[résolu][openvpn] erreur de connexion client

[vavalm]

Bonjour à tous,

je loue actuellement un serveur Kimsufi (KS1) sur lequel j'ai installé Archlinux.
Je m'en sers pour faire tourner plusieurs applications dont openvpn qui ne fonctionne malheureusement pas du côté client (connexion impossible).
J'ai passé des heures à modifier mes config, regarder des forums pour tenter de résoudre le problème mais rien n'y fait.
Pouvez vous m'aider svp ?

voici le log du côté client (j'ai mis le fichier sur mon cloud car il est un peu long) :
http://cloud.vavalm.ovh/index.php/s/1uHqlr0xOC5OhOX )
Je met quand même la fin du log qui peut être intéressante :

Code : Tout sélectionner

Tue Jun 09 16:42:57 2015 us=939776 MANAGEMENT: CMD 'proxy NONE  '
Tue Jun 09 16:42:58 2015 us=953633 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Tue Jun 09 16:42:59 2015 us=47933 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Tue Jun 09 16:42:59 2015 us=47933 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jun 09 16:42:59 2015 us=47933 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jun 09 16:42:59 2015 us=48933 LZO compression initialized
Tue Jun 09 16:42:59 2015 us=48933 Control Channel MTU parms [ L:1560 D:168 EF:68 EB:0 ET:0 EL:0 ]
Tue Jun 09 16:42:59 2015 us=48933 Socket Buffers: R=[65536->65536] S=[65536->65536]
Tue Jun 09 16:42:59 2015 us=48933 MANAGEMENT: >STATE:1433860979,RESOLVE,,,
Tue Jun 09 16:42:59 2015 us=50505 Data Channel MTU parms [ L:1560 D:1450 EF:60 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Jun 09 16:42:59 2015 us=50505 Local Options String: 'V4,dev-type tun,link-mtu 1560,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-client'
Tue Jun 09 16:42:59 2015 us=50505 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1560,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-server'
Tue Jun 09 16:42:59 2015 us=50505 Local Options hash (VER=V4): '2f2c6498'
Tue Jun 09 16:42:59 2015 us=50505 Expected Remote Options hash (VER=V4): '9915e4a2'
Tue Jun 09 16:42:59 2015 us=50505 Attempting to establish TCP connection with [AF_INET]37.59.58.92:443 [nonblock]
Tue Jun 09 16:42:59 2015 us=50505 MANAGEMENT: >STATE:1433860979,TCP_CONNECT,,,
Tue Jun 09 16:43:00 2015 us=50799 TCP connection established with [AF_INET]37.59.58.92:443
Tue Jun 09 16:43:00 2015 us=50799 TCPv4_CLIENT link local: [undef]
Tue Jun 09 16:43:00 2015 us=50799 TCPv4_CLIENT link remote: [AF_INET]37.59.58.92:443
Tue Jun 09 16:43:00 2015 us=50799 MANAGEMENT: >STATE:1433860980,WAIT,,,
Tue Jun 09 16:43:00 2015 us=97742 MANAGEMENT: >STATE:1433860980,AUTH,,,
Tue Jun 09 16:43:00 2015 us=97742 TLS: Initial packet from [AF_INET]37.59.58.92:443, sid=cfbf7526 49ae2870
Tue Jun 09 16:43:01 2015 us=208583 VERIFY OK: depth=1, C=FR, ST=59, L=Lille, O=Nord, OU=MyOrganizationalUnit, CN=Nord CA, name=EasyRSA, emailAddress=vavalm@live.fr
Tue Jun 09 16:43:01 2015 us=208583 VERIFY OK: depth=0, C=FR, ST=59, L=Lille, O=Nord, OU=MyOrganizationalUnit, CN=server, name=EasyRSA, emailAddress=vavalm@live.fr
Tue Jun 09 16:43:02 2015 us=84772 Connection reset, restarting [0]
Tue Jun 09 16:43:02 2015 us=84772 TCP/UDP: Closing socket
Tue Jun 09 16:43:02 2015 us=84772 SIGUSR1[soft,connection-reset] received, process restarting
Tue Jun 09 16:43:02 2015 us=84772 MANAGEMENT: >STATE:1433860982,RECONNECTING,connection-reset,,
Tue Jun 09 16:43:02 2015 us=84772 Restart pause, 5 second(s)
Tue Jun 09 16:43:03 2015 us=86371 SIGTERM[hard,init_instance] received, process exiting
Tue Jun 09 16:43:03 2015 us=86371 MANAGEMENT: >STATE:1433860983,EXITING,init_instance,,

