[Tutoriel] Serveur VPN sous Mac OSX (gratuit et libre, bien sûr), Installation d'un serveur (et d'un client) VPN sous Mac OS X

[570FF]

Hello !

Pour mon premier message sur ce forum, je vous propose, en guise de présentation, un petit tutoriel, qui s'intitule donc :

Configurer un serveur VPN sous Mac OS X

Et, pour commencer, que je vous accroche un peu :

1 Serveur « VPN », pourquoi ?

1.1 Serveur « VPN », kézako ?

« VPN » est l'acronyme de « Virtual Private Network ». Pour faire simple, c'est un sur-protocole internet qui va creuser un tunnel à travers le web, depuis un poste client jusqu'à votre serveur ; ceci permet aux clients de se connecter « virtuellement » en réseau local au serveur.

Exemple typique, pour clarifier : vous êtes en déplacement, aux antipodes de votre domicile, et votre MacBook est connecté au web via AirPort ; vous avez besoin ou envie d'accéder à un fichier qui se trouve chez vous, sur votre iMac, à des milliers de kilomètres ; aucun problème ! en quelques clics, vous êtes connecté à votre serveur à travers un tunnel protégé par un protocole de Diffie-Hellman à 2048 bits et un certificat de sécurité, et vous récupérez tout ce qu'il vous faut, dans le Finder, comme si de rien était.

1.2 Serveur « VPN », c'est bien ?

Oui, c'est bien ! Pourquoi ça ?

Vous pouvez accéder à votre Mac serveur dès que vous êtes connecté à internet avec votre Mac client.

Vous pouvez partager vos données, en donnant à vos amis des accès restreints personnalisés.

Du point de vue serveur, une fois l'installation effectuée, il n'y a plus rien à faire.

Du point de vue client, la connexion se fait en 2 clics, et le serveur apparaît immédiatement dans le Finder.

Bien mieux que MobileMe, qui ne propose qu'un faible espace payant, et certes plus compliquée qu'avec Mac OS X Server, la solution que je vous propose a le mérite d'être gratuite de A à Z et de partager tous les disques durs (internes et externes) de votre serveur !

Ça vous semble cool ? Alors on attaque.

2 Installation du serveur

Pour commencer, quelques précisions utiles :

Pour mener à bien cette installation, vous devez posséder des accès d'administration sur le Mac serveur. Il doit tourner sous Mac OS X 10.4 (Tiger) ou supérieur (personnellement, je suis sous Snow Leopard). Il doit être connecté à un routeur internet fournissant une IP externe fixe.

Ce tutoriel est un peu long, et il va toucher un peu profond dans votre ordinateur, je décline donc toute responsabilité si ça foire chez vous, et comme on dit toujours : sauvegardez vos données, ça fait pas de mal.

2.1 Préparation de l'installation

Pour commencer, vous devez installer un protocole VPN sur votre futur serveur. Nous allons utiliser OpenVPN, un projet open source et gratuit multi-platefomes (à propos (en anglais)). Téléchargez-le sur le site du projet (choisissez la dernière version, sous la forme ".tar.gz"). Décompressez tout ça, vous obtenez un dossier nommé "openvpn-2.1" ou quelque chose du genre.

J'allais oublier : pour mener à bien cette installation, vous aurez besoin d'outils usuels de développement tels que GCC (compilateur C). Pour cela, inscrivez-vous en tant que développeur (la classe !) sur l'Apple Developer Connection (vous êtes gratuitement membre dès que vous avez un Mac ; attention le site est en anglais) et téléchargez les outils de développement XCode. Installez, puis passez à la suite.

C'est le moment d'ouvrir un terminal (/Applications/Utilities/Terminal.app). Entrez les commandes suivantes :

Code

cd /Users/jeandupont/Downloads/openvpn-2.1/
./configure && make && sudo make-install

N'oubliez pas, dans la première commande, de mettre le vrai chemin d'accès du dossier téléchargé, celui-ci n'est qu'un exemple. La seconde commande vous demande, après un certain nombre de lignes de code, un mot de passe : il faut le mot de passe administrateur (ne vous inquiétez pas si rien ne s'affiche quand vous le tapez, c'est normal, c'est pour la sécurité, car le meilleur piratage se fait en regardant votre écran par-dessus votre épaule).

À ce stade (avant de taper le mot de passe) peut surgir un problème : les lignes de code se terminent en vous indiquant qu'il manque les bibliothèques LZO. Ces bibliothèques permettent la compression des fichiers durant le transfert et améliorent donc le débit, mais restent facultatifs. Vous pouvez donc tenter d'installer LZO (via fink, par exemple, mais ça ne marche pas toujours), ou faire sans en remplaçant la seconde commande par

Code

./configure --disable-lzo && make && sudo make-install

Une fois l'installation terminée, vous avez le protocole OpenVPN, félicitations ! Pour le vérifier, go terminal et entrez la commande

Code

man openvpn

et s'il vous affiche la page de manuel demandée (cf. screen ci-dessous), c'est bon, pressez la touche Q, sinon c'est raté. Gardez votre terminal ouvert, il va resservir.



2.2 Préparation du serveur

Pour commencer, affichez les fichiers et dossiers cachés (pleins de façons de faire ça, par exemple via les paramètres d'OnyX). Ensuite, rendez-vous dans /etc/ et créez-y un nouveau dossier nommé "openvpn" (sans guillemet) s'il n'existe déjà. Copiez-y le dossier nommé "easy-rsa" qui se trouve dans le dossier que vous avez téléchargé auparavant. Pour tout ceci, /etc/ étant un dossier système, vous aurez besoin d'un mot de passe administrateur.

Bon, maintenant, dans ce dossier /etc/openvpn/easy-rsa/, il y a normalement plusieurs dossiers, genre "1.0", "2.0", "Windows", etc. (cf. screen ci-après). Choisissez le nombre le plus élevé (par exemple "2.0") et entrez dans le dossier. Vous allez alors pouvoir configurer votre générateur de certificats.



