Discussion :

[Ayuzerak]

Bonjour,

Je n'arrive pas à me connecter à un serveur openvpn depuis mon routeur sous Openwrt comme si je n'avais pas de connexion internet ce que me semble dire le log (check your network connectivity). J'arrive à ping 8.8.8.8 depuis l'interface lan mais pas depuis l'interface wan, tun0 ou tap0. Je n'ai aucun soucis pour me connecter à ce serveur openvpn depuis le client de mon pc. Que dois-je faire ?

le log:

Fri Jul 29 11:20:36 2022 daemon.warn openvpn(freebox_epi)[7320]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Fri Jul 29 11:20:36 2022 daemon.notice openvpn(freebox_epi)[7320]: TCP/UDP: Preserving recently used remote address: [AF_INET]]88.102.195.98:46990
Fri Jul 29 11:20:36 2022 daemon.notice openvpn(freebox_epi)[7320]: UDP link local: (not bound)
Fri Jul 29 11:20:36 2022 daemon.notice openvpn(freebox_epi)[7320]: UDP link remote: [AF_INET]88.102.195.98:46990
Fri Jul 29 11:21:36 2022 daemon.err openvpn(freebox_epi)[7320]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri Jul 29 11:21:36 2022 daemon.err openvpn(freebox_epi)[7320]: TLS Error: TLS handshake failed
Fri Jul 29 11:21:36 2022 daemon.notice openvpn(freebox_epi)[7320]: SIGUSR1[soft,tls-error] received, process restarting

les interfaces



l'interface lan:











l'interface wan:










Startup

# Put your custom commands here that should be executed once
# the system init finished. By default this file does nothing.

/usr/sbin/openvpn --mktun --dev tun0
/usr/sbin/openvpn --mktun --dev tap0

exit 0

Merci d'avance.

l'interface ovpn:

[A3gisS3c]

Hello,

Oublie le ping 8.8.8.8 fais plutot des telnet ou nc, ping n'étant pas une garantie de connexion. De toute façon, vu tes logs, le FQDN est résolu ce n'est pas un problème de DNS.
Ton firewall laisse bien passer le port UDP 1194?

Tu utilises deux connexions VPN, une TUN et une TAP c'est laquelle que tu essayes de faire marcher?

Tu peux envoyer la configuration OVPN svp?
La tout de suite, ou un problème de flux réseau ou un ta.key non renseigné.

Tu as accès à la configuration OpenVPN du serveur? ou à défaut la configuration du PC ou ca marche.

[Ayuzerak]

Hello,

Oublie le ping 8.8.8.8 fais plutot des telnet ou nc, ping n'étant pas une garantie de connexion. De toute façon, vu tes logs, le FQDN est résolu ce n'est pas un problème de DNS.
Ton firewall laisse bien passer le port UDP 1194?

Tu utilises deux connexions VPN, une TUN et une TAP c'est laquelle que tu essayes de faire marcher?

Tu peux envoyer la configuration OVPN svp?
La tout de suite, ou un problème de flux réseau ou un ta.key non renseigné.

Tu as accès à la configuration OpenVPN du serveur? ou à défaut la configuration du PC ou ca marche.

J'essaie de faire marcher la TAP

interface ovpn (suite->voir modification premier message)




interface ovpn2



firewall



Je suppose que c'est dans cette section que je dois faire en sorte que le firewall laisse bien passer le port UDP 1194, ou 46990 que dois-je mettre exactement ? J'ai essayé de mettre ce qu'il faut mais sans succès.



freebox_epi.ovpn (exactement le même que sur mon pc à l'exception de la ligne auth-user-pass)

client
remote 88.102.195.98:46990
proto udp
nobind
dev-type tap

pull
dev tap0
auth-retry interact
fragment 1452
mssfix 1452
explicit-exit-notify 3
cipher AES-128-CBC
remote-cert-tls server
verify-x509-name "C=FR, O=Freebox SA, CN=Freebox OpenVPN server 1ba6e080c4447eb4754e3d0803bc3e0b"
# use tls-remote instead of verify-x509-name for deprecated openssl
# tls-remote "/C=FR/O=Freebox_SA/CN=Freebox_OpenVPN_server_1ba6e080c4447eb4754e3d0803bc3e0b"
<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</cert>
<extra-certs>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
</extra-certs>
<key>
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----
</key>

Section to add an optional 'auth-user-pass' file with your credentials (/etc/openvpn/freebox_epi.auth):
auth-user-pass /etc/openvpn/freebox_epi.txt

[Ayuzerak]

Est-ce que l'ipv6 peut gêner ? Dois-je le désactiver ?

