OVH Community, your new community space.

Tuto pour installer serveur VPN sous UBUNTU X64


janus57
07/03/2015, 17h53
Bonjour,

bah perso sous Ubuntu 14.04 le chroot ne fonctionne pas et y a un bug dans le pkitool qui empêche de générer un certificat si ont lui donne un CN (Common Name) qui n'est pas un NDD (accessible ?).

Sous Debian 7 sa passe du premier coup sans problème majeur.

Je vais même essayer sous Debian Jessie dès que j'aurais MAJ ma VM pour voir si c'est pas lié aux version, mais quelque chose me dit que cela va passer sans trop de problème sous Jessie.

Perso Ubuntu j'aime pas rien qu'a cause du sudo qui est obligatoire lors de l'install, jamais mis de sudo sous Debian, et jamais eu de problème de sécurité (suffit juste de maintenir l'os à jour, les logiciel, les sites web etc... et de mettre certaines protections comme fail2ban, snort ou autre selon les besoins).

Cordialement, janus57

Sonnik
07/03/2015, 14h23
Tu veux dire par là, que si je veut installer OpenVPN sans problème il serait préférable de passer sous une Debian ?

janus57
05/03/2015, 18h30
Bonjour,

Comment tu as fais pour ne pas mettre de mot de passe ?
simple pas mis de passphrase au certificat (il me semble que c'est ça).

Sinon tu as des infos dans les logs !
Thu Mar 05 18:18:46 2015 Key file 'sonnik.key' used in --tls-auth contains insufficient key material [keys found=1 required=2] -- try generating a new key file with 'openvpn --genkey --secret [file]', or use the existing key file in bidirectional mode by specifying --tls-auth without a key direction parameter
Thu Mar 05 18:18:46 2015 Exiting due to fatal error
EDIT :
Je confirme sous Ubuntu 14.04 le chroot ne passe pas, visiblement ce serait une restriction de "sudo" embarqué dans Ubuntu (au moins je sais pourquoi j'utilise Debian...).

Cordialement, janus57

Sonnik
05/03/2015, 18h22
Bon j'ai avancé, mais toujours un problème authentification au niveau du client ...
Voila le log client de OVPN :
Code:
Thu Mar 05 18:18:40 2015 OpenVPN 2.3.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Dec  1 2014
Thu Mar 05 18:18:40 2015 library versions: OpenSSL 1.0.1j 15 Oct 2014, LZO 2.08
Enter Management Password:
Thu Mar 05 18:18:40 2015 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Thu Mar 05 18:18:40 2015 Need hold release from management interface, waiting...
Thu Mar 05 18:18:41 2015 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Thu Mar 05 18:18:41 2015 MANAGEMENT: CMD 'state on'
Thu Mar 05 18:18:41 2015 MANAGEMENT: CMD 'log all on'
Thu Mar 05 18:18:41 2015 MANAGEMENT: CMD 'hold off'
Thu Mar 05 18:18:41 2015 MANAGEMENT: CMD 'hold release'
Thu Mar 05 18:18:41 2015 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Thu Mar 05 18:18:46 2015 MANAGEMENT: CMD 'password [...]'
Thu Mar 05 18:18:46 2015 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Thu Mar 05 18:18:46 2015 Control Channel Authentication: using 'sonnik.key' as a free-form passphrase file
Thu Mar 05 18:18:46 2015 MANAGEMENT: Client disconnected
Thu Mar 05 18:18:46 2015 Key file 'sonnik.key' used in --tls-auth contains insufficient key material [keys found=1 required=2] -- try generating a new key file with 'openvpn --genkey --secret [file]', or use the existing key file in bidirectional mode by specifying --tls-auth without a key direction parameter
Thu Mar 05 18:18:46 2015 Exiting due to fatal error
Comment tu as fais pour ne pas mettre de mot de passe ?
J'ai l'impression que c'est ca qui me bloque !

Sinon je peux éventuellement me tromper dans le nom de mes key, certificat..

EDIT :

client.ovpn :
Code:
# User
client
dev tun
proto tcp-client
remote 5.196.89.30 5678
resolv-retry infinite
cipher AES-256-CBC
# Certificates and keys
ca ca.crt
cert sonnik.crt
key sonnik.key
tls-auth sonnik.key 1
# Security
nobind
persist-key
persist-tun
comp-lzo
verb 3
server.conf :
Code:
# Server TCP/5678
mode server
proto tcp
port 5678
dev tun
# Certificates and keys
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
tls-auth sonniksrv.key 0
cipher AES-256-CBC
# Network
server 10.10.10.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
# Security
user nobody
group nogroup
persist-key
persist-tun
comp-lzo
# Log
verb 3
mute 20
status openvpn-status.log
log-append /var/log/openvpn/openvpn.log
Edit :

A mon avis je m’emmêle les pinceaux au niveau de mes .key .crt .csr peut être..

