Netgate SG-1000 microFirewall

Author Topic: Problème Nat avec OPENVPN  (Read 373 times)

0 Members and 1 Guest are viewing this topic.

Offline chris4916

  • Hero Member
  • *****
  • Posts: 1808
  • Karma: +89/-11
    • View Profile
Re: Problème Nat avec OPENVPN
« Reply #15 on: November 17, 2017, 12:30:39 am »
Sur la première copie d'écran que tu montre, "client connection behavior" / "hostname resolution" contient "interface IP address"
C'est de champ qu'il faut modifier pour y mettre ton IP publique afin que ton client pointe sur la bonne adresse.

Je ne sais pas comment l'expliquer mieux que ça  ::)

Ensuite, vérifie donc que la requête de ton client arrive bien au serveur OpenVPN, coté pfSense
Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

Offline abrougui

  • Jr. Member
  • **
  • Posts: 36
  • Karma: +0/-0
    • View Profile
Re: Problème Nat avec OPENVPN
« Reply #16 on: November 18, 2017, 02:31:36 am »
Toujours la meme chose:
Sat Nov 18 09:31:02 2017 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sat Nov 18 09:31:02 2017 TLS Error: TLS handshake failed
Sat Nov 18 09:31:02 2017 SIGUSR1[soft,tls-error] received, process restarting

Vraiment ça m’embête. je l'ai fais sur un CENTOS mais avec pfsense....

Offline jdh

  • Hero Member
  • *****
  • Posts: 1707
  • Karma: +43/-11
    • View Profile
Re: Problème Nat avec OPENVPN
« Reply #17 on: November 18, 2017, 07:57:04 am »
Usuellement TLS-ERROR vient du fait que la clé du fichier n'est pas celle de la config server.
Avez-vous vérifié ? Voire refait votre fichier ?
Voire ajusté la nego ? (le plus simple c'est pas de négo = 1 seul protocole)

Si vous attendez que ça vous tombe tout cuit ...

(Perso j'ai eu une expérience malheureuse avec Client Export, donc je fait à la main : copie, création d'un fichier, ...)
« Last Edit: November 18, 2017, 10:13:52 am by jdh »
Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

Offline abrougui

  • Jr. Member
  • **
  • Posts: 36
  • Karma: +0/-0
    • View Profile
Re: Problème Nat avec OPENVPN
« Reply #18 on: November 20, 2017, 06:03:23 am »
Vous pouvez m'expliquer svp un peut plus.
Merci
Et est ce que c'est normale que j'ai pas Shared Key Server??

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2813
  • Karma: +35/-11
    • View Profile
Re: Problème Nat avec OPENVPN
« Reply #19 on: November 20, 2017, 10:20:52 am »
Ce n'est ni anormal, ni normal. C'est une question de choix de configuration. Comme vous gérez des certificats propres à chaque utilisateur, c'est cohérent. Mais cela montre que vous ne comprenez pas bien le fonctionnement de la partie VPN SSL
Dans vos paramétrages, SHA1 est à proscrire car défaillant aujourd'hui.
Il me semble que vos paramètres sont incorrects. Relisez donc ce que vois dit jdh ...
« Last Edit: November 20, 2017, 10:27:22 am by ccnet »

Offline jdh

  • Hero Member
  • *****
  • Posts: 1707
  • Karma: +43/-11
    • View Profile
Re: Problème Nat avec OPENVPN
« Reply #20 on: November 20, 2017, 12:47:42 pm »
je réécris :
TLS Error survient quand, côté serveur, la clé indiquée (TLS Key), ne correspond pas à, côté client, la clé fournie par le fichier (tls-auth fichier 1).
(TLS error <-> TLS Key <-> tls-auth : il n'y a pas une logique ?)

Avez vous vérifié ?

Comme c'est la première étape (comme on peut le voir sur le log), c'est la première chose à vérifier ...

NB : avez vous réfléchi (et organisé correctement) vos certificats :
la logique est d'avoir
- une autorité de certification
- un certificat de serveur (pour le serveur OpenVPN)
- un certificat client  (indiqué dans la config client)

L'impression est que vous attendez qu'on fasse le boulot à votre place ...
Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

Offline abrougui

  • Jr. Member
  • **
  • Posts: 36
  • Karma: +0/-0
    • View Profile
Re: Problème Nat avec OPENVPN
« Reply #21 on: November 21, 2017, 10:58:19 am »
ce que j'ai fais c'est que j'ai suivis des tuto.
et rien n'a marché, je vous ai dis que j'ai utilisé avant la pptp mais après la mise à jours rien ne fonctionne.
Je vous ai utiliser tout les imprimes écran.
Pour les certificats, j'ai 3 certif comme vous le dite.
J'ai suivi tout les tuto disponible.

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2813
  • Karma: +35/-11
    • View Profile
Re: Problème Nat avec OPENVPN
« Reply #22 on: November 21, 2017, 11:58:50 am »
Quote
ce que j'ai fais c'est que j'ai suivis des tuto.
Peut être ne serait il pas inutile d'essayer de comprendre ce que vous faites, plutôt que de suivre des "tutos".

Offline abrougui

  • Jr. Member
  • **
  • Posts: 36
  • Karma: +0/-0
    • View Profile
Re: Problème Nat avec OPENVPN
« Reply #23 on: November 22, 2017, 01:39:22 am »
ne vous inquiétez pas je comprend tout ce que je fais. mais bon oubli.
ça ce voit que vous êtes professionnel.
Merci

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2813
  • Karma: +35/-11
    • View Profile
Re: Problème Nat avec OPENVPN
« Reply #24 on: November 22, 2017, 04:26:24 am »
Lorsque je lis cette question
Quote
Et est ce que c'est normale que j'ai pas Shared Key Server??

Et que je vois cette configuration (copie d'écran ci dessous), je me permet d'en douter.
Idem lorsque je lis le fichier de configuration client.
Je comprend que l'on pose la question de ce qu'est la fonctionnalité "Shared Key Server". Je m'interroge lorsque l'on se demande si c'est normal alors que l'on a déployé des certificats.
Quote
ce que j'ai fais c'est que j'ai suivis des tuto
Pas nécessaire lorsque c'est compris évidement.
Au fait CBC ou GCM et pourquoi ? SHA1 et pourquoi ? La cohérence de vos paramètres crypto dans cette configuration vpn m'échappe. Mais comme vous comprenez tout ce que vous faites ...

La réponse est vive. Mais il y a un moment où il faut arrêter de me chatouiller, çà fini par me faire rire.
« Last Edit: November 22, 2017, 04:34:48 am by ccnet »