Pfsense - openvpn client/site
-
bonjour,
j'ai monte un pfsense multiwan…
je decide d'utiliser un des WAN pour monter un serveur OPENVPN pour que les clients nomades puisse se connecter au LAN.... mais ce ne veut pas.... j'ai fait et refait la config .. lu et relu des tuto.... mais il il doit y avoir un schmilblick...
la connexion s’amorce (constaté par analyse des log) et c'est un timeout de 60s qui vient m'annoncer l’échec. Les log de "Openvpn Gui" et du modules "OpenVpn" de pfsense sont pas "aidant".
openvon gui:
Tue May 26 08:30:43 2015 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue May 26 08:30:43 2015 TLS Error: TLS handshake failed
Tue May 26 08:30:43 2015 SIGUSR1[soft,tls-error] received, process restartinglog openvpn sur pfsense (voir attach)
J'opte pour un problème de routage ou de Nat…. doit-on paramétrer manuellement un de ces paramètres lorsqu'on utilise la fonction "Wizard".....
Pour etre sur j'ai essaye de monter la connexion VPN a l’intérieur de mon LAN et c'est OK.... donc je pense qu'on peut éliminer le problème de certificat ou de login/password.
Avez vous une piste a me proposer?
merci d'avance
[log pfsense openvpn.txt](/public/imported_attachments/1/log pfsense openvpn.txt)
-
Hello,
Je n'ai jamais configuré de VPN via le Wizard, mais cependant si ton problème as des soucis ou perte de paquets essaye en TCP juste pour voir se que ça donne.As-tu bien copié ta ta.key :3 ? Jdemande au cas ou ::)
-
Ces messages d'erreurs sont caractéristiques d'un problème d'authentification ou tout simplement de liaison. Merci de poster votre fichier de configuration complet pour le client.
-
c'est le fichier généré par le module export dont l'extension est ".ovpn" qui vous intéresserait?
comment expliqueriez-vous que je puisse monter mon tunnel VPN si le PC est placé dans le LAN avec un problème de config "client"?toutefois… merci de votre aide
-
Oui.
Un problème de routage par exemple. Monter le tunnel c'est bien mais ce n'est pas pour autant que vous atteignez nécessairement la destination souhaitée. -
TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
C'est certes écrit en anglais, mais c'est très clair : OpenVPN s'appuie sur TLS, donc il faut que TOUS les éléments utiles et SEULEMENT ceux utiles soit présent, et ce n'est pas le cas ! (Typiquement on oublie Diffie Helman …)
Je suis sceptique : vous avez lu des tutos, et pourtant vous ne citez pas celui que vous avez suivi, ni encore moins les étapes.
Que dire de l'absence d'un fichier de conf .openvpn ?
Que dire de l'absence de copies d'écran de la config de serveur ?Je n'ai pas bien l'impression que vous voulez une aide? (Car quand on veut une aide, on indique des choses ...)
-
pour jdh: merci pour le conseil…. très agressif
pour ccnet: "monter le tunnel" est vraiment l'étape bloquante actuellement. Quand j'évoque une piste de problème de routage, il s'agit du routage nécessaire au dialogue (Diffie Helman) d'échange de clé... mais je suis peut être dans le faux. Le routage "post-construction du tunnel" sera un autre problème (ou ne sera peut être pas)....
le fait je puisse initier le dialogue lorsque le client est a l'extérieur (mais sans pourvoir finir ce dialogue) et le fait de pouvoir monter tunnel lorsque le client est sur le LAN ma laisse dans l'expectative.....
sport2k-udp-1194-jean.ovpn.txt
sport2k-udp-1194-jean.log.txt -
il s'agit du routage nécessaire au dialogue (Diffie Helman) d'échange de clé.
Ne mélangez pas tout. Dès lors que vous pouvez effectivement joindre le serveur OPenvpn sur le port 1194 le tunnel pourrait être monté correctement.
A vérifier dans l'ordre :
La présence des fichiers .p12 et .key corrects sur le client. Il semble que ce soir le cas.
La possibilité de joindre effectivement le serveur de destination. Ce qui suppose sur celui-ci l'autorisation depuis any vers l'ip du vpn pour UDP/1194. A vérifier en regardant les logs.
Ensuite si vous voulez parler paramètres cryptographiques, vous ne devriez pas utiliser sha-1 pour le Hmac. Il n'est plus considéré comme sûr.
Dans votre fichier ovpn, si votre client est une machine Windows Seven il manque deux lignes de configuration, cette fois ci pour le routage justement :route-method exe route-delay 2Par ailleurs le routage dépendra de l'option push route éventuelle côté serveur.
Aucun nat n'est nécessaire du côté du serveur.
Vérifiez tout cela et laissez Diffie et Hellman tranquilles !