[Topic unique] Installation Openvpn

[velivole18]

Bonjour,

J'ouvre ce nouveau post suite à plusieurs échanges sur l'intallation d'OpenVPN sur Nas4Free à l'aide du tuto gracieusement donné par laster13.
Je reprends le tuto puis ensuite les divers problèmes rencontrés.
De cette façon, ce post est dédié à ce sujet.

[hr]Voici le tuto[/hr]

Voila comment j ai procédé

Tu te connectes en ssh (en root) via putty que tu télécharges n importe ou sur le net

Ensuite tu suis pas a pas les procédures suivantes

Code: Select all

cd /mnt/pool1

(pool1 etant le nom du point de montage de mon disque dur)

Code: Select all

mkdir extensions
cd extensions
mkdir usr
mkdir var
mkdir tmp

Code: Select all

mount_unionfs -o w /mnt/pool1/extensions/usr/ /usr/
umount -f /var
mount_unionfs -o w /mnt/pool1/extensions/var/ /var/

Très important la commande "umount -f /var" a du te faire sauter la dns, à ce stade tu n as plus d accès a internet donc tu reboot ton nas!!

Tu retapes à nouveau les commandes suivantes

Code: Select all

mount_unionfs -o w /mnt/pool1/extensions/usr/ /usr/
mount_unionfs -o w /mnt/pool1/extensions/var/ /var/

On va maintenant installer le package openvpn

Code: Select all

setenv PKG_TMPDIR /mnt/pool1/extensions/tmp/

Code: Select all

setenv PACKAGESITE "ftp://ftp.freebsd.org/pub/FreeBSD/ports/amd64/packages-9-current/Latest/"

(si tu es en 32 bit remplace amd64 par i386)

Code: Select all

pkg_add -rv openvpn

Il est temps maintenant de souscrire un abonnement mullvad openvpn, tu en prends un pour 1 mois comme ça si tu veux changer ensuite.. c est toi qui voit

Télécharge sur leur site les fichiers de configuration

ca.crt
master.mullvad.net.crt
mullvad.crt
mullvad.key
mullvad_windows.conf.ovpn
openvpn.conf

Celui concernant windows tu le laisses de coté, quand a openvpn.conf, je sais plus au départ s il est renommé par défaut en .conf mais en tout cas fais le si c est pas fait

Ensuite tu édites openvpn.conf et dedans tu mets le script ci dessous tu changes rien!! penses a ouvrir le port 1194 en udp ds ta box

Code: Select all

# Notice to Mullvad customers:
# 
# Apart from openvpn, you also need to install the
# package "resolvconf", available via apt, e.g.
#
# For those of you behind very restrictive firewalls,
# you can use our tunnels on tcp port 443, as well as
# on udp port 53.
client

dev tun

proto udp
#proto tcp

remote openvpn.mullvad.net 1194
#remote openvpn.mullvad.net 443
#remote openvpn.mullvad.net 53
#remote se.mullvad.net # Servers in Sweden
#remote nl.mullvad.net # Servers in the Netherlands

# Keep trying indefinitely to resolve the
# host name of the OpenVPN server.  Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
resolv-retry infinite

# Most clients don't need to bind to
# a specific local port number.
nobind

# Try to preserve some state across restarts.
persist-key
persist-tun

# Enable compression on the VPN link.
comp-lzo

# Set log file verbosity.
verb 3

remote-cert-tls server

ping-restart 60

# Allow calling of built-in executables and user-defined scripts.
script-security 2

# Parses DHCP options from openvpn to update resolv.conf
#up /etc/openvpn/update-resolv-conf
#down /etc/openvpn/update-resolv-conf

ping 10

ca master.mullvad.net.crt
cert mullvad.crt
key mullvad.key

tu sauvegardes et tu fermes

tu retournes sur la console ssh et tu tapes

mkdir /mnt/pool1/extensions/usr/local/etc/openvpn

Avec un logiciel ftp ..fizella par exemple tu places les 5 fichiers suivant ds le dossier openvpn créé precedemment (tu peux avoir des problèmes de permissions auquel cas en ssh tu tapes
chmod -R 777 /mnt/pool1/extensions/usr/local/etc/openvpn )... si tu connais la commande pour le faire en ssh, tu auras pas ces soucis de permissions... j ai pas creusé de ce coté..

ca.crt
master.mullvad.net.crt
mullvad.crt
mullvad.key
openvpn.conf

dernière étape

tu vas sur l interface de nas4free..systeme-avancé-rc.conf et tu rajoutes les 2 commandes suivantes

Code: Select all

openvpn_enable=YES

openvpn_if=tun

et enfin pour terminer

tu vas ds systeme ..avancé..script de commande et tu rajoutes les deux lignes suivantes en postinit

Code: Select all

mount_unionfs -o w /mnt/pool1/extensions/usr/ /usr/

Code: Select all

/usr/local/etc/rc.d/openvpn start /usr/local/etc/openvpn/openvpn.conf

Tu relances le nas et ensuite tu vas ds diagnostic, journal et si tout c est bien passé tu dois voir la phrase suivante

Code: Select all

openvpn[1234]: Initialization Sequence Completed

Maintenant si tu veux vraiment être sur que ça fonctionne tu vas sur le site "http://checkmytorrentip.net/" tu cliques sur "get it now" ca va te télécharger un fichier torrent que tu lances avec transmission et la miracle tu vas voir l ip sous laquelle tu es connecté apparaitre.. differente de la tienne bien sur

Voila si tu veux les règles iptable ensuite, ca sera volontier.

