Installer Openvpn

[minimoi1381]

Bonjour,

Tout d'abord un grand merci pour ce tutoriel (ma config 106j IPKG install

[mikijone]

Bonsoir à tous,

comme vous, je galère méga beaucoup sur ce tuto très très bordélique (y a de tout et de rien depuis 2007 sur 17 pages). Je ne suis pas spécialiste des VPN et des lignes de commandes linux alors bon...Cela m'étonne quand même que ça soit aussi compliqué à mettre en place, on est en 2010 non?

Y aurait il quelqu'un de sympa, qui pourrait nous faire un petit résumé simple des lignes de commandes "actuelles" (en 2010 sous DSM 3.0 avec le tun.ko intégré et certains chemins qui ont changés, où mettre les fichiers clé que m'a fourni mon fournisseur VPN, etc...) pour tout configurer proprement? Un tuto user friendly pour les newbies nuls comme moi, bref un "openvpn synology pour les nuls"!!!

Merci d'avance.

PS : Je précise que pour ma part je souhaite juste que mon NAS se connecte en tant que simple client.

Bonjour,

Tout d'abord un grand merci pour ce tutoriel (ma config 106j IPKG installé-débutant sur Telenet).

Je viens vers vous car je rencontre un petit problème. Lors de cette commande, j'ai ce type d'erreur lors de l'installation :

Serveur> cp /opt/lib/modules/tun.o /lib/modules/2.4.22-u

cp: /opt/lib/modules/tun.o: No such file or directory

Pourriez vous m'indiquer la marche à suivre pour régler ce problème.

Merci d'avance

Voici mon log

Serveur> ipkg update

Downloading http://ipkg.nslu2-li...s/stable/Packag

es.gz

Inflating http://ipkg.nslu2-li...stable/Packages

.gz

Updated list of available packages in /opt/lib/ipkg/lists/optware

Successfully terminated.

Serveur> ipkg install openvpn

Installing openvpn (2.1.3-1) to /opt/...

Downloading http://ipkg.nslu2-li...s/stable/openvp

n_2.1.3-1_powerpc.ipk

package openvpn suggests installing kernel-module-tun

package openvpn suggests installing xinetd

Installing lzo (2.03-1) to /opt/...

Downloading http://ipkg.nslu2-li...s/stable/lzo_2.

03-1_powerpc.ipk

Configuring lzo

Configuring openvpn

Successfully terminated.

Serveur> mkdir /dev/net

Serveur> mknod /dev/net/tun c 10 200

Serveur> mkdir /lib/modules/2.4.22-uc0

Serveur> cp /opt/lib/modules/tun.o /lib/modules/2.4.22-uc0/

cp: /opt/lib/modules/tun.o: No such file or directory

Bonsoir,

essaye ça :

cp /lib/modules/tun.ko /lib/modules/2.4.22-uc0/

chez moi ça ne m'a renvoyé aucune erreur...

@+

[umut]

Bonsoir, juste une petite question ce tuto est il maintenant compatible avec les syno DS-110J DSM 3.0 kernel 2.6 ?

Car avant ce n'

[buck83]

Bonjour,

poss

[catimimi]

Bonjour,

poss

[mattt]

pour ceux que ca interesse, particulièrement ceux qui ont un X09 (j'ai un ds409)

( reprise de mon propre article :installer un VPN sur un DS409 )

# démarrer une session telnet en root (oui c'est mal)

HomeN4S> ipkg install openvpn

Installing openvpn (2.1.4-2) to root...

Downloading http://ipkg.nslu2-li...2.1.4-2_arm.ipk

openvpn: unsatisfied recommendation for kernel-module-tun

package openvpn suggests installing xinetd

Installing lzo (2.03-1) to root...

Downloading http://ipkg.nslu2-li..._2.03-1_arm.ipk

Installing net-tools (1.60-6) to root...

Downloading http://ipkg.nslu2-li..._1.60-6_arm.ipk

Installing psmisc (22.13-1) to root...

Downloading http://ipkg.nslu2-li...22.13-1_arm.ipk

Configuring lzo

Configuring net-tools

update-alternatives: Linking //opt/bin/hostname to /opt/bin/net-tools-hostname

update-alternatives: Linking //opt/bin/ifconfig to /opt/bin/net-tools-ifconfig

update-alternatives: Linking //opt/bin/netstat to /opt/bin/net-tools-netstat

update-alternatives: Linking //opt/sbin/arp to /opt/sbin/net-tools-arp

update-alternatives: Linking //opt/sbin/route to /opt/sbin/net-tools-route

Configuring openvpn

Configuring psmisc

update-alternatives: Linking //opt/bin/killall to /opt/bin/psmisc-killall

update-alternatives: Linking //opt/bin/pidof to /opt/bin/psmisc-killall

Successfully terminated.

# on cherche la version kernel, ici 2.6.24

HomeN4S> uname -a

Linux HomeN4S 2.6.24 #1157 Mon Apr 19 21:32:42 CST 2010 armv5tejl unknown

#on prépare les folders pour TUN

HomeN4S> mkdir /dev/net

HomeN4S> mknod /dev/net/tun c 10 200

#on installe les outils xinetd

HomeN4S> ipkg install xinetd

Installing xinetd (2.3.14-11) to root...