Dans le dossier sus-mentionné se trouve un fichier nommé "vars" ; ouvrez-le avec TextEdit (ou avec "nano" dans le terminal, si vous êtes un(e) pro ; si vous utilisez TextEdit, pensez à ne pas ajouter de ".txt" et à encoder en UTF-8), et initialisez les variables situées à la fin du fichier, de KEY_COUNTRY à KEY_EMAIL (exemple de valeurs) :



Sauvegardez le fichier et fermez-le. C'est là que ça devient compliqué : il faut sourcer ce fichier, puis lancer les builders, or cette seconde partie nécessite d'être super-user ; le problème, c'est que la commande "sudo . ./vars" ne fonctionne pas dans bash (shell par défaut sous OS X) et que le même utilisateur doit sourcer et construire. Pour cela, il nous faut activer l'utilisateur "root" (l'utilisateur qui a tous les droits sur votre ordinateur).

Pour ce faire, dans le terminal, tapez

Code

sudo passwd root

Il vous demande alors un mot de passe administrateur, puis 2 fois le nouveau mot de passe de "root". Maintenant que c'est fait, il faut se connecter en root, tapez donc

Code

login root

et renseignez le mot de passe que vous venez de définir. Entrez alors les commandes suivantes :

Code

cd /etc/openvpn/easy-rsa/2.0/
. ./vars
./clean-all && ./build-ca

(Le chemin d'accès n'est qu'un exemple, n'oubliez pas de mettre le votre s'il diffère !) Ceci devrait vous poser plusieurs questions dans le terminal (les réponses entre crochets sont sélectionnez lorsque vous appuyez simplement sur Entrée, et vous les avez prédéfinies juste avant, donc ne vous fatiguez pas) ; tout est presque déjà rempli, reste le champ "Common Name" pour lequel vous pouvez mettre votre nom ou un pseudonyme.

Cette opération a créé l'autorité de certification de votre futur serveur (fichiers ca.crt et ca.key dans le sous-dossier du répertoire où vous êtes (ici : /etc/openvpn/easy-rsa/2.0/) nommé "keys"). Maintenant, il vous faut aussi un certificat et une clef. Pour cela, entrez à la suite dans le terminal l'instruction

Code

./build-key-server server

Laissez tous les champs par défaut, excepté "Common Name". Renseigner un mot de passe est inutile. Cette opération crée les fichiers "server.crt" et "server.key" dans keys/.

Vous suivez toujours ? Alors maintenant, il nous faut un protocole de Diffie-Hellman (protocole de cryptographie). Pour l'obtenir, entrez ensuite :

Code

./build-dh

Choisissez le cryptage à 2048 bits, ceci crée le fichier "dh2048.pem" dans keys/. (Ça peut prendre du temps.)

Pour vous déconnecter du compte root, entrez simplement

Code

exit

Enfin, il va vous falloir une adresse DNS : vous devez créer une ardresse internet (du type "forums.macgeneration.com", mais qui pointera sur votre propre serveur). Vous pouvez par exemple utiliser DynDNS, qui vous fournit gratuitement jusqu'à 5 hosts. Je vous laisse découvrir ça par vous-même, je détaillerai si besoin. Vous devez revenir avec un host (ex. : "lareinedangletterre.homeunix.org") associé à votre adresse IP. C'est pour ce point que vous avez besoin d'une IP fixe, sinon il vous faudra un client de mise à jour d'IP, ce qui complique la chose. Pour connaître votre IP externe (à laquelle sera associé le nom de domaine susmentionné), le plus simple que j'aie en tête, c'est iStat Pro, dans l'onglet Réseau. Enfin, la redirection DNS peut demander une configuration supplémentaire de votre routeur. J'expose plus loin un moyen usuel d'accéder à la configuration de son routeur, pour ceux qui ignorent comment faire chez eux.

C'est fait ? Alors let's move on.

2.3 Configuration du serveur

VPN est un protocole assez puissant, et, par conséquent et inévitablement, met en danger votre ordinateur. Pour cela, nous allons restreindre ses pouvoirs, en utilisant, pour lancer le serveur, un utilisateur aux droits limités. Pour ce faire, go Préférences Systèmes -> Comptes.

Commencez par créer un groupe d'utilisateurs nommé "vpn". Ensuite, créez un nouvel utilisateur, nommé "vpn", en mode Partage uniquement ; il doit être l'unique membre du groupe d'utilisateurs "vpn". Dans la liste à gauche de la fenêtre, faites un clic droit sur ce nouvel utilisateur "vpn", et choisissez Options avancées. Là, remplacez le contenu du champ "Shell d'accès" par "/usr/bin/false" et de "Répertoire de départ" par "/dev/null" (sans guillemet). Comme c'est si bien marqué, une fois que c'est fait, redémarrez votre ordi (et même une seconde fois, pour être sûr(e)).

Il faut maintenant créer le fichier de configuration. Avec TextEdit (ou "nano" dans le terminal pour les pros ; si vous utilisez TextEdit, faites Pomme-Shift-T pour passer en mode texte, et sauvegardez sans le ".txt" et en UTF-8), sauvegardez dans /etc/openvpn/ un fichier nommé "server.conf". Écrivez-y les lignes suivantes :

Code

port 1194
proto udp
dev tun

ca ca.crt
cert server.crt
key server.key  
dh dh2048.pem

server 10.8.0.0 255.255.255.0

keepalive 10 120

user vpn
group vpn

persist-key
persist-tun

status openvpn-status.log
log popenvpn.log

verb 2

Ensuite, j'imagine qu'il vous plairait de configurer le serveur pour qu'il se lance au démarrage de Mac OS. Pour cela, allez dans /Library/LaunchDaemons/ et créez un fichier nommé "org.openvpn.plist" avec TextEdit (ou nano pour les pros ; avec TextEdit, comme d'hab, Pomme-Shift-T, sans ".txt", en UTF-8). Inscrivez-y le code suivant :

Code

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN"
"http://www.apple.com/DTDs/PropertyList-1.0.dtd";>
<plist version="1.0">
<dict>
        <key>Label</key>
        <string>org.openvpn</string>
        <key>OnDemand</key>
        <false/>
        <key>Program</key>
        <string>/usr/local/sbin/openvpn</string>
        <key>ProgramArguments</key>
        <array>
                <string>openvpn</string>
                <string>--config</string>
                <string>server.conf</string>
        </array>
        <key>RunAtLoad</key>
        <true/>
        <key>TimeOut</key>
        <integer>90</integer>
        <key>WorkingDirectory</key>
        <string>/etc/openvpn</string>
</dict>
</plist>

Parfait, maintenant, redémarrez votre Mac (2 fois pour être sûr). Ouvrez un terminal et entrez

Code

ps aux | grep openvpn

Si vous voyez apparaître une ligne du genre

Code

vpn  600  0,7  0,0  2435400  1456  ??  Ss  Mar07  2:26.02  openvpn --config server.conf

alors c'est gagné, votre serveur est en route ! Bien joué !

