[Résolu] Connexion Client OpenVPN



  • Bonjour,

    J'ai suivi à la lettre le tuto sur adminreseau.net mais je n'arrive pas à connecter mon client à mon serveur VPN. Ci-joint le schéma réseau de ma maquette PFSense en sachant que le PFSense de gauche c'est le serveur VPN et que mon client est à droite (le 172.16.0.1 /16). J'ai bien mis les fichiers qu'il faut dans le repertoire "config" d'OpenVPN. Mais quand je lance la connexion du client VPN, il se bloque à cette ligne:

    UDPv4 link remote: 130.130.255.253:1284
    

    Et je dois le couper pour qu'il s'arrête sinon il réessaye mais ça ne passe pas.

    Plus haut que la ligne ci-dessus, il y a ça d'indiqué aussi:

    TLS error: TLS key negociation failed to occur within 60 seconds (check your network connectivity)
    TLS error: TLS handshake failed
    

    Qu'est-ce qu'il peut bloquer la connexion svp ? Que faire ?

    Merci.

    raptor45.
    ![maquette 2 vpn.jpg](/public/imported_attachments/1/maquette 2 vpn.jpg)
    ![maquette 2 vpn.jpg_thumb](/public/imported_attachments/1/maquette 2 vpn.jpg_thumb)



  • Pour moi un fichier de configuration correct d'un client open vpn vers Pfsense ressemble à ceci :

    client
    remote x.y.94.138 1194
    dev tun
    proto udp
    [...]
    
    

    Le port pouvant être différent selon la configuration de serveur.



  • oui mais j'ai mis le même port à savoir 1284.

    Sur le schéma reseau de mon premier post, est-ce qu'il faut que je puisse tout de part en part avant la mise en place du VPN ? Si oui, alors c'est pas le cas ! Mais c'est pas un problème à mon avis car si j'étais réellement sur le net, les 2 LANs ne se pingueraient pas. En revanche le reseau du milieu (130.130.0.0 /16) ne se pinguent pas entre eux. Le problème ne viendrait pas de là ?

    Merci.

    raptor45.



  • Bonjour,

    J'essaye de connecter mon client OpenVPN à mon serveur VPN (vous trouverez le schéma réseau dans mon premier post). Lors de la connexion de mon client VPN, j'ai ces erreurs:

    TLS error: TLS key negociation failed to occur within 60 seconds (check your network connectivity)
    TLS error: TLS handshake failed
    
    

    Et aussi, lorsqu'il arrive à la ligne UDPv4 link remote: 130.130.255.253: 1284, il bloque et réessaye te rebloque …

    Que puis-je faire svp ? Il faut savoir quand mon WAN (donc le réseau 130.130.0.0 /16) les interfaces WAN des 2 PFSense n'arrivent pas à se pinguer. Est-ce que le souci peut venir de là svp ? Si oui, pourquoi est-ce que ça ping pas alors que j'ai vérifié les branchements, l'adressage, j'ai tenté en desactivant les pare-feu, ensuite je l'ai remis et j'ai mis une règle qui ouvre tout sur le WAN mais rien n'y fait.

    Quoi faire svp ?

    Merci.

    raptor45.



  • Vérifiez vos paramètres réseau, cables , etc … Tant que vous n'avez pas une connectivité ip fonctionnelle vous ne risquez pas de monter un tunnel vpn.



  • oui j'imagine bien surtout pour le WAN. J'ai rajouté un HUB dans le réseau WAN mais les interfaces ne se pinguent toujours pas !

    Par contre sur les consoles PFSense , j'ai ce message d'erreur:

    sis0: Applying short cable fix ([b]reg=fb[/b])
    sis0: Applying short cable fix ([b]reg=f1[/b])
    

    Est-ce que ça veut dire qu'il y a un problème de câble ? Que veut dire ce message exactement svp ?

    raptor45.





  • salut,

    j'ai mis 2 câbles de 10 sur l'interface WAN (sis0): 1 câble de 10 m partant de l'interface WAN de mon serveur vpn de pfsense qui est relié sur un hub. De ce même hub part un autre câble de 10 m sur l'autre interface WAN de l'autre pfsense. Et j'ai toujours le même message:

    sis0: Applying short cable fix (reg=0)
    

    Si par exemple je débranche un câble du hub et que je le rebranche, ça va me marquer ça automatiquement que la console de pfsense.