[hr] Voici les problèmes que j'ai rencontrés[/hr]

bonjour,

Voilà, j'ai installé openvpn en suivant le tuto.
Quelques remarques et questions :
1 - les répertoires à créer sous "extensions" sont "var", "usr" et "tmp" (il y avait 2 fois "var" et manquait "usr" à la place).
2 - Mullvad permet de télécharger les fichiers de configuration gratuitement pour une période de test (3heures à priori), ce qui permet de tester la faisabilité des solutions openvpn que l'on installe sur nos PC. Il y a ensuite possibilité de garder son identifiant Mullvad et de s'inscrire normalement en payant le service.
3 - Si je vais chez un autre fournisseur openvpn, comme Vpntunnel par exemple, ou un autre qui fait openvpn pour linux, les fichiers fournis seront-ils les mêmes ?
4 - le fichier "openvpn.conf" est en fait livré par Mullvad sous le nom "mullvad_linux.conf".
5 - ton tuto donne comme port le 1194. Cela est-il imposé ou pouvons-nous garder le port de Bittorrent par défaut (ou un autre) en le configurant dans le fichier "mullvad_linux.conf" évidemment ?
6 - Le mois prochain, lors du renouvellement du paiement du service Mullvad, je suppose qu'il n'y a pas à re-télécharger quoique ce soit ? les fichiers installés lors du déroulement du tuto restent les mêmes ? Même après une période d'arrêt de la souscription au service Mullvad ?
7 - dans l'interface de ma freebox revolution, au niveau de la visualisation du débit, je vois la consommation de bittorrent, mais lorsque je bascule sur la visualisation de la consommation du port du switch qu'est la Freebox, sur lequel est Nas4Free, parfois je ne vois plus la consommation de bittorrent sur Nas4Free ... Ce qui est bizarre, et ce n'est pas toujours ! Aussi, lors d'action de passage en "Pause" puis en "Resume" dans l'interface Bittorrent de Nas4Free, je me demande si tout repart bien correctement ...
8 - J'ai vraiment l'impression que toutes mes communications internet sont ralenties. Comme si le vpn qui ne travaille qu'avec bittorent sur Nas4free avait un impact sur le reste des mes com ... Est-ce possible et normal ?
9 - le test avec le fichier "checkMyTorrentIp.png" torrent récupéré du site "http://checkmytorrentip.net/" ne marche pas à priori. Existe-t-il une autre solution pour faire le test ?
10 - il m'a fallut redémarrer plusieurs fois Nas4Free avant d'arriver à un bon fonctionnement ... et dans le log de Nas4Free il y a le petit message " WARNING: file 'mullvad.key' is group or others accessible" mais à priori il n'y a pas d'incidence.
11 - en cas de mise à jour de Nas4Free (j'ai la version embedded sur une clé USB), il n'y a rien à faire, toute la config relative à openvpn est conservée et opérationnelle ?
12 - une remarque : Mullvad bloque le port 25 utilisé habituellement pour le service smtp de messagerie. Donc sur Nas4free, il faut passer en service smtp SSL sur une autre port (en général 465) et configurer son service smtp de son fournisseur préféré comme activé. Pour l'instant j'ai quelques difficultés à ce niveau, mais je cherche ... (je m'envoyais des messages relatifs à l'activité de Nas4Free dans ma messagerie Free ... et effectivement sur le port 25 maintenant cela ne fonctionne plus).

En tout cas merci beaucoup pour le tuto. Je teste cela durant mon mois de souscription à Mullvad et je verrai après si j'y reste ou si je change (cela dépend aussi de ta réponse à la question 3).

Cordialement.

[hr]suite des problèmes ...[/hr]

Bonsoir,

Concernant le point 12 de mon post précédent, j'ai résolu le problème de l'envoi d'email sur le port 465 en SSL en renseignant le serveur smtp par son adresse et non par son nom littéral.
C'est bizarre et du coup j'ai ouvert un nouveau post à ce sujet.

Cordialement.

A priori, il y a un problème de résolution sur l'adresse du service Mullvad openvpn après un certain temps d'inactivité :

Code: Select all

"openvpn[2820]: RESOLVE: Cannot resolve host address: openvpn.mullvad.net: hostname nor servname provided, or not known"

Au démarrage de Nas4Free, pas de problème, l'initialisation est correcte.
Si le canal openvpn n'est pas utilisé quelques secondes ou minutes, par la suite, la résolution de l'adresse openvpn.mullvad.net ne fonctionne plus.
Que peut-on faire ?

Aussi j'ai constaté la suppression de 2 lignes dans le fichiers de conf :

Code: Select all

# Parses DHCP options from openvpn to update resolv.conf
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf

Cela n'aurait-il pas un rapport ?

Les valeurs suivantes sont-elles à la bonne valeur ? :

Code: Select all

ping-restart 60
ping 10

J'ai constaté aussi que les torrents téléchargés retournent toujours une erreur de checksum et que le sens montant (partage des torrents) ne fonctionne pas à priori.
Je vais poursuivre mes tests et investigation pour mieux comprendre tout cela.
[hr]Réponse de laster13 ... [/hr]

Bonjour,

1) Effectivement je m étais trompé, c est bien le dossier usr comme tu me le signales.
2) Tout à fait tu gardes ton identifiant pour prolonger ton abonnement.
3) Non les fichiers ne seront pas les mêmes si tu prends un autre fournisseur mais le concept reste le meme, tu remplaces simplement les fichiers de mullvad par vptunnel.. voila le fichier de configuration de vptunnel.. c'est celui que j utilise

Code: Select all

float
client
dev tun
proto udp
nobind
;Pas de modification depuis le serveur de la table de routage
route-nopull

;Scripts locaux gérant les routes et le client torrent
script-security 2
up up.sh
down down.sh

; CERT
ca /etc/openvpn/keys/ca.crt
ns-cert-type server
cipher BF-CBC

; HOST
remote-random
remote anna.vpntunnel.se 10010
remote anna.vpntunnel.se 10020
remote anna.vpntunnel.se 1194

resolv-retry infinite

; AUTH
auth-user-pass pass
persist-key
persist-tun

comp-lzo
verb 1

;Maintien de la connexion: ping envoyé toutes les 10s, restart si pas de réponses pendant 60s
keepalive 10 60

4) c est exact, c est celui ci que tu renommes en openvpn.conf

5) Le port 1194 est celui préconisé dans tous les tutos concernant l openvpn, je pense qu il vaut mieux conserver ce port, d ailleurs n en voyant pas l inconvenient je n ai pas creusé plus le sujet.