Pour finir de configurer, vous devez autoriser l'accès via le firewall de Mac OS. Pour cela, ouvrez l'onglet Partage des Préférences Système, activez le Partage de fichiers, et, dans Options, autorisez l'accès en AFP.

Il reste une dernière étape, sur laquelle j'aurai un peu plus de mal à vous aider :

2.4 Configuration du routeur serveur

Le protocole OpenVPN que vous allez utiliser emprunte le port réseau 1194. Afin que cela fonctionne, vous devez rediriger le port de votre routeur sur celui de votre serveur.

Si vous ne savez pas comment faire, 2 options :

Vous avez un réseau local simple : un routeur (type box ADSL) branché, d'un côté à internet (prise téléphonique, câble numérique, fibre optique, etc.), de l'autre à votre serveur (ethernet, wi-fi, etc.). Dans ce cas, vous devez commencez par apprendre l'IP locale de votre serveur : ouvrez l'onglet Réseau des Préférences Système et, dans le menu de gauche, cherchez l'interface qui correspond à votre connexion au routeur. Sélectionnez-la, et notez : dans le champ "Adresse IP" se trouve l'adresse locale de votre serveur ; dans le champ "Passerelle par défaut" se trouve celle de votre routeur. Il faut maintenant se connecter à votre routeur, ce qui se fait usuellement, à supposer que votre passerelle par défaut soit 192.168.0.1, en entrant "http://192.168.0.1/" dans votre navigateur favori (regardez le mode d'emploi de votre routeur). Vous devez indiquer à votre routeur de rediriger (en anglais : "port forwarding") son port 1194 vers le port 1194 de votre serveur, usuellement en indiquant son adresse IP (que vous venez de récupérer). Ce port est sécurisé, c'est donc sans (trop de) danger.

Votre serveur se connecte au web à travers un réseau compliqué : au risque de plagier Windôb, veuillez contacter votre administrateur réseau.

3 Installation du client

Avec un serveur VPN configuré comme précédemment, vous pouvez gérer des clients sous Mac OS et sous diverses distributions Linux. Pour être accessible depuis Windows, votre serveur devra voir sa configuration complétée (amélioration du tuto à venir).

Voici une façon très simple de procéder sous Mac OS X 10.4 (Tiger) ou supérieur, à répéter pour chaque client à autoriser (1 client = 1 machine) :

3.1 Génération des fichiers d'accès

Un client VPN utilisera, pour se connecter à votre serveur, trois fichiers : le certificat d'authentification de votre serveur ; un certificat privé ; une clef de cryptage privée. Bien sûr, il faudra également un fichier de configuration.

Le premier fichier est le "ca.crt" de tout-à-l'heure, il se trouve normalement dans /etc/openvpn/.

Pour les deux autres, il va falloir retourner dans le dossier "easy-rsa" vu précédemment. Entrez donc les commandes suivantes dans un terminal (en remplaçant le chemin ci-dessous par le votre si-besoin, bien sûr ; et en remplaçant "Client0" par ce que vous voulez ; vous devez avoir activé le compte root comme vu précédemment) :

Code

login root
cd /etc/openvpn/easy-rsa/2.0/
. ./vars
./build-key Client0

Ceci génère dans le sous-dossier "keys" vu précédemment les fichiers "Client0.crt" et "Client0.key" dont je parlais. Déconnectez-vous du shell root :

Code

exit

Enfin, vous avez besoin d'un fichier de configuration. Voici celui que je vous propose (à créer avec TextEdit (même procédure : Pomme-Shift-T, sans ".txt", UTF-8) ou nano et à nommer en ".conf" ; renseignez le champ "remote" avec le nom de domaine (hostname) que vous avez obtenu à DynDNS (ou ailleurs), bien sûr, et donnez les bon noms aux fichiers privés ; si vous avez utilisé "./configure" avec l'option "--disable-lzo", oubliez la ligne "comp-lzo") :

Code

client
dev tun0
proto udp

remote lareinedangleterre.homeunix.org 1194

resolv-retry infinite
nobind

persist-key
persist-tun

ca ca.crt
cert Client0.crt
key Client0.key

comp-lzo

verb 2

3.2 Préparation du client

Sur la machine client, commencez par télécharger une GUI pour OpenVPN : c'est gratuit, open source, et ça s'appelle Tunnelblick. Téléchargez et installez. Créez un dossier "openvpn" dans votre Bibliothèque (/Users/jeandupont/Library/), et copiez-y les quatre fichiers susmentionnés : "ca.crt", "Client0.crt", "Client0.key", et "Client0.conf" (ou quel que soit le nom que vous avez choisi pour le client).

Lancez Tunnelblick, cliquez la ptite icone de tunnel dans la barre des menus, et choisissez "Connecter Client0". Normalement, tout fonctionne, et on voit de la lumière au bout du tunnel !

Go Finder, faites Pomme-K (Connect server) et entrez l'adresse "afp://10.8.0.1" (sans guillemet, bien sûr). Arrive la fenêtre d'identification, et paf ! ça fait du réseau local !

Si vous avez également autorisé la session à distance (Préférences Système > Partage) sur le serveur, vous pouvez vous connecter en SSH, et utiliser ses dérivés, par exemple pour synchroniser (rsync, peut-être un prochain tuto ?).

