Association Générale des Utilisateurs de logiciels libres en Côte-d'Or

logo_coagul

Installation OpenVPN 2.01 sur une Debian Etch

Rubrique : Réseaux
Le : mercredi 31 janvier 2007
Par : Tony  
Visites : 115096
Tags : Débian, OpenVPN

But de ce document

Ce document me sert de mémo pour mettre en place le système OpenVPN sur un serveur Debian ETCH et sur des clients Windows ou Linux Debian.

OpenVPN est un système permettant de relier des postes distants sur un réseau informatique en passant par Internet mais de manière sécurisée (Tunnel VPN).

Pré-requis

Avoir installé une Debian stable de base :
- http://www.coagul.org/article.php3 ?id_article=337

ATTENTION : Il est fortement conseillé de savoir ce qu’est un certificat et une clé de cryptage pour la configuration d’OpenSSL. Il est conseillé également de connaître le fonctionnement des tables de routage pour la configuration d’OpenVPN.

Installation d’OpenVPN 2.01 sur une Debian Etch

Paquet à installer :

# aptitude install openvpn

Remarques :
- Avec OpenVPN, il est possible de compresser les données passant dans le tunnel VPN pour limiter l’utilisation de la bande passante. C’est la paquet « liblzo2-2 » qui permet d’effectuer cette compression. Ce dernier est normalement installé par défaut.
- Pour sécuriser le tunnel VPN avec des clés et des certificats, OpenVPN, utilise OpenSSL. Ce dernier est normalement installé par défaut. Si ce n’est pas le cas, vous pouvez l’installer avec cette commande :

# aptitude install openssl

Création du certificat de l’autorité de certification (CA)

La partie la plus compliquée et la plus fastidieuse dans la mise en place d’un serveur OpenVPN concerne la génération des clés et des certificats. OpenVPN est livré avec plusieurs scripts permettant de générer plus facilement les clés et les certificats pour OpenSSL. Ces scripts sont enregistrés dans le dossier « easy-rsa » :

# cd /usr/share/doc/openvpn/examples/easy-rsa/

Avant d’utiliser les scripts, il faut éditer le fichier «  vars  » pour initialiser les variables par défaut indiquées à la fin de ce fichier. Par exemple :
- export KEY_COUNTRY=FR
- export KEY_PROVINCE=France
- export KEY_CITY=Dijon
- export KEY_ORG="MonEntreprise"
- export KEY_EMAIL="contact@monentreprise.fr"

Une fois le fichier modifié, la ligne suivante permet d’initialiser les variables pour les scripts :

# . ./vars

Le script suivant, permet de créer ou de réinitialiser le sous-dossier «  keys  » :

# ./clean-all

Le script suivant permet de créer dans «  keys  » le certificat principal du serveur « ca.crt  » et la clé correspondante « ca.key » :

# ./build-ca

Ce script doit afficher à l’écran quelque chose qui ressemble à ça :

# ./build-ca
Generating a 1024 bit RSA private key
.................................................................++++++
......++++++
writing new private key to 'ca.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [FR]:
State or Province Name (full name) [France]:
Locality Name (eg, city) [Dijon]:
Organization Name (eg, company) [MonEntreprise]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:MonServeur
Email Address [[contact@monentreprise.fr->mailto:contact@monentreprise.fr]]:

ATTENTION : Pour les questions, la plupart des champs sont renseignés par défaut sauf le « Common Name » qu’il faut renseigner manuellement. Exemple « MonServeur  ».

Création du certificat et de la clé pour le serveur OpenVPN

Le script suivant permet de créer dans «  keys  » le certificat « LeServeurVPN.crt » et la clé « LeServeurVPN.key » pour le serveur VPN nommé par exemple « LeServeurVPN » :

# ./build-key-server LeServeurVPN

Ce script doit afficher à l’écran quelque chose qui ressemble à ça :

# ./build-key-server MonServeur
Generating a 1024 bit RSA private key
......................................................................
..+++++
...++++++
writing new private key to 'MonServeur.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [FR]:
State or Province Name (full name) [France]:
Locality Name (eg, city) [Dijon]:
Organization Name (eg, company) [MonEntreprise]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:LeServeurVPN
Email Address [votremail@votredomaine.com]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /usr/share/doc/openvpn/examples/easy-rsa/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'FR'
stateOrProvinceName   :PRINTABLE:'France'
localityName          :PRINTABLE:'Dijon'
organizationName      :PRINTABLE:'MonEntreprise'
commonName            :PRINTABLE:'MonServeurVPN'
emailAddress          :IA5STRING:'contact@monentreprise.fr'
Certificate is to be certified until Dec  7 13:41:02 2015 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

ATTENTION : Pour les questions, tous les champs sont renseignés par défaut sauf le « Common Name » qu’il faut renseigner manuellement. Exemple « MonServeurVPN ». Personnellement, je n’ai pas renseigné le champ « password »

Création du certificat et de la clé pour un client OpenVPN

Le script suivant permet de créer dans «  keys  » le certificat « Client01.crt » et la clé « Client01.key » pour le client VPN nommé par exemple « Client01 » :

# cd /usr/share/doc/openvpn/examples/easy-rsa/
# . ./vars
# ./build-key Client01

Ce script doit afficher à l’écran quelque chose qui ressemble à ça :

pgdebian:/usr/share/doc/openvpn/examples/easy-rsa# ./build-key Client01
Generating a 1024 bit RSA private key
..++++++
....................++++++
writing new private key to 'Client01.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [FR]:
State or Province Name (full name) [France]:
Locality Name (eg, city) [Dijon]:
Organization Name (eg, company) [MonEntreprise]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:Client01
Email Address [contact@monentreprise.fr]:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /usr/share/doc/openvpn/examples/easy-sa/openssl.cnf
DEBUG[load_index]: unique_subject = "yes"
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'FR'
stateOrProvinceName   :PRINTABLE:'France'
localityName          :PRINTABLE:'Dijon'
organizationName      :PRINTABLE:'MonEntreprise'
commonName            :PRINTABLE:'Client01'
emailAddress          :IA5STRING:['contact@monentreprise.fr->mailto:'contact@monentreprise.fr]'
Certificate is to be certified until Mar  4 09:19:09 2016 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

ATTENTION : Il faudra renouveler cette opération pour chaque client. Pour les questions, tous les champs sont renseignés par défaut sauf le « Common Name » qu’il faut renseigner manuellement. Exemple «  Client01  ». Chaque « Common Name » de chaque client doit être différent. Personnellement, je n’ai pas renseigné le champ «  password  »

Création du paramètre Diffie Hellman

Le script suivant permet de créer dans «  keys  » le fichier « dh1024.pem » :