6) exact tu ne retelecharges pas les fichiers de config au moment de ton renouvellement, il restent les memes. Par contre si tu prends vpntunnel il faudra rajouter un script pour te logguer avec tes identifiants car contraiçrement a mullvad il faut se logguer pour beneficier du service

7) et 8) De maniere general et d'apres ce que j ai lu, un vpn peut ralentir la connexion. Par ailleurs les vpn ne sont pas toujours tres stables et peuvent generer des pertes de connexion avec leur serveurs. Du coup ton ip redevient visible sur le net.l'interet est que si le vpn s arrete alors tes telechargement egalement..

C'est pour cette raison qu il faut mettre des regles de parefeu



1) c'est pour permettre le traffic local
2) c est pour les connexions dns a travers le port 53
3) c est le port de mullvad
4) c est le tunnel dans lequel va s effectuer ton traffic internet, comme les telechargements
5) c est pour le multicast connection pour permettre des services comme "bonjour"
6) c est pour le dhcp si tu t en sers
7) on refuse toutes les autres connections

Ce parefeu a ete etabli avec mullvad, donc tu peux le recopier tel quel, modifier eventuellement la plage d ip.. 192.168.0.0 ou 192.168.1.0 selon ton reseau

9) etonnant, chez moi le fichier checkmytorrent.png fonctionne.. Par contre une fois le firewall configure tu peux tester ton vpn avec la commande suivante

ping http://www.google.com
si le vpn fonctionne bien tu dois avoir des reponses avec le ping. Si le vpn est arreter tu ne dois pas avoir de réponses

fais le test avec et sans le vpn!!

Pour le reste j ai pas reponses pour l instant et effectivement j avais desactive les lignes suivantes

up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf

car chez moi ca ne fonctionnait pas.. donc enleves les # et voie si ca regle ton probleme

Quand au message suivant " WARNING: file 'mullvad.key' is group or others accessible" tu te loggues en ssh root et tu mets le dossier openvpn avec les permissions plus basses avec la commande

chmod -R 600 /chemin/dossier

[/quote]

[velivole18]

Bonsoir,

A priori, j'ai le DNS qui tombe après une courte période d'inactivité sur le VPN.

Code: Select all

Apr 1 02:01:20 	nas4free 	openvpn[2892]: RESOLVE: Cannot resolve host address: openvpn.mullvad.net: hostname nor servname provided, or not known
Apr 1 02:01:18 	nas4free 	root: Failed to send status report to: xxxxx.xxxxx@free.fr.
Apr 1 02:01:18 	nas4free 	msmtp: host=212.27.48.4 tls=on auth=on user=xxxxx.xxxxx from=xxxxx.xxxxx@free.fr recipients=xxxxx.xxxxx@free.fr errormsg='cannot connect to 212.27.48.4, port 465: Operation timed out' exitcode=EX_TEMPFAIL

De même, j'ai constaté qu'au lancement de Nas4free il faut que le service BitTorrent soit lancé dans la config, sinon, si on le lance après coup, pas de DNS.

Je continue à chercher et je vais appliquer les derniers conseils de laster13. Pour l'instant mes essais se sont faits sans aucune règles de pare-feu. Je n'en avais pas besoin avant étant donné que mon NAS n'est pas accessible de l'extérieur et je ne voulais pas cumuler les problèmes.
J'ai pris 1 mois d'abonnement à Mullvad, j'ai donc 1 mois pour trouver la solution.

Merci pour ta patiente, laster13 et je suis sûr que cette manip peut profiter à beaucoup d'autres.
Cordialement

[laster13]

Est ce que ds openvpn.conf au niveau de la ligne " remote openvpn.mullvad.net 1194" une erreur d écriture ne se serait pas glissée ou un # sur la ligne suivante?...on dirait qu'il plante parce qu'il a plusieurs adresses a résoudre..

Est ce que mullvad n a passage change ses adresses...le fichier conf que je t ai donne date de plusieurs mois..peu être vérifié dans le fichier conf linux que tu as telecharge que c est toujours openvpn.mullvad.net!!

Par ailleurs est ce que tu as déjà établi des règles iptables sur nas4free?

Edit: Je viens de vérifier..il semble qu il faut remplacer openvpn.mullvad.net par le nom du serveur..il y en a quatre..essaye la suede:,c est bien.. Donc tu mets se.mullvad.net

[velivole18]

Bonsoir,

Bon, j'ai peut-être trouvé le truc. Ca reste à confirmer dans le temps mais voici :

J'ai rajouté les 2 lignes que tu as supprimées dans le fichier de configuration de openvpn mais en désignant de fichier resolv.conf de Nas4Free :

Code: Select all

# Parses DHCP options from openvpn to update resolv.conf
#up /etc/openvpn/update-resolv-conf
#down /etc/openvpn/update-resolv-conf
up /etc/resolv.conf
down /etc/resolv.conf

et miracle ... tout repart au niveau BitTorrent, en download et en upload.
Pour l'instant je n'ai pas encore configuré le pare-feu, mais cela ne saurait tarder.
Je surveille de près pendant quelques temps encore et je confirme le bon fonctionnement ou les problèmes.

MERCI BEAUCOUP !!!

Cordialement.

[laster13]

Cool...par contre essaye de changer le nom du serveur aussi et de mettre remote se.mullvad.net 1194

Je viens de trouver un post qui explique comment vérifier son IP. Je l écris ds ce post pour stocker la méthode ça peut servir!

