Comment relier 2 réseaux distincts (vpn)?

darkprince3 · Avril 7, 2010, 3:44

Les clé MA sont:

*dans servervpn (/etc/openvpn/keys)
-01.pem
-02.pem
-ca.crt
-ca.key
-client1.crt
-client1.cst
-client1.key
-dh1024.pem
-index.txt
-index.txt.attr
-index.txt.attr.old
-index.txt.old
-serial
-serial.old
-server.crt
-server.csr
-server.key

faut-il que j’efface (client1.crt, client1.key…) ?

*dans toshiba (C:\Program Files\OpenVPN\config):
-ca.crt
-client1.crt
-client1.key
-client.ovpn

quand je veux me connecter à openvpn sur toshiab:

http://img132.imageshack.us/img132/7917/erreuropenvpn.jpg
By darkprince3 at 2010-04-07
Edité le 07/04/2010 à 15:46

boss50 · Avril 7, 2010, 4:02

évident mon cher watson…

coté client tu vois un dossier keys quelquepart ? :yeux2:

et toujours coté client il va les chercher ou ses clés à lui? :yeux2:

Conf du client:

client
dev tun
proto tcp
remote 192.168.1.3 443
resolv-retry infinite
nobind
persist-key
persist-tun
ca keys/ca.crt
cert keys/client1.crt
key keys/client1.key
ns-cert-type server
comp-lzo
verb 3

ca keys/ca.crt >> dit que le ca.crt est dans le sous-dossier keys (sous dossier a partir de l’endroit ou est le fichier de conf)

Tu as trouvé ?

darkprince3 · Avril 7, 2010, 4:19

J’ai mis “config” mais toujours la même erreur

Conf du client:

client
dev tun
proto tcp
remote 192.168.1.3 443
resolv-retry infinite
nobind
persist-key
persist-tun
ca config/ca.crt
cert config/client1.crt
key config/client1.key
ns-cert-type server
comp-lzo
verb 3

Edité le 07/04/2010 à 16:22

boss50 · Avril 7, 2010, 5:25

ca keys/ca.crt >> dit que le ca.crt est dans le sous-dossier keys(sous dossier a partir de l’endroit ou est le fichier de conf)

client
dev tun
proto tcp
remote 192.168.1.3 443
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
comp-lzo
verb 3

avec ca ca devrai etre mieux
Edité le 07/04/2010 à 17:27

darkprince3 · Avril 7, 2010, 5:43

Tu as raison mais il y a toujours un problème voici le screen :

http://img688.imageshack.us/img688/4963/erreur2openvpnjaune.jpg
By darkprince3 at 2010-04-07

On peut remarquer que l’icône “openvpn” est maintenant jaune, il “voit” les fichier mais … il y a encore un truc qui marche pas.

Au fait du côté du serveur “serveurvpn” faut-il faire quelque chose ?

Je vais faire des recherches de mon côté …

boss50 · Avril 7, 2010, 5:50

bein la il n’arrive pas a joindre le serveur,

as tu bien validé le forward des ports sur la page du routeur?

reboot le routeur peut etre qu’il valide les changement qu’apres reboot

et revérifie si la conf a pas bougé.

puis renvoie un screen de la page ou tu as forwardé le port 443.

y a t’il des options firewall sur tes routeurs ?

as tu un firewall sur ton serveur ?

as tu un firewall sur ton client ?

darkprince3 · Avril 7, 2010, 6:51

Je vais faire un petit récapitulatif:

J’ai mes 2 fichiers de configurations:

–>server.conf: (/etc/openvpn sur "serveurvpn)

port 443
proto tcp
dev tun
server 10.8.0.0 255.255.0.0
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 5

–> client.ovpn (C:\Program Files\OpenVPN\config sur Toshiba)

client
dev tun
proto tcp
remote 192.168.1.3 443
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
comp-lzo
verb 3

–> j’ai tout rebooté (serveurvpn, toshiba, routeurs, pc de freddy)

–> pour le routeur de droite (192.168.0.1 sur le schéma)

http://img243.imageshack.us/img243/8257/routeur19216801.jpg
By darkprince3 at 2010-04-07

J’ai la même adresse IP (192.168.1.3) est-ce normal ?

