Erreur depuis la maj Openvpn Connect Android

[Thierry94]

Bonjour,

Mon accès à mon Vpn via Openvpn est opérationnel depuis plusieurs années, mais depuis la dernière maj d'Openvpn Connect sur mon smartphone android j'ai l'erreur suivante à la connexion 

Mon fichier de config contient bien depuis le debut le fichier "ca_bundle" exporté à partir de Vpn Serveur

Modifié le 23 mai 2020 par Thierry94

[oracle7]

@Thierry94

Bonjour,

Tu peux essayer de régénérer (exporter) ton fichier de configuration .opvn depuis ton serveur VPN puis de le recharger dans ton profil de connexion sur ton smartphone. Normalement ce fichier contient les clés du certificat (plus simple que d'utiliser un fichier externe à pointer par "ca_bundle").

Je peux me tromper mais il y a dû avoir sur le serveur VPN une modification de configuration ou autre (suite à une Mise à jour peut-être) qui a eut pour impact de modifier la clé privée dans le certificat d'où la discordance annoncée dans ton message d'erreur. C'est une interprétation du message qui en vaut une autre sûrement ...

Cordialement

oracle7😉

 

Modifié le 23 mai 2020 par oracle7

[Thierry94]

Merci Oracle7 pour ta réponse mais c'est bien le fichier exporté depuis VPN Serveur qui est utilisé avec à l'intérieur les clefs.
Je n'ai rien changé sur VPN Serveur d'ailleurs les connexions VPN à partir d'autres équipements (PC) continuent de fonctionner comme avant.
Le problème n'est présent que sur mon smartphone suite à la mise à jour d'OpenVpn Connect … et malheureusement c'est 98% de mon utilisation du VPN !

Modifié le 23 mai 2020 par Thierry94

[oracle7]

@Thierry94

Tout bêtement, et en supprimant ton profil OpenVPN sur le smartphone et en le recréant avec un nouvel export du fichier .ovpn ... (+ reboot du Tél). Des fois, cela tiens à pas grand chose ...

Cordialement

oracle7😉

[Thierry94]

C'est ce que je viens de faire et maintenant j'ai cette erreur :

[oracle7]

@Thierry94

J'ai eut aussi ce message et j'ai simplement sélectionné mon certificat wilcard LE.

Cordialement

oracle7😉

[Thierry94]

J'ai bien le certificat LE dans les certificats utilisateurs sur android mais je ne le trouve pas lorsque openvpn le reclame !

[Thierry94]

Finalement ce n'est pas mon certificat wildcards qui est dans les certificats utilisateurs mais celui de LE.
J'ai bien installé mon le certificat de mon domaine mais je ne le trouve toujours pas avec Openvpn lorsque qu'il me demande un certificats.

Qu'est-ce qui coince ?

[oracle7]

@Thierry94

Sous quelle forme as-tu rechargé le certificat LE sur le smartphone ?

Si ce sont des fichiers  ".pem" cela ne marche pas.

Il te faut convertir les fichiers ".pem" en ".p12". Pour cela il faut :

• installer sur le PC "OpenSSL".
• Touche Win + X : et ouvrir une fenêtre de CMD en mode Admin
• Faire un "cd" sur le répertoire contenant les fichiers .pem
• Taper la commande : "openssl pkcs12 -export -out certificat.p12 -inkey privkey.pem -in cert.pem -certfile chain.pem"

Ensuite tu importe ton certificat ".p12" sur le smartphone et là il devrait être reconnu par OpenVPN client.

Cordialement

oracle7😉

[Thierry94]

Super ça refonctionne … merci @Oracle7

Finalement j'ai fais la conversion sur Raspberry ou était déjà installer OpenSSL.
Petite question pour ma compréhension, le certificat .p12 généré "contient" en fait les 3 fichiers cem chain et privkey.

Je croyais que la clé privée ne devait pas être diffusée et la elle se retrouve sur le smartphone. Ce n'est pas un problème ?

[oracle7]

@Thierry94

Parfait, content d'avoir pu t'aider à mon tour ... 😀

Tu as raison, en y réfléchissant bien la clé privé devrait rester chez toi. J'avoue que je n'y avais pas pensé auparavant.

En conséquence, il faudrait faire le test de conversion en omettant le paramètre "-inkey privatekey.pem" et recharger le nouveau certificat ".p12" dans le smartphone. A voir donc ...

Cordialement

oracle7😉

[Thierry94]

Ok je testerai ce soir

[Thierry94]

Bon raté sans le -inkey la génération du .pk12 ne veut pas se faire

[oracle7]

@Thierry94

Merci de ton retour pour le test, tu m'as pris de vitesse.

Effectivement alors là on est mal et j'avoue ne pas savoir faire autrement.

Cela dit je me console, si je puis dire, en me disant elle est tout de même encapsulée et cryptée dans le fichier ".p12". Mais est-ce suffisant ? Je ne saurais le dire.

Maintenant il n'y a plus qu'à espérer qu'un ou des experts sur ce forum, pourra(ons) nous donner une solution rassurante.