En ssh (root)

on installe d abord le paquet

Code: Select all

pkg_add -rv curl

et ensuite:

Code: Select all

curl ifconfig.me

[velivole18]

Bonjour,

Après une période d'observation, le résultat sur la mise en place du jail openvpn est mitigé.
En effet, après une installation suivie à la lettre d'après le tuto et un abonnement à Mullvad, voici ce qui se passe.

Au démarrage de NAs4Free, aucun problème, BitTorrent fonctionne parfaitement avec OpenVPN et Mullvad.
Ensuite, toutes les heures, voici les messages apparaissant régulièrement dans le log :

Code: Select all

Apr 6 18:44:53 	nas4free 	openvpn[2892]: Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Apr 6 18:44:53 	nas4free 	openvpn[2892]: Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Apr 6 18:44:53 	nas4free 	openvpn[2892]: Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Apr 6 18:44:53 	nas4free 	openvpn[2892]: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Apr 6 18:44:53 	nas4free 	openvpn[2892]: Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Apr 6 18:44:52 	nas4free 	openvpn[2892]: VERIFY OK: depth=0, C=NA, ST=None, L=None, O=Mullvad, CN=se3.mullvad.net, emailAddress=info@mullvad.net
Apr 6 18:44:52 	nas4free 	openvpn[2892]: VERIFY EKU OK
Apr 6 18:44:52 	nas4free 	openvpn[2892]: ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Apr 6 18:44:52 	nas4free 	openvpn[2892]: Validating certificate extended key usage
Apr 6 18:44:52 	nas4free 	openvpn[2892]: VERIFY KU OK
Apr 6 18:44:52 	nas4free 	openvpn[2892]: ++ Certificate has key usage 00a0, expects 00a0
Apr 6 18:44:52 	nas4free 	openvpn[2892]: Validating certificate key usage
Apr 6 18:44:52 	nas4free 	openvpn[2892]: VERIFY OK: depth=1, C=NA, ST=None, L=None, O=Mullvad, CN=master.mullvad.net, emailAddress=info@mullvad.net
Apr 6 18:44:52 	nas4free 	openvpn[2892]: VERIFY OK: depth=2, C=NA, ST=None, L=None, O=Mullvad, CN=Mullvad CA, emailAddress=info@mullvad.net
Apr 6 18:44:52 	nas4free 	openvpn[2892]: TLS: soft reset sec=0 bytes=924767/0 pkts=7537/0
Apr 6 18:44:51 	nas4free 	openvpn[2892]: TLS: tls_process: killed expiring key

Et là, rien ne va plus malgré des messages qui à priori indiquent que tout va bien.
En fait, lorsque je dépose mes fichiers .torrent dans le répertoire approprié de BitTorrent, le service BitTorrent les prend en compte et ils apparaissent bien dans la fenêtre de suivi des téléchargements, mais rien ne se télécharge et aussi aucun des fichiers téléchargés auparavant sont seedés (alors que la 1ère heure il y avait du seed). En fait, le service BitTorrent d'un point de vue Nas4Free à l'air de fonctionner, mais la liaison avec l'openvpn de Mullvad semble ne plus fonctionner.
Il y a quelque chose qui se passe toutes les heures ("TLS: tls_process: killed expiring key") qui empêche le bon fonctionnement de façon durable.
C'est quoi en fait cet évènement de re-vérification de clé toutes les heures et cet évènement d'expiration de clé ?

remarque : J'ai fait le test d'utiliser mon abonnement à Mullvad et l'essayant avec mon PC client Linux sous Ubuntu, et tout est OK.

Merci.

[laster13]

Bonsoir

A priori, il est possible de désactiver cette vérification toutes les heures grace a la commande "reneg-sec 0 " que tu insères ds le fichier openvpn.conf.

Il semble qu en terme de sécurité ce ne soit pas forcément recommandé mais peu etre que cela pourrait t orienter vers de nouvelles pistes..

https://airvpn.org/topic/4383-tls-tls-p ... iring-key/

http://serverfault.com/questions/436333 ... -each-hour

[velivole18]

Bonsoir,

Ouf !!! A priori, problème résolu.
En fait, le code "rc.d/openvpn" demande un fichier de configuration portant son nom, c'est à dire "openvpn.conf".
J'avais mis un fichier de configuration correct dans son contenu, mais renommé "mullvad.conf".

De ce fait, le code "rc.d/openvpn", ne trouvant pas de fichier "openvpn.conf", se lançait avec une configuration par défaut (ou bancale ...).
Je m'en suis aperçu en regardant le résultat d'une commande "ps" sous console qui m'indiquait toujours le lancement d'openvpn avec un fichier de configuration "openvpn.conf" alors que je lui demandais d'utiliser "mullvad.conf", et j'ai trouvé cela bizarre ...

En analysant ce que fait le fichier de script "rc.d/openvpn", je me suis aperçu que si l'on veut par exemple utiliser un fichier de configuration "toto.conf", il faut renommer le script lui-même "rc.d/toto". Donc à priori le fait de passer en paramètre après "start" le nom du fichier de configuration ne sert à rien.
J'ai donc renommé le fichier de configuration "openvpn.conf" et pour être sur ai repris celui livré par Mullvad pour repartir "propre" dans la config.
Pour l'instant, tout fonctionne normalement.

J'ai juste le fait que les fichiers téléchargés lorsqu'ils sont finis d'être téléchargés ont systématiquement une erreur de checksum.
Mais après vérification, ils sont correctement téléchargés et tout à fait corrects et exploitables.
Cela a juste pour conséquence de "pourrir" mon log de multiples messages torrent.

D'ailleurs à ce sujet, et c'est une remarque que j'avais déjà fait au développeurs de Nas4Free, je ne comprends pas pourquoi les messages de BitTorrent ne sont pas dans la rubrique des "Daemon" puisque c'en est un ! Cela éviterait de remplir le log "system" des multiples messages de BitTorrent" qui apparaissent dès qu'il y a une remarque à faire sur un torrent. Mais ceci est une autre histoire ....

