OpenVPN connexion local

Kevin Hinault

08/04/2010 à 10:20

Le 8 avril 2010 10:02, Bouige Nicolas a écrit :

Bonjour,

J'aimerais configurer un serveur OpenVPN avec juste un client mais qui ne
passe pas par internet. Juste par le réseau local pour montrer que la
connexion est sécurisé.
Est ce que c'est possible ?

J'ai déja testé quelques configurations mais ça ne donne rien. Pour infos ce
sont des machines virtuelles le serveur est sous Debian et le client sous
windows.

Ce n'est pourtant pas bien dur : à partir du moment où tu demandes à
ton client de se connecter sur un serveur sur une adresse locale, il
n'y a pas de raisons qu'il veuille passer par internet a moins d'une
très mauvaise gestion des routes de ton réseau.

Admettons que ton serveur ait pour adresse 192.168.0.1 et écoute sur
cette même adresse tu devrais avoir ceci dans ton
/etc/openvpn/server.conf :
local 192.168.0.1
port 1194

Coté client (par ex son adresse est 192.168.0.2) il va se connecter
sur 192.168.0.2 si tu mets ceci dans sa conf :
remote 192.168.0.1 1194

Je ne vois pas où est la complexité ? Est ce que déjà ton pc client
(192.168.0.2) ping correctement le serveur (192.168.0.1) et
inversement ?

Une fois le vpn monté, les deux extrémités auront d'autres interfaces
virtuelles avec des adresses fournies par le serveur dans une autre
domaine.
Par exemple si tu mets ceci dans le conf serveur :
server 192.168.200.0 255.255.255.0

Alors ton serveur aura l'adresse 192.168.200.1 et ton client aura
l'adresse 192.168.200.6 (en interface tun on bouffe quatre adresses
par client donc le client suivant aura 192.168.200.10).

--
Kévin
Membre de Breizhtux, GULL de Saint-Brieuc et de Bretagne -
http://www.breizhtux.info
Membre de l'April - « promouvoir et défendre le logiciel libre » -
http://www.april.org
http://identi.ca/khi - http://twitter.com/kh_i - http://system-linux.eu

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

Le 8 avril 2010 10:02, Bouige Nicolas <nicolas.bouige@free.fr> a écrit :

Bonjour,

J'aimerais configurer un serveur OpenVPN avec juste un client mais qui ne
passe pas par internet. Juste par le réseau local pour montrer que la
connexion est sécurisé.
Est ce que c'est possible ?

J'ai déja testé quelques configurations mais ça ne donne rien. Pour infos ce
sont des machines virtuelles le serveur est sous Debian et le client sous
windows.

Ce n'est pourtant pas bien dur : à partir du moment où tu demandes à
ton client de se connecter sur un serveur sur une adresse locale, il
n'y a pas de raisons qu'il veuille passer par internet a moins d'une
très mauvaise gestion des routes de ton réseau.

Admettons que ton serveur ait pour adresse 192.168.0.1 et écoute sur
cette même adresse tu devrais avoir ceci dans ton
/etc/openvpn/server.conf :
local 192.168.0.1
port 1194

Coté client (par ex son adresse est 192.168.0.2) il va se connecter
sur 192.168.0.2 si tu mets ceci dans sa conf :
remote 192.168.0.1 1194

Je ne vois pas où est la complexité ? Est ce que déjà ton pc client
(192.168.0.2) ping correctement le serveur (192.168.0.1) et
inversement ?

Une fois le vpn monté, les deux extrémités auront d'autres interfaces
virtuelles avec des adresses fournies par le serveur dans une autre
domaine.
Par exemple si tu mets ceci dans le conf serveur :
server 192.168.200.0 255.255.255.0

Alors ton serveur aura l'adresse 192.168.200.1 et ton client aura
l'adresse 192.168.200.6 (en interface tun on bouffe quatre adresses
par client donc le client suivant aura 192.168.200.10).

--
Kévin
Membre de Breizhtux, GULL de Saint-Brieuc et de Bretagne -
http://www.breizhtux.info
Membre de l'April - « promouvoir et défendre le logiciel libre » -
http://www.april.org
http://identi.ca/khi - http://twitter.com/kh_i - http://system-linux.eu

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/l2qecd2a87a1004080118mfaed6d3cy97da2091da8a0326@mail.gmail.com

Vous avez filtré cet utilisateur ! Consultez son message

Le 8 avril 2010 10:02, Bouige Nicolas a écrit :

Bonjour,

J'aimerais configurer un serveur OpenVPN avec juste un client mais qui ne
passe pas par internet. Juste par le réseau local pour montrer que la
connexion est sécurisé.
Est ce que c'est possible ?