Downloading http://ipkg.nslu2-li...3.14-11_arm.ipk

Configuring xinetd

Warning: the current only_from configuration in /opt/etc/xinetd.conf is

only_from = localhost 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16

change to your subnet accordingly and tighten security!

Successfully terminated

# c'est ici que j'ai eu du mal à trouver ce satané paquet kernel-module-tun

# utilisez celui-ci pour un DS409, à base donc d'ARM et kernel 2.6.24 (vérifiez le votre avec la commande : cat /proc/cpuinfo )

HomeN4S> ipkg install http://ipkg.nslu2-li....6.24-1_arm.ipk

Downloading http://ipkg.nslu2-li....6.24-1_arm.ipk

Installing kernel-module-tun (2.6.24-1) to root...

Configuring kernel-module-tun

Successfully terminated.

# on configure TUN/TAP

HomeN4S> openvpn --mktun --dev tap0

Sat Jan 29 20:39:37 2011 TUN/TAP device tap0 opened

Sat Jan 29 20:39:37 2011 Persist state set to: ON

# on prépare les répertoires pour la suite

HomeN4S> mkdir -p /opt/etc/openvpn/jail/ccd

HomeN4S> mkdir -p /opt/etc/openvpn/jail/log

HomeN4S> mkdir -p /opt/etc/openvpn/private/keys

HomeN4S> mkdir -p /opt/etc/openvpn/easy-rsa

# on va récupérer les clefs de la dernière release d'openVPN

HomeN4S> mkdir /opt/etc/openvpn/easy-rsa/tmp

HomeN4S> cd /opt/etc/openvpn/easy-rsa/tmp

HomeN4S> wget http://swupdate.open...pn-2.1.4.tar.gz

[...]

# on décompresse et on place les fichiers dans /opt

HomeN4S> tar xvzf openvpn-2.1.4.tar.gz

[...]

HomeN4S> mv openvpn-2.1.4/easy-rsa/2.0/* ../

HomeN4S> cd /opt/etc/openvpn/easy-rsa

# on suppr les fichiers

HomeN4S> rm -r -f tmp

# on crée le fichier de config

HomeN4S> cd /opt/etc/openvpn

HomeN4S> openvpn --config openvpn.conf

#ne reste plus qu'à tester si ca marche maintenant qu'on a tout

HomeN4S> cd /opt/etc/init.d/

HomeN4S> ./S20openvpn start

HomeN4S> ./S20openvpn stop

HomeN4S> /opt/sbin/depmod -a; /opt/sbin/modprobe tun

Et voilà. openVPN est installé sur le Syno, maintenant à vous de configurer les clefs et tout le reste

Sources :

• http://blog.deadcode...openvpn-client/
• http://forum.synolog...hp?f=27&t=18643
• http://forum.synolog...=18881&start=15
• http://openvpn.net/i...tion/howto.html
• http://forum.hardwar...s-sujet_2_1.htm
• http://www.nas-forum...taller-openvpn/

[pingubuntu]

Bonjour,

j'ai installé Openvpn sur mon Syno USB STATION 2 en suivant ce tuto à la lettre: http://syno.haefling...php/USBStation2. Tout à fonctionner, semble-t-il.

nstaller OpenVPN sur USBS2

Avec ce firmware alternatif il est possible d'installer OpenVPN en mode "routé" grace à la disponibilité du module tun.ko livré de base avec le firmware DSM3.0

Installation de OpenVPN à partir de IPKG

[codeipkg install openvpn ]

Ensuite réaliser les opération suivantes

 [list=1][*]mkdir /opt/etc/openvpn/jail

[*]mkdir /opt/etc/openvpn/jail/log

[*]mkdir /opt/etc/openvpn/private

[*]mkdir /opt/etc/openvpn/private/keys

[*]Télécharger le package [url="http://openvpn.net/index.php/open-source/downloads.html"]http://openvpn.net/index.php/open-source/downloads.html[/url] à partir de openvpn.net, extraire et copier le répertoire 

[code]easy-rsa vers /opt/etc/openvpn

Fichier de configuration OpenVPN Voici le fichier de configuration openvpn.conf Script de démarrage Pour démarrer automatiquement OpnenVPN lors du démarrage du syno il faudra mettre ceci dans le fichier de démarrage

 vi /opt/etc/init.d/S20openvpn  Copier et coller le contenu suivant, attention de bien vérifier si vous avez les mêmes chemins 


 [code]

#!/bin/sh

 # # Startup script for openvpn as standalone server

 #  # Make sure IP forwarding is enabled echo 1 > /proc/sys/net/ipv4/ip_forward  # Make device if not present (not devfs) if ( [ ! -c /dev/net/tun ] ) then  # Make /dev/net directory if needed   if ( [ ! -d /dev/net ] ) then 	mkdir -m 755 /dev/net   fi   mknod /dev/net/tun c 10 200 fi # Make sure the tunnel driver is loaded if ( !(lsmod | grep -q "^tun") ); then 	insmod /lib/modules/tun.ko fi # Kill old server if still there if [ -n "`pidof openvpn`" ]; then 	/bin/killall openvpn 2>/dev/null fi # Start afresh - add as many daemons as you want  /opt/sbin/openvpn --cd /opt/etc/openvpn --daemon \  --log-append /opt/etc/openvpn/jail/log/openvpn.log \  --config /opt/etc/openvpn/config/openvpn.conf ##### END OF SCRIPT =====