    Que faire svp ? Et surtout est-ce que c'est génant pour le bon fonctionnement ? Par exemple, sur le schéma réseau ci-joint, je n'arrive pas à pinguer mes interfaces WAN des 2 pfsense, est-ce que celà peut-être à cause de cette erreur ou pas du tout ?

    Merci.

    raptor45.

    ![maquette 2 vpn.jpg](/public/imported_attachments/1/maquette 2 vpn.jpg)
    ![maquette 2 vpn.jpg_thumb](/public/imported_attachments/1/maquette 2 vpn.jpg_thumb)



  • bonjour,

    hier j'ai enfin réussi à connecter mon client OpenVPN à mon serveur VPN. Je suis partis du boulot hier en laissant les machines allumées et ce matin j'ai voulu reconnecter le client VPN et impossible !! J'ai redémarré les machines PFSense mais ça ne fonctionne toujours pas.

    Comme je viens de le dire hier le client vpn se connectait bien à mon serveur vpn et aujourd'hui non !!

    Pouvez-vous me lancer sur des pistes svp car là je ne vois vraiment pas pourquoi hier ça fonctionnait, je reviens aujourd'hui et ça ne fonctionne plus alors que je n'ai absolument rien touché !

    Merci.

    raptor45.



  • Le tunnel VPN a de nouveau était actif après réinstallation de pfsense … bizarre qu'il faille réinstaller pfsense comme ça assez souvent !

    J'ai un autre souci:

    En fait dans la configuration WAN des pfsense j'ai mis ceci:

    pfsense de gauche : IP WAN : 130.130.255.253
                                GW WAN : 130.130.255.254
    pfsense de droite : IP WAN : 130.130.255.254
                                GW WAN : 130.130.255.253
    

    Le souci avec cette config c'est que quand je connecte mon client VPN et que je fait un tracert 192.168.1.2 (donc le LAN de gauche) ça ne passe pas par le tunnel VPN, à savoir 10.0.10.1 mais par les interfaces WAN comme s'il n'y avait pas de tunnel VPN.

    Sur les conseils d'un ami, j'ai re-configuré les interfaces WAN des pfsense comme ceci:

    pfsense de gauche : IP WAN : 130.130.255.253
                                GW WAN : 130.130.255.253
    pfsense de droite : IP WAN : 130.130.255.254
                                GW WAN : 130.130.255.254
    

    Mais là, je n'arrive plus à connecter mon client VPN. J'ai tenté un ping du LAN de droite vers l'interface WAN de pfsense de droite, ça passe pas. Ensuite, j'ai tenté un ping du LAN de gauche vers l'interface WAN de pfsense de gauche, ça marche.

    Qu'est-ce qu'il faut que je fasse svp pour que je puisse monter mon tunnel VPN et qu'ensuite un ping ou un accès bureau à distance transitent bien par le tunnel vpn svp ?

    Merci d'avance pour vos réponses, vraiment.

    raptor45.



  • J'arrive enfin à faire la connexion du client VPN à mon serveur VPN. Lorsque je fais un ping du LAN à partir du client VPN, le ping passe bien par le tunnel VPN et par le protocole UDP !

    Pour réussir j'ai du installer la version 1.2.3 de PFSense. L'ancienne version (1.2.2) ne voulait rien savoir. Même en arrivant à me connecter au tunnel VPN, le ping passait par l'interface "normale" et pas par le tunnel ! Avec cette ancienne version, je devais souvent réinstaller PFSense, j'espère que je n'aurai pas besoin de le faire dans cette version 1.2.3.

    Voilà.

    Merci.

    raptor45.



  • Avec cette ancienne version, je devais souvent réinstaller PFSense, j'espère que je n'aurai pas besoin de le faire dans cette version 1.2.3.

    Il faut tordre le coup à cette idée. J'ai plusieurs Pfsense V 1.2.2 en production sur des sites différents avec OPenvpn.
    Il n'y a ni problème de stabilité ni de fiabilité.

    En dehors de cela la version 1.2.3 (qui n'est que RC actuellement) apportera des fonctionnalités appréciables comme la possibilité de filter le trafic vpn.



  • Je veux bien tordre le coup à cette idée, mais il s'avère que j'ai fais exactement la même chose à plusieurs reprises sur l'ancienne version et ça ne fonctionnait pas. J'ai installé la dernière version ce matin et c'est passé directement.

    Donc c'est bizarre quand même, non ?

    raptor45.



