Problème DHCP openvpn
-
bonjour j'ai configuré mon pfsense pour avoir le service openvpn (client - serveur)
par contre je me heurte à un problème de DHCP en faite tout fonctionne correctement sauf que
quand j'ai plusieurs utilisateurs qui se connectes en meme tps le serveur DHCP donne toujours la même adresse ip au client "192.168.100.6"
se qui est gênant dans le fonctionnement simultané des sessions
d'où pourrai venir mon problème ?merci d'avance
-
Dans OpenVPN: Server: Edit pour le champ "Address pool" quelle valeur avez vous indiqué ?
ce qui est gênant dans le fonctionnement simultané des sessions
Quels problèmes observez vous ?
Il y a la possibilité de réserver une ip à un utilisateur sur la base du VN contenu dans le certificat. L'onglet "OpenVPN: Client-specific configuration: " vous permet cette configuration.
-
dans le champ address pool j'ai "192.168.100.0/24" normal …. mais pk il ne délivre pas correctement les adresses ip a mes clients ?
en gros si je connecte 10 utilisateur nomade disant il auront tous comme ip 192.168.100.6 ....
tres problématique -
Quels problèmes observez vous ?
Je vous repose la question. Que disent les logs ? Use static IPs n'est pas cochée ?
Merci d'écrire dans un français correct. -
j'ai résolu mon problème !
le problème est lors de la création du certificat ….
en gros l'adresse ip du client est liée aussi au certificat client ...
bref cela fonctionne maintenant
merci :) -
Et si vous expliquiez exactement plutôt qu'en gros ce que vous aviez fait, et que je crois deviner, cela pourrait servir à d'autres à qui la même idée viendrait …
-
Tu peux écrire ce que toi et moi devinons : il n'y aurait qu'UN SEUL certificat client pour les 10 utilisateurs !
Evidemment, on tombe là dans un non-sens absolu : une pki est destiné à un ensemble de certificats qui fonctionnent bien ensemble, alors si on utilise le MEME certificat pour plusieurs utilisateurs cela NE PEUT PAS fonctionner !
Je n'ai pas regardé la gestion des certificats incluse dans la 2.0 BETA. (Il faudra que je m'y penche)
Mais il y a plusieurs solutions pour gérer une pki pour une entreprise :- (à la main,) avec les scripts RSA fournis par OpenVPN,
- XCA, une solution Windows,
- phpki, une solution AMP,
- ejcba, une solution Java,
- …
Mais ce qui est clair, c'est que chaque objet (serveur, service, utilisateur) doit avoir son propre certificat !
-
en gros pour faire simple quand j'ai générer mes certificats il faut saisir un COMMON NAME qui est dans la plupart du tps pour les serveur le nom de domaine DNS : entreprise.toto.com
mais quand j'ai créer mes client je n'avais pas remarqué que dans le tutorial que j'ai parcourus il fallait indiquer une COMMON NAME différent pour chaques utilisateurs… exemple : client1, client2, client3
alors que moi j'ai mis en COMMON NAME toujours le même c'est a dire : entreprise.toto.com
j'ai fais le teste 2 fois, ça viens bien de ce paramètre .... après de là a vous expliquez pourquoi ça pose problème aucune idee
mes connaissances dans le domaine des certificats et trop faible ....
merci quand même :) -
@jdh:
Je n'ai pas regardé la gestion des certificats incluse dans la 2.0 BETA. (Il faudra que je m'y penche)
Je l'ai fait et je te la recommande. Beau progrès. Un point pas forcément intuitif dans l'interface (j'ai oublié lequel), mais une fois que l'on a compris, quel confort.
-
@ccnet : merci de l'info ! Mais j'évite pour la prod la 2.0 BETA (je n'ai qu'un seul site en 2.0). Néanmoins Phpki est suffisamment simple pour y arriver (sauf l'obligation de mots de passe pour clé : j'ai modifié quelques lignes et ça roule).
Et oui, tu as compris : le common name doit être unique ! L'objet du certificat est d'aboutir à identifier de façon certaine (et inviolable).
D'où la nécessité de définir une "norme" de remplissage des champs, genre le common name est prenom.nom.site ou autre …
(au fait y a-t-il un rapport entre common name et nom de fichier du certificat ?)Dans le cas d'OpenVpn, c'est en rapport à ce common name que sont associé les traitements "client-specific config" (cité par ccnet).
Il reste à recréer de nouveaux certificats et ... à révoquer les anciens (ou l'ancien), ainsi que remplir la CRL (Certificat Revokation List)
-
Pas de Pfsense V2 beta non plus pour la prod. J'en ai deux dans des vm que je teste plus en mode "appliance", avec une seule interface souvent, en utilisant les packages. Pure prospective de ma part à ce stade.