Sonnik
05/03/2015, 17h27
Bon je viens tout juste de supprimer la ligne ce qui me donne dans le log :
Code:
Thu Mar  5 17:25:33 2015 OpenVPN 2.3.2 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [eurephia] [MH] [IPv6] built on Dec  1 2014
Thu Mar  5 17:25:33 2015 Diffie-Hellman initialized with 2048 bit key
Thu Mar  5 17:25:33 2015 Control Channel Authentication: using 'sonniksrv.key' as a OpenVPN static key file
Thu Mar  5 17:25:33 2015 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Mar  5 17:25:33 2015 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Mar  5 17:25:33 2015 Socket Buffers: R=[87380->131072] S=[16384->131072]
Thu Mar  5 17:25:33 2015 ROUTE_GATEWAY 5.196.89.254/255.255.255.0 IFACE=eth0 HWADDR=00:22:4d:ab:45:85
Thu Mar  5 17:25:33 2015 TUN/TAP device tun0 opened
Thu Mar  5 17:25:33 2015 TUN/TAP TX queue length set to 100
Thu Mar  5 17:25:33 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Thu Mar  5 17:25:33 2015 /sbin/ip link set dev tun0 up mtu 1500
Thu Mar  5 17:25:33 2015 /sbin/ip addr add dev tun0 local 10.10.10.1 peer 10.10.10.2
Thu Mar  5 17:25:33 2015 /sbin/ip route add 10.10.10.0/24 via 10.10.10.2
Thu Mar  5 17:25:33 2015 GID set to nogroup
Thu Mar  5 17:25:33 2015 UID set to nobody
Thu Mar  5 17:25:33 2015 Listening for incoming TCP connection on [undef]
Thu Mar  5 17:25:33 2015 TCPv4_SERVER link local (bound): [undef]
Thu Mar  5 17:25:33 2015 TCPv4_SERVER link remote: [undef]
Thu Mar  5 17:25:33 2015 MULTI: multi_init called, r=256 v=256
Thu Mar  5 17:25:33 2015 IFCONFIG POOL: base=10.10.10.4 size=62, ipv6=0
Thu Mar  5 17:25:33 2015 MULTI: TCP INIT maxclients=1024 maxevents=1028
Thu Mar  5 17:25:33 2015 Initialization Sequence Completed
Ca m'a l'air pas trop mal du tout

Sonnik
05/03/2015, 16h58
Pas de soucis !

Tiens moi au courant quand tu auras pu tester Openvpn sous Ubuntu en VM !

janus57
05/03/2015, 14h07
Bonjour,

C'est à dire le template ISPConfig de OVH ?
on s'en fou de ça c'était juste pour dire que OpenVPN sous Debian fonctionne avec une distribution panel sans le casser.

Cela signifie que je commente cette ligne : #chroot /etc/openvpn/jail ?
Je ne sais pas trop ce que signifie CHROOT, je vais reprendre les cours sur les bases de Linux je pense ..
yep, ou supprimer la ligne.

Le chroot est comme une "prison", OpenVPN sera dedans et ne pourra pas interagir librement avec le reste du système.

Cordialement, janus57

Sonnik
05/03/2015, 13h56
C'est à dire le template ISPConfig de OVH ?
Cela signifie que je commente cette ligne : #chroot /etc/openvpn/jail ?
Je ne sais pas trop ce que signifie CHROOT, je vais reprendre les cours sur les bases de Linux je pense ..

janus57
05/03/2015, 13h54
Bonjour,

Tu penses que sur une Debian je n'aurais pas de soucis ?
de mon côté jamais eu cette erreur et pourtant j'utilise le template ISPConfig de OVH.

En attendant comment puis-je avancer ?
retirer le chroot du fichier de config OpenVPN, donc le VPN ne sera plus chrooté.

Cordialement, janus57

Sonnik
05/03/2015, 13h47
D'accord !

En attendant comment puis-je avancer ?
Tout les droits on l'air correct ?
Tu penses que sur une Debian je n'aurais pas de soucis ?

Encore merci pour tout !

janus57
05/03/2015, 12h52
Citation Envoyé par Sonnik
Tu as pu essayer avec une VM ?
Bonjour,

non je vais tester aujourd'hui, mais avec un ISO officiel Ubuntu 14.04 (donc pas avec les modifs/kernel OVH), je ne ais pas si cela aura un impact ou non, mais je ferais quand même le test par curiosité.

Cordialement, janus57

Sonnik
05/03/2015, 11h20
Bonjour,
Voila ce que donne la commande :

root@ns335099:~# ls -alh /etc/openvpn/
total 56K
drwxr-xr-x 5 root root 4,0K mars 4 19:58 .
drwxr-xr-x 92 root root 4,0K mars 4 21:03 ..
-rw-r--r-- 1 root root 1,8K mars 4 19:12 ca.crt
drwxr-xr-x 2 root root 4,0K mars 4 19:15 confuser
-rw-r--r-- 1 root root 424 mars 4 19:12 dh2048.pem
drwxr-xr-x 3 root root 4,0K mars 4 20:52 easy-rsa
drwxr-xr-x 2 root root 4,0K mars 4 19:15 jail
-rw------- 1 root root 232 mars 5 11:19 openvpn-status.log
-rw-r--r-- 1 root root 525 mars 4 19:31 server.conf
-rw-r--r-- 1 root root 5,6K mars 4 19:12 server.crt
-rw------- 1 root root 1,7K mars 4 19:12 server.key
-rw------- 1 root root 636 mars 4 19:12 sonniksrv.key
-rwxr-xr-x 1 root root 1,3K déc. 1 23:31 update-resolv-conf

Tu as pu essayer avec une VM ?

janus57
04/03/2015, 22h39
Bonjour,

J'utilise Ubuntu car la communauté est assez grande, donc peut être plus de réponse à mes questions, enfin je pense !
Et Debian n'a pas de communauté ???

Ce qui m'affiche : j'ai juste remplacé le FR
Si déjà autant tout mettre en France non ?

D'ailleurs par la même occasion si tu pouvais me l'expliquer stp, le -v et le chown, question de droit j'ai l'impression ?
Code:
man chown
bonne lecture

Que donne la commande :
Code:
ls -alh /etc/openvpn/
Ici ne VPN ne peu pas fonctionner car il aune erreur, il arrive pas a créer la route interne au VPN
Wed Mar 4 19:53:47 2015 /sbin/ip route del 10.10.10.0/24
Wed Mar 4 19:53:47 2015 ERROR: Linux route delete command failed: could not execute external program
EDIT :
Sous Ubuntu c'est le chroot en nobody:nobody qui semble bloquer (surement à cause du sudo ou autre mécanisme non présent sous Debian).
Je vais faire un test en VM local pour voir.