ça sera plus lisible ici: selon le tuto cité Ensuite assurez vous que ce fichier soit exécutable

chmod +x /opt/etc/init.d/S20openvpn 

Fichier de configuration du client Fichier de configuration coté client Client.conf Génération des certificats et des clés Cette partie ne sera pas traitée dans le cadre de cet article, de nombreux tutoriels existent sur le web http://doc.ubuntu-fr.org/openvpn par exemple

Mais c'était trop beau pour être vrai J'ai donc deux questions: 1. Quelle commande dois-je utiliser pour savoir si openvpn tourne ? (dans le terminal). Je l'ai cherché avec la commande HTOP (que j'avais installée) mais je ne le trouve pas. 2. j'ai suivi divers lien pour générer les certificats et clés depuis le nas, mais je bute. Par exemple, je n'arrive pas à lancer les commandes suivantes:

./clean-all

./build-ca

qui me renvoient: introuvable pourtant je suis bien dans le dossier

/opt/etc/openvpn/easy-rsa/2.0/

liens: http://doc.ubuntu-fr.org/openvpn

Est-ce que vous auriez une petite idée?

Sinon joli forum et grosse communauté. Pour mon premier syno, ça impressionne.

Bonne journée et au plaisir de vous lire.

@+

[PatrickH]

Si tu n'a pas r

[pingubuntu]

Merci Patrick,

je vais essayer tout

[pingubuntu]

Bonsoir,

j'ai d

[flojlg]

Un petit retour sur un open vpn opérationnel sur un ds111 + vpntunnel +freebox

en telnet 192.168.x.xx

user root

mdp xxxxxx(celui de admin)

installation de ipkg

ipkg update (pour indexation ipkg)

ipkg install openvpn

ipkg install nano plus simple que vi <=on peut aussi installer mc (ipkg install mc) qui grace a son éditeur intégré (touche F4) simplifie encore la navigation

nano /opt/etc/init.d/S20openvpn <=ou simplement mc si mc est installé puis naviguer NB pour le chanhement de colonne = TAB

------------------------------

""le mien"

-----------------------------

#!/bin/sh

#

# Startup script for openvpn server

#

# Make sure IP forwarding is enabled

echo 1 > /proc/sys/net/ipv4/ip_forward

# Make device if not present (not devfs)

if ( [ ! -c /dev/net/tun ] ) then

# Make /dev/net directory if needed

if ( [ ! -d /dev/net ] ) then

mkdir -m 755 /dev/net

fi

mknod /dev/net/tun c 10 200

fi

# Make sure the tunnel driver is loaded

if ( !(lsmod | grep -q "^tun") ); then

insmod /lib/modules/tun.ko #<=en remplacement do .o original

fi

# If you want a standalone server (not xinetd), then comment out the return statemen

t below

#return 0

## This is for standalone servers only!!!!

# Kill old server if still there

if [ -n "`/opt/bin/pidof openvpn`" ]; then

/opt/bin/killall openvpn 2>/dev/null

fi

# Start the openvpn daemon - add as many daemons as you want

# /opt/sbin/openvpn --daemon --cd /opt/etc/openvpn --config

#openvpn.conf

/opt/sbin/openvpn /opt/etc/openvpn/openvpn.conf #<=ici se trouve les fichiers de config

# [EOF]

---------------------------------------------------------------

sauvegarder le S20 en S24 pour éventuellement pouvoirrevenir dessus

chmod +X /opt/etc/init.d/S24openvpn <=afin d'etre sur de le rendre exécutable

ln -s /opt/etc/init.d/S24openvpn /etc/init.d/ <=lien "dur"pour qu'il soit accessible et lancé au demarrage du syno

creer un répertoire afin de mettre les clefs et le ndp

mkdir /opt/etc/openvpn/keys

editer le openvpn.conf

nano /opt/etc/openvpn/openvpn.conf

effacer l"intégralité de l"ancien et remplacer par le fichier de votre VPN*

--------------------------------------------------

""le mien""

----------------------------------------------------

float

client

dev tap

proto udp

nobind

; Cert

ca /opt/etc/openvpn/keys/ca.crt

ns-cert-type server

cipher BF-CBC #Blowfish

;Vpn server

#ici ce sont le ou les ID du serveur openVPN

remote-random

remote melissa.vpntunnel.se 1194

remote melissa.vpntunnel.se 10010

remote melissa.vpntunnel.se 10020

;Auth

#auth-user-pass #passwd

# OpenVPN PAM/BSD authentification

auth-user-pass /opt/etc/openvpn/keys/xxxxxxxxxxxxxxx.xxxx <=ici est le fichier ou seront vos identifiants vpn

persist-key

persist-tun

; Logging

comp-lzo

verb 1

-------------------------------------------------------------------------------------

sauvegarder

creer un fichier ou vous allez mettre vos identifiants donné par le VPN

nano /opt/etc/openvpn/keys/xxxxxxxxxxxxxxx.xxxx <=imettez le non et extention que vous voulez a condition que ce soit le meme que celui déclaré dans "openvpn.conf"!!

entrez y vos identifiant et mdpasse 1 par ligne!!

