OpenVPN forcer la déconnexion apres X temps



  • Contexte : milieu pro/asso/perso, niveau expertise de l'administrateur, age de la solution firewall (est ce nouveau ou pour test ou pour évolution) :

    Milieu Professionel, Admin Réseau Junior

    Besoin :  Établir un timeout d'une session OpenVPN après un X nombre de temps.

    Exemple apres une connexion d'un client de 8h une déconnexion aura lieu de manière automatique.

    Schéma :

    Ajouté si besoin

    Autres fonctions assignées au pfSense : Portail captif (sur quelle interface, quel réglage, …), VPN, ...

    Pfsense 2.2.4.  Utilisation de OpenVPN

    Question : Problème précis rencontré et questions posées, …
    :

    J'ai divers client qui doivent avoir une connexion VPN vers nos serveurs.  Cependant, comme je ne comprends pas ce que font les clients j'aurais besoin de mettre en place une technique qui force la déconnexion automatique après une longue période.

    Pistes imaginées  Recherches : pour une piste, quelles recherches avec quels résultats

    J'ai vérifier dans le livre officiel de Pfsense ainsi que le OpenVPN Cookbook2 et je ne suis pas certain de bien comprendre le fonctionnement des ping et ping restart.

    Logs et tests : complément de "Recherches" : quels sont les résultats des tests effectués (section qui ne peut être vide !)

    Il semblerait que ce lien pourrait aider.  J'ai fais un test avec 120 seconde qui fonctionne mais pas 300…

    https://forum.pfsense.org/index.php?topic=23997.msg123848#msg123848

    J'ai ajouté inactive 300
    ping-exit 60

    au niveau du client.

    Merci de votre aide.



  • Vous n'avez pas utilisé le formulaire : il est à utiliser par défaut ! Merci de vous y conformer.

    En particulier, il y a une section [Recherche] : qu'avez vous effectué comme recherche ? Avez vous commencé par regarder dans la doc d'OpenVPN lui-même ?

    Edit : on trouve la réponse sur le forum, donc vous n'avez pas cherché !



  • Je crois que je suis visiblement aveugle… car j'ai parcouru les 9 pages sur OpenVPN et je n'ai rien vu .... Je vais continuer a fouiller...  j'irais voir dans la section anglo

    Je ne posterais pas le "formulaire", vu que la réponse est déjà sur le forum ....



  • Le fil est, en effet, inutile, puisqu'une recherche donnait la réponse (et c'est en anglais !).

    Néanmoins, le post (avec réponse) commence … comme moi : "vous n'avez pas regardé la doc officielle".



  • Ce n'est pas forcément évident pour un non-anglophone :  ;)
    le message est celui-ci et comme le précise jdh, la réponse est dans la doc OpenVPN, pas la doc pfSense:

    –ping-exit n
        Causes OpenVPN to exit after n seconds pass without reception of a ping or other packet from remote. This option can be combined with --inactive, --ping, and --ping-exit to create a two-tiered inactivity disconnect.



  • Un grand merci chris4916  ;)

    Je fais présentement le test on va voir si ça fonctionne.

    Je vous tiens au courant.



  • Je n'ai pas fait ce qu'il aurait fallu faire :

    • le post initial n'utilise pas le formulaire : CE N'EST PAS BIEN à la fois vis à vis des lecteurs et vis à vis d'une recherche déficiente
    • j'ai quand même cherché, et trouvé (en ~5') … sur le forum anglophone (vu que dans mon critère de recherche Google était 'openvpn timeout force' = 1er lien).
    • j'ai répondu sur le fond, alors qu'il aurait fallu répondre sur la forme seulement !
    • volontairement, je n'ai pas donné la réponse (puisqu'on la trouve en 5' et qu'elle est, de plus, dans le forum)

    Anglais ? Je rêve ! Il ne faudrait chercher qu'en Français (parce que l'anglais informatique c'est difficile) ? Non mais allo quoi !

