Ubuntu-fr

Zakhar

Re : [Résolu]Connexion automatique OPENVPN

Ce fil est parti en sucette il me semble non !

Essayons d'abord de comprendre mieux ce qu'il en est et quel est le besoin.

Mon Openvpn est opérationnel

Est-ce qu'on doit comprendre que tu lances une commande du style :

sudo openvpn --config mon_fichier_config.ovpn

Tu introduis éventuellement les identifiants/mot de passe, et ensuite ton VPN est opérationnel ?

Si c'est bien cela, la phrase suivante

mais impossible de le rendre automatique au démarrage.

... laisse penser que tu voudrais juste que le VPN soit lancé sans avoir à taper la commande à chaque fois que tu vas démarrer la machine.

Si c'est bien ce que tu désires :

Mon système n'est pas géré par Network-Manage, que j'ai déjà installé, mais en lançant la commande

NetworkManager n'a rien à faire dans l'histoire...

Si on a mal compris ce qui marche et ce que tu veux, peux-tu ré-expliquer s'il te plaît !

Gérer le VPN via NetworkManager sert à un autre besoin, c'est précisément si tu ne veux PAS avoir le VPN par défaut au démarrage, mais que tu veux simplement pouvoir lancer ton VPN uniquement quand tu en as besoin via un clic souris.

Si tu veux toujours avoir ton VPN actif, tu n'as nul besoin d'avoir les add-ons OpenVPN de NetworkManager.

Il suffit de faire une chose super simple : tu copies ton fichier de configuration, qui doit impérativement se terminer par l'extension .ovpn, dans le répertoire /etc/openvpn/client et c'est tout !

Bien sûr, si tu as besoin de mettre des identifiants/mots de passe "à la main", ça ne marchera évidemment pas dans un démarrage automatique qui ne peut rien demander à un utilisateur.

Dans ce cas là il faut que tu modifies un peu ton fichier .ovpn pour automatiser ce process.

Il faut "commenter" (ou supprimer)  deux directives et remplacer :

#auth-user-pass
#auth-retry interact
auth-user-pass /etc/openvpn/client/Mes_Credentials

Tu positionnes alors tes "credentials" (user et mot de passe) dans le fichier que tu as indiqué dans ta modification, ici /etc/openvpn/client/Mes_Credentials
Une ligne pour le "user"
Une ligne pour le mot de passe

Le fichier "credentials" doit être accessible seulement à root.

Et voila, ainsi tout est automatique au prochain reboot.

Pour lancer le vpn sans rebooter tu peux faire :

sudo systemctl start openvpn-client@ma_config

où "ma_config" est le nom de ton fichier de configuration (sans le .opvn)

Symétriquement tu peux faire un "stop" si tu ne veux plus du VPN.

A noter que donc avec cette manière de faire on peut basculer avec et sans VPN avec une ligne de commande. La seule chose que rajoute l'add-on NM est de pouvoir le faire en "clic souris" à la place. Pour ce qui me concerne, le terminal me va bien, pas besoin de la complexité additionnelle de l'add-on NM !

Dernière modification par Zakhar (Le 29/09/2021, à 19:02)

---

"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

Peace16

Re : [Résolu]Connexion automatique OPENVPN

Je suis souvent en root quand je lance mon openvpn

Peace16

Re : [Résolu]Connexion automatique OPENVPN

En redémarrant mon client,  les interfaces tun montent et sur le serveur et sur le client, sans que je fasse de manipulation, mais pas de connexion entre le serveur et le client,
Quand j'essaye de relancer le service, ça ne répond pas directement,  je commence à taper parfois toutes le commandes je que j'ai appris pour que ça redémarre, parfois un simple netplan apply et parfois d'autres  (je sais que c'est bizarre) fait activer la service .................................... c'est à chaque fois la même chose.

sudo openvpn --config mon_fichier_config.ovpn

   
mais mon fichier de configuration c'est un .conf

J'ai eu un petite décalage au niveau des réponses, désolée,  demain je vais relire tout ça à tête reposer et surtout bien comprendre les choses.
Merci pour votre participation.