# ./build-dh

Ce script doit afficher à l’écran quelque chose qui ressemble à ça :

# ./build-dh

Generating DH parameters, 1024 bit long safe prime, generator 2

This is going to take a long time
....................................................................
....................................................................
..............+......................................+..............
.++*++*

Résumé des certificats et clés créés précédemment dans « keys »

Emplacement du fichierType Nom Secret
Serveur de certification (CA) OpenSSLCertificatca.crtNon
Serveur de certification (CA) OpenSSLCléca.keyOui
Serveur OpenVPNCertificatLeServeurVPN.crtNon
Serveur OpenVPNCléLeServeurVPN.keyOui
paramètre Diffie Hellman dh1024.pemNon
Client OpenVPN N°1CertificatClient01.crtNon
Client OpenVPN N°1CléClient01.keyOui

Mise en place des certificats et des clés

concernant le serveur OpenVPN, le plus simple est de copier les 4 fichiers dans le dossier « /etc/openvpn » :

# cp ./keys/ca.crt /etc/openvpn/
# cp ./keys/LeServeurVPN.crt /etc/openvpn/
# cp ./keys/LeServeurVPN.key /etc/openvpn/
# cp ./keys/dh1024.pem /etc/openvpn/

Pour le client, il faudra copier ses deux fichiers une fois que celui-ci sera installé.

Création d’un utilisateur avec des droits limités pour OpenVPN

Pour limiter les risques d’attaques sur OpenVPN, il est important que le processus d’OpenVPN fonctionne sur un utilisateur n’ayant aucun droit sur le système.

Souvent, l’utilisateur «  nobody  » est utilisé par défaut, mais il est encore plus sécurisant de faire tourner chaque processus avec un utilisateur différent. Donc, pour le processus OpenVPN, nous allons créer l’utilisateur «  openvpn  » :

# groupadd openvpn
# useradd -d /dev/null -g openvpn -s /bin/false openvpn

Configuration d’OpenVPN

Par défaut OpenVPN est fourni avec plusieurs fichiers d’exemples enregistrés dans le dossier :
- /usr/share/doc/openvpn/examples/sample-config-files/

Pour configurer le serveur, je suis parti du fichier d’exemple « server.conf.gz », qu’il faut donc décompresser et mettre en place dans «  /etc/openvpn » :

# cd /usr/share/doc/openvpn/examples/sample-config-files/
# gunzip server.conf.gz
# cp server.conf /etc/openvpn/

Il suffit ensuite d’adapter ce fichier en fonction des besoins. Voici par exemple le fichier de configuration que j’utilise :

;Port en écoute utilisé pour la connexion VPN
;port 1194

;Protocole utilisé (Le protocole udp est plus sécurisé que le tcp)
proto udp

;Type d'interface réseau virtuelle créée
dev tun

;Nom des fichiers servant à l'authentification des clients via OpenSSL
ca ca.crt
cert LeServeurVPN.crt
key LeServeurVPN.key  
dh dh1024.pem

;Adresse du réseau virtuel (Le serveur aura l'adresse 10.8.0.1)
server 10.8.0.0 255.255.255.0

;Cette ligne ajoute sur le client la route du réseau du serveur
push "route 192.168.0.0 255.255.255.0"

;Ces lignes indiquent aux clients l'adresse des serveur DNS et WINS
push "dhcp-option DNS 192.168.0.2"
push "dhcp-option DOMAIN MonDomaine.com"
push "dhcp-option WINS 192.168.0.3"

# Cette ligne permet aux clients de voire les autres clients
;client-to-client

keepalive 10 120

;Cette ligne active la compression
comp-lzo

;Ces lignes indiquent un user et un group particulier pour le processus
user openvpn
group openvpn

;Ces lignes permettent de rendre persistante la connexion
persist-key
persist-tun

status openvpn-status.log

;Cette ligne permet d'indiquer le niveau de log souhaité (de 1 à 9)
verb 1

Démarrage du serveur OpenVPN

La commande suivante permet de démarrer ou redémarrer le serveur :

# /etc/init.d/openvpn restart

Ne pas hésiter à regarder dans les logs que tout c’est bien passé :

# tail -100 /var/log/syslog

Bien vérifier également que le processus tourne sous l’utilisateur « openvpn »

# ps aux | grep openvpn

Pour finir, si tout c’est bien passé l’interface « tun0 » doit apparaître dans la configuration du réseau :

# ifconfig
...
tun0      Lien encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
         inet adr:10.8.0.1  P-t-P:10.8.0.2  Masque:255.255.255.255
         UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
         RX packets:0 errors:0 dropped:0 overruns:0 frame:0
         TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 lg file transmission:100
         RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

Et il doit être possible de la pinguer :

# ping 10.8.0.1

Installation du Client Windows

Avec OpenVPN, la notion de client et de serveur n’existe pas étant donné que c’est le même logiciel qui peut faire office de client ou de serveur. Dans mon cas, le serveur est installé sur une Debian Sarge et les clients sont sous Debian Testing ou Windows 2000/XP.

Pour Windows, il existe une version d’OpenVPN avec une installation simplifiée téléchargeable à cette adresse :
- http://openvpn.se/download.html
- http://openvpn.se/files/install_packages/openvpn-2.0.5-gui-1.0.3-install.exe

Lors de l’installation de ce programme, la carte réseau virtuelle « TAP-Win32 Adapter V8 » est installée. Une fois le programme installé, il est lancé automatiquement et à chaque démarrage de Windows. Un icône pour le configurer est disponible à coté de l’heure.

Ensuite, il est possible de franciser OpenVPN en remplaçant le binaire enregistré dans « C :\Program Files\OpenVPN\bin\openvpn-gui.exe » par le binaire téléchargeable à l’adresse ci-dessous (Attention : Il faut le renommer après l’avoir téléchargé) :
- http://openvpn.se/files/localized/binary/1.0.3/openvpn-gui-1.0.3-fr.exe

Configuration du client Windows

La première chose à faire est de copier dans le dossier « C :\Program Files\OpenVPN\config » les fichiers servant à l’authentification du client via OpenSSL créés dans les chapitres précédents :
- ca.crt, Client01.crt et Client01.key

Ensuite, il faut modifier le fichier de configuration pour l’adapter à votre cas. Pour éditer le fichier, il est possible de faire un clic droit sur l’icône « OpenVPN » situé à gauche de l’heure et de choisir l’option « Ã‰diter la configuration ».

