[RESOLU] Problème après l'install OpenVPN.

[himeroos]

Bonjour, je me permet de venir vers vous pour plusieurs questions au sujet de l'installation d'un VPN, ou plutôt l'après.

Je précise tout de même que j'ai suivie ce tuto : Tutoriel

Première question : J'ai en effet créer deux lignes de commande qui n'ont pas l'ai de fonctionner, comment puis-je faire :



Sauf que ça ne fonctionne pas, en effet lors d'un reboot je vois bien les lignes dans le logs mais ça n'as pas fonctionner, je dois relancer les commandes en SSH. Je soupçonne qu'il lance les commandes avant le montage du disque et donc ça n'aboutie pas.

Deuxième question : J'ai voulue créer des règles dans le pare-feu pour que le NAS reffuse toutes connections venant d'ailleurs que le VPN, mais à l'activation de celui-ci le VPN ne veut plus se connecter, Comment puis-je faire?

Voici le log de la connections sans pare-feu :

Code: Select all

Dec 13 19:34:36	serveurnas	sudo: admin : TTY=pts/0 ; PWD=/mnt ; USER=root ; COMMAND=/usr/local/etc/openvpn/autosignon
Dec 13 19:34:36	serveurnas	openvpn[2605]: OpenVPN 2.3.12 amd64-portbld-freebsd11.0 [SSL (OpenSSL)] [LZO] [MH] [IPv6] built on Nov 3 2016
Dec 13 19:34:36	serveurnas	openvpn[2605]: library versions: OpenSSL 1.0.2j-freebsd 26 Sep 2016, LZO 2.09
Dec 13 19:34:36	serveurnas	openvpn[2606]: Socket Buffers: R=[131072->131072] S=[131072->131072]
Dec 13 19:34:36	serveurnas	openvpn[2606]: Attempting to establish TCP connection with [AF_INET]62.113.202.130:443 [nonblock]
Dec 13 19:34:37	serveurnas	openvpn[2606]: TCP connection established with [AF_INET]62.113.202.130:443
Dec 13 19:34:37	serveurnas	openvpn[2606]: TCPv4_CLIENT link local: [undef]
Dec 13 19:34:37	serveurnas	openvpn[2606]: TCPv4_CLIENT link remote: [AF_INET]62.113.202.130:443
Dec 13 19:34:37	serveurnas	openvpn[2606]: TLS: Initial packet from [AF_INET]62.113.202.130:443, sid=163217b2 955c936b
Dec 13 19:34:37	serveurnas	openvpn[2606]: WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Dec 13 19:34:38	serveurnas	openvpn[2606]: VERIFY OK: depth=1, C=UK, ST=London, L=London, O=Privax Ltd, OU=HMA Pro VPN, CN=hidemyass.com, emailAddress=info@privax.com
Dec 13 19:34:38	serveurnas	openvpn[2606]: VERIFY OK: nsCertType=SERVER
Dec 13 19:34:38	serveurnas	openvpn[2606]: VERIFY OK: depth=0, C=UK, ST=London, L=London, O=Privax Ltd, OU=HMA Pro VPN, CN=server, emailAddress=info@privax.com
Dec 13 19:34:39	serveurnas	openvpn[2606]: Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Dec 13 19:34:39	serveurnas	openvpn[2606]: Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Dec 13 19:34:39	serveurnas	openvpn[2606]: Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Dec 13 19:34:39	serveurnas	openvpn[2606]: Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Dec 13 19:34:39	serveurnas	openvpn[2606]: Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Dec 13 19:34:39	serveurnas	openvpn[2606]: [server] Peer Connection Initiated with [AF_INET]62.113.202.130:443
Dec 13 19:34:41	serveurnas	openvpn[2606]: SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Dec 13 19:34:41	serveurnas	openvpn[2606]: PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 10.200.192.1,ping 9,ping-restart 30,route-gateway 10.200.192.1,topology subnet,redirect-gateway def1,ifconfig-ipv6 2001:db8:123::2/64 2001:db8:123::1,route-ipv6 2000::/3 2001:db8:123::1,explicit-exit-notify 2,ifconfig 10.200.192.68 255.255.255.0'
Dec 13 19:34:41	serveurnas	openvpn[2606]: OPTIONS IMPORT: timers and/or timeouts modified
Dec 13 19:34:41	serveurnas	openvpn[2606]: OPTIONS IMPORT: --explicit-exit-notify can only be used with --proto udp
Dec 13 19:34:41	serveurnas	openvpn[2606]: OPTIONS IMPORT: --ifconfig/up options modified
Dec 13 19:34:41	serveurnas	openvpn[2606]: OPTIONS IMPORT: route options modified
Dec 13 19:34:41	serveurnas	openvpn[2606]: OPTIONS IMPORT: route-related options modified
Dec 13 19:34:41	serveurnas	openvpn[2606]: OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Dec 13 19:34:41	serveurnas	openvpn[2606]: ROUTE_GATEWAY 192.168.1.254
Dec 13 19:34:41	serveurnas	openvpn[2606]: ROUTE6: default_gateway=UNDEF
Dec 13 19:34:41	serveurnas	kernel: tun0: link state changed to UP
Dec 13 19:34:41	serveurnas	openvpn[2606]: TUN/TAP device /dev/tun0 opened
Dec 13 19:34:41	serveurnas	openvpn[2606]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=1
Dec 13 19:34:41	serveurnas	openvpn[2606]: /sbin/ifconfig tun0 10.200.192.68 10.200.192.1 mtu 1500 netmask 255.255.255.0 up
Dec 13 19:34:41	serveurnas	openvpn[2606]: /sbin/route add -net 10.200.192.0 10.200.192.68 255.255.255.0
Dec 13 19:34:41	serveurnas	openvpn[2606]: /sbin/route add -net 62.113.202.130 192.168.1.254 255.255.255.255
Dec 13 19:34:41	serveurnas	openvpn[2606]: /sbin/route add -net 0.0.0.0 10.200.192.1 128.0.0.0
Dec 13 19:34:41	serveurnas	openvpn[2606]: /sbin/route add -net 128.0.0.0 10.200.192.1 128.0.0.0
Dec 13 19:34:41	serveurnas	openvpn[2606]: add_route_ipv6(): not adding 2000::/3, no IPv6 on if tun0
Dec 13 19:34:41	serveurnas	openvpn[2606]: Initialization Sequence Completed