Donc je surveille toujours si cela continue à bien fonctionner. Si c'est le cas d'ici 24 ou 48h., nous pourrons clore ce sujet.

MERCI encore !

PS : Mullvad permet d'exploiter jusqu'à 3 machines sur openvpn avec une inscription. Nas4free et mon PC client exploitent en même temps le service Mullvad, et c'est vraiment bien ! Tous les fournisseurs d'openvpn ne rendent pas ce service ...

Cordialement.

[velivole18]

Bonsoir,

L'accès au DNS est encore tombé cette nuit après une période d'inactivité de BitTorrent d'une trentaine de minutes.
Il est dit au début du fichier de configuration :

Code: Select all

    # Apart from openvpn, you also need to install the
    # package "resolvconf", available via apt, e.g.

Ne faut-il pas installer alors resolvconf dans le jail ?
Ne faut-il pas remonter "/mnt/pool1/extensions/var/" sur "/var/" comme cela est fait pour /usr ?

Code: Select all

mount_unionfs -o w /mnt/pool1/extensions/var/ /var/

Ne faut-il pas recopier le fichier resolv.conf dans le "/var" du jail ?
Ne faut-il pas créer ou "pusher" les variables :
foreign_option_1 'dhcp-option DNS 212.27.40.240'
foreign_option_2 'dhcp-option DNS 212.27.40.241'
dans l'environnement d'openserver ?
(D'ailleurs je n'ai pas trouvé comment fait-on le push de ces variables ...)

Je teste tout cela ...

A demain.

[velivole18]

Bonsoir,
J'ai encore perdu l'accès au DNS.

Trace du journal, 1ère partie, tout va bien :

Code: Select all

Apr 8 03:25:26 	nas4free 	openvpn[2891]: TLS: tls_process: killed expiring key
Apr 8 03:25:32 	nas4free 	openvpn[2891]: VERIFY OK: depth=2, C=NA, ST=None, L=None, O=Mullvad, CN=Mullvad CA, emailAddress=info@mullvad.net
Apr 8 03:25:32 	nas4free 	openvpn[2891]: VERIFY OK: depth=1, C=NA, ST=None, L=None, O=Mullvad, CN=master.mullvad.net, emailAddress=info@mullvad.net
Apr 8 03:25:32 	nas4free 	openvpn[2891]: Validating certificate key usage
Apr 8 03:25:32 	nas4free 	openvpn[2891]: ++ Certificate has key usage 00a0, expects 00a0
Apr 8 03:25:32 	nas4free 	openvpn[2891]: VERIFY KU OK
Apr 8 03:25:32 	nas4free 	openvpn[2891]: Validating certificate extended key usage
Apr 8 03:25:32 	nas4free 	openvpn[2891]: ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Apr 8 03:25:32 	nas4free 	openvpn[2891]: VERIFY EKU OK
Apr 8 03:25:32 	nas4free 	openvpn[2891]: VERIFY OK: depth=0, C=NA, ST=None, L=None, O=Mullvad, CN=se4.mullvad.net, emailAddress=info@mullvad.net
Apr 8 03:25:33 	nas4free 	openvpn[2891]: Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Apr 8 03:25:33 	nas4free 	openvpn[2891]: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Apr 8 03:25:33 	nas4free 	openvpn[2891]: Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Apr 8 03:25:33 	nas4free 	openvpn[2891]: Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Apr 8 03:25:33 	nas4free 	openvpn[2891]: Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA

jusque là tout va bien, ce genre de message revient régulièrement mais ça marche.
Et puis ensuite, je ne sais pourquoi, au milieu de la nuit ...

Code: Select all

Apr 8 03:58:19 	nas4free 	openvpn[2891]: [se4.mullvad.net] Inactivity timeout (--ping-restart), restarting
Apr 8 03:58:19 	nas4free 	openvpn[2891]: SIGUSR1[soft,ping-restart] received, process restarting
Apr 8 03:58:19 	nas4free 	openvpn[2891]: Restart pause, 2 second(s)
Apr 8 03:58:21 	nas4free 	openvpn[2891]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Apr 8 03:58:21 	nas4free 	openvpn[2891]: Socket Buffers: R=[65536->65536] S=[57344->65536]
Apr 8 03:58:51 	nas4free 	openvpn[2891]: RESOLVE: Cannot resolve host address: openvpn.mullvad.net: hostname nor servname provided, or not known

Je vais donc chercher encore pourquoi ... si quelqu'un a une idée ?

Merci.

[laster13]

Bonsoir

As tu remplace remote openvpn.mullvad.net par remote se.mullvad.net comme je te l ai conseille plus haut?

Mullvad a 4serveur il faut donc en choisir un...

[velivole18]

bonsoir,

oui je l'ai fait pendant 24 heures, mais le résultat est le même.
Je pense que la dévalidation de la clé au bout d'un certain temps d'inactivité est un processus normal
mais que c'est mon installation/configuration à laquelle il manque quelque chose.
C'est autour du thème de resolv.conf et de dhcp-option je pense qu'il faut faire quelque chose pour que l'openserver retrouve l'accès au DNS, mais j'avoue ne pas être spécialiste de la chose.
Je parcours les forums sur le sujet.
Promis juré, dès que j'ai trouvé quelque chose, je vous en fait part sur le forum.
Merci pour le soutien que j'apprécie énormément.
En espérant pouvoir renvoyer l’ascenseur un jour.