J'ai déja testé quelques configurations mais ça ne donne rien. Pour infos ce
sont des machines virtuelles le serveur est sous Debian et le client sous
windows.

Ce n'est pourtant pas bien dur : à partir du moment où tu demandes à
ton client de se connecter sur un serveur sur une adresse locale, il
n'y a pas de raisons qu'il veuille passer par internet a moins d'une
très mauvaise gestion des routes de ton réseau.

Admettons que ton serveur ait pour adresse 192.168.0.1 et écoute sur
cette même adresse tu devrais avoir ceci dans ton
/etc/openvpn/server.conf :
local 192.168.0.1
port 1194

Coté client (par ex son adresse est 192.168.0.2) il va se connecter
sur 192.168.0.2 si tu mets ceci dans sa conf :
remote 192.168.0.1 1194

Je ne vois pas où est la complexité ? Est ce que déjà ton pc client
(192.168.0.2) ping correctement le serveur (192.168.0.1) et
inversement ?

Une fois le vpn monté, les deux extrémités auront d'autres interfaces
virtuelles avec des adresses fournies par le serveur dans une autre
domaine.
Par exemple si tu mets ceci dans le conf serveur :
server 192.168.200.0 255.255.255.0

Alors ton serveur aura l'adresse 192.168.200.1 et ton client aura
l'adresse 192.168.200.6 (en interface tun on bouffe quatre adresses
par client donc le client suivant aura 192.168.200.10).

--
Kévin
Membre de Breizhtux, GULL de Saint-Brieuc et de Bretagne -
http://www.breizhtux.info
Membre de l'April - « promouvoir et défendre le logiciel libre » -
http://www.april.org
http://identi.ca/khi - http://twitter.com/kh_i - http://system-linux.eu

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

Daniel Huhardeaux

08/04/2010 à 10:30

Bouige Nicolas a écrit :

Bonjour,

Bonjour

J'aimerais configurer un serveur OpenVPN avec juste un client mais qui
ne passe pas par internet. Juste par le réseau local pour montrer que
la connexion est sécurisé.
Est ce que c'est possible ?

OpenVPN n'a aucune notion de Internet ou réseau local. Du moment qu'il y
a une adresse IP ;-)

J'ai déja testé quelques configurations mais ça ne donne rien. Pour
infos ce sont des machines virtuelles le serveur est sous Debian et le
client sous windows.

Cela fonctionne très bien avec Mac, Windows ou Linux comme clients. Mon
avis est que déjà "ca ne donne rien" n'est pas très prolixe en terme de
debugage :-)

--
Daniel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

Bouige Nicolas

08/04/2010 à 12:50

--Apple-Mail-1-358230746
Content-Type: text/plain;
charset=ISO-8859-1;
format=flowed;
delsp=yes
Content-Transfer-Encoding: quoted-printable

Le 8 avr. 10 à 10:23, Daniel Huhardeaux a écrit :

Bouige Nicolas a écrit :
Bonjour,

Bonjour

J'aimerais configurer un serveur OpenVPN avec juste un client mais
qui ne passe pas par internet. Juste par le réseau local pour
montrer que la connexion est sécurisé.
Est ce que c'est possible ?

OpenVPN n'a aucune notion de Internet ou réseau local. Du moment
qu'il y a une adresse IP ;-)

J'ai déja testé quelques configurations mais ça ne donne rien. Pour
infos ce sont des machines virtuelles le serveur est sous Debian et
le client sous windows.

Cela fonctionne très bien avec Mac, Windows ou Linux comme clients.
Mon avis est que déjà "ca ne donne rien" n'est pas très prolixe en
terme de debugage :-)

Re,

Le ping fonctionne bien entre les deux machines.
Quand je connecte le client, il restart toute les deux secondes.

Problème de certificats apperement, je vais les recréer.

