[Résolu] Connection Timeout avec OpenVPN Connect Mobile Client sur pfSense 2.4.3

pHoEnIxFuRy

Bonjour,
J'utilisais OpenVPN sur un ancien serveur (x86) avec pfSense 2.3.2.
Tout fonctionnait sans problème côté client VPN que ce soit sur PC ou sur Smartphone.
Afin de pouvoir profiter de pfSense 2.4.x et suite à un déménagement, j'ai migré sur un nouveau serveur comptabile 64bit et reconfiguré OpenVPN.
Avec ce nouveau serveur, je parviens toujours à me connecter en VPN depuis le PC (OpenVPN GUI) mais pas depuis le Smartphone (OpenVPN Connect Mobile Client).
Le client mobile reste un moment sur "connecting" puis fini en "connection timeout" sans autre erreur spécifique dans les logs.
J'ai comparé tous les paramètres entre l'ancien et le nouveau serveur et tout me semble correct.
Le fait que le PC parvient à se connecter au VPN et non le smartphone me fait pencher pour une "limitation" du coté du client mobile vis à vis du nouveau serveur.
J'ai essayé de changer quelques paramètres mais je n'arrive pas à trouver ce qui coince.
Quelqu'un aurait-il une idée à me soumettre ?
Merci d'avance.

jdh

Les nouveaux gagnent à lire le fil A LIRE EN PREMIER.

Pensez vous vraiment fournir des éléments d'informations ?
Parce que moi, je ne vois aucun élément qui pourrait indiquer une piste :

• des logs : rien, ni côté client, ni côté serveur,
• config client : rien,

Bref ...

pHoEnIxFuRy

Merci pour cette réponse rapide pleine de « bienveillance ».

A tout hasard, j’ai cliqué sur votre pseudo pour savoir si j’avais affaire à un admin/modo et les quelques extraits de message m’ont permis d’y voir un peu plus clair.

Quoi qu’il en soit, j’avais bien lu le topic indiqué mais les 3/4 des éléments évoqués ne me semblaient pas pertinent concernant ce problème.

J’ai tenté de fournir le 1/4 restant au travers de mon premier message.

J’imaginais bien que des éléments supplémentaires me seraient demandés mais je ne savais pas lesquels fournir dans l’immédiat.

Je rajouterais ces éléments demain car je n’y ai pas accès pour le moment.

Bonne soirée.

jdh

@phoenixfury said in Connection Timeout avec OpenVPN Connect Mobile Client sur pfSense 2.4.3:

Le client mobile reste un moment sur "connecting" puis fini en "connection timeout" sans autre erreur spécifique dans les logs

OpenVPN fournit des logs parfaitement précis, qui permettent de voir ce qui se passe ...
C'est la base.
Et c'est pour cela que cela a été inscrit dans le formulaire (j'ai ma responsabilité dans celui-ci).

Vous avez déjà décidé qu'il n'y avait là rien d'utile, c'est votre droit.
Vous ne cherchez rien dans la comparaison des config, des logs, c'est votre droit.
Vous n'avez pas d'idées, c'est votre droit.
Et bien démerdez vous (avec votre esprit supérieur) ...

Pour préciser notre sérieuse différence, je suis inscrit sur ce forum depuis 11 ans, je suis mathématicien de formation, j'ai donc un esprit scientifique face à des problèmes techniques ce qui me permet d'en résoudre pas mal par la réflexion, et enfin je n'insulte pas les autres même par allusion ...

pHoEnIxFuRy

Tant de condescendance et de vanité ! (ceci n’est effectivement plus une allusion, et en aucun cas une insulte, mais une simple constation)

A contrario, je ne pense pas me poser en « esprit supérieur » sinon pourquoi venir demander de l’aide ?

J’avais bien cru comprendre au travers de vos autres messages, votre expertise vis à vis d’OpenVPN (entre autres choses et sans aucune ironie).

Votre réponse commençait ainsi très bien et votre égo a malheureusement pris le dessus ensuite.

Il est juste dommage d’accueillir les « nouveaux » de cette façon car cela n’engage pas vraiment au dialogue ce qui semble pourtant la base dans un forum.

Vous parlez d’insulte et me dites en même temps d’aller me « démerder » ...

Je vais quand même me permettre de préciser quelques points avant d’arrêter de vous déranger.