Voici un exemple de fichier que j’utilise pour mes clients :

client
dev tun
proto udp

remote 192.0.1.2 1194

resolv-retry infinite
nobind

persist-key
persist-tun

ca ca.crt
cert Client01.crt
key Client01.key

comp-lzo

verb 1

Normalement, si vous utilisiez la même configuration que moi, vous n’aurez qu’à changer :
- L’adresse IP du serveur OpenVPN sur la ligne « remote »
- Le nom des fichiers : ca.crt, Client01.crt et Client01.key

Lancement du client Windows

Pour lancer la connexion, il suffit de faire un clic droit sur l’icône « OpenVPN » situé à gauche de l’heure et de choisir l’option « Connecter ».

Si tout se passe bien, une fenêtre affichant les logs doit s’afficher et une fois la connexion effectuée, le réseau est opérationnel.

En cas de problème, et pour trouver l’origine de celui-ci il faut augmenter le niveau des logs en changeant le paramètre «  verb  » du fichier de configuration :
- verb 3 -> Suffisamment de logs dans la plupart des cas.
- verb 9 -> Énormément de logs.

Une fois la connexion établie, il doit être possible de pinguer le serveur soit sur son adresse virtuelle (ex : 10.8.0.1 dans notre cas) soit sur son adresse réelle (ex : 192.168.0.1)

Remarque  : Depuis le serveur, pour connaître les clients connecté, il faut consulter le fichier :
- /etc/openvpn/openvpn-status.log

Installation Client Linux

L’installation du client est identique à celle du serveur, car c’est le même logiciel qui fait office de serveur ou de client en fonction de sa configuration :

# apt-get install openvpn liblzo1

Le fichier de configuration et la gestion des clés est identique à celle du client Windows.

Permettre aux clients VPN d’accéder à l’ensemble du réseau distants

Avec la configuration précédente, les clients peuvent accéder au serveur OpenVPN, mais ils ne peuvent pas accéder au reste du réseau sur lequel est connecté le serveur OpenVPN.

Pour permettre aux clients d’accéder au reste du réseau, il faut effectuer deux opérations :

1 - Autoriser le serveur Linux à transmettre les paquets au reste du réseau

Pour cela, il faut activer le forwarding avec la commande suivante :

# echo 1 > /proc/sys/net/ipv4/ip_forward

La commande suivante, permet de vérifier que le forwarding est bien activé :

# cat /proc/sys/net/ipv4/ip_forward

2 - Indiquer aux autres postes du réseau la route vers le serveur OpenVPN

Si le serveur VPN est sur l’adresse 192.168.0.1, il faut ajouter une route manuellement sur chaque poste du réseau avec la commande suivante sous Windows :

C:\>route add 10.8.0.0 mask 255.255.255.0 192.168.0.1

La commande suivante, permet d’avoir la liste des routes :

C:\>route print

La commande suivante permet de supprimer une route :

C:\>route delete 10.8.0.0 mask 255.255.255.0 192.168.0.1

Pour ajouter une route sous Linux, il faut utiliser la commande suivante :

# route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.0.1                  

La commande suivante, permet d’avoir la liste des routes sous Linux :

# route

La commande suivante permet de supprimer une route sous Linux :

# route delete -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.0.1                  

Remarque : Pour éviter de devoir ajouter manuellement sur chaque poste du réseau une route, si c’est possible, il faut ajouter une route statique au niveau de la passerelle ou du routeur du réseau.

Accéder aux autres postes connectés derrière un client VPN

Avec la configuration précédente, le serveur OpenVPN peux accéder à l’adresse virtuelle du client, mais il ne peux pas accéder à l’adresse réelle et encore moins aux autres postes connectés derrière le client VPN.

Pour permettre au serveur d’accéder aux autres postes connectés derrière un client VPN, il faut ajouter des routes dans la configuration d’OpenVPN :

Dans le fichier de configuration du serveur OpenVPN, il faut ajouter ces lignes :

client-config-dir ccd
route 192.168.0.0 255.255.255.0

La première ligne permet d’indiquer le sous-dossier de /etc/openvpn qui contiendra la configuration spécifique de chaque client (Remarque : Il faut penser à créer ce dossier manuellement).

La deuxième ligne permet d’ajouter la configuration du réseau d’un client.

Ensuite, il faut créer un fichier dans le dossier « /etc/openvpn/ccd » ayant le même nom que le certificat du client (ex : Client01) contrant la ligne suivante :

iroute 192.168.0.0 255.255.255.0

Cette ligne permet d’indiquer le client connecté à ce réseau.

Pour finir, il faut redémarrer le serveur et le client pour que les routes soient correctement prises en compte.

A partir de ce moment, le serveur doit pouvoir accéder à tous les postes connectés au client VPN.

Révocation d’un certificat client

Si le certificat d’un client à été volé au si ce dernier n’est plus nécessaire, il est important de le révoquer pour qu’il ne puisse plus être utilisé.

Pour révoquer un certificat, il faut disposer de celui-ci. Normalement, le dossier « /usr/share/doc/openvpn/examples/easy-rsa/keys » contient tous les certificats créés.

La commande suivante permet de révoquer un certificat :

# cd /usr/share/doc/openvpn/examples/easy-rsa/
# . ./vars
# ./revoke-crt Client01.crt
Using configuration from /usr/share/doc/openvpn/examples/easy-sa/openssl.cnf
DEBUG[load_index]: unique_subject = "yes"
Revoking Certificate 16.
Data Base Updated

Cette commande permet également de révoquer un certificat et vérifie ensuite que cette révocation est effective :

# ./revoke-full Client01
Using configuration from /usr/share/doc/openvpn/examples/easy-
sa/openssl.cnf
DEBUG[load_index]: unique_subject = "yes"
Revoking Certificate 17.
Data Base Updated
Using configuration from /usr/share/doc/openvpn/examples/easy-sa/openssl.cnf
DEBUG[load_index]: unique_subject = "yes"
Client01.crt: /
=FR/ST=France/O=Mondomaine/CN=Client01/emailAddress=tony@domaine.com
error 23 at 0 depth lookup:certificate revoked

Remarque : Avec ce script, il ne faut pas mettre l’extension « .crt » du certificat.