–> pour le routeur de gauche (192.168.2.1 sur le schéma)

http://img243.imageshack.us/img243/4317/routeurforwarding2.jpg
By darkprince3 at 2010-04-07

Rien n’a changer pour le forward.

–> Pour le firewall des routeurs je n’y ai pas touché:

http://img714.imageshack.us/img714/5673/firewallrouteur.jpg
By darkprince3 at 2010-04-07
même scren pour les 2.

–> pour le firewall de serveurvpn, je crois pas qu’il en a, en tout cas je n’ai rien installé, je vais me renseigner…

–> pour le firewall du client “toshiba”:

http://img696.imageshack.us/img696/1835/firewalltoshiba.jpg
By darkprince3 at 2010-04-07

c’est peut-être ça le problème , quand penses-tu?

boss50 · Avril 7, 2010, 7:05

les firewall de tes routeurs ne sont pas activés donc c’est pas eux le probleme.

par contre…

tes deux routeurs sont en dhcp. c’est la neufbox qui leur distribue une ip quand il s’allument.
c’est pas bon.

si le routeur de gauche change d’ip… ton client openvpn lui sa conf elle a pas bougé. donc pas bon, il cherchera toujours 192.168.1.3 mais ce sera pu la bonne machine qui réponds…

il faut que tu fixe les ip manuellement de manière a ce que ca bouge plus.

par défaut le firewall de seven ne devrai pas te bloquer.

pour voir les regles pare feu sur ton linux envoie nous le resultat de la commande
(en root)
iptables -nL

Ote moi d’un doute avec ton probleme d’ip tu me fait peur lol
jusque la on a jamais touché au routeur de droite hein on est d’accord
le forward du port ca se fait sur le routeur de gauche.

et puis ta regle de forward tu dois la cocher pour quelle soit active (il me semble)
Puis “save” puis tu le reboot.
et tu revérifie que ca a pas bougé.

J’suis chiant hein :oui:

darkprince3 · Avril 7, 2010, 7:38

"J’suis chiant hein "

Au contraire, j’avais oublié de coché pour que ce soit actif: maintenant c’est corrigé

“jusque la on a jamais touché au routeur de droite hein on est d’accord
le forward du port ca se fait sur le routeur de gauche.”

je n’ai pas touché au routeur de droite. Le forward du port : seulement sur le routeur de gauche. on est d’accord.

"pour voir les regles pare feu sur ton linux envoie nous le resultat de la commande
(en root) iptables -nL"

screen de serveurvpn avec la commande iptables -nL:

http://img708.imageshack.us/img708/4515/img4437u.jpg
By darkprince3[/URL], shot with [URL=http://profile.imageshack.us/camerabuy.php?model=Canon+DIGITAL+IXUS+40&make=Canon]Canon DIGITAL IXUS 40 at 2010-04-07

[b][i]

“il faut que tu fixe les ip manuellement de manière a ce que ca bouge plus.”[/i][/b]

ça va être embêtant car par le passé j’ai déjà voulu rendre les adresses des 2 routeurs en statique est ça ne fonctionnais pas. C’est bien là qu’il faut faire cela ?

http://img687.imageshack.us/img687/7844/routeurstatique.jpg
By darkprince3 at 2010-04-07

Remarque: à part Static IP; il y a également des protocoles spécifiques vpn comme PPTP, PPPoE, L2TP
Edité le 07/04/2010 à 19:51

boss50 · Avril 7, 2010, 8:38

oui c’est bien ici

ip address 192.168.1.3
netmask 255.255.255.0
gateway 192.168.1.1
primary dns 192.168.1.1
Le reste tu laisse vide.