fichier log du client :
Thu Apr 08 12:37:24 2010 us8215 IMPORTANT: OpenVPN's default port
number is now 1194, based on an official port number assignment by
IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Thu Apr 08 12:37:24 2010 us8255 WARNING: No server certificate
verification method has been enabled. See http://openvpn.net/howto.html#mitm
for more info.
Thu Apr 08 12:37:24 2010 us8278 Re-using SSL/TLS context
Thu Apr 08 12:37:24 2010 us8512 LZO compression initialized
Thu Apr 08 12:37:24 2010 us8887 Control Channel MTU parms [ L:1558
D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Apr 08 12:37:24 2010 us5275 Data Channel MTU parms [ L:1558 D:
1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Apr 08 12:37:24 2010 us5323 Local Options String: 'V4,dev-type
tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-128-
CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Thu Apr 08 12:37:24 2010 us5337 Expected Remote Options String:
'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-
lzo,cipher AES-128-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Thu Apr 08 12:37:24 2010 us5360 Local Options hash (VER=V4):
'66096c33'
Thu Apr 08 12:37:24 2010 us5377 Expected Remote Options hash
(VER=V4): '691e95c7'
Thu Apr 08 12:37:24 2010 us5492 Socket Buffers: R=[8192->8192]
S=[8192->8192]
Thu Apr 08 12:37:24 2010 us1784 UDPv4 link local: [undef]
Thu Apr 08 12:37:24 2010 us1864 UDPv4 link remote: 192.168.0.1:1194
Thu Apr 08 12:37:24 2010 us7076 TLS: Initial packet from
192.168.0.1:1194, sidc7f279 22b304f1
Thu Apr 08 12:37:24 2010 us5943 VERIFY ERROR: depth=1, error=self
signed certificate in certificate chain: /C=FR/ST=IDF/L=Ermont/
O=societe/CN�bianVPN/emailAddress=
Thu Apr 08 12:37:24 2010 us6130 TLS_ERROR: BIO read
tls_read_plaintext error: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Thu Apr 08 12:37:24 2010 us6144 TLS Error: TLS object -> incoming
plaintext read error
Thu Apr 08 12:37:24 2010 us6155 TLS Error: TLS handshake failed
Thu Apr 08 12:37:24 2010 us1950 TCP/UDP: Closing socket
Thu Apr 08 12:37:24 2010 us2333 SIGUSR1[soft,tls-error] received,
process restarting
Thu Apr 08 12:37:24 2010 us2348 Restart pause, 2 second(s)

--
Daniel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

--Apple-Mail-1-358230746
Content-Type: text/html;
charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

<html><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><br><div><div>Le 8 avr. 10 à 10:23, Daniel Huhardeaux a écrit :</div><br class="Apple-interchange-newline"><blockquote type="cite"><div>Bouige Nicolas a écrit :<br><blockquote type="cite">Bonjour,<br></blockquote>Bonjour<br><blockquote type="cite"><br></blockquote><blockquote type="cite">J'aimerais configurer un serveur OpenVPN avec juste un client mais qui ne passe pas par internet. Juste par le réseau local pour montrer que la connexion est sécurisé.<br></blockquote><blockquote type="cite">Est ce que c'est possible ?<br></blockquote>OpenVPN n'a aucune notion de Internet ou réseau local. Du moment qu'il y a une adresse IP ;-)<br><blockquote type="cite"><br></blockquote><blockquote type="cite">J'ai déja testé quelques configurations mais ça ne donne rien. Pour infos ce sont des machines virtuelles le serveur est sous Debian et le client sous windows.<br></blockquote>Cela fonctionne très bien avec Mac, Windows ou Linux comme clients. Mon avis est que déjà "ca ne donne rien" n'est pas très prolixe en terme de debugage :-)<br><font class="Apple-style-span" color="#000000"><font class="Apple-style-span" color="#144FAE"><span class="Apple-tab-span" style="white-space:pre"> </span></font></font></div></blockquote>Re,</div><div><br></div><div>Le ping fonctionne bien entre les deux machines. </div><div>Quand je connecte le client, il restart toute les deux secondes.</div><div><br></div><div>Problème de certificats apperement, je vais les recréer.</div><div><br></div><div>fichier log du client :</div><div><div>Thu Apr 08 12:37:24 2010 us8215 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.</div><div>Thu Apr 08 12:37:24 2010 us8255 WARNING: No server certificate verification method has been enabled.  See <a href="http://openvpn.net/howto.html#mitm">http://openvpn.net/howto.html# mitm</a> for more info.</div><div>Thu Apr 08 12:37:24 2010 us8278 Re-using SSL/TLS context</div><div>Thu Apr 08 12:37:24 2010 us8512 LZO compression initialized</div><div>Thu Apr 08 12:37:24 2010 us8887 Control Channel MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]</div><div>Thu Apr 08 12:37:24 2010 us5275 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]</div><div>Thu Apr 08 12:37:24 2010 us5323 Local Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-128-CBC,auth SHA1,keysize 128,key-method 2,tls-client'</div><div>Thu Apr 08 12:37:24 2010 us5337 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-128-CBC,auth SHA1,keysize 128,key-method 2,tls-server'</div><div>Thu Apr 08 12:37:24 2010 us5360 Local Options hash (VER=V4): '66096c33'</div><div>Thu Apr 08 12:37:24 2010 us5377 Expected Remote Options hash (VER=V4): '691e95c7'</div><div>Thu Apr 08 12:37:24 2010 us5492 Socket Buffers: R=[8192->8192] S=[8192->8192]</div><div>Thu Apr 08 12:37:24 2010 us1784 UDPv4 link local: [undef]</div><div>Thu Apr 08 12:37:24 2010 us1864 UDPv4 link remote: 192.168.0.1:1194</div><div>Thu Apr 08 12:37:24 2010 us7076 TLS: Initial packet from 192.168.0.1:1194, sidc7f279 22b304f1</div><div>Thu Apr 08 12:37:24 2010 us5943 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: /C=FR/ST=IDF/L=Ermont/O=societe/CN�bianVPN/emailAddress=nico @localdomain</div><div>Thu Apr 08 12:37:24 2010 us6130 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed</div><div>Thu Apr 08 12:37:24 2010 us6144 TLS Error: TLS object -> incoming plaintext read error</div><div>Thu Apr 08 12:37:24 2010 us6155 TLS Error: TLS handshake failed</div><div>Thu Apr 08 12:37:24 2010 us1950 TCP/UDP: Closing socket</div><div>Thu Apr 08 12:37:24 2010 us2333 SIGUSR1[soft,tls-error] received, process restarting</div><div>Thu Apr 08 12:37:24 2010 us2348 Restart pause, 2 second(s)</div></div><div><br><blockquote type="cite"><div>-- <br>Daniel<br><br>-- <br>Lisez la FAQ de la liste avant de poser une question :<br><a href="http://wiki.debian.org/fr/FrenchLists">http://wiki.debian.org/fr/F renchLists</a><br><br>Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"<br>vers <br>En cas de soucis, contactez EN ANGLAIS <br>Archive: http://lists.debian.org/<br><br><br></div></blo ckquote></div><br></body></html>
--Apple-Mail-1-358230746--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

