Pas moyen, je n’arrive pas à ping.
J’avais bien mis ces réglages de route dans le conf d’openVPN.
J’ai enlevé aussi les routes créées sur la livebox histoire de repartir de 0. Pas de ping.
En même temps, depuis mon pc sans routage, si je lui demande d’aller sur 192.168.0.0, il connait pas non?
Théoriquement, je devrais envoyer 192.168.1.99 à 10.8.0.1 car c’est le serveur vpn et lui il connait ce réseau non?
Edité le 21/07/2010 à 08:13
tu parle du serveur?
a partir de maintenant oublions tout les autres pc…
on ne parle que de ces 2 pc:
serveur et client.
tout les deux on une ip locale (serveur 192.168.1.x et client 192.168.0.x)
ils ont aussi une ip vpn 10.8.0.1
Si tes 3 lignes de configuration sont bien prises en comptes,(et qu’aucun firewall n’est dans nos pattes)
tu dois pouvoir depuis le client:
-Pinguer l’ip vpn du serveur
-Pinguer l’ip locale du serveur
tu dois pouvoir depuis le serveur:
-Pinguer l’ip vpn du client
-Pinguer l’ip locale du client
Si ce n’est pas le cas:
-Soit une de tes lignes de conf est mal saisie
(as tu mis le chemin absolu pour l’acces au fichier contenant l’iroute? client-config-dir “C:\Program Files\Openvpn\…\ccd”
bien mettre les doubles quotes, et les doubles backslash)
-Soit un firewall bloque les ping.
Je parle en connaissance de cause, c’est configuré come ca entre chez moi et ma mère ^^
je peux pinger par le réseau vpn (10.8.0.0) mais pas par les ip locales.
Il est en effet très probable que le firewall coté client bloque les pings… C’est une société externe à la boite qui s’occupe de l’administrer et je n’y ai pour l’instant pas l’accès (génial). Je vais donc appeler la boite pour leur demander de laisser passer le trafic nécessaire sur le port 47… (port que j’ai choisi jusqu’à maintenant donc bon)
Y a autre chose: j’ai fait quelques modifs de routage sur windows. du style route add… en pensant que ça serait que temporaire et qu’au redémarrage je n’en aurais plus. Je ne sais pas comment les effacer =… Ce qui peut aussi rentrer en conflit avec le ping.
(je dis ça parce que depuis le serveur quand je tape ping 192.168.0.4 (ip locale du client) j’ai comme réponse “réponse de 10.8.0.1: " impossible de joindre l’hôte de la destination” et je me demande si c’est pas à cause de routage que j’ai réalisé que j’ai cette connerie)
Que devrais-je faire…? Enlever toutes les routes dans table de routage de windows qui ressemble plus ou moins à mes réseaux et attendre qu’Openvpn en redémarrant les recrèe?
Table de routage serveur vpn:
Itinéraires persistants:
0.0.0.0 ==> 192.168.1.0
192.168.0.0 ==> 10.8.0.1 Est ce normal?
Edité le 21/07/2010 à 11:27
Je parlais des firewall sur les machines hein (client et serveur), si un autre firewall est présent sur le réseau "local"on s’en fiche completement, puisque le tunnel est déjà établit.
On ping a travers le tunnel.
Oui j’avais pas pensé ca, si tu as mis des routes sur le client ou sur le serveur, il y a de forte chance que ca joue sur notre probleme.
Pour ce que tu veux réaliser tu n’aura jamais à entrer de route sur les machines memes.
On ajoutera une route sur les passerelles des réseau locaux à la fin, mais on en est pas encore la.
Oui repart sur un truc vierge, retire tes itinéraires persistants, laisse openvpn gérer ca, il fait plus que du routage standard et les routes qu’il ajoute sont intimement liées au kernel de l’application.
pour retirer une route:
route delete … … …
les firewalls sont désactivés aussi bien sur le client que sur le serveur…
Routes supprimées. Toujours aucun ping en ip local.
Je t’avoue que je sèche. Pourtant on doit pas être loin quoi… Mais je vois pas d’où ça vient.
hmm,
tu as mis le chemin complet pour le client-config-dir ?
le fichier s’appelle bien Kynn ? (enfin comme l’identifiant de la clé du client)
tu peux activer le routage sur la machine serveur?
(sous windows > démarrer > executer > services.msc > ok > routage et acces distant , activer)
tu peux mettre vreb 5 a la place de 3 et nous envoyer les log?
tu ping
ni l’ip locale du serveur depuis le client
et
ni l’ip locale du client depuis le serveur ?
on l’aura un jour on l’aura! ^^
Verb est mis à 5,
le routage et accès distant était désactivé, je viens de l’activer.
Conf du serveur:
Le fichier s’appelle Kynn, sans format (Kynn tout court, pas de Kynn.bmp lol) et dans le doute je l’ai mis dans /config puis /config/ccd car au début je savais pas trop si ccd désignait un dossier ou bien simplement un “lieu où caler les fichiers”
L’adresse de destination C:\Program Files (x86)\Openvpn\config\ccd fonctionne, je l’ai vérifiée avec un cd dans une cmd.