Les puristes diront que ce n'est pas tres sécurisé mais je laisse le soin a chacun de commenter!!!

sauvegarder

creer un fichier ca.crt

nano /opt/etc/openvpn/keys/ca.crt

y inscrire les certf atibué par le serveur VPN

c'est- un ensemble de bloc qui commence par

-----BEGIN CERTIFICATE-----

suivi de truc incompréhensible

et qui fini par (et oui c'est con je sais)

-----END CERTIFICATE-----

sauvegarder

verifier par la commande ls que vos fichiers sont présents

cd /opt/etc/openvpn/

ls <=ici le openvpn.conf modifié

cd keys

ls <=ici les ca.crt et le fichier mot de passe

cd /etc//init.d

ls <=ici le lien S24 précédé d'un @ indiquant qu c'est un lien ou de couleur différente

relancer sa boiboite avec la commande

reboot

(j'ai fait deux reboot pour etre sur c'a aussi c'est con; je sais mais une petite expérience perso=)

se reloguer en telnet

puis 1 ou deux verif

ifconfig

doit vous donner eth0 lo puis le fameux tap0 ou tun0 avec pelin d'info <= je laisse commenter

netstat -nt

vous montrera que vos téléchargement passe bien par le VPN et non par votre ip perso ou celle de votre FAI

Par ex

tcp 0 0 178.73.206.205:51413 xx.xxxx.xxxx.xxxx TIME_WAIT

tcp 0 0 178.73.206.205:51413 xxxxxxxxxxxxxxxx TIME_WAIT

tcp 0 52958 178.73.206.205:51413 xxxxxxxxxxxxxxxxx ESTABLISHED

tcp 0 0 178.73.206.205:51413 xxxxxxxxxxxxxxxxx TIME_WAIT

dans la collonne 3 doit apparaitre le lien du VPNserveur!!!

et pour finir la commande

top

vous donnera les processus en cours les demon ouvert leur acces memoire et consommation CPU/buffeur/memoire et autre joyeuseté

par exemple une partie du demon

Mem: 234180K used, 15380K free, 0K shrd, 1108K buff, 173052K cached

CPU: 0.7% usr 0.3% sys 0.0% nic 98.6% idle 0.0% io 0.0% irq 0.1% sirq

Load average: 0.00 0.00 0.00 2/104 25708

PID PPID USER STAT VSZ %MEM %CPU COMMAND

3125 2986 root S 4364 1.7 0.9 /opt/sbin/openvpn /opt/etc/openvpn/openvpn

4408 1 transmis S 41876 16.7 0.4 /usr/local/transmission/bin/transmission-d

3916 1 root S 76316 30.5 0.0 /usr/syno/sbin/dms

4115 1 root S < 61852 24.7 0.0 /usr/syno/sbin/synoaudiod

4217 1 root S 58976 23.5 0.0 /usr/syno/apache/bin/httpd -DHAVE_PHP

4318 4217 nobody S 58976 23.5 0.0 /usr/syno/apache/bin/httpd -DHAVE_PHP

.........

Voili voilou un petit retour d'experience qui marche impec et pas trop compliqué a mettre en place

Bien sur plein de petit machins par ci par la a commenter je suis sur et vous attend de pied ferme...rire...

[artiflo]

Tr

[flojlg]

regarde a la commande top ou top -b

la memoire est bien remplie (normal sous linux) mais le reste est largement acceptable.

Sur le meme boitier vpn + transmission + smb pour visualiser des films en mkv avec un boitier hdi-dune sans ralentissement.

exemple (je prefere la commande top aux gui qui de toute facon chez moi restent tout blanc!! lol)

top -b

Mem: 233152K used, 16408K free, 0K shrd, 1756K buff, 180156K cached

CPU: 1.3% usr 0.5% sys 0.0% nic 97.4% idle 0.0% io 0.0% irq 0.5% sirq

Load average: 0.00 0.00 0.00 1/97 19164

les process eux meme sont assez peu consommateurs de ressources

3129 3067 root S 4364 1.7 2.3 /opt/sbin/openvpn /opt/etc/openvpn/openvpn

4218 1 transmis S 34312 13.7 0.2 /usr/local/transmission/bin/transmission

1.7 de %mem et 2.3 de %cpu pour open vpn

et 13.7, 0.2 pour transmission

donc assez peu.

par contre compter tout de meme un taux d'acces disque élevé car la sollicitation transmission est importante.

meme si j'ai fixé le up a 90.

la temp moyenne reste toutefois aux environ de 30-33

Pour etre complet j'ai aussi limité les horaires d'allumage et extinction du syno 8h<> 24heures (hehe 8heures de sommeil syndical c'est réparateur !!)