A chaque révocation de certificat son numéro est ajouté dans le fichier « keys/crl.pem ». Ce fichier contient donc la liste des certificats révoqués. Après chaque révocation de certificat, il faut donc copier ce fichier dans « /etc/openvpn »

La commande suivante, permet de consulter la liste des certificats révoqués :

# openssl crl -in keys/crl.pem -text

Il faut également ajouter cette ligne dans « etc/openvpn/server.conf » du serveur OpenVPN :

crl-verify crl.pem

Pour information, le fichier « keys/index.txt » contient la liste des certificats créés et révoqués

Pour finir et pour information, lors de la création d’un client, les fichiers suivants sont créés ou modifiés dans « keys/crl.pem » :

FichierDescription
01.pemLes deux premiers caractères de fichier correspond au numéro d’ordre sous forme hexadécimal du certificat (01=Le premier certificat créé, 0A=Le dixième créé)
serialContient le numéro du prochain certificat à créer
LaCle.crtCertificat = Clé public du client signée par le certificat du serveur.Le certificat permet de s’authentifier sur le serveur.
LaCle.csr Fichier temporaire utilisé pour la création du certificat. Ce fichier permet de générer des certificats (c’est une demande de certification ne nécessitant pas la clé privée)
LaCle.keyClé privée du client. La clé permet de déchiffrer les données en provenance du serveur
index.txtContient la liste des clés créées et révoquées
crl.pemContient la liste des certificats révoqués.

Historique des modifications

VersionDateCommentaire
0.109/12/05Création par Tony GALMICHE
0.223/03/06Mise à jour pour publication
0.328/08/06Ajout « Accéder aux autres postes connectés derrière un client VPN »
0.431/01/07Ajout « Révocation d’un certificat client »
0.518/12/08Installation sur un nouveau serveur sous Debian ETCH
Version imprimable de l'article

Forum


  • Probleme de deconnection avec client openvpn sur WindowsXP !!!
    19 mars 2008, par The Wraith

    Alors moi je dis rien à redire !! Sur ce tuto parfait sauf peut-être un petit problème de mon coté ..

    Il en faut toujours ... Alors j’ai monté un serveur vpn sur une machine ubuntu 7.10 tout marche bien je ping le serveur. Ensuite j’ai une machine virtuelle sous winXp ( avec vmware server ). Et la une fois openvpn client installé et que je tente une connections ça marche. Mais, mais mais au bout de même pas 2 minutes le client ce déconnecte. Pourquoi je ne sais pas, c’est pour cela que je viens vers vous, pour essayer de trouver une solution.

    Voila le log du coté du client :

    Wed Mar 19 10:27:16 2008 OpenVPN 2.0.5 Win32-MinGW [SSL] [LZO] built on Nov 2 2005

    Wed Mar 19 10:27:16 2008 IMPORTANT : OpenVPN’s default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.

    Wed Mar 19 10:27:16 2008 WARNING : No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.

    Wed Mar 19 10:27:16 2008 LZO compression initialized

    Wed Mar 19 10:27:16 2008 Attempting to establish TCP connection with 10.8.0.1:1194

    Wed Mar 19 10:27:16 2008 TCP connection established with 10.8.0.1:1194

    Wed Mar 19 10:27:16 2008 TCPv4_CLIENT link local : [undef]

    Wed Mar 19 10:27:16 2008 TCPv4_CLIENT link remote : 10.8.0.1:1194

    Wed Mar 19 10:27:17 2008 [LeServeurVPN] Peer Connection Initiated with 10.8.0.1:1194

    Wed Mar 19 10:27:18 2008 WARNING : potential conflict between —remote address [10.8.0.1] and —ifconfig address pair [10.8.0.6, 10.8.0.5] — this is a warning only that is triggered when local/remote addresses exist within the same /24 subnet as —ifconfig endpoints. (silence this warning with —ifconfig-nowarn)

    Wed Mar 19 10:27:18 2008 TAP-WIN32 device [Connexion au réseau local 5] opened : \\.\Global\3991C3BF-5706-4127-A2F3-36E9DF508B03.tap

    Wed Mar 19 10:27:18 2008 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface 3991C3BF-5706-4127-A2F3-36E9DF508B03 [DHCP-serv : 10.8.0.5, lease-time : 31536000]

    Wed Mar 19 10:27:18 2008 Successful ARP Flush on interface [2] 3991C3BF-5706-4127-A2F3-36E9DF508B03

    Wed Mar 19 10:27:21 2008 Initialization Sequence Completed

    Wed Mar 19 10:27:42 2008 Connection reset, restarting [-1]

    Wed Mar 19 10:27:42 2008 SIGUSR1[soft,connection-reset] received, process restarting

    Wed Mar 19 10:27:47 2008 IMPORTANT : OpenVPN’s default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.

    Wed Mar 19 10:27:47 2008 WARNING : No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.

    Wed Mar 19 10:27:47 2008 Re-using SSL/TLS context

    Wed Mar 19 10:27:47 2008 LZO compression initialized

    Wed Mar 19 10:27:47 2008 Attempting to establish TCP connection with 10.8.0.1:1194

    Wed Mar 19 10:28:08 2008 SIGTERM[hard,init_instance] received, process exiting

    Voila le client.ovpn (config) et celui donné plus haut.

    Mon serveur est en 10.8.0.1 et l’obtention d’une adresse pour mon client est 10.8.0.6

    donc voila je reste dans le coin si quelqu’un pouvait m’aiguiller ou s’il y a besoin de donner des informations supplémentaires.

  • Installation OpenVPN 2.01 sur une Debian Sarge
    12 février 2008, par Jopa

    Bravo ! Très bonne doc !

    Je voudrais cependant préciser que la copie du fichier "ca.key" (Clef privée de l’AC) dans le répertoire de configuration d’openvpn ne sert à rien et est même déconseillée. Seul le fichier ca.crt (partie publique) est utile pour vérifier la signature des certificats clients.

    Le ca.key est utile uniquement pour signer les certificats clients lors de leur génération.

    C’est un peu dangereux de le laisser trainer ;)

    Merci encore pour cette super doc

  • Installation OpenVPN 2.01 sur une Debian Sarge
    21 janvier 2008, par maud
    bonjour, super ton tuto. j’ai un probleme avec openvpn ... quand je fais restart openvpn ça me met failed
  • Installation OpenVPN 2.01 sur une Debian Sarge
    7 octobre 2007, par guy.dl
    Bonjour excellent tuto. Chez moi tout fonctionne excepte que de mon poste client je ne vois pas mes imprimantes cups
  • Installation OpenVPN 2.01 sur une Debian Sarge
    9 septembre 2007, par dexinou

    Bonjour, très bon article mais comment faire pour que cette commande : route add 10.8.0.0 mask 255.255.255.0 192.168.0.1

    Sur les clients windows ne soit pas effacée au prochain redémarrage de la machine ?

  • Installation OpenVPN 2.01 sur une Debian Sarge
    9 septembre 2007, par dexinou

    Merci bien pour ce tutoriel i lm’a beaucoup servi sauf que je comprend pas un truc.

    Ceci : remote 192.0.1.2 1194 dans votre fichier de configuration client correspond à l’ip de quoi ?? du serveur local ou distant ?

