DD-WRT :: View topic - Pourquoi la connection poenVPN est impossible

Pourquoi la connection poenVPN est impossible

DD-WRT Forum Index -> Matériels à base de Broadcom

View previous topic :: View next topic

Author

Message

baxter_x
DD-WRT User

Joined: 11 Mar 2008
Posts: 86

Posted: Tue Mar 11, 2008 19:52 Post subject: Pourquoi la connection poenVPN est impossible

Voici la config serveur du routeur:

cd /tmp
openvpn --mktun --dev tap0
brctl addif br0 tap0
ifconfig tap0 0.0.0.0 promisc up

echo "
# Tunnel options
mode server # Set OpenVPN major mode
proto udp # Setup the protocol (server)
port 443 # TCP/UDP port number
dev tap0 # TUN/TAP virtual network device
keepalive 15 60 # Simplify the expression of --ping
daemon # Become a daemon after all initialization
verb 3 # Set output verbosity to n
comp-lzo # Use fast LZO compression

# OpenVPN server mode options
client-to-client # tells OpenVPN to internally route client-to-client traffic
duplicate-cn # Allow multiple clients with the same common name

push "route-gateway 192.168.1.1"
push "dhcp-option DNS 192.168.1.1"

# TLS Mode Options
tls-server # Enable TLS and assume server role during TLS handshake
ca ca.crt # Certificate authority (CA) file
dh dh1024.pem # File containing Diffie Hellman parameters
cert server.crt # Local peer's signed certificate
key server.key # Local peer's private key
" > openvpn.conf

echo "
-----BEGIN CERTIFICATE-----
******
-----END CERTIFICATE-----
" > ca.crt
echo "
-----BEGIN RSA PRIVATE KEY-----
******
-----END RSA PRIVATE KEY-----
" > server.key
chmod 600 server.key
echo "
-----BEGIN CERTIFICATE-----
*****
-----END CERTIFICATE-----
" > server.crt
echo "
-----BEGIN DH PARAMETERS-----
*****
-----END DH PARAMETERS-----
" > dh1024.pem

sleep 5
ln -s /usr/sbin/openvpn /tmp/myvpn
/tmp/myvpn --config openvpn.conf

Paramétrage pare-feux:

/usr/sbin/iptables -I INPUT -p udp --dport 1194 -j ACCEPT

Cofiguration client:

client
dev tap
proto udp
remote xx.xx.xx.xx 443
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
comp-lzo
verb 3

Pourriez-vous me dire pourquoi j'ai toujours l'erreur: "TSL error...."

Mêmle avec une simple clés statique ou lorsque'il n'y a pas de serveur OpenVPN dans le routeur.

je deviens dingue, ça fait trois jours que je suis la dessus.

Sponsor

tekablok
DD-WRT User

Joined: 23 Nov 2006
Posts: 51

Posted: Wed Mar 12, 2008 11:13 Post subject:

Quote:

port 443
/usr/sbin/iptables -I INPUT -p udp --dport 1194 -j ACCEPT

essaie /usr/sbin/iptables -I INPUT -p udp --dport 443 -j ACCEPT

je débute complètement sur le vpn, j'arrive pas à me connecter avec un serveur "static key" donc si ma réponse est con...c'est "normal"

baxter_x
DD-WRT User

Joined: 11 Mar 2008
Posts: 86

Posted: Wed Mar 12, 2008 16:27 Post subject:
Ta réponse est tout à fait justifiée. Il s'agit en fait d'un mauvais copier/coller de ma part. J'ai bien ouvert le port 443 et non le 1194. Merci quand même.

tekablok
DD-WRT User

Joined: 23 Nov 2006
Posts: 51

Posted: Wed Mar 12, 2008 17:02 Post subject:

bon bah j'en suis au même point que toi...sauf que moi je passe en protcole TCP (obligé car je passe par un proxy au taf) mais j'obtiens pas le même message d'erreur....

Message d'erreur à la connexion wrote:

Wed Mar 12 17:52:21 2008 Attempting Basic Proxy-Authorization
Wed Mar 12 17:52:23 2008 HTTP proxy returned: 'HTTP/1.1 503 Service Unavailable'
Wed Mar 12 17:52:23 2008 HTTP proxy returned bad status
Wed Mar 12 17:52:23 2008 TCP/UDP: Closing socket
Wed Mar 12 17:52:23 2008 SIGTERM[soft,init_instance] received, process exiting

Script démarrage sur routeur wrote:

cd /tmp
openvpn --mktun --dev tap0
brctl addif br0 tap0
ifconfig tap0 0.0.0.0 promisc up

echo "
# Tunnel options
mode server # Set OpenVPN major mode
proto tcp-server # Setup the protocol (server)
port 443 # TCP/UDP port number
dev tap0 # TUN/TAP virtual network device
keepalive 15 60 # Simplify the expression of --ping
daemon # Become a daemon after all initialization
verb 3 # Set output verbosity to n
comp-lzo # Use fast LZO compression

# OpenVPN server mode options
client-to-client # tells OpenVPN to internally route client-to-client traffic
duplicate-cn # Allow multiple clients with the same common name