Je n'ai pas fait de test avec la downstation, j'ai de suite pris l'opton transmission pour son gui (port9091) sans avoir a ouvir la console syno je l'ai mis en place a partir de ce site et installé sans soucis

http://synoblog.superzebulon.org/

voili voilou.

[artiflo]

Je suis très étonné par une si faible consommation de ressource. C'est un gros torrent genre l'ISO d'ubuntu avec plus de 1000k source ou un petit torrent ?

Moi qui me résigné à prendre un DS211 faute de DS411 existant (synology il y a sacré trou dans votre gamme !!!), je vais peut être pouvoir prendre un DS411J.

En tout cas un grand merci pour toutes ces infos

[flojlg]

Pour ce qui est de la charge la limite de t

[mattt]

creer un fichier ca.crt

nano /opt/etc/openvpn/keys/ca.crt

y inscrire les certf atibu

[bluerat]

Je pense avoir réussi à installer OpenVPN sur mon DS211j en suivant ce tutoriel à la lettre : http://blog.deadcode...envpn-client/7/

(sauf pour le routage, vu que j'ai un portable je suis susceptible de me connecter depuis n'importe quel endroit, et donc la plage de mon IP privée risque de changer aussi... si quelqu'un à une idée sur la question, ou alors si je peux faire sans ?)

J'ai réussi à lancer openvpn, dans les logs tout s'est bien passé.

Maintenant comment on se connecte au VPN à partir d'un client Mac (Snow Leopard) ? Il y a des identifiants login/mdp ?

Je souhaiterai simplement pouvoir me connecter au NAS à distance de façon sécurisée (pour partage SMB par exemple), mais aussi utiliser la connexion Internet de chez moi lorsque par exemple si des ports sont bloqués quand je suis connecté depuis un endroit public.

J'ai déjà Tunnelblick comme client OpenVPN, si ça peut aider...

[Nicolas Brochard]

Un petit retour sur un open vpn opérationnel sur un ds111 + vpntunnel +freebox

en telnet 192.168.x.xx

user root

mdp xxxxxx(celui de admin)

installation de ipkg

ipkg update (pour indexation ipkg)

ipkg install openvpn

ipkg install nano plus simple que vi <=on peut aussi installer mc (ipkg install mc) qui grace a son éditeur intégré (touche F4) simplifie encore la navigation

nano /opt/etc/init.d/S20openvpn <=ou simplement mc si mc est installé puis naviguer NB pour le chanhement de colonne = TAB

------------------------------

""le mien"

-----------------------------

#!/bin/sh

#

# Startup script for openvpn server

[...]

et pour finir la commande

top

vous donnera les processus en cours les demon ouvert leur acces memoire et consommation CPU/buffeur/memoire et autre joyeuseté

par exemple une partie du demon

Mem: 234180K used, 15380K free, 0K shrd, 1108K buff, 173052K cached

CPU: 0.7% usr 0.3% sys 0.0% nic 98.6% idle 0.0% io 0.0% irq 0.1% sirq

Load average: 0.00 0.00 0.00 2/104 25708

PID PPID USER STAT VSZ %MEM %CPU COMMAND

3125 2986 root S 4364 1.7 0.9 /opt/sbin/openvpn /opt/etc/openvpn/openvpn

4408 1 transmis S 41876 16.7 0.4 /usr/local/transmission/bin/transmission-d

3916 1 root S 76316 30.5 0.0 /usr/syno/sbin/dms

4115 1 root S < 61852 24.7 0.0 /usr/syno/sbin/synoaudiod

4217 1 root S 58976 23.5 0.0 /usr/syno/apache/bin/httpd -DHAVE_PHP

4318 4217 nobody S 58976 23.5 0.0 /usr/syno/apache/bin/httpd -DHAVE_PHP

.........

Voili voilou un petit retour d'experience qui marche impec et pas trop compliqué a mettre en place

Bien sur plein de petit machins par ci par la a commenter je suis sur et vous attend de pied ferme...rire...

Bonjour,

J'ai DS410 et j'ai suivi vos explications du début jusqu'à la fin.

Seulement lorsque je lance la commande ifconfig je ne vois pas apparaitre tun0 derrière eth0 et donc en toute logique je n'est pas la connexion établie

lorsque je regarde avec netstat.

A noter :

- j'ai laisser le chemin de votre tuto pour "tun.ko" bien que j'ai installer le package kernel-module

- j'utilise download station.

Bonne soirée

MAJ (01 h 15) :

Désolé pour le dérangement, je suis vraiment un n00b

j'ai zappé deux modif, a savoir

# If you want a standalone server (not xinetd), then comment out the return statemen

t below

#return 0

Et du coup après vérification j'ai bien mon tap0 (et non tun0)

et ma connexion établie

Bonne soirée encore

MAJ2 (09 h 40):

Bonjour,

Tout marche nikel cependant l'établissement d'un connection ssh interne est trèeessss long et en externe c'est impossible.

Je précise qu'elles j’établissais bien avant l'install d'open VPN.

