[VPN] Demande equivalent Stormshield_SSLVPN_Client

[benjibasson]

Bonjour,
Actuellement pour faire du travail à distance, je dois ouvrir le logiciel Stormshield_SSLVPN_Client sous windows 10 pour me connecter au tunnel VPN SSL. et acceder à l'ordinateur distant 'farmtrucmush.morice.local' par le client Rdesktop par défaut.

Sur Stormshield j'avais juste à rentrer les 3 informations suivantes ( même la toute première fois)

Adresse du firewall: vpn.machintruc.fr
Identifiant: Benjibasson83
mot de passe: *************

J'aimerai utiliser Arch avec XFCE pour effectuer le travail à distance. Malheureusement les VPN c'est la jungle. quand je rentre ces 3 trucs dans le network manager, ça refuse de se connecter au VPN.

quelle est l'équivalent de Stormshield sous linux?
Comment le paramétrer sous arch?

Salutations.

[benjarobin]

Bonjour,
Tu dois récupérer le fichier .ovpn (voir https://documentation.stormshield.eu/SN ... onnect.htm)
Déjà annule tout ce que tu as pu faire, et puis comme tu utilises network manager, fait ceci :
Renomme le fichier .ovpn avec le nom que tu désires, le nom du fichier sera le nom de la connexion affichée dans network manager (garde bien l'extension .ovpn).

Code : Tout sélectionner

pacman -S networkmanager-openvpn
# Reboot ?
nmcli connection import type openvpn file fichier-stormshield.ovpn

Tu peux supprimer le fichier .ovpn ensuite, il n'est plus nécessaire.

Puis dans la configuration du VPN qui a été ajouté, tu devrais la voir apparaître dans l'interface graphique de network manager : Configure identifiable et le mot de passe.

[benjibasson]

Bonjour, j'ai importé le fichier .ovpn par la commande. mais des que je tente de me connecter ça affiche cash "l'activation de connection a échoué."
ça m'a demandé qu'une fois le mot de passe. ( je me suis assuré que c'est le bon)

pourtant tout me semble ok


j'ai essayé de lancer

Code : Tout sélectionner

openvpn /home/benjamin/Documents/config-open-vpn/openvpn_client.ovpn

mais ça bloque

Code : Tout sélectionner

openvpn '/home/benjamin/Documents/config-open-vpn/openvpn_client.ovpn'
2023-01-05 06:34:19 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.
2023-01-05 06:34:19 DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-256-CBC' to --data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning.
2023-01-05 06:34:19 WARNING: Using --management on a TCP port WITHOUT passwords is STRONGLY discouraged and considered insecure
2023-01-05 06:34:19 WARNING: file 'openvpnclient.pkey.pem' is group or others accessible
2023-01-05 06:34:19 OpenVPN 2.5.5 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 14 2022
2023-01-05 06:34:19 library versions: OpenSSL 3.0.2 15 Mar 2022, LZO 2.10
2023-01-05 06:34:19 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:1302
2023-01-05 06:34:19 Need hold release from management interface, waiting...

[benjarobin]

Peux tu me donner par MP le fichier .ovpn ?
Car ce que tu as fait devrais être ok...

Tu as bien lancé la commande openvpn en root ? Si tu veux tester ainsi (ce qui est la bonne façon de faire pour comprendre pourquoi cela ne fonctionne pas), tu copie le fichier .ovpn téléchargé dans /root/ et puis tu lances la connexion en root.

[benjibasson]

Bonjour
Je préfère attendre avant de transférer le fichier ovpn puisque y a des données sensibles dedans.
J'ai essayé en root en me contentant du sudo mais le ovpn ainsi que le certificat sont dans mon /home/Documents/openvpn-config

=> Dois je tout mettre en /root/ ?
Quelle autorisation ?
Et la commande en sudo? Sudo -s ou su?

[benjarobin]

Tu peux aussi faire simplement : sudo openvpn /home/benjamin/Documents/config-open-vpn/openvpn_client.ovpn
Normalement le fichier .ovpn est autoporteur, ce n'est pas le cas, tu as d'autres fichiers ?!

[benjibasson]

Bonjour
avec le sudo j'ai l'impression d'avoir la même chose

Code : Tout sélectionner

~/Documents/config-open-vpn$ sudo openvpn '/home/benjamin/Documents/config-open-vpn/openvpn_client.ovpn'
2023-01-06 20:04:46 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.
2023-01-06 20:04:46 DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-256-CBC' to --data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning.
2023-01-06 20:04:46 WARNING: Using --management on a TCP port WITHOUT passwords is STRONGLY discouraged and considered insecure
2023-01-06 20:04:46 WARNING: file 'openvpnclient.pkey.pem' is group or others accessible
2023-01-06 20:04:46 OpenVPN 2.5.5 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 14 2022
2023-01-06 20:04:46 library versions: OpenSSL 3.0.2 15 Mar 2022, LZO 2.10
2023-01-06 20:04:46 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:1302
2023-01-06 20:04:46 Need hold release from management interface, waiting...

ça me donne le même résultat quand je modifie le openvpn_client.ovpn pour mettre une url bidon qui n'existe pas.

