[Résolu]Problème de route client OpenVPN



  • Bonjour,

    Contexte : Pro, Étudiant, Nouveau, pfsense installé sur HYPER-V
    Besoin : Ajouter des routes sur un Windows server 2003

    Schéma : Toutes les interfaces possèdent leur propre carte réseau virtuelle
    WAN: 192.168.15 x/22
    LAN: 192.168.10 x/24
    SYNC: 10.0.10.254/24 FAILOVER

    Configuration OpenVPN:
    Mon serveur OpenVPN est en accès à distance (SSL/TLS) sur mon interface WAN sur le port 5130 avec une adresse de tunnel 10.1.1.0/24.
    Les réseaux qui peuvent être accessibles à travers ce VPN ont été renseigner dans la section Réseaux(x) local/locaux IPv4.
    Serveur DNS et NTP sont également renseignés.

    Problème:
    Après avoir mis en place ce même VPN sur un client Windows Server 2003 de test, toutes les routes ont correctement été mis en place (vérification avec route print) mais lorsque je passe sur mon server 2003 en production aucune route n'arrive.

    Pistes imaginées:

    • Inclure directement les routes au fichier de configuration client avec cette syntaxe: route [adresse réseaux] [masque] [adresse VPN]
    • Inclure les routes dans la section "Options personnalisés d'OpenVPN"
      NB: avec ces pistes, j'ai au préalable supprimé la liste des réseaux accessible dans la section Réseaux(x) local/locaux IPv4.

    J'ai donc essayé les deux solutions, et voici le message d'erreur que me renvoi le log du client OpenVPN 2.2.2 (Version que j'ai essayé sur mon Server 2003 de test qui récupère bien les routes)

    Message d'erreur:
    ROUTE: route addition failed using CreateIpForwardEntry : Parametre incorrect. [status=87 if-index=720901]

    Je ne comprends donc pas pourquoi il me renvoie "parametre incorrect" étant donné que sur ma machine de test, les deux pistes imaginées sont fonctionnelles.

    Je ne sais pas si je suis clair mais n'hésité pas à me poser des questions pour vous éclairer.
    Cordialement



  • (Bonne utilisation du formulaire)

    Il est notable que, sur un PC windows, le client, et notamment gui, doit être lancé en tant qu'administrateur !
    Si ce n'est pas le cas, le client est incapable d'ajouter la route fourni par la conf avec un message d'erreur semblable.

    Recette perso :

    Comme je gère un parc important de PC, que les utilisateurs ne sont plus administrateur local, j'ai abandonné le client OpenVpn standard du site 'openvpn.net' à cause de cette limitation.
    Désormais j'utilise

    • le driver Tap du site openvpn.net (fichier tap-windows-9.21.2.exe) pour créer l'interface tap nécessaire
    • 'Securepoint SSL VPN Client' accessible par Sourceforge (fichier openvpn-client-installer-2.0.21.exe)
      J'installe tap puis Securepoint.
      Pour l'install SecurePoint, je choisis l'install en anglais et le mode 'non management' (afin que l'utilisateur ne soit pas tenté de créer une config).
      Sous l'identité de l'utilisateur, je lance, une première fois Securepoint pour que soit créé le bon répertoire 'c:\users(utilisateur)\AppData\Roaming\Securepoint VPN SSL'.
      Dans ce dossier, je créé le dossier 'config', et je copie la config prévue :
    • un dossier par firewall cible (= 1 site) avec le fichier .ovpn et les .crt, .pkcs12 voulu = même config qu'OpenVpn

    Perso, j'ai fini par me créer un script qui part d'un certificat xxxx.pkcs12 et créé un dossier xxxx avec sous dossiers (site) et config idoine, reste plus qu'à copier.

    Mes users ne sont pas administrateur local du pc mais lance correctement la connexion vpn.



  • @Dimix971:

    Message d'erreur:
    ROUTE: route addition failed using CreateIpForwardEntry : Parametre incorrect. [status=87 if-index=720901]

    Dans l'environnement Windows ce message est clairement lié à l' impossibilité d'exécuter l"opération avec le niveau de privilège suffisant.
    Voir le message qui précède.
    La toute dernière version du client 2.4.4, me semble t il, règle le problème de l'élévation de privilège.



  • Bonjour,

    Excusez-moi pour cette réponse tardive, étant en alternance je n'étais pas en entreprise.

    @jdh, merci de la solution proposé je vais de ce pas l'essayer sur mon lab de test.

    @Dimix971:

    Dans l'environnement Windows ce message est clairement lié à l' impossibilité d'exécuter l"opération avec le niveau de privilège suffisant.
    Voir le message qui précède.
    La toute dernière version du client 2.4.4, me semble t il, règle le problème de l'élévation de privilège.

    Même en exécutant le client en mode administrateur je rencontre toujours le problème. Le client 2.4.4 est malheureusement incompatible avec windows server 2003



  • Avez vous regardé ces options dans le fichier de config ?

    route-method exe
    route-delay 2



  • Bonjour,
    @ccnet:

    Avez vous regardé ces options dans le fichier de config ?

    route-method exe
    route-delay 2

    Alors oui du coup j'ai modifié le fichier de configuration généré par l'Openvpn de pfsense pour qu'il soit compatible avec le client 2.2.2.
    Merci de vos réponses, je viens tout juste de trouver le problème. Routage et accès distant sur mon serveur 2003 bloquait les routes envoyées par Openvpn, il me suffisait juste de le désactiver momentanément pour voir toutes mes routes remonter  :D
    Maintenant j'ai un tout autre problème mais celui-ci ne viens pas de pfSense mais de Windows ^^



  • La fonctionnalité 'Routage et Accès distant' de Windows Server 2003 offre un accès VPN à ce produit.
    Il est donc assez évident qu'il fallait d'abord la désactiver.

    Typiquement, c'est la préparation de l'opération : quand on ne prépare pas assez, voilà ce qui arrive …