Si quelqu'un à une idée

Merci

MAJ3 (23h45 - 30 Mars 2011)

J'ai fais un petit ajout après un vérif de log. J'ai modifié la valeur MTU car de base elle est à 1500 et cela génère des problèmes de taille de paquet donc après plusieurs essai

j'ai décider de la mettre à 1300.

Ci dessous le petit code à rajouter dans /opt/etc/openvpn/openvpn.conf

float

client

dev tap

proto udp

nobind

tun-mtu 1300 <-- C'EST CA QUE J'AI RAJOUTER

Donc maintenant mon ssh en interne c'est ok, mais là ou je bloque c que me accès ssh en externe est toujours impossible.

A noter mon SSH interne est sur le port 22 et le SSH externe est sur le 443

Une fois que mon problème de SSH sera résolu, je ferai un tuto sur un post à part

Ciao

[bluerat]

Ca avance de mon côté, j'ai installé openvpn sur le port 443.

Voici ce que m'affiche la console openvpn (j'utilise le client Tunnelblick sur Snow Leopard) :

2011-03-30 13:11:07 MANAGEMENT: >STATE:1301483467,RESOLVE,,,


2011-03-30 13:11:07 Data Channel MTU parms [ L:1543 D:1450 EF:43 EB:4 ET:0 EL:0 ]


2011-03-30 13:11:07 Local Options hash (VER=V4): 'db02a8f8'


2011-03-30 13:11:07 Expected Remote Options hash (VER=V4): '7e068940'


2011-03-30 13:11:07 Attempting to establish TCP connection with XX.XX.XXX.XX:443 [nonblock]


2011-03-30 13:11:07 MANAGEMENT: >STATE:1301483467,TCP_CONNECT,,,


2011-03-30 13:11:08 TCP connection established with XX.XX.XXX.XX:443


2011-03-30 13:11:08 TCPv4_CLIENT link local: [undef]


2011-03-30 13:11:08 TCPv4_CLIENT link remote: XX.XX.XXX.XX:443


2011-03-30 13:11:08 MANAGEMENT: >STATE:1301483468,WAIT,,,


2011-03-30 13:11:09 Connection reset, restarting [0]


2011-03-30 13:11:09 TCP/UDP: Closing socket


2011-03-30 13:11:09 SIGUSR1[soft,connection-reset] received, process restarting

Ca m'affiche ceci en boucle... apparemment la connection s'effectue bien (connection established), mais ça bloque quelque part...

Des idées ?

[mattt]

Ca avance de mon c

[bluerat]

Oui oui je pense, sur mon client j'ai un fichier .ovpn, un autre nom_client.key, nom_client.crt, ca.crt et ta.key.

En fait ce qui me pose soucis c'est la config je pense...

Quelle configuration dois-je faire du côté serveur (openvpn.conf) et du côté client (fichier .ovpn) afin que mon ordinateur portable (PC client) puisse accéder au NAS via VPN (qui se situe chez moi) depuis n'importe quel endroit, et profiter de ma connexion internet @ home ? (j'ai cru lire qu'il fallait ajouter un redirect-gateway ou quelque chose comme ça...).

Chez moi le réseau est du style : 192.168.1.1 / 255.255.255.0, l'ip du NAS est 192.168.1.10, et il possède une IP publique fixe (rattachée à un nom de domaine).

Voici mon fichier côté client :

