUN/TAP interface to come up...
Sat Nov 20 20:54:44 2010 TEST ROUTES: 3/3 succeeded len=2 ret=1 a=0 u/d=up
Sat Nov 20 20:54:44 2010 route ADD 81.67.74.160 MASK 255.255.255.255 10.211.55.1
Sat Nov 20 20:54:44 2010 route ADD 0.0.0.0 MASK 128.0.0.0 10.8.0.5
Sat Nov 20 20:54:44 2010 route ADD 128.0.0.0 MASK 128.0.0.0 10.8.0.5
Sat Nov 20 20:54:44 2010 route ADD 10.8.0.1 MASK 255.255.255.0 10.8.0.5
L'ajout de l'itin‚raire a ‚chou‚ÿ: Le paramŠtre de masque sp‚cifi‚ n'est pas valide. (destination et masque) != destination.
Sat Nov 20 20:54:44 2010 route ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5
Sat Nov 20 20:54:44 2010 Initialization Sequence Completed
 
 
 
Voila par avance merci de votre aide , car je débute et je suis totalement perdu ^^

Bonjour à tous,
je reviens sur ce topic, étant parti de cet excellent tutoriel.
Je ne parviens pas  toutefois à finaliser l'installation de ce tunnel openvpn.
Il me semble avoir pourtant tout bien respecté !
Côté serveur, il ne semble pas y avoir du souci ; il est en vert et a l'air content.
Côté client, ça reste en permanence en jaune.
Voici mes configs :
 
---------
Client :
 
client
dev tun
proto tcp
proto udp
remote 192.168.9.100 1194
nobind
persist-key
persist-tun
ca ca.crt
cert clientJB.crt
key clientJB.key
ns-cert-type server
tls-auth ta.key 1
comp-lzo
verb 3
 
--------------------
Server :
 
port 1194
proto tcp
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
tls-auth ta.key 0 # This file is secret
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
 
--------------
Logs Client :
 
Wed Nov 24 17:09:33 2010 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Nov 24 17:09:33 2010 TLS Error: TLS handshake failed
Wed Nov 24 17:09:33 2010 TCP/UDP: Closing socket
Wed Nov 24 17:09:33 2010 SIGUSR1[soft,tls-error] received, process restarting
Wed Nov 24 17:09:33 2010 Restart pause, 2 second(s)
Wed Nov 24 17:09:35 2010 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Wed Nov 24 17:09:35 2010 Re-using SSL/TLS context
Wed Nov 24 17:09:35 2010 LZO compression initialized
Wed Nov 24 17:09:35 2010 Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Wed Nov 24 17:09:35 2010 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Nov 24 17:09:35 2010 Local Options hash (VER=V4): '504e774e'
Wed Nov 24 17:09:35 2010 Expected Remote Options hash (VER=V4): '14168603'
Wed Nov 24 17:09:35 2010 UDPv4 link local: [undef]
Wed Nov 24 17:09:35 2010 UDPv4 link remote: 192.168.9.100:1194
 
------------------------
 
Logs Server :
 