Code : Tout sélectionner

~/Documents/config-open-vpn$ ls ./
CA.cert.pem  default.ca.crt  default.client.crt  default.client.key  openvpnclient.cert.pem  openvpn_client.ovpn  openvpnclient.pkey.pem

mon fichier ovpn

Code : Tout sélectionner

client
dev tun
remote vpn.machuntrucmuche.fr 443 tcp
cipher AES-256-CBC
tls-cipher TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA256
auth SHA256
nobind
resolv-retry infinite
persist-key
persist-tun
ca "CA.cert.pem"
cert "openvpnclient.cert.pem"
key "openvpnclient.pkey.pem"
compress lz4
verb 0
auth-user-pass
auth-retry interact
auth-nocache
reneg-sec 0
management 127.0.0.1 1302
management-hold
management-query-passwords
verb 3

[benjarobin]

Essaye avec cette configuration :

Code : Tout sélectionner

dev tun
client
proto tcp
ca "CA.cert.pem"
cert "openvpnclient.cert.pem"
key "openvpnclient.pkey.pem"
remote vpn.machuntrucmuche.fr 443
persist-key
persist-tun
compress lz4
verb 3
mute 20
cipher AES-256-CBC
tls-cipher TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA256
auth SHA256
reneg-sec 0
nobind
auth-user-pass

[benjibasson]

Bonjour
avec cette configuration ça me fait

Code : Tout sélectionner

~/Documents/config-open-vpn$ sudo openvpn './openvpn_client-benjarobin.ovpn'
2023-01-09 12:06:00 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.
2023-01-09 12:06:00 DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-256-CBC' to --data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning.
2023-01-09 12:06:00 WARNING: file 'openvpnclient.pkey.pem' is group or others accessible
2023-01-09 12:06:00 OpenVPN 2.5.5 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 14 2022
2023-01-09 12:06:00 library versions: OpenSSL 3.0.2 15 Mar 2022, LZO 2.10
Enter Auth Username: potierb
🔐 Enter Auth Password: ************            
2023-01-09 12:06:07 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
2023-01-09 12:06:07 OpenSSL: error:0A00018E:SSL routines::ca md too weak
2023-01-09 12:06:07 Cannot load certificate file openvpnclient.cert.pem
2023-01-09 12:06:07 Exiting due to fatal error

alors que openvpnclient.cert.pem existe dans ce dossier

[benjarobin]

Essaye avec ce format :

Code : Tout sélectionner

dev tun
client
proto tcp
<ca>
-----BEGIN CERTIFICATE-----
abcdefabcdefabcdefabcdefabcdefabcdefabcdefabcdefabcdefabcdefabcd
abcdefabcdefabcdefabcdefabcdefabcdefabcdefabcdefabcdefabcdefabcd
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
abcdefabcdefabcdefabcdefabcdefabcdefabcdefabcdefabcdefabcdefabcd
abcdefabcdefabcdefabcdefabcdefabcdefabcdefabcdefabcdefabcdefabcd
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
abcdefabcdefabcdefabcdefabcdefabcdefabcdefabcdefabcdefabcdefabcd
abcdefabcdefabcdefabcdefabcdefabcdefabcdefabcdefabcdefabcdefabcd
-----END PRIVATE KEY-----
</key>
remote vpn.machuntrucmuche.fr 443
persist-key
persist-tun
compress lz4
verb 3
mute 20
cipher AES-256-CBC
tls-cipher TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA256
auth SHA256
reneg-sec 0
nobind
auth-user-pass

Remplace bien sûr le contenu de abcdefabcdefabcdefabcdefabcdefabcdefabcdefabcdefabcdefabcdefabcd par le contenu des fichier .pem
Normalement les fichiers .pem commence déjà par -----BEGIN CERTIFICATE----- / -----BEGIN PRIVATE KEY-----, si ce n'est pas le cas, c'est étrange et il faudrait les convertir sous ce format.

J'ai toujours utilisé ce genre de format (format unifié) où toutes les informations sont dans le fichier .ovpn

[benjibasson]

Avec ce format ça me fait ça

Code : Tout sélectionner

~/Documents/config-open-vpn$ sudo openvpn './openvpn_client-benjarobinformat.ovpn' 
[sudo] Mot de passe de benjamin : 
Désolé, essayez de nouveau.
[sudo] Mot de passe de benjamin : 
2023-01-09 14:40:12 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.
2023-01-09 14:40:12 DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-256-CBC' to --data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning.
2023-01-09 14:40:12 OpenVPN 2.5.5 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 14 2022
2023-01-09 14:40:12 library versions: OpenSSL 3.0.2 15 Mar 2022, LZO 2.10
Enter Auth Username: potierb
🔐 Enter Auth Password: ************            
2023-01-09 14:40:21 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
2023-01-09 14:40:21 OpenSSL: error:0A00018E:SSL routines::ca md too weak
2023-01-09 14:40:21 Cannot load inline certificate file
2023-01-09 14:40:21 Exiting due to fatal error

[benjarobin]

Il y a un problème, soit avec le chargement du certificat, ou tout simplement le certificat est "trop faible". Dans ce cas openVPN refuse d'établir la conneixon car il considère que la connexion ne sera pas sécurisée.