Voici la configuration du Pare-feu :



Voici les logs quand j'essaie de lancer le VPN :

Code: Select all

Dec 13 19:36:38	serveurnas	sudo: admin : TTY=pts/0 ; PWD=/mnt ; USER=root ; COMMAND=/usr/local/etc/openvpn/autosignon
Dec 13 19:36:38	serveurnas	openvpn[2738]: OpenVPN 2.3.12 amd64-portbld-freebsd11.0 [SSL (OpenSSL)] [LZO] [MH] [IPv6] built on Nov 3 2016
Dec 13 19:36:38	serveurnas	openvpn[2738]: library versions: OpenSSL 1.0.2j-freebsd 26 Sep 2016, LZO 2.09
Dec 13 19:36:38	serveurnas	openvpn[2739]: Socket Buffers: R=[131072->131072] S=[131072->131072]
Dec 13 19:36:38	serveurnas	openvpn[2739]: Attempting to establish TCP connection with [AF_INET]62.113.202.130:443 [nonblock]
Dec 13 19:36:38	serveurnas	openvpn[2739]: TCP: connect to [AF_INET]62.113.202.130:443 failed, will try again in 5 seconds: Permission denied

En résumer : Pouvez-vous m'aider pour que les deux commandes fonctionnes au boot, et pouvez-vous m'aider à comprendre pourquoi le VPN se fait bloquer par le pare-feu alors que j'ai ajouter les exceptions pour celui-ci.

Merci à tous, Bonne journée.

Ps : désolé pour la taille des images et des logs, si je met plus petit on ne voit plus.

[mtiburs]

Bonsoir,

Je me permets de répondre à ce post, non pas pour donner une solution, car je n'y connais rien en VPN, mais, peut-être que je peux apporter un grain de sel sur le lancement d'une ligne de commande:

1) on peut ... (méthode "bourrin" ... mettre un sleep x (x=valeur en secondes) devant la ligne de commande pour forcer l'axécution après un "certain" temps.