Wed Nov 24 16:35:46 2010 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct  1 2006
Wed Nov 24 16:35:46 2010 Diffie-Hellman initialized with 1024 bit key
Wed Nov 24 16:35:46 2010 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Wed Nov 24 16:35:46 2010 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 24 16:35:46 2010 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 24 16:35:46 2010 TLS-Auth MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Wed Nov 24 16:35:46 2010 TAP-WIN32 device [Connexion au réseau local 2] opened: \\.\Global\{62638B27-F07E-4F87-8629-795B7BB0F6D3}.tap
Wed Nov 24 16:35:46 2010 TAP-Win32 Driver Version 8.4  
Wed Nov 24 16:35:46 2010 TAP-Win32 MTU=1500
Wed Nov 24 16:35:46 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.1/255.255.255.252 on interface {62638B27-F07E-4F87-8629-795B7BB0F6D3} [DHCP-serv: 10.8.0.2, lease-time: 31536000]
Wed Nov 24 16:35:46 2010 Sleeping for 10 seconds...
Wed Nov 24 16:35:56 2010 Successful ARP Flush on interface [65540] {62638B27-F07E-4F87-8629-795B7BB0F6D3}
Wed Nov 24 16:35:56 2010 route ADD 10.8.0.0 MASK 255.255.255.0 10.8.0.2
Wed Nov 24 16:35:56 2010 Route addition via IPAPI succeeded
Wed Nov 24 16:35:56 2010 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Nov 24 16:35:56 2010 UDPv4 link local (bound): [undef]:1194
Wed Nov 24 16:35:56 2010 UDPv4 link remote: [undef]
Wed Nov 24 16:35:56 2010 MULTI: multi_init called, r=256 v=256
Wed Nov 24 16:35:56 2010 IFCONFIG POOL: base=10.8.0.4 size=62
Wed Nov 24 16:35:56 2010 IFCONFIG POOL LIST
Wed Nov 24 16:35:56 2010 LST_ClientJB,10.8.0.4
Wed Nov 24 16:35:56 2010 Initialization Sequence Completed
 
-------------------------
 
Je ne comprend pas ce qui cloche, et pourtant y'a bien quelque chose ...
Suis-je obligé d'utiliser une IP publique pour pointervers le serveur depuis le client, ou est-ce pris en charge par l'application elle même ?
D'après vous, est-ce un souci de fire-wall ?
Je ne les maîtrise que relativement :
- côté pare-feux windows, processus & port 1194 ouverts, côté serveur comme côté client,
- côté infrastructure, c'est un peu plus problématique :
-- côté serveur, réseau LAN équipé d'un équipement firewall physique qui gère aussi un VLAN ; mais les techniciens semblent me dire que tout ce qui faut est ouvert en UDP,
-- côté client (chez moi), je ne peux pas contrôler quels ports sont ouverts sur ma box Alice Hitachi, car je n'ai plus accès à la config avancée depuis la dernière mise à jour du Firmware ...
 
Bref, j'ai achement besoin d'aide.
Au secours ! :-)
Merci d'avance pour votre aide.
Julos

Coucou !
n'y a-t-il personne qui connaisse openvpn et puisse m'aider ?
merci d'avance
Julie

Question: Je comprends pas trop le fait qu'on s'acharne sur ce OpenVPN alors que Windows offre ce service
(que j'utilise tout les jours) et qui fonctionne parfaitement...  
 
J'ai loupé un truc?  

La question est excellente.
Dans mon cas c'est pour :
- éviter d'être dépendant d'un server VPN que je ne maîtrise pas,
- éviter d'avoir à utiliser une IP publique et des DynDNS (dans la mesure où ce serait possible, ce qui fait partie de mes interrogations)
Merci d'avance pour votre aide.
 
Julos

Le VPN Windows est on ne peu plus simple à mettre en route et fonctionne parfaitement!
Le seul souci c'est les droits et les utilisateurs (qui doivent être configurés directement dans windows)
et j'utilise no-ip qui fonctionne comme service sur la machine et j'ai donc accès à mes dossiers partagés
(machine dédiée) ou que je me trouve du moment qu'il y a une connexion wifi (Mcdo etc...)
Et ce, depuis des mois!
 
créer le vpn serveur sur un poste, le client sur le portable, ouvrir le port sur le routeur et roulez!

Bonjour Loupinou et merci !
cette solution m'intéresse beaucoup.
Si je comprends bien, c'est le service no-ip qui relie le server vpn au dns, et pemet de le rendre "public", et ensuite il faut rentrer un user système pour se connecter ?
Ce VPN permet donc de partager des répertoires, mais permet-il aussi d'utiliser un intranet par exemple (via navigateur), du moment qu'il est accessible depuis le server vpn ?
Merci d'avance pour vos réponses !
Julien

J'espère ne pas être trop HS...
 
