OpenVPN connexion local

Le
Bouige Nicolas
Bonjour,

J'aimerais configurer un serveur OpenVPN avec juste un client mais qui =

ne passe pas par internet. Juste par le réseau local pour montrer que =

la connexion est sécurisé.
Est ce que c'est possible ?

J'ai déja testé quelques configurations mais ça ne donne rien. =
Pour
infos ce sont des machines virtuelles le serveur est sous Debian et le =

client sous windows.

merci,

Bonne journée ;)=

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/9810FEB2-C9DC-4607-990B-101FC7DB305E@free.fr
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Kevin Hinault
Le #21517732
Le 8 avril 2010 10:02, Bouige Nicolas
Bonjour,

J'aimerais configurer un serveur OpenVPN avec juste un client mais qui ne
passe pas par internet. Juste par le réseau local pour montrer que la
connexion est sécurisé.
Est ce que c'est possible ?

J'ai déja testé quelques configurations mais ça ne donne rien. Pour infos ce
sont des machines virtuelles le serveur est sous Debian et le client sous
windows.



Ce n'est pourtant pas bien dur : à partir du moment où tu demandes à
ton client de se connecter sur un serveur sur une adresse locale, il
n'y a pas de raisons qu'il veuille passer par internet a moins d'une
très mauvaise gestion des routes de ton réseau.

Admettons que ton serveur ait pour adresse 192.168.0.1 et écoute sur
cette même adresse tu devrais avoir ceci dans ton
/etc/openvpn/server.conf :
local 192.168.0.1
port 1194

Coté client (par ex son adresse est 192.168.0.2) il va se connecter
sur 192.168.0.2 si tu mets ceci dans sa conf :
remote 192.168.0.1 1194

Je ne vois pas où est la complexité ? Est ce que déjà ton pc client
(192.168.0.2) ping correctement le serveur (192.168.0.1) et
inversement ?

Une fois le vpn monté, les deux extrémités auront d'autres interfaces
virtuelles avec des adresses fournies par le serveur dans une autre
domaine.
Par exemple si tu mets ceci dans le conf serveur :
server 192.168.200.0 255.255.255.0

Alors ton serveur aura l'adresse 192.168.200.1 et ton client aura
l'adresse 192.168.200.6 (en interface tun on bouffe quatre adresses
par client donc le client suivant aura 192.168.200.10).

--
Kévin
Membre de Breizhtux, GULL de Saint-Brieuc et de Bretagne -
http://www.breizhtux.info
Membre de l'April - « promouvoir et défendre le logiciel libre » -
http://www.april.org
http://identi.ca/khi - http://twitter.com/kh_i - http://system-linux.eu

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Daniel Huhardeaux
Le #21517722
Bouige Nicolas a écrit :
Bonjour,


Bonjour

J'aimerais configurer un serveur OpenVPN avec juste un client mais qui
ne passe pas par internet. Juste par le réseau local pour montrer que
la connexion est sécurisé.
Est ce que c'est possible ?


OpenVPN n'a aucune notion de Internet ou réseau local. Du moment qu'il y
a une adresse IP ;-)

J'ai déja testé quelques configurations mais ça ne donne rien. Pour
infos ce sont des machines virtuelles le serveur est sous Debian et le
client sous windows.


Cela fonctionne très bien avec Mac, Windows ou Linux comme clients. Mon
avis est que déjà "ca ne donne rien" n'est pas très prolixe en terme de
debugage :-)

--
Daniel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Bouige Nicolas
Le #21518452
--Apple-Mail-1-358230746
Content-Type: text/plain;
charset=ISO-8859-1;
format=flowed;
delsp=yes
Content-Transfer-Encoding: quoted-printable


Le 8 avr. 10 à 10:23, Daniel Huhardeaux a écrit :

Bouige Nicolas a écrit :
Bonjour,


Bonjour

J'aimerais configurer un serveur OpenVPN avec juste un client mais
qui ne passe pas par internet. Juste par le réseau local pour
montrer que la connexion est sécurisé.
Est ce que c'est possible ?


