Problème d'attribution de passerelle OpenVPN
-
la machine cliente reçoit bien une adresse IP en 10.0.8.x. mais ne recoit pas de passerelle par défaut ! (Analyse faite en lancant un ipconfig sur la machine)
Il serait judicieux de fournir de résultat des commandes :
- ipconfig /all
- route print
Avec ces infos, nous pourrions effectivement voir si la passerelle n'est pas fournie … parce que ce serait TRES étonnant.
(une config normale fourni bien la passerelle "de base")
NB : il est notable que 'openvpn-gui' doit être lancé en administrateur sinon les routes ne peuvent être ajouté, et c'est maintes fois rappelé !
-
Bonjour à vous deux,
Tout d'abord merci de votre aide!
Lolight, j'ai oublié de le spécifier mais oui, mon firewall est désactivé. Je ne comprends pas le sens de ta question quand tu me demandes comment est monté mon VPN. Si tu veux savoir si l'authentification se fait par un certificat la réponse est oui.
Voici les résultats demandés :
Microsoft Windows [version 6.1.7601]
Copyright
2009 Microsoft Corporation. Tous droits réservés.C:\Users\administrateur>ipconfig /all
Configuration IP de Windows
Nom de l'hôte . . . . . . . . . . : client-PC
Suffixe DNS principal . . . . . . : SIO.local
Type de noeud. . . . . . . . . . : Hybride
Routage IP activé . . . . . . . . : Non
Proxy WINS activé . . . . . . . . : Non
Liste de recherche du suffixe DNS.: SIO.localCarte Ethernet Connexion au réseau local 2 :
Suffixe DNS propre à la connexion. . . : SIO.local
Description. . . . . . . . . . . . . . : TAP-Windows Adapter V9
Adresse physique . . . . . . . . . . . : 00-FF-09-27-67-EA
DHCP activé. . . . . . . . . . . . . . : Oui
Configuration automatique activée. . . : Oui
Adresse IPv6 de liaison locale. . . . .: fe80::3d66:881d:99f5:bd23%15(préféré
)
Adresse IPv4. . . . . . . . . . . . . .: 10.0.8.6(préféré)
Masque de sous-réseau. . . . . . . . . : 255.255.255.252
Bail obtenu. . . . . . . . . . . . . . : mercredi 15 avril 2015 16:42:59
Bail expirant. . . . . . . . . . . . . : jeudi 14 avril 2016 16:42:59
Passerelle par défaut. . . . . . . . . :
Serveur DHCP . . . . . . . . . . . . . : 10.0.8.5
IAID DHCPv6 . . . . . . . . . . . : 251723529
DUID de client DHCPv6. . . . . . . . : 00-01-00-01-1C-9A-01-80-08-00-27-DE-55
-01
Serveurs DNS. . . . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBIOS sur Tcpip. . . . . . . . . . . : ActivéCarte Ethernet Connexion au réseau local :
Suffixe DNS propre à la connexion. . . :
Description. . . . . . . . . . . . . . : Carte Intel(R) PRO/1000 MT pour stat
ion de travail
Adresse physique . . . . . . . . . . . : 08-00-27-DE-55-01
DHCP activé. . . . . . . . . . . . . . : Non
Configuration automatique activée. . . : Oui
Adresse IPv6 de liaison locale. . . . .: fe80::38d5:9786:b827:effc%10(préféré
)
Adresse IPv4. . . . . . . . . . . . . .: 192.168.100.1(préféré)
Masque de sous-réseau. . . . . . . . . : 255.255.255.0
Passerelle par défaut. . . . . . . . . :
IAID DHCPv6 . . . . . . . . . . . : 235405351
DUID de client DHCPv6. . . . . . . . : 00-01-00-01-1C-9A-01-80-08-00-27-DE-55
-01
Serveurs DNS. . . . . . . . . . . . . : 192.168.1.1
NetBIOS sur Tcpip. . . . . . . . . . . : ActivéCarte Tunnel isatap.{88B885F9-3B44-4E1C-88F4-44B331D8DE5B} :
Statut du média. . . . . . . . . . . . : Média déconnecté
Suffixe DNS propre à la connexion. . . :
Description. . . . . . . . . . . . . . : Carte Microsoft ISATAP
Adresse physique . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP activé. . . . . . . . . . . . . . : Non