J’ai justement évoqué ma comparaison des configs entre mes deux serveurs.

Je n’ai pas encore fournis de logs car en plus d’être précis (ce qui rend fastidieux d’expurger les nombreuses données personnelles), ils sont aussi très nombreux.

Ne sachant lesquels fournir précisément dans un premier temps, j’attendais donc une première indication (ce que vous avez fait si gentiment).

Je n’ai pas dis non plus que tout ce qui était demandé dans le topic « à lire » était inutile mais que certains points ne me « semblaient » pas pertinent pour ce problème.

Je n’avance aucune expertise et c’est justement la raison de l’ouverture de ce topic après avoir recherché (sûrement mal) une solution pendant plusieurs jours.

Libre à vous également d’interpreter mes réponses avec tant de rigueur mais nous ne sommes pas tous d’éminents mathématiciens.

Enfin vous me reprochiez également de ne pas indiquer de piste mais le fait que le nouveau serveur ne fonctionne qu’avec le client pc et non le client mobile me semblait pourtant en être une.

Paradoxalement j’etais parti pour poster sur la partie anglophone puis je me suis dit que le dialogue serait plus simple en français.

Il faut croire que je m’étais trompé.

Merci quand même pour vos réponses mais sachez que la forme a parfois autant d’importance que le fond lorsqu’on échange avec quelqu’un.

ccnet

Sans les logs lors du time oit d’un client mobile ça va être très compliqué. Pour le moment vous nous dites : ça marche pas. Ok. Mais c’est un peu juste pour esquisser un début de diagnostic,

pHoEnIxFuRy

Oui j’en ai bien conscience et j’avais d’ailleurs annoncé que je les posterais dès que possible demain.

J’ai ouvert ce poste en désespoir de cause avant de partir du boulot.

L’idée c’était dans un premier temps de voir si ce problème (client mobile qui ne fonctionne plus sur la dernière version serveur) s’était déjà présenté.

J’ai déjà participer à des forums afin d’aider les autres et je sais qu’il est agaçant de voir certaines demandes ne pas respecter un minimum de règles.

Mais là je dois avouer que l’accueil m’a semblé plus que glacial.

jdh

Il y a 2 sortes de nouveaux :

• ceux qui lisent les fils étiquetés et en particulier A LIRE EN PREMIER, formulaire destiné à fournir des infos DES LE DEPART du fil,
• ceux qui sont BEAUCOUP trop pressés.

Pour votre PREMIER fil, vous ne respectez ni le formulaire ni ceux qui répondent sur ce forum (ceux qui apportent de leur expertise).
Votre situation ne trouvera de solutions QU'à partir des logs, et, en plus, vous en avez conscience !

Dans ma première réponse, je vous pose la question 'fournissez vous des infos', et je cites (déjà) les logs.
La logique eut été de répondre : oui je n'ai pas fourni d'informations et voici les logs.
Et beh non, l'accueil est glacial et que de condescendances (sous-entendu ce n'est pas de ma faute, mais celle des autres).

C'est vous qui ne vous prenez pas par la main, et qui êtes responsable de cette situation (et non l'inverse).

Si vous aviez, comme un esprit avisé l'aurait fait, fourni

• la config du client PC
• les paramétrage du client mobile (parce qu'on ne rentre pas 'tel que' un fichier de conf)
• les logs de connexion côté client PC, avec le log côté serveur
• les logs de connexion côté mobile, avec le log côté serveur
  Vous croyez VRAIMENT qu'il aurait X posts NULS dans ce fil ?

Donc, maintenant de 2 choses l'une ...

En fait le formulaire, qui est pourtant assez facile à utiliser et destiné à fournir de l'info utile dès le départ, est sans doute trop subtil pour une certaine catégorie de personnes, laquelle invariablement se lamente et récrimine ...

pHoEnIxFuRy

S’il est facile de catégoriser les gens, dans quelles catégories me placeriez-vous sachant que j’ai effectivement lu les fils étiquetés avant d’ouvrir celui-ci ? (libre à vous de ne pas me croire)

Un problème de temps ? Très certainement, je l’avoue sans contrainte.

Comme expliqué plus haut, j’ai ouvert ce topic juste avant de débaucher et je ne savais pas quel log poster pour commencer.

Et lorsque je dis avoir pris conscience de leur importance, c’est en lisant votre première réponse et pas avant (depuis mon mobile et sans possibilité de fournir les précieux logs).

