[Résolu] Connection Timeout avec OpenVPN Connect Mobile Client sur pfSense 2.4.3

pHoEnIxFuRy

J'ai eu le temps de faire quelques tests avant d'entrer en réunion ce matin.

Les deux clients (mobile et PC) ont été configuré via l'outil Client Export Utility (packet openvpn-client-export).

Pour le PC via l'outil, j'ai pris "Current Windows Installer (2.4.6-Ix02)" qui contient le programme et la config.

Pour le Smartphone toujours via l'outil, j'ai pris "OpenVPN Connect (iOS/Android)" qui m'a fournit un fichier .ovpn (transféré via un dossier Cloud) ouvert directement avec l'app OpenVPN Connect Mobile Client (issu de l'App Store).

Le client PC est sous Windows 10 avec OpenVPN GUI v 10.
La connexion se fait via le partage de connexion 4G du Smartphone incriminé sans aucun problème.

Voici la config PC :

dev tun
persist-tun
persist-key
cipher AES-256-CBC
auth SHA256
tls-client
client
resolv-retry infinite
remote XXX.XXX.XXX.XXX 1194 udp
verify-x509-name "XXX" name
auth-user-pass
pkcs12 pfSense-UDP4-1194.p12
tls-auth pfSense-UDP4-1194-tls.key 1
remote-cert-tls server

Et voici le log de connexion PC :

Wed Aug 22 09:52:43 2018 OpenVPN 2.3.11 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on May 10 2016
Wed Aug 22 09:52:43 2018 Windows version 6.2 (Windows 8 or greater) 64bit
Wed Aug 22 09:52:43 2018 library versions: OpenSSL 1.0.1t  3 May 2016, LZO 2.09
Enter Management Password:
Wed Aug 22 09:52:48 2018 Control Channel Authentication: using 'pfSense-UDP4-1194-tls.key' as a OpenVPN static key file
Wed Aug 22 09:52:48 2018 UDPv4 link local (bound): [undef]
Wed Aug 22 09:52:48 2018 UDPv4 link remote: [AF_INET]XXX.XXX.XXX.XXX:1194
Wed Aug 22 09:52:48 2018 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Wed Aug 22 09:52:49 2018 [CLLT2] Peer Connection Initiated with [AF_INET]XXX.XXX.XXX.XXX:1194
Wed Aug 22 09:52:52 2018 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Wed Aug 22 09:52:52 2018 open_tun, tt->ipv6=0
Wed Aug 22 09:52:52 2018 TAP-WIN32 device [Ethernet 2] opened: \\.\Global\{1E0236F2-1DA6-4C50-84FC-D2200566A862}.tap
Wed Aug 22 09:52:52 2018 Set TAP-Windows TUN subnet mode network/local/netmask = 192.168.95.0/192.168.95.2/255.255.255.0 [SUCCEEDED]
Wed Aug 22 09:52:52 2018 Notified TAP-Windows driver to set a DHCP IP/netmask of 192.168.95.2/255.255.255.0 on interface {1E0236F2-1DA6-4C50-84FC-D2200566A862} [DHCP-serv: 192.168.95.254, lease-time: 31536000]
Wed Aug 22 09:52:52 2018 Successful ARP Flush on interface [5] {1E0236F2-1DA6-4C50-84FC-D2200566A862}
Wed Aug 22 09:52:57 2018 Initialization Sequence Completed

Le client mobile est sous iOS 11.4.1 avec OpenVPN Connect Mobile Client 1.2.9.
La connexion se fait en 4G sans succès.

Voici la config Smartphone :

persist-tun
persist-key
cipher AES-256-CBC
auth SHA256
tls-client
client
remote XXX.XXX.XXX.XXX 1194 udp
setenv opt block-outside-dns
lport 0
verify-x509-name "XXX" name
auth-user-pass
remote-cert-tls server

<ca>
-----BEGIN CERTIFICATE-----
XXX
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
XXX
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
XXX
-----END PRIVATE KEY-----
</key>
key-direction 1
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
XXX
-----END OpenVPN Static key V1-----
</tls-auth>

Et voici le log de connexion Smartphone :