Cordialement, janus57

Sonnik
04/03/2015, 21h07
J'utilise Ubuntu car la communauté est assez grande, donc peut être plus de réponse à mes questions, enfin je pense !

Donc Je vais tout décrire afin de voir ou je peux pêcher !

Code:
 apt-get install openvpn easy-rsa
Code:
cd /etc/openvpn/
Code:
mkdir easy-rsa
Code:
cp /usr/share/easy-rsa/* easy-rsa/
Code:
vim /etc/openvpn/easy-rsa/vars
Ce qui m'affiche : j'ai juste remplacé le FR
Code:
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"


# This variable should point to
# the openssl.cnf file included
# with easy-rsa.
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`

# Edit this variable to point to
# your soon-to-be-created key
# directory.
#
# WARNING: clean-all will do
# a rm -rf on this directory
# so make sure you define
# it correctly!
export KEY_DIR="$EASY_RSA/keys"

# Issue rm -rf warning
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR

# PKCS11 fixes
export PKCS11_MODULE_PATH="dummy"
export PKCS11_PIN="dummy"

# Increase this to 2048 if you
# are paranoid.  This will slow
# down TLS negotiation performance
# as well as the one-time DH parms
# generation process.
export KEY_SIZE=2048

# In how many days should the root CA key expire?
export CA_EXPIRE=3650

# In how many days should certificates expire?
export KEY_EXPIRE=3650

# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="FR"
export KEY_PROVINCE="CA"
export KEY_CITY="SanFrancisco"
export KEY_ORG="Fort-Funston"
export KEY_EMAIL="me@myhost.mydomain"
export KEY_OU="MyOrganizationalUnit"

# X509 Subject Field
export KEY_NAME="EasyRSA"

# PKCS11 Smart Card
# export PKCS11_MODULE_PATH="/usr/lib/changeme.so"
# export PKCS11_PIN=1234

# If you'd like to sign all keys with the same Common Name, uncomment the KEY_CN export below
# You will also need to make sure your OpenVPN server config has the duplicate-cn option set
# export KEY_CN="CommonName"
Code:
cd /etc/openvpn/easy-rsa/
source vars
./clean-all
./build-dh
./pkitool --initca
./pkitool --server server
openvpn --genkey --secret keys/sonniksrv.key
Code:
cd /etc/openvpn/easy-rsa/keys
Code:
cp ca.crt dh2048.pem server.crt server.key sonniksrv.key  /etc/openvpn/
Code:
mkdir /etc/openvpn/jail
mkdir /etc/openvpn/confuser
Code:
cd /etc/openvpn
vim server.conf
Ce qui contient :
Code:
# Server TCP/5678
mode server
proto tcp
port 5678
dev tun
# Certificates and keys
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
tls-auth sonniksrv.key 0
cipher AES-256-CBC
# Network
server 10.10.10.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
# Security
user nobody
group nogroup
chroot /etc/openvpn/jail
persist-key
persist-tun
comp-lzo
# Log
verb 3
mute 20
status openvpn-status.log
log-append /var/log/openvpn/openvpn.log
Création du dossier pour recevoir les logs ! Thk Janus
Code:
mkdir -v /var/log/openvpn && chown -v root:adm /var/log/openvpn
D'ailleurs par la même occasion si tu pouvais me l'expliquer stp, le -v et le chown, question de droit j'ai l'impression ?

Code:
openvpn server.conf
Puis CTRL+C pour arrêter
Puis je vais vérifier mon fichier de log !
Qui affiche :
Code:
Wed Mar  4 20:53:36 2015 OpenVPN 2.3.2 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [eurephia] [MH] [IPv6] built on Dec  1 2014
Wed Mar  4 20:53:37 2015 Diffie-Hellman initialized with 2048 bit key
Wed Mar  4 20:53:37 2015 Control Channel Authentication: using 'sonniksrv.key' as a OpenVPN static key file
Wed Mar  4 20:53:37 2015 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Mar  4 20:53:37 2015 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Mar  4 20:53:37 2015 Socket Buffers: R=[87380->131072] S=[16384->131072]
Wed Mar  4 20:53:37 2015 ROUTE_GATEWAY 5.196.89.254/255.255.255.0 IFACE=eth0 HWADDR=00:22:4d:ab:45:85
Wed Mar  4 20:53:37 2015 TUN/TAP device tun0 opened
Wed Mar  4 20:53:37 2015 TUN/TAP TX queue length set to 100
Wed Mar  4 20:53:37 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Wed Mar  4 20:53:37 2015 /sbin/ip link set dev tun0 up mtu 1500
Wed Mar  4 20:53:37 2015 /sbin/ip addr add dev tun0 local 10.10.10.1 peer 10.10.10.2
Wed Mar  4 20:53:37 2015 /sbin/ip route add 10.10.10.0/24 via 10.10.10.2
Wed Mar  4 19:53:37 2015 chroot to '/etc/openvpn/jail' and cd to '/' succeeded
Wed Mar  4 19:53:37 2015 GID set to nogroup
Wed Mar  4 19:53:37 2015 UID set to nobody
Wed Mar  4 19:53:37 2015 Listening for incoming TCP connection on [undef]
Wed Mar  4 19:53:37 2015 TCPv4_SERVER link local (bound): [undef]
Wed Mar  4 19:53:37 2015 TCPv4_SERVER link remote: [undef]
Wed Mar  4 19:53:37 2015 MULTI: multi_init called, r=256 v=256
Wed Mar  4 19:53:37 2015 IFCONFIG POOL: base=10.10.10.4 size=62, ipv6=0
Wed Mar  4 19:53:37 2015 MULTI: TCP INIT maxclients=1024 maxevents=1028
Wed Mar  4 19:53:37 2015 Initialization Sequence Completed
Wed Mar  4 19:53:47 2015 /sbin/ip route del 10.10.10.0/24
Wed Mar  4 19:53:47 2015 ERROR: Linux route delete command failed: could not execute external program
Wed Mar  4 19:53:47 2015 Closing TUN/TAP interface
Wed Mar  4 19:53:47 2015 /sbin/ip addr del dev tun0 local 10.10.10.1 peer 10.10.10.2
Wed Mar  4 19:53:47 2015 Linux ip addr del failed: could not execute external program
Wed Mar  4 19:53:47 2015 SIGINT[hard,] received, process exiting
Donc à partir de là, j'ai déjà l'impression qu'il y a un soucis..
Je continu quand même !
Code:
/etc/init.d/openvpn start
Qui m'affiche :
Code:
root@ns335099:/etc/openvpn# /etc/init.d/openvpn start
 * Starting virtual private network daemon(s)...                                                     *   Autostarting VPN 'server'
Mais pas de OK, on le vois brièvement puis disparais..
Je vérifie quand même avec la commande :
Code:
 /etc/init.d/openvpn status
Qui m'affiche :
Code:
 * VPN 'server' is running
Code:
vim /etc/sysctl.conf
Ce qui affiche :
Code:
#kernel.printk = 3 4 1 3