    Car si c’est local je vois pas l’utiliter d’openvpn, avec ssh on fait pareille non ?

    Maintenant je voudrais me connecter à un serveur distant où j’ai installer et configurer openvpn, quelle ip je dois indiquer ? l’ip virtuelle ou l’ip routable internet ?

    • Installation OpenVPN 2.01 sur une Debian Sarge
      24 septembre 2007, par quack-quack

      Bonjour,

      a la ligne remote cela correspond au serveur distant.

  • Installation OpenVPN 2.01 sur une Debian Sarge
    29 août 2007, par chouchou
    bonjour :) super tuto mais j’ai un ptit soucis qqu pour me filer un coup de main ?
  • Installation OpenVPN 2.01 sur une Debian Sarge
    25 août 2007, par loliverouge
    Très bon mémo pour démarrer avec OpenVpn ...
    • Installation OpenVPN 2.01 sur une Debian Sarge
      26 août 2007, par Tony
      Merci.
  • Installation OpenVPN 2.01 sur une Debian Sarge
    22 août 2007, par alberto
    Bonjour, Je dois reinstaller un serveur et j’aimerai savoir si j’ai besoin de rajouter des options spécifiques lors de la recompilation pour openvpn ?
  • Installation OpenVPN 2.01 sur une Debian Sarge Client Vista
    20 août 2007, par J Bonnin

    Bonjour,

    Quel mode d’emploi !

    Bon, tout est ok avec un client winXP.

    Mais rien ne va plus avec winVista ! (dernière version d’OpenVPN)

    La carte réseau TapWin32 a "reseau non identifié" J’ai ça dans "show status

    Mon Aug 20 22:03:34 2007 us=148919 route ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.21 Mon Aug 20 22:03:34 2007 us=151622 ROUTE : route addition failed using CreateIpForwardEntry : Un ou plusieurs arguments sont incorrects. [if_index=11] Mon Aug 20 22:03:34 2007 us=151639 Route addition via IPAPI failed Mon Aug 20 22:03:34 2007 us=151652 Initialization Sequence Completed

    Ãa à la fin de View log

    TCP/UDP : Closing socket Thu Aug 16 18:45:34 2007 us=51543 SIGTERM[hard,] received, process exiting Un ping sur 10.8.0.22 est ok.

    sur 10.8.0.1 pas bon. Vista me dit que "la carte réseau... n’a pas d’IP valide"

    C’est le paramétrage de la carte réseau non ? une aide ?

    Merci

    JB

    • Installation OpenVPN 2.01 sur une Debian Sarge Client Vista
      20 août 2007, par J Bonnin

      Je me réponds, Google est notre ami.

      La solution est là la police de securité par default de Windows Vista, est d’utiliser seulement l’authentification NTLMv2, et que Samba ne la supporte pas encore. (NTLMv2 sera supporté dans Samba v.3)

      J’explique dans la suite de ce billet comment faire en sorte de Windows Vista puisse accèder à vos partages Samba.

      Voilà. JB

    • Installation OpenVPN 2.01 sur une Debian Sarge Client Vista
      20 août 2007, par J Bonnin

      Mais avant, il faut ajouter 2 lignes dans le confxxx.openvpn :

      route-method exe

      route-delay 2

      Trouvé ici

      JB

      • Installation OpenVPN 2.01 sur une Debian Sarge Client Vista
        21 août 2007, par Tony
        Merci pour les questions et les réponses :-)
  • Installation OpenVPN 2.01 sur une Debian Sarge
    27 juillet 2007, par Chris

    Salut !! Très intéressant, cet article... Justement je bosse dessus (entre autre) pour comprendre comment configurer un openVPN sur une Debian Etch. Ce qui m’amène à une question...

    Sur d’autres site, j’ai vu qu’en principe, il fallait créer le tunnel de communication via une série de commandes de ce type (après avoir créé un fichier local.conf) :

    dev tun ifconfig 10.0.0.1 10.0.0.2 ta.key /etc/openvpn/ecreall/key comp-lzo port 5000 user nobody group nobody

    (bon, ton blog laisse passer les commandes sur une seule ligne mais en fait Dev tun0 est sur une ligne, ifconfig sur la ligne suivante, etc...) En gros : Dev Tun pour préciser de quoi on parle, ifconfig pour préciser le point de départ et d’arrivée, "secret" etc... pour préciser où se trouvera le fichier "ta.key" (en référence à la clé pré partagée obtenue en faisant openvpn genkey)... enfin, bref je ne vois pas de fichier de configuration de ce style, chez toi. Je n’en comprends pas la raison. Il n’est peut-être pas nécessaire ? Ou bien il y est et je ne l’ai pas reconnu comme tel ?

    Merci d’avance !! :-)

    Mise en place d’un VPN
    • Installation OpenVPN 2.01 sur une Debian Sarge
      27 juillet 2007, par Tony
      Bonjour, Les commandes que tu cites ne sont pas sur une seule ligne mais bien sur des lignes séparées comme indiqué dans mon article. Tu as peut-être un problème avec ton navigateur ?
  • Installation OpenVPN 2.01 sur une Debian Sarge
    18 juin 2007, par snoopy

    Salut,

    Tres bon tuto mise a part une boulette dans le fichier conf d’openvpn :

    "(Le protocole udp est plus sécurisé que le tcp)"

    C’est l’inverse !

    a+ ps : je me suis planté sur loral du bts sur ca !

  • Installation OpenVPN 2.01 sur une Debian Sarge
    16 mai 2007, par Michel

    Bonjour et chapeau pour cet article très bien construit !

    Je ne suis sous linux que depuis janvier alors je vous demande de m’excuser si la réponse a cette question est évidente... car elle ne l’est pas pour moi.

    Voici ma config :

    Un serveur sous Ubuntu (192.168.0.103) 2 Mac (x.x.x.102 et 104) un routeur (serveur DHCP et 192.168.0.1) et une connexion par cable.

    La configuration du client et du serveur semblent avoir bien marché. Je reçois un [ok] après le vpn restart sur le serveur et le client mac (open vpn avec tunnelblick) me dit que je suis connecté.

    je peux pinger 10.8.0.1 et .6 (1= serveur et 6 étant l’invité) mais je n’arrive pas à voir mon réseau. Je ne peux pas pinger les adresses 192.168. de mes machines.

    J’ai ajouté les routes comme indiqué sur les clients et sur le serveur (route add -net 10.8.0.0 netmask 255.255.255.0 gateway 192.168.0.103

    De plus, si je débranche mon cable réseau de mon mac et que je le connecte au net via le téléphone, je me connecte au VPN, mais j’ai le même problème, a savoir que je ne vois pas mon réseau.