2018-08-22 09:53:49 EVENT: RESOLVE
2018-08-22 09:53:49 Contacting [XXX.XXX.XXX.XXX]:1194/UDP via UDP
2018-08-22 09:53:49 EVENT: WAIT
2018-08-22 09:53:49 Connecting to [XXX.XXX.XXX.XXX]:1194 (XXX.XXX.XXX.XXX) via UDPv4
2018-08-22 09:53:49 EVENT: CONNECTING
2018-08-22 09:53:49 Tunnel Options:V4,dev-type tun,link-mtu 1569,tun-mtu 1500,proto UDPv4,keydir 1,cipher AES-256-CBC,auth SHA256,keysize 256,tls-auth,key-method 2,tls-client
2018-08-22 09:53:49 Creds: Username/Password
2018-08-22 09:53:49 Peer Info:
IV_GUI_VER=net.openvpn.connect.ios 1.2.9-0
IV_VER=3.2
IV_PLAT=ios
IV_NCP=2
IV_TCPNL=1
IV_PROTO=2

2018-08-22 09:53:49 VERIFY OK : depth=1
cert. version    : 3
serial number    : 00
issuer name      : C=FR, ST=IDF, L=XXX, O=XXX, emailAddress=XXX@XXX.XXX, CN=XXX, OU=IR
subject name      : C=FR, ST=IDF, L=XXX, O=XXX, emailAddress=XXX@XXX.XXX, CN=XXX, OU=IR
issued  on        : 2018-08-20 06:53:18
expires on        : 2028-08-17 06:53:18
signed using      : RSA with SHA-256
RSA key size      : 2048 bits
basic constraints : CA=true
key usage        : Key Cert Sign, CRL Sign

2018-08-22 09:53:49 VERIFY OK : depth=0
cert. version    : 3
serial number    : 01
issuer name      : C=FR, ST=IDF, L=XXX, O=XXX, emailAddress=XXX@XXX.XXX, CN=XXX, OU=IR
subject name      : C=FR, ST=IDF, L=XXX, O=XXX, emailAddress=XXX@XXX.XXX, CN=XXX2, OU=IR
issued  on        : 2018-08-20 06:54:25
expires on        : 2028-08-17 06:54:25
signed using      : RSA with SHA-256
RSA key size      : 2048 bits
basic constraints : CA=false
subject alt name  : XXX
cert. type        : SSL Server
key usage        : Digital Signature, Key Encipherment
ext key usage    : TLS Web Server Authentication, ???

2018-08-22 09:53:49 tls-remote validation
  tls-remote: 'XXX'
  Subj: '/C=FR/ST=IDF/L=XXX/O=XXX/emailAddress=XXX@XXX.XXX/CN=XXX/OU=IR'
  CN: 'XXX2'
2018-08-22 09:54:34 Session invalidated: KEEPALIVE_TIMEOUT
2018-08-22 09:54:34 Client terminated, restarting in 2000 ms...
2018-08-22 09:54:36 EVENT: RECONNECTING
2018-08-22 09:54:36 EVENT: RESOLVE
2018-08-22 09:54:36 Contacting [XXX.XXX.XXX.XXX]:1194/UDP via UDP
2018-08-22 09:54:36 EVENT: WAIT
2018-08-22 09:54:36 Connecting to [XXX.XXX.XXX.XXX]:1194 (XXX.XXX.XXX.XXX) via UDPv4
2018-08-22 09:54:36 EVENT: CONNECTING
2018-08-22 09:54:36 Tunnel Options:V4,dev-type tun,link-mtu 1569,tun-mtu 1500,proto UDPv4,keydir 1,cipher AES-256-CBC,auth SHA256,keysize 256,tls-auth,key-method 2,tls-client
2018-08-22 09:54:36 Creds: Username/Password
2018-08-22 09:54:36 Peer Info:
IV_GUI_VER=net.openvpn.connect.ios 1.2.9-0
IV_VER=3.2
IV_PLAT=ios
IV_NCP=2
IV_TCPNL=1
IV_PROTO=2

2018-08-22 09:54:36 VERIFY OK : depth=1
cert. version    : 3
serial number    : 00
issuer name      : C=FR, ST=IDF, L=XXX, O=XXX, emailAddress=XXX@XXX.XXX, CN=XXX, OU=IR
subject name      : C=FR, ST=IDF, L=XXX, O=XXX, emailAddress=XXX@XXX.XXX, CN=XXX, OU=IR
issued  on        : 2018-08-20 06:53:18
expires on        : 2028-08-17 06:53:18
signed using      : RSA with SHA-256
RSA key size      : 2048 bits
basic constraints : CA=true
key usage        : Key Cert Sign, CRL Sign