##############################################################3
# Functions previously found in netbase
#

# Uncomment the next two lines to enable Spoof protection (reverse-path filter)
# Turn on Source Address Verification in all interfaces to
# prevent some spoofing attacks
#net.ipv4.conf.default.rp_filter=1
#net.ipv4.conf.all.rp_filter=1

# Uncomment the next line to enable TCP/IP SYN cookies
# See http://lwn.net/Articles/277146/
# Note: This may impact IPv6 TCP sessions too
#net.ipv4.tcp_syncookies=1

# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1

# Uncomment the next line to enable packet forwarding for IPv6
#  Enabling this option disables Stateless Address Autoconfiguration
#  based on Router Advertisements for this host
#net.ipv6.conf.all.forwarding=1


###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0
#
# Do not accept IP source route packets (we are not a router)
#net.ipv4.conf.all.accept_source_route = 0
#net.ipv6.conf.all.accept_source_route = 0
#
# Log Martian Packets
#net.ipv4.conf.all.log_martians = 1
#

# Disable IPv6 autoconf
net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.eth0.autoconf = 0
net.ipv6.conf.all.accept_ra = 0
net.ipv6.conf.default.accept_ra = 0
net.ipv6.conf.eth0.accept_ra = 0
Apparemment, la ligne était déjà dé-commenté !
Donc je ne touche rien !
Je recharge quand même sysctl même si je n'est fait aucune modification, par précaution !
Code:
sysctl -p
Et j'ajoute cette commande, que je marque juste, pas dans un fichier ou autre si je ne me trompe !
Code:
iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE
Voila voila, jusqu'ici il me semble y avoir des erreurs, non ?

janus57
04/03/2015, 20h04
Bonjour,

donne les commande et les logs complet dans les balises [code] et si tu as un doute sur ta config tu post le fichier de config.

Sinon question à la con : pourquoi Ubuntu ?

Cordialement, janus57

Sonnik
04/03/2015, 20h03
Salut nowthat !

Merci pour ces précisons, je commence à comprendre maintenant

Par contre j'ai un message d'erreur dans mon log, juste au dessus de ton post, peut tu jeter un coup d’œil ? Merci

nowwhat
04/03/2015, 19h52
Citation Envoyé par Sonnik
....
Par contre maintenant j'ai cette erreur :
root@sonnik:~# openvpn server.conf
Options error: In [CMD-LINE]:1: Error opening configuration file: server.conf
Use --help for more information.
Car tu triche

Regarde bien ton post #8.
root@sonnik:/etc/openvpn# openvpn server.conf
Thu Feb 26 14:50:40 2015 Warning: Error redirecting stdout/stderr to --log file: /var/log/openvpn/openvpn.log: No such file or directory (errno=2)
Options error: --key fails with 'server.key': No such file or directory
Options error: Please correct these errors.
Use --help for more information.
T'as exécuté la même commade, et openvpn pleure que quelque chose dans le fichier server.conf foire.
Ceci est implicite une preuve qu'il trouve ce fichier, server.conf - qu'il la lu, et qu'il trouve des erreurs dedans.

Par ce que : t'as exécute cette commande à partir d’où ?
Justement: ici : root@sonnik:/etc/openvpn#
Et le fichier server.conf se trouve effectivement dans cette répertoire - donc il le trouve.

Or, ici:
root@sonnik:~# openvpn server.conf
Options error: In [CMD-LINE]:1: Error opening configuration file: server.conf
Use --help for more informatio
Tu te trouve dans ton répertoire "home" d'utilsateur , qui est pour le root ...... /root (car ~ pour le root est /root)
Or, dans le répertoire /root (ou tu es à ce moment) il n'y pas de fichier server.conf (il est dans /etc/openvpn/).

openvpn pleure, car il ne trouve pas son server.conf.

T'as du lancer la commande comme suite:
openvpn /etc/openvpn/server.conf


Ça l'air con comme observation, mais le concept : répertoires, chemin des fichiers (relatif et absolut) est extrêmement important.
Exemple: tu te connecte avec SSH en tant que root.
Par défaut, tu sera ici /root
Logique.
Tu souhaite éditer ouvrir un fichier nommé bidule.txt qui est /var/log/
Alors, tu saisi
vi /var/log/bidule.txt
Pas ça
vi bidule.txt
car vi va chercher ce fichier dans /root (là, ou t'es) et vi ne va pas le trouver la => il ouvre un 'rien' (== nouveau fichier)

Piché ?

