Openvpn Sous Windows

Rseau priv virtuel sous Windows - OpenVPN - Tutoriels. - Tutoriels - Rseaux gran...
Page 1 of 18
Forum
HardWare.fr
| News | Articles | S'identifier | S'inscrire | Aide
Recherche :
3308 connects
FORUM HardWare.fr Rseaux grand public / SoHo Tutoriels Rseau priv virtuel sous Windows - OpenVPN - Tutoriels.
Mot :
Pseudo :
Filtrer
Rechercher
Aller la page :
Go
Bas de page Page Prcdente Page Suivante
Page : 1 2 3 4 5 .. 25 26 27 28 29 30 Auteur
Sujet : Rseau priv virtuel sous Windows - OpenVPN - Tutoriels. Post le 20-03-2006 21:01:54
Master_Jul
Mise en place dun rseau priv virtuel (VPN) sous Windows avec OpenVPN Dernire mise jour : 27 mars 2006, 11h45. -> Le tuto 5 mns chrono est disponible sur le 3e post de cette page. -> Je vais faire une version 5 mns chrono du tuto. Un tuto "j'ai besoin que a marche et pas de savoir comment a marche", avec une faille "acceptable" dans la procdure, des fichiers format Windows pr-remplis tlcharger. Pour une utilisation personnelle entre amis, particulirement si vous souhaitez jouer en rseau, a sera parfait. Introduction :
Je propose ce tutoriel car je pense quil pourra intresser de nombreuses personnes, aussi bien pour des besoins privs que professionnels. Il se base sur la documentation officielle, diffrents tutoriels et informations sur Internet (voir Remerciements). Lintrt de ce tutoriel est quil est entirement ddi un environnement Windows et quil recoupe de manire la plus pertinente possible linformation de diffrentes documentations. La scurit a t volontairement mise en avant et vous aurez toutes les cls en main (sans trop de jeu de mots) pour faire un VPN digne de ce nom. Ce tutoriel sera amen voluer avec dventuelles corrections, ajouts dinformations, aides lanalyse et la rparation des erreurs. Jenvisage galement un appendice pour lenvironnement Linux. Problmatique : Mon problme premier tait de faire jouer en rseau avec des amis sans dpendre dun serveur Internet (BattleNet par exemple), en rseau local mais distance donc. Do lide de raliser un rseau virtuel priv (VPN) entre nous. En sus de pouvoir jouer facilement, nous pourrions partager nos ressources sur un rseau entirement scuris. Hamachi : Jai donc fait quelques recherches sur Internet. Le premier outil que jai trouv se nomme Hamachi ( www.hamachi.cc ). Cest un programme gratuit mais ferm. Linstallation est simple et rapide, ne ncessite pas que lun des participant au rseau (aussi appel groupe ) soit le serveur, cest un serveur Hamachi qui sen charge. Pour lavoir test, je peux affirmer que cela marche trs bien et dailleurs je vous invite vivement
http://forum.hardware.fr/hfr/reseauxpersosoho/Tutoriels/windows-openvpn-tutoriels-s... 10/11/2008
Rseau priv virtuel sous Windows - OpenVPN - Tutoriels. - Tutoriels - Rseaux gran... Page 2 of 18
vous tourner vers cette solution si vous recherchez une solution rapide et simple. En contrepartie, vous tes dpendant dun serveur dune entreprise extrieure qui vous impose biensr ses limitations. Par exemple, un membre peut participer 64 groupes (sa participation en tant que crateur compte) et chaque groupe est limit 16 comptes. Je prfre utiliser le terme de compte car il est frquent quune personne ait un compte par ordinateur. Ds lors, on atteint vite cette limite. A lheure o jcris ces lignes, cette limitation est cense voluer hors de la phase beta du programme mais ce ne sont que des rumeurs. En outre, vous tes invits souscrire un compte premium ( http://premium.hamachi.cc/compare.php ) pour faire voluer, de manire trop restreinte mon got (impossible de proposer un groupe de taille plus importante, il faut que tous les comptes voluent en premium ), son compte. Cette volution nest pas obligatoire, mais notez bien quil faut payer par compte et non par utilisateur. Voil, cest tout pour Hamachi !
Dautres pistes : Il y a dautres solutions payantes comme Wingate VPN : http://www.quaternet.fr/wingate_vpn/wingate_vpn.asp Je ne lai pas test personnellement. Enfin, il y a la solution intgre Windows XP avec un tutoriel ici : http://www.commentcamarche.net/pratique/vpn-xp.php3 Elle est indique comme suffisante pour des rseaux de petite taille. Peu configurable, lidentification se fait avec des comptes utilisateur. Peu dinformations sur la scurit.
Message dit par Master_Jul le 03-04-2007 16:37:40
Google
Post le 20-03-2006 21:01:54
Windows Server 2008 Nouveau: Windows Server 2008 Essayez gratuitement !