2018-08-22 09:54:36 VERIFY OK : depth=0
cert. version    : 3
serial number    : 01
issuer name      : C=FR, ST=IDF, L=XXX, O=XXX, emailAddress=XXX@XXX.XXX, CN=XXX, OU=IR
subject name      : C=FR, ST=IDF, L=XXX, O=XXX, emailAddress=XXX@XXX.XXX, CN=XXX, OU=IR
issued  on        : 2018-08-20 06:54:25
expires on        : 2028-08-17 06:54:25
signed using      : RSA with SHA-256
RSA key size      : 2048 bits
basic constraints : CA=false
subject alt name  : XXX
cert. type        : SSL Server
key usage        : Digital Signature, Key Encipherment
ext key usage    : TLS Web Server Authentication, ???

2018-08-22 09:54:36 tls-remote validation
  tls-remote: 'XXX'
  Subj: '/C=FR/ST=IDF/L=XXX/O=XXX/emailAddress=XXX@XXX.XXX/CN=XXX/OU=IR'
  CN: 'XXX'
2018-08-22 09:54:50 EVENT: CONNECTION_TIMEOUT [ERR]
2018-08-22 09:54:50 Raw stats on disconnect:
  BYTES_IN : 8744
  BYTES_OUT : 74316
  PACKETS_IN : 14
  PACKETS_OUT : 67
  KEEPALIVE_TIMEOUT : 1
  CONNECTION_TIMEOUT : 1
  N_RECONNECT : 1
2018-08-22 09:54:50 Performance stats on disconnect:
  CPU usage (microseconds): 192909
  Network bytes per CPU second: 430565
  Tunnel bytes per CPU second: 0
2018-08-22 09:54:50 EVENT: DISCONNECTED
2018-08-22 09:54:50 Raw stats on disconnect:
  BYTES_IN : 8744
  BYTES_OUT : 74316
  PACKETS_IN : 14
  PACKETS_OUT : 67
  KEEPALIVE_TIMEOUT : 1
  CONNECTION_TIMEOUT : 1
  N_RECONNECT : 1
2018-08-22 09:54:50 Performance stats on disconnect:
  CPU usage (microseconds): 195144
  Network bytes per CPU second: 425634
  Tunnel bytes per CPU second: 0

Et pour finir voici le log côté serveur :

Aug 22 09:52:49	openvpn	19533	XXX.XXX.XXX.XXX:37723 peer info: IV_VER=2.3.11
Aug 22 09:52:49	openvpn	19533	XXX.XXX.XXX.XXX:37723 peer info: IV_PLAT=win
Aug 22 09:52:49	openvpn	19533	XXX.XXX.XXX.XXX:37723 peer info: IV_PROTO=2
Aug 22 09:52:49	openvpn	19533	XXX.XXX.XXX.XXX:37723 peer info: IV_GUI_VER=OpenVPN_GUI_10
Aug 22 09:52:49	openvpn		user 'Yannick' authenticated
Aug 22 09:52:49	openvpn	19533	XXX.XXX.XXX.XXX:37723 [Yannick] Peer Connection Initiated with [AF_INET]XXX.XXX.XXX.XXX:37723
Aug 22 09:52:49	openvpn	19533	Yannick/XXX.XXX.XXX.XXX:37723 MULTI_sva: pool returned IPv4=192.168.95.2, IPv6=(Not enabled)

Aug 22 09:54:50	openvpn	19533	XXX.XXX.XXX.XXX:61842 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Aug 22 09:54:50	openvpn	19533	XXX.XXX.XXX.XXX:61842 TLS Error: TLS handshake failed
Aug 22 09:55:23	openvpn	19533	Yannick/XXX.XXX.XXX.XXX:37723 [Yannick] Inactivity timeout (--ping-restart), restarting
Aug 22 09:55:36	openvpn	19533	XXX.XXX.XXX.XXX:54180 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Aug 22 09:55:36	openvpn	19533	XXX.XXX.XXX.XXX:54180 TLS Error: TLS handshake failed

J'espère ne pas avoir mis trop de XXX sur ce qui paraissait privé, si besoin je peux fournir ce qu'ils remplacent.