--Apple-Mail-1-358230746
Content-Type: text/plain;
charset=ISO-8859-1;
format=flowed;
delsp=yes
Content-Transfer-Encoding: quoted-printable

Le 8 avr. 10 à 10:23, Daniel Huhardeaux a écrit :

Bouige Nicolas a écrit :

Bonjour,

Bonjour

J'aimerais configurer un serveur OpenVPN avec juste un client mais
qui ne passe pas par internet. Juste par le réseau local pour
montrer que la connexion est sécurisé.
Est ce que c'est possible ?

OpenVPN n'a aucune notion de Internet ou réseau local. Du moment
qu'il y a une adresse IP ;-)

J'ai déja testé quelques configurations mais ça ne donne rien. Pour
infos ce sont des machines virtuelles le serveur est sous Debian et
le client sous windows.

Cela fonctionne très bien avec Mac, Windows ou Linux comme clients.
Mon avis est que déjà "ca ne donne rien" n'est pas très prolixe en
terme de debugage :-)

Re,

Le ping fonctionne bien entre les deux machines.
Quand je connecte le client, il restart toute les deux secondes.

Problème de certificats apperement, je vais les recréer.

fichier log du client :
Thu Apr 08 12:37:24 2010 us=128215 IMPORTANT: OpenVPN's default port
number is now 1194, based on an official port number assignment by
IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Thu Apr 08 12:37:24 2010 us=128255 WARNING: No server certificate
verification method has been enabled. See http://openvpn.net/howto.html#mitm
for more info.
Thu Apr 08 12:37:24 2010 us=128278 Re-using SSL/TLS context
Thu Apr 08 12:37:24 2010 us=128512 LZO compression initialized
Thu Apr 08 12:37:24 2010 us=128887 Control Channel MTU parms [ L:1558
D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Apr 08 12:37:24 2010 us=135275 Data Channel MTU parms [ L:1558 D:
1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Apr 08 12:37:24 2010 us=135323 Local Options String: 'V4,dev-type
tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-128-
CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Thu Apr 08 12:37:24 2010 us=135337 Expected Remote Options String:
'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-
lzo,cipher AES-128-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Thu Apr 08 12:37:24 2010 us=135360 Local Options hash (VER=V4):
'66096c33'
Thu Apr 08 12:37:24 2010 us=135377 Expected Remote Options hash
(VER=V4): '691e95c7'
Thu Apr 08 12:37:24 2010 us=135492 Socket Buffers: R=[8192->8192]
S=[8192->8192]
Thu Apr 08 12:37:24 2010 us=141784 UDPv4 link local: [undef]
Thu Apr 08 12:37:24 2010 us=141864 UDPv4 link remote: 192.168.0.1:1194
Thu Apr 08 12:37:24 2010 us=147076 TLS: Initial packet from
192.168.0.1:1194, sid=05c7f279 22b304f1
Thu Apr 08 12:37:24 2010 us=165943 VERIFY ERROR: depth=1, error=self
signed certificate in certificate chain: /C=FR/ST=IDF/L=Ermont/
O=societe/CN=DebianVPN/emailAddress=nico@localdomain
Thu Apr 08 12:37:24 2010 us=166130 TLS_ERROR: BIO read
tls_read_plaintext error: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Thu Apr 08 12:37:24 2010 us=166144 TLS Error: TLS object -> incoming
plaintext read error
Thu Apr 08 12:37:24 2010 us=166155 TLS Error: TLS handshake failed
Thu Apr 08 12:37:24 2010 us=171950 TCP/UDP: Closing socket
Thu Apr 08 12:37:24 2010 us=172333 SIGUSR1[soft,tls-error] received,
process restarting
Thu Apr 08 12:37:24 2010 us=172348 Restart pause, 2 second(s)