Vous évoquez un manque de respect et ce n’est bien évidemment pas mon point de vue et encore moins ma volonté.

Sans oublier que le respect ça fonctionne dans les deux sens ...

Malgré tout, je dois dire que votre dernière réponse m’a donné des précisons que je n’attendais pas (même si la forme reste toujours « difficile ») et pour cela je vous en remercie.

jdh

L'informatique est une technique, et non une science.
Pour résoudre des problèmes informatiques, il faut donc :

• de la connaissance : les protocoles, les bonnes pratiques, ais je le niveau, ais je la pratique, ...
• de l'observation : analyse de la situation, message d'erreurs, logs, suis je trop focalisé, le problème est-il à un autre endroit, ...
• de la réflexion : ce que je fais est-il logique, ce que j'observe est-il logique, ce que je lis est-il en rapport avec ma situation, ...
• de la communication : ce que j'écris est-il compréhensible, ce que j'écris est-il cohérent avec ma situation, est ce que je décris suffisamment, ...

Le forum français correspond à l'esprit 'français' :

• absence quasi-totale de recherche préalable : dans le forum, dans la doc, sur le web,
• informations absentes, descriptions très insuffisantes
• manque quasi-total de respect pour ceux qui répondent
• suffisance : j'ai décrit ce que je pense utile, pas un instant, j'imagine que des éléments périphériques sont TRES important, et ce n'est pas de la faute !

D'où les innombrables fils répétition, déjà vu et déjà traité, vide, irrespect, ...
La conséquence est évidente : ras le bol pour ceux qui répondent et démotivation (et départ !), sentiment de gâchis, de vide, de nausée ...
Oui, le forum français est décevant ... mais il est ce que les utilisateurs y mettent !

Quelques exemples :
Il y a quelques jours, un nouveau écrivait que la doc était introuvable, alors que 'documentation pfsense' donne en premier lien.
Vous recherchez mes posts (et vous avez un avis sur moi), alors que vous auriez dû chercher OpenVPN AVANT : il y a 15 jours, un fil sur OpenVPN montrait la nécessité des logs et que le log indiquait un problème lié à quelque chose élémentaire et bien sûr non décrit.
Peut-on démarrer un fil sur OpenVPN sans fournir le moindre log ? NON assurément !

Les anglophones ont leur RTFM. Les français devraient avoir

• LLDA : Lis La Doc d'Abord
• RDLFA : Recherche Dans Le Forum d'Abord
• FDIU et RLF : Fournit Des Informations Utiles et Remplit Le Formulaire

(Si tu veux être respecté, respectes ces commandements très 'évidents' et les autres ...)

pHoEnIxFuRy

Je partage et comprend complètement cette analyse.

J'admet également ne pas avoir respecté les commandements à la lettre pour les raisons déjà donnés précédemment.

Je ne reviendrais donc pas sur ce qui a déjà été dit à l'exception de mon avis sur vous.

Je n'ai pas lu vos autres posts dans le but de me forger un avis mais afin de comprendre ce qui motivait un telle réponse de votre part.

Ceci étant dit, j'ai l'habitude de composer avec des tempéraments pour le moins difficile et je sais faire la part des choses.

Je posterai les logs ce matin si le temps me le permet bien évidemment.

pHoEnIxFuRy

J'ai eu le temps de faire quelques tests avant d'entrer en réunion ce matin.

Les deux clients (mobile et PC) ont été configuré via l'outil Client Export Utility (packet openvpn-client-export).

Pour le PC via l'outil, j'ai pris "Current Windows Installer (2.4.6-Ix02)" qui contient le programme et la config.

Pour le Smartphone toujours via l'outil, j'ai pris "OpenVPN Connect (iOS/Android)" qui m'a fournit un fichier .ovpn (transféré via un dossier Cloud) ouvert directement avec l'app OpenVPN Connect Mobile Client (issu de l'App Store).

Le client PC est sous Windows 10 avec OpenVPN GUI v 10.
La connexion se fait via le partage de connexion 4G du Smartphone incriminé sans aucun problème.