Voilà, time to enjoy!

******************************************


TODO:
* Configuration pour les clients Windows.
* Installation du client Windows.
* Installation du client Linux.
* Partage d'écran et VNC ?
* Jolis screenshots.

J'espère que ça vous a plu, et surtout que ça marche chez vous !

That's all, folks.

Ce message a été modifié par 570FF - 15 Feb 2010, 16:48.

[digsim]

Woaw super tutoriel. En plus ça tombe bien, j'allais me lancer dans la mise en place d'un serveur vpn prochainement. Joli boulot en tous cas

[Jorm]

Ça a l'air tout de même assez galère, mais ça m'intéresse fortement. Est-il possible entre autres de prendre le contrôle de l'iMac à distance depuis le MB (pour reprendre l'exemple) facilement par ce moyen ?
Je pense que je testerai ça ce week end ou la semaine prochaine !

[570FF]

Bien sûr, il est possible de faire tout ce qu'on fait en réseau local.

Avec Apple Remote Desktop ou VNC, tu peux tout à fait utiliser le contrôle à distance (à paramétrer dans l'onglet Partage des Préférences Système).

[Jorm]

Ok; donc je verrai mon iMac dans la barre latérale du Finder comme en réseau local. C'est top ça, c'est vraiment ce qui m'intéresse, je vais m'y mettre !
Merci !

[Jorm]

Premier problème...

Fichier(s) joint(s)

 Capture_d_____cran_2010_02_11____16.42.41.png ( 47.81 Ko ) Nombre de téléchargements : 152

 

[mgoffstro]

Bonjour
Tuto absolument splendide.
Je testerai cela.
Je cherche aussi à faire l'inverse, le serveur sur le PC WIN7 et le client sur MB.

Mgoffstro

[fpoil]

oups lecture trop rapide

Ce message a été modifié par fpoil - 11 Feb 2010, 17:04.

[Jorm]

Bon voilà, c'est installé, j'ai testé avec :

Code

ps aux | grep openvpn

J'obtiens un truc similaire, j'ai installé Tunnelblick avec les fichiers de conf, j'ai mappé le port 1194 (UDP) vers l'IP locale de mon iMac qui fait serveur (branché derrière une Freebox sans routeur et une Airport Extreme qui fait routeur), et je n'arrive pas à me connecter.

Code

2010-02-11 22:22:35 *Tunnelblick: Attempting connection with MacBook.conf; Set nameserver = 1; monitoring connection
2010-02-11 22:22:35 *Tunnelblick: /Applications/Tunnelblick.app/Contents/Resources/openvpnstart start MacBook.conf 1337 1 0 0 0
2010-02-11 22:22:35 SUCCESS: pid=741
2010-02-11 22:22:35 SUCCESS: real-time state notification set to ON
2010-02-11 22:22:35 SUCCESS: real-time log notification set to ON
2010-02-11 22:22:35 OpenVPN 2.1.1 i386-apple-darwin10.2.0 [SSL] [LZO2] [PKCS11] built on Feb  9 2010
2010-02-11 22:22:35 END
2010-02-11 22:22:35 SUCCESS: hold release succeeded
2010-02-11 22:22:35 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
2010-02-11 22:22:35 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2010-02-11 22:22:35 Control Channel MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
2010-02-11 22:22:35 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
2010-02-11 22:22:35 Local Options hash (VER=V4): '3514370b'
2010-02-11 22:22:35 Expected Remote Options hash (VER=V4): '239669a8'
2010-02-11 22:22:35 UDPv4 link local: [undef]
2010-02-11 22:22:35 UDPv4 link remote: MON.IP:1194
2010-02-11 22:23:35 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2010-02-11 22:23:35 TLS Error: TLS handshake failed
2010-02-11 22:23:35 TCP/UDP: Closing socket

Une idée ?

[terence_smd]

Salut et merci pour ce tuto.

J'ai testé l'installation sur mon iMac core i7.
J'ai installé Xcode pour la compilation.

J'ai suivi la procédure à la lettre sans problème mais au redémarrage de ma machine je n'ai ni l'interface tun dans mon ifconfig, ni le processus dans ps aux.

Faut-il au préalable installer un driver tun/tap pour que cela fonctionne?

Merci,

Térence

[psone]

Bienvenue sur MacBid, 570FF Et TYFSTWOK

Voilà une sympathique et utile façon de se présenter! Ca me rappelle les tutos de notre vieux namu

Ce message a été modifié par psone - 12 Feb 2010, 14:57.

[Jorm]

Bon, mon problème doit venir du fait que le réseau Freewifi de ma Freebox ne doit pas permettre de connexion sur le port 1194. J'ai essayé iVPN, et j'ai pu tester depuis le wifi de ma fac cette après-midi, ça fonctionne, j'essaierai donc avec OpenVPN et Tunnelblick lundi. Par contre, je n'arrive pas à faire du partage d'écran depuis mon MacBook (qui contrôle) sur mon iMac (serveur VPN) avec l'application Partage d'écran made by Apple. Ça reste noir. Je vais chercher d'autres clients VNC, mais c'est hors sujet de toute façon.
Bref, ça devrait fonctionner en toute logique. Comme j'ai un peu merdé pendant l'installation, je vais tout réinstaller et refaire ça proprement, mais ça m'a bien aidé. Merci ^^

[570FF]

Premier problème...

My bad, j'ai oublié de le préciser : pour installer OpenVPN, vous avez besoin d'outils de développement usuels tels que GCC.

Pour cela, il vous faut, comme l'a précisé terence_smd, installer XCode, le pack de SDK made in Apple, certes à sources privées, mais gratuit. Pour cela, enregistrez-vous à l'Apple Developer Connection (gratuit, mais en anglais) et téléchargez donc XCode Tools.

Je cherche aussi à faire l'inverse, le serveur sur le PC WIN7 et le client sur MB.

Je n'y connais pas grand chose en VPN sous Windows, mais je m'y intéresserai un de ces jours.