--
Daniel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4BBD9297.4090104@tootai.net

--Apple-Mail-1-358230746
Content-Type: text/html;
charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

<html><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><br><div><div>Le 8 avr. 10 à 10:23, Daniel Huhardeaux a écrit :</div><br class="Apple-interchange-newline"><blockquote type="cite"><div>Bouige Nicolas a écrit :<br><blockquote type="cite">Bonjour,<br></blockquote>Bonjour<br><blockquote type="cite"><br></blockquote><blockquote type="cite">J'aimerais configurer un serveur OpenVPN avec juste un client mais qui ne passe pas par internet. Juste par le réseau local pour montrer que la connexion est sécurisé.<br></blockquote><blockquote type="cite">Est ce que c'est possible ?<br></blockquote>OpenVPN n'a aucune notion de Internet ou réseau local. Du moment qu'il y a une adresse IP ;-)<br><blockquote type="cite"><br></blockquote><blockquote type="cite">J'ai déja testé quelques configurations mais ça ne donne rien. Pour infos ce sont des machines virtuelles le serveur est sous Debian et le client sous windows.<br></blockquote>Cela fonctionne très bien avec Mac, Windows ou Linux comme clients. Mon avis est que déjà "ca ne donne rien" n'est pas très prolixe en terme de debugage :-)<br><font class="Apple-style-span" color="#000000"><font class="Apple-style-span" color="#144FAE"><span class="Apple-tab-span" style="white-space:pre"> </span></font></font></div></blockquote>Re,</div><div><br></div><div>Le ping fonctionne bien entre les deux machines. </div><div>Quand je connecte le client, il restart toute les deux secondes.</div><div><br></div><div>Problème de certificats apperement, je vais les recréer.</div><div><br></div><div>fichier log du client :</div><div><div>Thu Apr 08 12:37:24 2010 us=128215 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.</div><div>Thu Apr 08 12:37:24 2010 us=128255 WARNING: No server certificate verification method has been enabled.  See <a href="http://openvpn.net/howto.html#mitm">http://openvpn.net/howto.html# mitm</a> for more info.</div><div>Thu Apr 08 12:37:24 2010 us=128278 Re-using SSL/TLS context</div><div>Thu Apr 08 12:37:24 2010 us=128512 LZO compression initialized</div><div>Thu Apr 08 12:37:24 2010 us=128887 Control Channel MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]</div><div>Thu Apr 08 12:37:24 2010 us=135275 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]</div><div>Thu Apr 08 12:37:24 2010 us=135323 Local Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-128-CBC,auth SHA1,keysize 128,key-method 2,tls-client'</div><div>Thu Apr 08 12:37:24 2010 us=135337 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-128-CBC,auth SHA1,keysize 128,key-method 2,tls-server'</div><div>Thu Apr 08 12:37:24 2010 us=135360 Local Options hash (VER=V4): '66096c33'</div><div>Thu Apr 08 12:37:24 2010 us=135377 Expected Remote Options hash (VER=V4): '691e95c7'</div><div>Thu Apr 08 12:37:24 2010 us=135492 Socket Buffers: R=[8192->8192] S=[8192->8192]</div><div>Thu Apr 08 12:37:24 2010 us=141784 UDPv4 link local: [undef]</div><div>Thu Apr 08 12:37:24 2010 us=141864 UDPv4 link remote: 192.168.0.1:1194</div><div>Thu Apr 08 12:37:24 2010 us=147076 TLS: Initial packet from 192.168.0.1:1194, sid=05c7f279 22b304f1</div><div>Thu Apr 08 12:37:24 2010 us=165943 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: /C=FR/ST=IDF/L=Ermont/O=societe/CN=DebianVPN/emailAddress=nico @localdomain</div><div>Thu Apr 08 12:37:24 2010 us=166130 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed</div><div>Thu Apr 08 12:37:24 2010 us=166144 TLS Error: TLS object -> incoming plaintext read error</div><div>Thu Apr 08 12:37:24 2010 us=166155 TLS Error: TLS handshake failed</div><div>Thu Apr 08 12:37:24 2010 us=171950 TCP/UDP: Closing socket</div><div>Thu Apr 08 12:37:24 2010 us=172333 SIGUSR1[soft,tls-error] received, process restarting</div><div>Thu Apr 08 12:37:24 2010 us=172348 Restart pause, 2 second(s)</div></div><div><br><blockquote type="cite"><div>-- <br>Daniel<br><br>-- <br>Lisez la FAQ de la liste avant de poser une question :<br><a href="http://wiki.debian.org/fr/FrenchLists">http://wiki.debian.org/fr/F renchLists</a><br><br>Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"<br>vers debian-user-french-REQUEST@lists.debian.org<br>En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org<br>Archive: http://lists.debian.org/4BBD9297.4090104@tootai.net<br><br><br></div></blo ckquote></div><br></body></html>
--Apple-Mail-1-358230746--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/5648ED0F-282F-4DAE-976A-DA2BFAC05A06@free.fr