Par contre vu que le deuxieme routeur a choppé l’ip… il faudra le rebooter apres.

Et puis il faudrai voir quelles ip distribue ton aolbox.
Des fois les box distribuent des ip déjà prises. Surtout quand ce n’est pas elle qui les as distribué…

Le mieux quand on met des ip fixes, c’est de mettre des ip que ton dhcp (aolbox) ne distribue pas.
Il faudrai qu’on aille dans les pages de conf de ta aolbox
Tu dois avoir une section dhcp? on lui dit ne commencer a distribuer de 10 à 254 comme ca tu peux mettre de 2 à 9 en ip fixes en etant sur qu’elle donnera pas ces ip a quelqu’un qui se brancherai sur le switch par exemple…

darkprince3 · Avril 8, 2010, 11:58

Bonjour et désolé pour l’attente,

J’ai rentré ceci mais il mettait “adresse invalide”
ip address 192.168.1.3
netmask 255.255.255.0
gateway 192.168.1.1
primary dns 192.168.1.1

Donc j’ai modifié “DHCP IP Adress Range”

http://img714.imageshack.us/img714/5056/routeurstatiqueok1.jpg
By darkprince3 at 2010-04-08

Et ça à fonctionner:

http://img94.imageshack.us/img94/4826/routeurstatiqueok2.jpg
By darkprince3 at 2010-04-08

J’ai tente de me connecter à “openvpn” sur le toshiba et bien nouvelle, ça fonctionne

http://img402.imageshack.us/img402/9804/clientconnectedok.jpg
By darkprince3 at 2010-04-08

Maintenant si j’ai bien compris le tunnel est mis en place et il reste plus qu’à le crypter… c’est bien ça: corrige-moi si je me trompe.
Edité le 08/04/2010 à 12:10

boss50 · Avril 8, 2010, 12:09

non la tu as fait une chose d’inutile…

ce n’est pas sur les routeurs que tu dois modifier le dhcp range.

C’est sur l’aolbox

C’est l’aolbox qui distribue les ip en 192.168.1.xxx
le routeur de gauche distribue des adresses en 192.168.2.xxx
le routeur de droite distribue des adresses en 192.168.0.xxx

Fait ce que tu as fait mais sur l’aolbox

une fois fait, vérifie les ip que tes routeurs ont:
-celui de gauche devrai avoir 192.168.1.3 (Ip que tu as fixé)
-celui de droite on a rien touché donc il devrai recevoir 192.168.1.10. (reboot les après avoir fait les modif sur l’aolbox).

Une fois que c’est ok, que tu es sur que “Gauche” a pour ip 192.168.1.3 et que “Droite” à une autre ip relance openvpn sur le toshiba.
Edité le 08/04/2010 à 12:10

darkprince3 · Avril 8, 2010, 1:32

Ok j’ai trouvé la section sur la 9box et j’ai fait la modification

http://img413.imageshack.us/img413/6964/9box.jpg
By darkprince3 at 2010-04-08

ensuite j’ai rebooté la 9box et les 2 routeurs et …

screen routeur de gauche:

http://img404.imageshack.us/img404/6391/routeurchangement1.jpg
By darkprince3 at 2010-04-08

screen routeur droit:

http://img404.imageshack.us/img404/8167/routeurchangementadd.jpg
By darkprince3 at 2010-04-08

je lance openvpn:

http://img580.imageshack.us/img580/1995/openvpn1.jpg
By darkprince3 at 2010-04-08

boss50 · Avril 8, 2010, 2:00

ca se connecte mais après la connection openvpn lance des commandes mais elles sont refusées (accès refusé)

ca dois venir de Seven ca.