[velivole18]

Bonsoir,

En remontant les forums en anglais sur le sujet, j'ai lu que l'un des critères pour installer le jail openvpn est qu'il faut une installation de Nas4Free sur disque et que cela ne marche pas en version embedded sur clé USB.
Cela peut-il être une raison qui expliquerait mes difficultés ?
D'autre part, le fournisseur internet, Free pour ma part, peut-il être responsable de la perte de liaison avec le DNS au milieu de chaque nuit ? Peut-être font-il quelque chose la nuit (signal d'upgrade de Freebox, ...), une commutation quelconque.
Ce qui est bizarre, c'est que mis à part le nom du fichier que je m'étais permis de modifier par rapport au tuto (pardon !), pour le reste, tout est identique à ton install.

Il va vraiment falloir que je reprenne des cours réseau pour éclaicir ce mystère

Nota : pour le test de choix du serveur (se.mullvad.net à la place de openvpn.mullvad.net), je me suis aperçu dans le log que déjà avec openvpn.mullvad.net, il fait le choix de se connecter en se.xxx.

[velivole18]

Bonsoir,

Hier soir j'ai changé de serveur mullvad pour prendre "nl.mullvad.net" et je n'ai pas perdu l'accès au DNS.
A priori, mais j'attends une période d'observation plus longue, ça a l'air de fonctionner.
Pourquoi un serveur se comporterait différemment d'un autre, je ne sais pas.
J'ai juste mon envoi de message sur le port 465 qui ne veut pas se faire pour m'envoyer un rapport sur l'état de mon NAS chaque nuit, mais je règlerai ce problème un peu plus tard.

Cordialement.

[laster13]

Bonsoir

Moi aussi j ai la freebox révolution et ça marchais sans problèmes mais peut être que dans la gestion même des différents services que tu as active et certains paramètres de configuration que tu as peu être modifie dans nas4free, cela pourrait expliquer ces dis fonctionnement... Je ne sais pas

Ce que je te propose..j ai un viel ordi qui traine dans un coin.. Ce weekend end j installe rapido nas4free dessus et openvpn...rien d autre. Je laisserai tourner transmission avec des téléchargements et te donnerais le résultat de mes tests.. Si le DNS saute ou quoique ce soit d autre..te dirais

PS: a tout hasard dans le dernier log que tu as donné, y a marqué se4.mullvad.net... C est pas se.mullvad.net?

[velivole18]

Bonsoir,

oui en fait lorsque je choisis "openvpn.mullvad.net" il me met dans le log "se4.mullvad.net" de lui-même.
Et lorsque je choisis explicitement "se.mullvad.net", il me met aussi "se4.mullvad.net" !!!
Pour l'instant, depuis la nuit dernière, j'ai mis dans le fichier de conf "nl.mullvad.net" et dans le log apparait "nl8.mullvad.net".

Pour le test que tu me proposes, je ne veux pas abuser de ton temps.
Disons que je laisse la config comme cela jusqu'à la fin de la semaine et si tout se passe bien, on n'en parle plus.
Ce soir je viens de mettre en téléchargement de nouveaux torrents pour retester et il n'y a aucun problème.
Laissons-nous quelques nuits ...
Si le problème est résolu, peut-être que j'essaierai un autre fournisseur pour voir le mois prochain.
Je ferai alors part de mes expérience.
J'ouvrirai un autre post pour le problème de la la messagerie sur le port 465 (port que j'ai du basculer à cause de l'openvpn).

Attendons de voir un peu, et j'accepterai ta contribution un peu plus tard si besoin est.
En fait j'espère que le bon fonctionnement de ces dernières 24h. soit la confirmation que tout va bien.
Merci encore pour ton aide.
En tout cas, si cela fonctionne effectivement correctement, je conseille à tout le monde de suivre ton tuto, c'est assez simple et très pratique.
De plus maintenant, je fonctionne en openvpn avec mes PC clients, chose que je n'avais pas osée tester auparavant.
Comme quoi les forums bien fréquentés c'est vraiment super !
Avec ça, si tu ne la gagnes pas ton étoile supplémentaire, je me fâche tout rouge

Nota : est-ce que le téléchargement de torrent via openvpn peut être la cause que mes téléchargements soit systématiquement en erreur de checksum, même si je les récupère tous correctement ? La mécanique du contrôle de checksum a-t-elle à voir avec le fait de passer par un vpn ?

Cordialement.

[laster13]

Bonjour

Est ce que tu peux me faire un copier coller du message exact que tu as concernant les erreur de checksum?

[velivole18]

Bonsoir,
J'ai relancé de nouveaux téléchargements et tout continue à fonctionner.
Je commence à sourire
Voic une trace parmi tant d'autre d'erreur de checksum, trace qui n'indique pas grand chose :

Code: Select all

Apr 9 21:06:36 	nas4free 	transmission-daemon[2146]: [WAL] Wallpapers Selection HD Special - Nature 2 Piece 754, which was just downloaded, failed its checksum test (torrent.c:3251)

Les images ici récupérées pour le test sont bien récupérées sans aucun problème.
Idem pour les vidéos ou les livres.

Est-ce qu'en fait il y a eut effectivement une erreur dans la récupération d'un "paquet" mais qu'après il (BitTorrent) l'a redemandé et il a été finalement renvoyé sans problème, ce qui ferait que le fichier téléchargé au final serait complet mais qu'il y aurait tout de même une trace dans le log de cet accroc en cours de téléchargement ?

Merci.
Cordialement.

[laster13]

Bonjour

Sans pour autant expliquer quoi que ce soit, voila ce que je testerai pour tes messages de checksum..

Essaye de changer les dossiers de config..

