OpenVPN Multi-Utilisateur Déconnexion



  • Bonjour,
    J'utilise pfsense sur OVH (vm qui fait parfeu/routeur) depuis quelque temps (6 mois)
    Je ne suis pas expert réseau, mais développeur. Donc je fais ce que je peux. Mais je dois m'occuper de ça dans ma société.
    J'ai donc des VM chez OVH, linux et windows, qui sont derrière pfsense. le seul moyen d'y accéder (enfin j'espère) c'est pas openvpn sur notre poste de travail.
    Nous ouvrons donc openvpn avec dans le dossier config : un fichier .ovpn + .p12 + .key
    C'est fichier sont générés depuis l'interface pfsense (export client)
    J'ai créer mes utilisateurs et dans l'ensemble ça semble fonctionner.

    Mais, (car il y a un mais) quand mon collègue est connecter tout seul, tous vas bien pour lui, mais une fois que je suis connecté aussi, ça provoque des coupure chez lui.
    Je ne décris pas les configs et je ne détail pas beaucoup dans ce premier poste, mais je voulais juste avoir un avis.

    Y a t il un point que je dois regarder précisément, ou une erreur commune au débutant qui pourrais provoquer ce problème ? vers ou me tourner ? que devrions nous vérifier ?

    Merci à vous

    Edit : En fait j'ai sensiblement fait ce qui est sur cette petite vidéo : http://www.youtube.com/watch?v=odjviG-KDq8
    sauf que j'ai choisi "remote acces (SSL/TLS)" mais sans le user auth



  • le seul moyen d'y accéder (enfin j'espère) c'est par openvpn sur notre poste de travail.

    Compte tenu de la configuration rien n'est moins sur mais passons …

    Mais, (car il y a un mais) quand mon collègue est connecter tout seul, tous vas bien pour lui, mais une fois que je suis connecté aussi, ça provoque des coupure chez lui.

    Vous partagez la même identité (même user et certificat) ?

    je voulais juste avoir un avis.

    Mon avis c'est qu'avec le peu d'informations disponibles … je n'en ai pas ...



  • @ccnet:

    le seul moyen d'y accéder (enfin j'espère) c'est par openvpn sur notre poste de travail.

    Compte tenu de la configuration rien n'est moins sur mais passons …

    Mais, (car il y a un mais) quand mon collègue est connecter tout seul, tous vas bien pour lui, mais une fois que je suis connecté aussi, ça provoque des coupure chez lui.

    Vous partagez la même identité (même user et certificat) ?

    je voulais juste avoir un avis.

    Mon avis c'est qu'avec le peu d'informations disponibles … je n'en ai pas ...

    • Donc ça ne suffit pas pour protéger l'infrastructure qui est derrière le pfsense… (?)

    • j'ai créé deux user, dans chacun d'eux j'ai demander à générer un certificat. Puis dans client export, il apparaissent tous les deux. Je choisi 'archive' et récupère les 3 fichiers de l'archive pour les mettre dans 'config' de openvpnp.

    • Je sais bien que je ne vous donnais certainement pas assez d'info. Mais comme je n'arrivais pas à trouver le temps d'écrire ici, et que je souhaitais le faire depuis pas mal de temps, j'ai fais rapide. En même temps, je ne sais pas bien qu'elle info vous donner. Je vais poster le log après déconnexion ce matin .

    Merci



  • Un accès VPN qui fonctionne bien repose sur des certificats (avec ou sans authentification).
    Il est clair qu'il y a une case à cocher si, d'aventure, on utilise le même certificat.
    C'est à déconseiller : le mieux, et ce qu'il faut faire, est 1 utilisateur = 1 certificat.

    Ayant eu des difficultés avec le package "Client Export", je ne l'utilise pas et j'ajuste en conséquence les fichiers de conf en y collant le bon fichier de certificat obtenu par téléchargement.

    Moi je regarderai la config après install : en principe c'est dans c:\program files\OpenVpn\config (avec toute la variation selon le Windows pour "program files").

    NB : Il a été moult fois rappelé que le pgm "OpenVPN GUI" doit être lancé en mode Administrateur !



  • @jdh:

    Un accès VPN qui fonctionne bien repose sur des certificats (avec ou sans authentification).
    Il est clair qu'il y a une case à cocher si, d'aventure, on utilise le même certificat.
    C'est à déconseiller : le mieux, et ce qu'il faut faire, est 1 utilisateur = 1 certificat.

