[ RESOLU ] Problème OpenVPN - Peer To Peer (SSL/TLS)



  • Bonjour,

    Je tente de faire un serveur OpenVPN en mode site à site avec certificat. Je ne veut pas utiliser la méthode Share Key car j'ai vu sur quelques sites qu'au bout d'un certain nombre de client, il était préférable de passer en SSL/TLS. Or dans mon cas, je risque d'avoir au minimum 10 clients par la suite.
    Pour mes tests, j'ai deux routeurs qui va me servir à faire un serveur OpenVPN et un client.
    RT01 : WAN x.x.x.x - LAN 192.168.1.1 => Serveur OpenVPN
    RT02 : WAN y.y.y.y - LAN 192.168.2.1 => Client OpenVPN

    Sur le routeur RT01, j'ai créé une CA du nom mdz, les paramètres sont les suivants :
    Descriptive Name : mdz
    Method : Create an internal Certificate Authority
    Key Length : 2048
    Digest Algorithm  : SHA1
    Lifetime : 3650
    Distinguished name :      FR
    BZH



    @.*
    ca-mdz

    Ensuite j'ai créé un certificat de type serveur pour le serveur OpenVPN appelé test1
    Descriptive Name : test1
    Method : Create an internal Certificate Authority
    Certificate Authority : mdz
    Key Length : 2048
    Digest Algorithm  : SHA1
    Certificate Type : Server Certificate
    Lifetime : 3650
    Distinguished name :      FR
    BZH



    @.*
    ca-test1

    Après pour mon client OpenVPN, j'ai créé un autre certificat
    Descriptive Name : testclt
    Method : Create an internal Certificate Authority
    Certificate Authority : mdz
    Key Length : 2048
    Digest Algorithm  : SHA1
    Certificate Type : User Certificate
    Lifetime : 3650
    Distinguished name :      FR
    BZH



    @.*
    ca-testclt

    Maintenant je m'attaque à la partie OpenVPN
    Server Mode : Peer To Peer (SSL/TLS)
    Protocol : UDP
    Device Mode : tun
    Interface : WAN
    Local Port 1194

    TLS Authentification : cocher les deux cases
    Peer Certificate Authority : mdz
    Server Certificate : test1
    DH Parameters Length : 1024
    Encryption algorithm : AES-256-CBC
    Auth Disgest Algorithm : SHA1
    Hardware Crypto : NO

    IPV4 Tunnel Network : 10.0.8.0/24
    IPV4 Local Network : 192.168.1.0/24
    IPV4 Remote Network : 192.168.2.0/24
    Compression : Enable with adaptive compression

    Après la partie serveur OpenVPN, j'ai été dans Client Specific Overrides
    Common Name : testclt
    IPV4 Remote Network : 192.168.2.0/24

    Ensuite j'ai fait des règles sur l'interface WAN, LAN et OpenVPN ou je laisse passer tout le traffic en IPV4 (Juste un test donc pour ça que je laisse tout passer).

    Sur mon routeur RT02, j'ai importé le certificat de la CA (Sans la clé). Après j'ai pris le certificat testclt que j'ai aussi importé mais cette fois si avec la clé.
    Ensuite j'ai créé mon client dans OpenVPN avec les caractéristiques suivantes :
    Server Mode : Peer To Peer (SSL/TLS)
    Protocol : UDP
    Device mode : tun
    Interface : WAN
    Server host : x.x.x.x
    Server Port : 1194
    TLS Authentification : Cocher la 1ere case et copier la clé du serveur OpenVPN RT01
    Peer Certificate : mdz
    Client Certificate : testclt
    Encryption algorithm : AES-256-CBC
    Auth Digest Algorithm : SHA1
    Hardware Crypto : No

    IPV4 Tunnel Network : 10.0.8.0/24
    IPV4 Remote Network : 192.168.1.0/24
    Compression : Enable with adaptive common

    Ensuite j'ai fait des règles sur l'interface WAN, LAN et OpenVPN ou je laisse passer tout le traffic en IPV4 (Juste un test donc pour ça que je laisse tout passer).

    Mon client VPN se connecte bien à mon serveur (cf Capture jointe).
    Sur mon routeur RT01, quand je vais dans Status OpenVPN, je vois bien la connexion de mon client (testclt).

    Le soucis maintenant c'est que je ne peut pas faire de ping entre les deux routeurs quand je suis sur le LAN de chaque routeur. Je ne peut non plus accéder à l'interface web du routeur distant.
    Est ce que c'est un problème dans ma configuration que ce soit serveur ou cliente ou dans des règles que je dois mettre avec des ports (OpenVPN) ou les @IP Publique WAN (x.x.x.x ou y.y.y.y) ?

    PS : je me suis servis des sites suivants pour essayer de monter mon serveur OpenVPN
    https://doc.pfsense.org/index.php/OpenVPN_Site_To_Site
    https://doc.pfsense.org/index.php/OpenVPN_Site-to-Site_PKI_(SSL)





  • est-ce que ça t'aide ?

    EDIT: mauvais lien  ::)

    1 - Selon la nature de ton réseau entre les routeur, TCP est peut-être mieux que UDP
    2 - c'est potentiellement un problème de route: regarde la section "client override"  ;)



  • J'ai comme l'impression d'avoir déjà vu ce problème quelque part  ::)

    Avec le liens que ta donné Chris tu devrais avoir la solution, bonne lecture.
    pfSense est RT1 je suppose et RT2 est aussi un pfSense ou un autre Operating System ?



  • Ensuite j'ai fait des règles sur l'interface WAN, LAN et OpenVPN ou je laisse passer tout le traffic en IPV4 (Juste un test donc pour ça que je laisse tout passer).

    Ok pour la situation de test.
    Rappelons les règles nécessaires :
    Sur Wan 1194/UDP avec l'adresse source si c'est un lien site à site.
    Lan n'est pas concerné.
    Openvpn c'est selon les besoins et en phase de test vous pouvez tout autoriser.
    A priori le lien est correctement établi. Regarder quand même les logs pour vérifier que tout est bien fonctionnel.

    Reste évidement le problème du routage qu'il vous faut vérifier aller et retour. Regardez les options Push-route.

    Par ailleurs :

    DH Parameters Length : 1024

    C'est un choix un peu dangereux, ou du moins insuffisant. Dans votre configuration définitive passez à 2048.



  • Merci pour vos réponses
    Le problème venait effectivement des routes et notament des push-route.
    Après avoir refais mes routes, je n'ai plus aucun soucis sur mon VPN.



  • Ah génial, merci d'être repasser, si tu peux édit le titre et marquer résolus ça serais top  :P