Ma config du coté client :

Code : Tout sélectionner

;dev tap
dev tun
# Windows needs the TAP-Windows adapter name from the Network Connections panel if you have more than one.  On XP SP2, you may need to disable the firewall for the TAP adapter.
;dev-node MyTap
# Are we connecting to a TCP or UDP server?  Use the same setting as on the server.
proto tcp
;proto udp
# The hostname/IP and port of the server. You can have multiple remote entries to load balance between the servers.
remote vavalm.ovh 443
# Choose a random host from the remote list for load-balancing.  Otherwise try hosts in the order specified.
;remote-random
# Keep trying indefinitely to resolve the host name of the OpenVPN server.  Very useful on machines which are not permanently connected to the internet such as laptops.
resolv-retry infinite
# Most clients don't need to bind to a specific local port number.
nobind
# Downgrade privileges after initialization (non-Windows only)
;user nobody
;group nobody
# Try to preserve some state across restarts.
persist-key
persist-tun
# If you are connecting through an HTTP proxy to reach the actual OpenVPN server, put the proxy server/IP and
# port number here.  See the man page if your proxy server requires authentication.
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
# Wireless networks often produce a lot of duplicate packets.  Set this flag to silence duplicate packet warnings.
;mute-replay-warnings
# SSL/TLS parm
ca ca.crt
cert vavalm.crt
key vavalm.key
;ns-cert-type server
# If a tls-auth key is used on the server
# then every client must also have the key.
tls-auth ta.key 1
# Select a cryptographic cipher. If the cipher option is used on the server then you must also specify it here
cipher AES-256-CBC
# Enable compression on the VPN link
comp-lzo
# Set log file verbosity.
verb 4

ma config côté serveur :

Code : Tout sélectionner

proto tcp
port 443
dev tun

# Cles et certificats
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh2048.pem
tls-auth /etc/openvpn/ta.key 0

# Reseau
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

# Données et Securite
user nobody
group nobody #nogroup for debian nobody for archlinux
chroot /etc/openvpn/jail
persist-key
persist-tun

#cipher AES-256-CBC
cipher AES-256-CBC
#cipher DES-EDE3-CBC # Triple-DES
comp-lzo

#Log
verb 6
mute 20
status /var/log/openvpn-status.log
log-append /var/log/openvpn.log
log /var/log/openvpn.log

#autres
ifconfig-pool-persist ipp.txt
max-clients 10
ifconfig-pool-persist ipp.txt
max-clients 10

#client
client-to-client
keepalive 10 120

au niveau des log openvpn, ils sont... étonnement vides :

/var/log/openvpn-status.log

Code : Tout sélectionner

OpenVPN CLIENT LIST
Updated,Tue Jun  9 14:53:55 2015
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
GLOBAL STATS
Max bcast/mcast queue length,0
END

openvpn.log dans lequel se trouve des ip que je ne connais pas, des tentatives de connexion peut-être ?

Code : Tout sélectionner

Tue Jun  9 14:42:43 2015 us=276428 85.192.236.223:50813 NOTE: --mute triggered...
Tue Jun  9 14:42:44 2015 us=842319 85.192.236.223:50813 83 variation(s) on previous 20 message(s) suppressed by --mute
Tue Jun  9 14:42:44 2015 us=842480 85.192.236.223:50813 VERIFY ERROR: depth=0, error=unable to get local issuer certificate: C=FR, ST=59, L=Lille, O=Nord, OU=MyOrganizationalUnit, CN=vavalm, name=Valentin, emailAddress=vavalm@live.fr
Tue Jun  9 14:42:44 2015 us=842834 85.192.236.223:50813 TLS_ERROR: BIO read tls_read_plaintext error: error:14089086:SSL routines:ssl3_get_client_certificate:certificate verify failed
Tue Jun  9 14:42:44 2015 us=842917 85.192.236.223:50813 TLS Error: TLS object -> incoming plaintext read error
Tue Jun  9 14:42:44 2015 us=842990 85.192.236.223:50813 TLS Error: TLS handshake failed
Tue Jun  9 14:42:44 2015 us=843311 85.192.236.223:50813 Fatal TLS error (check_tls_errors_co), restarting
Tue Jun  9 14:42:44 2015 us=843464 85.192.236.223:50813 SIGUSR1[soft,tls-error] received, client-instance restarting
Tue Jun  9 14:42:44 2015 us=843679 TCP/UDP: Closing socket

Merci d'avance de votre aide.