www.microsoft.com/windowsserver08
ActiGIS Spatial webSIG Serveur cartographique multiclients web : SVG & Flash & MapServer
www.netagis.com
Server Profitez d'offres spciales sur nos systmes quips Intel Core2 Duo
www.Dell.com/fr
Post le 20-03-2006 21:02:11
Master_Jul
OpenVPN : Mais l solution que je vous propose est base sur OpenVPN ( http://openvpn.net/ ) et parce qu'on ne peut pas mieux se prsenter que soit mme :
Citation :
OpenVPN is a full-featured SSL VPN solution which can accomodate a wide range of configurations, including remote access, site-to-site VPNs, WiFi security, and enterprise-scale remote access solutions with load balancing, failover, and fine-grained access-controls. OpenVPN implements OSI layer 2 or 3 secure network extension using the industry standard SSL/TLS protocol, supports flexible client authentication methods based on certificates, smart cards, and/or 2factor authentication, and allows user or group-specific access control policies using firewall rules applied to the VPN virtual interface. OpenVPN is not a web application proxy and does not operate through a web browser.
OpenVPN est donc une solution de rseau priv virtuel qui utilise SSL (couche de cryptage). Cette solution est ouverte, multi-plateforme, libre et gratuite (ce qui ne vous empche pas de faire une donation aux tres humains qui travaillent sur ce projet). Elle est trs configurable et parfaitement utilisable dans un environnement d'entreprise. Elle propose pour ces dernires des fonctions avances comme la rpartition de charge et la redondance. Mon but est donc d'expliquer le plus simplement possible comme mettre en place ce type rseau et accessoirement vous expliquer comment a marche car c'est quand mme intressant. Vous vous dites que a commence mal pour la rapidit de dploiement vu tout ce qui prcde mais ne vous inquitez pas, nous y venons%u2026 Pour rendre les choses un poil plus convivial, nous allons utiliser OpenVPN GUI ( http://openvpn.se/ ).
Tlchargeons le package d'installation. Pour le moment, en version stable, il s'agit de la version 1.0.3 base sur OpenVPN 2.0.5. Il n'y a pas de pr-requis particulier avoir. Lancez l'installation en gardant les options par dfaut. Lorsque l'on va vous demander d'installation un nouveau composant sur le systme, faites continuer . Il s'agit d'une nouvelle interface rseau virtuelle. C'est une particularit de Windows. VMWare utilise le mme mcanisme.
Une fois l'installation termine, on ne commence pas par s'exciter sur la nouvelle icne dans la barre des tches en pestant que rien ne marche. Il va falloir mettre les mains dans le cambouis. Commenons par configurer un serveur OpenVPN. Rendez-vous dans : C:\Program Files\OpenVPN /bin contient les excutables du programme /config contiendra la configuration, les cls et certificats /driver contient le pilote pour l'interface rseau virtuelle /easy-rsa est une boite outils pour gnrer cls et certificats /log accueillera vos redouts messages d'erreur (entre autre) /sample-config propose des configurations pr-remplies
Les prsentations sont faites. La procdure que je vais vous dcrire suit en grande partie le how-to propos sur le site officiel. Lancez une console (Dmarrer / Excuter / cmd.exe). Vous commencez paniquer ? Retournez au dbut et passez par la case Hamachi sans toucher aux joies du libre. Il est obligatoire d'utiliser une console pour garder les variables, ne doublez cliquez donc jamais sur les icnes des fichiers batch. Dplacez-vous coup(s) de commande cd dans C:\Program Files\OpenVPN\easy-rsa Pour plus de clart, les commandes taper seront simplement prcdes de > dans la suite de ce tutoriel. Allons-y : > init-config Pour prparer le terrain et remettre les pendules l'heure si vous vous tes prcdemment mlang les pinceaux. Il vous faut maintenant diter le fichier vars.bat qui se trouve dans /easy-rsa. Il est possible que vous ayez quelques problmes pour modifier ces fichiers cause des retours ligne qui ne sont pas faits de la mme faon sur Linux et Windows (tout va apparatre en ligne, les lments tant spars par des rectangles). Il vous faut donc un diteur de texte un peu plus costaud que le bloc-notes. Personnellement j'utilise gVim mais c'est un peu extrmiste et vous risquez de le har rapidement si vous ne le connaissez pas. Je vous invite trouver votre prfrence en cherchant et testant quelques diteurs sur Internet. Voil les champs qui nous intressent : set KEY_SIZE=1024 La documentation officielle propose aux paranoaques d'augmenter le chiffrement de la cl 2048. En contrepartie, les performances seront moins bonnes. J'ai laiss cette option 1024. Les champs qui suivent vous permettront simplement de gagner du temps par la suite dans la cration de vos certificats, ne laissez aucun champs vide. Pour les non anglophones, je traduis rapidement : COUNTRY : sigle du pays PROVINCE : tat pour les Etats-Unis, vous pouvez mettre les deux premires lettres de votre rgion CITY : la ville ORG : Le nom de l'organisation ou entreprise set set set set set KEY_COUNTRY=FR KEY_PROVINCE=LO KEY_CITY=Nancy KEY_ORG=MasterJul.net KEY_EMAIL=example@masterjul.net
N'oubliez pas d'enregistrer%u2026 Continuons dans les commandes : > vars Pour initialiser les variables que l'on vient de dfinir. > clean-all Nettoie toutes les anciennes cls gnres dans /keys et prpare une nouvelle base de certificats.
Gnration du certificat root et de sa cl pour le rseau : > build-ca Pour gnrer votre certificat d'autorit. Rflchissez un common name qui sera le nom de votre rseau virtuel. Cela peut tre le nom de l'entreprise par exemple prcde de OpenVPN par exemple. Voyons en dtail ce qu'il se passe : C:\Program Files\OpenVPN\easy-rsa>build-ca.bat Loading 'screen' into random state - done Generating a 1024 bit RSA private key .......++++++ ....................................................++++++ writing new private key to 'keys\ca.key' ----You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----Country Name (2 letter code) [FR]: State or Province Name (full name) [LO]: Locality Name (eg, city) [Nancy]: Organization Name (eg, company) [MasterJul.net]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []:OpenVPN-MJ.net Email Address [example@masterjul.net]: C:\Program Files\OpenVPN\easy-rsa>
Rsultat de tout cela, la cration de deux importants fichier dans /easy-rsa/keys : ca.crt : Le certificat d'authentification root. Il peut tre diffus sans scurit particulire. Vous devrez d'ailleurs communiquer ce certificat vos clients. ca.key : La cl de ce certificat, sans doute le fichier le plus important. Il permet de signer les certificats des clients. garder dans un coffre-fort, il n'est pas ncessaire au fonctionnement du serveur. Il ne doit donc videmment pas circuler sur une liaison non scurise. Gnration du certificat et de la cl pour le serveur : C'est simple, en une commande : > build-key-server server N'oubliez pas de prciser l'argument sinon vous risquez d'avoir quelques surprises dans les noms de fichiers gnrs. la diffrence du certificat root, le common name doit ici tre server . Je vous propose nouveau un compte-rendu complet pour viter les erreurs : C:\Program Files\OpenVPN\easy-rsa>build-key-server server Loading 'screen' into random state - done Generating a 1024 bit RSA private key .............++++++ ..++++++ writing new private key to 'keys\server.key' ----You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----Country Name (2 letter code) [FR]: State or Province Name (full name) [LO]: Locality Name (eg, city) [Nancy]: Organization Name (eg, company) [MasterJul.net]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []:server Email Address [example@masterjul.net]: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: Using configuration from openssl.cnf Loading 'screen' into random state - done DEBUG[load_index]: unique_subject = "yes"
Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows countryName :PRINTABLE:'FR' stateOrProvinceName :PRINTABLE:'LO' localityName :PRINTABLE:'Nancy' organizationName :PRINTABLE:'MasterJul.net' commonName :PRINTABLE:'server' emailAddress :IA5STRING:'example@masterjul.net' Certificate is to be certified until Mar 17 17:11:19 2016 GMT (3650 days) Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated C:\Program Files\OpenVPN\easy-rsa>
Il faut donc rpondre y aux deux questions poses pour signer le certificat et l'ajouter la base. Nous avons trois nouveaux fichiers : server.crt : Le certificat du serveur. server.key : Sa cl, confidentielle. server.csr : Une demande de signature de certificat, inutile puis que l'on vient de le signer.
Gnration du certificat et de la cl pour les clients : Il y a deux mthodes : Gnration locale des cls : on gnre les cls sur le serveur et on lui envoie par un moyen scuris. Et j'insiste bien sur ce point. On ne doit jamais faire transiter les cls sur un rseau non scuris Gnration de la cl et d'une demande de certificat sign :
C'est le client qui gnre lui-mme sa cl avec le certificat root ( ca.crt qu'on lui aura envoy au pralable sans scurit particulire). Il a galement un fichier .csr qu'il peut envoyer sans crainte au serveur. Ce dernier va pouvoir gnrer un certificat sign en utilisant son certificat et sa cl root. Ds lors, le serveur donne au client son certificat client1.crt . C'est la mthodologie logique de ce type d'authentification qui apporte la scurit ncessaire.
Je dveloppe chaque mthode. Vous comprendrez mieux pourquoi certaines personnes se contentent de la premire au dpend d'une faille de scurit dans la procdure (envoi de la cl par un simple e-mail par exemple). Prambule : Notez bien que le common name doit tre unique pour chaque client. Vous entrerez donc pour chaque couple cl / certificat gnr ici successivement client1 , client2 , client3 . Il existe une directive permettant plusieurs clients de partager un mme certificat mais c'est une pratique vivement dconseille. Actuellement si un client tente de se connecter avec un certificat dj en cours d'utilisation, la premire connexion est perdue. Gnration locale des cls : Nous sommes toujours dans C:\Program Files\OpenVPN\easy-rsa > build-key client1 > build-key client2 > build-key client3
C'est tout ce qu'il y a faire. Je reviendrai aprs la seconde mthode sur ce que l'on doit faire des fichiers gnrs. Gnration de la cl et d'une demande de certificat sign : Pr-requis : Vous avez install un OpenVPN GUI sur votre machine client. Pour le moment rien ne distingue encore vraiment le client du serveur. Ouvrez une console et tapez : > init-config Editez le fichier vars.bat comme pour le serveur, puis continuez : > vars > clean-all Ok, on passe aux choses srieuses, copiez le certificat root gnr par le serveur ca.crt (et surtout pas le confidentiel ca.key ) dans /easy-rsa/keys. Dans un souci de paranoa lev et pour viter une attaque de type homme dans le milieu , vous devriez vrifier que le client a bien reu (si vous l'avez envoy par une connexion non scurise) le bon certificat root en le contactant par tlphone et en vrifiant ensemble un md5sum du fichier. Pour une raison que j'ignore, il n'y pas autant de scripts batch pour Windows que de scripts Unix et il nous manque donc deux scripts que je vous propose de refaire en batch. /build-req.bat : Il permet de gnrer le fichier .csr ncessaire la demande du certificat. @echo off cd %HOME% rem build a request for a cert that will be valid for ten years openssl req -days 3650 -nodes -new -keyout %KEY_DIR%\%1.key -out %KEY_DIR%\%1.csr config %KEY_CONFIG% rem delete any .old files created in this process, to avoid future file creation errors del /q %KEY_DIR%\*.old
Vous copiez tout cela dans votre diteur prfr (vitez Word tout de mme, a marchera moins bien%u2026) et vous enregistrez le tout sous build-req.bat C'est en fait une version coupe de build-key . Vous pouvez ventuellement utiliser build-key client1 pour gnrer la demande, elle sera cre correctement mais vous aurez une erreur car le client ne pourra pas signer directement son certificat (ce que tente de faire build-key ). N'oubliez pas de donner un argument au programme et de spcifier son common name unique. En pratique, cela peut tre le nom de l'ordinateur. Vous voil donc muni d'un nouveau fichier, client1.csr . Transmettez-le de la faon que vous souhaitez au serveur afin qu'il puisse gnrer votre certificat. Sur le serveur, il nous manque le script pour gnrer le certificat sign, sign-req.bat . C'est en fait la seconde partie du script build-key.bat : @echo off cd %HOME% rem sign the cert request with our ca, creating a cert/key pair openssl ca -days 3650 -out %KEY_DIR%\%1.crt -in %KEY_DIR%\%1.csr -config %KEY_CONFIG% rem delete any .old files created in this process, to avoid future file creation errors del /q %KEY_DIR%\*.old
Vous l'enregistrez sous sign-req.bat dans /easy-rsa. Le fichier client1.csr doit tre copi dans /easyrsa/keys. Vous devez, pour signer un certificat, avoir le certificat root ( ca.crt ) et sa cl ( ca.key ) dans le mme rpertoire que la demande de signature. Appelez depuis une console avec les variables initialises correctement ( vars.bat ) : > sign-req client1 Vous retrouvez un fichier client1.crt que vous pouvez communiquer sans crainte au client. C'est fini ! Note concernant la protection des certificats des clients : Il est possible d'assigner un mot de passe aux certificats des clients. Il suffit pour cela d'enlever le paramtres nodes dans le fichier build-key.bat et le mot de passe vous sera demand la cration. Mme si cela renforce toujours plus la scurit, cette mesure risque de devenir rapidement contraignante vous obligeant rentrer le mot de passe chaque utilisation du certificat. Il serait bon de faire un petit rsum avec tous ces fichiers%u2026
Nom Description Confidentiel Emplacement ca.crt Certificat root Non /config de toutes les machines ca.key Cl du certificat root Oui Coffre-fort server.crt Certificat du serveur Non /config du server server.key Cl du certificat du serveur Oui /config du server client1.csr Demande de signature Non Peut tre dtruit client1.crt Certificat du client Non /config du client client1.key Cl du certificat du client Oui /config du client