Je vais revérifier, mais en effet, je ne ping ni l’ad locale serveur depuis client, ni l’ad locale client depuis le serv.
PUTIN. ça marche XD. (je prie à toute personne passant par ici d’excuser la vulgarité de mon langage à l’instant t)
Bon, très probablement le service routage activé qui a tout bougé j’imagine ! Parce qu’à part la verbose… Rien touché aux confs.
Donc je précise tout de même: ping dans les 2 sens vers l’ip locale fonctionne!
Je vais jeter un coup d’oeil voir si je peux ping les autres du réseau.
EDIT: Bon ok, ça pouvait pas être aussi facile xD.
A partir de là, pour pouvoir accéder aux autres postes, d’après moi, il ne reste que 2 choses à faire:
Coté subnet serveur vpn, ya une livebox qui sert de passerelle. Dorénavant, elle route 192.168.0.0 vers le serv vpn
192.168.1.99
Coté subnet client vpn, ya pas de livebox, ya un vieux pc tout moisi maintenu par une société extérieure obscure. Qui
peuvent cependant installer l’openvpn pour moi. (ça serait la moindre des choses s’ils sont payés à gérer le pc.)
Arrête moi si je me trompe, mais le routage n’a besoin d’être fait que si l’openvpn n’est pas la passerelle par défaut du
réseau. A titre définitif de toute façon, je dois mettre le client openvpn sur ce PC. Donc en gros la prochaine étape serait
d’appeler le type pour qu’il installe openvpn dessus puis que je lui envoie la conf et les fichiers nécessaires non?
Bon, à part les bugs et erreurs débiles, aurais-je oublié quelque chose de vital?
redit: ne faut - il pas non plus activer le service routage coté client? parce qu’il fait tout de même office de serveur donc y a aussi du routage à faire dessus non?
REREDIT:
Coté Serveur, (coté livebox, donc coté où j’ai fait le routage)
d’un pc lambda (enfin du seul autre pc que le serveur que j’ai testé, qui a pour ip 192.168.1.13) je peux ping le client! (192.168.0.4). Donc dans un sens ça marche, si je ne me trompe pas, “manque plus que l’autre”
Coté Client, (ip 192.168.0.4)
“même” constat, je peux ping un pc du réseau du serveur vpn. (exemple: ping 192.168.1.13). Donc oui en effet, “manque plus qu’un sens”. Du moins il me semble.
Edité le 21/07/2010 à 14:35
ca dépends,
tu peux faire du nat sur le pc client.
comme pour une connection internet.
quand un pc coté serveur ping une machine coté client.
quand le ping arrive chez le client, le pc qui réponds ne sait pas accèder au reseau 192.168.0.0 donc pas de réponse.
mais si tu fait du nat,
quand le ping arrive sur le client vpn, au moment de passer sur le réseau local coté client, il y aura une translation d’adresse(du nat)
c’est a dire que le pc qu’on veux pinguer va recevoir un ping avec comme source l’ip locale du client vpn et comme il est sur le meme réseau il saura lui répondre, et enfin le client openvpn aura conserver une connection ouverte pour savoir qui était l’émetteur du ping coté serveur.
c’est le principe meme du nat, (qui est utilisé chez la quazi totalitée des internautes, une seule vraie ip internet)
par contre si un pc client veux acceder au réseau local coté serveur, sans route il peut pas.
enfin on pourrai faire un forward de port, mais le pc client attaquerai l’ip locale du pc client vpn sur un port spécifique qui lui serai redirigé vers l’ip locale d’un pc coté serveur sur un port spécifique.
(comme quand on veux faire un serveur ftp dispo sur internet chez soi quoi ^^)
on attaque l’ip internet sur le port 21 et ca renvoie sur une machine locale sur le port 21.
mais le plus simple c’est quand meme de router.
soit route statique sur les pc,
soit une route statique sur la passerelle directement.
Je viens de test une route statique sur un pc à coté, pas moyen de ping le serveur.
Le poste 192.168.0.12 ping 192.168.1.99.
A l’aide de ma route, il devrait être redirigé vers le client vpn, 192.168.0.4
Ce dernier avec l’ip du serveur devrait savoir quoi faire non? Faut il activer des services de routage…?
Activation des services de routage sur le poste lambda sans effet, non ce n’est pas ça; ce serait probablement plus du coté de mon iroute qu’il y aurait un soucis.
Edité le 21/07/2010 à 15:00
si tu veux ajouter la route sur un pc coté client sous windows ca dois etre:
route add 192.168.1.0 mask 255.255.255.0 192.168.0.4
et il pourra pinguer les postes coté serveur
j’ai rentré tout à l’heure
je ne sais pas vraiment que vaut l’option p dans l’histoire mais bon. Et donc ça ne fonctionne pas.
P pour persistant. Mouef. J’ai revérifié sans on ne sait jamais, mais non ça ne fonctionne pas.
Pas de firewall sur le poste.
C’est fort ça quand même. Le poste a pour ip 192.168.0.13. Je peux ping le client vpn qui est à 192.168.0.4. Avec un routage il devrait pourtant rediriger sans souci…
Edité le 21/07/2010 à 15:12
ah bein il faut aussi activer le routage sur le pc client alors.