J'ai testé l'installation sur mon iMac core i7.
J'ai installé Xcode pour la compilation.

J'ai suivi la procédure à la lettre sans problème mais au redémarrage de ma machine je n'ai ni l'interface tun dans mon ifconfig, ni le processus dans ps aux.

Faut-il au préalable installer un driver tun/tap pour que cela fonctionne?

Pour ce que j'en sais, l'installation d'OpenVPN comprends les drivers TUN/TAP.

Tu peux essayer d'installer les drivers de Mattias Nissler, disponibles sur SourceForge (once again, gratuit et open source).

Tu peux aussi essayer d'installer Tunnelblick sur ton iMac, normalement il contient aussi des drivers TUN/TAP.

Bienvenue sur MacBid, 570FF Et TYFSTWOK

Voilà une sympathique et utile façon de se présenter! Ca me rappelle les tutos de notre vieux namu

Merci beaucoup.

Bon, mon problème doit venir du fait que le réseau Freewifi de ma Freebox ne doit pas permettre de connexion sur le port 1194. J'ai essayé iVPN, et j'ai pu tester depuis le wifi de ma fac cette après-midi, ça fonctionne, j'essaierai donc avec OpenVPN et Tunnelblick lundi. Par contre, je n'arrive pas à faire du partage d'écran depuis mon MacBook (qui contrôle) sur mon iMac (serveur VPN) avec l'application Partage d'écran made by Apple. Ça reste noir. Je vais chercher d'autres clients VNC, mais c'est hors sujet de toute façon.
Bref, ça devrait fonctionner en toute logique. Comme j'ai un peu merdé pendant l'installation, je vais tout réinstaller et refaire ça proprement, mais ça m'a bien aidé. Merci ^^

Effectivement, le gros problème de ce tuto c'est qu'il est souvent compliqué de configurer l'installation réseau.

Pour le partage d'écran et VNC, j'ajouterai une section prochainement.

[terence_smd]

Pour le partage d'écran, j'ai essayé quelques trucs :

Sur mon iMac : le partage d'écran est activé (via préférences système => partage d'écran) et autorisé pour mon compte utilisateur.

Le port 5900 est "naté" dans la config de ma freebox. C'est à dire que vous que lorsque que vous ferez une requête VNC sur votre adresse IP public depuis l'exterieur, votre freebox redirigera votre requête sur le serveur VNC MAC qui possède l'adresse IP renseignée comme suit :
Port source:5900
protocole:tcp
Port de destination: 5900
Adresse IP:192.168.X.X (pour être sûr que votre adresse IP ne change pas, préférer "DHCP avec @ IP fixe dans la config réseau de Léopard"

Tous les essais ont été effectués depuis l'exterieur :

Depuis un macbook sous OS.X.6, via le client "partage d'écran de snow léopard" c'est ok.
On entre l'adresse IP public (ou le DNS si vous en avez paramétré un)
Même à distance avec un client connecté sur une connexion pourrie (genre ADSL 512 kbps) la qualité d'affichage s'adapte au débit et c'est fonctionnel (c'est pas la grande joie mais ça permet de faire des trucs)

Depuis un PC windows avec client RealVNC, j'ai remarqué que ça ne marchait qu'en mode "high quality", si on diminue la qualité => ça coupe ! Du coup il faut une connexion avec un débit correct pour que ce soit agréable.

Depuis un PC linux (ubuntu), j'ai testé avec de nombreux clients :
Vinagre : ça marche mais c'est pas le top
vncviewer : il se paramètre mais j'ai le même problème que sous windows
xtightvncviewer : un peu mieux mais j'ai également le même problème que sous windows
krdc: c'est le meilleur compromis (en mode low quality) c'est quasiment identique au client de snow leopard!

Voilà, si ça peut aider quelqu'un...

(de mon côté je vais essayer de me battre avec ma config openvpn)

Merci,

[570FF]

Pour le partage d'écran, j'ai essayé quelques trucs :

[...]

Voilà, si ça peut aider quelqu'un...

Merci de ton aide ! Tu as l'air de t'y être plus intéressé que moi.

J'ai commencé à ajouter des screens dans le tuto.

[Jorm]

Pour le partage d'écran, j'ai essayé quelques trucs :

Sur mon iMac : le partage d'écran est activé (via préférences système => partage d'écran) et autorisé pour mon compte utilisateur.

Le port 5900 est "naté" dans la config de ma freebox. C'est à dire que vous que lorsque que vous ferez une requête VNC sur votre adresse IP public depuis l'exterieur, votre freebox redirigera votre requête sur le serveur VNC MAC qui possède l'adresse IP renseignée comme suit :
Port source:5900
protocole:tcp
Port de destination: 5900
Adresse IP:192.168.X.X (pour être sûr que votre adresse IP ne change pas, préférer "DHCP avec @ IP fixe dans la config réseau de Léopard"

Tous les essais ont été effectués depuis l'exterieur :

Depuis un macbook sous OS.X.6, via le client "partage d'écran de snow léopard" c'est ok.
On entre l'adresse IP public (ou le DNS si vous en avez paramétré un)
Même à distance avec un client connecté sur une connexion pourrie (genre ADSL 512 kbps) la qualité d'affichage s'adapte au débit et c'est fonctionnel (c'est pas la grande joie mais ça permet de faire des trucs)

Depuis un PC windows avec client RealVNC, j'ai remarqué que ça ne marchait qu'en mode "high quality", si on diminue la qualité => ça coupe ! Du coup il faut une connexion avec un débit correct pour que ce soit agréable.

Depuis un PC linux (ubuntu), j'ai testé avec de nombreux clients :
Vinagre : ça marche mais c'est pas le top
vncviewer : il se paramètre mais j'ai le même problème que sous windows
xtightvncviewer : un peu mieux mais j'ai également le même problème que sous windows
krdc: c'est le meilleur compromis (en mode low quality) c'est quasiment identique au client de snow leopard!

Voilà, si ça peut aider quelqu'un...