Configuration automatique activée. . . : OuiCarte Tunnel Teredo Tunneling Pseudo-Interface :
Statut du média. . . . . . . . . . . . : Média déconnecté
Suffixe DNS propre à la connexion. . . :
Description. . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Adresse physique . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP activé. . . . . . . . . . . . . . : Non
Configuration automatique activée. . . : OuiCarte Tunnel isatap.SIO.local :
Statut du média. . . . . . . . . . . . : Média déconnecté
Suffixe DNS propre à la connexion. . . : SIO.local
Description. . . . . . . . . . . . . . : Carte Microsoft ISATAP #2
Adresse physique . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP activé. . . . . . . . . . . . . . : Non
Configuration automatique activée. . . : OuiC:\Users\administrateur>
Ci dessous le route print :
Microsoft Windows [version 6.1.7601]
Copyright 2009 Microsoft Corporation. Tous droits réservés.C:\Users\administrateur>route print
Liste d'Interfaces
15...00 ff 09 27 67 ea ......TAP-Windows Adapter V9
10...08 00 27 de 55 01 ......Carte Intel(R) PRO/1000 MT pour station de travail1...........................Software Loopback Interface 1
11...00 00 00 00 00 00 00 e0 Carte Microsoft ISATAP
13...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
14...00 00 00 00 00 00 00 e0 Carte Microsoft ISATAP #2IPv4 Table de routage
Itinéraires actifs :
Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique
10.0.8.0 255.255.255.0 10.0.8.9 10.0.8.10 20
10.0.8.8 255.255.255.252 On-link 10.0.8.10 276
10.0.8.10 255.255.255.255 On-link 10.0.8.10 276
10.0.8.11 255.255.255.255 On-link 10.0.8.10 276
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.1.0 255.255.255.0 10.0.8.9 10.0.8.10 20
192.168.100.0 255.255.255.0 On-link 192.168.100.1 266
192.168.100.1 255.255.255.255 On-link 192.168.100.1 266
192.168.100.255 255.255.255.255 On-link 192.168.100.1 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.100.1 266
224.0.0.0 240.0.0.0 On-link 10.0.8.10 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.100.1 266
255.255.255.255 255.255.255.255 On-link 10.0.8.10 276Itinéraires persistants :
AucunIPv6 Table de routage
Itinéraires actifs :
If Metric Network Destination Gateway
1 306 ::1/128 On-link
10 266 fe80::/64 On-link
15 276 fe80::/64 On-link
10 266 fe80::38d5:9786:b827:effc/128
On-link
15 276 fe80::3d66:881d:99f5:bd23/128
On-link
1 306 ff00::/8 On-link
10 266 ff00::/8 On-link
15 276 ff00::/8 On-linkItinéraires persistants :
AucunC:\Users\administrateur>
Que sont ces passerelles??
Au vu de ce dernier j'ai lancé un tracert dont voici le résultat :
Microsoft Windows [version 6.1.7601]
Copyright 2009 Microsoft Corporation. Tous droits réservés.C:\Users\administrateur>tracert 192.168.1.1
Détermination de l'itinéraire vers 192.168.1.1 avec un maximum de 30 sauts.
1 3 ms 2 ms 2 ms 10.0.8.1
2 * * * Délai d'attente de la demande dépassé.
3 * * * Délai d'attente de la demande dépassé.
4 * * * Délai d'attente de la demande dépassé.
5 * * * Délai d'attente de la demande dépassé. -
Re,
Je viens d'enlever la ligne redirect-gateway def1 de mon fichier de conf.
Seule changement : l'adresse IP qui est en .10
Cordialement,
-
Il y a des trucs que je ne comprends pas bien dans ta conf (mais j'ai lu ça assez rapidement) ni dans les tests que tu fais: tu nous parles de 10.0.8.1 alors que la route dont tu sembles hériter via la connexion VPN semble être 10.0.8.9 (ta machine étant, sur TAP, en 10.0.8.10
-
Bonjour Chris4916,
Dans mes tests je parle de la 10.0.8.1 mais pas de la 8.9 que j'ai découverte en faisant les tests proposés.