-p c’est pour que la route revienne après reboot.
En effet, ça venait bien de là!
Magique ça!
Je n’ai plus qu’à adapter ma conf client sur le serveur, et si tout se passe bien ça devrait fonctionner.
(En fait, t’es un ouf malade du vpn toi xD)
j’aime bien savoir ou vont mes bit :heink::ane:
Edité le 21/07/2010 à 15:28
N’empêche j’ai pas retouché le conf depuis que j’ai posté; tout ça à cause d’un service de windows… c’est démoralisant :p.
Bibi n’est pas dispo (technicien de la société externe) donc no can upgrade server until tomorrow.
Suite des aventures demain, merci pour toute l’aide que tu as pu m’apporter, il est clair que sans toi, j’y serai pas arrivé !
Your welcome 
Alors, j’ai du nouveau.
Et pas tellement de bonne nouvelle.
Monsieur le technicien de la société externe m’affirme (ce qui me fait rêver) que leur client OpenVPN ne permet pas de faire une “connexion sortante” vers le serveur de l’autre entreprise.
Ce que je sais: ce serveur auquel je n’ai pas accès tourne sous SME Server Linux. Bon, bien que je ne connaisse pas ce linux, je suppose qu’il est possible d’y installer la dernière version d’OpenVPN non? dernière ou non dans tous les cas, il n’y a aucune raison qu’ils ne puissent pas jouer le rôle de client avec Openvpn puisque la version linux d’après le howto semble comporter les mêmes fonctionnalités.
Je me trompe?
EDIT:
Bon solution “simple”, au lieu de mettre le serveur vpn sur l’entreprise B et le client sur la A, s’ils veulent pas un client sur la A j’vais échanger les places. ça devrait pas trop être compliqué, et au moins messieurs ne m’embêteront plus. Qu’est ce que c’est compliqué d’être en entreprise… Et quelle idée de louer les services d’une boite info à coté si c’est pour ne pas avoir accès à son propre pc.
Edité le 22/07/2010 à 13:09
john the ripper pour tester la sécurité de leur mot de passe linux
ou boot sur live cd linux, crée un utilisateur avec un mot de passe, ouvre le fichier /etc/shadow de la passerelle, colle la chaine de caractère correspondant à ton mot de passe dans ton /etc/shadow a la place de la chaine de caractère correspondant au mot de passe root.
je sans la modération arriver…
a priori le package openvpn de cette distrib dois pouvoir faire les memes choses, a moin qu’ils n’aient créer eux meme un package et qu’il se refusent d’en utiliser un autre…
sinon etant donné que c’est ta passerelle, dit leur juste d’ajouter la route pour acceder à l’autre réseau en passant par ton pc client.
Je m’amuserais volontiers à toutes ces façons d’outrepasser un pass si j’étais pas en entreprise lol…
mon pc client c’est mon portable, alors je peux proposer au patron d’installer le client sur n’importe quel pc de la boite, mais a mon avis il va pas kiffer l’idée d’avoir “2 serveurs” xD. Ce que je vais surtout lui proposer, c’est de rompre son contrat de merde avec l’autre boite et de foutre un vieux windows ou linux sur le pc histoire que je puisse installer Openvpn et qu’il paye moins cher à la fin du mois… Mais quel bordel tout ça à cause d’un gland qui veut pas installer mon client quoi. J’aurais eu accès au pc c’était torché en 20 mins grand max. (excuse moi je suis un poil aigri xD.)
Bon, je poste une dernière fois pour marquer un point final à ce topic.
Un point important que je soulignerai que nous n’avions pas abordé dans les échanges, est le fait qu’une connexion vpn ne doit pas rester active en permanence. Cela laisse des failles de sécurité assez colossales. Toujours bon à savoir pour ceux qui passeraient par là.
Le schéma du réseau a finalement quelque peu changé. En effet, dû à l’entreprise externe s’occupant du serveur, il m’a fallu modifier l’organisation.
Il existe donc un serveur vpn à l’entreprise A et un serveur vpn à l’entreprise B.
Le serveur vpn à l’entreprise A ne sert que si l’on a besoin d’accéder au réseau depuis un pc portable sur une connexion tierce.
En fait, le schéma de connexion interne à l’entreprise est “identique”. Un client de l’entreprise A se connecte au serveur B. Par routage grâce aux démarches effectuées et à la grande aide de boss50, on accède à tout le réseau de chaque coté.
Par non accord avec l’entreprise externe, le client n’est pas sur le serveur A ce qui peut lui valoir d’être éteint quand le patron n’est pas là. Le PDG souhaitait aussi accéder aux à l’entreprise A et B depuis son portable n’importe ou. C’est chose faite grâce aux 2 serveurs vpn.
Merci encore pour toute l’aide apportée. Elle fut précieuse, et m’a permis d’apprendre beaucoup.
Je reviendrais très probablement sur ce forum, et qui sait, c’est peut être moi qui aiderai les internautes la prochaine fois.
A très bientôt.
Kynn.