[openvpn] problème de gateway

Spheerys · Message par **Spheerys** » mar. 17 janv. 2012, 12:57

Je galère depuis 3h en fouillant de forum en forum pour refaire marcher ma connexion VPN.

Avant d'être sous Arch, cette même connexion VPN fonctionnait parfaitement sous Mint et Gnome2

Je n'ai pas touché à la config du serveur, et je me suis évertué à modifier mon fichier client.conf comme ceci :

Code : Tout sélectionner

client

dev tap0
proto udp
remote xxx.xxx.xxx.xxx 1194
resolv-retry infinite
nobind
;user nobody
;group nogroup
persist-key
persist-tun

# FICHIERS
ca   /home/hedy/Systeme/OpenVPN/ca.crt
cert /home/hedy/Systeme/OpenVPN/hedy.crt
key  /home/hedy/Systeme/OpenVPN/hedy.key

# tout le trafic passera par le VPN
redirect-gateway

script-security 2 execve
#up   /etc/openvpn/update-resolv-conf
#down /etc/openvpn/update-resolv-conf

ns-cert-type server
;tls-auth ta.key 1
comp-lzo
# Set log file verbosity.
verb 3

# Silence repeating messages
;mute 20

Et le code de sortie "sudo openvpn /home/hedy/Systeme/OpenVPN/client.ovpn"

Code : Tout sélectionner

Tue Jan 17 12:53:13 2012 OpenVPN 2.2.2 x86_64-unknown-linux-gnu [SSL] [LZO2] [EPOLL] [eurephia] built on Jan  3 2012
Tue Jan 17 12:53:13 2012 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Tue Jan 17 12:53:13 2012 WARNING: file '/home/hedy/Systeme/OpenVPN/hedy.key' is group or others accessible
Tue Jan 17 12:53:13 2012 LZO compression initialized
Tue Jan 17 12:53:13 2012 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Jan 17 12:53:13 2012 Socket Buffers: R=[229376->131072] S=[229376->131072]
Tue Jan 17 12:53:13 2012 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Tue Jan 17 12:53:13 2012 Local Options hash (VER=V4): 'd79ca330'
Tue Jan 17 12:53:13 2012 Expected Remote Options hash (VER=V4): 'f7df56b8'
Tue Jan 17 12:53:13 2012 UDPv4 link local: [undef]
Tue Jan 17 12:53:13 2012 UDPv4 link remote: xxx.xxx.xxx.xxx:1194
Tue Jan 17 12:53:14 2012 TLS: Initial packet from xxx.xxx.xxx.xxx:1194, sid=24a0fb6e 37db274e
Tue Jan 17 12:53:14 2012 VERIFY OK: depth=1, /C=CA/ST=QB/L=Montreal/O=Albator_crew/CN=Albator_crew_CA/emailAddress=openvpn@myserveur
Tue Jan 17 12:53:14 2012 VERIFY OK: nsCertType=SERVER
Tue Jan 17 12:53:14 2012 VERIFY OK: depth=0, /C=CA/ST=QB/L=Montreal/O=Albator_crew/CN=myserveur/emailAddress=openvpn@myserveur
Tue Jan 17 12:53:16 2012 WARNING: 'dev-type' is used inconsistently, local='dev-type tap', remote='dev-type tun'
Tue Jan 17 12:53:16 2012 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1574', remote='link-mtu 1542'
Tue Jan 17 12:53:16 2012 WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1532', remote='tun-mtu 1500'
Tue Jan 17 12:53:16 2012 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Jan 17 12:53:16 2012 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jan 17 12:53:16 2012 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Jan 17 12:53:16 2012 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jan 17 12:53:16 2012 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue Jan 17 12:53:16 2012 [myserveur] Peer Connection Initiated with xxx.xxx.xxx.xxx:1194
Tue Jan 17 12:53:18 2012 SENT CONTROL [myserveur]: 'PUSH_REQUEST' (status=1)
Tue Jan 17 12:53:18 2012 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 10.8.0.1,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.26 10.8.0.25'
Tue Jan 17 12:53:18 2012 OPTIONS IMPORT: timers and/or timeouts modified
Tue Jan 17 12:53:18 2012 OPTIONS IMPORT: --ifconfig/up options modified
Tue Jan 17 12:53:18 2012 OPTIONS IMPORT: route options modified
Tue Jan 17 12:53:18 2012 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Tue Jan 17 12:53:18 2012 WARNING: Since you are using --dev tap, the second argument to --ifconfig must be a netmask, for example something like 255.255.255.0. (silence this warning with --ifconfig-nowarn)
Tue Jan 17 12:53:18 2012 ROUTE default_gateway=192.168.0.254
Tue Jan 17 12:53:18 2012 OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options
Tue Jan 17 12:53:18 2012 OpenVPN ROUTE: failed to parse/resolve route for host/network: 10.8.0.1
Tue Jan 17 12:53:18 2012 TUN/TAP device tap0 opened
Tue Jan 17 12:53:18 2012 TUN/TAP TX queue length set to 100
Tue Jan 17 12:53:18 2012 /usr/sbin/ip link set dev tap0 up mtu 1500
Tue Jan 17 12:53:18 2012 /usr/sbin/ip addr add dev tap0 10.8.0.26/6 broadcast 255.255.255.254
Tue Jan 17 12:53:18 2012 NOTE: unable to redirect default gateway -- VPN gateway parameter (--route-gateway or --ifconfig) is missing
Tue Jan 17 12:53:18 2012 Initialization Sequence Completed

