[ RESOLU ] Problème OpenVPN - Peer To Peer (SSL/TLS)
-
Bonjour,
Je tente de faire un serveur OpenVPN en mode site à site avec certificat. Je ne veut pas utiliser la méthode Share Key car j'ai vu sur quelques sites qu'au bout d'un certain nombre de client, il était préférable de passer en SSL/TLS. Or dans mon cas, je risque d'avoir au minimum 10 clients par la suite.
Pour mes tests, j'ai deux routeurs qui va me servir à faire un serveur OpenVPN et un client.
RT01 : WAN x.x.x.x - LAN 192.168.1.1 => Serveur OpenVPN
RT02 : WAN y.y.y.y - LAN 192.168.2.1 => Client OpenVPNSur le routeur RT01, j'ai créé une CA du nom mdz, les paramètres sont les suivants :
Descriptive Name : mdz
Method : Create an internal Certificate Authority
Key Length : 2048
Digest Algorithm : SHA1
Lifetime : 3650
Distinguished name : FR
BZH
****@***.
ca-mdzEnsuite j'ai créé un certificat de type serveur pour le serveur OpenVPN appelé test1
Descriptive Name : test1
Method : Create an internal Certificate Authority
Certificate Authority : mdz
Key Length : 2048
Digest Algorithm : SHA1
Certificate Type : Server Certificate
Lifetime : 3650
Distinguished name : FR
BZH
****@***.
ca-test1Après pour mon client OpenVPN, j'ai créé un autre certificat
Descriptive Name : testclt
Method : Create an internal Certificate Authority
Certificate Authority : mdz
Key Length : 2048
Digest Algorithm : SHA1
Certificate Type : User Certificate
Lifetime : 3650
Distinguished name : FR
BZH
****@***.
ca-testcltMaintenant je m'attaque à la partie OpenVPN
Server Mode : Peer To Peer (SSL/TLS)
Protocol : UDP
Device Mode : tun
Interface : WAN
Local Port 1194TLS Authentification : cocher les deux cases
Peer Certificate Authority : mdz
Server Certificate : test1
DH Parameters Length : 1024
Encryption algorithm : AES-256-CBC
Auth Disgest Algorithm : SHA1
Hardware Crypto : NOIPV4 Tunnel Network : 10.0.8.0/24
IPV4 Local Network : 192.168.1.0/24
IPV4 Remote Network : 192.168.2.0/24
Compression : Enable with adaptive compressionAprès la partie serveur OpenVPN, j'ai été dans Client Specific Overrides
Common Name : testclt
IPV4 Remote Network : 192.168.2.0/24Ensuite j'ai fait des règles sur l'interface WAN, LAN et OpenVPN ou je laisse passer tout le traffic en IPV4 (Juste un test donc pour ça que je laisse tout passer).
Sur mon routeur RT02, j'ai importé le certificat de la CA (Sans la clé). Après j'ai pris le certificat testclt que j'ai aussi importé mais cette fois si avec la clé.
Ensuite j'ai créé mon client dans OpenVPN avec les caractéristiques suivantes :
Server Mode : Peer To Peer (SSL/TLS)
Protocol : UDP
Device mode : tun
Interface : WAN
Server host : x.x.x.x
Server Port : 1194
TLS Authentification : Cocher la 1ere case et copier la clé du serveur OpenVPN RT01
Peer Certificate : mdz
Client Certificate : testclt
Encryption algorithm : AES-256-CBC
Auth Digest Algorithm : SHA1
Hardware Crypto : NoIPV4 Tunnel Network : 10.0.8.0/24
IPV4 Remote Network : 192.168.1.0/24
Compression : Enable with adaptive commonEnsuite j'ai fait des règles sur l'interface WAN, LAN et OpenVPN ou je laisse passer tout le traffic en IPV4 (Juste un test donc pour ça que je laisse tout passer).
Mon client VPN se connecte bien à mon serveur (cf Capture jointe).
Sur mon routeur RT01, quand je vais dans Status OpenVPN, je vois bien la connexion de mon client (testclt).Le soucis maintenant c'est que je ne peut pas faire de ping entre les deux routeurs quand je suis sur le LAN de chaque routeur. Je ne peut non plus accéder à l'interface web du routeur distant.
Est ce que c'est un problème dans ma configuration que ce soit serveur ou cliente ou dans des règles que je dois mettre avec des ports (OpenVPN) ou les @IP Publique WAN (x.x.x.x ou y.y.y.y) ?PS : je me suis servis des sites suivants pour essayer de monter mon serveur OpenVPN
https://doc.pfsense.org/index.php/OpenVPN_Site_To_Site
https://doc.pfsense.org/index.php/OpenVPN_Site-to-Site_PKI_(SSL)
-
est-ce que ça t'aide ?
EDIT: mauvais lien ::)
1 - Selon la nature de ton réseau entre les routeur, TCP est peut-être mieux que UDP
2 - c'est potentiellement un problème de route: regarde la section "client override" ;)
-
J'ai comme l'impression d'avoir déjà vu ce problème quelque part ::)
Avec le liens que ta donné Chris tu devrais avoir la solution, bonne lecture.
pfSense est RT1 je suppose et RT2 est aussi un pfSense ou un autre Operating System ?
-
Ensuite j'ai fait des règles sur l'interface WAN, LAN et OpenVPN ou je laisse passer tout le traffic en IPV4 (Juste un test donc pour ça que je laisse tout passer).
Ok pour la situation de test.
Rappelons les règles nécessaires :
Sur Wan 1194/UDP avec l'adresse source si c'est un lien site à site.
Lan n'est pas concerné.
Openvpn c'est selon les besoins et en phase de test vous pouvez tout autoriser.
A priori le lien est correctement établi. Regarder quand même les logs pour vérifier que tout est bien fonctionnel.Reste évidement le problème du routage qu'il vous faut vérifier aller et retour. Regardez les options Push-route.
Par ailleurs :
DH Parameters Length : 1024
C'est un choix un peu dangereux, ou du moins insuffisant. Dans votre configuration définitive passez à 2048.
-
Merci pour vos réponses
Le problème venait effectivement des routes et notament des push-route.
Après avoir refais mes routes, je n'ai plus aucun soucis sur mon VPN.
-
Ah génial, merci d'être repasser, si tu peux édit le titre et marquer résolus ça serais top :P