Sonnik
04/03/2015, 19h25
Bonsoir Janus,

J'ai recommencé le tuto, mais au moment de taper la commande openvpn server.conf (pour générer un log, si j'ai bien compris)
Voila la contenance de mon log :

Wed Mar 4 19:20:52 2015 TUN/TAP device tun0 opened
Wed Mar 4 19:20:52 2015 TUN/TAP TX queue length set to 100
Wed Mar 4 19:20:52 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Wed Mar 4 19:20:52 2015 /sbin/ip link set dev tun0 up mtu 1500
Wed Mar 4 19:20:52 2015 /sbin/ip addr add dev tun0 local 10.10.10.1 peer 10.10.10.2
Wed Mar 4 19:20:52 2015 /sbin/ip route add 10.10.10.0/24 via 10.10.10.2
Wed Mar 4 18:20:52 2015 chroot to '/etc/openvpn/jail' and cd to '/' succeeded
Wed Mar 4 18:20:52 2015 GID set to nogroup
Wed Mar 4 18:20:52 2015 UID set to nobody
Wed Mar 4 18:20:52 2015 Listening for incoming TCP connection on [undef]
Wed Mar 4 18:20:52 2015 TCPv4_SERVER link local (bound): [undef]
Wed Mar 4 18:20:52 2015 TCPv4_SERVER link remote: [undef]
Wed Mar 4 18:20:52 2015 MULTI: multi_init called, r=256 v=256
Wed Mar 4 18:20:52 2015 IFCONFIG POOL: base=10.10.10.4 size=62, ipv6=0
Wed Mar 4 18:20:52 2015 MULTI: TCP INIT maxclients=1024 maxevents=1028
Wed Mar 4 18:20:52 2015 Initialization Sequence Completed
Wed Mar 4 18:21:16 2015 /sbin/ip route del 10.10.10.0/24
Wed Mar 4 18:21:16 2015 ERROR: Linux route delete command failed: could not execute external program
Wed Mar 4 18:21:16 2015 Closing TUN/TAP interface
Wed Mar 4 18:21:16 2015 /sbin/ip addr del dev tun0 local 10.10.10.1 peer 10.10.10.2
Wed Mar 4 18:21:16 2015 Linux ip addr del failed: could not execute external program
Wed Mar 4 18:21:16 2015 SIGINT[hard,] received, process exiting


Quelque chose d'anormal j'imagine ?
Je n'est pas encore finis le tuto, c'est juste a cette étape que cela m'indique ce message dans le log

janus57
03/03/2015, 17h25
Bonjour,

purge easy-rsa + openvpn

Code:
apt-get purge easy-rsa openvpn
on vérifie que /etc/openvpn/ n'existe plus et on réinstalle de nouveau le tout.

Cordialement, janus57

Sonnik
03/03/2015, 16h51
Merci !

J'ai dû faire pas mal de manipulation hasardeuse, comment tout supprimer sans forcement besoin de réinstaller mon serveur ?
Simplement avec la commande sudo apt-get remove openvpn easy-rsa ?

janus57
03/03/2015, 15h59
Bonjour,

chaque client doit avoir son propre dossier dans /etc/openvpn/confuser/

Exemple :
/etc/openvpn/confuser/client1-name/
/etc/openvpn/confuser/client2-name
etc...

Sinon j'ai essayé de me connecter avec mon client, j'entre le mot de passe mais il est impossible de me connecter, le mot de passe doit être mauvais ?
Aucune idée j'utilise pas de mot de passe j'utilise le système de certificat.
Du coup mon log ressemble à ça :
Code:
Tue Mar 03 15:55:41 2015 OpenVPN 2.3.3 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Apr  9 2014
Tue Mar 03 15:55:42 2015 Control Channel Authentication: using 'janus57-ta.key' as a OpenVPN static key file
Tue Mar 03 15:55:42 2015 Attempting to establish TCP connection with [AF_INET]IPv4:8443
Tue Mar 03 15:55:42 2015 TCP connection established with [AF_INET]IPv4:8443
Tue Mar 03 15:55:42 2015 TCPv4_CLIENT link local: [undef]
Tue Mar 03 15:55:42 2015 TCPv4_CLIENT link remote: [AF_INET]IPv4:8443
Tue Mar 03 15:55:44 2015 [VPN] Peer Connection Initiated with [AF_INET]IPv4:8443
Tue Mar 03 15:55:47 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Tue Mar 03 15:55:47 2015 open_tun, tt->ipv6=0
Tue Mar 03 15:55:47 2015 TAP-WIN32 device [OpenVPN] opened: \\.\Global\{AD9384F9-12A8-45ED-9B3B-D31704B22ED6}.tap
Tue Mar 03 15:55:47 2015 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.10.10.6/255.255.255.252 on interface {AD9384F9-12A8-45ED-9B3B-D31704B22ED6} [DHCP-serv: 10.10.10.5, lease-time: 31536000]
Tue Mar 03 15:55:47 2015 Successful ARP Flush on interface [17] {AD9384F9-12A8-45ED-9B3B-D31704B22ED6}
Tue Mar 03 15:55:57 2015 Initialization Sequence Completed
Et voilà ma config :
Code:
# User
client
dev tun
proto tcp
remote IPv4_OR_Domain 8443
resolv-retry infinite
cipher AES-256-CBC
# Certificates and keys
ca ca-janus57.crt
cert client1.crt
key client1.key
tls-auth janus57-ta.key 1
# Security
nobind
ns-cert-type server
persist-key
persist-tun
comp-lzo
verb 1
#except
route 146.66.152.0 255.255.248.0 net_gateway
route 208.64.200.0 255.255.252.0 net_gateway
Cordialement, janus57

Sonnik
03/03/2015, 15h05
Bonjour Janus !

