[Résolu] OpenVPN Script Angristan

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Résolu] OpenVPN Script Angristan

Rathorian

Bonsoir à tous,

Tout d'abord, merci à Angristan pour ce script qui à l'air plutôt sympa

Donc je viens d'essayer pour la 3ème fois l'installation du script concernant OpenVPN et ça ne fonctionne pas.

L'installation est faite sur une Debian 8 presque "fresh install" avec juste d'installé, postfix pour relayer les mails du serveurs, fail2ban, rkhunter et mon firewall que vous pouvez voir ici.

L'erreur que j'ai à la connexion d'OpenVPN avec mon pc sous windows 10 :

Wed Jun 22 22:13:48 2016 OpenVPN 2.3.11 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on May 10 2016
Wed Jun 22 22:13:48 2016 Windows version 6.2 (Windows 8 or greater) 64bit
Wed Jun 22 22:13:48 2016 library versions: OpenSSL 1.0.1t  3 May 2016, LZO 2.09
Enter Management Password:
Wed Jun 22 22:13:49 2016 Control Channel Authentication: tls-auth using INLINE static key file
Wed Jun 22 22:13:49 2016 UDPv4 link local: [undef]
Wed Jun 22 22:13:49 2016 UDPv4 link remote: [AF_INET]MON.IP.FAIL.OVER:1194
Wed Jun 22 22:14:49 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Jun 22 22:14:49 2016 TLS Error: TLS handshake failed
Wed Jun 22 22:14:49 2016 SIGUSR1[soft,tls-error] received, process restarting
Wed Jun 22 22:14:51 2016 UDPv4 link local: [undef]
Wed Jun 22 22:14:51 2016 UDPv4 link remote: [AF_INET]MON.IP.FAIL.OVER:1194
Wed Jun 22 22:14:56 2016 SIGTERM[hard,] received, process exiting

Sur le serveur, dans le fichier de logs "syslog" voici l'erreur :

Jun 22 22:13:48 ns ovpn-server[7157]: 80.12.XX.XX:63766 write UDPv4: Operation not permitted (code=1)
Jun 22 22:13:49 ns ovpn-server[7157]: 80.12.XX.XX:63766 write UDPv4: Operation not permitted (code=1)
Jun 22 22:14:46 ns ovpn-server[7157]: 80.12.XX.XX:63766 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Jun 22 22:14:46 ns ovpn-server[7157]: 80.12.XX.XX:63766 TLS Error: TLS handshake failed
Jun 22 22:15:03 ns ovpn-server[7157]: 80.12.XX.XX:65438 write UDPv4: Operation not permitted (code=1)
Jun 22 22:15:19 ns ovpn-server[7157]: 80.12.XX.XX:65438 write UDPv4: Operation not permitted (code=1)

Pour le "nat" avec iptables installé via le script :

Chain PREROUTING (policy ACCEPT 1495 packets, 52537 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain INPUT (policy ACCEPT 1397 packets, 46472 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 54 packets, 5024 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 26 packets, 1696 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 SNAT       all  --  *      *       10.8.0.0/24          0.0.0.0/0            to:MON.IP.FAIL.OVER

Et mon interface pour l'IP FailOVER qui est bien monté et fonctionne bien au ping :

eth0:0    Link encap:Ethernet  HWaddr fa:16:3e:XX:XX:XX
          inet adr:MON.IP.FAIL.OVER  Bcast:MON.IP.FAIL.OVER  Masque:255.255.255.255
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

Voilà, je pense avoir mis tout les logs.

Je sais plus trop quoi faire pour que ça fonctionne.
Pourriez-vous me donner un petit coup de main ?

Merci
Cordialement

Angristan

Salut, étrange tout ça, peut-être un bug dans le script, qui sait ^^

Si ça te dérange pas, faudrait que tu désinstalle OpenVPN via mon script puis que tu le réinstalle via le script sur lequel je me suis basé : https://github.com/Nyr/openvpn-install

Histoire de voir si le problème vient de mes modifications.

Rathorian

J'ai fait pas mal de recherche sur l'erreur reporté, puis j'ai trouvé sur le site officiel d'openvpn que les soucis avec TLS provenait souvent du fait qu'un firewall était en place sur le serveur et qui était mal configuré.

Je n'ai plus le lien, je rechercherais demain.

Mais je pense que ça vient de mon firewall et pas de ton script.

Ce qui me fait penser ça....
Quand on fait un "iptables -L -n -v" on voit les paquets qui sont passés et sur le port 1194 rien n'est passé durant mes essais de connexion, du coup, je me demande où ça bloque....

Demain, j'essaye en désactivant mon firewall, au moins je serais fixé.

Je te tiens au courant !

Rathorian

Pour un info, j'utilise un VPS SSD 1 2016.

J'ai supprimé toutes mes tables firewall (filter et nat) et le problème persiste. Même erreur avec TLS.

J'ai donc tout supprimé via ton script et réinstaller avec celui de "Nyr". Même problême avec TLS.

J'ai de nouveau réinstallé avec ton script en utilisant toujours le mode Fast (lower encryption) mais cette fois-ci, quand il me demande qu'elle IP utilisé au début du script, je n'ai pas mis mon IP FailOver mais l'IP prncipal du VPS. J'ai redésactivé le firewall (filter et nat) puis j'ai testé. J'essaye de me connecté, génial, ça fonctionne. Puis là j'essaye d'aller sur internet, mais aucune adresse fonctionne, je n'ai plus d'internet en étant connecté au vpn.....

Je deviens un peu fou, je cherche depuis quelques semaines, au final y'a toujours un problème

Angristan

Le script ne supporte pas les IPs failover ^^

Le fait que t'a pas internet via d'un problème dans iptables, peut-être qu'à force d'installer/ réinstaller il en a marre

Rathorian

Angristan wrote:Le script ne supporte pas les IPs failover ^^

C'est embêtant mais je vois pas trop le rapport en fait avec les IPs FailOver étant donné qu'à seulement 3 endroits on appel l'IP, dans le fichier "server.conf" d'OpenVPN, dans le fichier ".ovpn" sur le poste client et pour le firewall les règles NAT. Les 3 endroits peuvent être modifiés sans problème à la main. Après je suis pas un expert non plus mais c'est vrai que là tout de suite, IP Principal ou IP FailOver c'est la même chose pour moi, en tout cas par rapport au script.

Angristan wrote:Le fait que t'a pas internet via d'un problème dans iptables, peut-être qu'à force d'installer/ réinstaller il en a marre

Impossible, iptables était totalement ouvert (INPUT, FORWARD, OUTPUT, NAT).
Sachant que dès que ça ne fonctionnait pas, je formaté complètement le serveur et pas un simple "remove" de paquet.
Il y a juste aujourd'hui ou je n'ai pas formaté pour faire le test que tu m'as demandé avec le script de "Nyr".

aktarus69

Tu as fais ca ?

sudo sh -c 'echo 1 > /proc/sys/net/ipv4/ip_forward'

et modifier le fichier /etc/sysctl.conf en modifiant la valeur ou la créer si nécessaire

net.ipv4.ip_forward = 1

Angristan

aktarus69 wrote:Tu as fais ca ?

sudo sh -c 'echo 1 > /proc/sys/net/ipv4/ip_forward'
et modifier le fichier /etc/sysctl.conf en modifiant la valeur ou la créer si nécessaire

net.ipv4.ip_forward = 1

Le script le faire déjà : https://github.com/Angristan/OpenVPN-install/blob/master/openvpn-install.sh#L368

Bon je t'avoue que je sèche un peu... reformate le serveur ? 😛

Aerya

Tu as bien TUN/TAP ?

Rathorian

C'est ou que l'on voit si TUN/TAP est bien installé déjà ?

Aerya

ifconfig ou ip link
C'est l'interface virtuelle utilisée pour le VPN. Tu l'as de fait sur les VPS mais sur dédié/VM/CT ce n'est pas forcément le cas. Il faut donc la créer et l'activer avant de pouvoir l'utiliser.

Souvent les scripts checkent si TUN est activé ou non avant d'installer OpenVPN Server donc ce n'est peut-être pas la bonne piste...

finalcut

Salut sinon tu peux aussi tester le script que je viens de poster (https://mondedie.fr/d/8318)
La première chose qu'il fait c'est de vérifier si ta carte TUN/TAP est active ensuite il t'install openvpn, transmission-daemon, nginx, vsftpd, fail2ban, let's encrypt. Il y a un tuto video si tu as besoin d'aide. Bon courage à toi !

https://github.com/finalcutgit411/master

Rathorian

Un "ifconfig" me donne :

eth0      Link encap:Ethernet  HWaddr fa:16:XX:XX:XX:XX
          inet adr:MON.IP.PRINCIPAL  Bcast:MON.IP.PRINCIPAL  Masque:255.255.255.255
          adr inet6: fe80::f816:XXX:XXX:XXX/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:27644 errors:0 dropped:0 overruns:0 frame:0
          TX packets:29626 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          RX bytes:1880785 (1.7 MiB)  TX bytes:2703410 (2.5 MiB)

eth0:0    Link encap:Ethernet  HWaddr fa:16:XX:XX:XX:XX
          inet adr:MON.IP.FAIL.OVER  Bcast:MON.IP.FAIL.OVER  Masque:255.255.255.255
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

lo        Link encap:Boucle locale
          inet adr:127.0.0.1  Masque:255.0.0.0
          adr inet6: ::1/128 Scope:Hôte
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:10 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0
          RX bytes:880 (880.0 B)  TX bytes:880 (880.0 B)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet adr:10.8.0.1  P-t-P:10.8.0.1  Masque:255.255.255.0
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:306 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:100
          RX bytes:19565 (19.1 KiB)  TX bytes:0 (0.0 B)

Et un "ip link" :

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000
    link/ether fa:16:XX:XX:XX:XX brd ff:ff:ff:ff:ff:ff
6: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN mode DEFAULT group default qlen 100
    link/none

Donc a priori, oui !

Angristan wrote:Bon je t'avoue que je sèche un peu... reformate le serveur ? 😛

Je compte plus le nombre de fois ou j'ai réinstallé, je pense que si je trouve pas, je vais laisser tomber, je sature un peu

Rathorian

finalcut wrote:Salut sinon tu peux aussi tester le script que je viens de poster (https://mondedie.fr/d/8318)
La première chose qu'il fait c'est de vérifier si ta carte TUN/TAP est active ensuite il t'install openvpn, transmission-daemon, nginx, vsftpd, fail2ban, let's encrypt. Il y a un tuto video si tu as besoin d'aide. Bon courage à toi !

Merci à toi, mais je consacre mon VPS seulement au VPN, je me vois mal faire une seedbox avec un VPS et 10 Go de stockage !

finalcut

EN tous cas ta carte tun est active

Aerya

Tu peux afficher tes règles IPtables stp ? (en masquant les IP privées)
iptables -L

Angristan

Aerya wrote:Tu as bien TUN/TAP ?

Si le module tun n'est pas activé, le script le dit.

Rathorian

Aerya wrote:Tu peux afficher tes règles IPtables stp ? (en masquant les IP privées)
iptables -L

Je pense pas que ce soit très utile de t'afficher mes règles iptables car je n'ai plus rien d'activé pour le moment comme dit un peu plus haut pour les tests.
Les chaînes INPUT, FORWARD, OUTPUT et NAT sont en ACCEPT, je filtre plus rien et plus aucune règle.

J'arrive à me connecter au serveur VPN maintenant, mais si je reste connecté au VPN, mon accès internet ne fonctionne plus, je peux visiter aucun site.

Aerya

Connexion à la machine ok mais pas de redirection active. Ça montre que ça vient soit du script, l'auteur le saurait, soit d'IPtables. Avec les éléments de ce sujet je ne vois que ça.
Voici la partie de mes règles qui concerne ce sujet.

# Port OpenVPN
-I INPUT -p tcp -m tcp --dport 432 -j ACCEPT
# TUN
-I INPUT -i tun0 -j ACCEPT
-I FORWARD -i tun0 -j ACCEPT
# Routing
-I FORWARD -i tun0 -o eth0 -s 10.8.0.0/24 -j ACCEPT
-I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Rathorian

J'ai rajouté à mon firewall de base qui se trouve dans mon premier message ceci :

### OpenVPN
/sbin/iptables -t filter -A INPUT -p udp --dport 1194 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p udp --dport 1194 -j ACCEPT
echo " + OpenVPN : [OK]"

### Tun
/sbin/iptables -t filter -I INPUT -i tun0 -j ACCEPT
/sbin/iptables -t filter -I OUTPUT -o tun0 -j ACCEPT
/sbin/iptables -t filter -I FORWARD -i tun0 -j ACCEPT
/sbin/iptables -t filter -I FORWARD -o tun0 -j ACCEPT
echo " + TUN : [OK]"

### Routing
/sbin/iptables -t filter -I FORWARD -i tun0 -o eth0 -s 10.8.0.0/24 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to-source MON.IP.FAIL.OVER
echo " + ROUTING : [OK]"

Et ça fonctionne très bien, à priori !
Le pied, enfin......

Tout le trafic est bien redirigé sur mon IP FailOver.

Merci à toi Aerya 😀😀

Dans le doute, histoire de peaufiner ce que je viens de rajouter, j'aurais pas mis des règles qui ne servent à rien ?
Comme j'ai installer ces règles sans y comprendre grand chose...

Merci encore

Page suivante »