    Ayant eu des difficultés avec le package "Client Export", je ne l'utilise pas et j'ajuste en conséquence les fichiers de conf en y collant le bon fichier de certificat obtenu par téléchargement.

    Moi je regarderai la config après install : en principe c'est dans c:\program files\OpenVpn\config (avec toute la variation selon le Windows pour "program files").

    NB : Il a été moult fois rappelé que le pgm "OpenVPN GUI" doit être lancé en mode Administrateur !

    Merci de ta réponse.
    OpenVPN est bien en mode admin, sinon ça marche pas du tout il me semble.
    Comme j'ai mis plus haut, j'ai un user = un certificat. A  Moins que je me trompe sur les termes, mais il me semble pas.
    Par contre je ne comprend pas bien la différence entre les fichiers téléchargés dans : user>certificat, et les fichier pris dans clients exports.

    MAis sinon, openvpn fonctionne plutôt bien dans l'ensemble. au détail près, les déconnexions quand on est deux. (oui je sais c'est déjà un sacré problème..)



  • Il me semble qu'il faut regarder le répertoire config de chaque utilisateur : il DOIT y avoir des différences qui DOIVENT être visibles !

    (Je n'utilise pas ClientExport donc je ne sais pas ce qui est présent.)



  • @jdh:

    Il me semble qu'il faut regarder le répertoire config de chaque utilisateur : il DOIT y avoir des différences qui DOIVENT être visibles !

    (Je n'utilise pas ClientExport donc je ne sais pas ce qui est présent.)

    En effet, c'est le cas.
    Mon fichier .p12 et mon fichier .key ne sont pas les même que ceux de mon collègue.
    Seul le fichier .ovpn est le même (pour le nom) et son contenu change au niveau de :

    pkcs12
    et tls-auth
    puisqu il pointe vers le fichier .p12 et .key

    par contre je ne comprend pas "verify-x509-name" même en lisant la notice.
    Car pour ce paramètre on à la même chose, mais je ne sais pas d'ou ça sort dans pfsense.

    autre chose que je comprend pas, c'est que dans user je peux télécharger, dans certificat un fichier .crt et un .key or il ne me servent visiblement à rien, car si je ne les met pas dans le dossier config ça marche
    Tant que j'ai bien les fichier dont je parlais au dessus .p1é et .key qui eux sont télécharger dans export client.

    Donc quelle différence entre ces fichiers, pourquoi et comment on utilise les uns plus que les autres.. etc

    Si quelqu'un à un tuto mieux que la vidéo que j'ai poster plus haut, qui montre comment faire vpn du poste vers pfsense avec seulement authentification par certificat, et ou c'est expliquer à quoi servent ces fichiers, et pourquoi on les utilises je suis preneur, même ne Anglais.

    Merci



  • Plutôt qu'un tuto, il faut lire la doc d'OpenVPN sur openvpn.net.
    La lecture via Wikipedia de X.509, infrastructure à clés publiques, pkcs12, … vous donnerait un minimum sur le sujet.

    Le .key est la clé (publique) du CA. => forcément identique
    Un fichier .pkcs12 réunit la clé publique et privée de l'utilisateur (donc le .crt et le .key). => forcément différent.

    NB : j'ai rédigé un tuto assez succint et se passant de Client export sur ce site !



  • @jdh:

    Plutôt qu'un tuto, il faut lire la doc d'OpenVPN sur openvpn.net.
    La lecture via Wikipedia de X.509, infrastructure à clés publiques, pkcs12, … vous donnerait un minimum sur le sujet.

    Le .key est la clé (publique) du CA. => forcément identique
    Un fichier .pkcs12 réunit la clé publique et privée de l'utilisateur (donc le .crt et le .key). => forcément différent.

    NB : j'ai rédigé un tuto assez succint et se passant de Client export sur ce site !

    Merci, Pour les fichier c'est plus clair, je vois mieux ce qu'ils sont.
    Dans les tuto que j'ai vu, je ne pense pas être tombé sur le tiens.

    Sinon, je comprend que mes question puissent être "exaspérantes" car vous vous dites "il tente des truc sans avoir lu ou chercher à comprendre etc…"
    Ce qui n'est surement pas faux en effet. Mais pour me "défendre", je dirais que si j'avais quelqu'un dans la société qui pouvais passer du temps à lire les docs et mettre ça en place ça serait bien. Mais là, j'ai dû faire ça moi même, un peu rapidement, pour trouver une solution à un problème à l'instant t. Ce n'était pas critique donc les erreurs étaient on va dire permises. Aujourd'hui ça fonctionne, mais il faut que je comprenne mieux tout ça. Que je lise des doc etc. L'autre problème c'est que c'est pas mon travail à la base, et que je fais donc ce que je peux pour mettre ça en place. Et que je ne pense pas qu'on puisse s'improviser "monteur de vpn"...