Voici la config PC :

dev tun
persist-tun
persist-key
cipher AES-256-CBC
auth SHA256
tls-client
client
resolv-retry infinite
remote XXX.XXX.XXX.XXX 1194 udp
verify-x509-name "XXX" name
auth-user-pass
pkcs12 pfSense-UDP4-1194.p12
tls-auth pfSense-UDP4-1194-tls.key 1
remote-cert-tls server

Et voici le log de connexion PC :

Wed Aug 22 09:52:43 2018 OpenVPN 2.3.11 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on May 10 2016
Wed Aug 22 09:52:43 2018 Windows version 6.2 (Windows 8 or greater) 64bit
Wed Aug 22 09:52:43 2018 library versions: OpenSSL 1.0.1t  3 May 2016, LZO 2.09
Enter Management Password:
Wed Aug 22 09:52:48 2018 Control Channel Authentication: using 'pfSense-UDP4-1194-tls.key' as a OpenVPN static key file
Wed Aug 22 09:52:48 2018 UDPv4 link local (bound): [undef]
Wed Aug 22 09:52:48 2018 UDPv4 link remote: [AF_INET]XXX.XXX.XXX.XXX:1194
Wed Aug 22 09:52:48 2018 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Wed Aug 22 09:52:49 2018 [CLLT2] Peer Connection Initiated with [AF_INET]XXX.XXX.XXX.XXX:1194
Wed Aug 22 09:52:52 2018 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Wed Aug 22 09:52:52 2018 open_tun, tt->ipv6=0
Wed Aug 22 09:52:52 2018 TAP-WIN32 device [Ethernet 2] opened: \\.\Global\{1E0236F2-1DA6-4C50-84FC-D2200566A862}.tap
Wed Aug 22 09:52:52 2018 Set TAP-Windows TUN subnet mode network/local/netmask = 192.168.95.0/192.168.95.2/255.255.255.0 [SUCCEEDED]
Wed Aug 22 09:52:52 2018 Notified TAP-Windows driver to set a DHCP IP/netmask of 192.168.95.2/255.255.255.0 on interface {1E0236F2-1DA6-4C50-84FC-D2200566A862} [DHCP-serv: 192.168.95.254, lease-time: 31536000]
Wed Aug 22 09:52:52 2018 Successful ARP Flush on interface [5] {1E0236F2-1DA6-4C50-84FC-D2200566A862}
Wed Aug 22 09:52:57 2018 Initialization Sequence Completed

Le client mobile est sous iOS 11.4.1 avec OpenVPN Connect Mobile Client 1.2.9.
La connexion se fait en 4G sans succès.

Voici la config Smartphone :

persist-tun
persist-key
cipher AES-256-CBC
auth SHA256
tls-client
client
remote XXX.XXX.XXX.XXX 1194 udp
setenv opt block-outside-dns
lport 0
verify-x509-name "XXX" name
auth-user-pass
remote-cert-tls server

<ca>
-----BEGIN CERTIFICATE-----
XXX
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
XXX
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
XXX
-----END PRIVATE KEY-----
</key>
key-direction 1
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
XXX
-----END OpenVPN Static key V1-----
</tls-auth>

Et voici le log de connexion Smartphone :

2018-08-22 09:53:49 EVENT: RESOLVE
2018-08-22 09:53:49 Contacting [XXX.XXX.XXX.XXX]:1194/UDP via UDP
2018-08-22 09:53:49 EVENT: WAIT
2018-08-22 09:53:49 Connecting to [XXX.XXX.XXX.XXX]:1194 (XXX.XXX.XXX.XXX) via UDPv4
2018-08-22 09:53:49 EVENT: CONNECTING
2018-08-22 09:53:49 Tunnel Options:V4,dev-type tun,link-mtu 1569,tun-mtu 1500,proto UDPv4,keydir 1,cipher AES-256-CBC,auth SHA256,keysize 256,tls-auth,key-method 2,tls-client
2018-08-22 09:53:49 Creds: Username/Password
2018-08-22 09:53:49 Peer Info:
IV_GUI_VER=net.openvpn.connect.ios 1.2.9-0
IV_VER=3.2
IV_PLAT=ios
IV_NCP=2
IV_TCPNL=1
IV_PROTO=2