    Mon but est de pouvoir voir mon réseau a distance comme si j’étais à la maison et de pouvoir greffer l’ordinateur de mon père sur le VPN afin de l’administrer à distance.

    Ouf, c’étais long !

    Merci (et vous pouvez me répondre à leducmike@hotmail.com)

    Michel

    • Installation OpenVPN 2.01 sur une Debian Sarge
      16 mai 2007, par Tony
      Bonjour, C’est certainement un problème de "route" mal configurées. Sur le client et sur le serveur, il faut afficher la table de routage pour vérifier avec la commande "route" Il faut également utiliser la commande "traceroute" pour trouver ou ça bloque. Pour finir, la commande "tcpdump", permet d’analyser les paquets arrivant ou sortant d’une interface réseau. Bonne chance.
    • Installation OpenVPN 2.01 sur une Debian Sarge
      11 juin 2007

      Salut,

      Moi j’avais le même problème. J’ai suivi le tuto a la lettre et impossible de pingué les postes du réseau directement connecté derrière mon client openVPN. J’avais toutes les routes de configurées, ip_forward activé sur mes deux postes openvpn et tout et tout... Bref je me suis renseigné sur le net et je suis passé en mode TAP au lieu de TUN. Et là aucun souci : je ping, je fais du TSE, du VNC, du partage de fichiers...tout ce dont j’ai besoin. En espérant t’avoir éclairé. Sinon mail me :crevasse@hotmail.fr

      • Installation OpenVPN 2.01 sur une Debian Sarge
        25 septembre 2007, par loliverouge

        Pareil pour moi impossible de voir les postes derrière le client OpenVPN.

        Les routes étaient bien indiquées de chaque côté. J’avais configuré les options suivantes au niveau du serveur VPN : server.conf (2 lignes) :

        client-config-dir ccd

        route id_reseau_du_client_vpn 255.255.255.0

        dans le répertoire ccd, j’avais crée un fichier portant le nom du CN du client contenant la ligne suivante :

        iroute d_reseau_du_client_vpn 255.255.255.0

        Les routes, côté client VPN, étaient directement précisées sur la passerelle de son réseau. Je pouvais "pinguer" (depuis mon poste derrière le serveur vpn) la passerelle et le client sur leur adresse ip privé mais pas les autres postes du réseau. Ces mêmes postes (ceux que je ne pouvais pas atteindre) pouvaient "pinguer" mon poste (sur lequel j’avais saisi directement les routes pour atteindre le reseau du client vpn). Ils prenaient donc bien en compte les routes statiques de la passerelle réseau.

        Sur un poste derrière le client vpn (que je ne pouvais pas voir) , j’ai ajouté une route statique précisant sur quelle passerelle (l’adresse ip du client vpn) passer pour router les paquets à destination de mon réseau : route add -net id_reseau_derrière_serveur_vpn netmask 255.255.255.0 gw ip_privé_client_vpn. Et là boom, je pingue la machine.

        Mais bon je voulais que les postes derrière le client vpn utilisent la passerelle de leur réseau pour éviter de faire la manip (ajout des routes stat) sur tous les postes.

        J’ai donc saisi cette commande sur le client vpn : iptables -t nat -A POSTROUTING -s 10.7.0.1 -d id_resau_du_client_vpn/24 -j SNAT —to ip_privé_du_client_vpn

        Et là ça fonctionne parfaitement. Bah voilà... sinon ce mémo reste toujours le meilleur que j’ai trouvé sur le net de par sa simplicité de mise en oeuvre...

  • Installation OpenVPN 2.01 sur une Debian Sarge
    15 mai 2007

    Bonjour,

    Super le tuto, ça me tarde de tester tout ça. Mais avant pour être sur de ne pas me tromper j’aurais voulu savoir sur quelle maquette je pourrais faire mes tests.

    Je pensais a deux serveurs debian etch avec deux cartes réseaux sur chaques serveurs. Même adressages pour l’interco entre les serveurs et deux autres adressages distinct pour les autres interfaces représentant le LAN de chaque site.

    Si vous pouvez me confirmer.

    Merci

    • Installation OpenVPN 2.01 sur une Debian Sarge
      16 mai 2007, par Tony

      Bonjour, Cela devrait en effet permettre de tester le système. Mais il est déjà possible de "presque" tout tester avec deux machines connectées au même réseau et avec une seule carte réseau par machine.

      Autrement, une autre solution est d’avoir deux machines avec deux accès Internet séparés (ex : Accès par modem et accès ADSL)

  • Installation OpenVPN 2.01 sur une Debian Sarge
    2 mai 2007

    Superbe travail !

    Merci beacoup !!

  • Installation OpenVPN 2.01 sur une Debian Sarge
    28 avril 2007, par bobo

    Bonjour j’ai un souci au moment du redemarrage d’OpenVPN.

    J’ai le message suivant dans les logs :

    Apr 28 16:58:01 localhost ovpn-server[19238] : OpenVPN 2.0.9 i486-pc-linux-gnu [SSL] [LZO] [EPOLL] built on Jan 21 2007

    Apr 28 16:58:01 localhost ovpn-server[19238] : Diffie-Hellman initialized with 1024 bit key

    Apr 28 16:58:01 localhost ovpn-server[19238] : TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]

    Apr 28 16:58:01 localhost ovpn-server[19238] : Note : Cannot open TUN/TAP dev /dev/net/tun : No such device (errno=19)

    Apr 28 16:58:01 localhost ovpn-server[19238] : Note : Attempting fallback to kernel 2.2 TUN/TAP interface Apr 28 16:58:01 localhost ovpn-server[19238] : Cannot allocate TUN/TAP dev dynamically

    Apr 28 16:58:01 localhost ovpn-server[19238] : Exiting

    Comment faire pour résoudre ce probleme ? Merci

  • Interface réseau virtuelle tun0 unique ?
    17 avril 2007

    Bonjour,

    J’ai suivi le tuto avec une debian Etch et un winXp SP2 et ça marche nickel du premier coup ! merci beaucoup pour cette superbe doc ;) cela dit je me demandais... si je créé les certificats et clés pour plusieurs ordinateurs est ce que seul l’interface tun0 est nécessaire pour tous les clients openvpn ? ou alors d’autres interfaces virtuelles (tun1 tun2....) sont créés en même temps que les certificats et clés pour chaque client ?

    en fait je pose la question car auparavant j’utilisais CIPE et j’avais une interface virtuelle CIPE par client qui pouvait se connecter.