Donc je parviens bien à me connecter, mais mon IP publique n'a pas changée : sur http://www.ping.eu, c'est tjrs mon IP perso qui s'affiche, et pas celle de mon serveur VPN
En fait, l'objectif est que tout le trafic (http, jabber...) passe par ce VPN

Sous Mint et Gnome2, ça fonctionnait comme ça en tout cas.

cdemoulins · Message par **cdemoulins** » mar. 17 janv. 2012, 21:16

Dans mon cas, j'utilise «redirect-gateway def1 bypass-dhcp» sans souci pour la même utilisation que toi.

Éventuellement, le résultat de la commande «ip route» après avoir initialisé le vpn pourrais donner des indications.

Spheerys · Message par **Spheerys** » ven. 27 janv. 2012, 23:46

Merci pour ta réponse cdemoulins

J'ai modifié la ligne redirect gateway comme suggéré, mais j'ai l'erreur suivante maintenant :

Code : Tout sélectionner

Fri Jan 27 23:40:07 2012 [serveur] Peer Connection Initiated with 172.x.x.x:1194
Fri Jan 27 23:40:09 2012 SENT CONTROL [serveur]: 'PUSH_REQUEST' (status=1)
Fri Jan 27 23:40:09 2012 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 10.8.0.1,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.26 10.8.0.25'
Fri Jan 27 23:40:09 2012 OPTIONS IMPORT: timers and/or timeouts modified
Fri Jan 27 23:40:09 2012 OPTIONS IMPORT: --ifconfig/up options modified
Fri Jan 27 23:40:09 2012 OPTIONS IMPORT: route options modified
Fri Jan 27 23:40:09 2012 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Fri Jan 27 23:40:09 2012 WARNING: Since you are using --dev tap, the second argument to --ifconfig must be a netmask, for example something like 255.255.255.0. (silence this warning with --ifconfig-nowarn)
Fri Jan 27 23:40:09 2012 ROUTE default_gateway=192.168.0.254
Fri Jan 27 23:40:09 2012 OpenVPN ROUTE: OpenVPN needs a gateway parameter for a --route option and no default was specified by either --route-gateway or --ifconfig options
Fri Jan 27 23:40:09 2012 OpenVPN ROUTE: failed to parse/resolve route for host/network: 10.8.0.1
Fri Jan 27 23:40:09 2012 TUN/TAP device tap0 opened
Fri Jan 27 23:40:09 2012 TUN/TAP TX queue length set to 100
Fri Jan 27 23:40:09 2012 /usr/sbin/ip link set dev tap0 up mtu 1500
Fri Jan 27 23:40:09 2012 /usr/sbin/ip addr add dev tap0 10.8.0.26/6 broadcast 255.255.255.254
Fri Jan 27 23:40:09 2012 NOTE: unable to redirect default gateway -- VPN gateway parameter (--route-gateway or --ifconfig) is missing
Fri Jan 27 23:40:09 2012 Initialization Sequence Completed

Un ip route donne ceci :

Code : Tout sélectionner

$ ip route
default via 192.168.0.254 dev eth0  proto static 
8.0.0.0/6 dev tap0  proto kernel  scope link  src 10.8.0.26 
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.3  metric 1

Mon IP publique est alors celle de mon FAI
Ca, c'est le résultat du lancement de la connexion VPN en ligne de commande avec "sudo openvpn /home/hedy/Systeme/OpenVPN/client.ovpn"