Cordialement.

[vavalm]

désolé du double post mais personne n'a d'idées ?

[otacon]

ça doit être la boule de feu..

[FoolEcho]

Salut,

Pas mon rayon du tout, mais tu as tout ce qu'il faut pour tester avec le wiki, non ? OpenVPN

[Loubrix]

les logs semblent indiquer un problème de certificats, cherche de ce coté. et puis, il n'y a pas un port à ouvrir pour le SSL/TLS ?
les articles du wiki sont très bien fait, en le suivant du début à la fin, tu devrais trouver ce qui ne va pas...

[vavalm]

Premièrement merci de ton implication
j'ai virer les certificats et je les ai refait, à ce niveau ça ne change rien donc je ne pense pas que c'est le problème.
J'ai ouvert le port 443 (port de mon openvpn) mais effectivement je n'ai pas ouvert de port SSL/TLS à ma connaissance, je vais chercher de ce coté la, je vous tient au courant

[antynea]

Salut,
il faudrait les logs au complet "client" et "server" sans le --mute
sans ça, tout ce qu'on voit, c'est une erreur d'auth côté server sur l'auth "TLS"
ça peut-être dû à n'importe quoi .... ( génération des clés effectué sur des machines différentes, mauvaise clé renseigné, etc... les logs nous donneront la réponse.)
question bateau :
Avez vous signez les clés clients et serveurs avec la meme clé ( ca.key ) ?
les ca.crt sont ils identiques sur les 2 machines ?
Il faut générer toutes les clés sur la meme machine ( c'est plus simple ).

j'ai plusieurs server openvpn, et plusieurs client connecté, sans aucun souci.

[vavalm]

Au niveau des ports, j'avais déjà bien ouvert ceux qui fallait apparemment.

@antynea : Je n'ai pas activer le --mute côté client, niveau serveur je viens de désactiver le mute. Comme je l'ai précisé, pour éviter de mettre énormément de lignes par les log j'ai mis mon log client ici :
http://cloud.vavalm.ovh/index.php/s/1uHqlr0xOC5OhOX

extrait de la fin :

at Jun 13 11:21:48 2015 us=217646 MANAGEMENT: >STATE:1434187308,WAIT,,,
Sat Jun 13 11:21:48 2015 us=267594 MANAGEMENT: >STATE:1434187308,AUTH,,,
Sat Jun 13 11:21:48 2015 us=267594 TLS: Initial packet from [AF_INET]37.59.58.92:443, sid=d71c2707 7c55bed5
Sat Jun 13 11:21:49 2015 us=398831 VERIFY OK: depth=1, C=FR, ST=59, L=Lille, O=Nord, OU=MyOrganizationalUnit, CN=Nord CA, name=EasyRSA, emailAddress=vavalm@live.fr
Sat Jun 13 11:21:49 2015 us=398831 VERIFY OK: depth=0, C=FR, ST=59, L=Lille, O=Nord, OU=MyOrganizationalUnit, CN=server, name=EasyRSA, emailAddress=vavalm@live.fr
Sat Jun 13 11:21:50 2015 us=260080 Connection reset, restarting [0]
Sat Jun 13 11:21:50 2015 us=260080 TCP/UDP: Closing socket
Sat Jun 13 11:21:50 2015 us=260080 SIGUSR1[soft,connection-reset] received, process restarting
Sat Jun 13 11:21:50 2015 us=260080 MANAGEMENT: >STATE:1434187310,RECONNECTING,connection-reset,,
Sat Jun 13 11:21:50 2015 us=260080 Restart pause, 5 second(s)
Sat Jun 13 11:21:53 2015 us=261615 SIGTERM[hard,init_instance] received, process exiting
Sat Jun 13 11:21:53 2015 us=261615 MANAGEMENT: >STATE:1434187313,EXITING,init_instance,,

