OpenVPN site-to-site

Fermé
xxx31fr Messages postés 87 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 6 septembre 2016 - 6 avril 2016 à 07:56
Gouril Messages postés 3463 Date d'inscription samedi 29 octobre 2005 Statut Contributeur Dernière intervention 2 février 2017 - 1 janv. 2017 à 16:58
Bonjour,
J'ai un problème pour setup un VPN (OpenVPN site to site).
1. le client OpenVPN ping le serveur VPN et les VMs qu'il y a sur le lan du serveur
2. un PC du Lan du client OpenVPN ping le serveur OpenVPN et les VMs du Lan où se trouve le serveur OpenVPN

Là où cela bloque:
3. le serveur OpenVPN ne ping pas le client OpenVPN
4. un PC du Lan du serveur OpenVPN ne ping pas le client OpenVPN et les PCs du Lan où se trouve le client OpenVPN

Je copie/colle les fichiers de conf que j'ai:

Voici la conf serveur:
#serveur TCP/443
#mode server
proto tcp
port 1194
dev tun
# Cles et certificats
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
cipher AES-256-CBC
# Reseau
server 10.8.0.0 255.255.255.0
push "route 10.10.1.0 255.255.255.0"
push "route 192.168.0.0 255.255.255.0"
push "route 10.10.10.0 255.255.255.0"
client-config-dir ccd
#route 10.9.0.0 255.255.255.252
route 192.168.0.0 255.255.255.0
route 10.10.10.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 10.10.1.254"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
push "dhcp-option DOMAIN itcast.local"
push "dhcp-option SEARCH itcast.local"
# Options
persist-key
persist-tun
# Keepalive: send ping every 10 seconds, tunnel down after 120 seconds no response.
keepalive 5 60
reneg-sec 432000
# Securite
user nobody
group nogroup
comp-lzo
client-to-client
username-as-common-name
client-cert-not-required
auth-user-pass-verify /etc/openvpn/script/login.sh via-env
;plugin /usr/lib/openvpn/openvpn-auth-pam.so common-auth
;duplicate-cn
# script connect-disconnect
script-security 3 system
client-connect script/connect.sh
client-disconnect script/disconnect.sh
# Log
verb 3
mute 20
status /var/log/openvpn/server_tcp.log
log-append /var/log/openvpn/openvpn.log
up /etc/openvpn/update-resolv-conf
#down /etc/openvpn/update-resolv-conf

les 2 fichiers dans dossier ccd:

client1
ifconfig-push 10.9.0.1 10.9.0.2
iroute 192.168.0.0 255.255.255.0

client2
ifconfig-push 10.9.1.1 10.9.1.2
iroute 10.10.10.0 255.255.255.0

Configuration client:
# Client
client
dev tun
proto tcp
remote <IP DU SERVEUR OPENVPN> 443
resolv-retry infinite
cipher AES-256-CBC
# Cles
auth-user-pass
reneg-sec 432000
# Securite
nobind
persist-key
persist-tun
comp-lzo
verb 3
redirect-gateway
route-metric 9999
<ca>
CONTENU CERTIFICAT CA
</ca>
En vous remerciant par avance pour votre aide.

2 réponses

brupala Messages postés 105946 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 10 janvier 2023 13 775
6 avril 2016 à 13:34
Salut,
un sacré bazar ton truc ... c'est un vrai vpn ou une simulation ?
ton client se connecte sur le port 443 et le serveur écoute le 1194 ...
quand aux routes ...
bien trop de push qui se contredisent .
0
xxx31fr Messages postés 87 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 6 septembre 2016
6 avril 2016 à 13:37
Salut,
c'est un vrai vpn...
Pourrais-tu m'en dire plus sur "bien trop de push qui se contredisent . "

En te remerciant par avance.
0
brupala Messages postés 105946 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 10 janvier 2023 13 775
6 avril 2016 à 15:01
un vrai vpn avec que des adresses privées ?
A quoi servent les routes 10.10.10.0 et 10.9.0.0 ?
quel est le numéro de réseau exact du vpn ?
0
xxx31fr Messages postés 87 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 6 septembre 2016
Modifié par xxx31fr le 6/04/2016 à 17:05
Dans la conf client, j'ai:
remote <IP DU SERVEUR OPENVPN> 443

réseau du tunnel VPN: 10.8.0.0/24
et j'ai un client vpn que j'ai mis sur le tunnel VPN en 10.9.0.0/24
===> Je sais, c'est idiot <====
C'est d'ailleurs pour cela que la route 10.9.x.x est commenté (je pourrai la supprimer directement)

Le réseau en 10.10.10.0 est lan du site distant sur lequel j'ai setup un client OpenVPN , qui se connecte bien au serveur OpenVPN.
Le problème, c'est que depuis le serveur OpenVPN ou une VM du Lan où se situe serveur OpenVPN, le ping vers la gateway du lan du client OpenVPN (10.10.10.254) ne passe pas (j'ai bien autorisié, au niveau du firewall, les paquets ICMP sur l'interface OpenVPN).

Par contre, dans l'autre sens, c'est à dire: client OpenVPN ou un PC sur le lan du client OpenVPN: ping serveur OpenVPN et toutes les VMs sur le Lan où se situe le serveur OpenVPN...

En te remerciant par avance
0
brupala Messages postés 105946 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 10 janvier 2023 13 775 > xxx31fr Messages postés 87 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 6 septembre 2016
6 avril 2016 à 17:09
et j'ai un client vpn que j'ai mis sur le tunnel VPN en 10.9.0.0
C'est d'ailleurs pour cela que la route 10.9.x.x est commenté.

c'est un site à site ou pas ?
en plus un firewall ...
un ping qui passe dans un sens et pas dans l'autre indique un firewall sur le chemin.
Comment ton vpn peut-il fonctionner si le serveur écoute sur 1194 et le client se connecte sur 443 ?
c'est sous windows ou sous linux ?
0
xxx31fr Messages postés 87 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 6 septembre 2016 > brupala Messages postés 105946 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 10 janvier 2023
6 avril 2016 à 17:23
et j'ai un client vpn que j'ai mis sur le tunnel VPN en 10.9.0.0
C'est d'ailleurs pour cela que la route 10.9.x.x est commenté.
c'est un site à site ou pas ? : oui

en plus un firewall ...et?

Comment ton vpn peut-il fonctionner si le serveur écoute sur 1194 et le client se connecte sur 443 ? :redirection de port au niveau du firewall côté serveur OpenVPN.

c'est sous windows ou sous linux ?: Linux
0
brupala Messages postés 105946 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 10 janvier 2023 13 775 > xxx31fr Messages postés 87 Date d'inscription samedi 25 décembre 2004 Statut Membre Dernière intervention 6 septembre 2016
6 avril 2016 à 18:33
tu cherches vraiment les ennuis toi, pourquoi tu ne fais pas écouter ton serveur sur 443 ?
un firewall, ça ne fait que compliquer la mise en oeuvre de ce genre de chose.
essaie un ping via mtr plutôt pour voir où ça coince
le réseau 10.10.1.0., c'est quoi ?
0