################################################

# Exemple de fichier de configuration pour la connexion#

# de plusieurs clients -  un serveur pour OpenVPN 2.0   #

# côté-client                                                               					#

# Cette configuration peut être utilise par plusieurs   		#

# clients, cependant chaque client devrait avoir                #

# ses propres certificats et clé.                           					#

#                           					#

# Sous Windows, vous souhaiterez peut-être renommer#

# de telle sorte qu'il ait une extension .ovpn                          #

################################################


# Spécifie que ce fichier est pour les clients

# et que le serveur va nous transmettre

# certaines directives de configuration.

client


# Utilisez les mêmes paramètres que

# ceux qui se trouvent sur le serveur.

# Sur la plupart des systèmes, le VPN

# ne fonctionnera pas à moins que vous

# déconnecter partiellement ou totalement

# les règles pare-feu pour l'interface TUN/TAP.

#dev tap

dev tun


# Windows a besoin de nom de l'adaptateur

# TAP-Win32 du panneau de configuration

# réseau si vous avez plus d'un l'adaptateur.

# Sous XP SP2, il sera peut-être nécessaire

# de déconnecter le pare-feu pour l'adaptateur

# TAP.

;dev-node MyTap


# Est-ce qu'on se connecte à un serveur

# TCP ou UDP ?  Utilisez les mêmes 

# paramètres que ceux qui se trouvent

# sur le serveur

;proto udp

proto tcp


# Nom de domaine ou adresse IP du serveur.

# Vous pouvez avoir plusieurs entrées distantes

# pour équilibrer la charge entre les serveurs.

remote chrisandsoft.com 443

;remote my-server-2 1194


# Choisir un hôte aléatoire de la liste distante

# afin d'équilibrer la charge. Autrement on

# essaye les hôtes dans l'ordre spécifié. 

;remote-random


# Essaye en permanence de résoudre le

# nom d'hôte du serveur OpenVPN. Ceci est très

# utile pour des machines qui ne sont pas

# connectées de façon permanents à

# Internet comme pour les ordinateurs portables.

resolv-retry infinite


# la plupart des clients n'ont pas besoin

# d'être lié à un numéro de port local

nobind


# Diminuer les privilèges après initialisation

# (sur les systèmes non-Windows uniquement)

user nobody

group nobody


# Essaye de préserver certains états

# après redémarrage.

persist-key

persist-tun


# Si vous vous connectez à un proxy http

# pour atteindre le serveur OpenVPN,

# mettez le serveur proxy/adresse ainsi

# que le numéro de port ici. Voir la page

# "man" si votre serveur proxy nécessite

# une authentification

;http-proxy-retry # retry on connection failures

;http-proxy [proxy server] [proxy port #]


# Les réseaux sans fil produisent souvent

# de nombreux paquets dupliqués.

# Définissez ce drapeau pour mettre

# sous silence les alertes de paquets

# dupliqués.

;mute-replay-warnings


# Paramètres SSL/TLS.

# Voir le fichier de configuration

# pour plus de description. Il est

# conseillé d'utiliser un couple de

# fichier .cert/.key pour chaque client.

# Un seul fichier ca peut être utilise

# pour tous les clients.

ca ca.crt

cert macbookpro.crt

key macbookpro.key


# Vérifie le certificat du serveur en

# vérifiant que le champ nsCertType

# du certificat est défini en tant que

# serveur. Ceci est une précaution

# importante afin de se protéger contre

# une attaque potentielle discutée ici : 

#  [url="http://openvpn.net/howto.html#mitm"]http://openvpn.net/howto.html#mitm[/url]

#

# Pour utiliser cette caractéristique,

# il vous faudra générer votre certificat

# serveur avec le champ nsCertType

# défini à "server".  Le script build-key-server

# dans le dossier easy-rsa folder le fera.

;ns-cert-type server


# Si une clé tls-auth est utilisée sur le

# serveur, alors tous les clients doivent

# également avoir cette clé. 

;tls-auth ta.key 1


# Sélection d'un cipher cryptographique.

# Si l'option cipher est utilisé sur le serveur

# vous devez alors le spécifier ici. 

;cipher x


# Permet la compression sur la liaison VPN.

# Ne permettez pas cette option à moins de

# l'avoir mise sur le fichier de configuration

# du serveur.

comp-lzo


# Défini le détail du fichier log.

verb 3


# Met sous silence les messages répétés

;mute 20

Et mon fichier côté serveur (NAS) :

## defini le port que va utiliser OpenVPN, par défaut 1194, vous pouvez le 

## remplacer par votre port favori

port 443

## Je vais utiliser le port 8080 pour éviter d'être bloqué par un proxy !

#port 8080


## indique avec quel protocole OpenVPN va utiliser, tcp ou udp

## A nouveau je vais utiliser le protocole TCP car le port 8080 que j'utilise 

## est le plus souvent utilisé en TCP

#proto udp

proto tcp


## utiliser OpenVPN en mode "routé"

dev tun


## Defini l'emplacement du certificat et des clés, remplacer [Server ID] 

## par le mon que vous avez choisi

ca /opt/etc/openvpn/config/ca.crt

cert /opt/etc/openvpn/config/diskstation.crt

key /opt/etc/openvpn/config/diskstation.key

dh /opt/etc/openvpn/config/dh1024.pem


## defini le sous réseau virtuel utilisé par le tunnel  VPN

server 192.168.30.0 255.255.255.0


## Pour que le client puisse accéder au LAN de votre serveur (Syno)

## il est nécessaire d'envoyer l'adresse réseau et le masque vers le client

## Le client VPN va ajouter cette "route" dans sa table de routage

## Vous pouvez bien sûr ajouter plus d'une adresse... 

## ... Ne sera pas utilisé dans un premier temps

push "route 192.168.1.0 255.255.255.0"


## Spécifier ici le chemin du répertoire contenant les infos spécifiques

## au client. Cela sera utilisé pour indiquer au serveur VPN où router

## (depuis/vers) les données du réseau du client, sinon les paquets

## tcp/ip pourraient être 'jetés'

## Attention à ne pas mettre de chemin 'absolu' si vous utilisez le mode

## 'chroot'

## ... Ne sera pas utilisé pour le moment

#client-config-dir ccd


## définir ici le réseau du client

## ... Ne sera pas utilisé pour le moment

#route 192.168.20.0 255.255.255.0


push "redirect-gateway def1"


## Optionel : envoyer l'adresse du DNS pour le client vpn windows

## Vous pouvez mettre plusieurs lignes

#push "dhcp-option DNS  208.67.222.222"

#push "dhcp-option DNS  208.67.220.220"