Le "TLS key negotiation failed" côté mobile semblent bien ciblé cette partie comme fautive mais je ne m'explique pas pourquoi cela fonctionnait sur l'ancien serveur avec les mêmes configs.

jdh

Enfin de l'info ...

On comprend que l'ancienne situation (2.3.2) a totalement disparue, et que vous avez recréé la config client PC et smartphone. Cela aurait pu servir de point de comparaison ...

Il est TRES notable que la config client PC et client Smartphone n'est pas la même : il suffit de lire et comparer pour comprendre que la config client Smartphone NE PEUT PAS fonctionner !

ClientExport est un utilitaire simple, mais je ne l'utilise pas car il ne fournit pas le meilleur fichier de conf.

Bonnes pratiques : définir 'verb X' pour choisir la verbosity des logs : les logs smartphone sont vraiment trop verbeux ! Et vous avez tellement filtré que l'on ne voit pas l'échec de la connexion !

Pratique à connaitre (surtout pour les smartphone mais aussi valable pour PC) : la syntaxe <ca> ... </ca> est dite 'inline file format' et s'applique à <ca>, <cert>, <dh>, <extra-certs>, <key>, <pkcs12>, <secret> et <tls-auth>. L'intérêt est de n'avoir qu'un seul unique fichier .ovpn = évite de charger X fichiers ! Je dirais LLDA ...

Relisez (attentivement) les 2 fichiers de conf et vous trouverez (ce qui manque d'un côté).

jdh

@phoenixfury said in Connection Timeout avec OpenVPN Connect Mobile Client sur pfSense 2.4.3:

Le "TLS key negotiation failed" côté mobile semblent bien ciblé cette partie comme fautive mais je ne m'explique pas pourquoi cela fonctionnait sur l'ancien serveur avec les mêmes configs.

Je n'avais pas lu cette dernière phrase. (étais-je noyé dans les logs ?).
Je n'avais lu toute la config Smartphone (du fait de l'ascenseur) : je pensais qu'il manquait une partie, mais non.

Toutefois je maintiens qu'il y a une différence qui fait que cela NE fonctionne PAS.
Laissant un peu de mystère, il y a pourtant tout ce qui doit être mais que du fait de l'écriture, cela ne peut pas fonctionner !!

D'ailleurs, un test très simple l'aurait montré (depuis longtemps) : la config smartphone copiée sur le PC ne doit pas fonctionner. CQFD

pHoEnIxFuRy

@jdh said in Connection Timeout avec OpenVPN Connect Mobile Client sur pfSense 2.4.3:

On comprend que l'ancienne situation (2.3.2) a totalement disparue, et que vous avez recréé la config client PC et smartphone. Cela aurait pu servir de point de comparaison ...

J'ai pourtant indiqué dès mon tout premier message :

@phoenixfury said in Connection Timeout avec OpenVPN Connect Mobile Client sur pfSense 2.4.3:

J'ai comparé tous les paramètres entre l'ancien et le nouveau serveur et tout me semble correct.

Connaissant votre amour pour l'exhaustivité, je vais préciser cela.

J'ai conservé l'ancien serveur (avec sa config d'origine) ainsi que les configs clients PC et Mobile vers cet ancien serveur.

Sur vos conseils, j'ai donc lu attentivement les fichiers de conf que ce soit ceux des configs actuelles ou ceux des anciennes.

J'ai tenté d'adapter la config mobile en enlevant/rajoutant les éléments qui la différenciait de la config PC actuelle ou encore de l'ancienne config mobile afin de les faire correspondre (hors clés, certificats, etc ...) mais sans succès.

Exemple concret :
S'il manque quelque chose d'un côté (ce que vous suggérez), ce ne peut être que du côté mobile.
Les seuls éléments que je retrouve côte PC et qui ne sont pas côté mobile (hors format inline) c'est la première ligne "dev tun" ainsi que "resolv-retry infinite".
Mais même avec ces paramètres rajoutés, cela ne fonctionne toujours pas.

Je vais continuer de chercher et faire du "LLDA" mais ce ne m’apparaît pas aussi évident que cela l'est pour vous.

Je comprend aussi qu'il est mieux d'orienter vers une solution que de la donner tout simplement mais là je crois qu'on y gagnerait tous du temps si vos réponses avait plus de "verbosity".

pHoEnIxFuRy

Et moi je n'avais pas vu votre dernière réponse car j'étais en train d'écrire la mienne.