Maintenant, si j'essaie d'utiliser le gestionnaire de connexion de Gnome3 (à qui j'ai fait manger ce même fichier client.ovpn), il se connecte officiellement bien, mais rien ne sort : je n'ai plus accès au net (web, ping etc...)
Voici ce que donne un IP route :

Code : Tout sélectionner

$ ip route
default via 10.8.0.25 dev tun0  proto static 
10.8.0.1 via 10.8.0.25 dev tun0  proto static 
10.8.0.25 dev tun0  proto kernel  scope link  src 10.8.0.26 
172.x.x.x via 192.168.0.254 dev eth0  proto static 
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.3  metric 1

Vous voyez ce qui cloche vous ?

widapit · Message par **widapit** » sam. 28 janv. 2012, 14:31

Salut!

effectivement, on dirait bien que ce ne sont pas les memes paserelles qui sont spécifiées :

Code : Tout sélectionner

default via 10.8.0.25 dev tun0  proto static

&

Code : Tout sélectionner

default via 192.168.0.254 dev eth0  proto static

je ne connais pas gnome mais tu dois pouvoir le rectifier quelquepart...

Spheerys · Message par **Spheerys** » sam. 28 janv. 2012, 15:15

Après le truc, c'est que dans un cas comme d'un autre (console ou via le gestionnaire de connexion Gnome), ça ne fonctionne pas comme attendu.
Dans l'absolu, je compte utiliser le gestionnaire de connexion pour plus de facilité, mais dans l'immédiat, j'aimerai surtout faire marcher cette connexion VPN comme je le faisais avant sous Linux Mint 11.

mélodie · Message par **mélodie** » sam. 28 janv. 2012, 19:29

Salut,
Je ne connais pas openvpn, mais cela pourrait peut-être t'aider d'essayer des programmes en mode graphique pour le configurer. Tu trouveras une liste de paquets associés et leur description succinte en tapant "yaourt openvpn" dans la console (en simple utilisateur).

Par ailleurs, as-tu consulté le wiki archlinux.org ?

https://wiki.archlinux.org/index.php/OpenVPN

This article describes a basic installation and configuration of OpenVPN, suitable for private and small business use. (...)

Spheerys · Message par **Spheerys** » sam. 28 janv. 2012, 23:58

Salut mélodie des Pyrénées

J'ai essayé d'installer quelques outils graphiques avec yaourt, mais à chaque fois la compilation échoue...

Sinon j'ai évidemment épluché en long en large et en travers la page OpenVPN du wiki, mais là encore, sans trouver d'issue à mon pb...

mélodie · Message par **mélodie** » dim. 29 janv. 2012, 01:56

Salut, quels outils ? Quels messages d'erreurs quand la compilation échoue ?

cdemoulins · Message par **cdemoulins** » dim. 29 janv. 2012, 06:51

Est-ce que ça ne pourrait pas être un problème de compatibilité entre différentes versions d'openvpn.

Quel est la version d'openvpn côté serveur ? Et la version que tu utilisais sous linux Mint ?

Spheerys · Message par **Spheerys** » dim. 29 janv. 2012, 13:22

Mélodie : j'ai essayé d'installer gadmin-openvpn-client et gopenvpn-svn, qui me semblaient les deux packages susceptibles de m'aider dans ma tâche

Les erreurs étaient les suivantes :

Pour gadmin, le site qui héberge le package n'est plus valide :

Code : Tout sélectionner

==> Lancer la compilation de gadmin-openvpn-client ? [O/n]
==> ------------------------------------------------------
==> 
==> Construction et installation du paquet
==> Création du paquet gadmin-openvpn-client 0.1.2-1 (dim. janv. 29 13:20:11 CET 2012)
==> Vérification des dépendances pour l'exécution...
==> Vérification des dépendances pour la compilation...
==> Récupération des sources...
  -> Téléchargement de gadmin-openvpn-client-0.1.2.tar.gz...
--2012-01-29 13:20:11--  http://mange.dynalias.org/linux/gadmin-openvpn/client/gadmin-openvpn-client-0.1.2.tar.gz
Résolution de mange.dynalias.org... échec: Nom ou service inconnu.
wget : impossible de résoudre l'adresse de l'hôte «mange.dynalias.org»
==> ERREUR : Erreur lors du téléchargement de gadmin-openvpn-client-0.1.2.tar.gz
    Abandon...
==> ERREUR: Makepkg n'a pas pu construire gadmin-openvpn-client.
==> Relancer la compilation de gadmin-openvpn-client ? [o/N]
==> --------------------------------------------------------

Pour gopenvpn-svn, c'est différent :