Dernière modification par Peace16 (Le 01/10/2021, à 00:09)

Peace16

Re : [Résolu]Connexion automatique OPENVPN

Je réexplique,
Mes tunnels montent en utilisant la commande

/etc/init.d/openvpn start

côté serveur et côté client / ou la  commande

systemctl start openvpn@server

du côté serveur et

systemctl start openvpn@client

du côté client.
Mais je n'arrive pas à pinguer directement 8.8.8.8 ou mon serveur depuis le client, parfois il me suffit d'utiliser netplan apply  pour se connecter,  je trouve ça un peu bizarre et je ne vois aucun lien entre  openvpn et netplan.

openvpn --config /etc/openvpn/mon_fichier_config.conf

ne monte le nunnel

ce problème persiste depuis des semaines

Dernière modification par Peace16 (Le 06/10/2021, à 14:09)

Zakhar

Re : [Résolu]Connexion automatique OPENVPN

systemd utilise en arrière plan la commande openvpn pour monter les tunnels.

Quand tu "debugges" il vaut mieux utiliser directement la commande openvpn car tu as alors des messages directement sur la console qui peuvent t'aider. Pour systemd, il faut aller demander le journal.

Pour qu'on puisse t'aider utilement, il faut que tu nous indiques ce que le terminal te raconte quand tu lances directement la commande openvpn.

Voici un exemple qui marche, côté client, en se connectant à un VPN exposé par la Freebox :

$ sudo openvpn --config /etc/openvpn/client/my_config.ovpn 
Wed Oct  6 22:17:14 2021 OpenVPN 2.4.7 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 19 2021
Wed Oct  6 22:17:14 2021 library versions: OpenSSL 1.1.1f  31 Mar 2020, LZO 2.10
Wed Oct  6 22:17:14 2021 WARNING: using --pull/--client and --ifconfig together is probably not what you want
Wed Oct  6 22:17:14 2021 TCP/UDP: Preserving recently used remote address: [AF_INET]99.99.99.99:12345
Wed Oct  6 22:17:14 2021 UDP link local: (not bound)
Wed Oct  6 22:17:14 2021 UDP link remote: [AF_INET99.99.99.99:12345
Wed Oct  6 22:17:14 2021 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Wed Oct  6 22:17:14 2021 [Freebox OpenVPN server xxxxxxxxxxxxxxxx] Peer Connection Initiated with [AF_INET]99.99.99.99:12345
Wed Oct  6 22:17:16 2021 TUN/TAP device tun2 opened
Wed Oct  6 22:17:16 2021 /sbin/ip link set dev tun2 up mtu 1500
Wed Oct  6 22:17:16 2021 /sbin/ip addr add dev tun2 local 192.168.27.15 peer 192.168.0.254
Wed Oct  6 22:17:16 2021 Initialization Sequence Completed

(adresses IP et ports changés évidemment, pour confidentialité)

Tu vois, ça termine par "Initialization Sequence Completed" qui signifie que le tunnel (tun2 ici) est bien correctement monté.

Vérification :

$ ip a show dev tun2
6: tun2: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100
    link/none 
    inet 192.168.27.15 peer 192.168.0.254/32 scope global tun2
       valid_lft forever preferred_lft forever

On peut "pinger" la Freebox en face qui par convention répond à 192.168.N.254 (N étant le numéro du sous-réseau local entre 0 et 254)

$ ping 192.168.0.254
PING 192.168.0.254 (192.168.0.254) 56(84) bytes of data.
64 octets de 192.168.0.254 : icmp_seq=1 ttl=64 temps=17.5 ms
64 octets de 192.168.0.254 : icmp_seq=2 ttl=64 temps=17.7 ms

Le ping en l'occurrence est passé par le tunnel.

La configuration que j'utilise là ne redirige pas tout le trafic du PC, elle me sert juste à accéder aux Freebox de la famille et aux PC qui y sont connectés.
On peut bien sûr rediriger tout le trafic, c'est le fichier de configuration par défaut qui est prévu par Free, car il répond au cas d'usage "prévu" de la personne qui part en vacance à l'étranger et se connecte via sa Freebox pour éviter la censure de certains pays.

Donc si certaines choses ne passent pas par le tunnel (comme les DNS), c'est peut-être aussi les directives de ton fichier de configuration qui sont incorrectes... mais tu ne nous les as pas montrées donc on ne peut rien en dire !