    merci par avance pour vos réponses

    • Interface réseau virtuelle tun0 unique ?
      18 avril 2007, par tigermick
      apparemment j’ai eu un echo comme quoi on pouvait créer un fichier de configuration serveur pour chaque client. Ainsi sur le serveur, on a une interface vituelle tun par ordi client (tun0, tun1, tun2...). Mais est ce que c’est nécessaire et si non est ce que ça a un avantage ou inconvénient pour l’une ou pour l’autre des solutions ?
      • Interface réseau virtuelle tun0 unique ?
        8 mai 2007, par Tony
        Il n’est pas nécessaire d’avoir un fichier de configuration serveur pour chaque client. Personnellement je n’ai qu’un fichier pour tous mes clients. L’intérêt d’avoir plusieurs fichiers est d’avoir des paramètres ou des droits spécifique à chaque client ou chaque groupe de clients
        • Interface réseau virtuelle tun0 unique ?
          22 octobre 2007
          merci pour l’info...dsl du retard pour les remerciement....mais je pense que c’était une bonne question à poser...
  • Installation OpenVPN 2.01 sur une Debian Sarge
    7 mars 2007, par bidouille82
    je n’arrive pas à créer l’interface tun0 quand je veux lancer le service : FAILED -> server que ce passe-t-il, je suis pourtant à la lettre le tuto qui est tres bien construit !
    • Installation OpenVPN 2.01 sur une Debian Sarge
      2 avril 2007
      J’ai le meme probleme que bidouille82
      • Installation OpenVPN 2.01 sur une Debian Sarge
        2 avril 2007, par Tony
        Sur quel système ?
         > Debian, Win XP, Vista ?
         > Pour Vista je ne donne aucune garantie ;-)
      • Installation OpenVPN 2.01 sur une Debian Sarge
        3 avril 2007
        J’ai poster pour mon probleme ( le meme que bidouille82 ) le post ce trouve un peu plus bas dans la page.
  • Installation OpenVPN 2.01 sur une Debian Sarge
    5 mars 2007
    Si vous suivez à la lettre les instructions çà marche sans aucun problème. Chapeau !
    • Installation OpenVPN 2.01 sur une Debian Sarge
      5 mars 2007, par Tony
      Et bein moi, je suis content que ce soit utile :-)
  • Installation OpenVPN 2.01 sur une Debian Sarge
    1er mars 2007, par titimaster

    Super tuto !!!! ca marche du premier coup grace à vous. MERCI

    par contre, vous n’expliquez pas comment lancer le cleient linux ... :X

    • Installation OpenVPN 2.01 sur une Debian Sarge
      4 mars 2007, par Tony

      Le client Linux se lance comme le serveur, automatiquement au démarrage ou en faisant :

      /etc/init.d/openvpn restart

  • Installation OpenVPN 2.01 sur une Debian Sarge
    1er mars 2007

    Bonjour et merci pour ce superbe article sur openvpn je suis un chanceux qui suis tombé sur votre site par pur hazard ;) il fait desormais parti de mes favoris

    voila j ai malgre tout un souci lors de l etablissement de la connxion de mon client sous windows (XP SP2) avec la config tournant sur le serveur voila mon probleme :

    sur le serveur apres avoir lancé un ifconfig j ai bien : tun0 inet addr : 192.8.0.1 P-t-P 10.8.0.2 Masque 255.255.255.255

    et lorsque mon client windows se connecte apres avoir lancé ipconfig

    @ ip : 10.8.0.6 mask 255.255.255.252

    et il m est impossble de "pinguer" mon serveur

    je perds la tete et je suis au desespoir une ame charitable pourrait elle m aider ? je tourne vraiment en rond et je ne sais pas pourquoi cela ne fonctionne pas j ai essayé de forcer l ip et le masque sous windows mais rien y fait

    encore merci a tous

    ps : j ai supprimer toutes les TAP/WIN32 de mon serveur et recréé une autre mais aucun changement

    • Installation OpenVPN 2.01 sur une Debian Sarge
      1er mars 2007, par Tony
      C’est certainement un problème de définition des routes. il me faudrait la table de routage du poste client et du serveur pour pouvoir aider.
      • Installation OpenVPN 2.01 sur une Debian Sarge
        2 mars 2007

        Un grand merci a toi Tony tu avais, mis le doit dessus le probleme venait du routage Hihaaaaa !! ( le cri du cowboy en fait héhé) tout est aux petits oignons et la solution VPN marche nickel

        Encore merci a toi pour ce superbe tuto, (j ai modifié le fichier interface pour faire echo 1 dans ip_forward directement au demarrage du serveur en regardant un autre tuto du site)

        • Installation OpenVPN 2.01 sur une Debian Sarge
          9 avril 2007, par Rod

          Tu pourrais nous en dire un peu plus car j’ai le même soucis !!!

          Impossible de pinguer mon serveur depuis le :

          /etc/init.d/openvpn restart

          HELP !

          • Installation OpenVPN 2.01 sur une Debian Sarge
            26 mai 2008, par Pandore

            bonjour,

            Merci pour ce site complet ! en fait j’ai un serveur debian et un client XP ; en listant les connexions réseaux sur mon client, je vois la carte virtuelle mais elle apparait toujours comme déconnctée, je me suis dit que probablement c’est le tap-win32 qui pose un probleme, je l’ai réinstallé plusiers fois mais j’ai toujours le même sousci

            en plus sur les logs de mon client j’ai "TLS Error : TLS key negotiation failed to occur within 60 seconds (check your network connectivity) Mon May 26 11:29:22 2008 TLS Error : TLS handshake failed"

            Pouvez vous m’aidez svp :(

  • Installation OpenVPN 2.01 sur une Debian Sarge
    26 novembre 2006, par SckyzO

    Bonjour, tout d’abord, merci pour ce tuto/pense bête, et super site que je suis regulièrement.

    J’ai bien suivi l’install tout fonctionne bien mis a par que je me retrouve avec un problème a la fin ... lorsque je me connecte de mon client windows sur mon debian (testing) il me met un problème lié a la date dont le message d’erreur est : "Unable to connect because your certificate is not yet valid. Check that your system time is correct"

    Mon problème vient donc de la date ...

    Mais je ne vois pas comment le gérer car bien sur, l’heure de mon pc client, de mon serveur et même de ma freebox sont les même !!!

    Si qqn à une idées, je serai preneur.

    Cordialement.

    SckyzO

    http://www.sckyzo.info
    • Installation OpenVPN 2.01 sur une Debian Sarge
      2 avril 2007, par benxico

      Bonjour,

      merci beaucoup pour ce tuto trés utile :)

      Comme SckyzO j’ai pu aller jusqu’au bout du tuto, tout fonctionne jusqu’à ce que je tente une connexion. Là je me retrouve comme lui avec un message d’erreur me disant que le certificat n’est pas valide.