Je suis toujours bloqué au même endroit !

au niveau des logs serveur :

Code : Tout sélectionner

Fri Jun 12 23:45:16 2015 us=410335 85.192.236.223:54557 TCPv4_SERVER READ [50] from [AF_INET]85.192.236.223:54557: P_ACK_V1 kid=0 pid=[ #9 ] [ 6 ]
Fri Jun 12 23:45:16 2015 us=410545 85.192.236.223:54557 NOTE: --mute triggered...
Fri Jun 12 23:45:18 2015 us=87082 85.192.236.223:54557 83 variation(s) on previous 20 message(s) suppressed by --mute
Fri Jun 12 23:45:18 2015 us=87230 85.192.236.223:54557 VERIFY ERROR: depth=0, error=unable to get local issuer certificate: C=FR, ST=59, L=Lille, O=Nord, OU=MyOrganizationalUnit, CN=vavalm, name=Valentin, emailAddress=vavalm@live.fr
Fri Jun 12 23:45:18 2015 us=87550 85.192.236.223:54557 TLS_ERROR: BIO read tls_read_plaintext error: error:14089086:SSL routines:ssl3_get_client_certificate:certificate verify failed
Fri Jun 12 23:45:18 2015 us=87632 85.192.236.223:54557 TLS Error: TLS object -> incoming plaintext read error
Fri Jun 12 23:45:18 2015 us=87705 85.192.236.223:54557 TLS Error: TLS handshake failed
Fri Jun 12 23:45:18 2015 us=87947 85.192.236.223:54557 Fatal TLS error (check_tls_errors_co), restarting
Fri Jun 12 23:45:18 2015 us=88031 85.192.236.223:54557 SIGUSR1[soft,tls-error] received, client-instance restarting
Fri Jun 12 23:45:18 2015 us=88350 TCP/UDP: Closing socket

je l'ai vidé puis j'ai tenté de me reconnecter pour observer avec un tail-f si quelque chose s'écrivait mais rien du tout : étrange !
mais rien d'autre ne s'affiche quand j'essai de me connecter...

[antynea]

Bonjour,

merci pour les logs, j'avais lu en travers ^^

voici ton erreur :

Code : Tout sélectionner

Sat Jun 13 01:45:32 2015 us=104027 VERIFY OK: depth=1, C=FR, ST=59, L=Lille, O=Nord, OU=MyOrganizationalUnit, CN=Nord CA, name=EasyRSA, emailAddress=vavalm@live.fr
Sat Jun 13 01:45:32 2015 us=105007 VERIFY OK: depth=0, C=FR, ST=59, L=Lille, O=Nord, OU=MyOrganizationalUnit, CN=server, name=EasyRSA, emailAddress=vavalm@live.fr

on voit clairement que les certificats n'ont pas été signé de la même manière
le common name est complétement différent.....
ton fichier ca.crt doit être identique sur le server et le client.

[vavalm]

Effectivement ce ne sont pas les mêmes, je pensais que l'on pouvait attribuer des common name différent sans que cela impacte la connexion, je vais essayer de tout refaire sans rien changer alors. Je vais ensuite copier le ca.crt du serveur sur le client (ce que j'avais normalement déjà fait).

edit : après avoir supprimer tous les certificats, les ca.crt, ... en ayant tout laissé par défaut, j'ai exactement les même log (voir le même lien j'ai remplacé par les nouveaux). Il y a 2 CN différents, ça doit etre car l'un (CN=Nord) était dans le vars et l'autre c'est le CN par défaut quand tu fais ./build-key-server server. Je ne pense pas que le problème vienne de là, surtout que il y a bien "VERIFY OK" donc cela signifie qu'il n'y a pas de problèmes à ce niveau.

