[networkmanager-openvpn] Connecté mais impossible de ping

Applications, problèmes de configuration réseau
Répondre
BlondVador
Chu Ko Nu
Messages : 302
Inscription : ven. 29 janv. 2010, 21:41

[networkmanager-openvpn] Connecté mais impossible de ping

Message par BlondVador »

Bonjour et tout d'abord joyeux Noël à tous,

Je possède un serveur VPS chez OVH sur lequel j'ai installé un serveur OpenVPN.

J'arrive à m'y connecter avec networkmanager-openvpn sans problème mais impossible de ping quoi que ce soit.

Mon client.ovpn :

Code : Tout sélectionner

# Config Client
client
dev tun
proto tcp-client
remote 5.196.18.72 443
resolv-retry infinite
cipher AES-256-CBC
# Certificats + Cles
ca ca.crt
cert perru.crt
key perru.key
tls-auth ta.key 1
# Config Securite
nobind
persist-key
persist-tun
comp-lzo
verb 3
Mon server.conf :

Code : Tout sélectionner

#############################
    #       Configuration       #
    #           VPN             #
    #############################
     
    # port et mode
    mode server
    proto tcp
    port 443
    dev tun
     
    # certificats + cles
    ca ca.crt
    cert server.crt
    key server.key
    dh dh1024.pem
    tls-auth ta.key 0
    cipher AES-256-CBC
     
    # Config reseau
    server 10.8.0.0 255.255.255.0
    push "redirect-gateway def1 bypass-dhcp"
    push "dhcp-option DNS 4.4.4.4"
    push "dhcp-option DNS 8.8.8.8"
    keepalive 10 120
     
    # Config securite
    user nobody
    group nogroup
    chroot /etc/openvpn/jail
    persist-key
    persist-tun
    comp-lzo
     
    # Config des logs
    verb 3
    mute 20
    status openvpn-status.log
    log-append /var/log/openvpn.log
Mon /var/log/openvpn.log :

