Installer Openvpn Sur Un Ds710+

[CaptainIgloo]

Bonjour

[CaptainIgloo]

Je suis le seul ?

[CaptainIgloo]

Une fois install

[CaptainIgloo]

Bon bien je vais me d

[Sp@r0]

Je t'aurais bien aid

[CaptainIgloo]

uname -a

Linux 2.6.24

# Installation IPKG (Pré-requis)

wget [url="http://ipkg.nslu2-linux.org/feeds/optware/syno-i686/cross/unstable/syno-i686-bootstrap_1.2-7_i686.xsh"]http://ipkg.nslu2-li..._1.2-7_i686.xsh[/url]

--22:54:11-- http://ipkg.nslu2-li..._1.2-7_i686.xsh => `syno-i686-bootstrap_1.2-7_i686.xsh' Resolving ipkg.nslu2-linux.org... 140.211.169.169 Connecting to ipkg.nslu2-linux.org|140.211.169.169|:... connected. HTTP request sent, awaiting response... 200 OK Length: 249,654 (244K) [text/plain] 100%[====================================>] 249,654 166.49K/s 22:54:14 (166.16 KB/s) - `syno-i686-bootstrap_1.2-7_i686.xsh' saved [249654/249654]

sh syno-i686-bootstrap_1.2-7_i686.xsh

Optware Bootstrap for syno-i686. Extracting archive... please wait bootstrap/ bootstrap/bootstrap.sh bootstrap/ipkg-opt.ipk bootstrap/ipkg.sh bootstrap/optware-bootstrap.ipk bootstrap/wget.ipk 1216+1 records in 1216+1 records out Creating temporary ipkg repository... Installing optware-bootstrap package... Unpacking optware-bootstrap.ipk...Done. Configuring optware-bootstrap.ipk...Setting up ipkg arch-file Modifying /etc/rc.local Done. Installing ipkg... Unpacking ipkg-opt.ipk...Done. Configuring ipkg-opt.ipk...Done. Removing temporary ipkg repository... Installing wget... Installing wget (1.12-2) to root... Configuring wget Successfully terminated. Creating /opt/etc/ipkg/cross-feed.conf... Setup complete.

ipkg update

Downloading http://ipkg.nslu2-li...ble/Packages.gz Inflating http://ipkg.nslu2-li...ble/Packages.gz Updated list of available packages in /opt/lib/ipkg/lists/cross Successfully terminated.

ipkg install openvpn

Installing openvpn (2.1.1-2) to root... Downloading http://ipkg.nslu2-li....1.1-2_i686.ipk openvpn: unsatisfied recommendation for kernel-module-tun <<<<<<<<<<<<<<< Y a un blèm là ? package openvpn suggests installing xinetd Installing openssl (0.9.8n-1) to root... Downloading http://ipkg.nslu2-li...9.8n-1_i686.ipk Installing lzo (2.03-1) to root... Downloading http://ipkg.nslu2-li...2.03-1_i686.ipk Configuring lzo Configuring openssl Configuring openvpn Successfully terminated. # Installation du Package OpenVPN #

ipkg install openvpn

Installing openvpn (2.1.1-2) to root... Downloading http://ipkg.nslu2-li....1.1-2_i686.ipk openvpn: unsatisfied recommendation for kernel-module-tun package openvpn suggests installing xinetd Installing openssl (0.9.8n-1) to root... Downloading http://ipkg.nslu2-li...9.8n-1_i686.ipk Installing lzo (2.03-1) to root... Downloading http://ipkg.nslu2-li...2.03-1_i686.ipk Configuring lzo Configuring openssl Configuring openvpn Successfully terminated. # Vérification

ipkg status

Package: lzo

Version: 2.03-1

Status: install ok installed

Architecture: i686

Installed-Time: 1270933498

Package: openssl

Version: 0.9.8n-1

Status: install ok installed

Architecture: i686

Installed-Time: 1270933495

Package: openvpn

Version: 2.1.1-2

Depends: openssl, lzo

Suggests: kernel-module-tun, xinetd

Status: install user installed

Architecture: i686

Installed-Time: 1270933498

Package: wget

Version: 1.12-2

Conflicts: wget-ssl

Status: install user installed

Architecture: i686

Successfully terminated.

[Sp@r0]

Je ne suis pas un sp

[CaptainIgloo]

Je ne suis pas un sp

[Sp@r0]

Masi d'au rien !!!! Tiens nous au courant de ton avancement !!!!

PS : La commande insmod n'est pas d

[CaptainIgloo]

Masi d'au rien !!!! Tiens nous au courant de ton avancement !!!!

PS : La commande insmod n'est pas d

[CaptainIgloo]

J'ai foir

[CaptainIgloo]

Ok cela fonction nickel en intranet avec la procédure de génération des certificats depuis le client OpenVPN Gui pour Windows.