VERIFY OK: depth=1, C=FR, ST=59, L=Lille, O=Nord, OU=MyOrganizationalUnit, CN=Nord CA, name=EasyRSA, emailAddress=vavalm@live.fr
VERIFY OK: depth=0, C=FR, ST=59, L=Lille, O=Nord, OU=MyOrganizationalUnit, CN=server, name=EasyRSA, emailAddress=vavalm@live.fr

edit 2 : après avoir redémarré le serveur j'ai tenté de me connecter et de regarder si le serveur avait des log, voici ce que j'ai à la fin (fichier entier : http://cloud.vavalm.ovh/index.php/s/fyy47qOmJku0szM) :

Sat Jun 13 09:47:50 2015 us=803705 Listening for incoming TCP connection on [undef]
Sat Jun 13 09:48:27 2015 us=978083 85.192.236.223:61764 TCPv4_SERVER READ [142] from [AF_INET]85.192.236.223:61764: P_CONTROL_V1 kid=0 pid=[ #52 ] [ ] pid=17 DATA len=100
Sat Jun 13 09:48:27 2015 us=979791 85.192.236.223:61764 VERIFY ERROR: depth=0, error=unable to get local issuer certificate: C=FR, ST= 59, L=Lille, O=Nord, OU=MyOrganizationalUnit, CN=vavalm, name=EasyRSA, emailAddress=vavalm@live.fr
Sat Jun 13 09:48:27 2015 us=980455 85.192.236.223:61764 TLS_ERROR: BIO read tls_read_plaintext error: error:14089086:SSL routines:ssl3 _get_client_certificate:certificate verify failed
Sat Jun 13 09:48:27 2015 us=980627 85.192.236.223:61764 TLS Error: TLS object -> incoming plaintext read error
Sat Jun 13 09:48:27 2015 us=980734 85.192.236.223:61764 TLS Error: TLS handshake failed
Sat Jun 13 09:48:27 2015 us=981179 85.192.236.223:61764 Fatal TLS error (check_tls_errors_co), restarting
Sat Jun 13 09:48:27 2015 us=981361 85.192.236.223:61764 SIGUSR1[soft,tls-error] received, client-instance restarting
Sat Jun 13 09:48:27 2015 us=981675 TCP/UDP: Closing socket

il semble bien y avoir un problème au niveau des certificats.

edit 3 : j'avais fait l'erreur de ne pas avoir redémarrer le serveur pour créer les nouveaux certificats client (le serveur gardait les anciens en mémoire apparemment). Je l'ai donc redémarrer, j'ai tout supprimer au niveau des certificats, j'ai fait de nouveaux certificats. J'ai de nouveau redémarré et créé les certificats clients. Un nouvelle erreur apparaît

Code : Tout sélectionner

donc :

Sat Jun 13 12:08:04 2015 us=23530 MANAGEMENT: CMD 'proxy NONE '
Sat Jun 13 12:08:05 2015 us=23571 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sat Jun 13 12:08:05 2015 us=124562 Cannot load private key file vavalm.key: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch
Sat Jun 13 12:08:05 2015 us=124562 SIGUSR1[soft,private-key-password-failure] received, process restarting
Sat Jun 13 12:08:05 2015 us=124562 MANAGEMENT: >STATE:1434190085,RECONNECTING,private-key-password-failure,,
Sat Jun 13 12:08:05 2015 us=124562 Restart pause, 5 second(s)
Sat Jun 13 12:08:05 2015 us=131563 MANAGEMENT: CMD 'auth-retry none'
Sat Jun 13 12:08:08 2015 us=132618 SIGTERM[hard,init_instance] received, process exiting
Sat Jun 13 12:08:08 2015 us=132618 MANAGEMENT: >STATE:1434190088,EXITING,init_instance,,

petit à petit on avance on va y arriver

[antynea]

Salut,

verify ok : indique seulement que le ca.crt a été trouvé, et non pas que la correspondance est bonne.

encore une fois t'es log montrent deux ca.crt différents.

Code : Tout sélectionner

Sat Jun 13 11:21:49 2015 us=398831 VERIFY OK: depth=1, C=FR, ST=59, L=Lille, O=Nord, OU=MyOrganizationalUnit, CN=Nord CA, name=EasyRSA, emailAddress=vavalm@live.fr
Sat Jun 13 11:21:49 2015 us=398831 VERIFY OK: depth=0, C=FR, ST=59, L=Lille, O=Nord, OU=MyOrganizationalUnit, CN=server, name=EasyRSA, emailAddress=vavalm@live.fr

ça semble la première fois que tu utilises des certificats avec openvpn, donc voici un rapide tuto :

ca.crt , c'est le certificat racine, qui doit-̂etre présent et "IDENTIQUE" sur le server , et le(s) client(s).
ca.key , c'est la clé permettant de signer tes certificats ( il ne faut surtout pas la donner ).
server.crt , client.crt, etc... certificats associé à la clé à donné aux machines respectives ( c'est ici que tu peux changer le pays, la ville, le cn, si tu le souhaite )
server.key, client.key, etc... clé à donné aux machines respectives (servers, client...)

une fois compris tout ça, tu remarqueras tu fais une grosse erreur lors de ta création des certificats et clé.

méthode easy pour générer sans se tromper certificat racine, certificat server et client, clé server et client.