@jdh said in Connection Timeout avec OpenVPN Connect Mobile Client sur pfSense 2.4.3:

Je n'avais pas lu cette dernière phrase. (étais-je noyé dans les logs ?).

C'est pourtant paradoxale car c'est justement pour éviter cette noyade que je ne l'ai avais pas posté dans un premier temps.

@jdh said in Connection Timeout avec OpenVPN Connect Mobile Client sur pfSense 2.4.3:

Je n'avais lu toute la config Smartphone (du fait de l'ascenseur) : je pensais qu'il manquait une partie, mais non.

Comme quoi les problèmes de lecture ça ne concerne pas forcément que les nouveaux. ;-)

jdh

@jdh said in Connection Timeout avec OpenVPN Connect Mobile Client sur pfSense 2.4.3:

Laissant un peu de mystère, il y a pourtant tout ce qui doit être mais que du fait de l'écriture, cela ne peut pas fonctionner !!

OpenVpn inline : presque tous les liens de la page 1 utilisent la même syntaxe ...

Quand vous aurez compris, vous direz tout ça pour ça ...

pHoEnIxFuRy

Alors soit cela concerne "dev tun" et/ou "resolv-retry infinite" comme dit précédemment et dans ce cas là, ce n'est pas la solution.

Soit c'est autre chose et je suis désolé mais je ne comprend pas.

Tatave

Salut salut

---- hors sujet on --------
Je comprend que cela commence à être prodigieusement irritant que certain de nos plus vieux participant de la section doive se justifier de non agressivité pour une problématique.
Je ne pourrais que noter un certain ton sarcastique de jdh, qui est depuis le temps ca marque de fabrique, à contrario d'autre Je n'irais pas plus loin dans ce débat là que je trouve stérile.
Je peux et dois passer pour un gavroche aux yeux de certain, mais l'irrespect non.

N'ayant pas le niveau technique des aïeux du forum, mais en presque 10 ans, j'ai pu comprendre le pourquoi du comment de cette inflexibilité, 90% des demandes d'aide le sont soit par des particuliers se jetant dans pf ou d'autres pare feu qui veulent sécuriser leur réseaux, ou soit des débutants informatiques à qui ont donné le dossier où tout deux ne maitrisent pas forcement tous les concepts qui demandent à leur mise en oeuvre.

Que x et/ou Y se sentent offusqués des nos réponses, la belle affaire, nous sommes là à titre gracieux pour tenter de vous aider et n'avons aucun intérêts financier à y gagner.

Vous nos direz, et alors je veux que l'on m'aide, et bien aidez nous à mieux comprendre ce qui ne va pas en nous évitant de devoir vous extirper les verres du nez, à la longue cela fatigue et irrite, ce qui fini par avoir des poste réponse comme les vôtres.

En lisant votre poste cette nuit avant qu'il y est une toute autre réponse, j'aurais bien pu répondre RTFM ou "ah oui mais encore", " madame irma est morte depuis longtemps, merci de patienter nous vous passons le paradis " je vous assure que cela et plus dédaigneux et insultant que de vous retourner sur une liste de chose a faire avant toutes choses utiles, ne pensez vous pas ?

Pour vos cas, vous arrivez comme un cheveux sur la soupe et ne prenez pas les quelques minutes de plus pour comprendre vous non plus pourquoi nous réagissons aussi laconiquement et ou lapidairement que cela.

Je ne dis pas que j'aurais eu ou que j'avais la solution, quand vous allez à l'hopital vous devez expliquer et décrire vos symtphome le plus complet possible pour que vous puissiez est pris en charge le mieux possible par les praticiens, et bien ici c'est un parallèle que l'on peut faire pour ce forum ou autre autres forum technique, et ce n'et pas en calquant des doigts à la terrasse d'un café que vous serrez mieux servi, voir pire qui vous dit que le cafetier ne vous aura pas craché dans la tasse avant de vous le servir ce café (c'est du vécu sur paris).

Voila ce que j'avais à dire sur l'image que donne ce post et d'autre du meme genre, après j'ai au fil du temps plus l'impression de me voir pisser dans un violon, cela fait du bien mais cela ne fait pas pour autant de la bonne musique.
libre à vous de faire un report sur mes propos, au final c'est vous qui y perdez plus que moi.