Donc voila j'ai bien avancé mais j'aurais quelques questions :

A chaque fois que je veux créer un VPN pou un client, par exemple, je génère les certificats dans le dossier confuser ?

Sinon j'ai essayé de me connecter avec mon client, j'entre le mot de passe mais il est impossible de me connecter, le mot de passe doit être mauvais ?
Voila ce que contiens le fichier de LOG :

Tue Mar 03 15:01:51 2015 OpenVPN 2.3.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Dec 1 2014
Tue Mar 03 15:01:51 2015 library versions: OpenSSL 1.0.1j 15 Oct 2014, LZO 2.08
Enter Management Password:
Tue Mar 03 15:01:51 2015 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Tue Mar 03 15:01:51 2015 Need hold release from management interface, waiting...
Tue Mar 03 15:01:52 2015 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Tue Mar 03 15:01:52 2015 MANAGEMENT: CMD 'state on'
Tue Mar 03 15:01:52 2015 MANAGEMENT: CMD 'log all on'
Tue Mar 03 15:01:52 2015 MANAGEMENT: CMD 'hold off'
Tue Mar 03 15:01:52 2015 MANAGEMENT: CMD 'hold release'
Tue Mar 03 15:01:52 2015 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Tue Mar 03 15:02:01 2015 MANAGEMENT: CMD 'password [...]'
Tue Mar 03 15:02:01 2015 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Tue Mar 03 15:02:01 2015 SIGUSR1[soft,private-key-password-failure] received, process restarting
Tue Mar 03 15:02:01 2015 MANAGEMENT: >STATE:1425391321,RECONNECTING,private-key-password-failure,,
Tue Mar 03 15:02:01 2015 Restart pause, 5 second(s)
Tue Mar 03 15:02:01 2015 MANAGEMENT: CMD 'auth-retry none'
Tue Mar 03 15:02:06 2015 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Tue Mar 03 15:02:10 2015 MANAGEMENT: CMD 'password [...]'
Tue Mar 03 15:02:10 2015 Control Channel Authentication: using 'sonnik.key' as a free-form passphrase file
Tue Mar 03 15:02:10 2015 MANAGEMENT: Client disconnected
Tue Mar 03 15:02:10 2015 Key file 'sonnik.key' used in --tls-auth contains insufficient key material [keys found=1 required=2] -- try generating a new key file with 'openvpn --genkey --secret [file]', or use the existing key file in bidirectional mode by specifying --tls-auth without a key direction parameter
Tue Mar 03 15:02:10 2015 Exiting due to fatal error

Merci de ton soutiens !

janus57
26/02/2015, 18h25
Bonjour,

root@sonnik:~# openvpn server.conf
En se plaçant dans le dossier de OpenVPN cela risque de mieux fonctionner (sans oublier d'y placer le fichier de config bien sûre).

Cordialement, janus57

Sonnik
26/02/2015, 18h06
Bonjour Janus, je te remercie pour ta réponse !

Par contre maintenant j'ai cette erreur :

root@sonnik:~# openvpn server.conf
Options error: In [CMD-LINE]:1: Error opening configuration file: server.conf
Use --help for more information.

janus57
26/02/2015, 16h41
Bonjour,

--> ce dossier est inexistant dans /var/log/openvpn donc pas de fichier openvpn.log
normale il suffit juste de le créer.

Et comme je suis très gentil je donne même la commande :
Code:
mkdir -v /var/log/openvpn && chown -v root:adm /var/log/openvpn
Cordialement, janus57

Sonnik
26/02/2015, 14h54
Bonjour,

Je me suis donc basé sur ce tuto : cachem.fr/kimsufi-installer-openvpn-10-minutes/

Par contre je bloque au moment du lancement de la configuration,
J'ai suivis le tuto pas à pas en m'adaptant cette fois ci.

Par contre à l'étape pour tester notre configuration je rencontre une erreur :

Je tape la commande openvpn server.conf
Et voila l'erreur indiqué :

root@sonnik:/etc/openvpn# openvpn server.conf
Thu Feb 26 14:50:40 2015 Warning: Error redirecting stdout/stderr to --log file: /var/log/openvpn/openvpn.log: No such file or directory (errno=2)
Options error: --key fails with 'server.key': No such file or directory
Options error: Please correct these errors.
Use --help for more information.


--> ce dossier est inexistant dans /var/log/openvpn donc pas de fichier openvpn.log

Et voila la contenance de mon fichier de configuration :

# Server TCP/5678
mode server
proto tcp
port 5678
dev tun
# Certificates and keys
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
tls-auth sonnik.key 0
cipher AES-256-CBC
# Network
server 10.10.10.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
# Security
user nobody
group nogroup
chroot /etc/openvpn/jail
persist-key
persist-tun
comp-lzo
# Log
verb 3
mute 20
status openvpn-status.log
log-append /var/log/openvpn/openvpn.log



Quelqu'un peut m'aider ?

Merci, !

janus57
23/02/2015, 23h19
Bonjour,

sa sert à rien de faire du copier/coller de vos post, cela ne sert à rien de downgrade de version Ubuntu, il faut juste suivre soit l'un soit l'autre des tuto mais pas les 2 car il utilise pas vraiment les mêmes logiciels.

Perso j'ai suivie le premier tuto (celui sans interface et sans limitation), j'ai juste adapter le tuto à mon OS (Debian Wheezy donc 7 à la place de Debian Squeeze donc 6), j'ai aussi modifié le port et le protocol pour que OpenVPN écoute sur un port alternatif de HTTPS (pour contourner un proxy d'école qui ne filtrer pas les flux HTTPS ou du moins cryptés).