Vrifiez donc que tout est dj au bon endroit. On continue et termine de s'amuser avec les scripts pour le serveur. Nous devons maintenant gnrer les paramtres Diffie Hellman ( http://www.rsasecurity.com/rsalabs/node.asp?id=2248 ) pour le serveur : > build-dh Cette opration consiste dans la gnration dans grand nombre premier. Pour ajouter de l'entropie au processus vous pouvez agiter le pointeur de la souris. Cette opration dure plusieurs dizaines de secondes plusieurs minutes selon votre configuration. Le fichier gnr s'appelle dh1024.pem et doit uniquement tre copi dans le /config du serveur. Ce fichier n'est pas confidentiel. On pourrait s'en arrter l, mais on va ajouter une dernire cl : > openvpn --genkey --secret ta.key Cette cl va permettre d'ajouter une couche de scurit supplmentaire avec une authentification TLS. Cela va crer un pare-feu HMAC et aidera contrer les attaques de type DoS et le flood de port UDP. Cette cl est copier dans le rpertoire /config de chaque machine et sa prise en compte ncessitera une modification dans le fichier de configuration. Ce fichier est partag entre les machines et secret. Vous devriez donc utiliser une connexion scurise prexistante pour le transmettre aux clients. On rsume nouveau : Dans le rpertoire /config du serveur, vous avez copi : ca.crt , server.crt , server.key , dh1024.pem et ta.key . Dans le rpertoire /config d'un client, on trouve : ca.crt , client1.crt , client1.key , ta.key . Fichiers de configuration Le serveur : Copiez le fichier server.ovpn qui se trouve dans /sample-config dans /config. Editez-le, voici quelques paramtres essentiels : port 1194 Le port utilis par OpenVPN. Vous devez rediriger le port si vous tes derrire un routeur. Vous pouvez crer plusieurs VPN en utilisant des ports diffrents. client-to-client Il faut d-commenter ce paramtre (enlever le point-virgule) afin que les clients puissent communiquer entre eux, sinon ils ne pourront communiquer qu'avec le serveur. J'ai vu un tutoriel proposant de faire un VPN par client avec un port diffrent et de crer des ponts rseaux entre chaque connexion. C'est assez saugrenu moins d'avoir un intrt vraiment trs spcial le faire, je n'ai pas encore trouv. tls-auth ta.key 0 # This file is secret D-commentez cette ligne si vous utilisez un fichier d'authentification TLS ta.key sur les machines. Le client : Copiez le fichier client.ovpn qui se trouve dans /sample-config dans /config. Editez-le, voici quelques paramtres essentiels : remote xx.xx.xx.xx 1194 Spcifiez ici l'adresse (ou le nom NetBIOS) et le port sur lequel joindre le serveur OpenVPN. Vous pouvez spcifier plusieurs adresses de serveur pour rpartir la charge automatiquement et proposer une redondance. cert client1.crt key client1.key
Pensez changer ces paramtres en fonctions des fichiers qui sont prsents dans le rpertoire /config de la machine. ns-cert-type server D-commentez cette ligne pour ajouter une vrification du certificat du serveur. Le serveur est prconfigur correctement avec les fichiers par dfaut proposs dans /easy-rsa. Cette protection permet d'viter une attaque du type homme dans le milieu . tls-auth ta.key 1 D-commentez cette ligne si vous utilisez un fichier d'authentification TLS ta.key sur les machines.
Flicitations ! C'est fini ! Double-cliquez sur l'icne avec les deux ordinateurs et le globe sur le serveur, puis les clients.
On croise les doigts... Mon Mar 20 20:49:53 2006 OpenVPN 2.0.5 Win32-MinGW [SSL] [LZO] built on Nov 2 2005 Mon Mar 20 20:49:53 2006 Diffie-Hellman initialized with 1024 bit key Mon Mar 20 20:49:53 2006 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file Mon Mar 20 20:49:53 2006 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Mon Mar 20 20:49:53 2006 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Mon Mar 20 20:49:53 2006 TLS-Auth MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ] Mon Mar 20 20:49:54 2006 TAP-WIN32 device [OpenVPN] opened: \\.\Global\{5ECDB806-2DF84518-9340-C4AA8B4323B3}.tap Mon Mar 20 20:49:54 2006 TAP-Win32 Driver Version 8.1 Mon Mar 20 20:49:54 2006 TAP-Win32 MTU=1500 Mon Mar 20 20:49:54 2006 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.1/255.255.255.252 on interface {5ECDB806-2DF8-4518-9340-C4AA8B4323B3} [DHCPserv: 10.8.0.2, lease-time: 31536000] Mon Mar 20 20:49:54 2006 Sleeping for 10 seconds... Mon Mar 20 20:50:04 2006 Successful ARP Flush on interface [3] {5ECDB806-2DF8-45189340-C4AA8B4323B3} Mon Mar 20 20:50:04 2006 route ADD 10.8.0.0 MASK 255.255.255.0 10.8.0.2 Mon Mar 20 20:50:04 2006 Route addition via IPAPI succeeded Mon Mar 20 20:50:04 2006 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ] Mon Mar 20 20:50:04 2006 UDPv4 link local (bound): [undef]:1194 Mon Mar 20 20:50:04 2006 UDPv4 link remote: [undef] Mon Mar 20 20:50:04 2006 MULTI: multi_init called, r=256 v=256 Mon Mar 20 20:50:04 2006 IFCONFIG POOL: base=10.8.0.4 size=62 Mon Mar 20 20:50:04 2006 IFCONFIG POOL LIST Mon Mar 20 20:50:04 2006 client1,10.8.0.4 Mon Mar 20 20:50:04 2006 client2,10.8.0.8 Mon Mar 20 20:50:04 2006 client5,10.8.0.12 Mon Mar 20 20:50:04 2006 client4,10.8.0.16 Mon Mar 20 20:50:04 2006 Initialization Sequence Completed
Ca s'allume en vert, a marche ! Reprez les lignes Learn : qui indiquent les adresses IP que l'on vient d'attribuer un client et tentez de pinger les machines entre elles. Mon Mar 20 20:51:15 2006 MULTI: multi_create_instance called Mon Mar 20 20:51:15 2006 192.168.0.254:3972 Re-using SSL/TLS context Mon Mar 20 20:51:15 2006 192.168.0.254:3972 LZO compression initialized Mon Mar 20 20:51:15 2006 192.168.0.254:3972 Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ] Mon Mar 20 20:51:15 2006 192.168.0.254:3972 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ] Mon Mar 20 20:51:15 2006 192.168.0.254:3972 Local Options hash (VER=V4): '14168603' Mon Mar 20 20:51:15 2006 192.168.0.254:3972 Expected Remote Options hash (VER=V4): '504e774e' Mon Mar 20 20:51:15 2006 192.168.0.254:3972 TLS: Initial packet from 192.168.0.254:3972, sid=1c6751ff 9e693f3c Mon Mar 20 20:51:17 2006 192.168.0.254:3972 VERIFY OK: depth=1, /C=FR/ST=LO/L=Nancy/O=MasterJul.net/CN=OpenVPNMJ.net/emailAddress=example@masterjul.net Mon Mar 20 20:51:17 2006 192.168.0.254:3972 VERIFY OK: depth=0, /C=FR/ST=LO/O=MasterJul.net/CN=client4/emailAddress= exampleclient@masterjul.net Mon Mar 20 20:51:17 2006 192.168.0.254:3972 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Mar 20 20:51:17 2006 192.168.0.254:3972 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Mon Mar 20 20:51:17 2006 192.168.0.254:3972 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key Mon Mar 20 20:51:17 2006 192.168.0.254:3972 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Mon Mar 20 20:51:17 2006 192.168.0.254:3972 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA Mon Mar 20 20:51:17 2006 192.168.0.254:3972 [client4] Peer Connection Initiated with 192.168.0.254:3972 Mon Mar 20 20:51:17 2006 client4/192.168.0.254:3972 MULTI: Learn: 10.8.0.18 -> client4/192.168.0.254:3972 Mon Mar 20 20:51:17 2006 client4/192.168.0.254:3972 MULTI: primary virtual IP for client4/192.168.0.254:3972: 10.8.0.18 Mon Mar 20 20:51:18 2006 client4/192.168.0.254:3972 PUSH: Received control message: 'PUSH_REQUEST' Mon Mar 20 20:51:18 2006 client4/192.168.0.254:3972 SENT CONTROL [client4]: 'PUSH_REPLY,route 10.8.0.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 10.8.0.18 10.8.0.17
Tentative de ping du serveur vers un client : C:\Program Files\OpenVPN\easy-rsa>ping 10.8.0.18 Envoi d'une requte 'ping' sur 10.8.0.18 avec 32 octets de donnes : Rponse Rponse Rponse Rponse de de de de 10.8.0.18 10.8.0.18 10.8.0.18 10.8.0.18 : : : : octets=32 octets=32 octets=32 octets=32 temps=1 temps=1 temps=1 temps=1 ms ms ms ms TTL=128 TTL=128 TTL=128 TTL=128
Statistiques Ping pour 10.8.0.18: Paquets : envoys = 4, reus = 4, perdus = 0 (perte 0%), Dure approximative des boucles en millisecondes : Minimum = 1ms, Maximum = 1ms, Moyenne = 1ms C:\Program Files\OpenVPN\easy-rsa>
Explication de l'utilisation du mode bridge I - Quel est le problme ? C'est un problme qui revient souvent sur le topic, voil une explication de la situation. Vous avez chez vous un modem-routeur qui cache un rseau local de plage d'adresse 192.168.1.x. Vous avez mis en place un serveur VPN, c'est une de vos machines de votre rseau, son adresse IP dans votre rseau local est 192.168.1.12. Ce serveur possde sa propre plage d'adresse pour le VPN, qui est par dfaut de la forme 10.8.0.x. Lorsque vous souhaitez vous connecter sur votre VPN depuis l'extrieur, vous entrez l'adresse IP publique sur vous avez sur Internet, la redirection de port sur votre routeur vous amne sur la machine ddie OpenVPN. Celui-ci va vous donner une adresse disponible dans la plage 10.8.0.x., mettons 10.8.0.2 (10.8.0.1 est l'adresse du serveur). Vous arrivez pinger 10.8.0.1, le serveur VPN. Vous arrivez galement pinger 192.168.1.12 c'est l'interface est sur la mme machine. Mais, il est impossible d'atteindre les autres machines de votre rseau local, derrire le serveur VPN.
