OpenVPN

トップ ページ

このメッセージに返信
著者: Marc TERRIER
日付:  
To: Guilde
題目: OpenVPN
Bonjour La Guilde,

A mon nouveau travail (que je vais commencer mercredi prochain), on m'a transmis les fichiers de configuration nécessaires pour me connecter depuis chez moi en OpenVPN. J'ai essayé de m'y connecter depuis un PC LinuxMint (19.1), en créant une connexion à partir du fichier .ovpn fourni, mais sans succès. J'ai ensuite essayé depuis une VM Windows 10, et ça a marché du premier coup. Je réessaye maintenant depuis le PC LinuxMint, pour essayer de progresser dans ma connaissance d'OpenVPN, mais que ce soit en important en fichier .ovpn fourni ou en créant la connexion de toutes pièces, ça ne veut toujours pas...

Dans /var/log/syslog, je trouve plusieurs blocs des traces suivantes (les noms et adresses IP ont été changés, je ne vais pas travailler chez ACME Corporation :-) ) :

Jun 26 09:45:39 FLORIDA nm-openvpn[11083]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Jun 26 09:45:39 FLORIDA nm-openvpn[11083]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jun 26 09:45:39 FLORIDA nm-openvpn[11083]: TCP/UDP: Preserving recently used remote address: [AF_INET]76.169.173.37:1195
Jun 26 09:45:39 FLORIDA nm-openvpn[11083]: UDP link local: (not bound)
Jun 26 09:45:39 FLORIDA nm-openvpn[11083]: UDP link remote: [AF_INET]76.169.173.37:1195
Jun 26 09:45:39 FLORIDA nm-openvpn[11083]: NOTE: chroot will be delayed because of --client, --pull, or --up-delay
Jun 26 09:45:39 FLORIDA nm-openvpn[11083]: NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Jun 26 09:45:39 FLORIDA nm-openvpn[11083]: VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: C=FR, L=Grenoble, O=ACME, OU=Informatique, CN=ACME CA
Jun 26 09:45:39 FLORIDA nm-openvpn[11083]: OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
Jun 26 09:45:39 FLORIDA nm-openvpn[11083]: TLS_ERROR: BIO read tls_read_plaintext error
Jun 26 09:45:39 FLORIDA nm-openvpn[11083]: TLS Error: TLS object -> incoming plaintext read error
Jun 26 09:45:39 FLORIDA nm-openvpn[11083]: TLS Error: TLS handshake failed
Jun 26 09:45:39 FLORIDA nm-openvpn[11083]: SIGUSR1[soft,tls-error] received, process restarting

suivis de :

Jun 26 09:46:30 FLORIDA kernel: [1803434.312866] [UFW BLOCK] IN=enp3s0 OUT= MAC=01:00:5e:00:00:01:38:35:fb:fa:b7:0c:08:00 SRC=192.168.1.254 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0x80 TTL=1 ID=10943 DF PROTO=2
Jun 26 09:46:30 FLORIDA kernel: [1803434.577320] [UFW BLOCK] IN=enp3s0 OUT= MAC=01:00:5e:00:00:fb:60:a4:4c:b0:8b:23:08:00 SRC=192.168.1.36 DST=224.0.0.251 LEN=32 TOS=0x00 PREC=0x00 TTL=1 ID=11345 PROTO=2
Jun 26 09:46:39 FLORIDA NetworkManager[1528]: <warn> [1593157599.4409] vpn-connection[0x56056ef72180,06054928-5e14-47c2-9690-d817f34d7df8,"ACME",0]: VPN connection: connect timeout exceeded.
Jun 26 09:46:39 FLORIDA [11080]: Connect timer expired, disconnecting.
Jun 26 09:46:39 FLORIDA nm-openvpn[11083]: SIGTERM[hard,init_instance] received, process exiting
Jun 26 09:46:39 FLORIDA NetworkManager[1528]: <warn> [1593157599.4450] vpn-connection[0x56056ef72180,06054928-5e14-47c2-9690-d817f34d7df8,"ACME",0]: VPN plugin: failed: connect-failed (1)
Jun 26 09:46:39 FLORIDA NetworkManager[1528]: <info> [1593157599.4450] vpn-connection[0x56056ef72180,06054928-5e14-47c2-9690-d817f34d7df8,"ACME",0]: VPN plugin: state changed: stopping (5)
Jun 26 09:46:39 FLORIDA NetworkManager[1528]: <info> [1593157599.4453] vpn-connection[0x56056ef72180,06054928-5e14-47c2-9690-d817f34d7df8,"ACME",0]: VPN plugin: state changed: stopped (6)

J'ai essayé de désactiver brièvement le pare-feu (UFW) de la machine FLORIDA, sans trop y croire (puisque les connexions sortantes étaient déjà autorisées, et les connexions entrantes refusées), et sans succès.

Le fichier mterrier.ovpn est le suivant :

client
dev tun
proto udp
remote vpn.acme.com 1195
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
verb 3
tls-cipher DEFAULT:@SECLEVEL=0
askpass "~/mterrier.txt"                 Initialement, cette ligne était "c:\\[...]\\mterrier.txt", c'est moi qui l'ai modifiée.
pkcs12 mterrier.p12


J'ai aussi un fichier mterrier.p12 (PKCS#12) automatiquement invoqué quand j'importe le fichier mterrier.ovpn, que j'ai essayé de convertir en mterrier.crt avec opensll pkcs12, mais sans succès non plus.

Y a-t-il parmi vous des experts dans le domaine, qui sauraient m'aider, ou me rediriger vers des sites susceptibles de m'aider à progresser dans ce domaine ? Pour l'instant, les seuls tutos que j'ai trouvés sont écrits par des fournisseurs de VPN, et donc (trop) spécifiques à leurs offres.

Merci d'avance,

Marc