Vous avez filtré cet utilisateur ! Consultez son message

--Apple-Mail-1-358230746
Content-Type: text/plain;
charset=ISO-8859-1;
format=flowed;
delsp=yes
Content-Transfer-Encoding: quoted-printable

Le 8 avr. 10 à 10:23, Daniel Huhardeaux a écrit :

Bouige Nicolas a écrit :
Bonjour,

Bonjour

J'aimerais configurer un serveur OpenVPN avec juste un client mais
qui ne passe pas par internet. Juste par le réseau local pour
montrer que la connexion est sécurisé.
Est ce que c'est possible ?

OpenVPN n'a aucune notion de Internet ou réseau local. Du moment
qu'il y a une adresse IP ;-)

J'ai déja testé quelques configurations mais ça ne donne rien. Pour
infos ce sont des machines virtuelles le serveur est sous Debian et
le client sous windows.

Cela fonctionne très bien avec Mac, Windows ou Linux comme clients.
Mon avis est que déjà "ca ne donne rien" n'est pas très prolixe en
terme de debugage :-)

Re,

Le ping fonctionne bien entre les deux machines.
Quand je connecte le client, il restart toute les deux secondes.

Problème de certificats apperement, je vais les recréer.

fichier log du client :
Thu Apr 08 12:37:24 2010 us8215 IMPORTANT: OpenVPN's default port
number is now 1194, based on an official port number assignment by
IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Thu Apr 08 12:37:24 2010 us8255 WARNING: No server certificate
verification method has been enabled. See http://openvpn.net/howto.html#mitm
for more info.
Thu Apr 08 12:37:24 2010 us8278 Re-using SSL/TLS context
Thu Apr 08 12:37:24 2010 us8512 LZO compression initialized
Thu Apr 08 12:37:24 2010 us8887 Control Channel MTU parms [ L:1558
D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Apr 08 12:37:24 2010 us5275 Data Channel MTU parms [ L:1558 D:
1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Apr 08 12:37:24 2010 us5323 Local Options String: 'V4,dev-type
tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-128-
CBC,auth SHA1,keysize 128,key-method 2,tls-client'
Thu Apr 08 12:37:24 2010 us5337 Expected Remote Options String:
'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-
lzo,cipher AES-128-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
Thu Apr 08 12:37:24 2010 us5360 Local Options hash (VER=V4):
'66096c33'
Thu Apr 08 12:37:24 2010 us5377 Expected Remote Options hash
(VER=V4): '691e95c7'
Thu Apr 08 12:37:24 2010 us5492 Socket Buffers: R=[8192->8192]
S=[8192->8192]
Thu Apr 08 12:37:24 2010 us1784 UDPv4 link local: [undef]
Thu Apr 08 12:37:24 2010 us1864 UDPv4 link remote: 192.168.0.1:1194
Thu Apr 08 12:37:24 2010 us7076 TLS: Initial packet from
192.168.0.1:1194, sidc7f279 22b304f1
Thu Apr 08 12:37:24 2010 us5943 VERIFY ERROR: depth=1, error=self
signed certificate in certificate chain: /C=FR/ST=IDF/L=Ermont/
O=societe/CN�bianVPN/emailAddress=
Thu Apr 08 12:37:24 2010 us6130 TLS_ERROR: BIO read
tls_read_plaintext error: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Thu Apr 08 12:37:24 2010 us6144 TLS Error: TLS object -> incoming
plaintext read error
Thu Apr 08 12:37:24 2010 us6155 TLS Error: TLS handshake failed
Thu Apr 08 12:37:24 2010 us1950 TCP/UDP: Closing socket
Thu Apr 08 12:37:24 2010 us2333 SIGUSR1[soft,tls-error] received,
process restarting
Thu Apr 08 12:37:24 2010 us2348 Restart pause, 2 second(s)