(de mon côté je vais essayer de me battre avec ma config openvpn)

Merci,

Ok, ça c'est pour faire du VNC classique, mais les connections VNC, d'après mes lectures, sont parmi les cibles principales des "attaques", donc ça ne m'intéresse guère, l'idée aurait plutôt été de voir apparaître "Partage d'écran" en dessous de "Se connecter comme" dans la barre latérale du Finder, pour faire du VNC mais en local. Mais je vais tout de même ouvrir le port 5900 et tester ça depuis ma fac.

[terence_smd]

C'est vrai que le port 5900 est l'une des cible favorite des pirates. Surtout que le mot de passe passe en clair sur le réseau.
De ce fait, si un pirate capture la bonne trame, il aura votre adresse IP public, le protocole VNC visible et le mot de passe visible (le tout dans la même trame). Je l'ai déjà fait!

Pour y pallier, il existe plusieurs solutions :

- Solution la plus solide (mise en œuvre destinée à un public averti) :
Mettre en place un réseau VPN en amont et n'autoriser que les connexions via le VPN. Par exemple Openvpn, associé à un firewall permet de le faire.
Une fois en place, vu de l'utilisateur, c'est transparent. Il se connecte grâce à son client openvpn (compatible linux, mac et windows) et un certificat sur son serveur. Il se retrouve connecté via un tunnel privé à son serveur openvpn et peut ensuite faire passer le traffic VNC, FTP, TELNET, etc... dans le tunnel (le tout de façon totalement cryptée)
Vu de votre routeur-firewall => une seule porte est ouverte : le port 1194 udp d'openvpn qui n'autorisera la connexion qu'à un client qui possède un certificat (généré par le serveur puis copié sur le client).

C'est très puissant => je le fait au quotidien sous linux car c'est la technologie utilisée par ma société pour se connecter à des machines à travers le monde.

- Solution plus rapide à mettre en place, moins solide mais suffisante (je pense) pour un particulier.
Utilisé SSH et le port forwarding :
Vu du serveur une seule porte est ouverte => SSH (22).
Tout le traffic est crypté SSH. C'est moins puissant qu'openvpn mais aucun mot de passe ne sera transmis en clair sur le réseau.
Le principe est assez simple :
Depuis le client, on lance une commande ssh sur le serveur avec les arguments permettant de se servir de SSH comme un tunnel pour faire transiter les autres protocoles :

un tutoriel est disponible ici

Cette deuxième technique est fonctionnelle, je l'ai déjà utilisé dans les pays ou le cryptage OpenVPN est interdit (par la legislation de l'état).

Voilà,

[Jorm]

C'est vrai que le port 5900 est l'une des cible favorite des pirates. Surtout que le mot de passe passe en clair sur le réseau.
De ce fait, si un pirate capture la bonne trame, il aura votre adresse IP public, le protocole VNC visible et le mot de passe visible (le tout dans la même trame). Je l'ai déjà fait!

Pour y pallier, il existe plusieurs solutions :

- Solution la plus solide (mise en œuvre destinée à un public averti) :
Mettre en place un réseau VPN en amont et n'autoriser que les connexions via le VPN. Par exemple Openvpn, associé à un firewall permet de le faire.
Une fois en place, vu de l'utilisateur, c'est transparent. Il se connecte grâce à son client openvpn (compatible linux, mac et windows) et un certificat sur son serveur. Il se retrouve connecté via un tunnel privé à son serveur openvpn et peut ensuite faire passer le traffic VNC, FTP, TELNET, etc... dans le tunnel (le tout de façon totalement cryptée)
Vu de votre routeur-firewall => une seule porte est ouverte : le port 1194 udp d'openvpn qui n'autorisera la connexion qu'à un client qui possède un certificat (généré par le serveur puis copié sur le client).

C'est très puissant => je le fait au quotidien sous linux car c'est la technologie utilisée par ma société pour se connecter à des machines à travers le monde.

- Solution plus rapide à mettre en place, moins solide mais suffisante (je pense) pour un particulier.
Utilisé SSH et le port forwarding :
Vu du serveur une seule porte est ouverte => SSH (22).
Tout le traffic est crypté SSH. C'est moins puissant qu'openvpn mais aucun mot de passe ne sera transmis en clair sur le réseau.
Le principe est assez simple :
Depuis le client, on lance une commande ssh sur le serveur avec les arguments permettant de se servir de SSH comme un tunnel pour faire transiter les autres protocoles :

un tutoriel est disponible ici

Cette deuxième technique est fonctionnelle, je l'ai déjà utilisé dans les pays ou le cryptage OpenVPN est interdit (par la legislation de l'état).

Voilà,

Pourrais-tu détailler la première solution ? Ça semble intéressant, tout en restant dans la cadre du sujet, et ça pourrait constituer une "annexe" au tuto par exemple. J'ai pu en tout cas tester le VNC "normal" (port 5900, avec l'application intégrée à OSX) et ça fonctionne plutôt bien, la connection est assez lente au début puis finalement assez rapide (la machine était en veille en même temps). Il faut que j'essaie en fermant le port 5900 et en utilisant l'ip locale, avec le VPN ça devrait fonctionner non ?

[570FF]

J'ai pu en tout cas tester le VNC "normal" [...]. Il faut que j'essaie en fermant le port 5900 et en utilisant l'ip locale, avec le VPN ça devrait fonctionner non ?

Je pense que oui, mais ça peut nécessiter un peu plus de config. Je m'y pencherai demain.

[Jorm]

Ok, merci ! Je testerai déjà à la fac sans config spéciale pour voir ce que ça donne.

[terence_smd]

J'ai pu en tout cas tester le VNC "normal" (port 5900, avec l'application intégrée à OSX) et ça fonctionne plutôt bien, la connection est assez lente au début puis finalement assez rapide (la machine était en veille en même temps). Il faut que j'essaie en fermant le port 5900 et en utilisant l'ip locale, avec le VPN ça devrait fonctionner non ?

