OpenVPN Multi-Utilisateur Déconnexion

kurlrip

@ccnet:

le seul moyen d'y accéder (enfin j'espère) c'est par openvpn sur notre poste de travail.

Compte tenu de la configuration rien n'est moins sur mais passons …

Mais, (car il y a un mais) quand mon collègue est connecter tout seul, tous vas bien pour lui, mais une fois que je suis connecté aussi, ça provoque des coupure chez lui.

Vous partagez la même identité (même user et certificat) ?

je voulais juste avoir un avis.

Mon avis c'est qu'avec le peu d'informations disponibles … je n'en ai pas ...

• Donc ça ne suffit pas pour protéger l'infrastructure qui est derrière le pfsense… (?)

• j'ai créé deux user, dans chacun d'eux j'ai demander à générer un certificat. Puis dans client export, il apparaissent tous les deux. Je choisi 'archive' et récupère les 3 fichiers de l'archive pour les mettre dans 'config' de openvpnp.

• Je sais bien que je ne vous donnais certainement pas assez d'info. Mais comme je n'arrivais pas à trouver le temps d'écrire ici, et que je souhaitais le faire depuis pas mal de temps, j'ai fais rapide. En même temps, je ne sais pas bien qu'elle info vous donner. Je vais poster le log après déconnexion ce matin .

Merci

jdh

Un accès VPN qui fonctionne bien repose sur des certificats (avec ou sans authentification).
Il est clair qu'il y a une case à cocher si, d'aventure, on utilise le même certificat.
C'est à déconseiller : le mieux, et ce qu'il faut faire, est 1 utilisateur = 1 certificat.

Ayant eu des difficultés avec le package "Client Export", je ne l'utilise pas et j'ajuste en conséquence les fichiers de conf en y collant le bon fichier de certificat obtenu par téléchargement.

Moi je regarderai la config après install : en principe c'est dans c:\program files\OpenVpn\config (avec toute la variation selon le Windows pour "program files").

NB : Il a été moult fois rappelé que le pgm "OpenVPN GUI" doit être lancé en mode Administrateur !

kurlrip

@jdh:

Un accès VPN qui fonctionne bien repose sur des certificats (avec ou sans authentification).
Il est clair qu'il y a une case à cocher si, d'aventure, on utilise le même certificat.
C'est à déconseiller : le mieux, et ce qu'il faut faire, est 1 utilisateur = 1 certificat.

Ayant eu des difficultés avec le package "Client Export", je ne l'utilise pas et j'ajuste en conséquence les fichiers de conf en y collant le bon fichier de certificat obtenu par téléchargement.

Moi je regarderai la config après install : en principe c'est dans c:\program files\OpenVpn\config (avec toute la variation selon le Windows pour "program files").

NB : Il a été moult fois rappelé que le pgm "OpenVPN GUI" doit être lancé en mode Administrateur !

Merci de ta réponse.
OpenVPN est bien en mode admin, sinon ça marche pas du tout il me semble.
Comme j'ai mis plus haut, j'ai un user = un certificat. A  Moins que je me trompe sur les termes, mais il me semble pas.
Par contre je ne comprend pas bien la différence entre les fichiers téléchargés dans : user>certificat, et les fichier pris dans clients exports.

MAis sinon, openvpn fonctionne plutôt bien dans l'ensemble. au détail près, les déconnexions quand on est deux. (oui je sais c'est déjà un sacré problème..)

jdh

Il me semble qu'il faut regarder le répertoire config de chaque utilisateur : il DOIT y avoir des différences qui DOIVENT être visibles !

(Je n'utilise pas ClientExport donc je ne sais pas ce qui est présent.)

kurlrip

@jdh:

Il me semble qu'il faut regarder le répertoire config de chaque utilisateur : il DOIT y avoir des différences qui DOIVENT être visibles !

(Je n'utilise pas ClientExport donc je ne sais pas ce qui est présent.)

En effet, c'est le cas.
Mon fichier .p12 et mon fichier .key ne sont pas les même que ceux de mon collègue.
Seul le fichier .ovpn est le même (pour le nom) et son contenu change au niveau de :

pkcs12
et tls-auth
puisqu il pointe vers le fichier .p12 et .key

par contre je ne comprend pas "verify-x509-name" même en lisant la notice.
Car pour ce paramètre on à la même chose, mais je ne sais pas d'ou ça sort dans pfsense.

autre chose que je comprend pas, c'est que dans user je peux télécharger, dans certificat un fichier .crt et un .key or il ne me servent visiblement à rien, car si je ne les met pas dans le dossier config ça marche
Tant que j'ai bien les fichier dont je parlais au dessus .p1é et .key qui eux sont télécharger dans export client.

Donc quelle différence entre ces fichiers, pourquoi et comment on utilise les uns plus que les autres.. etc

Si quelqu'un à un tuto mieux que la vidéo que j'ai poster plus haut, qui montre comment faire vpn du poste vers pfsense avec seulement authentification par certificat, et ou c'est expliquer à quoi servent ces fichiers, et pourquoi on les utilises je suis preneur, même ne Anglais.

Merci

jdh

Plutôt qu'un tuto, il faut lire la doc d'OpenVPN sur openvpn.net.
La lecture via Wikipedia de X.509, infrastructure à clés publiques, pkcs12, … vous donnerait un minimum sur le sujet.

Le .key est la clé (publique) du CA. => forcément identique
Un fichier .pkcs12 réunit la clé publique et privée de l'utilisateur (donc le .crt et le .key). => forcément différent.