--
Daniel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

--Apple-Mail-1-358230746
Content-Type: text/html;
charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

<html><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><br><div><div>Le 8 avr. 10 à 10:23, Daniel Huhardeaux a écrit :</div><br class="Apple-interchange-newline"><blockquote type="cite"><div>Bouige Nicolas a écrit :<br><blockquote type="cite">Bonjour,<br></blockquote>Bonjour<br><blockquote type="cite"><br></blockquote><blockquote type="cite">J'aimerais configurer un serveur OpenVPN avec juste un client mais qui ne passe pas par internet. Juste par le réseau local pour montrer que la connexion est sécurisé.<br></blockquote><blockquote type="cite">Est ce que c'est possible ?<br></blockquote>OpenVPN n'a aucune notion de Internet ou réseau local. Du moment qu'il y a une adresse IP ;-)<br><blockquote type="cite"><br></blockquote><blockquote type="cite">J'ai déja testé quelques configurations mais ça ne donne rien. Pour infos ce sont des machines virtuelles le serveur est sous Debian et le client sous windows.<br></blockquote>Cela fonctionne très bien avec Mac, Windows ou Linux comme clients. Mon avis est que déjà "ca ne donne rien" n'est pas très prolixe en terme de debugage :-)<br><font class="Apple-style-span" color="#000000"><font class="Apple-style-span" color="#144FAE"><span class="Apple-tab-span" style="white-space:pre"> </span></font></font></div></blockquote>Re,</div><div><br></div><div>Le ping fonctionne bien entre les deux machines. </div><div>Quand je connecte le client, il restart toute les deux secondes.</div><div><br></div><div>Problème de certificats apperement, je vais les recréer.</div><div><br></div><div>fichier log du client :</div><div><div>Thu Apr 08 12:37:24 2010 us8215 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.</div><div>Thu Apr 08 12:37:24 2010 us8255 WARNING: No server certificate verification method has been enabled.  See <a href="http://openvpn.net/howto.html#mitm">http://openvpn.net/howto.html# mitm</a> for more info.</div><div>Thu Apr 08 12:37:24 2010 us8278 Re-using SSL/TLS context</div><div>Thu Apr 08 12:37:24 2010 us8512 LZO compression initialized</div><div>Thu Apr 08 12:37:24 2010 us8887 Control Channel MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]</div><div>Thu Apr 08 12:37:24 2010 us5275 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]</div><div>Thu Apr 08 12:37:24 2010 us5323 Local Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-128-CBC,auth SHA1,keysize 128,key-method 2,tls-client'</div><div>Thu Apr 08 12:37:24 2010 us5337 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-128-CBC,auth SHA1,keysize 128,key-method 2,tls-server'</div><div>Thu Apr 08 12:37:24 2010 us5360 Local Options hash (VER=V4): '66096c33'</div><div>Thu Apr 08 12:37:24 2010 us5377 Expected Remote Options hash (VER=V4): '691e95c7'</div><div>Thu Apr 08 12:37:24 2010 us5492 Socket Buffers: R=[8192->8192] S=[8192->8192]</div><div>Thu Apr 08 12:37:24 2010 us1784 UDPv4 link local: [undef]</div><div>Thu Apr 08 12:37:24 2010 us1864 UDPv4 link remote: 192.168.0.1:1194</div><div>Thu Apr 08 12:37:24 2010 us7076 TLS: Initial packet from 192.168.0.1:1194, sidc7f279 22b304f1</div><div>Thu Apr 08 12:37:24 2010 us5943 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: /C=FR/ST=IDF/L=Ermont/O=societe/CN�bianVPN/emailAddress=nico @localdomain</div><div>Thu Apr 08 12:37:24 2010 us6130 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed</div><div>Thu Apr 08 12:37:24 2010 us6144 TLS Error: TLS object -> incoming plaintext read error</div><div>Thu Apr 08 12:37:24 2010 us6155 TLS Error: TLS handshake failed</div><div>Thu Apr 08 12:37:24 2010 us1950 TCP/UDP: Closing socket</div><div>Thu Apr 08 12:37:24 2010 us2333 SIGUSR1[soft,tls-error] received, process restarting</div><div>Thu Apr 08 12:37:24 2010 us2348 Restart pause, 2 second(s)</div></div><div><br><blockquote type="cite"><div>-- <br>Daniel<br><br>-- <br>Lisez la FAQ de la liste avant de poser une question :<br><a href="http://wiki.debian.org/fr/FrenchLists">http://wiki.debian.org/fr/F renchLists</a><br><br>Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"<br>vers <br>En cas de soucis, contactez EN ANGLAIS <br>Archive: http://lists.debian.org/<br><br><br></div></blo ckquote></div><br></body></html>
--Apple-Mail-1-358230746--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