  • Non , je ne trouve pas cela bizarre. Ce que je trouve bizarre c'est que votre inexpérience vous autorise ce type de conclusion. Il ne faudrait pas que l'on vous prenne au  sérieux sur ce point. Il y a sans doute des domaines où vous êtes compétent mais pas celui-ci. Il vous a fallu un mois et demi et plusieurs dizaines de posts pour en arriver là. Avec la version 1.2.2 il me faut une heure, et encore à distance, pour mettre en place le vpn.
    Ce qui m'ennuie c'est que vous jetiez un doute sur un produit remarquable alors que vos difficultés, réelles, sont ailleurs. Tant mieux si vous êtes parvenu à un résultat mais n'en tirez pas de conclusion hâtive.



  • Effectivement, j'ai découvert le VPN, le Firewall par l'intermédiaire de cet outil comme je vous l'ai déjà dis dans des posts précédents d'ailleurs. Et en AUCUN CAS je n'ai descendu PFSense !! Sinon je ne continuerai pas de l'utiliser et je prendrai une autre solution !! Je ne vois pas du tout où j'ai tiré une conclusion catégorique vu qu'en plus je vous demande si celà est bizarre ou non !!!!!!!!!!!! Sinon j'aurai tout simplement dit : "cette distrib c'est de la grosse merde". Mais je ne vois pas comment je pourrai dire une telle chose alors que je ne maîtrise même pas les outils correctement alors je ne comprends pas comment vous me faites dire quelque chose que je n'ai pas dis et que je suis très loin de penser. Là vraiment je suis sur le cul !

    Effectivement il m'aura fallu 1 mois et demi environ sauf qu'entre temps je suis allé 3 semaines à l'école (donc j'y ai pas touché) et que la semaine dernière j'ai pris 2 jours de vacances ! Donc d'un coup ça ne fait plus 1 mois et demi !

    Je ne comprends vraiment pas votre réaction. Et si je vous ai dis que j'ai fais EXACTEMENT la même chose à plusieurs reprises sur l'ancienne version et que ça ne passe pas et que j'ai fais exactement la même chose sur la nouvelle version et que vous ne me croyiez pas c'est une chose mais je ne vois vraiment pas l'intérêt que j'aurai de dire ça si ce n'était pas vrai. Je suis peut-être débile et neuneu pour vous mais je suis rigoureux et je suis absolument sûr de moi concernant les config entre l'ancienne et la nouvelle version.

    J'attends votre réaction.

    raptor45.



  • Comment pouvez vous prétendre à la rigueur alors que vous ne parvenez pas à distinguer un problème réseau d'un problème de liaison de données ?

    Soyons clair. C'est probablement par hasard que vous parvenez à faire la fonctionner le version 1.2.3 alors que vous n'y parveniez pas avec la 1.2.2. Depuis qu'elle existe je fais fonctionner le vpn de la 1.2.2 régulièrement. Aucune réinstallation n'est nécessaire avec cette version. Il n'y a rien d'autre à ajouter.



  • pourquoi dites-vous que je n'arrive pas à distinguer un problème réseau d'un problème liaison de données ?

    Et si, il y a quelque chose à ajouter : j'ai fais l'expérience après une réinstallation de PFSense, à savoir ceci : j'ai fais une conf de base :

    • interface WAN (IP, mask et GW)
    • interface LAN (IP, mask)
    • création tunnel OpenVPN
    • connexion client VPN : connexion ok mais le ping ne passait pas par l'interface VPN mais par la "normale"

    Je ne suis pas allé plus loin car je devais partir. Je suis revenu le lendemain et le tunnel ne fonctionnait plus : impossible de m'y connecter. Plusieurs fois ça m'a fait ça mais je me disais que c'était peut être parce que je modifiais certaines choses qu'il ne fallait pas. Or cette fois là je n'ai rien fais d'autre que ce que j'ai énuméré ci-dessus. Alors évitez de tout le temps dire que je suis bon à rien. Après c'est peut être un souci matériel mais je ne sais pas. C'est pourquoi je DEMANDAIS si c'était normal cette situation vu que ce n'est pas une version stable c'est tout. mais je n'ai pas dis que c'est une distribution nulle !

    Et puis comme j'ai déjà dis je n'ai pas 10 ans d'expérience ou bien un BAC +5 ni même un BAC +2 pour le moment alors je pense que c'est le bon endroit pour que des gens comme vous aident des gens comme moi plutôt que de leur dire et redire qu'ils sont nuls. Là, franchement je ne comprends pas votre conception. Et comme j'ai dis aussi ça ne m'a pas pris 1 mois et demi vu que j'ai eu 3 semaines d'école et 2 jours de vacances. Donc débutant sur l'outil et même sur un Firewall en général, débutant sur le VPN, lire des docs, et faire la mise en place je pense que je me suis pas trop mal débrouillé même si j'ai eu de l'aide !