Dernière modification par Zakhar (Le 06/10/2021, à 22:31)

---

"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

Peace16

Re : [Résolu]Connexion automatique OPENVPN

root@VPN-D:~# openvpn --config /etc/openvpn/client.conf
Wed Oct  6 20:47:20 2021 OpenVPN 2.4.7 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 19 2021
Wed Oct  6 20:47:20 2021 library versions: OpenSSL 1.1.1f  31 Mar 2020, LZO 2.10
Wed Oct  6 20:47:20 2021 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Oct  6 20:47:20 2021 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Oct  6 20:47:20 2021 TCP/UDP: Preserving recently used remote address: [AF_INET]194.0.0.1:1194
Wed Oct  6 20:47:20 2021 Socket Buffers: R=[212992->212992] S=[212992->212992]
Wed Oct  6 20:47:20 2021 UDP link local (bound): [AF_INET][undef]:1194
Wed Oct  6 20:47:20 2021 UDP link remote: [AF_INET]194.0.0.1:1194
Wed Oct  6 20:47:20 2021 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Wed Oct  6 20:47:20 2021 TLS: Initial packet from [AF_INET]194.0.0.1:1194, sid=f50aecec fc5ed06c
Wed Oct  6 20:47:20 2021 VERIFY OK: depth=1, CN=LOCAL
Wed Oct  6 20:47:20 2021 VERIFY KU OK
Wed Oct  6 20:47:20 2021 Validating certificate extended key usage
Wed Oct  6 20:47:20 2021 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Wed Oct  6 20:47:20 2021 VERIFY EKU OK
Wed Oct  6 20:47:20 2021 VERIFY OK: depth=0, CN=www.local.pr
Wed Oct  6 20:47:20 2021 Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, 2048 bit RSA
Wed Oct  6 20:47:20 2021 [www.local.pr] Peer Connection Initiated with [AF_INET]194.0.0.1:1194
Wed Oct  6 20:47:21 2021 SENT CONTROL [www.local.pr]: 'PUSH_REQUEST' (status=1)
Wed Oct  6 20:47:21 2021 PUSH: Received control message: 'PUSH_REPLY,route 10.0.1.0 255.255.255.0,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 10.0.1.2,dhcp-option DNS 8.8.8.8,dhcp-option DNS 8.8.4.4,route-gateway 10.9.0.1,topology subnet,ping 10,ping-restart 300,ifconfig 10.9.0.4 255.255.255.248,peer-id 0,cipher AES-256-GCM'
Wed Oct  6 20:47:21 2021 OPTIONS IMPORT: timers and/or timeouts modified
Wed Oct  6 20:47:21 2021 OPTIONS IMPORT: --ifconfig/up options modified
Wed Oct  6 20:47:21 2021 OPTIONS IMPORT: route options modified
Wed Oct  6 20:47:21 2021 OPTIONS IMPORT: route-related options modified
Wed Oct  6 20:47:21 2021 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Wed Oct  6 20:47:21 2021 OPTIONS IMPORT: peer-id set
Wed Oct  6 20:47:21 2021 OPTIONS IMPORT: adjusting link_mtu to 1625
Wed Oct  6 20:47:21 2021 OPTIONS IMPORT: data channel crypto options modified
Wed Oct  6 20:47:21 2021 Data Channel: using negotiated cipher 'AES-256-GCM'
Wed Oct  6 20:47:21 2021 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Wed Oct  6 20:47:21 2021 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Wed Oct  6 20:47:21 2021 ROUTE_GATEWAY 192.168.1.254/255.255.255.0 IFACE=enp0s9 HWADDR=08:00:27:cc:01:fe
Wed Oct  6 20:47:21 2021 TUN/TAP device tun0 opened
Wed Oct  6 20:47:21 2021 TUN/TAP TX queue length set to 100
Wed Oct  6 20:47:21 2021 /sbin/ip link set dev tun0 up mtu 1500
Wed Oct  6 20:47:21 2021 /sbin/ip addr add dev tun0 10.9.0.4/29 broadcast 10.9.0.7
Wed Oct  6 20:47:21 2021 /sbin/ip route add 194.0.0.1/32 via 192.168.1.254
Wed Oct  6 20:47:21 2021 /sbin/ip route add 0.0.0.0/1 via 10.9.0.1
Wed Oct  6 20:47:21 2021 /sbin/ip route add 128.0.0.0/1 via 10.9.0.1
Wed Oct  6 20:47:21 2021 /sbin/ip route add 10.0.1.0/24 via 10.9.0.1
Wed Oct  6 20:47:21 2021 GID set to nogroup
Wed Oct  6 20:47:21 2021 Initialization Sequence Completed

Tout me semble OK mais le tunnel ne monte pas

Peace16

Re : [Résolu]Connexion automatique OPENVPN

voilà c'est  la table de routage

Zakhar

Re : [Résolu]Connexion automatique OPENVPN

Le tunnel se monte bien, sinon tu ne le verrais pas dans les routes, mais le PUSH de ton provider me semble bizarre.