-
Dans le paramétrage du serveur OpenVPN, on indique un réseau, dans la doc c'est 10.0.8.0/24.
Mais dans la pratique, pour éviter de discuter avec d'autres clients VPN, il y a un 'sous'-réseau qui est utilisé : masque 255.255.255.252 -> 2 machines seulement : le serveur et le client !Il est parfaitement anormal qu'aucune passerelle ne soit fournie ! (Moi, pour tous les pfSense que j'ai installé, elle était fournie !)
Il est notable que la config OpenVPN côté serveur et côté client est importante : le fichier de conf serveur est réputé correcte, quelle est la config client : fichier .ovpn ?
-
Je ne peux que confirmer deux aspects cruciaux côté client :
1. Exécution en tant qu'administrateur.
2. Contenu du fichier de configuration. -
@jdh:
Dans le paramétrage du serveur OpenVPN, on indique un réseau, dans la doc c'est 10.0.8.0/24.
Mais dans la pratique, pour éviter de discuter avec d'autres clients VPN, il y a un 'sous'-réseau qui est utilisé : masque 255.255.255.252 -> 2 machines seulement : le serveur et le client !Exact.. si il n'y a qu'un seul client.
Dans le cas ou plusieurs clients sont attendus, il faut bien sûr adapter le masque.
Ceci est vrai dans le cas de clients VPN "end-users" mais également lorsqu'on construit des réseaux VPN "site-to-site":- pour un réseau mesh, un masque "étroit" limite le scope
- pour un réseau "hub & spoke" il faut là aussi adapter son masque au nombre de clients
En revanche, dans ma compréhension, la taille du masque ne présume pas de la capacité des différents clients VPN à communiquer entre eux. Ceci est géré par le serveur VPN. Me trompe-je ?
Il est parfaitement anormal qu'aucune passerelle ne soit fournie ! (Moi, pour tous les pfSense que j'ai installé, elle était fournie !)
Si je lis bien ce que nous montre Tony, il y a bien une passerelle en 10.0.8.9 ;-)
-
Une fois la connexion VPN établie, je ping bien la 10.0.8.1 qui, je pense doit correspondre à la passerelle. La 10.0.8.2 ne répond pas au ping. D'ailleurs à quoi sert t'elle? :o
Si 10.0.8.2 ne répond pas au ping et que l'on regarde t'es route, comme la souligné Chris4916 on vois une GW en 10.0.8.9
Si tu a laissé le masque de ton tunnel en /24 il est possible que la GW en .9 et pas en .2 comme on pourrais s'y attendre.Je te propose donc d'essayer de joindre cette passerelle depuis ton tunnel puis depuis t'es différents LAN pour que nous aider a y voir plus clair, enfin pour moi en tout cas.
-
Je te propose donc d'essayer de joindre cette passerelle depuis ton tunnel puis depuis t'es différents LAN pour que nous aider a y voir plus clair, enfin pour moi en tout cas.
Le premier point pour savoir de quoi on parle consiste à vérifier le fichier de configuration côté client.
Puis les logs côté client lors de l'établissement d'une connexion.