~TraydenT~

08/04/2010 à 14:00

Bonjour,

Le 08/04/2010 12:40, Bouige Nicolas a écrit :

Thu Apr 08 12:37:24 2010 us5943 VERIFY ERROR: depth=1, error=self
signed certificate in certificate chain:
/C=FR/ST=IDF/L=Ermont/O=societe/CNÞbianVPN/emailAddress=
Thu Apr 08 12:37:24 2010 us6130 TLS_ERROR: BIO read
tls_read_plaintext error: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Thu Apr 08 12:37:24 2010 us6144 TLS Error: TLS object -> incoming
plaintext read error
Thu Apr 08 12:37:24 2010 us6155 TLS Error: TLS handshake failed

On dirait qu'un de tes certificats est auto-signé ce qui semble poser
problème.

Bonne investigation

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

Kevin Hinault

08/04/2010 à 14:30

Le 8 avril 2010 14:24, Bouige Nicolas a écrit :

C'est normal ça non ?, c'est moi qui a créé le certificat. il n'a p as été
certifié par un organisme extérieur.

Non, il te faut un certificat auto-signé pour la CA, un certificat
pour le serveur signé par la CA et un certificats client signé aussi
par la CA.

--
Kévin

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

Bouige Nicolas

08/04/2010 à 14:30

Le 8 avr. 10 à 13:50, ~TraydenT~ a écrit :

Bonjour,

Le 08/04/2010 12:40, Bouige Nicolas a écrit :
Thu Apr 08 12:37:24 2010 us5943 VERIFY ERROR: depth=1, error=self
signed certificate in certificate chain:
/C=FR/ST=IDF/L=Ermont/O=societe/CN�bianVPN/
emailAddress=
Thu Apr 08 12:37:24 2010 us6130 TLS_ERROR: BIO read
tls_read_plaintext error: error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Thu Apr 08 12:37:24 2010 us6144 TLS Error: TLS object -> incoming
plaintext read error
Thu Apr 08 12:37:24 2010 us6155 TLS Error: TLS handshake failed

On dirait qu'un de tes certificats est auto-signé ce qui semble poser
problème.

Bonne investigation

C'est normal ça non ?, c'est moi qui a créé le certificat. il n'a pas
été certifié par un organisme extérieur.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

Jean-Yves F. Barbier

08/04/2010 à 15:00

Le 8 avril 2010 14:24, Bouige Nicolas a Ã©cr it :
>>
> C'est normal Ã§a non ?, c'est moi qui a crÃ©Ã© le certifica t. il n'a pas
> Ã©tÃ© certifiÃ© par un organisme extÃ©rieur.

Non, il te faut un certificat auto-signÃ© pour la CA, un certificat
pour le serveur signÃ© par la CA et un certificats client signÃ© aussi
par la CA.

le plus simple est d'utiliser les scripts fournis
dans /usr/shre/doc/openvpn/examples/easy-rsa

--
Love is the triumph of imagination over intelligence.
-- H. L. Mencken

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

Bouige Nicolas

08/04/2010 à 15:50

Le 8 avr. 10 à 14:59, Jean-Yves F. Barbier a écrit :

Le Thu, 8 Apr 2010 14:26:15 +0200,
Kevin Hinault a écrit :

Le 8 avril 2010 14:24, Bouige Nicolas a
écrit :

C'est normal ça non ?, c'est moi qui a créé le certificat. il n'a
pas
été certifié par un organisme extérieur.

Non, il te faut un certificat auto-signé pour la CA, un certificat
pour le serveur signé par la CA et un certificats client signé aussi
par la CA.

le plus simple est d'utiliser les scripts fournis
dans /usr/shre/doc/openvpn/examples/easy-rsa

Je viens de recréer les différents certificats toujours avec les
scripts et pourtant j'ai la même erreur.

dans l'ordre :
./build-ca
./build-key-server
./build-key
./build-dh

J'ai copié le ca.crt, client.crt, client.key dans le dossier config du
client.

--
Love is the triumph of imagination over intelligence.
-- H. L. Mencken

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

Daniel Huhardeaux

08/04/2010 à 18:10

Bouige Nicolas a écrit :

Je viens de recréer les différents certificats toujours avec les
scripts et pourtant j'ai la même erreur.

dans l'ordre :
./build-ca
./build-key-server
./build-key
./build-dh

J'ai copié le ca.crt, client.crt, client.key dans le dossier config du
client.

N'y avait il pas du tls aussi ? Il manque alors le fichier ta.key.
Vérifie aussi que les clés sont bien dans le répertoire défini dans le
fichier conf.

--
Daniel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

OpenVPN connexion local

9 réponses

Veuillez sélectionner un problème