2) on peut aussi lancer un script au lieu d'une ligne de commande, l'avantage c'est que le script peut faire des tests (par exemple: attendre 10 secondes, puis tourner au moins pendant x secondes dans une boucle, et, pendant cette boucle, tester si la fameuse ligne de commande peut être lancée, et la lancer)

Voilà, je laisse la main à d'autres plus compétent que moins sur le VPN.

[himeroos]

Bonsoir, merci de ta réponse, j'ai pas pensé au sleep pour voir si il faisait bien la commande après le montage du disque, et je confirme il le fait bien. j'ai même pue apercevoir le message d'erreur.

Donc voilà quand je lance la commande suivante :

Code: Select all

mount_unionfs -o w /mnt/Disque\ Donnees/extensions/usr/ /usr/

il me répond cette erreur :

Code: Select all

usage: mount_unionfs [−o options] directory uniondir

Ce que je trouve drôle parce que j'ai bien l'impression que c'est la bonne utilisation . Et donc je me demande si c'est pas le nom du disque qui foire la commande?

[mtiburs]

Bonjour,

C'est le chemin que je trouve bizarre:
/mnt/Disque\ Donnees/extensions/usr/

Pour moi le \ permet "d'échapper" l'espace qui est devant le D de Donnees, auquel cas, je trouve un peu bizarre de mettre un espace devant Donnees

... c'est voulu comme çà ... oû c'est normal ?

[sleid]

Bonjour,

"Deuxième question : J'ai voulue créer des règles dans le pare-feu pour que le NAS refuse toutes connections venant d'ailleurs que le VPN, mais à l'activation de celui-ci le VPN ne veut plus se connecter, Comment puis-je faire?"

Dans les règles de votre parefeu, vous n'autorisez pas la connexion vers 62.113.202.0/24 port 443, votre règle est en in et non en out.
Vous n'avez pas besoin de règles DHCP alors qu'en premier vous autorisez tout le trafic local.

[himeroos]

Bonjour,

C'est le chemin que je trouve bizarre:
/mnt/Disque\ Donnees/extensions/usr/

Pour moi le \ permet "d'échapper" l'espace qui est devant le D de Donnees, auquel cas, je trouve un peu bizarre de mettre un espace devant Donnees

... c'est voulu comme çà ... oû c'est normal ?

Bonjour, non non le devant Donnees, permet belle est bien de dire à linux que l'espace qui suit fait bien partie du même chemin car sinon il intèrpréterait 3 chemins dans la ligne :

- /mnt/Disque
- Donnees/extensions/usr/
-/usr/

Après je peux essayer un truc du genre

Code: Select all

mount_unionfs -o w "/mnt/Disque Donnees/extensions/usr/" /usr/

Je vais essayer ce soir et je vous tiendrais au courant.

Dans les règles de votre parefeu, vous n'autorisez pas la connexion vers 62.113.202.0/24 port 443, votre règle est en in et non en out.
Vous n'avez pas besoin de règles DHCP alors qu'en premier vous autorisez tout le trafic local.

Malheureusement, j'ai bien autorisé la connexion vers 62.113.202.0/24 sur tout les ports en Out et In, 8ème et 9ème ligne.

[sleid]

Non, les in et out sont inversés

[himeroos]

Bonjour,

C'est le chemin que je trouve bizarre:
/mnt/Disque\ Donnees/extensions/usr/

Pour moi le \ permet "d'échapper" l'espace qui est devant le D de Donnees, auquel cas, je trouve un peu bizarre de mettre un espace devant Donnees

... c'est voulu comme çà ... oû c'est normal ?

Bonjour, non non le devant Donnees, permet belle est bien de dire à linux que l'espace qui suit fait bien partie du même chemin car sinon il intèrpréterait 3 chemins dans la ligne :

- /mnt/Disque
- Donnees/extensions/usr/
-/usr/

Après je peux essayer un truc du genre

Code: Select all

mount_unionfs -o w "/mnt/Disque Donnees/extensions/usr/" /usr/

Je vais essayer ce soir et je vous tiendrais au courant.

