Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [Résolu]Problème de route client OpenVPN

    Français
    3
    7
    741
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      Dimix971
      last edited by

      Bonjour,

      Contexte : Pro, Étudiant, Nouveau, pfsense installé sur HYPER-V
      Besoin : Ajouter des routes sur un Windows server 2003

      Schéma : Toutes les interfaces possèdent leur propre carte réseau virtuelle
      WAN: 192.168.15 x/22
      LAN: 192.168.10 x/24
      SYNC: 10.0.10.254/24 FAILOVER

      Configuration OpenVPN:
      Mon serveur OpenVPN est en accès à distance (SSL/TLS) sur mon interface WAN sur le port 5130 avec une adresse de tunnel 10.1.1.0/24.
      Les réseaux qui peuvent être accessibles à travers ce VPN ont été renseigner dans la section Réseaux(x) local/locaux IPv4.
      Serveur DNS et NTP sont également renseignés.

      Problème:
      Après avoir mis en place ce même VPN sur un client Windows Server 2003 de test, toutes les routes ont correctement été mis en place (vérification avec route print) mais lorsque je passe sur mon server 2003 en production aucune route n'arrive.

      Pistes imaginées:

      • Inclure directement les routes au fichier de configuration client avec cette syntaxe: route [adresse réseaux] [masque] [adresse VPN]
      • Inclure les routes dans la section "Options personnalisés d'OpenVPN"
        NB: avec ces pistes, j'ai au préalable supprimé la liste des réseaux accessible dans la section Réseaux(x) local/locaux IPv4.

      J'ai donc essayé les deux solutions, et voici le message d'erreur que me renvoi le log du client OpenVPN 2.2.2 (Version que j'ai essayé sur mon Server 2003 de test qui récupère bien les routes)

      Message d'erreur:
      ROUTE: route addition failed using CreateIpForwardEntry : Parametre incorrect. [status=87 if-index=720901]

      Je ne comprends donc pas pourquoi il me renvoie "parametre incorrect" étant donné que sur ma machine de test, les deux pistes imaginées sont fonctionnelles.

      Je ne sais pas si je suis clair mais n'hésité pas à me poser des questions pour vous éclairer.
      Cordialement

      1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by

        (Bonne utilisation du formulaire)

        Il est notable que, sur un PC windows, le client, et notamment gui, doit être lancé en tant qu'administrateur !
        Si ce n'est pas le cas, le client est incapable d'ajouter la route fourni par la conf avec un message d'erreur semblable.

        Recette perso :

        Comme je gère un parc important de PC, que les utilisateurs ne sont plus administrateur local, j'ai abandonné le client OpenVpn standard du site 'openvpn.net' à cause de cette limitation.
        Désormais j'utilise

        • le driver Tap du site openvpn.net (fichier tap-windows-9.21.2.exe) pour créer l'interface tap nécessaire
        • 'Securepoint SSL VPN Client' accessible par Sourceforge (fichier openvpn-client-installer-2.0.21.exe)
          J'installe tap puis Securepoint.
          Pour l'install SecurePoint, je choisis l'install en anglais et le mode 'non management' (afin que l'utilisateur ne soit pas tenté de créer une config).
          Sous l'identité de l'utilisateur, je lance, une première fois Securepoint pour que soit créé le bon répertoire 'c:\users(utilisateur)\AppData\Roaming\Securepoint VPN SSL'.
          Dans ce dossier, je créé le dossier 'config', et je copie la config prévue :
        • un dossier par firewall cible (= 1 site) avec le fichier .ovpn et les .crt, .pkcs12 voulu = même config qu'OpenVpn

        Perso, j'ai fini par me créer un script qui part d'un certificat xxxx.pkcs12 et créé un dossier xxxx avec sous dossiers (site) et config idoine, reste plus qu'à copier.

        Mes users ne sont pas administrateur local du pc mais lance correctement la connexion vpn.

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • C
          ccnet
          last edited by

          @Dimix971:

          Message d'erreur:
          ROUTE: route addition failed using CreateIpForwardEntry : Parametre incorrect. [status=87 if-index=720901]

          Dans l'environnement Windows ce message est clairement lié à l' impossibilité d'exécuter l"opération avec le niveau de privilège suffisant.
          Voir le message qui précède.
          La toute dernière version du client 2.4.4, me semble t il, règle le problème de l'élévation de privilège.

          1 Reply Last reply Reply Quote 0
          • D
            Dimix971
            last edited by

            Bonjour,

            Excusez-moi pour cette réponse tardive, étant en alternance je n'étais pas en entreprise.

            @jdh, merci de la solution proposé je vais de ce pas l'essayer sur mon lab de test.

            @Dimix971:

            Dans l'environnement Windows ce message est clairement lié à l' impossibilité d'exécuter l"opération avec le niveau de privilège suffisant.
            Voir le message qui précède.
            La toute dernière version du client 2.4.4, me semble t il, règle le problème de l'élévation de privilège.

            Même en exécutant le client en mode administrateur je rencontre toujours le problème. Le client 2.4.4 est malheureusement incompatible avec windows server 2003

            1 Reply Last reply Reply Quote 0
            • C
              ccnet
              last edited by

              Avez vous regardé ces options dans le fichier de config ?

              route-method exe
              route-delay 2

              1 Reply Last reply Reply Quote 0
              • D
                Dimix971
                last edited by

                Bonjour,
                @ccnet:

                Avez vous regardé ces options dans le fichier de config ?

                route-method exe
                route-delay 2

                Alors oui du coup j'ai modifié le fichier de configuration généré par l'Openvpn de pfsense pour qu'il soit compatible avec le client 2.2.2.
                Merci de vos réponses, je viens tout juste de trouver le problème. Routage et accès distant sur mon serveur 2003 bloquait les routes envoyées par Openvpn, il me suffisait juste de le désactiver momentanément pour voir toutes mes routes remonter  :D
                Maintenant j'ai un tout autre problème mais celui-ci ne viens pas de pfSense mais de Windows ^^

                1 Reply Last reply Reply Quote 0
                • J
                  jdh
                  last edited by

                  La fonctionnalité 'Routage et Accès distant' de Windows Server 2003 offre un accès VPN à ce produit.
                  Il est donc assez évident qu'il fallait d'abord la désactiver.

                  Typiquement, c'est la préparation de l'opération : quand on ne prépare pas assez, voilà ce qui arrive …

                  Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.