2018-08-22 09:53:49 VERIFY OK : depth=1
cert. version    : 3
serial number    : 00
issuer name      : C=FR, ST=IDF, L=XXX, O=XXX, emailAddress=XXX@XXX.XXX, CN=XXX, OU=IR
subject name      : C=FR, ST=IDF, L=XXX, O=XXX, emailAddress=XXX@XXX.XXX, CN=XXX, OU=IR
issued  on        : 2018-08-20 06:53:18
expires on        : 2028-08-17 06:53:18
signed using      : RSA with SHA-256
RSA key size      : 2048 bits
basic constraints : CA=true
key usage        : Key Cert Sign, CRL Sign

2018-08-22 09:53:49 VERIFY OK : depth=0
cert. version    : 3
serial number    : 01
issuer name      : C=FR, ST=IDF, L=XXX, O=XXX, emailAddress=XXX@XXX.XXX, CN=XXX, OU=IR
subject name      : C=FR, ST=IDF, L=XXX, O=XXX, emailAddress=XXX@XXX.XXX, CN=XXX2, OU=IR
issued  on        : 2018-08-20 06:54:25
expires on        : 2028-08-17 06:54:25
signed using      : RSA with SHA-256
RSA key size      : 2048 bits
basic constraints : CA=false
subject alt name  : XXX
cert. type        : SSL Server
key usage        : Digital Signature, Key Encipherment
ext key usage    : TLS Web Server Authentication, ???

2018-08-22 09:53:49 tls-remote validation
  tls-remote: 'XXX'
  Subj: '/C=FR/ST=IDF/L=XXX/O=XXX/emailAddress=XXX@XXX.XXX/CN=XXX/OU=IR'
  CN: 'XXX2'
2018-08-22 09:54:34 Session invalidated: KEEPALIVE_TIMEOUT
2018-08-22 09:54:34 Client terminated, restarting in 2000 ms...
2018-08-22 09:54:36 EVENT: RECONNECTING
2018-08-22 09:54:36 EVENT: RESOLVE
2018-08-22 09:54:36 Contacting [XXX.XXX.XXX.XXX]:1194/UDP via UDP
2018-08-22 09:54:36 EVENT: WAIT
2018-08-22 09:54:36 Connecting to [XXX.XXX.XXX.XXX]:1194 (XXX.XXX.XXX.XXX) via UDPv4
2018-08-22 09:54:36 EVENT: CONNECTING
2018-08-22 09:54:36 Tunnel Options:V4,dev-type tun,link-mtu 1569,tun-mtu 1500,proto UDPv4,keydir 1,cipher AES-256-CBC,auth SHA256,keysize 256,tls-auth,key-method 2,tls-client
2018-08-22 09:54:36 Creds: Username/Password
2018-08-22 09:54:36 Peer Info:
IV_GUI_VER=net.openvpn.connect.ios 1.2.9-0
IV_VER=3.2
IV_PLAT=ios
IV_NCP=2
IV_TCPNL=1
IV_PROTO=2

2018-08-22 09:54:36 VERIFY OK : depth=1
cert. version    : 3
serial number    : 00
issuer name      : C=FR, ST=IDF, L=XXX, O=XXX, emailAddress=XXX@XXX.XXX, CN=XXX, OU=IR
subject name      : C=FR, ST=IDF, L=XXX, O=XXX, emailAddress=XXX@XXX.XXX, CN=XXX, OU=IR
issued  on        : 2018-08-20 06:53:18
expires on        : 2028-08-17 06:53:18
signed using      : RSA with SHA-256
RSA key size      : 2048 bits
basic constraints : CA=true
key usage        : Key Cert Sign, CRL Sign

2018-08-22 09:54:36 VERIFY OK : depth=0
cert. version    : 3
serial number    : 01
issuer name      : C=FR, ST=IDF, L=XXX, O=XXX, emailAddress=XXX@XXX.XXX, CN=XXX, OU=IR
subject name      : C=FR, ST=IDF, L=XXX, O=XXX, emailAddress=XXX@XXX.XXX, CN=XXX, OU=IR
issued  on        : 2018-08-20 06:54:25
expires on        : 2028-08-17 06:54:25
signed using      : RSA with SHA-256
RSA key size      : 2048 bits
basic constraints : CA=false
subject alt name  : XXX
cert. type        : SSL Server
key usage        : Digital Signature, Key Encipherment
ext key usage    : TLS Web Server Authentication, ???