Le VPN de Windows c'est un peu comme relier un PC à son réseau à la maison avec un câble ethernet croisé, sauf qu'on passe par un "tunnel ip" sécurisé.
Ce que je peux faire avec un cable ethernet, je peux le faire avec le VPN Windows... Donc, du moment que je suis "connecté" à une machine serveur  
(par VPN ou par cable) tout est possible!
 
Le service "no-ip" est un programme qui peut aussi être utilisé comme service (sans ouvrir de session) qui va envoyer toute les x minutes ton adresse ip à un service DNS!
A l'inscription, tu choisis un nom du genre "monserveur.no-ip.org" et, une fois que c'est fait, chaque connexion demandée à "monserveur.no-ip.org" sera redirigée sur ton adresse ip du moment! Ce qui évite de devoir donner son ip à chaque fois (ça change souvent ces choses là! )
 
Pour info, j'ai:
 
serveur nntp, ftp et TS pour une seule adresse (que je ne donnerais pas!   ) Suffit juste de diriger les ports sur les bonnes machines sur le routeur! ftp:21 / ftps:990 / web:80 etc.

Bonsoir Loupinou,
j'ai donc essayé d'installer le tout.
Installé no-ip sur le poste serveur distant et il semble bien running.
Par contre impossible en rentrant le nom du serveur no-ip depuis un client. Il me propose bien de me loguer, mais lorsque je rentre les identifiants, il ne parvoent pas à se connecter.
Est-ce un problème de ports ? Si oui, comment savoir lequel ouvrir ?
Merci d'avance pour votre aide !
Je ne comprends pas tout ...
Julos

 
Voici les ports que tu dois rediriger sur ton routeur:
 
Nom du service *VPN  
Protocole TCP  
Plage de ports externe (premier - dernier)  1723 - 1723  
Premier port sur l'hôte local 1723

je suppose qu'il s'agit du routeur qui supervise le réseau LAN du serveur, c'est bien ça ?
mon souci est qu'il est dans un contexte professionnel (routeurs + FWs, ...).
je ne maîtrise pas tout ... n'y a-t-il pas possibilité de passer par le port 80 pour être que c'est ouvert à tous les étages ?
merci d'avance
Julos
 
Allo? tu es parti :-( ?

Non, j'suis là!! En effet, côté serveur, il faut vraiment avoir accès au routeur sinon, c'est cuit!
Ce qui explique peut-être ton envie de t'orienter sur une autre solution!
 
Je ne pige pas ce qui cloche chez toi, c'est tellement simple à faire!! Explique moi en détail ce que tu compte  
faire avec cette connexion et je regarde pour une autre solution!  

Bonjour Loupinou,
merci pour ta réponse et navré du délai pour continuer, mais je n'ai pas vraiment eu le temps de m'y consacrer ces derniers temps.
Voici mon besoin :
1 - j'ai un serveur d'applications + web (intranet) dans un contexte où je ne maîtrise pas totalement le réseau (VLAN + Firewall + services du FAI). Je maîtrise par contre complètement le serveur.
2 - je voudrais pouvoir y accéder (notamment les services web intranet) de n'importe où.
 
je voudrais donc exécuter un service sur le serveur qui publierait l'IP de mon serveur en permanence pour pouvoir utiliser les accès à mon serveur de n'importe où.
J'ai pensé à OpenVPN, mais il semble que ce soit compliqué niveau réseau ; je souhaiterais donc une solution qui utilise des ports et protocoles dont je suis sur qu'ils soient ouverts (TCP ou UDP 80, par exemple) sur les équipements réseau que je ne maitrise pas.
 
je suis bien sur ouvert à toute solution dans ce contexte.
Merci d'avance si tu peux m'aider !
Julien

Bonjour,  
 
Et tout d'abord merci à tous pour ce fil sur Openvpn.  
 