    Il y a 2 intérêts, toutefois, à ce fil :

    • savoir qu'il existe un timeout forcé et automatique ... (ce dont on pouvait se douter),
    • lire la réponse, toute la réponse de GruensFroeschli, y compris la signature et le lien inclus. (Celle de cmb est aussi intéressante).

    Certes je suis grincheux, mais ne pas utiliser le formulaire est un manque de respect, et je ne vois pas pourquoi il me faut, moi, 5' alors que ce n'est pas mon problème, ...

    (Je ne vois pas pourquoi un utilisateur resterait des heures avec un lien OpenVPN actif, et pire, pourquoi les PC ne sont pas éteints le soir ?)



  • jdh …..

    Je n'avais pas vu le formulaire car c'est nouveau... enfin il n'avait pas cela la dernière fois que je suis venu.  Oui j'ai pas pris le temps de regarder en haut.

    Anglais ? Je rêve ! Il ne faudrait chercher qu'en Français (parce que l'anglais informatique c'est difficile) ? Non mais allo quoi !

    Je n'ai AUCUN jugement a recevoir de votre part.  Donc je ne vais pas me justifier ici.  Si j'ai poster en français c'est qu'il y a une raison.  Alors je me passerais de votre morale a ce propos.

    (Je ne vois pas pourquoi un utilisateur resterait des heures avec un lien OpenVPN actif, et pire, pourquoi les PC ne sont pas éteints le soir ?)

    Je suis d'accord mais je ne suis pas leurs maman… donc parfois il faut faire des actions pour corriger le problème.

    Oui j'avais fais mes recherches et j'avais même regardé dans les livres mais ça ne fonctionnait pas et je ne comprenais pas bien le fonctionnement alors c'est pour cela que je suis venu ici.  J'ai longtemps réfléchit si je postais car honnêtement comme qu'on a déjà dit dans un autre post (pas très loin) disons que parfois ce n'est pas très accueillant ici.... Puis j'ai posté en francais pour une meilleur compréhension.

    Pour conclure,

    Honnêtement ce n'est pas la première fois que vous semblez y avoir des soucis avec d'autre personnes ici.  Vous auriez peut-être besoin de vacance ou d'être un peu moins actif ? Je ne sais pas... j'essaye de voir... peut-être que l'entraide envers des newbies criminel qui ne respectent pas les politiques n'est pas pour vous.  Si vous ne voulez pas répondre car c'est trop *newbies comme question ou encore qu'on n'a pas fait assez d'effort selon vous, ou encore qu'on n'a pas fait le formulaire bien ne répondez pas... et ca sera alors beaucoup plus agréable pour tous le monde.

    Le but des forums est selon moi un lieu d'échange, d'entraide et d'amitié dans la communauté.

    Merci ...



  • @jdh:

    (Je ne vois pas pourquoi un utilisateur resterait des heures avec un lien OpenVPN actif, et pire, pourquoi les PC ne sont pas éteints le soir ?)

    bonsoir,

    elle est très forte celle là, et pour la sortir il n'y a que deux possibilités :

    • tu es administrateur d'un réseau à un seul utilisateur : toi
    • tu interviens armé auprès des utilisateurs, et apres plusieurs cadavres, tout le monde fini par éteindre sa bécane, le soir, le midi, pendant les pause clopes et pipi.

    conclusion : pour etre un bon admin qui sait faire passer le message, bossez tout seul ou sortez armé.

    good night.



  • @souslepavelaplage

    J'ai écrit

    Je ne vois pas pourquoi un utilisateur resterait des heures avec un lien OpenVPN actif, et pire, pourquoi les PC ne sont pas éteints le soir ?

    et je ne comprends pas votre souhait de faire de la polémique !