Code : Tout sélectionner

Thu Dec 25 16:56:29 2014 MULTI: multi_create_instance called
Thu Dec 25 16:56:29 2014 Re-using SSL/TLS context
Thu Dec 25 16:56:29 2014 LZO compression initialized
Thu Dec 25 16:56:29 2014 Control Channel MTU parms [ L:1560 D:168 EF:68 EB:0 ET:0 EL:0 ]
Thu Dec 25 16:56:29 2014 Data Channel MTU parms [ L:1560 D:1450 EF:60 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Dec 25 16:56:29 2014 Local Options hash (VER=V4): '9915e4a2'
Thu Dec 25 16:56:29 2014 Expected Remote Options hash (VER=V4): '2f2c6498'
Thu Dec 25 16:56:29 2014 TCP connection established with [AF_INET]37.160.110.47:39328
Thu Dec 25 16:56:29 2014 TCPv4_SERVER link local: [undef]
Thu Dec 25 16:56:29 2014 TCPv4_SERVER link remote: [AF_INET]37.160.110.47:39328
Thu Dec 25 16:56:29 2014 37.160.110.47:39328 TLS: Initial packet from [AF_INET]37.160.110.47:39328, sid=2e5206b2 5efe93e9
Thu Dec 25 16:56:47 2014 37.160.110.47:39328 VERIFY OK: depth=1, /C=US/ST=CA/L=SanFrancisco/O=Fort-Funston/OU=changeme/CN=changeme/name=changeme/emailAddress=mail@host.domain
Thu Dec 25 16:56:47 2014 37.160.110.47:39328 VERIFY OK: depth=0, /C=US/ST=CA/L=SanFrancisco/O=Fort-Funston/OU=changeme/CN=perru/name=changeme/emailAddress=mail@host.domain
Thu Dec 25 16:56:48 2014 37.160.110.47:39328 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Thu Dec 25 16:56:48 2014 37.160.110.47:39328 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Dec 25 16:56:48 2014 37.160.110.47:39328 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Thu Dec 25 16:56:48 2014 37.160.110.47:39328 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Dec 25 16:56:48 2014 37.160.110.47:39328 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Dec 25 16:56:48 2014 37.160.110.47:39328 [perru] Peer Connection Initiated with [AF_INET]37.160.110.47:39328
Thu Dec 25 16:56:48 2014 perru/37.160.110.47:39328 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=1::1900:0:8f7f:0
Thu Dec 25 16:56:48 2014 perru/37.160.110.47:39328 MULTI: Learn: 10.8.0.6 -> perru/37.160.110.47:39328
Thu Dec 25 16:56:48 2014 perru/37.160.110.47:39328 MULTI: primary virtual IP for perru/37.160.110.47:39328: 10.8.0.6
Thu Dec 25 16:56:51 2014 perru/37.160.110.47:39328 PUSH: Received control message: 'PUSH_REQUEST'
Thu Dec 25 16:56:51 2014 perru/37.160.110.47:39328 send_push_reply(): safe_cap=960
Thu Dec 25 16:56:51 2014 perru/37.160.110.47:39328 SENT CONTROL [perru]: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 4.4.4.4,dhcp-option DNS 8.8.8.8,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5' (status=1)
Thu Dec 25 16:57:06 2014 perru/37.160.110.47:39328 Connection reset, restarting [0]
Thu Dec 25 16:57:06 2014 perru/37.160.110.47:39328 SIGUSR1[soft,connection-reset] received, client-instance restarting
Thu Dec 25 16:57:06 2014 TCP/UDP: Closing socket
Thu Dec 25 17:00:27 2014 MULTI: multi_create_instance called
Thu Dec 25 17:00:27 2014 Re-using SSL/TLS context
Thu Dec 25 17:00:27 2014 LZO compression initialized
Thu Dec 25 17:00:27 2014 Control Channel MTU parms [ L:1560 D:168 EF:68 EB:0 ET:0 EL:0 ]
Thu Dec 25 17:00:27 2014 Data Channel MTU parms [ L:1560 D:1450 EF:60 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Dec 25 17:00:27 2014 Local Options hash (VER=V4): '9915e4a2'
Thu Dec 25 17:00:27 2014 Expected Remote Options hash (VER=V4): '2f2c6498'
Thu Dec 25 17:00:27 2014 TCP connection established with [AF_INET]37.187.65.250:51342
Thu Dec 25 17:00:27 2014 TCPv4_SERVER link local: [undef]
Thu Dec 25 17:00:27 2014 TCPv4_SERVER link remote: [AF_INET]37.187.65.250:51342
Thu Dec 25 17:00:27 2014 37.187.65.250:51342 Connection reset, restarting [-1]
Thu Dec 25 17:00:27 2014 37.187.65.250:51342 SIGUSR1[soft,connection-reset] received, client-instance restarting
Thu Dec 25 17:00:27 2014 TCP/UDP: Closing socket
Merci par avance pour votre aide.
Dernière modification par BlondVador le ven. 26 déc. 2014, 23:15, modifié 1 fois.
Moviuro
Elfe
Messages : 765
Inscription : dim. 17 juin 2012, 22:49

Re: [networkmanager-openvpn] Connecté mais impossible de ping

Message par Moviuro »

Plop

Dans la conf du serveur :

Code : Tout sélectionner

# Uncomment this directive to allow different
# clients to be able to "see" each other.
# By default, clients will only see the server.
# To force clients to only see the server, you
# will also need to appropriately firewall the
# server's TUN/TAP interface.
client-to-client
(C'est désactivé par défaut pour des soucis de sécurité, à toi de voir si tu en as besoin)

(Aussi, à l'avenir, utilise la balise [code] pour ce genre de fichiers, c'est illisible avec la balise quote :copain: )
++
psycho : Latitude E6430 ; BTRFS over LUKS, UEFI & secureboot
schizo : Acer 8942G ; KDE 4, BTRFS over LUKS ; W7 (prend la poussière)
toxo : i5-6600K, bspwm, VM W10 en PCI-passthrough
deadman : Lenovo Thinkcenter, OpenBSD 6.0-stable
popho.be : Kimsufi KS-3, FreeBSD 11.0
Loi de Murphy : Le jour où tu as besoin d'une backup, tu te dis que tu aurais dû en mettre en place
Venez sur IRC en plus du forum !
BlondVador
Chu Ko Nu
Messages : 302
Inscription : ven. 29 janv. 2010, 21:41

Re: [networkmanager-openvpn] Connecté mais impossible de ping

Message par BlondVador »

Salut,

J'ai essayé en ajoutant l'option client-to-client dans mon server.conf mais je n'arrive toujours pas à ping. Normalement j'ai configuré iptable pour l'interface TUN/TAP.