Cela fonctionne du feu de Dieu du moment qu'on oublie pas la règle IPTables pour que le trafic VPN sort sur internet.

Donc faut suivre soit l'un soit l'autre des tuto mais pas les 2 en parallèle et faut savoir que le tuto 1 n'a pas de limitation comme le 2.

Cordialement, janus57

Sonnik
23/02/2015, 22h56
Citation Envoyé par janus57
Bonjour,


Si il bloque une plage d'ip que que votre serveur en fait parti, non impossible à par les contacter directement.


je rappel que le premier tuto a été fait sous Debian 6 (et compatible Debian 7 car je l'ai aussi réalisé avec succès) et que vous vous êtes en Ubuntu surement 14.04, donc il faut adapter les chemin et pas faire du bête copier/coller.

Je n'est pas de Ubuntu sous la main donc je ne pourrais pas dire c'est quoi les bon chemin, mais il ne doivent pas êtres loin de ceux de Debian.

EDIT :
Pour Ubuntu 14.04 il faut installer les packages "openvpn" et "easy-rsa"
Code:
apt-get install openvpn easy-rsa
"openvpn" fait parti du dépôt "trusty-updates" et "easy-rsa" de "universe"
Donc la commande sera surement :
Code:
cp /usr/share/easy-rsa/* easy-rsa/
Un tuto est comme un guide et non quelque chose que l'on doit suivre de manière aveugle, de plus il faut l'adapter à son OS, même si celui-ci est un dérivé de l'os présent dans le tuto.

Cordialement, janus57
Bonjour janus !

Je te remercie pour ces informations, j'essayerais de nouveau a essayer ces manipulations en m'adaptant cette fois-ci !

Pour ce qui est du deuxième tuto, j'ai téléchargé le bon paquet pour un Ubuntu 64 Bits mais toujours dans l'impossibilité d'accéder à l'interface graphique, peut être que d'installer une Version Ubuntu antérieure pourrais résoudre le problème mais si je peux rester sur la dernière version ce serais pas si mal..
Chez vous cela fonctionne, pouvez vous essayer la manipulation ?

Cordialement,

Sonny

EDIT : Le port 943 dois être ouvert? Si oui comment?

root@ns335099:~# sudo netstat -lp --inet
Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name
tcp 0 0 ns335099.ip-5-196-8:914 *:* LISTEN 30435/openvpn-opens
tcp 0 0 ns335099.ip-5-196-8:915 *:* LISTEN 30466/openvpn-opens
tcp 0 0 ns335099.ip-5-196-8:916 *:* LISTEN 30495/openvpn-opens
tcp 0 0 ns335099.ip-5-196-8:917 *:* LISTEN 30525/openvpn-opens
tcp 0 0 localhost.locald:domain *:* LISTEN 9998/named
tcp 0 0 *:ssh *:* LISTEN 3920/sshd
tcp 0 0 localhost.localdoma:953 *:* LISTEN 9998/named
udp 0 0 localhost.locald:domain *:* 9998/named
udp 0 0 ns335099.ip-5-196-8:918 *:* 30554/openvpn-opens
udp 0 0 ns335099.ip-5-196-8:919 *:* 30582/openvpn-opens
udp 0 0 ns335099.ip-5-196-8:920 *:* 30610/openvpn-opens
udp 0 0 ns335099.ip-5-196-8:921 *:* 30638/openvpn-opens


Je viens de rechercher un peut et si je ne me trompe OPENVPN utilise les port 1194 UDP et 1194 TCP, faut t'il ajouter des régles au pare feu de Windows ? J'utilise Windows 7
Eventuellement le pare feu de ma box? Je suis chez Orange

janus57
23/02/2015, 15h38
Bonjour,

Bonjour nicolaine, merci pour ta réponse, donc pas possible de remédier à ce problème mis à part désactiver le VPN pour accéder à certain site ?
Si il bloque une plage d'ip que que votre serveur en fait parti, non impossible à par les contacter directement.

Donc pour le premier tuto j'ai essayé mais à partir de la ligne :
cp /usr/share/doc/openvpn/examples/easy-rsa/2.0/* easy-rsa/ le 2.0 n'existe pas, vu que les version OPENVPN on changer, quelques changements ce font au niveau des tuto, assez complexe ... J'étais parvenu à avancer mal grès tout en m'adaptant mais je réessayerais une tentative !
je rappel que le premier tuto a été fait sous Debian 6 (et compatible Debian 7 car je l'ai aussi réalisé avec succès) et que vous vous êtes en Ubuntu surement 14.04, donc il faut adapter les chemin et pas faire du bête copier/coller.

Je n'est pas de Ubuntu sous la main donc je ne pourrais pas dire c'est quoi les bon chemin, mais il ne doivent pas êtres loin de ceux de Debian.

EDIT :
Pour Ubuntu 14.04 il faut installer les packages "openvpn" et "easy-rsa"
Code:
apt-get install openvpn easy-rsa
"openvpn" fait parti du dépôt "trusty-updates" et "easy-rsa" de "universe"
Donc la commande sera surement :
Code:
cp /usr/share/easy-rsa/* easy-rsa/
Un tuto est comme un guide et non quelque chose que l'on doit suivre de manière aveugle, de plus il faut l'adapter à son OS, même si celui-ci est un dérivé de l'os présent dans le tuto.

Cordialement, janus57

Sonnik
23/02/2015, 15h13
Citation Envoyé par nicobilaine
Il est possible que certains sites bloquent les adresses IP venant d'hebergeurs et non pas de FAI (le meilleur exemple est leboncoin). Par contre, vous seul avez la réponse concernant le pare-feu installé.