    Maintenant il me reste les règles de firewall et nat comme vous le savez puisque vous m'avez répondu à mon nouveau topic.

    Et bien au contraire de tout ça : PFSense est un très bon outil à mes yeux et abordable par les débutants.

    raptor45.



  • pourquoi dites-vous que je n'arrive pas à distinguer un problème réseau d'un problème liaison de données ?

    Pace que vous ne comprenez pas la différence entre un commutateur et un routeur :

    Côté WAN, je sais pas trop s'il faut que je mette pfsense en passerelle ou le switch.

    Au surplus si je me souviens bien de votre maquette c'est de toute façon inutile.

    C'est pourquoi je DEMANDAIS si c'était normal cette situation vu que ce n'est pas une version stable c'est tout. mais je n'ai pas dis que c'est une distribution nulle !

    La 1.2.2 est une version parfaitement stable. Qui vous dit que vous auriez écrit "que c'est une distribution nulle" ? Pas moi.
    Vous écrivez juste "que ce n'est pas une version stable", ce qui est tout à fait faux.

    plutôt que de leur dire et redire qu'ils sont nuls. Là, franchement je ne comprends pas votre conception.

    Votre problème c'est que vous n'apprenez pas les fondamentaux. Vous pensez que triturer un Pfsense dans tous les sens sans comprendre ce que vous faites va mener quelque part ? J' ai donné les endroits où trouver les informations pour apprendre et comprendre un minimum les bases techniques.



  • Alors là, je ne vois pas comment vous pouvez dire que je ne connais pas la différence entre un commutateur et un routeur ! Vu que je connais la différence.

    Concernant le switch oui c'est inutile c'est bien pour ça que j'ai dis que maintenant il est dans le réseau WAN et plus dans le LAN (et j'ai aussi dis que c'est pas un switch mais un hub qui me sert à sniffer les trames qui transitent).

    Je pensais que la 1.2.2 était non stable car je l'ai déjà lu je ne sais plus où. Donc vous voyez lire lire et lire c'est bien mais tout n'est pas bon à prendre. Mieux vaut l'expérience de gens comme vous qui peuvent aider plutôt que de rabaisser les gens.

    Et maintenant vous me dites que je n'apprends pas les fondamenteaux ??? C'est bien de juger quand on connait pas la personne dites moi ! Nous venons de voir un peu plus en détail les 3 premières couches OSI à l'école. Ensuite j'ai lu une très bonne partie du site christian caleca. C'est hallucinant de se faire juger de la sorte. Alors oui je connais + la théorie que la pratique mais arrêtez de dire que je ne veux rien apprendre que je me lance tête baisser dans PFSense en faisant n'importe quoi …. On dirait que vous n'avez jamais appris et que tout est science infuse pour vous.

    C'est vraiment grave de demander de l'aide sur un forum (un forum c'est fait pour ça je crois ? Ah moins qu'il faut que j'aille lire de la documentation sur la definition "forum" ? Biensur il ne faut pas arriver sur le forum et demander "comment on allume un PC ?") et d'avoir l'impression que les forums sont réservés aux gens qui savent tout. J'ai peut-être posée des questions débiles à votre sens mais c'est comme ça qu'on avance car des fois on n'a pas d'expérience dans la pratique de telle chose ou bien on est pas sûr de soi et mieux vaut demander !

    raptor45.



  • Alors là, je ne vois pas comment vous pouvez dire que je ne connais pas la différence entre un commutateur et un routeur ! Vu que je connais la différence.

    Alors vous n'auriez pas dû hésiter une seconde pour la gateway.
    Cessons cette discussion qui n'intéresse personne et qui est sans objet sur ce forum. J'ai terminé.



  • Effectivement je n'aurai pas du hésiter pour la GW mais vu que je manque de pratique j'ai préféré demander pour être sûr, rien de plus !

    Ça n'intéresse personne en effet mais je ne pouvais rester sans "voix" c'est dans ma nature.

    J'en ai également terminé.

    raptor45.



  • Peace mes frères!

    Restons courtois et continuons à nous aider les uns les autres.
    Merci Raptor pour faire avancer le shmilblic (perso ça m'a aidé que tu postes t'es résolutions, merci)
    Et merci CCNET pour ton aide rapide qui donne vie au forum quotidiennement.