Dans le troisième post du fil : http://www.nas-forum...taller-openvpn/

Me reste plus qu'a tester depuis mon adresse publique ...

Toujours un tuto sous le coude ...

[CaptainIgloo]

Doucement ...

Ikeke dans sa config serveur n'ouvre pas l'UDP mais le TCP, donc je n'arrivai pas à me connecter.

Je peux maintenant le faire de l'extérieur mais il n'y à pas de re-routage vers le Syno puisque j'ai l'adresse bouygues 3G quand je fais un mire ip.

Je suis paumé ! Est-ce que peux changer quelque chose depuis le client OpenVPN ???

Ou dois-je revoir les routes ?

[PatrickH]

Humm tu as quoi comme probl

[CaptainIgloo]

Humm tu as quoi comme probl

[CaptainIgloo]

Si je reprends le fichier g

[PatrickH]

Non personnellement je conseille le mode "routage". Tu devrais au moins savoir acc

[CaptainIgloo]

Non personnellement je conseille le mode "routage". Tu devrais au moins savoir accéder au syno qui tourne OpenVPN.

T'as pris quoi comme adresse pour le serveur OpenVPN ?

Patrick

Je suis bien connecté mais je crois qu'il me faut revoir les routes car j'ai prit celle fournir par IKeke dans son tuto.

[PatrickH]

Ok donc après la connexion depuis ton PC (depuis l'extérieur bien sur) tu devrais pouvoir faire un ping sur 10.8.0.1 qui doit être l'adresse de ton Syno pour la partie VPN

Pour ce qui est des "routes" (permettant d'accéder d'autres machines sur ton réseau perso) on verra après

Patrick

[CaptainIgloo]

Ok donc après la connexion depuis ton PC (depuis l'extérieur bien sur) tu devrais pouvoir faire un ping sur 10.8.0.1 qui doit être l'adresse de ton Syno pour la partie VPN

Pour ce qui est des "routes" (permettant d'accéder d'autres machines sur ton réseau perso) on verra après

Patrick

Non pas de réponse au ping !

voici le log du client OpenVPN Gui pour WIndows :

Sun Apr 11 15:31:45 2010 OpenVPN 2.1_rc4 Win32-MinGW [SSL] [LZO2] built on Apr 25 2007

Sun Apr 11 15:31:45 2010 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file

Sun Apr 11 15:31:45 2010 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication

Sun Apr 11 15:31:45 2010 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication

Sun Apr 11 15:31:45 2010 LZO compression initialized

Sun Apr 11 15:31:45 2010 Control Channel MTU parms [ L:1544 D:168 EF:68 EB:0 ET:0 EL:0 ]

Sun Apr 11 15:31:53 2010 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]

Sun Apr 11 15:31:53 2010 Local Options hash (VER=V4): 'ee93268d'

Sun Apr 11 15:31:53 2010 Expected Remote Options hash (VER=V4): 'bd577cd1'

Sun Apr 11 15:31:53 2010 Attempting to establish TCP connection with [Mon@IP]:1194

Sun Apr 11 15:31:53 2010 TCP connection established with [Mon@IP]:1194

Sun Apr 11 15:31:53 2010 Socket Buffers: R=[8192->8192] S=[64512->64512]

Sun Apr 11 15:31:53 2010 TCPv4_CLIENT link local: [undef]

Sun Apr 11 15:31:53 2010 TCPv4_CLIENT link remote: [Mon@IP]:1194

Sun Apr 11 15:31:53 2010 TLS: Initial packet from [Mon@IP]:1194, sid=40662c70 f97db9a2

Sun Apr 11 15:31:55 2010 VERIFY OK: depth=1, [url=""]/C=FR/ST=FR/L=PARIS/O=WOUAM/OU=WOUAM/CN=wouam/emailAddress=3l33t@no-log.org[/url]

Sun Apr 11 15:31:55 2010 VERIFY OK: nsCertType=SERVER

Sun Apr 11 15:31:55 2010 VERIFY OK: depth=0, [url=""]/C=FR/ST=FR/O=WOUAM/OU=wouam/CN=wouam/emailAddress=3l33t@no-log.org[/url]

Sun Apr 11 15:31:57 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key

Sun Apr 11 15:31:57 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication

Sun Apr 11 15:31:57 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key

Sun Apr 11 15:31:57 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication

Sun Apr 11 15:31:57 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA

Sun Apr 11 15:31:57 2010 [wouam] Peer Connection Initiated with [Mon@IP]:1194

Sun Apr 11 15:31:58 2010 SENT CONTROL [wouam]: 'PUSH_REQUEST' (status=1)