J'ai édité mon post pour utiliser la balise code.
Moviuro
Elfe
Messages : 765
Inscription : dim. 17 juin 2012, 22:49

Re: [networkmanager-openvpn] Connecté mais impossible de ping

Message par Moviuro »

Autre souci : ce pourrait être les routes qui ne sont pas présentes. Que revoient :

Code : Tout sélectionner

ip a
ip ro
Moi par exemple, j'ai :

Code : Tout sélectionner

% ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: wlp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 3c:a9:f4:12:d8:2c brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.9/24 brd 192.168.1.255 scope global dynamic wlp2s0
       valid_lft 86260sec preferred_lft 86260sec
104: eno1: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel state DOWN group default qlen 1000
    link/ether f0:1f:af:06:90:0c brd ff:ff:ff:ff:ff:ff
105: tx001619250308: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100
    link/ether 00:16:19:25:03:08 brd ff:ff:ff:ff:ff:ff
    inet 10.3.16.201/24 brd 10.3.16.255 scope global tx001619250308
       valid_lft forever preferred_lft forever
    inet6 fe80::dc7d:baff:fe55:cfd1/64 scope link 
       valid_lft forever preferred_lft forever
% ip ro
default via 192.168.1.1 dev wlp2s0  proto dhcp  src 192.168.1.9  metric 1024 
10.3.14.0/24 via 10.3.16.1 dev tx001619250308  proto static 
10.3.15.0/24 via 10.3.16.1 dev tx001619250308  proto static 
10.3.16.0/24 dev tx001619250308  proto kernel  scope link  src 10.3.16.201 
10.42.0.0/24 via 10.3.16.1 dev tx001619250308  proto static 
192.168.1.0/24 dev wlp2s0  proto kernel  scope link  src 192.168.1.9 
192.168.1.1 dev wlp2s0  proto dhcp  scope link  src 192.168.1.9  metric 1024
Aussi, je vois que tu utilises tun plutôt que tap. Une raison particulière ? Si non, passe à tap, ça sera plus facile (c'est mon expérience, du moins)

++
psycho : Latitude E6430 ; BTRFS over LUKS, UEFI & secureboot
schizo : Acer 8942G ; KDE 4, BTRFS over LUKS ; W7 (prend la poussière)
toxo : i5-6600K, bspwm, VM W10 en PCI-passthrough
deadman : Lenovo Thinkcenter, OpenBSD 6.0-stable
popho.be : Kimsufi KS-3, FreeBSD 11.0
Loi de Murphy : Le jour où tu as besoin d'une backup, tu te dis que tu aurais dû en mettre en place
Venez sur IRC en plus du forum !
Avatar de l’utilisateur
MikaXII
Hankyu
Messages : 39
Inscription : mer. 23 juil. 2014, 15:40

Re: [networkmanager-openvpn] Connecté mais impossible de ping

Message par MikaXII »

Yop,
Moi j'ai eu un problème similaire mais c'est que je passé par le gestionnaire de kde, ça me connecté au VPN mais sans faire de routage (oui oui...).
Cependant quand je faisais sur mon client

Code : Tout sélectionner

openvpn monconf.conf
, sans passé par le plugin kde, tout fonctionné au poil ^^
C'est pas faux
Sirilldu
archer
Messages : 146
Inscription : mer. 27 mars 2013, 19:45

Re: [networkmanager-openvpn] Connecté mais impossible de ping

Message par Sirilldu »

Bonjour,

Dans ton server.conf tu as :

Code : Tout sélectionner

user nobody
group nogroup
Donc dans ton client.conf, tu peux rajouter :

Code : Tout sélectionner

user nobody
group nobody
et :

Code : Tout sélectionner

remote-cert-tls server
Sinon quelle est la règle iptables que tu as ajouté sur le serveur ?