    Mais merci d'avoir pris le temps de répondre.



  • Bonjour,
    Toujours avec mes soucis OpenVPN, j'aurais encore une question.

    En fait, je n'ai pas tellement de soucis, dans l'ensemble ça fonctionne bien.
    Mon problème restant est le suivant:

    Avec un collègue on utilise un 'gestionnaire de source' pour travailler sur un projet commun. Nous somme tous les deux dans le même bureau. Et le gestionnaire de sources est sur un serveur chez OVH, sur une machine Windows. Ce serveur est derrière pfsense. Donc pour avoir accès à cette machine que ce soit un rdp ou pour accèder à notre gestionnaire de source, on utilise openvpn.
    Celui fonctionne, mais régulièrement on perd la connexion. L'icone (openVPN est jaune) puis ça reviens.

    Ce que nous avons remarqué, si ça peut aider quelqu'un pour me guider, c'est que si nous ouvrons une console dos, et que l'on lance un ping -t xx.xx.xx.xx sur l'adresse ip du pfsense ou est openvpn (l'ip d'administration du pfsense où l'on peut se connecter une fois openvpn ouvert),  nous n'avons plus aucun problème…

    Donc voilà, cette indication permettra peut être à quelqu'un de m'aider :)

    Merci



  • Ce qui semble montrer qu'un équipement sur le trajet met la connexion en stand by lors de l'absence de trafic. Que disent les logs du client OpenVPN à ce moment ?



  • ça c'est de la réponse rapide :)

    Donc, j'ai couper mon ping. Presque aussitôt, plus possible de me connecter en rdp sur la machine distante, et plus de gestionnaire de source.
    Dans mes log, rien de plus…
    J'ai relancer le ping, il ne pingait plus, puis dans le log est apparu ça à 15h46 :

    Wed Apr 02 12:16:41 2014 SIGUSR1[soft,ping-restart] received, process restarting
    Wed Apr 02 12:16:43 2014 UDPv4 link local (bound): [undef]
    Wed Apr 02 12:16:43 2014 UDPv4 link remote: [AF_INET]xx.xx.x.xx:xxxxx
    Wed Apr 02 12:16:46 2014 [vpnkarl_info] Peer Connection Initiated with [AF_INET]xx.xx.x.xx:xxxxx
    Wed Apr 02 12:16:48 2014 Preserving previous TUN/TAP instance: Connexion au réseau local
    Wed Apr 02 12:16:48 2014 Initialization Sequence Completed
    Wed Apr 02 15:46:33 2014 [vpnkarl_info] Inactivity timeout (--ping-restart), restarting
    Wed Apr 02 15:46:33 2014 SIGUSR1[soft,ping-restart] received, process restarting
    Wed Apr 02 15:46:35 2014 UDPv4 link local (bound): [undef]
    Wed Apr 02 15:46:35 2014 UDPv4 link remote: [AF_INET]xx.xx.x.xx:xxxxx
    Wed Apr 02 15:46:37 2014 [vpnkarl_info] Peer Connection Initiated with [AF_INET]xx.xx.x.xx:xxxxx
    Wed Apr 02 15:46:39 2014 Preserving previous TUN/TAP instance: Connexion au réseau local
    Wed Apr 02 15:46:39 2014 Initialization Sequence Completed
    
    

    et après le ping est revenu (15h46)



  • Avez vous essayer avec une ligne

    resolv-retry infinite
    

    dans le fichier de configuration client ?



  • Merci
    Je viens de regarder, et il semble que ça soit déjà le cas dans le fichier généré par le plugin dans openVpn

    Mon fichier xxx.ovpn :

    
    dev tun
    persist-tun
    persist-key
    cipher AES-128-CBC
    auth SHA1
    tls-client
    client
    resolv-retry infinite
    remote xx.xx.xx.xx:xxxxx udp
    verify-x509-name vpnkarl_info name
    pkcs12 pfSense-udp-xxxxx-vpnkarl.p12
    tls-auth pfSense-udp-xxxxx-vpnkarl-tls.key 1
    comp-lzo
    
    

Log in to reply