--------hors sujet off---------------

Bon au final si j'ai bien compris il ne vous reste qu'un soucis de paramétrage de client pour les différents clients , ne c'est plus un sujet portant sur la partie serveur pfsense en lui mème, et là gentiment je vous renversais bien sur le forum openvn.

Cordialement.

pHoEnIxFuRy

Sacré proportion de hors sujet pour au final me renvoyer sur le forum openvpn en deux lignes (ce qui peut totalement se comprendre).

Cependant, comparer mon premier poste d'une petite dizaine de ligne à un claquement de doigt sur une terrasse ... tout en sachant que j'ai répondu dès le second que je posterai les logs le lendemain me parait pour le moins exagéré mais soit.

Je pourrai vous répondre point par point mais je n'ai pas non plus envie de réécrire l'histoire et chacun pourra, s'il le souhaite, se faire son propre avis sur ce qui a déjà été dis et redis de toute part.

Et très loin de moi l'idée de faire un quelconque "report" que ce soit vous concernant ou concernant jdh qui m'aide bien malgré tout cela.

jdh

Puisque la solution n'est pas trouvée, je vais la donner ...

Le 'INLINE FILE SUPPORT' est arrivé tard dans OpenVPN mais doit nécessairement respecter un syntaxe simple et très logique : les fichiers inclus sont à la fin ! Autrement dit, en début de fichier la config OpenVPN standard, puis les différents fichiers inclus entre leur tag respectifs <tag> ... </tag>.

Or vous avez une ligne qui fait partie de la config et qui est après un premier fichier !

Ce n'était que ça ! Beh oui (avant que ce soit testé)

Le lien vers 'OpenVPN 2 Cookbook' donne la bonne syntaxe : https://www.packtpub.com/mapt/book/networking_and_servers/9781849510103/12/ch12lvl1sec114/inline-certificates

Ce fil est la démonstration que

• les nouveaux (et les autres !) DOIVENT utiliser le formulaire (quand bien même toutes les rubriques ne sont pas justifiées ou utiles)
• entamer un fil sur OpenVPN sans fournir ni log ni config n'est juste pas acceptable

En outre, un fil ne devrait pas avoir été initié sans que

• une recherche préalable DOIT être effectuée : sur le forum, dans la doc, et sur le web, et elle SOIT mentionnée dans le formulaire
• la vérification et re-vérification du paramétrage, des logs DOIT avoir été faite

Enfin il est souhaitable que

• ceux qui se donnent la peine de répondre ne soit pas systématiquement caricaturé ou rabroué
• ceux qui posent des questions ne se sentent pas agressés dès qu'on n'est pas de leur avis ou qu'on leur indique les insuffisances de leur question !

Je ne suis pas mécontent d'avoir ici décrit la juste situation actuelle du forum français.

Les mots clés sont

• VTPA et RVTPA : Vérifie Ton Paramétrage d'Abord et Re-Vérifie Ton Paramétrage d'Abord
• LLDA : Lis La Doc d'Abord
• RDLFA : Recherches Dans Le Forum d'Abord
• FDIU et RLF : Fournis Des Informations Utiles et Remplis Le Formulaire

Merci Tatave de ta juste intervention de répondeur actif ... (déjà 10 ans sur le forum !)

pHoEnIxFuRy

En imaginant que j'ai bien compris vos explications, j'ai donc remonté la ligne "key-direction 1" au dessus des fichiers inclus soit juste en dessous de "remote-cert-tls server".

Malheureusement ça ne fonctionne pas.

J'ajouterai aussi que dans mon ancienne config mobile qui était fonctionnelle sur l'ancien serveur, "key-direction 1" se trouvait même en toute fin après les fichiers inclus sans que cela pose problème.

Merci en tout cas et je continue de chercher.

Autre piste, j'ai lancé le VPN par erreur avec une connexion WiFi sur le même réseau local que le serveur et là ça fonctionne étrangement.

Tatave

salut salut

sauf erreur de ma part cela ne devrait pas. il doit y avoir d'autre erreur, ce comportement de vpn m'intrigue

cordialement.

jdh

D'abord, il faut avoir la config avant les fichiers inline, ça c'est certain.
Ensuite, il faut un verb 2 ou 3 pour voir le même volume de logs.
Ensuite du côté PC, je vois un pkcs12 contre un cert côté Smartphone. Or un cert devrait avoir un key !
Comme vous n'utiliser que la protection par mot de passe, le reste est identique, donc pourquoi un pkcs12 et de l'autre cert + key.