## La ligne suivante va permettre d'envoyer des messages 'keepalive'

## pour éviter que le tunnel VPN ne se coupe en cas d'innactivité du client

keepalive 10 120


tls-auth /opt/etc/openvpn/config/ta.key 0


## Utilisation le cryptage par défaut 'blowfish', vous pouvez en choisir d'autre

;cipher BF-CBC

comp-lzo


## définition du nombre maximum de clients simultanés

max-clients 5


## exécuter les serveur VPN en tant que 'nobody' à la place de 'root'

user nobody

group nobody


persist-key

persist-tun


## défini l'emplacement du fichier de log. Ce fichier va indiquer les connexions

## actives. Ce fichier est actualisé toutes les minutes, il va donc faire

## sortir le disque de son hibernation (si celle ci est activée !)

status /opt/etc/openvpn/jail/log/openvpn-status.log


## defini le niveau de détails du fichier log, de 0 à 9 (9: max de détails)

verb 3


## va faire tourner le serveur VPN en mode 'chroot'

## Ceci va restreindre l'accès au seul répertoire 'jail' durant l'exécution

## il est donc nécessaire que les fichiers nécessaire durant l'exécution se

## trouvent dans ce répertoire (comme les fichiers 'log' et le répertoire 'ccd') 

chroot jail

Ce qui est sûr, c'est que le serveur se lance bien... Le log affiche : Initialization Sequence Completed D'ailleurs je viens de voir dans ce même fichier log (openvpn.log) :

Wed Mar 30 13:11:13 2011 91.207.209.69:50400 TLS Error: cannot locate HMAC in incoming packet from 91.207.209.69:50400

Wed Mar 30 13:11:13 2011 91.207.209.69:50400 Fatal TLS error (check_tls_errors_co), restarting

Wed Mar 30 13:11:13 2011 91.207.209.69:50400 SIGUSR1[soft,tls-error] received, client-instance restarting

Wed Mar 30 13:11:13 2011 TCP/UDP: Closing socket

Wed Mar 30 13:11:13 2011 MULTI: multi_create_instance called

Ce que j'ai mis au dessus, c'était l'erreur côté client, ça c'est l'erreur côté serveur. EDIT : C'est bon !!! J'ai réussi à me connecter ! En fait il fallait décommenter la ligne : ;tls-auth ta.key 1 dans le ficher config client (enlever le point virgule). J'arrive bien à me connecter en SMB à mon NAS (192.168.30.1), par contre, je n'ai plus accès à Internet... Je souhaiterai avoir accès à Internet via la connexion du NAS (avoir l'ip publique du NAS en d'autres termes). J'ai loupé quelque chose ? Au niveau de la config openvpn ? Config du NAS ? Autre chose, j'ai pu voir dans les logs lors de la connexion, ceci :

Thu Mar 31 00:51:42 2011 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.

C'est grave ? Je risque quoi ? Y'a moyen d'y remédier ?

[flojlg]

@ Nicolas

Merci pour ton retour d'info

Désolé je n'avais pas suivi ton post mais je vois que tu as pu te dépatouiller

En effet il fallais bien cocher la ligne...

J"ai eu plusieurs demande d'aide en mp et il semble que le tuto que je propose fonctionne bien sur des machines 110j 210j - 111 et 211 et la version 4 aussi.

Par contre le mtu de 1300 c'est inabituel non ? qui est ton Fai de pythécanthrope?

Aussi je vais prendre le temps de proposer un tuto en mise a jour de celui de la premiere page qui date de 2007...

@Matt

le ou les certificats sont fournis par le serveur

ie) pour ceux qui ont souscrit un abonnement ce sont les fichiers ca.crt et/ou autres fichiers dispo sur leurs sites

Pour ceux qui ont crées leurs propres serveur (sur un routeur ou une machine dédiée) ils sont générés a partir du serveur soit en automatique soit en ligne de commande.

dans les 2 cas ils sont les cles et/ou certificats de chiffrement permettant d'identifier la connection a partir du client.

Donc récuperer ces clef et les inclure dans sa séquence de connection.

N.B CONSEIL IMPORTANT

Pour avoir aidé a installer diverses machines il est aussi important, suivant le serveur que vous utilisez; de bien configurer le DNS

La majorité des problemes liés a la liaison internet derriere le VPN viennent de la configuration du DNS !!!

Dans /etc/resolvconf verifier que le serveur dns est bien celui fourni par votre serveur et déclaré dans les fichiers de config !!!

Pour verifier que c'est bien un soucis DNS

faire un

traceroute www.google.fr

si rien ne se passe

dans resolv.conf cocher le ou les serveurs avec un #

et ajouter (provisoirement)

nameserver 8.8.8.8 qui est le dns de google

et refaire un traceroute

il devrait etre positif et si c"est le cas (et c'a devrait) alors regarder les dns de votre serveur

par ex pour vpntunnel c'est

nameserver .67.0.2

ensuite le déclarer dans le openvpn.conf

push "dhcp-option DNS x.x.x.x"

Ce qui résoud un grand nombre des soucis de connexion

Voili voilou

[bluerat]

Chez moi j'ai toujours le m

[mattt]

flojlg : j'avais mal lu ton post en fait, puisque ton openvpn sert de client si j'ai bien compris

bref de mon cot

[flojlg]

@bluerat

Je ne suis pas un vrai sp