Il y a deux faons d'obtenir ce que vous souhaitez faire, le mode bridge (pont) ou le routage. II - La connexion de pont (ou bridge) 1 - Comment cela se passe-t-il en thorie ? Avec le mode bridge, votre rseau VPN va utiliser la mme plage d'adresses que votre rseau local. Autrement dit, votre machine sur laquelle est install OpenVPN n'aura plus qu'une adresse IP, de la forme 192.168.1.x, nous choisirons 192.168.1.120 pour l'exemple. C'est une adresse IP fixe. Dans le fichier de configuration, nous prciserons alors la plage que votre serveur VPN attribuera aux clients. Mettons de 192.168.1.128 192.168.1.254. Du coup, quand votre client se connectera au VPN, celui-ci va lui donner la premire adresse disponible, 192.168.1.128 et ce client fera littralement "parti" de votre rseau local.
Rseau priv virtuel sous Windows - OpenVPN - Tutoriels. - Tutoriels - Rseaux gr... Page 10 of 18
2 - Passons aux choses pratiques : 2.1 - Dans les fichiers de configuration : - Ct serveur comme client : Remplacer "dev tun" par "dev tap" ;dev tun dev tap
- Sur le serveur, commentez la ligne "server" de cette faon : ;server 10.8.0.0 255.255.255.0
- Sur le serveur, vous allez donner l'adresse IP fixe du VPN sur le rseau local et la plage mise disposition : server-bridge adresse-serveur masque debut-plage fin-plage server-bridge 192.168.1.120 255.255.255.0 192.168.1.128 192.168.1.254
2.2 - Dans les connexions rseau de Windows (Panneau de configuration) : 1 - Assurez-vous de ne pas avoir de connexion partageant un accs Internet (cela empche le bridging). 2 - Slectionnez votre adaptateur rseau utilis sur votre LAN et le virtuel de OpenVPN (TAP-Win32 Adapter). Pour cela, vous pouvez utiliser la touche CTRL + le clic de souris sur chacun des adaptateurs. 3 - Faites un clic droit sur l'une des connexions puis "Crer un pont". A partir de ce moment, les deux connexions vont tre lies et elles auront une interface commune, configurable sur le pont.
Sur cette image, la connexion TAP est "connecte" car le VPN est lanc. 4 - Faites un clic droit sur le pont, "Proprits". 5 - Slectionnez dans le second cadre "Protocole Internet (TCP/IP)" et faites "Proprits". 6 - Choisissez "utilisez l'adresse IP suivante" et rentrez les informations comme indiqu (pour rester en phase avec les paramtres cits prcdemment). Dans cette configuration, vous avez un modem-routeur sur l'adresse 192.168.1.1.
7 - Il ne reste plus qu' lancer le VPN (double clic sur l'icne prt de l'horloge). 8 - Le client initie la connexion de son ct, a marche ? Merveilleux, bienvenue chez vous.
Je@nb a crit :
Pour le routage tu as 2 possibilits : mettre sur chaque pc du lan une route vers ton vpn avec comme nexthop le serveur vpn configurer une route statique sur le routeur de la maison qui dit de router le rseau du vpn vers le serveur du vpn. Ainsi dans le premier cas le routage est direct (chaque client sait o aller) Dans le 2me ils continuent utiliser leur default gateway mais celle ci dcide soit d'envoyer sur le serveur vpn les paquets si ils sont destination du rseau du vpn soit d'envoyer vers le net les paquets destinations des autres rseaux. Aprs une solution mais qui n'est peut tre bien utile est de mettre en place un mcanisme de routage dynamique comme RIP ou OSPF mais pour 2 machines a ne vaut pas la peine
III - Questions et remarques Pourquoi ne pas utiliser le DHCP du routeur ? Parce que votre DHCP ne saurait pas diffrencier un client VPN d'un client de votre rseau local et lui donnerait des informations erronnes (mauvaise passerelle...). Il existe une faon de le faire pour Linux mais pas sous Windows ma connaissance. Il faut voir du ct de votre routeur. Toutefois, je ne pense pas que cette solution soit judicieuse car vous risquez de vous mlanger les pinceaux. Avec un serveur en IP fixe et une plage d'adresse ddie, vous savez o vous allez. Ca ne m'arrange pas cette histoire de pont. / J'aimerais bien garder deux plages distinctes. Dans ce cas, il faut passer par le routage. En gros, il faut "pousser" des routes sur les clients pour qu'ils sachent quoi faire des requtes allant vers votre rseau local. En contrepartie, il faut que les postes derrire votre routeur VPN connaissent la route de retour vers le serveur VPN. J'crirai une explication plus dtaille sur cette faon de procder. Remerciements aux diffrents tutoriels et documentations trouvs sur Internet et en particulier : http://www.sbeattyconsulting.com/blog/index.php?p=3 et le how-to de OpenVPN. MasterJul
Message cit 1 fois Message dit par Master_Jul le 29-12-2006 10:23:42
Master_Jul
Post le 20-03-2006 21:02:19
Version rapide du Tutoriel OpenVPN. Tlchargez ce fichier : http://openvpn.se/files/install_pa [...] nstall.exe Lancez linstallation en gardant les options par dfaut et acceptez linstallation du priphrique. Lancez une console (Dmarrer / Excuter / cmd.exe). > cd C:\Program Files\OpenVPN\easy-rsa > init-config Tlchargez, modifiez ce fichiez (avec le bloc-notes par exemple) : http://www.masterjul.net/OpenVPN-Tuto/vars.bat Ce quil y a modifier (aucun champ ne doit tre laiss vide) : set KEY_COUNTRY=FR set KEY_PROVINCE=RP set KEY_CITY=Paris set KEY_ORG=MonEntreprise set KEY_EMAIL=example@monentreprise.net Copiez le dans C:\Program Files\OpenVPN\easy-rsa (en crasant celui existant). > vars > clean-all Pour la commande suivante, mettez OpenVPN-MonEntreprise (par exemple) pour le common name . > build-ca Pour la commande suivante, mettez server pour le common name , contentez-vous de valider en tapant entre chaque fois et rpondez deux fois y aux questions la fin. > build-key-server server > build-dh > openvpn --genkey --secret ta.key Gnration des certificats et cls pour les clients. Chaque nom doit tre unique et mettez le common name correspondant chaque nouveau certificat client1 , client2 , etc. Contentez-vous de valider en tapant entre chaque fois et rpondez deux fois y aux questions la fin. > build-key client1 > build-key client2 > build-key client3 Ouvrez une fentre explorateur et allez dans
C:\Program Files\OpenVPN\easy-rsa\keys Sur le serveur, copiez ca.crt , server.crt , server.key , dh1024.pem et ta.key dans C:\Program Files\OpenVPN\config Sur chaque client, vous devez copier : ca.crt , clientx.crt , clientx.key , ta.key dans C:\Program Files\OpenVPN\config Le fichier ca.key devrait tre gard hors ligne. Le rpertoire C:\Program Files\OpenVPN\easy-rsa peut tre effac. Tlchargez ce fichier http://www.masterjul.net/OpenVPN-Tuto/server.ovpn et copiez le dans C:\Program Files\OpenVPN\config sur le serveur. Changez le port si ncessaire. Tlchargez ce fichier http://www.masterjul.net/OpenVPN-Tuto/client.ovpn et copiez le dans C:\Program Files\OpenVPN\config sur les clients. Pour chaque client, vous devez changer la ligne : remote xx.xx.xx.xx 1194 en mettant ladresse du serveur et le port. Ainsi que cert client1.crt key client1.key avec le nom correct correspondant au client. C'est fini.
Master_Jul
Post le 22-03-2006 13:36:27
J'ai ajout quelques dessins faits maison mais a dchaine pas les foules pour le moment.
k1200
Post le 23-03-2006 15:09:23
Up parce que tuto tres bien fait J'utilise aussi OpenVPN encapsuller TS et des utilisateurs un peu partout dans le monde et ca marche impec Master_Jul
Post le 26-03-2006 11:10:29
Version rapide en ligne. Ethanz