-Répertoire de téléchargement
-Répertoire de configuration
-Dossier incomplet

Mettre le masque utilisateur a 0000 cela correspond a une autorisation 777
Jouer éventuellement avec la commande chmod -R 777 /chemin/du/dossier

Je fonctionne souvent de maniere empirique et souvent je teste l improbable mais c est ce qui me permet d avancer

[velivole18]

Bonsoir,
La nuit dernière, le problème est ré-apparut
Comme j'ai une ligne internet de m.... et que j'ai un fort taux de collision sur la ligne, je me demande si cela ne vient pas de là.
Et donc VPN ou Nas4Free n'y serait pour rien peut-être.
Les techniciens posent la fibre optique en ce moment dans ma rue et elle devrait être opérationnelle en fin d'année normalement.
Voici en sens inverse la trace dans le log :

Code: Select all

Apr 11 01:21:54 	nas4free 	openvpn[2892]: RESOLVE: Cannot resolve host address: nl.mullvad.net: hostname nor servname provided, or not known
Apr 11 01:21:53 	nas4free 	kernel: Limiting closed port RST response from 309 to 300 packets/sec
Apr 11 01:21:53 	nas4free 	kernel: Limiting icmp unreach response from 320 to 300 packets/sec
Apr 11 01:21:49 	nas4free 	openvpn[2892]: Socket Buffers: R=[65536->65536] S=[57344->65536]
Apr 11 01:21:49 	nas4free 	openvpn[2892]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Apr 11 01:21:47 	nas4free 	openvpn[2892]: Restart pause, 2 second(s)
Apr 11 01:21:47 	nas4free 	openvpn[2892]: SIGUSR1[soft,ping-restart] received, process restarting
Apr 11 01:21:47 	nas4free 	openvpn[2892]: [nl8.mullvad.net] Inactivity timeout (--ping-restart), restarting

Les lignes 2 et 3 peuvent-elles donner raison à mon analyse ?
Auxquels cas ceci expliquerait pourquoi parfois cela fonctionne et parfois pas.
Aussi, ce n'est jamais vraiment à la même heure, mais toujours la nuit aux alentours entre 1h. et 3h. du matin.
Un spécialiste réseau dans le coin ?

Pour laster13, plutôt que de te faire perdre ton temps, peut-être puis-je essayer avec "VPNTunnel" à la fin du mois de mon inscription sur Mullvad ? Qu'en penses-tu ?
Ton fichier de conf pour VPNTunnel est toujours valable ?

Cordialement

[laster13]

Bonjour

Ce site explique la mise en place d openvpn sur nas4free Full install et non embedded ce qui ne veut pas dire que cela ne fonctionne pas sur version embedded.. On remarque tout de même quelques nuances ds le tuto notamment tout ce qui concerne la 1ere partie de ce que je t ai donné qui n y figure pas. De meme que les commande de demarrage ds le postinit qui n y sont pas non plus.... jette un oeil!!

Code: Select all

mount_unionfs -o w /mnt/pool1/extensions/usr/ /usr/
umount -f /var
mount_unionfs -o w /mnt/pool1/extensions/var/ /var/

http://geekfreely.blogspot.fr/2014/03/o ... 4free.html

Par contre son fichier de configuration est différent de celui que je t ai proposé, peu être cela vaut il le coup d essayer!

Code: Select all

client
dev tun
proto udp
remote se.mullvad.net 1194    <-------------------j ai ecrit de memoire .. a verifier
resolv-retry infinite
nobind
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
persist-key
persist-tun
ca openvpn.crt <---------------- a adapter
auth-user-pass
comp-lzo
verb 3

adapte ce script avec tes clés!

Si tu utilises vpntunel il propose un script de démarrage l identifiant et mot de passe

Concernant mon fichier de configuration, il est adapté au tuto que j ai suivi pour raspberry et non nas4free. Mais celui du dessus.. je pense que oui.

Pour infos je te donne le lien de ce que j ai mis en place pour mes torrents avec transmission, openvpn et vpntunnel installés sur une carte raspberry. Par contre seul mon traffic torrent ezst ds le vpn. Je sais pas si c est vraiment adapté a ce que tu veux mais en tout cas pour moi cela fonctionne sans aucune anicroche depuis 2 mois. Les dossiers de téléchargement sont liés a nas4free avec le service "nfs"...

https://tech.kanka.ch/index.php/faire-t ... ur-debian/

Cela pourrait egalement regler tes problemes de mail!

Si tu veux plus d infos a ce sujet n hésite pas!

[velivole18]

Bonsoir,
Après des recherches sur le net, j'ai trouvé mille sites qui parlent de la perte de la clé chaque heure.
Comme par ex. ces pages ci-dessous :

https://airvpn.org/topic/4383-tls-tls-p ... iring-key/
http://openvpn.net/archive/openvpn-user ... 00104.html

J'ai donc mis le paramètre --reneg-sec 0 et j'ai relancé le serveur.

A priori, le problème que je rencontre est récurrent, même pour des VPN privés sur des serveurs et clients installés localement de toute pièce.
Sur tous les sites la réponse est de changer le paramètre --reneg-sec en le passant à 0 du côté client ou en l'annulant des 2 côtés, serveur et client.
Envoyer le paramètre au serveur doit se faire avec une commande "push" mais je n'ai pas trouvé encore exactement comment.

Donc changer de service VPN n'apportera pas forcément la réponse.
Je vais laisser tourner quelques nuits et je vous dirai ce que cela donne.
(J'ai supprimé et recréé mes répertoires de téléchargement aussi pour repartir plus propre sur ce point là comme tu me l'as conseillé, laster13).

Merci.
Cordialement.

[velivole18]

Bonsoir,

Juste pour donner quelques nouvelles sur l'état de santé de mon Nas4Free avec OpenVPN.
Depuis mon dernier post, pas d'arrêt du service et pas de perte d'accès au DNS.
La clé est renégociée chaque heure, mais pour l'instant, ça tient.

Donc toujours en période d'observation.
Je pense que je poursuivrai le test avec un autre fournisseur openvpn le mois prochain pour voir.

Cordialement.

Merci BEAUCOUP à laster13 !