OpenVPN n'a aucune notion de Internet ou réseau local. Du moment
qu'il y a une adresse IP ;-)

J'ai déja testé quelques configurations mais ça ne donne rien. Pour
infos ce sont des machines virtuelles le serveur est sous Debian et
le client sous windows.


Cela fonctionne très bien avec Mac, Windows ou Linux comme clients.
Mon avis est que déjà "ca ne donne rien" n'est pas très prolixe en
terme de debugage :-)



Re,

Le ping fonctionne bien entre les deux machines.
Quand je connecte le client, il restart toute les deux secondes.

Problème de certificats apperement, je vais les recréer.

fichier log du client :
Thu Apr 08 12:37:24 2010 us8215 IMPORTANT: OpenVPN's default port
number is now 1194, based on an official port number assignment by
IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Thu Apr 08 12:37:24 2010 us8255 WARNING: No server certificate
verification method has been enabled. See http://openvpn.net/howto.html#mitm
for more info.
Thu Apr 08 12:37:24 2010 us8278 Re-using SSL/TLS context
Thu Apr 08 12:37:24 2010 us8512 LZO compression initialized
Thu Apr 08 12:37:24 2010 us8887 Control Channel MTU parms [ L:1558
D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Apr 08 12:37:24 2010 us5275 Data Channel MTU parms [ L:1558 D:
1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Apr 08 12:37:24 2010 us5323 Local Options String: 'V4,dev-type
tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-128-
CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Thu Apr 08 12:37:24 2010 us5337 Expected Remote Options String:
'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-
lzo,cipher AES-128-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Thu Apr 08 12:37:24 2010 us5360 Local Options hash (VER=V4):
'66096c33'
Thu Apr 08 12:37:24 2010 us5377 Expected Remote Options hash
(VER=V4): '691e95c7'
Thu Apr 08 12:37:24 2010 us5492 Socket Buffers: R=[8192->8192]
S=[8192->8192]
Thu Apr 08 12:37:24 2010 us1784 UDPv4 link local: [undef]
Thu Apr 08 12:37:24 2010 us1864 UDPv4 link remote: 192.168.0.1:1194
Thu Apr 08 12:37:24 2010 us7076 TLS: Initial packet from
192.168.0.1:1194, sidc7f279 22b304f1
Thu Apr 08 12:37:24 2010 us5943 VERIFY ERROR: depth=1, error=self
signed certificate in certificate chain: /C=FR/ST=IDF/L=Ermont/
O=societe/CNÞbianVPN/emailAddress=
Thu Apr 08 12:37:24 2010 us6130 TLS_ERROR: BIO read
tls_read_plaintext error: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Thu Apr 08 12:37:24 2010 us6144 TLS Error: TLS object -> incoming
plaintext read error
Thu Apr 08 12:37:24 2010 us6155 TLS Error: TLS handshake failed
Thu Apr 08 12:37:24 2010 us1950 TCP/UDP: Closing socket
Thu Apr 08 12:37:24 2010 us2333 SIGUSR1[soft,tls-error] received,
process restarting
Thu Apr 08 12:37:24 2010 us2348 Restart pause, 2 second(s)

--
Daniel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/






--Apple-Mail-1-358230746
Content-Type: text/html;
charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

--Apple-Mail-1-358230746--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
~TraydenT~
Le #21518782
Bonjour,

Le 08/04/2010 12:40, Bouige Nicolas a écrit :
Thu Apr 08 12:37:24 2010 us5943 VERIFY ERROR: depth=1, error=self
signed certificate in certificate chain:
/C=FR/ST=IDF/L=Ermont/O=societe/CNÞbianVPN/emailAddress=
Thu Apr 08 12:37:24 2010 us6130 TLS_ERROR: BIO read
tls_read_plaintext error: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Thu Apr 08 12:37:24 2010 us6144 TLS Error: TLS object -> incoming
plaintext read error
Thu Apr 08 12:37:24 2010 us6155 TLS Error: TLS handshake failed



On dirait qu'un de tes certificats est auto-signé ce qui semble poser
problème.