2018-08-22 09:54:36 tls-remote validation
  tls-remote: 'XXX'
  Subj: '/C=FR/ST=IDF/L=XXX/O=XXX/emailAddress=XXX@XXX.XXX/CN=XXX/OU=IR'
  CN: 'XXX'
2018-08-22 09:54:50 EVENT: CONNECTION_TIMEOUT [ERR]
2018-08-22 09:54:50 Raw stats on disconnect:
  BYTES_IN : 8744
  BYTES_OUT : 74316
  PACKETS_IN : 14
  PACKETS_OUT : 67
  KEEPALIVE_TIMEOUT : 1
  CONNECTION_TIMEOUT : 1
  N_RECONNECT : 1
2018-08-22 09:54:50 Performance stats on disconnect:
  CPU usage (microseconds): 192909
  Network bytes per CPU second: 430565
  Tunnel bytes per CPU second: 0
2018-08-22 09:54:50 EVENT: DISCONNECTED
2018-08-22 09:54:50 Raw stats on disconnect:
  BYTES_IN : 8744
  BYTES_OUT : 74316
  PACKETS_IN : 14
  PACKETS_OUT : 67
  KEEPALIVE_TIMEOUT : 1
  CONNECTION_TIMEOUT : 1
  N_RECONNECT : 1
2018-08-22 09:54:50 Performance stats on disconnect:
  CPU usage (microseconds): 195144
  Network bytes per CPU second: 425634
  Tunnel bytes per CPU second: 0

Et pour finir voici le log côté serveur :

Aug 22 09:52:49	openvpn	19533	XXX.XXX.XXX.XXX:37723 peer info: IV_VER=2.3.11
Aug 22 09:52:49	openvpn	19533	XXX.XXX.XXX.XXX:37723 peer info: IV_PLAT=win
Aug 22 09:52:49	openvpn	19533	XXX.XXX.XXX.XXX:37723 peer info: IV_PROTO=2
Aug 22 09:52:49	openvpn	19533	XXX.XXX.XXX.XXX:37723 peer info: IV_GUI_VER=OpenVPN_GUI_10
Aug 22 09:52:49	openvpn		user 'Yannick' authenticated
Aug 22 09:52:49	openvpn	19533	XXX.XXX.XXX.XXX:37723 [Yannick] Peer Connection Initiated with [AF_INET]XXX.XXX.XXX.XXX:37723
Aug 22 09:52:49	openvpn	19533	Yannick/XXX.XXX.XXX.XXX:37723 MULTI_sva: pool returned IPv4=192.168.95.2, IPv6=(Not enabled)

Aug 22 09:54:50	openvpn	19533	XXX.XXX.XXX.XXX:61842 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Aug 22 09:54:50	openvpn	19533	XXX.XXX.XXX.XXX:61842 TLS Error: TLS handshake failed
Aug 22 09:55:23	openvpn	19533	Yannick/XXX.XXX.XXX.XXX:37723 [Yannick] Inactivity timeout (--ping-restart), restarting
Aug 22 09:55:36	openvpn	19533	XXX.XXX.XXX.XXX:54180 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Aug 22 09:55:36	openvpn	19533	XXX.XXX.XXX.XXX:54180 TLS Error: TLS handshake failed

J'espère ne pas avoir mis trop de XXX sur ce qui paraissait privé, si besoin je peux fournir ce qu'ils remplacent.

Le "TLS key negotiation failed" côté mobile semblent bien ciblé cette partie comme fautive mais je ne m'explique pas pourquoi cela fonctionnait sur l'ancien serveur avec les mêmes configs.

jdh

Enfin de l'info ...

On comprend que l'ancienne situation (2.3.2) a totalement disparue, et que vous avez recréé la config client PC et smartphone. Cela aurait pu servir de point de comparaison ...

Il est TRES notable que la config client PC et client Smartphone n'est pas la même : il suffit de lire et comparer pour comprendre que la config client Smartphone NE PEUT PAS fonctionner !

ClientExport est un utilitaire simple, mais je ne l'utilise pas car il ne fournit pas le meilleur fichier de conf.

Bonnes pratiques : définir 'verb X' pour choisir la verbosity des logs : les logs smartphone sont vraiment trop verbeux ! Et vous avez tellement filtré que l'on ne voit pas l'échec de la connexion !