Nous répétons : un push route ne sert à rien si le client vpn est incapable de modifier la table de routage côté client. Le cas échéant cela se voit dans les logs. -
Bonjour à tous,
Ci dessous le fichier de conf avant l'établissement de la connexion:
dev tun
persist-tun
persist-key
cipher BF-CBC
auth SHA1
tls-client
client
resolv-retry infinite
remote 192.168.100.100 1194 udp
lport 0
auth-user-pass
ca pfSense-udp-1194-ca.crt
tls-auth pfSense-udp-1194-tls.key 1
ns-cert-type server -
Re,
Une fois connecté, voici le log :
Thu Apr 16 12:43:39 2015 OpenVPN 2.3.6 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Mar 19 2015
Thu Apr 16 12:43:39 2015 library versions: OpenSSL 1.0.1m 19 Mar 2015, LZO 2.08
Enter Management Password:
Thu Apr 16 12:43:47 2015 Control Channel Authentication: using 'pfSense-udp-1194-tls.key' as a OpenVPN static key file
Thu Apr 16 12:43:47 2015 UDPv4 link local (bound): [undef]
Thu Apr 16 12:43:47 2015 UDPv4 link remote: [AF_INET]192.168.100.100:1194
Thu Apr 16 12:43:47 2015 WARNING: this configuration may cache passwords in memory – use the auth-nocache option to prevent this
Thu Apr 16 12:43:47 2015 [SERVER_VPN] Peer Connection Initiated with [AF_INET]192.168.100.100:1194
Thu Apr 16 12:43:50 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Thu Apr 16 12:43:50 2015 open_tun, tt->ipv6=0
Thu Apr 16 12:43:50 2015 TAP-WIN32 device [Connexion au réseau local 2] opened: \.\Global{092767EA-5056-4025-A3EE-63A84C76D4D0}.tap
Thu Apr 16 12:43:50 2015 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.0.8.6/255.255.255.252 on interface {092767EA-5056-4025-A3EE-63A84C76D4D0} [DHCP-serv: 10.0.8.5, lease-time: 31536000]
Thu Apr 16 12:43:50 2015 Successful ARP Flush on interface [15] {092767EA-5056-4025-A3EE-63A84C76D4D0}
Thu Apr 16 12:43:55 2015 Initialization Sequence Completedpar curiosité j'ai relancé un route print et la surprise, la passerelle a changé! Ci dessous le log :
Microsoft Windows [version 6.1.7601]
Copyright 2009 Microsoft Corporation. Tous droits réservés.C:\Users\administrateur>ipconfig
Configuration IP de Windows
Carte Ethernet Connexion au réseau local 2 :
Suffixe DNS propre à la connexion. . . : SIO.local
Adresse IPv4. . . . . . . . . . . . . .: 10.0.8.6
Masque de sous-réseau. . . . . . . . . : 255.255.255.252
Passerelle par défaut. . . . . . . . . :Carte Ethernet Connexion au réseau local :
Suffixe DNS propre à la connexion. . . :
Adresse IPv6 de liaison locale. . . . .: fe80::38d5:9786:b827:effc%10
Adresse IPv4. . . . . . . . . . . . . .: 192.168.100.1
Masque de sous-réseau. . . . . . . . . : 255.255.255.0
Passerelle par défaut. . . . . . . . . :Carte Tunnel isatap.{88B885F9-3B44-4E1C-88F4-44B331D8DE5B} :
Statut du média. . . . . . . . . . . . : Média déconnecté
Suffixe DNS propre à la connexion. . . :Carte Tunnel Teredo Tunneling Pseudo-Interface :
Statut du média. . . . . . . . . . . . : Média déconnecté
Suffixe DNS propre à la connexion. . . :Carte Tunnel isatap.SIO.local :
Statut du média. . . . . . . . . . . . : Média déconnecté
Suffixe DNS propre à la connexion. . . : SIO.localC:\Users\administrateur>route print
Liste d'Interfaces
15...00 ff 09 27 67 ea ......TAP-Windows Adapter V9
10...08 00 27 de 55 01 ......Carte Intel(R) PRO/1000 MT pour station de travail1...........................Software Loopback Interface 1
11...00 00 00 00 00 00 00 e0 Carte Microsoft ISATAP
13...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
14...00 00 00 00 00 00 00 e0 Carte Microsoft ISATAP #2IPv4 Table de routage
Itinéraires actifs :
Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique
10.0.8.0 255.255.255.0 10.0.8.5 10.0.8.6 20
10.0.8.4 255.255.255.252 On-link 10.0.8.6 276
10.0.8.6 255.255.255.255 On-link 10.0.8.6 276
10.0.8.7 255.255.255.255 On-link 10.0.8.6 276
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.1.0 255.255.255.0 10.0.8.5 10.0.8.6 20
192.168.100.0 255.255.255.0 On-link 192.168.100.1 266
192.168.100.1 255.255.255.255 On-link 192.168.100.1 266
192.168.100.255 255.255.255.255 On-link 192.168.100.1 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.100.1 266
224.0.0.0 240.0.0.0 On-link 10.0.8.6 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.100.1 266
255.255.255.255 255.255.255.255 On-link 10.0.8.6 276Itinéraires persistants :
AucunIPv6 Table de routage
Itinéraires actifs :
If Metric Network Destination Gateway
1 306 ::1/128 On-link
10 266 fe80::/64 On-link
10 266 fe80::38d5:9786:b827:effc/128
On-link
1 306 ff00::/8 On-link
10 266 ff00::/8 On-linkItinéraires persistants :
AucunC:\Users\administrateur>
L'adresse 10.0.8.5 ne répond pas au ping mais la 10.0.8.6 répond au ping.