Je viens d'essayer et c'est ok pour le soucis de la ligne de commande, en effet il n'aimait pas la manière de présenter la commande. Donc merci à toi mtiburs.

Non, les in et out sont inversés

En effet j'avais bien tout inversé, le VPN arrive à se connecter, Merci à toi sleid. Mais voilà maintenant je n'ai toujours pas internet en ne passant que par le VPN voici quelques captures pour vous aidez :







En regardant un peu lorsque je déconnecte puis reconnecte le VPN ce qui est entouré de rouge change dans l'adresse IP. pouvez - vous m'aider?

Traceroute sans le VPN


Traceroute avec le VPN

[sleid]

Essayez avec 10.200.194.0/21 cela ouvre de 10.200.192.0 à 10.200.199.255

[himeroos]

Bonjour,

Je viens de tester ça ne fonctionne pas, le ping est toujours rejeter (la connexion à transmission aussi)

[sleid]

Cela fonctionne sans parefeu ?

[himeroos]

Oui, cela fonctionne sans soucis, j'ai même tester avec un trackeur qui donne l'adresse IP, au cas où et il voit bien l'adresse du VPN.

[sleid]

Il faut reprendre au début la conf du parefeu en tenant compte des règles insérées par défaut par Nas4Free.

[himeroos]

Oula, vous pouvez m'aider? a vrai dire je suis assez novice

Edit : Déjà je n'arrive pas à revenir au paramètre par défault

[sleid]

Voici les lignes qui sont insérées dans votre cas automatiquement.
Elles servent à autoriser par défaut le trafic local et pour ne pas bloquer l'accès au nas lors de l'activation du parefeu, la ligne 65535 autorise tout.
Il va sans dire qu'il faudra insérer une ligne
65534 deny ip from any to any après avoir créé une règle autorisant explicitement la connexion au nas en HTTPS.

00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from any to ::1
00500 deny ip from ::1 to any
00600 allow ipv6-icmp from :: to ff02::/16
00700 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 allow ipv6-icmp from any to any ip6 icmp6types 1
01000 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
01100 allow ip from 192.168.1.0/24 to 255.255.255.255
01200 allow ip from me to 192.168.1.0/24
01300 allow ip from 192.168.1.0/24 to me
01400 allow tcp from any to any established
01500 allow ip from any to any frag
01600 allow tcp from me to any setup
01700 allow udp from me to any dst-port 53 keep-state
01800 allow udp from me to any dst-port 123 keep-state
65535 allow ip from any to any

[himeroos]

Je dois donc enlever toutes mes régles actuelle et ajouter celle que vous m'avez donner

[sleid]

Non elles sont par défaut mais non visibles de la configuration.
Sauvez vos règles, puis enlevez les.
Ensuite créez une règle 2000 d'accès a votre interface web port 80 ou 443
Une règle 65534 deny ip from any to any
Puis une règle (entre 2001 et 65533)permettant d’accéder à votre fournisseur vpn (à adapter jusqu'à ce que le ping fonctionne)
Normalement si vous ouvrez tous les ports pour tous les protocoles en bidirectionnel entre votre ip et celle de votre fournisseur cela doit fonctionner, quitte à restreindre ensuite.

[himeroos]

Comme ceci?

[sleid]

Ok à tester

[himeroos]

Ok donc j'ai tester, le VPN se connecte bien, j'arrive à ping le serveur du VPN mais :

-Je n'arrive pas à transférer via transmission
- Je n'arrive pas à ping http://www.google.com

Donc il doit manquer une règle ou deux, mais quelles peuvent-elle être?

[sleid]

Et avec un /21 ?
Après je ne vois pas.

[himeroos]

Alors voilà j'ai réussi à trouver.

c'était tellement évident je n'y ai pas pensé de suite.

Il suffisait juste de rajouter ma carte réseau de VPN en exception :



De cette façon la carte VPN est autorisé à envoyer et recevoir des paquets.

Tout de même merci à toi pour m'avoir bien aider je passe la discussion en Résolu.