P.S. : évitez le multi post.
Bonjour nicolaine, merci pour ta réponse, donc pas possible de remédier à ce problème mis à part désactiver le VPN pour accéder à certain site ?
Désolé pour le multi post..

Bonjour BBR,

Donc pour le premier tuto j'ai essayé mais à partir de la ligne :
cp /usr/share/doc/openvpn/examples/easy-rsa/2.0/* easy-rsa/ le 2.0 n'existe pas, vu que les version OPENVPN on changer, quelques changements ce font au niveau des tuto, assez complexe ... J'étais parvenu à avancer mal grès tout en m'adaptant mais je réessayerais une tentative !

Pour ce qui est du deuxième tuto, j'ai téléchargé le bon paquet pour un Ubuntu 64 Bits mais toujours dans l'impossibilité d'accéder à l'interface graphique, peut être que d'installer une Version Ubuntu antérieure pourrais résoudre le problème mais si je peux rester sur la dernière version ce serais pas si mal..
Chez vous cela fonctionne, pouvez vous essayer la manipulation ?

Cordialement,

Sonny

EDIT : Le port 943 dois être ouvert? Si oui comment?

root@ns335099:~# sudo netstat -lp --inet
Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name
tcp 0 0 ns335099.ip-5-196-8:914 *:* LISTEN 30435/openvpn-opens
tcp 0 0 ns335099.ip-5-196-8:915 *:* LISTEN 30466/openvpn-opens
tcp 0 0 ns335099.ip-5-196-8:916 *:* LISTEN 30495/openvpn-opens
tcp 0 0 ns335099.ip-5-196-8:917 *:* LISTEN 30525/openvpn-opens
tcp 0 0 localhost.locald:domain *:* LISTEN 9998/named
tcp 0 0 *:ssh *:* LISTEN 3920/sshd
tcp 0 0 localhost.localdoma:953 *:* LISTEN 9998/named
udp 0 0 localhost.locald:domain *:* 9998/named
udp 0 0 ns335099.ip-5-196-8:918 *:* 30554/openvpn-opens
udp 0 0 ns335099.ip-5-196-8:919 *:* 30582/openvpn-opens
udp 0 0 ns335099.ip-5-196-8:920 *:* 30610/openvpn-opens
udp 0 0 ns335099.ip-5-196-8:921 *:* 30638/openvpn-opens


Je viens de rechercher un peut et si je ne me trompe OPENVPN utilise les port 1194 UDP et 1194 TCP, faut t'il ajouter des régles au pare feu de Windows ? J'utilise Windows 7
Eventuellement le pare feu de ma box? Je suis chez Orange

Sonnik
23/02/2015, 15h12
Citation Envoyé par nicobilaine
Il est possible que certains sites bloquent les adresses IP venant d'hebergeurs et non pas de FAI (le meilleur exemple est leboncoin). Par contre, vous seul avez la réponse concernant le pare-feu installé.

P.S. : évitez le multi post.
Bonjour nicolaine, merci pour ta réponse, donc pas possible de remédier à ce problème mis à part désactiver le VPN pour accéder à certain site ?
Désolé pour le multi post..

Bonjour BBR,

Donc pour le premier tuto j'ai essayé mais à partir de la ligne :
cp /usr/share/doc/openvpn/examples/easy-rsa/2.0/* easy-rsa/ le 2.0 n'existe pas, vu que les version OPENVPN on changer, quelques changements ce font au niveau des tuto, assez complexe ... J'étais parvenu à avancer mal grès tout en m'adaptant mais je réessayerais une tentative !

Pour ce qui est du deuxième tuto, j'ai téléchargé le bon paquet pour un Ubuntu 64 Bits mais toujours dans l'impossibilité d'accéder à l'interface graphique, peut être que d'installer une Version Ubuntu antérieure pourrais résoudre le problème mais si je peux rester sur la dernière version ce serais pas si mal..
Chez vous cela fonctionne, pouvez vous essayer la manipulation ?

Cordialement,

Sonny

BBR
23/02/2015, 10h54
en tutos : http://www.cachem.fr/kimsufi-install...pn-10-minutes/
ou celui là : http://www.how-to.ovh/viewtopic.php?f=17&t=34

nicobilaine
23/02/2015, 10h01
Il est possible que certains sites bloquent les adresses IP venant d'hebergeurs et non pas de FAI (le meilleur exemple est leboncoin). Par contre, vous seul avez la réponse concernant le pare-feu installé.

P.S. : évitez le multi post.

Sonnik
22/02/2015, 19h36
Bonjour ! Voila les d'explications sur ma démarche :

J'ai téléchargé et installer la dernière version d'OPENVPN puis lancé l'installation :
sudo dpkg -i openvpn-as-2.0.10-Ubuntu14.amd_64.deb

Mis un password :
sudo passwd openvpn

Puis quand j'essaye d'accéder à l'interface, celle ci ne fonctionne pas :
https://x.x.x.x:943/admin

Je tiens à préciser que le serveur est un KS2/KIMSUFI/4GO/1TO/100mbs.

Voila mes questions :

Y a t'il le port 943 à ouvrir ?
Y a t'il un firewall d'installer de base ?

J'ai essayé plusieurs Tuto sans résultats, sauf un : openology.net/installer-un-serveur-vpn-pptp-sur-ubuntu-server/
Tout est bien fonctionnel sauf pour quelques sites don les sites pour tester les bande passante genre speedtest, et ca peut être con mais je n'est pas accès a meteofrance.com, de quoi cela est t'il possible ? DNS ?

En espérant quelques réponses afin de me faire avancer sur tout ca, rester toute la journée devant un pc ca fatigue