Aussi tu as une configuration "complexe" avec 3 ethernets, et le résultat du PUSH donne deux routes par défaut, l'ancienne n'étant pas enlevée, et la nouvelle étant en deux parties.

Pourtant en théorie ça devrait marcher avec cette table bizarre car les métriques semblent Ok et l'IP du vpn est bien routée toute seule.

Dernière modification par Zakhar (Le 09/10/2021, à 21:44)

---

"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

Peace16

Re : [Résolu]Connexion automatique OPENVPN

Mais il s'agit d'une simulation, c'est un réseau virtuel sous virtualbox,
Donc y'a la passerelle virtualbox qui fait office d'une box,   pour aller vers internet faut passer par cette interface " enp0s9"  et le réseau 10.0.4.0 , j'ai aussi simulé une adresse publique  ou un réseau publique 194.0.0.0 déclaré sur l'interface enp0s8.
10.9.0.0 c'est le réseau du serveur openvpn  ( interface tun0  sur  le client et le serveur ).:

Je vais voir ce que je peux faire, merci beaucoup.

Dernière modification par Peace16 (Le 09/10/2021, à 21:49)

Zakhar

Re : [Résolu]Connexion automatique OPENVPN

Virtualbox fait des choses assez particulières avec les réseaux.

Et sans avoir toutes les configs c'est pas facile... le réseau c'est un art difficile !

Je viens de passer une demi-journée à faire marcher correctement wireguard vers ma Freebox en mode NON redirect... le configuration "redirect" étant le truc pas défaut, mais pas mon cas d'usage.

Bon courage, wireshark est ton ami dans ces cas là.

Dernière modification par Zakhar (Le 09/10/2021, à 21:49)

---

"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

Peace16

Re : [Résolu]Connexion automatique OPENVPN

Franchement j'ai beau essayé  pour résoudre   le  problème  mais  impossible,  ce qu'est bizarre est que quand je tape netplan apply j'ai  la connectivité

Zakhar

Re : [Résolu]Connexion automatique OPENVPN

C'est un ubuntu serveur ?

Parce que sur un ubuntu desktop, netplan délègue tout à Network Manager.

Je hais cette couche netplan qui à mon sens n'apporte que de la complexité en rajoutant une "couche d'abstraction" qui a un langage différent des deux truc qu'elle abstrait : systemd et network manager... et donc ça fait un 3ème "langage" à apprendre qui en plus est loin de faire tout ce que font les deux backend sous-jacents !

---

"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

Peace16

Re : [Résolu]Connexion automatique OPENVPN

J'ai fait le teste sur ubuntu server 20.04 , et aussi sur ubuntu desktop , mais malheureusement c'est toujours le même problème;

Sinon je vais essayer de me basculer vers network manager,
J'ai déjà  fait des projets avec netplan mais j'ai eu aucun soucis , mais là avec  openvpn, je ne comprends plus rien,

Peace16

Re : [Résolu]Connexion automatique OPENVPN

C'est pas un problème au niveau du vpn, un petit oublie de la gateway m,'a causé tout ce problème.
Merci pour ceux qui ont participé

Zakhar

Re : [Résolu]Connexion automatique OPENVPN

C'est pas un problème au niveau du vpn, un petit oublie de la gateway m,'a causé tout ce problème.
Merci pour ceux qui ont participé

C'est toujours un petit truc qui manque dans les réseaux !

Une machine réseau mal paramétrée a récemment planté FB et ses copains plus de 6 heures.

---

"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

Peace16

Re : [Résolu]Connexion automatique OPENVPN

Effectivement,  je ne sais pas comment j'ai eu l'idée pour  commenté  la gateway,  mais c'est en faisant des erreurs, qu'on apprenne .:D

Dernière modification par Peace16 (Le 15/10/2021, à 14:36)