Ma config est la suivante :  
 
PCPORTABLE  ------ MODEM9 ------INTERNET-----LIVEBOX-----SERVEURVPN          
  LAN(wifi):           192.168.1.1                         192.168.1.1          LAN :
192.168.1.30                                                           |         192.168.1.100
Client VPN                                                               |             avec bridge.
                                                                             |
                                                                             | ------- SERVEUR2
                                                                                         192.168.1.2
 
Config marchine : Le serveur et le client sont sous XPSp2 // OpenVPN 2.1.4
 
Mon objectif est d'avoir accès à un service sur le port 10000 du SERVEUR2 (192.168.1.2) depuis l'extérieur dans un VPN.
Accessoirement, j'aimerais "éviter de réduire le niveau du pare-feu de la livebox ou savoir comment le personnalisé pour que ca fonctionne.
 
Après avoir scrupuleusement suivi le tutorial, j'arrive à avoir un fonctionnement normal avec dev tun de OpenVPN mais la machine 192.168.1.2 est inaccessible (normal).  
J'ai donc crée un un bridge/pont. Mais ca ne fonctionne pas mieux
 
De plus si je fait un ipconfig/all sur mon client il me donne pour l'interface TAP : 169.254.62.220 ??? (uniquement avec dev tap)
Sur le serveur c'est ce que 'indique dans le fichier de conf : 192.168.1.100
 
J'ai cherché dans tous les sens, cherché sur les forums et autres ... je suis perdu, pourriez vous m'aider ????  
 
Ci dessous, mon fichier serveur :
port 1194
proto udp
dev tap
ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh1024.pem
ifconfig-pool-persist ipp.txt
server-bridge 192.168.1.100 255.255.255.0 192.168.1.101 192.168.1.110
keepalive 10 120
tls-auth ta.key 0 # This file is secret
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
 
Le fichier de conf du client :  
client
dev tap
proto udp
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert lolo.crt
key lolo.key
ns-cert-type server
tls-auth ta.key 1
comp-lzo
verb 6
 
Merci de votre aide.  

Bonjour,
 
Juste un message pour dire que j'ai mis les fichiers suivants à disposition sur  
http://hotfile.com/dl/92886911/3ec [...] N.zip.html
 
- client.ovpn
- server.ovpn
- vars.bat
 

Bonjour,
merci pour ce super tuto, mais une question me taraude:
 
en ce moment je cherche à faire un vpn entre un serveur ovh sous debian, et un "serveur" en local derrière une livebox en 192.168.0.0
 
1- est-ce que cela peut marcher sans trop de problème ?
car en effet je n'ai pas d'interface graphique sur le serveur ovh, donc un peu difficile de transférer les certificat...
 
2- et est-ce que ça peut traverser le NAT de la livebox ?
 
merci d'avance pour vos reponses !

 
Même réseau de chaque côté ! 192.168.1.0  -> ça ne fonctionnera pas.
Passes ton modem 9 en 192.168.0.1 et ton PCORTABLE en 192.168.0.30
Au niveau de la livebox bien faire un NAT vers 192.168.1.100 du port 1194  
Ensuite il va falloir router tout ça :
 
- si Livebox PRO : facile tu peux editer la table de routage
- si Livebox PERSO ben faut te taper le routage à la main sur SERVEUR2
 
Si serveur2 est le seul à être contacté depuis l'exterieur alors pourquoi ne pas monter le VPN directement dessus afin d'éviter à faire le routage ?

Tout fonctionne parfaitement maintenant, il s'agissait effectivement d'un probleme d'adressage.  
 