Code : Tout sélectionner

mv -f .deps/gopenvpn.Tpo .deps/gopenvpn.Po
gcc -Wall -ansi -pedantic -pthread -I/usr/include/libglade-2.0 -I/usr/include/gtk-2.0 -I/usr/include/libxml2 -I/usr/lib/gtk-2.0/include -I/usr/include/atk-1.0 -I/usr/include/cairo -I/usr/include/gdk-pixbuf-2.0 -I/usr/include/pango-1.0 -I/usr/include/glib-2.0 -I/usr/lib/glib-2.0/include -I/usr/include/pixman-1 -I/usr/include/freetype2 -I/usr/include/libpng14   -I/usr/include/gnome-keyring-1 -I/usr/include/glib-2.0 -I/usr/lib/glib-2.0/include   -pthread -I/usr/include/gtk-2.0 -I/usr/lib/gtk-2.0/include -I/usr/include/atk-1.0 -I/usr/include/cairo -I/usr/include/gdk-pixbuf-2.0 -I/usr/include/pango-1.0 -I/usr/include/glib-2.0 -I/usr/lib/glib-2.0/include -I/usr/include/pixman-1 -I/usr/include/freetype2 -I/usr/include/libpng14   -DPIXMAPS_DIR=\""/usr/share/gopenvpn"\" -DSYSCONF_DIR=\""/usr/etc"\" -DLOCALSTATE_DIR=\""/usr/var"\" -DGNOMELOCALEDIR=\"/usr/share/locale\" -DGLADE_DIR=\""/usr/share/gopenvpn"\"  -march=x86-64 -mtune=generic -O2 -pipe -fstack-protector --param=ssp-buffer-size=4 -D_FORTIFY_SOURCE=2  -Wl,-O1,--sort-common,--as-needed,-z,relro,--hash-style=gnu -o gopenvpn gopenvpn.o eggtrayicon.o  -pthread -lgtk-x11-2.0 -lgdk-x11-2.0 -latk-1.0 -lgio-2.0 -lpangoft2-1.0 -lpangocairo-1.0 -lgdk_pixbuf-2.0 -lcairo -lpango-1.0 -lfreetype -lfontconfig -lgobject-2.0 -lgmodule-2.0 -lgthread-2.0 -lrt -lglib-2.0   -pthread -lglade-2.0 -lgtk-x11-2.0 -lxml2 -lgdk-x11-2.0 -latk-1.0 -lgio-2.0 -lpangoft2-1.0 -lpangocairo-1.0 -lgdk_pixbuf-2.0 -lcairo -lpango-1.0 -lfreetype -lfontconfig -lgobject-2.0 -lgmodule-2.0 -lgthread-2.0 -lrt -lglib-2.0   -lgnome-keyring -lglib-2.0    
/usr/bin/ld: eggtrayicon.o: undefined reference to symbol 'XFlush'
/usr/bin/ld: note: 'XFlush' is defined in DSO /usr/lib/libX11.so.6 so try adding it to the linker command line
/usr/lib/libX11.so.6: could not read symbols: Invalid operation
collect2: ld a retourné 1 code d'état d'exécution
make[2]: *** [gopenvpn] Erreur 1
make[2] : on quitte le répertoire « /tmp/yaourt-tmp-hedy/aur-gopenvpn-svn/src/gopenvpn-build/src »
make[1]: *** [all-recursive] Erreur 1
make[1] : on quitte le répertoire « /tmp/yaourt-tmp-hedy/aur-gopenvpn-svn/src/gopenvpn-build »
make: *** [all] Erreur 2
==> ERREUR : Une erreur s'est produite dans build().
    Abandon...
==> ERREUR: Makepkg n'a pas pu construire gopenvpn-svn.
==> Relancer la compilation de gopenvpn-svn ? [o/N]
==> -----------------------------------------------

cdemoulins : sur mon serveur Debian j'ai la version 2.1~rc11-1
Sur ma bécane Arch, j'ai la version 2.2.2-1

Cette différence de versions peut vraiment jouer un rôle dans mon problème ?

Arch Linux

Archlinux.fr [Forums]

[openvpn] problème de gateway

[openvpn] problème de gateway

Re: [openvpn] problème de gateway

Re: [openvpn] problème de gateway

Re: [openvpn] problème de gateway

Re: [openvpn] problème de gateway

Re: [openvpn] problème de gateway

Re: [openvpn] problème de gateway

Re: [openvpn] problème de gateway

Re: [openvpn] problème de gateway

Re: [openvpn] problème de gateway