[velivole18]

Bonjour,

L'option "reneg-sec 0" dans le fichier de configuration n'a pas l'air de fonctionner.
J'ai tout de même encore quelques pertes de validité de clé et d'accès à dns.
En fait je ne suis pas sûr que cette option se mette bien dans le fichier de configuration ...
Je relance alors mon serveur et tout repart.
Ce problème arrive tous les 2 ou 3 jours, mais moins souvent avec le serveur au Pays-Bas (nl.mullvad.net).
Le mois prochain je ferai le test avec VPNTunnel et nous verrons si le problème persiste.
Cordialement.

[laster13]

Bonsoir

Volia les logs que j ai depuis hier soir avec mullvad... Si ca peut aider..Je laisse tourner encore quelques jours

log mullvad.PNG

log1.PNG

C'e sont les mêmes log qui tourne en boucle!

version embedded NAS4Free 9.2.0.1 (943)

[velivole18]

Bonsoir,

Oui, je retrouve bien la même chose que mes logs lorsque tout se passe bien.
Sauf que une fois tous les 2 à trois jours (enfin nuits) j'ai au moment de la phase de recherche de validité de la clé ceci :

Code: Select all

Apr 11 01:21:54 	nas4free 	openvpn[2892]: RESOLVE: Cannot resolve host address: nl.mullvad.net: hostname nor servname provided, or not known
Apr 11 01:21:53 	nas4free 	kernel: Limiting closed port RST response from 309 to 300 packets/sec
Apr 11 01:21:53 	nas4free 	kernel: Limiting icmp unreach response from 320 to 300 packets/sec
Apr 11 01:21:49 	nas4free 	openvpn[2892]: Socket Buffers: R=[65536->65536] S=[57344->65536]
Apr 11 01:21:49 	nas4free 	openvpn[2892]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Apr 11 01:21:47 	nas4free 	openvpn[2892]: Restart pause, 2 second(s)
Apr 11 01:21:47 	nas4free 	openvpn[2892]: SIGUSR1[soft,ping-restart] received, process restarting
Apr 11 01:21:47 	nas4free 	openvpn[2892]: [nl8.mullvad.net] Inactivity timeout (--ping-restart), restarting

Attendons de voir si pour laster13 le même phénomène peut se produire.
Merci.

[laster13]

Bonjour

Extrait d un forum ubuntu

http://forum.ubuntu-fr.org/viewtopic.php?id=190141

Il semblerait que le fichier "/etc/hosts puisse être la cause de tes soucis.. à tester

Pour ceux qui ont le problème "sudo: unable to resolve host xxxxx" la manip est assez simple. En effet il s'agit de faire ce qui à déjà été dit à savoir éditer le fichier "/etc/hosts" et d'ajouter/modifier la ligne en dessous de "127.0.0.1 localhost" et de mettre "127.0.0.1 votreNomDeMachine". Le problème étant que pour éditer ce fichier il faut être root et que la commande sudo ne marche pas hmm. J'ai trouvé une solution qui évite d'utiliser un live cd pour modifier vos fichiers. Il faut faire alt+F2, tapez "gksudo gedit" et coché la case "lancer dans un terminal". Pour moi ça a été ok et maintenant tout fonctionne

Voila le mien

Code: Select all

::1 localhost localhost.local
127.0.0.1 localhost localhost.local
192.168.0.34 nas4free.local nas4free

[velivole18]

Bonsoir,

Cher laster13, mon fichier "/etc/hosts" est déjà comme le tien (à part l'adresse ne mon NAS, mais ça ne change rien).
Donc ce n'est pas cela.

Par contre, hier soir (enfin cette nuit ...) j'ai découvert :
1 - que ma freebox peut perdre la ligne toute seule comme une grande au milieu de la nuit (et elle met assez longtemps à se reconnecter ...), il y a des travaux de pose de fibres optiques dans les rues de ma ville en ce moment ... Ils étaient dans ma rue il y a 15 jours encore. Je vais donc surveiller le log de ma freebox et voir si les dysfonctionnement de mon NAS ne coincident pas avec des down de ma ligne.
2 - que la freebox révolution propose maintenant de faire serveur VPN entre les postes clients du foyer et elle-même et en plus de faire client VPN pour son service de téléchargement.

Ni une, ni deux, pour le test et pour mon problème avec Mullvad, je paramètre le service client VPN de ma Freebox avec mes fichiers de certificats Mullvad.
La manip fonctionne et je peux faire des téléchargements torrents avec la Freebox au travers Mullvad.
Bon, ce n'est pas le but final, mais cela va me permettre de tester si j'ai le même problème.
Si sur une semaine, il n'y a aucune perte de clé et d'accès au DNS avec le service torrent de la Freebox, alors que c'est tooujours le cas avec mon NAS, cela veut dire que cela ne vient pas du fournisseur VPN, et donc de mon NAS. Dans le cas contraire, je changerai rapidement de fournisseur VPN.

Sinon, sans être sur le forum de la Freebox Révolution, je vous livre tout de même que le paramétrage du fichier openvpn.conf est un peu différent sur la FreeBox que celui de Nas4Free car il faut y intégrer directement dedans le texte des fichiers des clés et certificats entre balises <ca> et </ca> pour le fichier ca.crt, <cert> et </cert> pour le fichier .crt et <key> et </key> pour le fichier .key.

Bon, voilà, attendons quelques jours et voyons ce qui se passe.
Je peux faire quelques infidélités à mon NAS le temps du test en téléchargeant directement avec ma Freebox ...
Vous n'en parlerez à personne ?

Cordialement.

[laster13]

Bonjour

Résultat des tests

De lundi à vendredi tout à parfaitement fonctionné.. Aucun problème d'expiration de clés ni même de perte DNS.
Je poursuis encore quelques jours.

[ernie]

Hello

Velivole18 as tu pu résoudre ton problème ? Ou cela saute toujours ?

Je suis entrain de réfléchir et analyser les différentes possibilités pour mettre openvpn et choisir un serveur vpn.