Merci à tous,  
 
Loic

Bonjour Loic,
 
Je suis exactement dans la même situation de blocage. Sauf qu'au lieu de la livebox, j'ai un modem-routeur 3Com.
Serait-il possible de détailler un peu plus comment résoudre ce problème de routage.
Merci,
Jasmine

Bonjour,
J'ai un problème avec OpenVpn : le serveur OpenVPn est sous XP et se situe au boulot. J'ai crée un client chez moi sous XP également. Au niveau de la génération des clés et certificats pour le client et le serveur tout s'est bien déroulé. Le serveur est connecté et le client arrive bien à se connecter au serveur. Le client a une adresse en 10.8.0.x. Il arrive à pinguer l'adresse du serveur en 10.8.0.x et également l'adresse en 192.168.0.x après que j'ai rajouté un push route sur le serveur. Mon problème est que je n'arrive pas à accéder au réseau local de l'entreprise donc également aux dossiers partagés. Quelqu'un aurait-il une solution svp?? merci

Ok les dossiers que tu veux voir sont sur le poste qui fait office de serveur ? Si non il faudrait voir à prévoir la route retour
 
Comment ton autre poste devine comment revenir à ton poste client si il ne connait pas la route à emprunter ?
Le mieux c'est d'ajouter une route dans le routeur/passerelle de ton entrepise -> 10.8.0.x next hop l'adresse de ton serveur VPN et hop !

Merci de ton aide Falconpage    Voici un schéma résumant ma situation :  
 
CLIENT --> ROUTEUR CLIENT(freebox) -->  ROUTEUR ENTREPRISE(freebox) --> SERVEUR VPN --> SERVEUR NAS
 
                                                                                                                                                                                                 
192.168.0.x --> 192.168.0.x ---------->         192.168.0.x ----------->           192.168.0.x --> 192.168.0.x
10.8.0.x            82.x.x.x                               82.x.x.x                                10.8.0.x  
Mon but étant d'accéder au données du serveur NAS a distance. Le client ping les deux interfaces du serveur mais ne ping pas le NAS.C'est effectivement un problème de route mais à ce niveau la je n'ai pas tout compris... De plus je crois qu'il n'est pas possible de rajouter des routes sur le routeur freebox...

Tout d'abord, super tutoriel : clair, précis et ça marche les yeux fermés. Je vais pouvoir me pencher d'un peu plus près sur la config du serveur openvpn maintenant que ça marche (je me suis pris la tête avec le VPN de windows server 2008, et j'ai abandonné).

Pour la question ci-dessus, est-ce que tes 2 freebox ont la même IP (LAN) ?

Tes 2 LAN sont sur le même subnet, tu risques d'avoir des problème de routage.

Salut à tous, merci pour ce tuto ! Mon serveur à l'air de fonctionner parfaitement j'ai l'icone avec les 2 télés verte allumé, je suis sous windows 7 pro x64. Parcontre je n'arrive pas à connecter les clients dessus. J'ai une freebox dont j'ai ouvert les port 1194 en udp et tcp. Dans le doute et pour tester, j'ai carrement passé ma frebox en DMZ sur mon serveur et j'ai désactivé le firewall. Résultat: marche pas
 
Statut du serveur:
 
Mon Feb 07 22:48:26 2011 OpenVPN 2.1.0 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009
Mon Feb 07 22:48:26 2011 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Mon Feb 07 22:48:26 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Feb 07 22:48:26 2011 Diffie-Hellman initialized with 1024 bit key
Mon Feb 07 22:48:26 2011 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Feb 07 22:48:26 2011 ROUTE default_gateway=192.168.0.254
Mon Feb 07 22:48:26 2011 TAP-WIN32 device [Connexion au réseau local 2] opened: \\.\Global\{D69DA185-ACD1-4AE3-AB9A-1C054570D6A2}.tap
Mon Feb 07 22:48:26 2011 TAP-Win32 Driver Version 9.6  
Mon Feb 07 22:48:26 2011 TAP-Win32 MTU=1500
Mon Feb 07 22:48:26 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.1/255.255.255.252 on interface {D69DA185-ACD1-4AE3-AB9A-1C054570D6A2} [DHCP-serv: 10.8.0.2, lease-time: 31536000]
Mon Feb 07 22:48:26 2011 Sleeping for 10 seconds...
Mon Feb 07 22:48:36 2011 Successful ARP Flush on interface [17] {D69DA185-ACD1-4AE3-AB9A-1C054570D6A2}
Mon Feb 07 22:48:36 2011 C:\WINDOWS\system32\route.exe ADD 10.8.0.0 MASK 255.255.255.0 10.8.0.2
Mon Feb 07 22:48:36 2011 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Mon Feb 07 22:48:36 2011 Route addition via IPAPI succeeded [adaptive]
Mon Feb 07 22:48:36 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Feb 07 22:48:36 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Feb 07 22:48:36 2011 UDPv4 link local (bound): [undef]:1194
Mon Feb 07 22:48:36 2011 UDPv4 link remote: [undef]
Mon Feb 07 22:48:36 2011 MULTI: multi_init called, r=256 v=256
Mon Feb 07 22:48:36 2011 IFCONFIG POOL: base=10.8.0.4 size=62
Mon Feb 07 22:48:36 2011 IFCONFIG POOL LIST
Mon Feb 07 22:48:36 2011 Initialization Sequence Completed
 
