Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [ RESOLU ] Problème OpenVPN - Peer To Peer (SSL/TLS)

    Scheduled Pinned Locked Moved Français
    6 Posts 4 Posters 989 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      ced56
      last edited by

      Bonjour,

      Je tente de faire un serveur OpenVPN en mode site à site avec certificat. Je ne veut pas utiliser la méthode Share Key car j'ai vu sur quelques sites qu'au bout d'un certain nombre de client, il était préférable de passer en SSL/TLS. Or dans mon cas, je risque d'avoir au minimum 10 clients par la suite.
      Pour mes tests, j'ai deux routeurs qui va me servir à faire un serveur OpenVPN et un client.
      RT01 : WAN x.x.x.x - LAN 192.168.1.1 => Serveur OpenVPN
      RT02 : WAN y.y.y.y - LAN 192.168.2.1 => Client OpenVPN

      Sur le routeur RT01, j'ai créé une CA du nom mdz, les paramètres sont les suivants :
      Descriptive Name : mdz
      Method : Create an internal Certificate Authority
      Key Length : 2048
      Digest Algorithm  : SHA1
      Lifetime : 3650
      Distinguished name :      FR
      BZH



      ****@***.
      ca-mdz

      Ensuite j'ai créé un certificat de type serveur pour le serveur OpenVPN appelé test1
      Descriptive Name : test1
      Method : Create an internal Certificate Authority
      Certificate Authority : mdz
      Key Length : 2048
      Digest Algorithm  : SHA1
      Certificate Type : Server Certificate
      Lifetime : 3650
      Distinguished name :      FR
      BZH



      ****@***.
      ca-test1

      Après pour mon client OpenVPN, j'ai créé un autre certificat
      Descriptive Name : testclt
      Method : Create an internal Certificate Authority
      Certificate Authority : mdz
      Key Length : 2048
      Digest Algorithm  : SHA1
      Certificate Type : User Certificate
      Lifetime : 3650
      Distinguished name :      FR
      BZH



      ****@***.
      ca-testclt

      Maintenant je m'attaque à la partie OpenVPN
      Server Mode : Peer To Peer (SSL/TLS)
      Protocol : UDP
      Device Mode : tun
      Interface : WAN
      Local Port 1194

      TLS Authentification : cocher les deux cases
      Peer Certificate Authority : mdz
      Server Certificate : test1
      DH Parameters Length : 1024
      Encryption algorithm : AES-256-CBC
      Auth Disgest Algorithm : SHA1
      Hardware Crypto : NO

      IPV4 Tunnel Network : 10.0.8.0/24
      IPV4 Local Network : 192.168.1.0/24
      IPV4 Remote Network : 192.168.2.0/24
      Compression : Enable with adaptive compression

      Après la partie serveur OpenVPN, j'ai été dans Client Specific Overrides
      Common Name : testclt
      IPV4 Remote Network : 192.168.2.0/24

      Ensuite j'ai fait des règles sur l'interface WAN, LAN et OpenVPN ou je laisse passer tout le traffic en IPV4 (Juste un test donc pour ça que je laisse tout passer).

      Sur mon routeur RT02, j'ai importé le certificat de la CA (Sans la clé). Après j'ai pris le certificat testclt que j'ai aussi importé mais cette fois si avec la clé.
      Ensuite j'ai créé mon client dans OpenVPN avec les caractéristiques suivantes :
      Server Mode : Peer To Peer (SSL/TLS)
      Protocol : UDP
      Device mode : tun
      Interface : WAN
      Server host : x.x.x.x
      Server Port : 1194
      TLS Authentification : Cocher la 1ere case et copier la clé du serveur OpenVPN RT01
      Peer Certificate : mdz
      Client Certificate : testclt
      Encryption algorithm : AES-256-CBC
      Auth Digest Algorithm : SHA1
      Hardware Crypto : No

      IPV4 Tunnel Network : 10.0.8.0/24
      IPV4 Remote Network : 192.168.1.0/24
      Compression : Enable with adaptive common

      Ensuite j'ai fait des règles sur l'interface WAN, LAN et OpenVPN ou je laisse passer tout le traffic en IPV4 (Juste un test donc pour ça que je laisse tout passer).

      Mon client VPN se connecte bien à mon serveur (cf Capture jointe).
      Sur mon routeur RT01, quand je vais dans Status OpenVPN, je vois bien la connexion de mon client (testclt).

      Le soucis maintenant c'est que je ne peut pas faire de ping entre les deux routeurs quand je suis sur le LAN de chaque routeur. Je ne peut non plus accéder à l'interface web du routeur distant.
      Est ce que c'est un problème dans ma configuration que ce soit serveur ou cliente ou dans des règles que je dois mettre avec des ports (OpenVPN) ou les @IP Publique WAN (x.x.x.x ou y.y.y.y) ?

      PS : je me suis servis des sites suivants pour essayer de monter mon serveur OpenVPN
      https://doc.pfsense.org/index.php/OpenVPN_Site_To_Site
      https://doc.pfsense.org/index.php/OpenVPN_Site-to-Site_PKI_%28SSL%29
      StatusOpenVPNClient.png
      StatusOpenVPNClient.png_thumb
      StatusOpenVPNClient.png
      StatusOpenVPNClient.png_thumb

      1 Reply Last reply Reply Quote 0
      • C
        chris4916
        last edited by

        est-ce que ça t'aide ?

        EDIT: mauvais lien  ::)

        1 - Selon la nature de ton réseau entre les routeur, TCP est peut-être mieux que UDP
        2 - c'est potentiellement un problème de route: regarde la section "client override"  ;)

        Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

        1 Reply Last reply Reply Quote 0
        • L
          Lolight
          last edited by

          J'ai comme l'impression d'avoir déjà vu ce problème quelque part  ::)

          Avec le liens que ta donné Chris tu devrais avoir la solution, bonne lecture.
          pfSense est RT1 je suppose et RT2 est aussi un pfSense ou un autre Operating System ?

          1 Reply Last reply Reply Quote 0
          • C
            ccnet
            last edited by

            Ensuite j'ai fait des règles sur l'interface WAN, LAN et OpenVPN ou je laisse passer tout le traffic en IPV4 (Juste un test donc pour ça que je laisse tout passer).

            Ok pour la situation de test.
            Rappelons les règles nécessaires :
            Sur Wan 1194/UDP avec l'adresse source si c'est un lien site à site.
            Lan n'est pas concerné.
            Openvpn c'est selon les besoins et en phase de test vous pouvez tout autoriser.
            A priori le lien est correctement établi. Regarder quand même les logs pour vérifier que tout est bien fonctionnel.

            Reste évidement le problème du routage qu'il vous faut vérifier aller et retour. Regardez les options Push-route.

            Par ailleurs :

            DH Parameters Length : 1024

            C'est un choix un peu dangereux, ou du moins insuffisant. Dans votre configuration définitive passez à 2048.

            1 Reply Last reply Reply Quote 0
            • C
              ced56
              last edited by

              Merci pour vos réponses
              Le problème venait effectivement des routes et notament des push-route.
              Après avoir refais mes routes, je n'ai plus aucun soucis sur mon VPN.

              1 Reply Last reply Reply Quote 0
              • L
                Lolight
                last edited by

                Ah génial, merci d'être repasser, si tu peux édit le titre et marquer résolus ça serais top  :P

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.