Sun Apr 11 15:31:59 2010 PUSH: Received control message: 'PUSH_REPLY,route 192.168.20.0 255.255.255.0,route 192.168.21.1,topology net30,ping 10,ping-restart 120,ifconfig 192.168.21.6 192.168.21.5'

Sun Apr 11 15:31:59 2010 OPTIONS IMPORT: timers and/or timeouts modified

Sun Apr 11 15:31:59 2010 OPTIONS IMPORT: --ifconfig/up options modified

Sun Apr 11 15:31:59 2010 OPTIONS IMPORT: route options modified

Sun Apr 11 15:31:59 2010 TAP-WIN32 device [Carte OpenVPN] opened: [url="file://\\.\Global\{B299AA5C-E466-4AD5-8CD9-54CE86089EEE}.tap"]\\.\Global\{B299AA5C-E466-4AD5-8CD9-54CE86089EEE}.tap[/url]

Sun Apr 11 15:31:59 2010 TAP-Win32 Driver Version 9.3 

Sun Apr 11 15:31:59 2010 TAP-Win32 MTU=1500

Sun Apr 11 15:31:59 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.21.6/255.255.255.252 on interface {B299AA5C-E466-4AD5-8CD9-54CE86089EEE} [DHCP-serv: 192.168.21.5, lease-time: 31536000]

Sun Apr 11 15:31:59 2010 Successful ARP Flush on interface [36] {B299AA5C-E466-4AD5-8CD9-54CE86089EEE}

Sun Apr 11 15:32:04 2010 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up

Sun Apr 11 15:32:04 2010 route ADD 192.168.20.0 MASK 255.255.255.0 192.168.21.5

Sun Apr 11 15:32:04 2010 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4

Sun Apr 11 15:32:04 2010 Route addition via IPAPI succeeded [adaptive]

Sun Apr 11 15:32:04 2010 route ADD 192.168.21.1 MASK 255.255.255.255 192.168.21.5

Sun Apr 11 15:32:04 2010 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4

Sun Apr 11 15:32:04 2010 Route addition via IPAPI succeeded [adaptive]

Sun Apr 11 15:32:04 2010 Initialization Sequence Completed

La route poussé par le serveur n'est pour toi pas en cause ?

[CaptainIgloo]

Sur un ipconfig :

Carte Ethernet Carte OpenVPN :

Suffixe DNS propre

[PatrickH]

En fait la route "pouss

[CaptainIgloo]

En fait la route "pouss

[CaptainIgloo]

Bon bien, je reprendrai plus tard mais je poste au cas ou quelqu'un puisse m'aider ...

Le tunnel entre le client et le serveur est opérationnel mais je ne peux atteindre les resources en place sur le subnet logique de mon interface physique.

Mode Routed

Mon interface physique eth0 (puisque j'en ai qu'une sur mon 710+) est sur un subnet 192.168.1.0

Mon interface virtuelle TUN est sur un subnet 192.168.2.0

Donc je pousse (push) depuis OpenVpn :

- push "route 192.168.2.0 255.255.255.0" reliée à mon interface TUN Ovpn

- push "route 192.168.1.0 255.255.255.0" reliée à mon interface TUN Ovpn

Je peux donc faire un ping de mon interface TUN Ovpn depuis le client ovpn.

Je peux faire un ping depuis le Syno vers mon interface TUN Ovpn uniquement.

Ne devrais-je pas faire :

iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE

Puis :

echo "1" > /proc/sys/net/ipv4/ip_forward

Par contre, j'ai l'impression qu'Ovpn n'ajoute pas pour autant (automatiquement) la route 192.168.2.0 255.255.255.0" à mon interface physique.

Je ne peux donc depuis le Syno atteindre en ping le client Opvn.

Problème de résolution de noms (DNS) :

push "redirect-gateway" doit théoriquement rediriger toutes les communication IP du client vers la passerelle par défaut de mon tunnel ovpn, mais je n'ai pu aller plus loin que l'interface TUN du Syno.

Afin de rendre opérationnel la résol DNS, j'ai essayer d'utiliser le paramètre [push "dhcp-option DNS x.x.x.x"]. En mettant interface TUN du Syno, cela ne résoud rien.

En mettant, le DNS externe, cela ne change rien non plus. Le Syno devrait dans ce cas faire du DNS forward sur cette patte mais il ne se pas rien.

Avez vous des idées ????

[PatrickH]

Coté routeur il va falloir rajouter une route statique pour que les postes du subnet 192.168.1.0 puissent renvoyer des paquets sur ton syno car ils n'ont aucun autre moyen de savoir qu'il y a un interface qui correspond au segment 192.168.2.0 sur ce syno. C'est certainement cela qui te manque

Je vais compléter mon tuto sur ce sujet, car chez moi cela fonctionne parfaitement, ou bien alors contacte moi par MP car je ne vais pas publier mon setup pour une raison bien compréhensible

Patrick