Quand tu dis le "VNC normal" je suppose que tu parles de VNC depuis l'extérieur? (en passant par le routeur-firewall)

Si tu veux tester en local, tu n'as pas besoin de fermer le port 5900.
Si tu tapes l'ip local de ta machine (en 192.168.x.x) à la place de l'ip public depuis le client VNC (ou partage d'écran) d'un autre mac (ou pc) quand tu es sur le même réseau local tu devrais réussir à prendre la main sur ta machine sans passer par ton routeur-firewall.
La plupart des routeurs (freebox, livebox, etc) ne régulent que les flux qui viennent de l'extérieur.

Si tu veux tester depuis l'exterieur via le VPN, il faut juste vérifier que le firewall de Mac OS ne bloque pas le traffic VNC qui arrive du vpn.
Cependant si c'est pour travailler en local, le VPN est futile! ( à moins que tu n'es pas confiance en les personnes qui sont connectées à ton réseau local)

En ce qui concerne le détail de la solution 1, je préfère d'abord le faire fonctionner chez moi avant de publier des choses.

Je n'ai toujours pas eu le temps de faire fonctionner openvpn (server) sous MAC.

A+

[Jorm]

Non, ce que j'ai fait : j'ai installé un VPN, fonctionnel à 100% sur mon iMac chez moi (derrière un Fbx avec une Airport Extreme qui fait routeur). L'idée serait de faire du partage d'écran comme en local depuis l'extérieur sans ouvrir le port 5900, uniquement en passant par le VPN, donc avec le port 5900 fermé.
Illustration : je suis à la fac (pour changer) et je me connecte au VPN. Dans l'application Partage d'écran, j'entre l'ip locale de l'iMac qui est chez moi et ça fonctionne --> ça c'est ce que je veux faire, sans avoir à ouvrir le port 5900, pas assez sécurisé.

Ce message a été modifié par Jorm - 17 Feb 2010, 10:47.

[570FF]

Hello ! Après plusieurs tests, je confirme : VNC fonctionne à travers le tunnel.

Depuis, le poste client, il suffit de se connecter à internet (via un réseau pas trop restreint quand même), activer la connexion via Tunnelblick, puis : dans le Finder, Pomme-K et choisissez

Code

vnc://10.8.0.1

Si vous avez bien réglé les options de partage de votre serveur, et tout ceci sans forward le port 5900 du routeur vers votre serveur (ce qui, effectivement, est une cible usuelle pour les pirates).

Bon VPN !

Ce message a été modifié par 570FF - 18 Feb 2010, 13:33.

[Jorm]

Pas eu l'occasion de tester : j'étais à ma fac et j'ai ouvert Partage d'écran et tapé l'ip locale de mon iMac serveur, ça a marché, sauf qu'en me couchant à 2h j'avais oublié de fermer le port 5900
Mais du coup si ça fonctionne, c'est nickel. Me reste plus qu'à mettre en place un Wake on LAN et je pourrai à peu près tout faire sur l'iMac sans y accéder physiquement (au passage, quelqu'un sait comment mettre en place WoL avec une Fbx et une Airport Extreme en routeur, donc sans pouvoir utiliser le proxy WoL de la Fbx ?).

EDIT : il faudrait voir pour mettre ce tuto en post-it !

Ce message a été modifié par Jorm - 18 Feb 2010, 13:53.

[570FF]

Me reste plus qu'à mettre en place un Wake on LAN et je pourrai à peu près tout faire sur l'iMac sans y accéder physiquement (au passage, quelqu'un sait comment mettre en place WoL avec une Fbx et une Airport Extreme en routeur, donc sans pouvoir utiliser le proxy WoL de la Fbx ?).

Le plus simple : dans Préférences Système > Économiseur d'énergie, positionner le curseur d' « ordinateur en veille » sur « Jamais » et laisser le serveur en route (ni économe ni écolo). Ou alors, dans ces même préférences, cocher « Réactiver lors des accès réseau », ce qui, apparemment, ne marche pas toujours (je vais faire quelques tests dès que possible). Ou encore Wake550, qui marchait bien quand je l'utilisais, mais je ne sais pas s'il a été maintenu à jour (je retesterai aussi prochainement).

EDIT : il faudrait voir pour mettre ce tuto en post-it !

Je suis très flatté ! Merci de vos diverses contributions, by the way.

[Jorm]

En fait, mon iMac est allumé de 7h00 à 00h00, je l'ai programmé comme ça. Mais si je ne suis pas chez moi et que j'ai besoin d'un document ou de quoi que ce soit qui n'est accessible que sur l'iMac, je voudrais aussi pouvoir l'allumer avec WoL. Je sais qu'il y a une application (ici) ou des sites qui permettent d'allumer à distance. Cependant, je ne sais pas comment ça se passe au niveau du Magic Packet avec une Fbx et une Airport Extreme derrière. Il y a surement des redirections à faire, mais je ne sais pas lesquelles.

Enfin, tout ça c'est du HS !

[terence_smd]

Hello ! Après plusieurs tests, je confirme : VNC fonctionne à travers le tunnel.

Depuis, le poste client, il suffit de se connecter à internet (via un réseau pas trop restreint quand même), activer la connexion via Tunnelblick, puis : dans le Finder, Pomme-K et choisissez

Code

vnc://10.8.0.1

Si vous avez bien réglé les options de partage de votre serveur, et tout ceci sans forward le port 5900 du routeur vers votre serveur (ce qui, effectivement, est une cible usuelle pour les pirates).

Bon VPN !

Ok, c'est bon à savoir! Maintenant je suis encore plus frustré! :'(

J'ai toujours mon problème pour installer openvpn (server)!

J'ai suivi toute la procédure sans problème !

J'ai bien le "man openvpn" fonctionnel (oué cool il m'a installé le manuel) mais le ifconfig ne me renvoie toujours pas d'interface tun => logique puisque le serveur n'est pas lancé (commande ps aux |grep vpn ne donne rien).

Pourtant j'ai installer tunnelblick pour récupérer les driver tuntap!

Comment fait-on pour démarrer le serveur vpn à la main (genre /etc/init.d/openvpn start sous linux ) ?