Statut du client1:
 
 
Mon Feb 07 22:51:20 2011 OpenVPN 2.1.0 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009
Mon Feb 07 22:51:20 2011 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Mon Feb 07 22:51:20 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Feb 07 22:51:20 2011 LZO compression initialized
Mon Feb 07 22:51:20 2011 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Feb 07 22:51:20 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Feb 07 22:51:20 2011 Local Options hash (VER=V4): '41690919'
Mon Feb 07 22:51:20 2011 Expected Remote Options hash (VER=V4): '530fdded'
Mon Feb 07 22:51:20 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Feb 07 22:51:20 2011 UDPv4 link local: [undef]
Mon Feb 07 22:51:20 2011 UDPv4 link remote: 88.174.198.88:1194
 
Merci d'avance pour votre aide  

Merci pour le tuto, je l'ai en parti suivi, et ça marche nickel.
 
Le seul truc que je n'arrive pas à faire: installer le TAP sur win7 (x64), il ne veut pas du pilote non signé...
 
Sinon la communication en 2 pc se fait bien, mon PC client est sous VMware sur un win7 (à cause du TAP qui ne s'installe pas ), et sur mon serveur j'ai ce message qui apparait quand je j'essai de faire du netbios. Par contre le ping fonctionne bien    
 

 
Maywai !
 
 

 
       
 
Si tu peux reposter please

 
 
Je m'auto-répond:
 
Le tap pour Win7: il faut utiliser le mode de compatibilté Vista+droit admin+version rc22 d'openVPN ...
 
Ne pas oublier de virer le FW de Windows, sinon ça passe pas  

Please help me, ca me rend fou

salut,
 
regarde dans la ligne 2 du log de ton client: "Mon Feb 07 22:51:20 2011 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info. "
 
Moi je n'ai pas ça chez moi.
 
Tu as quoi dans le rép "config" du client ? Pour ma part j'ai:
 
ca.crt
client.ovpn
client1.crt
client1.key
 
 

Bonjour,
 
connaissez-vous un client compatible "OpenVPn" pour Mac ?
 
Merci.

Oui j'ai bien ces 4 fichiers dans mon répertoire config client ... Je ne comprends pas

Oui j'ai bien ces 4 fichiers dans mon répertoire config client ... Je ne comprends pas

Je refais la manip de A à Z pour recréer les fichiers, car ils ne sont peut être pas bon ? Bref voici les quelques erreurs affichés lorsque je suis le Tuto, je ne sais pas si ce sont vraiment des erreurs mais je vais toutes les écrire au cas où:
Je précise que je suis administrateur de mon ordinateur, que j'ai ouvert l'invite de commande en mode administrateur.
 

• Lorsque je tape clean-all, ça me dit:  

C:\Program Files (x86)\OpenVPN\easy-rsa>clean-all
Le chemin d'accès spécifié est introuvable.
Le fichier spécifié est introuvable.
        1 fichier(s) copié(s).
        1 fichier(s) copié(s).
 