Voir aussi si ton /etc/resolv.conf prends bien les DNS.
Arch 64 | KDE
BlondVador
Chu Ko Nu
Messages : 302
Inscription : ven. 29 janv. 2010, 21:41

Re: [networkmanager-openvpn] Connecté mais impossible de ping

Message par BlondVador »

Bonjour,

Code : Tout sélectionner

root@x:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: venet0: <BROADCAST,POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN 
    link/void 
    inet 127.0.0.2/32 scope host venet0
    inet 5.196.18.72/24 brd 5.196.18.255 scope global venet0:0
    inet6 2001:41d0:52:a00::10fe/56 scope global 
       valid_lft forever preferred_lft forever
6: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/none 
    inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
root@x:~# ip ro
10.8.0.2 dev tun0  proto kernel  scope link  src 10.8.0.1 
10.8.0.0/24 via 10.8.0.2 dev tun0 
5.196.18.0/24 dev venet0  proto kernel  scope link  src 5.196.18.72 
default dev venet0  scope link 

Code : Tout sélectionner

Aussi, je vois que tu utilises tun plutôt que tap. Une raison particulière ? Si non, passe à tap, ça sera plus facile (c'est mon expérience, du moins)
Non pas de raison particulière, il fallait choisir, j'ai choisir ^^. Je vais essayer avec tap.
Sinon quelle est la règle iptables que tu as ajouté sur le serveur ?

Code : Tout sélectionner

iptables -A INPUT -i tun+ -j ACCEPT

iptables -A FORWARD -i tun+ -j ACCEPT

iptables -A INPUT -i tap+ -j ACCEPT

iptables -A FORWARD -i tap+ -j ACCEPT
Sirilldu
archer
Messages : 146
Inscription : mer. 27 mars 2013, 19:45

Re: [networkmanager-openvpn] Connecté mais impossible de ping

Message par Sirilldu »

Tu as rajouté, dans ton client.ovpn ?

Code : Tout sélectionner

user nobody
group nobody
remote-cert-tls server
Pour iptables, j'ai ajouté cette règle au serveur :

Code : Tout sélectionner

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j MASQUERADE
Sinon je n'ai pas eu de problème particulier avec tun.
Arch 64 | KDE
BlondVador
Chu Ko Nu
Messages : 302
Inscription : ven. 29 janv. 2010, 21:41

Re: [networkmanager-openvpn] Connecté mais impossible de ping

Message par BlondVador »

Désolé du temps pour répondre, pas eu une minute à moi.

Donc oui j'ai bien ajouté ces trois lignes dans mon client.ovpn.

J'ai essayé avec ta règle iptables mais sans succès.
Moviuro
Elfe
Messages : 765
Inscription : dim. 17 juin 2012, 22:49

Re: [networkmanager-openvpn] Connecté mais impossible de ping

Message par Moviuro »

BlondVador a écrit :J'ai essayé avec ta règle iptables mais sans succès.
Y'a une règle en réseau qui dit "c'est la faute de ton pare-feu." Essaye de tout mettre en place petit à petit. "Baby steps". D'abord serveur, puis client, puis lien, puis routes, puis ping, puis pare feu, puis durcissement des règles.

Bon courage ;)
psycho : Latitude E6430 ; BTRFS over LUKS, UEFI & secureboot
schizo : Acer 8942G ; KDE 4, BTRFS over LUKS ; W7 (prend la poussière)
toxo : i5-6600K, bspwm, VM W10 en PCI-passthrough
deadman : Lenovo Thinkcenter, OpenBSD 6.0-stable
popho.be : Kimsufi KS-3, FreeBSD 11.0
Loi de Murphy : Le jour où tu as besoin d'une backup, tu te dis que tu aurais dû en mettre en place
Venez sur IRC en plus du forum !
antynea
Hankyu
Messages : 49
Inscription : ven. 09 déc. 2011, 07:34

Re: [networkmanager-openvpn] Connecté mais impossible de ping

Message par antynea »

Salut,

Effectue du snat à la place du masquerade

Code : Tout sélectionner

iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -j SNAT --to-source 5.196.18.72
Répondre