J'ai refait un tracert et la passerelle semble être la 8.1 :
C:\Users\administrateur>tracert 192.168.1.1
Détermination de l'itinéraire vers 192.168.1.1 avec un maximum de 30 sauts.
1 2 ms 4 ms 2 ms 10.0.8.1
2 ^C
C:\Users\administrateur>Pour rappel la 8.1 est l'adresse que je vois lorsque je fais un ifconfig sur le serveur pfsense.
NOTE : Toutes les connexions au VPN se font en tant qu'administrateur.
Cordialement
-
Pour un client Windpws 7, ajouter ces deux lignes dans le fichier de configuration .ovpn.
route-method exe route-delay 2 -
J'ai rajouté ce que tu m'as demandé dans le fichier de conf et malheureusement ça ne change rien. Toujours pas de passerelle d'attribuée. un route print indique toujours la passerelle en 10.0.8.5 qui ne ping pas et un tracert vers mon lan en 1.0 indique comme premier saut, donc la passerelle la 10.0.8.1.
Cordialement,
EDIT : Après avoir modifié mon fichier de conf il y a cette ligne qui s'est ajoutée après la connexion :
NOTE : unable to redirect default gateway – Cannot read current default gateway from system.
Cependant quand dans l'interface graphique, je décoche la case devant "Redirect Gateway" et que je me reconnecte cette ligne disparait.
Dois-je laisser cocher "default gateway"?
-
Via, Pfsense onglet diagnostique puis ping, le ping depuis le lan (192.168.1.10) vers la 10.0.8.5 (passerelle d'après le route print) ne répond pas mais la 10.0.8.6 (interface d'après le route print) et la 10.0.8.1 répondent.
-
NOTE : unable to redirect default gateway – Cannot read current default gateway from system.
Niveau de privilège insuffisant pour le client vpn.
Cependant quand dans l'interface graphique, je décoche la case devant "Redirect Gateway" et que je me reconnecte cette ligne disparait.
Dois-je laisser cocher "default gateway"?
Oui
-
Niveau de privilège insuffisant pour le client vpn.
Je suis connecté en tant qu'admin du domaine et je l'exécute en tant que… Mon firewall est désactivé, Mon UAC est au plus bas.
Que me recommandes-tu de faire en plus?
-
Moi rien, mais l'appli oui ! L'installation doit aussi être effectuée avec les privilèges maximum.
-
OK, j'ai compris d'ou venait mon problème. De base, j'ai pas de passerelle sur ma machine cliente (j'en ai pas l’intérêt).
Du coup en mettant une passerelle bidon et en me reconnectant je n'ai pu ce message.En relisant les logs que je vous ai posté Today at 05:56:12 un point m'interpelle. En effet, c'est le serveur DHCP en 10.0.8.5 qui m'attribue une IP. Jusque la rien d’étonnant, mais ce qui l'ai plus c'est que c'est également ma passerelle ! (voir le route print). Est-ce normal?
-
Je viens de faire le test : Openvpn ne me fournit pas passerelle par defaut (pas de redirect gateway).
Et je ne vois pas pourquoi Openvpn le ferait !
(Ma passerelle m'est fournie par l'interface active !)