Bonne investigation

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Kevin Hinault
Le #21518932
Le 8 avril 2010 14:24, Bouige Nicolas



C'est normal ça non ?, c'est moi qui a créé le certificat. il n'a p as été
certifié par un organisme extérieur.



Non, il te faut un certificat auto-signé pour la CA, un certificat
pour le serveur signé par la CA et un certificats client signé aussi
par la CA.

--
Kévin

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Bouige Nicolas
Le #21518922
Le 8 avr. 10 à 13:50, ~TraydenT~ a écrit :

Bonjour,

Le 08/04/2010 12:40, Bouige Nicolas a écrit :
Thu Apr 08 12:37:24 2010 us5943 VERIFY ERROR: depth=1, error=self
signed certificate in certificate chain:
/C=FR/ST=IDF/L=Ermont/O=societe/CNÞbianVPN/
emailAddress=
Thu Apr 08 12:37:24 2010 us6130 TLS_ERROR: BIO read
tls_read_plaintext error: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Thu Apr 08 12:37:24 2010 us6144 TLS Error: TLS object -> incoming
plaintext read error
Thu Apr 08 12:37:24 2010 us6155 TLS Error: TLS handshake failed



On dirait qu'un de tes certificats est auto-signé ce qui semble poser
problème.

Bonne investigation



C'est normal ça non ?, c'est moi qui a créé le certificat. il n'a pas
été certifié par un organisme extérieur.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/





--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Yves F. Barbier
Le #21519122
Le Thu, 8 Apr 2010 14:26:15 +0200,
Kevin Hinault
Le 8 avril 2010 14:24, Bouige Nicolas >>
> C'est normal ça non ?, c'est moi qui a créé le certifica t. il n'a pas
> été certifié par un organisme extérieur.

Non, il te faut un certificat auto-signé pour la CA, un certificat
pour le serveur signé par la CA et un certificats client signé aussi
par la CA.




le plus simple est d'utiliser les scripts fournis
dans /usr/shre/doc/openvpn/examples/easy-rsa

--
Love is the triumph of imagination over intelligence.
-- H. L. Mencken

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Bouige Nicolas
Le #21519602
Le 8 avr. 10 à 14:59, Jean-Yves F. Barbier a écrit :

Le Thu, 8 Apr 2010 14:26:15 +0200,
Kevin Hinault
Le 8 avril 2010 14:24, Bouige Nicolas écrit :



C'est normal ça non ?, c'est moi qui a créé le certificat. il n'a
pas
été certifié par un organisme extérieur.



Non, il te faut un certificat auto-signé pour la CA, un certificat
pour le serveur signé par la CA et un certificats client signé aussi
par la CA.




le plus simple est d'utiliser les scripts fournis
dans /usr/shre/doc/openvpn/examples/easy-rsa



Je viens de recréer les différents certificats toujours avec les
scripts et pourtant j'ai la même erreur.

dans l'ordre :
./build-ca
./build-key-server
./build-key
./build-dh

J'ai copié le ca.crt, client.crt, client.key dans le dossier config du
client.

--
Love is the triumph of imagination over intelligence.
-- H. L. Mencken

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/






--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Daniel Huhardeaux
Le #21520622
Bouige Nicolas a écrit :

Je viens de recréer les différents certificats toujours avec les
scripts et pourtant j'ai la même erreur.

dans l'ordre :
./build-ca
./build-key-server
./build-key
./build-dh

J'ai copié le ca.crt, client.crt, client.key dans le dossier config du
client.


N'y avait il pas du tls aussi ? Il manque alors le fichier ta.key.
Vérifie aussi que les clés sont bien dans le répertoire défini dans le
fichier conf.

--
Daniel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme