Re: OpenVPN

Page principale

Répondre à ce message
Auteur: Marc TERRIER
Date:  
À: guilde
Sujet: Re: OpenVPN
Le 26/06/2020 à 18:29, Xavier Belanger a écrit :
> Bonjour,


Bonsoir Xavier,

Merci de tes pistes, et désolé de te répondre un peu tardivement. Mes
réponses au fil de l'eau...

> Marc TERRIER <marc.terrier@???> wrote:
>
>> J'ai aussi un fichier mterrier.p12 (PKCS#12) automatiquement
>> invoqué quand j'importe le fichier mterrier.ovpn, que j'ai essayé
>> de convertir en mterrier.crt avec opensll pkcs12, mais sans succès
>> non plus.
>
> Je pense que le format du fichier est la source de ton problème.
> Les fichiers .p12 (ou parfois .pfx) sont courants sous MS Windows
> mais pas sous Linux (où l'on utilise plus souvent le format PEM).
>
> Techniquement, cela pourrait fonctionner, mais il est possible
> que se ne soit pas activé dans ta version d'OpenVPN sous Mint.


Par chance, mon futur chef est lui aussi un amateur de pingouins, et il
utilise avec succès ces mêmes fichiers .p12. Par contre, il n'est pas
sous Mint. Je ne sais plus s'il est sous Ubuntu, ou sous Arch. Reste à
voir comment se configure le support de ces fichiers sous Mint...

> Cela pourrait aussi expliquer pourquoi ta connection VPN fonctionne
> sous MS Windows et non sous Linux.
>
> Il est normalement possible de convertir le fichier d'un format
> vers un autre ; je ne sais pas quelle syntaxe tu as utilisé.


openssl pkcs12 -in mterrier.p12 -clcerts -nokeys -out mterrier.crt
openssl pkcs12 -in mterrier.p12 -cacerts -nokeys -out mterrier.crt

cf.
https://stackoverflow.com/questions/52980370/how-to-convert-p12-to-crt-file

> Ma référence pour ce genre d'opération est la page suivante :
>
> [ https://www.madboa.com/geek/openssl/#how-do-i-export-or-import-a-pkcs12-certificate ]


> Si la conversion se passe bien, il est possible (probable) que
> tu édites le fichier de configuration d'OpenVPN que tu as reçu
> (la ligne "pkcs12 mterrier.p12" au minimum). Je ne connais pas
> assez OpenVPN pour pouvoir donner plus de détails.


> Autre solution, contacter le service informatique d'ACME (qui
> fabrique d'excellentes enclumes me suis-je laissé dire) et leur
> demander de te fournir le fichier au bon format.


J'aurais bien aimé arriver à trouver sans leur demander, au service
informatique d'ACME, mais j'ai finalement "craqué". Ils m'ont indiqué
une ligne à rajouter dans la configuration, mais qui a pour effet de
*désactiver* les contrôles de sécurité à ce niveau-là, ce que je ne
trouve pas totalement satisfaisant. Je ne l'ai donc volontairement pas
encore essayée, et je vais tenter de trouver mieux. Il semblerait aussi
que le serveur OpenVPN d'ACME soit d'une version assez ancienne. Je vais
donc suggérer respectueusement de le mettre à jour.

Et oui, ACME fabrique d'excellentes enclumes :-), mais pas uniquement :
ils font aussi de la très bonne dynamite, et une grande variété de
pièges en tout genre, toujours livrés en un temps record, mais qui ont
un peu trop tendance à se retourner contre leur utilisateur... :-)

> Et félicitations pour le nouveau boulot ! :-)


Merci !

--
Marc TERRIER