Post le 26-03-2006 18:53:09
Excellent tuto; ca a de fortes chances de m'etre utile bravo :clap but0r

MCP XP 70-270 Post le 26-03-2006 19:02:32
Bon travail ! (drapal stephane75001
Post le 27-03-2006 01:11:59
drapal pour un excellent tuto. Merci PanTHe0N

Protected Mode: 0ne Post le 27-03-2006 10:09:32 Master_Jul a crit :
Version rapide du Tutoriel OpenVPN. Commenons par configurer un serveur OpenVPN. Rendez-vous dans :
C:\Program Files\OpenVPN /bin contient les excutables du programme /config contiendra la configuration, les cls et certificats /driver contient le pilote pour l interface rseau virtuelle /easy-rsa est une boite outils pour gnrer cls et certificats /log accueillera vos redouts messages d erreur (entre autre) /sample-config propose des configurations pr-remplies
Les prsentations sont faites. La procdure que je vais vous dcrire suit en grande partie le how-to propos sur le site officiel. Lancez une console (Dmarrer / Excuter / cmd.exe). Vous commencez paniquer ? Retournez au dbut et passez par la case Hamachi sans toucher aux joies du libre. Il est obligatoire d utiliser une console pour garder les variables, ne doublez cliquez donc jamais sur les icnes des fichiers batch. Dplacez-vous coup(s) de commande cd dans C:\Program Files\OpenVPN\easyrsa Pour plus de clart, les commandes taper seront simplement prcdes de > dans la suite de ce tutoriel. Allons-y : > init-config Pour prparer le terrain et remettre les pendules l heure si vous vous tes prcdemment mlang les pinceaux. Il vous faut maintenant diter le fichier vars.bat qui se trouve dans /easy-rsa. Il est possible que vous ayez quelques problmes pour modifier ces fichiers cause des retours ligne qui ne sont pas faits de la mme faon sur Linux et Windows (tout va apparatre en ligne, les lments tant spars par des rectangles). Il vous faut donc un diteur de texte un peu plus costaud que le bloc-notes. Personnellement j utilise gVim mais c est un peu extrmiste et vous risquez de le har rapidement si vous ne le connaissez pas. Je vous invite trouver votre prfrence en cherchant et testant quelques diteurs sur Internet.
Bonjour, c'est con mai je suis bloqu dans cette ligne; "Lancez une console (Dmarrer / Excuter / cmd.exe). Vous commencez paniquer ? Retournez au dbut et passez par la case Hamachi sans toucher aux joies du libre. Il est obligatoire d utiliser une console pour garder les variables, ne doublez cliquez donc jamais sur les icnes des fichiers batch. Dplacez-vous coup(s) de commande cd dans C:Program FilesOpenVPNeasy-rsa ". Cmd.exe lanc, je vais jusqu' C:> et l je n'arrive pas aller plus loin donc impossible d'ouvrir "C:Program FilesOpenVPNeasy-rsa". Peux-tu m'expliquer comment avancer dans cmd stpl ?
Message dit par PanTHe0N le 27-03-2006 10:11:31
Master_Jul
Post le 27-03-2006 10:21:16
Hello, Tu peux tout simplement taper : > cd C:\Program Files\OpenVPN\easy-rsa Ajoute des guillemets autour du chemin si ncessaire. Je ne suis pas sr que citer tout le post soit utile.
Sylver--TA CHATTE TA CHATTE TA CHATTE
Post le 27-03-2006 11:04:10
Merci bien pour ce tuto