[A3gisS3c]

Hello,

Désolé pour le temps de réponse.

Ipv6 peut vraiment faire ch... avec OpenVPN surtout avec des produits Apple. OpenWRT c'est du Linux ca ne devrait poser aucun souci (mais je pense que c'est quand même préférable de désactiver ce protocole).

Bon j'ai l'impression qu'internet "arrive" sur ton port WAN. Il n'a aucune IP malgrè qu'il soit en DHCP c'est normal? Tu fais juste du niveau 2 entre ton OpenWRT et ta box?

Visiblement le port de ton serveur Openvpn est 46990 UDP (c'était déjà visible dans les logs du début) tu peux me montrer la règle firewall qui autorise ce flux vers Internet?

Accessoirement si on pouvait aussi avoir accès à la table de routage svp :p

[Ayuzerak]

Ok c'est bon. Je n'avais bien compris quoi mettre dans la partie "Section to add an optional 'auth-user-pass' file with your credentials (/etc/openvpn/freebox_epi.auth)". Il fallait y mettre les identifiants et mettre la ligne auth-user-pass /etc/openvpn/freebox_epi.auth dans le fichier ovpn.

Je me connecte mais je n'ai pas accès depuis le routeur au serveur de la Freebox et aux autres machines de ce réseau alors que lorsque je me connecte depuis le client pc ils apparaissent. Rien non plus sur mon pc si je connecte mon pc au routeur et que je lance le client du routeur mais c'est déjà un mieux.

Oui je n'arrive pas à obtenir une ip sur le port WAN, je ne sais pas pourquoi.

[A3gisS3c]

Hello,

En effet avoir la configuration de ton serveur OpenVPN pourrait enormément aider à la résolution du problème (d'où le fait que je t'avais demandé une configuration ou cela marche).

Dans le cas d'une authentification par login/mdp, il faut evidemment une directive auth-user-pass, qui normalement te prompt si aucun fichier n'est donné en paramètre.

Je ne connais pas la configuration des couches 2 et 3 de ton serveur OpenVPN, impossible de t'aider.

Concernant la non attribution de l'IP sur le pot WAN, visiblement ce n'est pas un problème si tu arrives à te connecter au serveur OpenVPN mais c'est intriguant.

[Ayuzerak]

Hello,

En effet avoir la configuration de ton serveur OpenVPN pourrait enormément aider à la résolution du problème (d'où le fait que je t'avais demandé une configuration ou cela marche).

Dans le cas d'une authentification par login/mdp, il faut evidemment une directive auth-user-pass, qui normalement te prompt si aucun fichier n'est donné en paramètre.

Je ne connais pas la configuration des couches 2 et 3 de ton serveur OpenVPN, impossible de t'aider.

Concernant la non attribution de l'IP sur le pot WAN, visiblement ce n'est pas un problème si tu arrives à te connecter au serveur OpenVPN mais c'est intriguant.

J'ai mis les règles qu'il fallait dans le firewall et j'ai pu accéder au réseau local du VPN de la Freebox auquel est connecté le routeur.



J'ai rajouter au pont br-lan -> tap0 pour que toute machine qui se connecte au routeur y est également accès et ça marche. Donc c'est réglé.



Une toute dernière chose j'ai tenté d'héberger un serveur openvpn 10.8.0.1 (ip du routeur 192.168.0.17, ip de la box 192.168.0.1) , le client 10.8.0.6 peut pinger le serveur (en passant l'input sur accept) mais pas réciproquement, une idée ?



Je regarderai à l'occasion. Merci pour ton aide en tout cas.

[A3gisS3c]

Hello,

C'est marrant tu bridge ton interface TAP avec une interface VLAN (eth0.1) enfin why not.

Déjà je croyais au départ que ton OpenWRT était un client OpenVPN ( je cite "Je n'arrive pas à me connecter à un serveur openvpn depuis mon routeur sous Openwrt") et je m'appercois avec ta dernière capture que c'est en fait ton serveur lol.

Pour ta dernière question, ca peut être tout et n'importe quoi, le firewall, le firewall local, le routage etc.

Enfin tant que tu as réussi à te connecter c'est le principal.