Qui dit essai, dit vérification des logs

Il y a plus méthodique à faire ... prenez le temps de faire des tests précis et vérifiés ...

La même config doit fonctionner sur PC et Smartphone ...

pHoEnIxFuRy

J'utilise ce que fourni Client Export Utility (oui je sais ce n'est pas l'idéal).

Dans le cas du client PC, Client Export Utility fournit directement un package d'installation qui contient un fichier .ovpn, un .p12 et un .key.

Dans le cas du client mobile avec OpenVPN Connect (iOS/Android), la configuration est fournie au format inline et donc sans fichier annexe mais avec le <ca>, <cert>, <key> et <tls-auth> intégré.

Je referai des tests demain en épluchant les logs.

J'ai encore une autre piste que j'avais suivi sans succès en imaginant le problème lié à la nouvelle version côté serveur.

Client Export Utility précise ceci depuis la nouvelle version :
"Servers configured with features that require OpenVPN 2.4 will not work with OpenVPN 2.3.x or older clients. These features include: AEAD encryption such as AES-GCM, TLS Encryption+Authentication, ECDH, LZ4 Compression and other non-legacy compression choices, IPv6 DNS servers, and more."

A priori vu mon paramétrage, je ne suis pas concerné mais je me trompe peut-être.

Tatave

salut salut

bonne résolution de reprendre a tete reposer le probleme

• ce qui fonctionne d'un coté

• élément de listece qui ne fonctionne pas

• élément de listequelles sont les différences

et se documenter ^^

pHoEnIxFuRy

Bon j'ai tenté des configs clients dans tous les sens en suivant les divers conseils mais je finissais toujours en "tls-error".

J'ai vu a plusieurs reprises lors de mes recherches le paramétrage se faire en TCP au lieu de l'UDP (chacun ayant ses avantages et inconvénients).

J'ai donc essayé à tout hazard de changer pour TCP :

• Changement de la config OpenVPN Server
• Changement de la config OpenVPN Client
• Changement de la règle de pare-feu

J'injecte la nouvelle config dans le smartphone et je lance un test sans grande conviction :