    Bien que j'ai une longue expérience avec OpenVPN (serveurs sous Windows, Linux, pfSense, type site2site et site2warrior), il suffit d'avoir un seul serveur OpenVPN et quelques utilisateurs pour observer que, parfois, ils oublient tout ce que vous leur avez dit en configurant leurs postes :

    • lancer le GUI en Administrateur : ils sont surpris que cela ne fonctionne pas
    • ne pas travailler à distance sur un tableau Excel : pourquoi est ce très long à ouvrir, et pourquoi il y a un message à l'enregistrement 1 heure plus tard ?
    • difficulté à accéder à un serveur : le vpn est actif alors qu'ils sont de retour dans les lieux !

    Il est donc parfaitement NORMAL, LOGIQUE et LEGITIME de fermer automatiquement leur session au bout d'un certain temps d'inactivité.

    Sur un site, j'ai une bonne quinzaine d'utilisateurs (en 3x8) avec terminal Linux, session RDP sur serveur Windows et application lancée sur le serveur qui laissent l'ensemble allumé tout le week-end : 'on ne nous a rien dit'. D'autant que le serveur Windows est rebooté chaque dimanche matin !

    Je n'aime pas votre polémique à 2 balles (gratuite ?).
    Ni votre façon caricaturale de transformer 'le soir' à 'le soir, le midi, plus les pauses'; de parler d'armes, de cadavres, …
    Ni votre façon de traiter les autres de 'mous du bulbe'.

    Oui, je revendique d'être un 'dangereux terroriste' ... de la banalité (caricature ou oxymore !) : un micro ça s'éteint en fin de journée, une application ça se ferme quand le travail se termine, une connexion inactive ça se déconnecte, une parenthèse je la ferme quand j'en ai ouvert, et un yaourt je le mets à la poubelle quand je l'ai mangé ...

    Il y a une dimension écologique à réduire l'activité mais cela vous échappe ...



  • cher jdh….

    1/ je crois que tu devrais relire le post d'où est tirée la quote, car l'initiateur de ce fil et moi même avons compris exactement le contraire de ce que tu viens de développer.

    2/ dans la plupart des fils ou tu interviens, tu ne peux pas t’empêcher de partir en vrille sur un sujet qui n'a rien à voir, mais où il te plait de faire la leçon.

    3/ le 2/ n'aurait aucune espèce d'importance (et ne serait sans doute pas désagréable) si tu ne donnais pas l'impression de t'adresser de très haut aux pauvres blaireaux que nous sommes quasiment tous à tes yeux.

    4/ comme je l'écris sur un autre fil, tu étais beaucoup plus agréable à lire en 2008/2009.

    5/ qu'as tu fait de ton sens de l'humour ?

    bonne soirée



  • C'est assez pitoyable de lire vos 2 posts :

    Comment ne pas être d'accord avec l'évidence de ce j'écris sur la clôture (nécessaire) de sessions OpenVPN qui durent des heures (inutilement), et sur des PC que l'on doit arrêter (puisqu'ils ne sont pas utilisés la nuit) ?
    Comment ne pas être d'accord ? Ca me dépasse …

    Puisque vous soutenez le contraire, c'est qu'il faudrait que les sessions VPN durent des heures (même inactives), et que les PC tournent toute les nuits !!
    Cela n'a aucun sens, et c'est franchement stupide anti-écologique, anti-rationnel.

    Contrairement à ce que vous écrivez encore là, Narcomed me cite et poursuit avec "Je suis d'accord mais je ne suis pas leurs maman… donc parfois il faut faire des actions pour corriger le problème." ! Il est d'accord ... et vous écrivez 'et lui et moi' !

    Blaireaux ? Je reprends ce que je vous écris par MP : je connais bien le milieu de l'enseignement, ma mère étant prof. Je n'ai jamais vu un professeur traiter quelqu'un de 'mous du bulbe'.
    A la rigueur, un prof pourrait utiliser 'con', 'blaireaux', pourrait gifler, mais jamais il n'utilisera 'stupides', 'idiots', 'mous du bulbe' ... parce que ces expressions ont à voir avec intelligence, et le rôle de l'enseignant c'est justement d'élever sans être supérieur. (Je prends 'blaireaux' dans le sens 'animal' et pas dans le sens péjoratif commun.)

