OpenVPN site-to-site

Fermé
Signaler
Messages postés
87
Date d'inscription
samedi 25 décembre 2004
Statut
Membre
Dernière intervention
6 septembre 2016
-
Messages postés
3463
Date d'inscription
samedi 29 octobre 2005
Statut
Contributeur
Dernière intervention
2 février 2017
-
Bonjour,
J'ai un problème pour setup un VPN (OpenVPN site to site).
1. le client OpenVPN ping le serveur VPN et les VMs qu'il y a sur le lan du serveur
2. un PC du Lan du client OpenVPN ping le serveur OpenVPN et les VMs du Lan où se trouve le serveur OpenVPN

Là où cela bloque:
3. le serveur OpenVPN ne ping pas le client OpenVPN
4. un PC du Lan du serveur OpenVPN ne ping pas le client OpenVPN et les PCs du Lan où se trouve le client OpenVPN

Je copie/colle les fichiers de conf que j'ai:

Voici la conf serveur:
#serveur TCP/443
#mode server
proto tcp
port 1194
dev tun
# Cles et certificats
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
cipher AES-256-CBC
# Reseau
server 10.8.0.0 255.255.255.0
push "route 10.10.1.0 255.255.255.0"
push "route 192.168.0.0 255.255.255.0"
push "route 10.10.10.0 255.255.255.0"
client-config-dir ccd
#route 10.9.0.0 255.255.255.252
route 192.168.0.0 255.255.255.0
route 10.10.10.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 10.10.1.254"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
push "dhcp-option DOMAIN itcast.local"
push "dhcp-option SEARCH itcast.local"
# Options
persist-key
persist-tun
# Keepalive: send ping every 10 seconds, tunnel down after 120 seconds no response.
keepalive 5 60
reneg-sec 432000
# Securite
user nobody
group nogroup
comp-lzo
client-to-client
username-as-common-name
client-cert-not-required
auth-user-pass-verify /etc/openvpn/script/login.sh via-env
;plugin /usr/lib/openvpn/openvpn-auth-pam.so common-auth
;duplicate-cn
# script connect-disconnect
script-security 3 system
client-connect script/connect.sh
client-disconnect script/disconnect.sh
# Log
verb 3
mute 20
status /var/log/openvpn/server_tcp.log
log-append /var/log/openvpn/openvpn.log
up /etc/openvpn/update-resolv-conf
#down /etc/openvpn/update-resolv-conf

les 2 fichiers dans dossier ccd:

client1
ifconfig-push 10.9.0.1 10.9.0.2
iroute 192.168.0.0 255.255.255.0

client2
ifconfig-push 10.9.1.1 10.9.1.2
iroute 10.10.10.0 255.255.255.0

Configuration client:
# Client
client
dev tun
proto tcp
remote <IP DU SERVEUR OPENVPN> 443
resolv-retry infinite
cipher AES-256-CBC
# Cles
auth-user-pass
reneg-sec 432000
# Securite
nobind
persist-key
persist-tun
comp-lzo
verb 3
redirect-gateway
route-metric 9999
<ca>
CONTENU CERTIFICAT CA
</ca>
En vous remerciant par avance pour votre aide.

2 réponses

Messages postés
101894
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
23 janvier 2022
13 390
Salut,
un sacré bazar ton truc ... c'est un vrai vpn ou une simulation ?
ton client se connecte sur le port 443 et le serveur écoute le 1194 ...
quand aux routes ...
bien trop de push qui se contredisent .
0
Messages postés
87
Date d'inscription
samedi 25 décembre 2004
Statut
Membre
Dernière intervention
6 septembre 2016

Salut,
c'est un vrai vpn...
Pourrais-tu m'en dire plus sur "bien trop de push qui se contredisent . "

En te remerciant par avance.
0
Messages postés
101894
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
23 janvier 2022
13 390
un vrai vpn avec que des adresses privées ?
A quoi servent les routes 10.10.10.0 et 10.9.0.0 ?
quel est le numéro de réseau exact du vpn ?
0
Messages postés
87
Date d'inscription
samedi 25 décembre 2004
Statut
Membre
Dernière intervention
6 septembre 2016

Dans la conf client, j'ai:
remote <IP DU SERVEUR OPENVPN> 443

réseau du tunnel VPN: 10.8.0.0/24
et j'ai un client vpn que j'ai mis sur le tunnel VPN en 10.9.0.0/24
===> Je sais, c'est idiot <====
C'est d'ailleurs pour cela que la route 10.9.x.x est commenté (je pourrai la supprimer directement)

Le réseau en 10.10.10.0 est lan du site distant sur lequel j'ai setup un client OpenVPN , qui se connecte bien au serveur OpenVPN.
Le problème, c'est que depuis le serveur OpenVPN ou une VM du Lan où se situe serveur OpenVPN, le ping vers la gateway du lan du client OpenVPN (10.10.10.254) ne passe pas (j'ai bien autorisié, au niveau du firewall, les paquets ICMP sur l'interface OpenVPN).

Par contre, dans l'autre sens, c'est à dire: client OpenVPN ou un PC sur le lan du client OpenVPN: ping serveur OpenVPN et toutes les VMs sur le Lan où se situe le serveur OpenVPN...

En te remerciant par avance
0
Messages postés
101894
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
23 janvier 2022
13 390 >
Messages postés
87
Date d'inscription
samedi 25 décembre 2004
Statut
Membre
Dernière intervention
6 septembre 2016

et j'ai un client vpn que j'ai mis sur le tunnel VPN en 10.9.0.0
C'est d'ailleurs pour cela que la route 10.9.x.x est commenté.

c'est un site à site ou pas ?
en plus un firewall ...
un ping qui passe dans un sens et pas dans l'autre indique un firewall sur le chemin.
Comment ton vpn peut-il fonctionner si le serveur écoute sur 1194 et le client se connecte sur 443 ?
c'est sous windows ou sous linux ?
0
Messages postés
87
Date d'inscription
samedi 25 décembre 2004
Statut
Membre
Dernière intervention
6 septembre 2016
>
Messages postés
101894
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
23 janvier 2022

et j'ai un client vpn que j'ai mis sur le tunnel VPN en 10.9.0.0
C'est d'ailleurs pour cela que la route 10.9.x.x est commenté.
c'est un site à site ou pas ? : oui

en plus un firewall ...et?

Comment ton vpn peut-il fonctionner si le serveur écoute sur 1194 et le client se connecte sur 443 ? :redirection de port au niveau du firewall côté serveur OpenVPN.

c'est sous windows ou sous linux ?: Linux
0
Messages postés
101894
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
23 janvier 2022
13 390 >
Messages postés
87
Date d'inscription
samedi 25 décembre 2004
Statut
Membre
Dernière intervention
6 septembre 2016

tu cherches vraiment les ennuis toi, pourquoi tu ne fais pas écouter ton serveur sur 443 ?
un firewall, ça ne fait que compliquer la mise en oeuvre de ce genre de chose.
essaie un ping via mtr plutôt pour voir où ça coince
le réseau 10.10.1.0., c'est quoi ?
0