# TLS Mode Options
tls-server # Enable TLS and assume server role during TLS handshake
ca ca.crt # Certificate authority (CA) file
dh dh1024.pem # File containing Diffie Hellman parameters
cert server.crt # Local peer's signed certificate
key server.key # Local peer's private key
" > openvpn.conf

echo "
-----BEGIN CERTIFICATE-----
<enlevé>
-----END CERTIFICATE-----
" > ca.crt
echo "
-----BEGIN RSA PRIVATE KEY-----
<enlevé>
-----END RSA PRIVATE KEY-----
" > server.key
chmod 600 server.key
echo "
-----BEGIN CERTIFICATE-----
<enlevé>
-----END CERTIFICATE-----
" > server.crt
echo "
-----BEGIN DH PARAMETERS-----
<enlevé>
-----END DH PARAMETERS-----
" > dh1024.pem

sleep 5
ln -s /usr/sbin/openvpn /tmp/myvpn
/tmp/myvpn --config openvpn.conf

Config client wrote:

client
dev tap
proto tcp-client
remote xxx
port 443
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert xx.crt
key xx.key
ns-cert-type server
comp-lzo
verb 3

j'ai essayé en laissant openvpn --config openvpn.conf --daemon à la place de ln -s /usr/sbin/openvpn /tmp/myvpn
/tmp/myvpn --config openvpn.conf mais ca ne change que le message d'erreur :

Quote:

Wed Mar 12 17:58:39 2008 Attempting Basic Proxy-Authorization
Wed Mar 12 17:58:41 2008 HTTP proxy returned: 'HTTP/1.1 503 Service Unavailable'
Wed Mar 12 17:58:41 2008 HTTP proxy returned bad status
Wed Mar 12 17:58:41 2008 TCP/UDP: Closing socket
Wed Mar 12 17:58:41 2008 SIGTERM[soft,init_instance] received, process exiting

baxter_x
DD-WRT User

Joined: 11 Mar 2008
Posts: 86

Posted: Wed Mar 12, 2008 17:17 Post subject:
Ca me fait penser qu'il faut que je passe en TCP pour les mêmes raisons que toi. Donc on en est au même point.

tekablok
DD-WRT User

Joined: 23 Nov 2006
Posts: 51

Posted: Thu Mar 13, 2008 8:14 Post subject:
ce qui est bizarre c'est qu'en configurant le serveur en static key et le client pareil, ça passe nickel... edit : en faisant un ps, j'ai pu voir que le serveur vpn n'est pas lancé...

baxter_x
DD-WRT User

Joined: 11 Mar 2008
Posts: 86

Posted: Thu Mar 13, 2008 15:06 Post subject:
Le serveur n'est pas lancé quand? En configuration avec les certificats? parceuque quand je fait un ps, je ne vois pas apparaitre le processus Openvpn. Comment devrait-il s'afficher?

tekablok
DD-WRT User

Joined: 23 Nov 2006
Posts: 51

Posted: Thu Mar 13, 2008 15:47 Post subject:
en config avec static.key tout marche, en faisant un ps on voit bien le vpn tourner en config avec certifs, ça ne marche pas et pour cause, pas de process vpn en faisant un ps je me suis inspiré de ce topic http://www.dd-wrt.com/phpBB2/viewtopic.php?p=29111. pour faire différents tersts, mais pour l'instant seul le vpn en cofig static fonctionne

baxter_x
DD-WRT User

Joined: 11 Mar 2008
Posts: 86

Posted: Thu Mar 13, 2008 17:48 Post subject:
Mais comment vois-tu que le process tourne. parceque en faisant un "ps" je ne vois justement rien, même si j'arrive à me connecter. Je précise que mes souvenirs de Linux remontent à longtemps.

tekablok
DD-WRT User

Joined: 23 Nov 2006
Posts: 51

Posted: Fri Mar 14, 2008 8:43 Post subject:

Dans administration / shell sur l'interface du routeur
je lance la commande ps et j'obtiens :

Quote:

PID Uid VmSize Stat Command
1 root 380 S /sbin/init noinitrd
2 root SW [keventd]
3 root RWN [ksoftirqd_CPU0]
4 root SW [kswapd]
5 root SW [bdflush]
6 root SW [kupdated]
11 root SW [mtdblockd]
14 root 252 S /sbin/watchdog
64 root 304 S resetbutton
95 root 892 S httpd
100 root 412 S nas -P /tmp/nas.wl0lan.pid -H 34954 -l br0 -i eth1 -A
102 root 336 S dnsmasq --conf-file /tmp/dnsmasq.conf
105 root 288 S /sbin/wland
170 root 936 S /tmp/myvpn --dev tap0 --secret /tmp/static.key --comp
311 root 348 S process_monitor
365 root 276 S /usr/sbin/cron
414 root 272 S udhcpc -i vlan1 -p /var/run/udhcpc.pid -s /tmp/udhcpc
25490 root 468 S sh -c alias ping='ping -c 3'; eval "ps" > /tmp/ping.l
25491 root 400 R ps

baxter_x
DD-WRT User

Joined: 11 Mar 2008
Posts: 86

Posted: Wed Mar 19, 2008 14:19 Post subject:
Ok. Donc j'ai éxactement le même problème que toi: Ca fonction en clé statique mais pas avec les certificats.

tekablok
DD-WRT User

Joined: 23 Nov 2006
Posts: 51

Posted: Thu Mar 20, 2008 8:33 Post subject:
ouf ! je suis pas tout seul... si quelqu'un d'autre à le problème et l'a résolu merci de nous dire comment !!

Display posts from previous:

Page 1 of 1

DD-WRT Forum Index -> Matériels à base de Broadcom

All times are GMT

Navigation

Jump to:

You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You cannot download files in this forum

Log in

Pourquoi la connection poenVPN est impossible

Quick Links

Log in