Aug 23 14:51:14	openvpn	16389	TCP connection established with [AF_INET]XXX.XXX.XXX.XXX:60574
Aug 23 14:51:14	openvpn	16389	XXX.XXX.XXX.XXX:60574 TLS: Initial packet from [AF_INET]XXX.XXX.XXX.XXX:60574, sid=bd9e7587 bc03a3b8
Aug 23 14:51:14	openvpn	16389	XXX.XXX.XXX.XXX:60574 VERIFY SCRIPT OK: depth=1, C=FR, ST=IDF, L=XXX, O=XXX, emailAddress=XXX@XXX.XXX, CN=XXX, OU=IR
Aug 23 14:51:14	openvpn	16389	XXX.XXX.XXX.XXX:60574 VERIFY OK: depth=1, C=FR, ST=IDF, L=XXX, O=XXX, emailAddress=XXX@XXX.XXX, CN=XXX, OU=IR
Aug 23 14:51:14	openvpn	16389	XXX.XXX.XXX.XXX:60574 VERIFY SCRIPT OK: depth=0, C=FR, ST=IDF, L=XXX, O=XXX, emailAddress=XXX@XXX.XXX, CN=Yannick
Aug 23 14:51:14	openvpn	16389	XXX.XXX.XXX.XXX:60574 VERIFY OK: depth=0, C=FR, ST=IDF, L=XXX, O=XXX, emailAddress=XXX@XXX.XXX, CN=Yannick
Aug 23 14:51:14	openvpn	16389	XXX.XXX.XXX.XXX:60574 peer info: IV_GUI_VER=net.openvpn.connect.ios_1.2.9-0
Aug 23 14:51:14	openvpn	16389	XXX.XXX.XXX.XXX:60574 peer info: IV_VER=3.2
Aug 23 14:51:14	openvpn	16389	XXX.XXX.XXX.XXX:60574 peer info: IV_PLAT=ios
Aug 23 14:51:14	openvpn	16389	XXX.XXX.XXX.XXX:60574 peer info: IV_NCP=2
Aug 23 14:51:14	openvpn	16389	XXX.XXX.XXX.XXX:60574 peer info: IV_TCPNL=1
Aug 23 14:51:14	openvpn	16389	XXX.XXX.XXX.XXX:60574 peer info: IV_PROTO=2
Aug 23 14:51:14	openvpn		user 'Yannick' authenticated
Aug 23 14:51:14	openvpn	16389	XXX.XXX.XXX.XXX:60574 TLS: Username/Password authentication succeeded for username 'Yannick' [CN SET]
Aug 23 14:51:14	openvpn	16389	XXX.XXX.XXX.XXX:60574 Outgoing Data Channel: Cipher 'AES-256-CBC' initialized with 256 bit key
Aug 23 14:51:14	openvpn	16389	XXX.XXX.XXX.XXX:60574 Outgoing Data Channel: Using 256 bit message hash 'SHA256' for HMAC authentication
Aug 23 14:51:14	openvpn	16389	XXX.XXX.XXX.XXX:60574 Incoming Data Channel: Cipher 'AES-256-CBC' initialized with 256 bit key
Aug 23 14:51:14	openvpn	16389	XXX.XXX.XXX.XXX:60574 Incoming Data Channel: Using 256 bit message hash 'SHA256' for HMAC authentication
Aug 23 14:51:15	openvpn	16389	XXX.XXX.XXX.XXX:60574 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Aug 23 14:51:15	openvpn	16389	XXX.XXX.XXX.XXX:60574 [Yannick] Peer Connection Initiated with [AF_INET]XXX.XXX.XXX.XXX:60574
Aug 23 14:51:15	openvpn	16389	Yannick/XXX.XXX.XXX.XXX:60574 MULTI_sva: pool returned IPv4=192.168.95.2, IPv6=(Not enabled)
Aug 23 14:51:15	openvpn	16389	Yannick/XXX.XXX.XXX.XXX:60574 OPTIONS IMPORT: reading client specific options from: /tmp/openvpn_cc_423abbb4fef29ebc298bf79513f5c7d5.tmp
Aug 23 14:51:15	openvpn	16389	Yannick/XXX.XXX.XXX.XXX:60574 MULTI: Learn: 192.168.95.2 -> Yannick/XXX.XXX.XXX.XXX:60574
Aug 23 14:51:15	openvpn	16389	Yannick/XXX.XXX.XXX.XXX:60574 MULTI: primary virtual IP for Yannick/XXX.XXX.XXX.XXX:60574: 192.168.95.2
Aug 23 14:51:15	openvpn	16389	Yannick/XXX.XXX.XXX.XXX:60574 PUSH: Received control message: 'PUSH_REQUEST'
Aug 23 14:51:15	openvpn	16389	Yannick/XXX.XXX.XXX.XXX:60574 SENT CONTROL [Yannick]: 'PUSH_REPLY,dhcp-option DNS 10.99.1.99,redirect-gateway def1,route-gateway 192.168.95.1,topology subnet,ping 10,ping-restart 60,ifconfig 192.168.95.2 255.255.255.0,peer-id 0' (status=1)

Je ne sais pas pourquoi mais ça fonctionne !

J'ai essayé de revenir sur l'UDP pour valider que ça ne venait pas d'ailleurs mais rien à faire ça ne veut pas en UDP.

Voilà merci pour le coup de main malgré les prises de bec !

awebster

@pHoEnIxFuRy, la raison la plus probable que cela marche pas en UDP est fréquemment relié à l'une des deux choses suivantes:

• La longueur du certificat client ou serveur dépasse 1472 octets;

• Il y a un élément dans le réseau entre ton serveur et ton Smartphone qui bloque les paquets UDP fragmentés, ou plus précisément les paquets ICMP indiquant que la fragmentation est nécessaire, et donc par conséquent toute donnée UDP dépassant 1472 octets. En utilisant plutôt TCP la fragmentation est gérée automatiquement par le protocole, mais en générale, en bout de ligne, c'est moins efficace.

Tu peux essayer les éléments suivants dans la config client pour voir si en réduisant la taille des paquets ça aide. 1200 c'est drastique mais c'est un essai avant tout, si ça marche tu peux essayer des valeurs plus élevées.

mssfix 1200
tun-mtu 1200

Je suggère aussi de faire une recherche sur OpenVPN et MTU.