./vars ( on source le fichier var, obligatoire a chaque génération de nouveau certificat/clé)
./clean-all ( attention ça supprime toutes les anciennes clé, souvent contenu dans le dossier keys)
./build-ca ( on génére le certificat racine )
./build-key-server server ( on génére clé et certificat associé pour le server, tu peux remplacer "server" par le nom qui te plaît)
./build-key client ( on génére clé et certificat associé pour le client, tu peux remplacer client par le nom qui te plaît)

pour ./build-key-server et ./build-key, tu dois impérativement mettre le même nom donné à ta clé, dans le common name, sous peine de quelques désagréments.

exemple :
./build-key-server monserveramoi

Code : Tout sélectionner

''Generating a 2048 bit RSA private key''
''............++++++''
''...........++++++''
''writing new private key to 'ca.key'''''-----''
''You are about to be asked to enter information that will be incorporated into your certificate request.''
''What you are about to enter is what is called a Distinguished Name or a DN.''
''There are quite a few fields but you can leave some blank''
''For some fields there will be a default value,''
''If you enter '.', the field will be left blank.''
''-----''
''Country Name (2 letter code) [FR]:''
''State or Province Name (full name) [drome]:''
''Locality Name (eg, city) [valence]:''
''Organization Name (eg, company) [boiteinformatique]:''
''Organizational Unit Name (eg, section) []:''
''Common Name (eg, your name or your server's hostname) []:'' monserveramoi
"Name : "
''Email Address [xxxxxxxx@xxxx.com]:''

les autres entrées n'ont aucune forme d'importance dans le fonctionnement.

J'espère que ce sera plus clair pour toi.


Edit: oups je n'avais pas vu ton edit 3
tu rajoutes un mot de passe en plus de ta clé.
il te dit que le mdp saisi est incorrecte
tape le correctement ou tout simplement n'en met pas.
pour ne pas en mettre, tu ne rentre rien lors de la demande ,tu fais juste enter
ps: pour info: il faut obligatoirement un gui côté client pour rentrer le mdp

[vavalm]

Oui effectivement c'est plus clair maintenant !
en ce qui concerne mon edit 3, une fois que j'avais résolu le problème mon erreur initiale était revenue donc je n'avais pas avancé.
Tu avais bien raison, une fois vu comme ça c'est effectivement les certificats qui posent problème : j'ai refait les certificat en suivant tes étapes et en mettant le même common name, je n'arrive pas à me connecter j'ai un message d'erreur différent :