Message dit par Sylver--- le 27-03-2006 11:04:34
PanTHe0N
Protected Mode: 0ne
Post le 27-03-2006 11:05:43
Merci a marche mais je suis bloqu ici; "C:Program FilesOpenVPNeasy-rsa>clean-all Le fichier spcifi est introuvable. 1 fichier(s) copi(s). 1 fichier(s) copi(s). C:Program FilesOpenVPNeasy-rsa>build-ca error on line 117 of openssl.cnf 3644:error:0E065068:configuration file routines:STR_COPY:variable has no value:. cryptoconfconf_def.c:629:line 117"
je reois donc une erreur.

Message dit par PanTHe0N le 27-03-2006 11:07:07
moldar
Eleveur de saltices
Post le 27-03-2006 11:13:58
Trs bien fait ce tuto !

--------------Un site qu'il est bien pour le regarder avec ses yeux
Master_Jul
Post le 27-03-2006 11:42:33
PanTHe0N : Tu as du oublier de renseigner le champs "province" dans vars.bat, c'est obligatoire. Merci tous.
PanTHe0N
Protected Mode: 0ne
Post le 27-03-2006 13:16:54
J'ai tout mis correctement mais le problme est toujours l. J'ai par contre dit tout a avec notepad, est-ce a vient de l mon problme ? Master_Jul
Post le 27-03-2006 16:48:38
Essaie avec ce fichier peut-tre : http://www.masterjul.net/OpenVPN-Tuto/vars.bat Je ne comprend pas trop quel chemin tu suis car ton post quote un peu de la version rapide, un peu de la version complte. Question bte, mais tu fais bien toutes les commandes la suite, dans la mme fentre ? Je n'arrive pas reproduire ton erreur.
PanTHe0N
Protected Mode: 0ne
Post le 27-03-2006 17:07:36
Tout marche merveille :-) . Merci beaucoup Master. Amicalement. Master_Jul

Post le 28-03-2006 19:50:51
Bonne nouvelle. Master_Jul

Post le 01-04-2006 20:50:24
up gathor
Post le 02-04-2006 14:50:53
Bon merci pour ce super tuto J'ai utilise a verion 5 minutes et ca marche nickel Juste eu faire un changement : A la ligne suivant j'ai du enlever le ; ;tls-auth ta.key 1 Maintenant j'suis connect ( serveur et client en vert ) par contre ben j'ai rien de plus Ip serveur : 10.8.0.1 Client : 10.8.0.6 Ils se ping bien eu mme ( c'est a dire le serveur ping bien 10.8.0.1 ) et le client se png bien lui mme 10.8.0.6 par contre ils ne se ping pas entre eux Comment ca ce fait ?
merci Master_Jul
Post le 02-04-2006 16:41:05
Merci pour l'info gathor, j'ai corrig les fichiers. Tu as un firewall sur les postes ? Est-ce que le firewall Windows est activ sur les connexions ? Essaie de les dsactiver au fur et mesure. Ah oui sinon, je pense pas que a vienne de l, mais il y avait une autre ligne dcommenter sur le client : ns-cert-type server
--------------En franais, on crit "connexion" et pas "connection".
gathor
Post le 02-04-2006 20:11:52
auvun firewall sur les postes le seul firewall c'est le routeur Je vais egalement decocher la ligne supplementaire et essayer Master_Jul
Post le 02-04-2006 20:18:24
Normalement y'a juste besoin d'ouvrir le port pour le serveur. Tu n'as pas de message d'erreur particulier dans les logs ?
gathor
Post le 03-04-2006 20:57:33
J'ai decocher la ligne. Aucun message d'erreur dans les logs Connexion corectement etabli mais impossible de se pinger entre eux Faut-il changer quelquechose dans les connexions reseau car du coup j'ai 2 connexion active, y'ena-t-il pas une a definir par defaut
Master_Jul
Post le 03-04-2006 21:10:53
Non c'est parfaitement normal. C'est assez bizarre. Tu vois de l'activit sur les interfaces virtuelles quand tu fais un ping ? Peux-tu tenter de faire dmarrer / executer \\10.x.x.x de la machine oppose pour voir si tu as accs aux ressources "quand mme".
gathor
Post le 03-04-2006 23:17:53 Citation :
Mon Apr 03 23:07:34 2006 OpenVPN 2.0.5 Win32-MinGW [SSL] [LZO] built on Nov 2 2005 Mon Apr 03 23:07:34 2006 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port. Mon Apr 03 23:07:34 2006 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file Mon Apr 03 23:07:34 2006 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Mon Apr 03 23:07:34 2006 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Mon Apr 03 23:07:34 2006 LZO compression initialized Mon Apr 03 23:07:34 2006 Control Channel MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ] Mon Apr 03 23:07:34 2006 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ] Mon Apr 03 23:07:34 2006 Local Options hash (VER=V4): '504e774e' Mon Apr 03 23:07:34 2006 Expected Remote Options hash (VER=V4): '14168603' Mon Apr 03 23:07:34 2006 UDPv4 link local: [undef] Mon Apr 03 23:07:34 2006 UDPv4 link remote: Mon Apr 03 23:07:34 2006 TLS: Initial packet from Mon Apr 03 23:07:34 2006 VERIFY OK: depth=1, /C=FR/ST=Nord/L=Lille_x09/O=******************** Mon Apr 03 23:07:34 2006 VERIFY OK: nsCertType=SERVER Mon Apr 03 23:07:34 2006 VERIFY OK: depth=0, /C=FR/ST=Nord/O=********************* Mon Apr 03 23:07:35 2006 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key Mon Apr 03 23:07:35 2006 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Mon Apr 03 23:07:35 2006 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key Mon Apr 03 23:07:35 2006 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Mon Apr 03 23:07:35 2006 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSAAES256-SHA, 1024 bit RSA Mon Apr 03 23:07:35 2006 [server] Peer Connection Initiated with *************** Mon Apr 03 23:07:36 2006 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1) Mon Apr 03 23:07:36 2006 PUSH: Received control message: 'PUSH_REPLY,route 10.8.0.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5' Mon Apr 03 23:07:36 2006 OPTIONS IMPORT: timers and/or timeouts modified Mon Apr 03 23:07:36 2006 OPTIONS IMPORT: --ifconfig/up options modified Mon Apr 03 23:07:36 2006 OPTIONS IMPORT: route options modified Mon Apr 03 23:07:36 2006 TAP-WIN32 device [Connexion au rseau local 2] opened:
\\.\Global\{40D5541C-401D-432E-B2FB-E8F32029614D}.tap Mon Apr 03 23:07:36 2006 TAP-Win32 Driver Version 8.1 Mon Apr 03 23:07:36 2006 TAP-Win32 MTU=1500 Mon Apr 03 23:07:36 2006 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {40D5541C-401D-432E-B2FB-E8F32029614D} [DHCP-serv: 10.8.0.5, lease-time: 31536000] Mon Apr 03 23:07:36 2006 Successful ARP Flush on interface [196613] {40D5541C401D-432E-B2FB-E8F32029614D} Mon Apr 03 23:07:36 2006 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down Mon Apr 03 23:07:36 2006 Route: Waiting for TUN/TAP interface to come up... Mon Apr 03 23:07:37 2006 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down Mon Apr 03 23:07:37 2006 Route: Waiting for TUN/TAP interface to come up... Mon Apr 03 23:07:38 2006 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down Mon Apr 03 23:07:38 2006 Route: Waiting for TUN/TAP interface to come up... Mon Apr 03 23:07:39 2006 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down Mon Apr 03 23:07:39 2006 Route: Waiting for TUN/TAP interface to come up... Mon Apr 03 23:07:40 2006 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down Mon Apr 03 23:07:40 2006 Route: Waiting for TUN/TAP interface to come up... Mon Apr 03 23:07:41 2006 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down Mon Apr 03 23:07:41 2006 Route: Waiting for TUN/TAP interface to come up... Mon Apr 03 23:07:42 2006 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down Mon Apr 03 23:07:42 2006 Route: Waiting for TUN/TAP interface to come up... Mon Apr 03 23:07:43 2006 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up Mon Apr 03 23:07:43 2006 route ADD 10.8.0.0 MASK 255.255.255.0 10.8.0.5 Mon Apr 03 23:07:43 2006 Route addition via IPAPI succeeded Mon Apr 03 23:07:43 2006 Initialization Sequence Completed
Voila le log j'espere qu'il n'y a pas trop de donne sensible
Master_Jul
Post le 04-04-2006 08:24:28
Tout semble parfaitement normal. Tu as essay ce que je t'ai dit, pour les ressources partages ?
gathor
Post le 04-04-2006 23:46:14
Bon en faisant ta technique ca marche Et du coup le ping marche aussi Pour le moment j'ai fait que du local, je test en externe apres
Merci en tout cas du tuto et de ton aide
Master_Jul
Post le 05-04-2006 07:13:42
Comment a "ma technique" ? Tu peux m'expliquer ce que tu as fait pour que le ping marche ?
gathor
Post le 05-04-2006 07:20:24
\\10.8.0.x j'ai pu voir les lecteurs partage de l'ordi distant et du coup le ping c'est mis a marcher Par conre je viens de tester avec un ordi externe a mon reseau local : tout passe au vert, pas d'erreur signal mais a nouveau le mme probleme, repond pas au ping par contre en faisant 10.8.0.10 : rien de rien
Master_Jul
Post le 05-04-2006 07:25:10
C'est le routage sur le serveur qui doit foirer, a te l'a jamais fait avec une connexion rseau local normale ce problme ?
gathor
Post le 05-04-2006 07:58:10 Master_Jul a crit :
C'est le routage sur le serveur qui doit foirer, a te l'a jamais fait avec une connexion rseau local normale ce problme ?
Ben non Le serveur openvpn tourne sur un 2003 serveur mais je pense que ca n'as pas d'incidence ?
k1200
Post le 05-04-2006 09:14:26
Non pas de prob avec 2003... le mien tourne aussi sur un 2003 et pas de prob... Master_Jul
Post le 05-04-2006 11:58:24
2003 a peut-tre des rgles de scurit renforces qu'il faut ajuster.