• Lorsque je tape build-ca:

C:\Program Files (x86)\OpenVPN\easy-rsa>build-ca
Le chemin d'accès spécifié est introuvable.
WARNING: can't open config file: /usr/local/ssl/openssl.cnf
Loading 'screen' into random state - done
Generating a 1024 bit RSA private key
.............................++++++
..++++++
unable to write 'random state'
writing new private key to 'keys\ca.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:
State or Province Name (full name) [XX]:
Locality Name (eg, city) [XXXXX]:
Organization Name (eg, company) [XXXX]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:XXXXXX
Email Address [XXXX@hotmail.fr]:
 

• Lorsque je tape build-key-server server:

C:\Program Files (x86)\OpenVPN\easy-rsa>build-key-server server
Le chemin d'accès spécifié est introuvable.
WARNING: can't open config file: /usr/local/ssl/openssl.cnf
Loading 'screen' into random state - done
Generating a 1024 bit RSA private key
...........++++++
.....++++++
unable to write 'random state'
writing new private key to 'keys\server.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:
State or Province Name (full name) [XX]:
Locality Name (eg, city) [XX]:
Organization Name (eg, company) [XX]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:server
Email Address [XX@hotmail.fr]:
 
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
WARNING: can't open config file: /usr/local/ssl/openssl.cnf
Using configuration from openssl.cnf
Loading 'screen' into random state - done
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           'XX'
stateOrProvinceName   'XX'
localityName          'XX'
organizationName      'XX'
commonName            'server'
emailAddress          'XX@hotmail.fr'
Certificate is to be certified until Feb 10 09:17:00 2021 GMT (3650 days)
Sign the certificate? [y/n]:y
 
 
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
unable to write 'random state'
 

• Je génère un clé local pour client 1, je tape build-key client1

C:\Program Files (x86)\OpenVPN\easy-rsa>build-key client1
Le chemin d'accès spécifié est introuvable.
WARNING: can't open config file: /usr/local/ssl/openssl.cnf
Loading 'screen' into random state - done
Generating a 1024 bit RSA private key
...........++++++
...++++++
unable to write 'random state'
writing new private key to 'keys\client1.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:
State or Province Name (full name) [XX]:
Locality Name (eg, city) [XX]:
Organization Name (eg, company) [XX]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:client1
Email Address [XX@hotmail.fr]:
 
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
WARNING: can't open config file: /usr/local/ssl/openssl.cnf
Using configuration from openssl.cnf
Loading 'screen' into random state - done
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           'XX'
stateOrProvinceName   'XX'
localityName          'XX'
organizationName      'XX'
commonName            'client1'
emailAddress          'XX@hotmail.fr'
Certificate is to be certified until Feb 10 09:30:00 2021 GMT (3650 days)
Sign the certificate? [y/n]:y
 
 
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
unable to write 'random state'
 

• Je génère le dernier fichier dh1024.pem

C:\Program Files (x86)\OpenVPN\easy-rsa>build-dh
Le chemin d'accès spécifié est introuvable.
WARNING: can't open config file: /usr/local/ssl/openssl.cnf
Loading 'screen' into random state - done
Generating DH parameters, 1024 bit long safe prime, generator 2
This is going to take a long time
..................................................+.............................
.................................................+..............................
.....+.................................................+.....+..................
.....................................................................+......++*+
+*++*
unable to write 'random state'
Alors là je ne comprends plus lorsque j'ai fait cette manip il y a une semaine le fichier dh1024.pem avait été créé mais là cette fois ci le fichier ne veut pas se créer...
Je désinstalle tout je supprime le dossier openvnp avec les fichiers que j'avais créés, je réinstalle, je refait la manip et rebelotte, le fichier dh1024.pem ne se créé pas...
 
Donc au final si j'ai pas ce fichier, je ne peux plus rien faire Où pourrais-je trouver des fichiers tout faits ( comme dans le tuto rapide mais les liens sont morts ) comme ça  
je remplace juste les lignes qui m’intéressent...