[benjibasson]

J'ai ajouté dans la première configuration que tu m'as donné la ligne

Code : Tout sélectionner

tls-cipher "DEFAULT:@SECLEVEL=0"

Du coup openvpn finit par

Code : Tout sélectionner

2023-01-09 15:35:08 Initialization Sequence Completed

Est ce que la connexion est établie ?

J'ouvre maintenant remina pour me connecter à
ts1.machintruc.local mais il me dit que ce pc est invisible alors que ca devrait être visible par cette connexion vpn.

J'ai vérifié sur windows que ce pc distant est visible et que je suis dans la plage horaire où je suis autorisé à me connecter puisque sous rdp de windows ca affiche bien mon environnement de travail.

[benjarobin]

Il y a plein de raison pour que cela ne soit pas "visible".
Déjà est-ce que tu as une interface "tun0" qui est apparue et avec une IP valide.
Est ce que la sortie de "ip route" t'affiche des routes supplémentaires quand tu es connecté ? Tu devrais avoir au moins une route qui contient l'IP du serveur VPN
Si oui tu es connecté. Après le DNS et/ou les protocoles de découvertes réseaux peuvent être désactivé (Ils faut tout configurer sous Arch).

Pour tester, je te conseil de récupérer l'IP de ts1.machintruc.local et de tenter de te connecter directement avec l'IP. Et si depuis un VPN (qui fonctionne) tu peux ping le PC, alors tu peux aussi tester de ping...

[benjibasson]

J'y connais rien en tunnel, c'est la première fois que je m'en sers pour le boulot j'y connais rien et j'aimerai me débarasser de windows pour continuer de faire du télétravail.

Où devrait apparaitre l'interface tun0 j'ai rien dans les interfaces graphiques?
quelle est la syntaxe de IPtable? car j'ai rien. pas même la route directe vers l'IP local de mon modem

Code : Tout sélectionner

sudo iptables --list
[sudo] Mot de passe de benjamin : 
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Comment activer et configurer le le DNS et/ou les protocoles de découvertes réseaux?


Par contre j'ai

Code : Tout sélectionner

ip address show dev tun0
4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 500
    link/none 
    inet 192.168.201.6 peer 192.168.201.5/32 scope global tun0
       valid_lft forever preferred_lft forever
    inet6 f***::****:****::**** scope link stable-privacy 
       valid_lft forever preferred_lft forever

Code : Tout sélectionner

ip route show
default via 192.168.155.221 dev wlp3s0 proto dhcp metric 600 
**.*.*.*/8 via 192.168.201.5 dev tun0 
160.1.0.0/16 via 192.168.201.5 dev tun0 
XXX.XXX.0.0/16 dev wlp3s0 scope link metric 1000 
192.168.2.0/24 via 192.168.201.5 dev tun0 
192.168.100.0/24 via 192.168.201.5 dev tun0 
192.168.101.0/24 via 192.168.201.5 dev tun0 
192.168.102.0/24 via 192.168.201.5 dev tun0 
192.168.155.0/24 dev wlp3s0 proto kernel scope link src 192.168.155.64 metric 600 
192.168.200.0/24 via 192.168.201.5 dev tun0 
192.168.201.0/24 via 192.168.201.5 dev tun0 
192.168.201.1 via 192.168.201.5 dev tun0 
192.168.201.5 dev tun0 proto kernel scope link src 192.168.201.6 
192.168.254.0/30 via 192.168.201.5 dev tun0 
192.168.255.0/24 via 192.168.201.5 dev tun0 
XXX.XXX.0.0/20 via 192.168.201.5 dev tun0 

Code : Tout sélectionner

resolvectl
Global
       Protocols: -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub

Link 2 (enp7s0)
Current Scopes: none
     Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported

Link 3 (wlp3s0)
    Current Scopes: DNS
         Protocols: +DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
Current DNS Server: 192.168.155.221
       DNS Servers: 192.168.155.221 2a0d:e487:4af:e682::ca

Link 4 (tun0)
Current Scopes: none
     Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported

Salutations.

[benjarobin]

Donc le tunnel fonctionne (en tout cas tout l'indique). Tu peux donc importer cette configuration dans NetworkManager (supprime bien l'ancienne avant) comme expliqué auparavant.
Il reste sûrement à configurer le DNS (si pas déjà configurer) et la découverte de réseau (mais comme il y en a beaucoup cela va être difficile d'aider)

[benjibasson]

Ben, j'ai supprimé l'anciennne et réimporté dans network manager et ca affiche un message d'erreur au bout de quelque secondes sur l'échec d'authentification.
J'ai ajouté mon pseudo dans les paramètres, me suis assuré du bon mot de passe mais ca affiche toujours le même message. Comme si c'était ni le bon nom d'utilisateur ni le bon mot de passe

Il paraît qu'on peut résoudre le problème de dns en ajoutant dans le fichier config.ovpn

Code : Tout sélectionner

dhcp-option DNS <dns_server_ip_address1>
dhcp-option DNS <dns_server_ip_address2>