Il faudrai que tu desactive le controle de compte utilisateur.

protuts.net…

et re essaie.

darkprince3 · Avril 8, 2010, 2:25

Voilà, j’ai déactiver le contrôle de compte administrateur et j’ai relancer…

http://img535.imageshack.us/img535/2372/openvpnsanserreur.jpg
By darkprince3 at 2010-04-08

boss50 · Avril 8, 2010, 2:26

Bein c’est bon la non ?
Edité le 08/04/2010 à 14:27

darkprince3 · Avril 8, 2010, 2:53

je fais un ping depuis le toshiba (carte ethernet reseau local 2: 10.8.0.6) vers le serveurvpn (tun0 : 10.8.0.1), j’ai une réponse.

Donc là le tunnel est créer, c’est bien çà ?
Edité le 08/04/2010 à 14:55

boss50 · Avril 8, 2010, 3:19

oui le tunnel est crée.

Mais tel qu’on a configuré openvpn actuelement seul le client communique avec le serveur et personne d’autre.

Et si deux clients se connecte les clients ne communiquent pas entre eux.

apres on peut faire bien des choses.

on peut faire arriver le client sur le meme réseau que le serveur (client recoive une ip en 192.168.2.xxx) et dans ce cas le client peut communiquer avec tout les pc du reseau du serveur. on peut aussi permettres aux client de communiquer entre eux.

Bref on peut tout faire, il faut juste savoir ce que tu veux faire

Mais actuellement oui, tu as une connection vpn client/serveur. tu peux acceder a tout les services du serveur.(ftp, web etc…etc…)
Edité le 08/04/2010 à 15:20

darkprince3 · Avril 8, 2010, 3:42

J’ai accès au site que j’avais créer qui est sur le servervpn

http://img188.imageshack.us/img188/85/bdprojetvpn.jpg
By darkprince3 at 2010-04-08

Et au niveau de la sécurité (cryptage …) du tunnel, comment je peut savoir si c’est “au point”, surtout quelle est le cryptage utilisé? Est-il déjà mis en place ?

Le client doit pouvoir communiquer avec le serveur (c’est logique), faire des échanges de données (FTP --> pc de freddy ( ftpserv) doit passer par le tunnel et permettre d’échanger des données à toshiba (filezilla client) ) et du partage (samba: partage entre pc de freddy et toshiba passant par le tunnel)

Dans l’hypothèse que je dois rajouter un autre client , je dois refaire si j’ai bien compris l’ensemble de la manuvre ?ou pas?

Encore désolé de te “mitraillété” de questions mais je dois avouer avoir appris plus de chose en 2 jours que pendant 1 mois donc ça m’intéresse; surtout que c’est pour un projet. Merci beaucoup.
Edité le 08/04/2010 à 15:49

boss50 · Avril 8, 2010, 4:00

euh… (je suis pas expert réseau non plus ^^)

oui le cryptage est utilisé là, regarde les log du client (ou serveur) les données sont décryptées grâce aux clés de cryptage que tu as généré.

après t’en dire plus sur le cryptage et comment c’est mis en place les algorytme de décryptage etc… derrière ca désolé mais je n’en ai pas la capacité technique.
(me suis acheté un méga gros bouquin réseau récement peut etre qu’un jour je pourrai :p)

et oui tu passe par le tunnel vpn la preuve en est que ton pc ne connais pas le réseau 192.168.2.xxx et pourtant tu accede aux pages de ton serveur.

tout pourrai activer tes firewalls et loguer ce qui transite (si ils le permette) tu n’aurai pas besoin d’ouvrir le port 80 pour acceder au site. seul le port 445 en tcp dois rester ouvert et forwardé vers ton serveur vpn.

si tu veux connecter un autre client il lui faut une autre clé.
(quoi que… faut voir… je crois qu’openvpn serveur peut autoriser plusieur clients avec la meme clé)
jette un oeil sur google>> openvpn how-to

tu refait juste ce qu’on a fait sur le toshiba pour un client de plus.
Edité le 08/04/2010 à 16:03