Salut,
 
j'ai l'impression que tu as zappé la 1er étape, à savoir mettre les fichiers dans leurs états premier.
Je viens aussi de me rendre compte d'un truc, c'est que l'installer ne donne pas les droits admin aux répertoires d'install d'OpenVPN !!
 
Commence par ça: clic droit sur le rép easy-rsa, propriété, sécurité, et met un contôle total sur ton compte avec lequel tu est logué.
 

• Vérifier ou créée un répertoire "keys" sous C:\Program Files (x86)\OpenVPN\easy-rsa\ si il ne l'a pas fait tt seul.

Puis:
 

 
Ca permet de créer le fichier vars.bat, ESSENTIEL.
 

 
 
Et après ça doit rouler    
 
Tiens moi au courant

Merci pour la rapidé, en fait après avoir refait la manip 2-3 fois ça s'est mis à finallement créer le fichier dh1024.pem  
J'ai bien fait l'étape 1 j'ai modifié le fichier vars.bat comme expliqué dans le tuto. Je comprends pas pourquoi il veut chercher le fichier openssl.cnf dans /usr/local/ssl/openssl.cnf alors qu'il est bien présent dans le dossier C:\Program Files (x86)\OpenVPN\easy-rsa\
Je suis en train de faire les test et si ce n'est pas concluant je fait faire comme tu m'as dit en reprennant tout depuis le début.
Je viens de remarquer , lorque j'active le server, les dernières lignes qui s'affichent sont:  
 
Sun Feb 20 11:21:10 2011 IFCONFIG POOL LIST  
Sun Feb 20 11:21:10 2011 Initialization Sequence Completed
 
Alors que dans le tuto c'est ecrit:
 
Mon Mar 20 20:50:04 2006 IFCONFIG POOL LIST  
Mon Mar 20 20:50:04 2006 client1,10.8.0.4  
Mon Mar 20 20:50:04 2006 client2,10.8.0.8  
Mon Mar 20 20:50:04 2006 client5,10.8.0.12  
Mon Mar 20 20:50:04 2006 client4,10.8.0.16  
Mon Mar 20 20:50:04 2006 Initialization Sequence Completed
 
Pour quoi j'ai pas une ligne avec client 1 ?
 
Merci !!

Alors je viens de lancer la machine client1 et voilà ce que ça me dit:
 
 
Sun Feb 13 11:47:52 2011 OpenVPN 2.1.0 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009
Sun Feb 13 11:47:52 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Feb 13 11:47:52 2011 LZO compression initialized
Sun Feb 13 11:47:52 2011 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Feb 13 11:47:52 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Feb 13 11:47:52 2011 Local Options hash (VER=V4): '41690919'
Sun Feb 13 11:47:52 2011 Expected Remote Options hash (VER=V4): '530fdded'
Sun Feb 13 11:47:52 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Feb 13 11:47:52 2011 UDPv4 link local: [undef]
Sun Feb 13 11:47:52 2011 UDPv4 link remote: xx.xx.xx.xx:1194
 
Donc y a déja du progrès par rapport à la dernière fois on dirait Mais ça se connecte toujours pas... Je précise que ma freebox est toujours en DMZ sur la machine server et que j'ai desactivé tous les firewall le temps du test.

J'ai pas attendu assez longtemps sur le client pour voir l'erreur s'afficher:
 
Sun Feb 13 12:18:53 2011 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Feb 13 12:18:53 2011 TLS Error: TLS handshake failed
Sun Feb 13 12:18:53 2011 TCP/UDP: Closing socket
Sun Feb 13 12:18:53 2011 SIGUSR1[soft,tls-error] received, process restarting
Sun Feb 13 12:18:53 2011 Restart pause, 2 second(s)
 
J'ai openVPN d'installé sur mon iphone aussi (via cydia) et il m'affiche quasiment la même erreur mais me précise:
 
WARNING:file 'client1.key' is group or others accessible