    Bonne journée messieurs



  • Je confirme les propos de ccnet : la 1.2.2 est parfaitement opérationnelle pour tout VPN :

    je continue à en gérer 7 installations avec du VPN Ipsec et du VPN OpenVPN sans difficulté aucune (y compris derrière des box).

    On arrive souvent à faire fonctionner une install "fresh" … parce qu'on a trop bricolé dans tous les sens l'install courante.

    Autant j'ai installé "à la russe" des 1.2RC du temps de la 1.0,
    autant je ne vois pas bien l'intérêt de migrer à 1.2.3RC car la 1.2.2 est parfaitement stable.
    (Même s'il semble attractif de pouvoir filtrer dans OpenVPN comme Ipsec.)



  • Mais est-ce que j'ai dis que cette version 1.2.2 est complètement instable ????? J'ai juste DEMANDE si c'était normal que ça me faisait ça parce que je CROYAIS qu'elle était instable vu que j'avais lu ceci je ne sais plus où. J'ai bien compris qu'elle est stable.

    Et si vous aviez bien lu tous mes posts j'ai aussi dis que j'ai fais l'expérience de configurer le strict minimum (interfaces LAN et WAN, le tunnel OpenVPN) sans rien toucher d'autre. J'ai laissé tourner toute la nuit, je suis revenu le lendemain et impossible de se connecter à mon VPN alors que la veille ça fonctionnait. Même en rebootant impossbiel ! Je devais réinstaller. Alors vu que je sais maintenant que c'est parfaitement stable je me penchais vers le matériel car j'ai toujours le message d'erreur suivant :

    applying short cable fix 
    

    J'ai déjà demandé pourquoi j'avais ce message mais je ne sais toujours pas à quoi celà est dû. J'ai recherché sur le forum ce message d'erreur, je suis tombé sur un post parlant de la longueur des câbles disant qu'il fallait qu'ils soient supérieurs à 5 mètres il me semble. Mes câbles font 20 mètres donc je comprends pas pourquoi j'ai toujours ce message. Est-ce que c'est possible que ce soit dû à ce message d'erreur le fait que je n'arrive pas à me reconnecter le lendemain ?

    Je le redis encore : j'adore cette distribution qu'est PFSense et grâce à elle, le forum et les docs j'en apprends tous les jours. Après, je ne sais pas ce que vous avez à vous acharner. J'ai vraiment l'impression d'avoir "insulté" la distrib, le forum, vous, etc … Alors que vraiment je suis quelqu'un de motivé et qui veut apprendre grâce à des gens comme vous qui peuvent aider des gens comme moi. Alors oui, il me manque beaucoup d'éléments mais j'apprends, je lis, je questionne etc ... c'est pas évident ! Et je n'arrive pas à avancer pour les règles de FW sur l'OpenVPN. Que je bloque tout ou rien sur l'interface WAN en passant par le proto UDP sur les ports 1284, le VPN se connecte quand même !! Je ne saisi pas tout. Pouvez-vous m'éclairer svp ?

    Que pensez-vous de tout ça ?

    A bientôt.

    raptor45.



  • Bonjour,

    HS mais bon,  JDH tu as ecris:

    (Même s'il semble attractif de pouvoir filtrer dans OpenVPN comme Ipsec.)

    Justement CCNET m'avais parlé des rules qui s'appliquent OpenVPN dans la rc3 mais je ne l'ai jamais trouvé.
    Quelqu'un a plus d'info la dessus?

    Merci



  • salut,

    Il faut que tu assignes une interface virtuelle dans longlet interfaces (assign). Tu cliques sur "+", tu ajoutes l'interface OPT1 et dans le menu déroulant tu l'assignes à TUN0.
    Ensuite tu verras dans fw:rules tu auras la nouvelle interface et pourras faire du filtrage de proto dans le tunnel VPN.

    Pour ma part, j'ai testé mais je n'arrive pas à encore à le faire fonctionner. Il doit me manquer des éléments. Si quelqu'un veut bien m'aider svp ?

    raptor45.



  • Messieurs,

    pour ma part, je n'ai jamais eu de problèmes avec la 1.2.2, alors que j'ai des soucis openVPN avec la 1.2.3RC3  ;D

    Comme quoi, chacun ses m…des...
    Donc, un conseil:
    sauf besoins particulliers, n'utilisez pas une version RC en production !! (c'est vrai pour tout !)

    Nicolas..


Log in to reply