Cordialement

oracle7😉

[Thierry94]

J'ai testé  une conversion .pem .der normalement reconnu par android et qui ne nécessite pas la clé  privée... la conversion marche bien mais le .der n'est pas vu par Openvpn.

Bon pour l'instant le .pkcs12 avec la clé privée fera l'affaire en attendant mieux !

Modifié le 23 mai 2020 par Thierry94

[oracle7]

@Thierry94

Bonjour,

En re-générant un certificat wilcard LE avec acme.sh, je me suis aperçu que le dit certificat était constitué de fichiers ".cer".

De coup cela m'a mis la puce à l'oreille car les fichiers de type ".cer" sont bien visibles par OpenVPN sur le smartphone tout comme aussi les fichiers de type ".crt".

Voilà donc une nouvelle piste à explorer pour toi ...

Cordialement

oracle7😉

Modifié le 25 mai 2020 par oracle7

[Thierry94]

J'ai mis un .crt mais Openvpn ne le voit pas !

[oracle7]

@Thierry94

Quand tu dis "j'ai mis un .crt", comment exactement tu as fait ?

• Tu as juste déposé le fichier .crt dans un répertoire sur le smartphone?
• ou l'as-tu importé par la fonction "Installer depuis stock.périph." dans "Autres paramètres de sécurité".

Excuses moi pour ces questions, mais c'est pour bien comprendre le contexte ...

Cordialement

oracle7😉

[Thierry94]

J'ai déposé le fichier sur un répertoire, j'ai lancer Openvpn Connect, Il m'a dit qu'il ne trouvait pas de certificat et demandé d'en installer un et affiché celui que j'ai déposé, je l'ai sélectionné, il a fait l'installation mais après il m'a remis la fenêtre disant qu'il n'y avait pas de certificat. Dans les paramètres sécurité/ Certificats utilisateurs,  je retrouve pourtant bien le certificat installé.

Par la fonction "Installer depuis stock. périph", le certificat s'installe bien mais n'ai toujours pas vu par OpenVpn Connect !

[Chapstm]

Cela ne vous avance pas mais j'ai le même problème avec OpenVpn sur android9. Il me reclame un certificat alors qu'il est censé être contenu dans le fichier de config vpnconfig.ovpn (il y a même deux section BEGIN END dans le <ca>)

J'ai installé manuellement les certificats OpenVpn bundle.crt et ca.crt sur le smartphone mais le client OpenVPn ne les prend pas en considération.

 

j'arrive à me connecter au serveur VPN du NAS si je choisis "continue".  Mais du coup, je ne sais pas si une connexion VPN sans certificat est vraiment sécurisée???

Modifié le 25 mai 2020 par Chapstm

[Thierry94]

C'est la dernière mise a jour d'Openvpn Connect  qui a mis le bazar !

Modifié le 25 mai 2020 par Thierry94

[oracle7]

@Thierry94 et @Chapstm

Là les gars, je ne comprends pas car j'ai eu aussi la dernière mise à jour de OpenVPN Connect et il a bien pris mon certificat (c'était un ".p12") quand il me la demandé. Je peux me connecté en OpenVPN sans problème depuis mon smartphone Android.

Il y a autre chose sur vos "bécanes" qui bloque/interfère je ne sais.

Et avec un certificat ".p12" ou ".pfx" cà donne quoi ?

Cordialement

oracle7😉

[Chapstm]

j'ai pas un  .p12. Le serveur VPN du NAS Synology ne crée que des .crt.  Pas trouvé comment passer d'un .crt à un .p12 sur le net sans faire des trucs compliqués en ssh.

[Dej]

Hello

je ne sais pas si ça peut aider mais j'ai galéré pas mal pour réussir à faire ma première connexion VPN depuis un smartphone. Après avoir chercher des heures du côté des certificats et du paramétrage du serveur VPN sur le NAS, puis en tentant de passer par le serveur VPN de la freebox, j'ai fini par découvrir que le problème venait du client openVPN que j'utilisais sur le téléphone. apparemment, "OpenVPN Connect" n'est pas compatible avec la freebox, je l'ai désinstallé et je l'ai remplacé par "OpenVPN pour Androïd" sans modifier mes paramétrages et ça a fonctionné direct.

autre point, OpenVPN Connect me demandait effectivement un certificat supplémentaire au moment de la création de la connexion et après  avoir importé correctement le profil via le fichier config.ovpn (qui contient normalement déjà les certificats nécessaires). 

Bien sûr, je ne dis pas que le pb est le même. Par contre je trouve quand même que toutes ces appli avec des comportements différents, ça fait un peu "bricolage" et ne me rassure pas vraiment au niveau sécurité. 

 

Modifié le 26 mai 2020 par SODEJO

[Thierry94]

@SODEJO merci pour l'info …
Mais j'ai quand même quelques réticences à passer par une appli dont l'éditeur est à priori "inconnu" surtout pour des applis d'accès sécurisé.
A la différence d'OpenVpn Connect qui est l'application faite par OpenVpn.net … mais ce n'est que mon point de vue 😉