      Voici les logs :

      Mon Apr 02 17:43:38 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006

      Mon Apr 02 17:43:38 2007 IMPORTANT : OpenVPN’s default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.

      Mon Apr 02 17:43:38 2007 WARNING : No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.

      Mon Apr 02 17:43:38 2007 LZO compression initialized Mon Apr 02 17:43:38 2007 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]

      Mon Apr 02 17:43:38 2007 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]

      Mon Apr 02 17:43:38 2007 Local Options hash (VER=V4) : ’41690919’

      Mon Apr 02 17:43:38 2007 Expected Remote Options hash (VER=V4) : ’530fdded’

      Mon Apr 02 17:43:38 2007 UDPv4 link local : [undef]

      Mon Apr 02 17:43:38 2007 UDPv4 link remote : 82.66.246.197:1194

      Mon Apr 02 17:43:38 2007 TLS : Initial packet from 82.66.246.197:1194, sid=1706bd58 9d43f44b

      Mon Apr 02 17:43:38 2007 VERIFY ERROR : depth=1, error=certificate is not yet valid : /C=FR/ST=France/L=Paris/O=EmmausIDF/CN=Emmaus_Siege/emailAddress=xxxxxx@free.fr

      Mon Apr 02 17:43:38 2007 TLS_ERROR : BIO read tls_read_plaintext error : error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

      Mon Apr 02 17:43:38 2007 TLS Error : TLS object -> incoming plaintext read error

      Mon Apr 02 17:43:38 2007 TLS Error : TLS handshake failed

      Mon Apr 02 17:43:38 2007 TCP/UDP : Closing socket

      Mon Apr 02 17:43:38 2007 SIGUSR1[soft,tls-error] received, process restarting

      Mon Apr 02 17:43:38 2007 Restart pause, 2 second(s)

      Mon Apr 02 17:43:40 2007 IMPORTANT : OpenVPN’s default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.

      Mon Apr 02 17:43:40 2007 WARNING : No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.

      Mon Apr 02 17:43:40 2007 Re-using SSL/TLS context

      Mon Apr 02 17:43:40 2007 LZO compression initialized

      Mon Apr 02 17:43:40 2007 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]

      Mon Apr 02 17:43:40 2007 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]

      Mon Apr 02 17:43:40 2007 Local Options hash (VER=V4) : ’41690919’

      Mon Apr 02 17:43:40 2007 Expected Remote Options hash (VER=V4) : ’530fdded’

      Mon Apr 02 17:43:40 2007 UDPv4 link local : [undef]

      Mon Apr 02 17:43:40 2007 UDPv4 link remote : 82.66.246.197:1194

      Mon Apr 02 17:43:40 2007 TCP/UDP : Closing socket

      Mon Apr 02 17:43:40 2007 SIGTERM[hard,] received, process exiting

      J’ai fait l’installation coté serveur sur une Débian Etch, et coté client j’ai un windows XP Pro pour les tests. Je regarderais un peu plus tard pour tester depuis une station débian.

      Bien amicalement,

      Benxico

      • Installation OpenVPN 2.01 sur une Debian Sarge
        2 avril 2007, par Tony
        Je vois deux pistes :
        - Le certificat n’est pas valide -> Refaire les clés et les certificats pour voir -> Essayer depuis un autre poste client.
        - Le serveur n’est pas accessible -> Vérifier si un pare-feu est actif et voire ce qui se passe dans les logs du serveur.
      • Installation OpenVPN 2.01 sur une Debian Sarge
        2 avril 2007, par benxico

        Bon ben sans rien changer tout marche, visiblement faut pas faire le test directement dans la foulée de la création du certificat client.

        En tout cas grand merci pour ce tuto :)

        Bien amicalement,

        Benxico

        • Installation OpenVPN 2.01 sur une Debian Sarge
          2 avril 2007, par Tony
          Peut-être un décalage entre l’heure du client et l’heure du serveur ?
          • Installation OpenVPN 2.01 sur une Debian Sarge
            3 avril 2007
            Salut Merci d’avoir répondu alors je tourne sous Debian Sarge j’ai suivi exactement la procédure que tu as faites mais le server est toujours FAILED y a t’il des prerequis pour l’install du serveur ? Et j’aurais voulu savoir si " tu aurais pu être plus claire dans l’adressage IP (c’est deja assez claire mais je ne sais pas je ne comprend pas très bien dsl^^) Au niveau de la config de la carte réseau que faut t’il mettre ? Je pense que mon probleme vient au niveau de l’adressage donc si tu pouvais m’éclairer je devrais y arriver Merci beaucoup :D
            • Installation OpenVPN 2.01 sur une Debian Sarge
              3 avril 2007, par Tony
              Ecrit moi en privé en me donnant la configuration de ton serveur, de ton client ainsi que la configuration IP de tes deux postes ainsi que le détail des logs
              - tony.galmiche.coagul at free.fr
          • Installation OpenVPN 2.01 sur une Debian Sarge
            5 avril 2007, par benxico

            J’y ai pensé aprés, le serveur est à l’heure GMT alors que le poste de travail windows que j’utilisais pour les tests est à l’heure d’été française :P C’est trés con mais quand on n’y pense pas ça fout la pagaille ;)

            Je vais maintenant me pencher sur la question du routage et de l’attribution des adresses ip en essayant de trouver une solution pour attribuer tout le temps la même adresse ip pour chaque client (soit en fonction du certificat, soit en fonction de la mac).

            Bien amicalement,

            Benxico

  • Installation OpenVPN 2.01 sur une Debian Sarge
    14 septembre 2006, par themoonseeker

    Super tutorial merci !

    J’ai le warning suivant :

    WARNING : No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.

    Savez-vous comment puis-je corriger la config de mon serveur vpn pour ne plus l’obtenir ?

    Merci !! ;)

    • Installation OpenVPN 2.01 sur une Debian Sarge
      9 septembre 2007, par dexinou
      il faut décommenter ns-cert-type server dans la config client
  • Installation OpenVPN 2.01 sur une Debian Sarge
    1er août 2006, par kei-kun41
    Merci pour ce tutoril vraiment complet !!!
  • Installation OpenVPN 2.01 sur une Debian Sarge
    8 juillet 2006

    Excelent

    merci :-)

Site réalisé sous Spip. Merci à NFrance pour son hébergement gracieusement offert. Tous les articles de ce site sont sous licence Creative Commons by-nc-sa (CC).