Pratique à connaitre (surtout pour les smartphone mais aussi valable pour PC) : la syntaxe <ca> ... </ca> est dite 'inline file format' et s'applique à <ca>, <cert>, <dh>, <extra-certs>, <key>, <pkcs12>, <secret> et <tls-auth>. L'intérêt est de n'avoir qu'un seul unique fichier .ovpn = évite de charger X fichiers ! Je dirais LLDA ...

Relisez (attentivement) les 2 fichiers de conf et vous trouverez (ce qui manque d'un côté).

jdh

@phoenixfury said in Connection Timeout avec OpenVPN Connect Mobile Client sur pfSense 2.4.3:

Le "TLS key negotiation failed" côté mobile semblent bien ciblé cette partie comme fautive mais je ne m'explique pas pourquoi cela fonctionnait sur l'ancien serveur avec les mêmes configs.

Je n'avais pas lu cette dernière phrase. (étais-je noyé dans les logs ?).
Je n'avais lu toute la config Smartphone (du fait de l'ascenseur) : je pensais qu'il manquait une partie, mais non.

Toutefois je maintiens qu'il y a une différence qui fait que cela NE fonctionne PAS.
Laissant un peu de mystère, il y a pourtant tout ce qui doit être mais que du fait de l'écriture, cela ne peut pas fonctionner !!

D'ailleurs, un test très simple l'aurait montré (depuis longtemps) : la config smartphone copiée sur le PC ne doit pas fonctionner. CQFD

pHoEnIxFuRy

@jdh said in Connection Timeout avec OpenVPN Connect Mobile Client sur pfSense 2.4.3:

On comprend que l'ancienne situation (2.3.2) a totalement disparue, et que vous avez recréé la config client PC et smartphone. Cela aurait pu servir de point de comparaison ...

J'ai pourtant indiqué dès mon tout premier message :

@phoenixfury said in Connection Timeout avec OpenVPN Connect Mobile Client sur pfSense 2.4.3:

J'ai comparé tous les paramètres entre l'ancien et le nouveau serveur et tout me semble correct.

Connaissant votre amour pour l'exhaustivité, je vais préciser cela.

J'ai conservé l'ancien serveur (avec sa config d'origine) ainsi que les configs clients PC et Mobile vers cet ancien serveur.

Sur vos conseils, j'ai donc lu attentivement les fichiers de conf que ce soit ceux des configs actuelles ou ceux des anciennes.

J'ai tenté d'adapter la config mobile en enlevant/rajoutant les éléments qui la différenciait de la config PC actuelle ou encore de l'ancienne config mobile afin de les faire correspondre (hors clés, certificats, etc ...) mais sans succès.

Exemple concret :
S'il manque quelque chose d'un côté (ce que vous suggérez), ce ne peut être que du côté mobile.
Les seuls éléments que je retrouve côte PC et qui ne sont pas côté mobile (hors format inline) c'est la première ligne "dev tun" ainsi que "resolv-retry infinite".
Mais même avec ces paramètres rajoutés, cela ne fonctionne toujours pas.

Je vais continuer de chercher et faire du "LLDA" mais ce ne m’apparaît pas aussi évident que cela l'est pour vous.

Je comprend aussi qu'il est mieux d'orienter vers une solution que de la donner tout simplement mais là je crois qu'on y gagnerait tous du temps si vos réponses avait plus de "verbosity".

pHoEnIxFuRy

Et moi je n'avais pas vu votre dernière réponse car j'étais en train d'écrire la mienne.

@jdh said in Connection Timeout avec OpenVPN Connect Mobile Client sur pfSense 2.4.3:

Je n'avais pas lu cette dernière phrase. (étais-je noyé dans les logs ?).

C'est pourtant paradoxale car c'est justement pour éviter cette noyade que je ne l'ai avais pas posté dans un premier temps.

@jdh said in Connection Timeout avec OpenVPN Connect Mobile Client sur pfSense 2.4.3:

Je n'avais lu toute la config Smartphone (du fait de l'ascenseur) : je pensais qu'il manquait une partie, mais non.

Comme quoi les problèmes de lecture ça ne concerne pas forcément que les nouveaux. ;-)

jdh

@jdh said in Connection Timeout avec OpenVPN Connect Mobile Client sur pfSense 2.4.3:

Laissant un peu de mystère, il y a pourtant tout ce qui doit être mais que du fait de l'écriture, cela ne peut pas fonctionner !!

OpenVpn inline : presque tous les liens de la page 1 utilisent la même syntaxe ...

Quand vous aurez compris, vous direz tout ça pour ça ...

pHoEnIxFuRy

Alors soit cela concerne "dev tun" et/ou "resolv-retry infinite" comme dit précédemment et dans ce cas là, ce n'est pas la solution.

Soit c'est autre chose et je suis désolé mais je ne comprend pas.

Tatave

Salut salut

---- hors sujet on --------
Je comprend que cela commence à être prodigieusement irritant que certain de nos plus vieux participant de la section doive se justifier de non agressivité pour une problématique.
Je ne pourrais que noter un certain ton sarcastique de jdh, qui est depuis le temps ca marque de fabrique, à contrario d'autre Je n'irais pas plus loin dans ce débat là que je trouve stérile.
Je peux et dois passer pour un gavroche aux yeux de certain, mais l'irrespect non.

N'ayant pas le niveau technique des aïeux du forum, mais en presque 10 ans, j'ai pu comprendre le pourquoi du comment de cette inflexibilité, 90% des demandes d'aide le sont soit par des particuliers se jetant dans pf ou d'autres pare feu qui veulent sécuriser leur réseaux, ou soit des débutants informatiques à qui ont donné le dossier où tout deux ne maitrisent pas forcement tous les concepts qui demandent à leur mise en oeuvre.

Que x et/ou Y se sentent offusqués des nos réponses, la belle affaire, nous sommes là à titre gracieux pour tenter de vous aider et n'avons aucun intérêts financier à y gagner.

Vous nos direz, et alors je veux que l'on m'aide, et bien aidez nous à mieux comprendre ce qui ne va pas en nous évitant de devoir vous extirper les verres du nez, à la longue cela fatigue et irrite, ce qui fini par avoir des poste réponse comme les vôtres.

En lisant votre poste cette nuit avant qu'il y est une toute autre réponse, j'aurais bien pu répondre RTFM ou "ah oui mais encore", " madame irma est morte depuis longtemps, merci de patienter nous vous passons le paradis " je vous assure que cela et plus dédaigneux et insultant que de vous retourner sur une liste de chose a faire avant toutes choses utiles, ne pensez vous pas ?

Pour vos cas, vous arrivez comme un cheveux sur la soupe et ne prenez pas les quelques minutes de plus pour comprendre vous non plus pourquoi nous réagissons aussi laconiquement et ou lapidairement que cela.

Je ne dis pas que j'aurais eu ou que j'avais la solution, quand vous allez à l'hopital vous devez expliquer et décrire vos symtphome le plus complet possible pour que vous puissiez est pris en charge le mieux possible par les praticiens, et bien ici c'est un parallèle que l'on peut faire pour ce forum ou autre autres forum technique, et ce n'et pas en calquant des doigts à la terrasse d'un café que vous serrez mieux servi, voir pire qui vous dit que le cafetier ne vous aura pas craché dans la tasse avant de vous le servir ce café (c'est du vécu sur paris).

Voila ce que j'avais à dire sur l'image que donne ce post et d'autre du meme genre, après j'ai au fil du temps plus l'impression de me voir pisser dans un violon, cela fait du bien mais cela ne fait pas pour autant de la bonne musique.
libre à vous de faire un report sur mes propos, au final c'est vous qui y perdez plus que moi.

--------hors sujet off---------------

Bon au final si j'ai bien compris il ne vous reste qu'un soucis de paramétrage de client pour les différents clients , ne c'est plus un sujet portant sur la partie serveur pfsense en lui mème, et là gentiment je vous renversais bien sur le forum openvn.

Cordialement.

pHoEnIxFuRy

Sacré proportion de hors sujet pour au final me renvoyer sur le forum openvpn en deux lignes (ce qui peut totalement se comprendre).

Cependant, comparer mon premier poste d'une petite dizaine de ligne à un claquement de doigt sur une terrasse ... tout en sachant que j'ai répondu dès le second que je posterai les logs le lendemain me parait pour le moins exagéré mais soit.

Je pourrai vous répondre point par point mais je n'ai pas non plus envie de réécrire l'histoire et chacun pourra, s'il le souhaite, se faire son propre avis sur ce qui a déjà été dis et redis de toute part.

Et très loin de moi l'idée de faire un quelconque "report" que ce soit vous concernant ou concernant jdh qui m'aide bien malgré tout cela.