Code : Tout sélectionner

Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Sat Jun 13 15:10:40 2015 us=31399 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 13 15:10:40 2015 us=31399 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 13 15:10:40 2015 us=31399 LZO compression initialized
Sat Jun 13 15:10:40 2015 us=31399 Control Channel MTU parms [ L:1560 D:168 EF:68 EB:0 ET:0 EL:0 ]
Sat Jun 13 15:10:40 2015 us=31399 Socket Buffers: R=[65536->65536] S=[65536->65536]
Sat Jun 13 15:10:40 2015 us=31399 MANAGEMENT: >STATE:1434201040,RESOLVE,,,
Sat Jun 13 15:10:40 2015 us=35399 Data Channel MTU parms [ L:1560 D:1450 EF:60 EB:135 ET:0 EL:0 AF:3/1 ]
Sat Jun 13 15:10:40 2015 us=35399 Local Options String: 'V4,dev-type tun,link-mtu 1560,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,keydir 1,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-client'
Sat Jun 13 15:10:40 2015 us=35399 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1560,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,keydir 0,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-server'
Sat Jun 13 15:10:40 2015 us=35399 Local Options hash (VER=V4): '2f2c6498'
Sat Jun 13 15:10:40 2015 us=35399 Expected Remote Options hash (VER=V4): '9915e4a2'
Sat Jun 13 15:10:40 2015 us=35399 Attempting to establish TCP connection with [AF_INET]37.59.58.92:443 [nonblock]
Sat Jun 13 15:10:40 2015 us=35399 MANAGEMENT: >STATE:1434201040,TCP_CONNECT,,,
Sat Jun 13 15:10:41 2015 us=36855 TCP connection established with [AF_INET]37.59.58.92:443
Sat Jun 13 15:10:41 2015 us=36855 TCPv4_CLIENT link local: [undef]
Sat Jun 13 15:10:41 2015 us=36855 TCPv4_CLIENT link remote: [AF_INET]37.59.58.92:443
Sat Jun 13 15:10:41 2015 us=36855 MANAGEMENT: >STATE:1434201041,WAIT,,,
Sat Jun 13 15:10:41 2015 us=87826 Connection reset, restarting [0]
Sat Jun 13 15:10:41 2015 us=87826 TCP/UDP: Closing socket
Sat Jun 13 15:10:41 2015 us=87826 SIGUSR1[soft,connection-reset] received, process restarting
Sat Jun 13 15:10:41 2015 us=87826 MANAGEMENT: >STATE:1434201041,RECONNECTING,connection-reset,,
Sat Jun 13 15:10:41 2015 us=87826 Restart pause, 5 second(s)
Sat Jun 13 15:10:42 2015 us=88131 SIGTERM[hard,init_instance] received, process exiting
Sat Jun 13 15:10:42 2015 us=88131 MANAGEMENT: >STATE:1434201042,EXITING,init_instance,,

j'ai l'impression qu'il bloque avant même de vérifier les certificats.

[antynea]

Pourrais-tu remettre les logs complet à jour s.v.p ?
(client et server)

[vavalm]

c'est bon c'est fait
log client : http://cloud.vavalm.ovh/index.php/s/1uHqlr0xOC5OhOX
log serveur : http://cloud.vavalm.ovh/index.php/s/fyy47qOmJku0szM

petite question en même temps pourquoi l'heure des log est décalée de 2H o_o ?

[antynea]

étrange, l'auth tls ne fonctionne plus....
tu as régénéré la clé ta suite à la nouvelle généraion du certificat racine ?
si non, fais-le, et assure toi que le server et le client possède la même.
si oui, désactive l'auth tls. et retire la clé dh.

En tout cas, t'es sur la bonne voie, au pire reprends bien toute les étapes pour être sur de n'avoir rien oublier.

[vavalm]

oui j'ai fait ceci avant de générer la clé du client :

source vars

./clean-all

./build-dh

./pkitool --initca

./pkitool --server server

./build-key-server server

openvpn --genkey --secret keys/ta.key

je l'ai supprimer du client et remis mais rien n'y fait !
je vais tenter de supprimer l'auth tls alors et voir ce que ça donne.
(comment fais t on pour supprimer l'auth tls ? mettre en commentaire dans la config serveur ne marche pas)

[antynea]

Pour supprimer , tu commentes "tls-server" et "tls-auth /ta.key 0"

un exemple d'une config pour le server.
http://pastebin.com/tpfmhkjH

[vavalm]

c'est bizarre j'ai exactement la même erreur o_o même après avoir redémarré.
(par contre je n'avais pas de ligne tls-server donc j'ai commenté ta.key)

[vavalm]

bon de retour, et cette fois ça marche parfaitement o_o
qu'est - ce que j'ai fais ? j'ai juste pour la n ième fois tout supprimé (les certificats, key,...) et j'ai taper les mêmes commandes mais pas dans le même ordre... :

source ./vars
./clean-all
./build-ca
./build-key-server server
./build-dh
./build-key client
openvpn --genkey --secret keys/ta.key

avec ce tuto : https://stavrovski.net/blog/installing- ... vpn-server

alors décidément je ne comprends pas pourquoi l'ordre fait que ça marche ...

[antynea]

ah oui j'avais pas fait attention.
ta clé DH !!!
elle est signé par le ca.crt....
le ca.crt fait tout, sans lui, tu fais rien

Heureux que se soit rentré dans l'ordre. profite bien.