    Vous usez, dans votre rhétorique, de moyens assez fins mais surtout assez repoussants : (je demande l'attention des lecteurs)

    • 'cher' : bien voyons ! 'moi je suis dans l'attention' = sous-entendu l'opposé ne l'est pas !
    • transformer 'arrêt des PC le soir' en 'arrêt le midi, le soir, les pauses' : technique d'exagération destiné à ridiculiser
    • 'tu étais plus agréable' : tutoiement + utilisation du passé = insistance sur le présent (en négatif bien sur)
    • 'qu'as tu fait' : idem, (pseudo) appel à se souvenir = insistance sur le négatif, + un soupçon de 'je suis un juge clément et magnanime !'
      L'habituel 'regardez je dis avec calme' qui enrobe un monceau d'insultes sous-entendues !

    'tu donne l'impression' : Non, vous avez l'impression, vous avez compris que ... ce n'est ni ce que j'ai écrit ni ce que je pense. Où aurais-je écrit ce qui n'est nullement ma caractéristique !

    'dans la plupart des fils ... pars en vrille sur un sujet qui n'a rien à voir' : vos propres posts, sur ce fil, ont-ils ajouté quoi que ce soit à la problématique d'origine OpenVPN ? Rien, nada, cochi, ils ne sont que provocations ... (sur une phrase pourtant simple et logique)

    Je ne vois absolument pas en quoi ma phrase est criticable, elle est juste un rappel de ce que tout admin réseau essaye de limiter dans la négligence occasionnelle des utilisateurs.
    Les lecteurs, professionnels, ... jugeront.



  • ok… je pense qu'on a assez dit d'insultes... on s'arrete la svp.  On pourrait rester a mon sujet principal qui est OpenVPN et forcé un timeout après X temps  :)

    Merci



  • Salut salut

    Juste un avis qui n'est pas une solution au sens propre du terme.

    Si sur pf le module de vpn ne permet pas de faire ce que vous désirez, j'aurais monter une machine ou vm pour déployer dessus un linux ou bsd avec une application vpn qui elle je l’espére puisse avoir cette option d'activable et donc de contourner votre problème initiale.

    Après l'opération est à mon gout plus propre coté sécurité et sur le plan de la gestion plus simple via sauf erreur une interface d'administration (qui doit exister) pour avoir une gestion plus fine.

    Cordialement.



  • L'option "ping-exit n" est simple à mettre en œuvre puisque c'est uniquement une ligne supplémentaire dans les options de la section "advanced" du serveur OpenPVN.
    Facile à tester également:
    il suffit de mettre un timeout faible dans une tranche horaire où il n'y a pas de client pour faire un test.

    Le seul vrai problème avec ce type d'implémentation, et je ne vois pas de solution à ça, c'est si, coté client il y a un process qui, pour une raison quelconque, fait un accès régulier au réseau coté serveur. Il ne rentrerait pas, dans ce cas, dans les critères de ping-exit. mais je suppose que c'est assez improbable et donc la solution devrait convenir dans la grande majorité des cas.

    A essayer  ;)



  • @Chris:

    Je ne comprends pas j'ajoute ping-exit 60 par exemple et le serveur vpn stop avec un message d'erreur.

    http://imgur.com/vxAj0MI

    J'ai fais la syntaxe ping-exit 60;



  • :-[

    Parce qu'il faut probablement lire la doc pfSense un peu plus dans le détail pour appliquer le bon paramètre.
    Il y a beaucoup de paramètres qui s'appliquent aussi bien coté serveur que coté client.

    ping-exit est peut-être un peu brutal  ;D

    regarde du coté du paramètre "keepalive" qui a un comportement différent selon qu'il est appliqué coté serveur ou client.
    0 voir également car potentiellement lié à lin-exit des paramètres comme:
    –inactive
    --ping-restart

    Je vais faire des tests de mon coté, car même si je ne suis pas directement concerné par ce problème, c'est intéressant.


Log in to reply