gathor
Post le 05-04-2006 23:18:01
Alros en fait le post distant a une erreur a la fin du script : Wed Apr 05 23:11:21 2006 route ADD 10.8.0.0 MASK 255.255.255.0 10.8.0.9 Wed Apr 05 23:11:21 2006 Warning: route gateway is not reachable on any active network adapters: 10.8.0.9 Wed Apr 05 23:11:21 2006 Route addition via IPAPI failed Wed Apr 05 23:11:21 2006 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )
Ca veux dire quoi ce charabia ? Ca vient du routeur je suppose Mais lequel celui sur le serveur ou celui sur le client ?
Master_Jul
Post le 06-04-2006 08:12:34
T'as lu le lien qu'on te donne ? http://openvpn.net/faq.html#dhcpclientserv Ils te proposent d'essayer des trucs.
patatrack
Post le 06-04-2006 14:28:27
Salut et bravo pour ton tuto. j'ai utilis ta procedure rapide, mais j'ai un problme sur le client. au lancement j'ai le message suivant "Thu Apr 06 14:18:46 2006 OpenVPN 2.0.5 Win32-MinGW [SSL] [LZO] built on Nov 2 2005 Thu Apr 06 14:18:46 2006 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port. Thu Apr 06 14:18:46 2006 Cannot load certificate file vienne.crt: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140AD009:SSL routines:SSL_CTX_use_certificate_file:PEM lib Thu Apr 06 14:18:46 2006 Exiting" dans le repertoire config j'ai les fichiers suivant: ca.crt,client.ovpn,ta.key,vienne.crt,vienne.csr,vienne.key quelqu'un a-t-il une ide ... seax28
Post le 06-04-2006 16:59:27
Bonjour, j'ai aussi la mme erreur, j'ai suivi le tuto pas pas... Master_Jul
Post le 06-04-2006 19:28:32
Quelle taille fait votre .crt sur le client ? Chez d'autres personnes qui ont ce problme, le fichier fait 0 octet. Cela indique que la procdure de gnration du certificat ne s'est pas correctement droule. Il faut le refaire. Assurez-vous galement de bien mettre un nom quivalent pour le nom du certificat et le nom de son common name. Le common name de vienne.crt doit tre "vienne" et non "server". J'ai trouv une personne qui avait fait cette erreur et avait un fichier vide. Le nom "common name" peut prter confusion.
Message dit par Master_Jul le 06-04-2006 19:33:32 --------------En franais, on crit "connexion" et pas "connection". Page : 1 2 3 4 5 .. 25 26 27 28 29 30 Haut de page Page Prcdente Page Suivante
FORUM HardWare.fr Rseaux grand public / SoHo Tutoriels Rseau priv virtuel sous Windows - OpenVPN - Tutoriels. Plan du forum Forum MesDiscussions.Net, Version 2009.1 (c) 2000-2008 Doctissimo Software Page gnre en 0.673 secondes
Aller :
Rseaux grand public / SoHo
Go
Copyright 1997-2007 Hardware.fr SARL / Groupe LDLC / Partenaire de GameKult / LesNumeriques.com / Version anglaise du site: BeHardware

Openvpn Sous Windows

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Openvpn Sous Windows

Transféré par

Droits d'auteur :

Formats disponibles

Rseau priv virtuel sous Windows - OpenVPN - Tutoriels. - Tutoriels - Rseaux gran...

| News | Articles | S'identifier | S'inscrire | Aide

Post le 20-03-2006 21:01:54

Windows Server 2008 Nouveau: Windows Server 2008 Essayez gratuitement !

Post le 20-03-2006 21:02:11

Post le 20-03-2006 21:02:19

Post le 22-03-2006 13:36:27

Post le 23-03-2006 15:09:23

Version rapide en ligne. Ethanz

Excellent tuto; ca a de fortes chances de m'etre utile bravo :clap but0r

Bon travail ! (drapal stephane75001

Post le 27-03-2006 01:11:59

drapal pour un excellent tuto. Merci PanTHe0N

Post le 27-03-2006 10:21:16

Sylver--TA CHATTE TA CHATTE TA CHATTE

Post le 27-03-2006 11:04:10

Merci bien pour ce tuto

Post le 27-03-2006 11:05:43

je reois donc une erreur.

Post le 27-03-2006 11:13:58

Trs bien fait ce tuto !

Post le 27-03-2006 11:42:33

Post le 27-03-2006 13:16:54

Post le 27-03-2006 17:07:36

Tout marche merveille :-) . Merci beaucoup Master. Amicalement. Master_Jul

Bonne nouvelle. Master_Jul

Post le 02-04-2006 20:11:52

Post le 03-04-2006 20:57:33

Post le 03-04-2006 21:10:53

Post le 03-04-2006 23:17:53 Citation :

Voila le log j'espere qu'il n'y a pas trop de donne sensible

Post le 04-04-2006 08:24:28

--------------En franais, on crit "connexion" et pas "connection".

Post le 04-04-2006 23:46:14

Merci en tout cas du tuto et de ton aide

Post le 05-04-2006 07:13:42

Post le 05-04-2006 07:20:24

Post le 05-04-2006 07:25:10

Post le 05-04-2006 07:58:10 Master_Jul a crit :

Post le 05-04-2006 09:14:26

2003 a peut-tre des rgles de scurit renforces qu'il faut ajuster.

Post le 05-04-2006 23:18:01

Post le 06-04-2006 08:12:34

Post le 06-04-2006 14:28:27

Rseaux grand public / SoHo

Vous aimerez peut-être aussi