NB : j'ai rédigé un tuto assez succint et se passant de Client export sur ce site !

kurlrip

@jdh:

Plutôt qu'un tuto, il faut lire la doc d'OpenVPN sur openvpn.net.
La lecture via Wikipedia de X.509, infrastructure à clés publiques, pkcs12, … vous donnerait un minimum sur le sujet.

Le .key est la clé (publique) du CA. => forcément identique
Un fichier .pkcs12 réunit la clé publique et privée de l'utilisateur (donc le .crt et le .key). => forcément différent.

NB : j'ai rédigé un tuto assez succint et se passant de Client export sur ce site !

Merci, Pour les fichier c'est plus clair, je vois mieux ce qu'ils sont.
Dans les tuto que j'ai vu, je ne pense pas être tombé sur le tiens.

Sinon, je comprend que mes question puissent être "exaspérantes" car vous vous dites "il tente des truc sans avoir lu ou chercher à comprendre etc…"
Ce qui n'est surement pas faux en effet. Mais pour me "défendre", je dirais que si j'avais quelqu'un dans la société qui pouvais passer du temps à lire les docs et mettre ça en place ça serait bien. Mais là, j'ai dû faire ça moi même, un peu rapidement, pour trouver une solution à un problème à l'instant t. Ce n'était pas critique donc les erreurs étaient on va dire permises. Aujourd'hui ça fonctionne, mais il faut que je comprenne mieux tout ça. Que je lise des doc etc. L'autre problème c'est que c'est pas mon travail à la base, et que je fais donc ce que je peux pour mettre ça en place. Et que je ne pense pas qu'on puisse s'improviser "monteur de vpn"...

Mais merci d'avoir pris le temps de répondre.

kurlrip

Bonjour,
Toujours avec mes soucis OpenVPN, j'aurais encore une question.

En fait, je n'ai pas tellement de soucis, dans l'ensemble ça fonctionne bien.
Mon problème restant est le suivant:

Avec un collègue on utilise un 'gestionnaire de source' pour travailler sur un projet commun. Nous somme tous les deux dans le même bureau. Et le gestionnaire de sources est sur un serveur chez OVH, sur une machine Windows. Ce serveur est derrière pfsense. Donc pour avoir accès à cette machine que ce soit un rdp ou pour accèder à notre gestionnaire de source, on utilise openvpn.
Celui fonctionne, mais régulièrement on perd la connexion. L'icone (openVPN est jaune) puis ça reviens.

Ce que nous avons remarqué, si ça peut aider quelqu'un pour me guider, c'est que si nous ouvrons une console dos, et que l'on lance un ping -t xx.xx.xx.xx sur l'adresse ip du pfsense ou est openvpn (l'ip d'administration du pfsense où l'on peut se connecter une fois openvpn ouvert),  nous n'avons plus aucun problème…

Donc voilà, cette indication permettra peut être à quelqu'un de m'aider :)

Merci

ccnet

Ce qui semble montrer qu'un équipement sur le trajet met la connexion en stand by lors de l'absence de trafic. Que disent les logs du client OpenVPN à ce moment ?

kurlrip

ça c'est de la réponse rapide :)

Donc, j'ai couper mon ping. Presque aussitôt, plus possible de me connecter en rdp sur la machine distante, et plus de gestionnaire de source.
Dans mes log, rien de plus…
J'ai relancer le ping, il ne pingait plus, puis dans le log est apparu ça à 15h46 :

Wed Apr 02 12:16:41 2014 SIGUSR1[soft,ping-restart] received, process restarting
Wed Apr 02 12:16:43 2014 UDPv4 link local (bound): [undef]
Wed Apr 02 12:16:43 2014 UDPv4 link remote: [AF_INET]xx.xx.x.xx:xxxxx
Wed Apr 02 12:16:46 2014 [vpnkarl_info] Peer Connection Initiated with [AF_INET]xx.xx.x.xx:xxxxx
Wed Apr 02 12:16:48 2014 Preserving previous TUN/TAP instance: Connexion au réseau local
Wed Apr 02 12:16:48 2014 Initialization Sequence Completed
Wed Apr 02 15:46:33 2014 [vpnkarl_info] Inactivity timeout (--ping-restart), restarting
Wed Apr 02 15:46:33 2014 SIGUSR1[soft,ping-restart] received, process restarting
Wed Apr 02 15:46:35 2014 UDPv4 link local (bound): [undef]
Wed Apr 02 15:46:35 2014 UDPv4 link remote: [AF_INET]xx.xx.x.xx:xxxxx
Wed Apr 02 15:46:37 2014 [vpnkarl_info] Peer Connection Initiated with [AF_INET]xx.xx.x.xx:xxxxx
Wed Apr 02 15:46:39 2014 Preserving previous TUN/TAP instance: Connexion au réseau local
Wed Apr 02 15:46:39 2014 Initialization Sequence Completed

et après le ping est revenu (15h46)

ccnet

Avez vous essayer avec une ligne

resolv-retry infinite

dans le fichier de configuration client ?

kurlrip

Merci
Je viens de regarder, et il semble que ça soit déjà le cas dans le fichier généré par le plugin dans openVpn

Mon fichier xxx.ovpn :

dev tun
persist-tun
persist-key
cipher AES-128-CBC
auth SHA1
tls-client
client
resolv-retry infinite
remote xx.xx.xx.xx:xxxxx udp
verify-x509-name vpnkarl_info name
pkcs12 pfSense-udp-xxxxx-vpnkarl.p12
tls-auth pfSense-udp-xxxxx-vpnkarl-tls.key 1
comp-lzo