J'ai testé avec :

Code

root# launchctl start /Library/LaunchDaemons/org.openvpn.plist
launchctl start error: No such process

Pourquoi mon fichier de log ne se remplit pas?

Peux-tu me transmettre ton fichier server.conf, un fichier de log fonctionnel et le résultat de la commande ls -la ?
de tes répertoires suivants :

Code

ls -la /etc/openvpn
ls -la /etc/openvpn/easy-rsa
ls -la /etc/openvpn/easy-rsa/2.0
ls -la /etc/openvpn/easy-rsa/2.0/keys
ls -la /Library/LaunchDaemon/org.openvpn.plist

Je voudrais être sûr des droits sur les répertoires...

Et si éventuellement tu peux me mettre un ifconfig avec?

Merci d'avance!

[zdv]

Petite question, côté client tunnelwick.

J'essaye d'accéder à un serveur openvpn sous linux.

Pas de problème, je me connecte bien sur l'intranet distant.

Le souci, est que pendant la connection VPN, je n'ai plus accès au WEB.

Si je décoche l'option "utiliser DNS distant", j'ai bien internet, mais ma connection VPN est bizarre, je n'ai plus d'accès aux noms sur l'intranet distant.

merci pour une aide éventuelle

[kara]

Bonjour,

à l'installation d'OpenVPN sur le serveur, juste après avoir saisi le mot de passe j'ai l'erreur suivante : "make-install" command not found

J'ai réussi à installer correctement LZO, mais ça ne passe pas dès la 1ière étape de OpenVPN, comment faire ?

EDIT :

En fait la bonne commande est "make install" à la place de "make-install"

EVIDEMMENT !!

Je poursuis donc mon installation

Ce message a été modifié par kara - 17 Mar 2010, 19:45.

[kara]

Bon, j'ai un problème lors de ma tentative de connexion avec la machine cliente voici les logs:

Log Output de OpenVPN :

2010-03-17 22:23:58 *Tunnelblick: Attempting connection with KaraPowerBook.conf; Set nameserver = 0; not monitoring connection
2010-03-17 22:23:58 *Tunnelblick: /Applications/Tunnelblick.app/Contents/Resources/openvpnstart start KaraPowerBook.conf 1337 0 0 0 1
2010-03-17 22:23:58 *Tunnelblick: /Applications/Tunnelblick.app/Contents/Resources/openvpn --management-query-passwords --cd /Users/Kara/Library/Application Support/Tunnelblick/Configurations --daemon --management-hold --management 127.0.0.1 1337 --config /Users/Kara/Library/Application Support/Tunnelblick/Configurations/KaraPowerBook.conf --script-security 2
2010-03-17 22:23:58 *Tunnelblick: openvpnstart status #242: Error: OpenVPN returned with status 1. Possible error in configuration file. See "All Messages" in Console for details

Log de la console lors de la tentative de connexion VPN :

17/03/10 22:23:58 openvpn[399] Options warning: Bad backslash ('\') usage in /Users/Kara/Library/Application Support/Tunnelblick/Configurations/KaraPowerBook.conf:1: remember that backslashes are treated as shell-escapes and if you need to pass backslash characters as part of a Windows filename, you should use double backslashes such as "c:\\openvpn\\static.key"
17/03/10 22:23:58 openvpn[399] Use --help for more information.
17/03/10 22:23:58 openvpn[399] Use --help for more information.

Est ce que vous auriez une idée de ce qui foire ?

Je précise que j'ai respecté à mon avis à la lettre le tutorial. Le seul écart identifié concerne le chiffrage : le chiffrement est en 1024 bits, et non en 2048.

[Jorm]

As-tu modifié le fichier de conf ?

port 1194
proto udp
dev tun

ca ca.crt
cert server.crt
key server.key
dh dh2048.pem

server 10.8.0.0 255.255.255.0

keepalive 10 120

user vpn
group vpn

persist-key
persist-tun

status openvpn-status.log
log popenvpn.log

verb 2

Si ton chiffrage est en 1024, tu dois remplacer ce que j'ai mis en gras et mettre 1024 à la place de 2048.

Ce message a été modifié par Jorm - 18 Mar 2010, 15:06.

[kara]

As-tu modifié le fichier de conf ?
Si ton chiffrage est en 1024, tu dois remplacer ce que j'ai mis en gras et mettre 1024 à la place de 2048.

J'ai bien fait cette modif dans le fichier de conf pas de problème. Par contre, je veux vérifier cette histoire de backslash...

EDIT:

Je n'ai pas d'antislash dans mon fichier de conf client.... du coup je ne vois pas d'où cela peut provenir.

Par contre, est ce je peux tester mon VPN sachant que mon serveur et mon client sont sur le même réseau local ? Je suppose que oui vu que j'avais testé la commande à distance avec le port 5900 via internet, mais pour le VPN ça doit rouler aussi non ?

La commande suivante sur le serveur ne me satsfait pas totalement dans la réponse :

ps aux | grep openvpn


J'ai ceci en réponse :

Kara 207 0,0 0,0 2435032 524 s000 S+ 7:50 0:00.00 grep openvpn

La fin n'est pas similaire à ce qu'indique 570FF... c'est comme si la commande grep openvpn était inopérante ? qu'en pensez vous ?

Ce message a été modifié par kara - 18 Mar 2010, 20:25.

[kara]

Bon, je vous avoue qu'après des heures de surf sur internet.... je bloque complet.

J'ai bien l'impression qu'il y a un truc qui ne va pas dans la config de mon serveur déjà.

Est ce que la commande openvpn doit produire un retour lorsqu'elle est executée sur le terminal ?

J'ai ceci lorsque je saisi openvpn restart


-bash: openvpn: command not found

Ce message a été modifié par kara - 18 Mar 2010, 22:24.

[beloutte]

merci pour ce super tuto !
j'étais justement en train d'en chercher un aussi bien fait.
j'aurai un mac mini lundi, je suis impatient d'essayer la manip étant donné que je l'ai acheté en partie pour ça (et pour en faire un mediacenter)

par contre, le mini sera derrière une time capsule, elle-même reliée à la freebox v5 (mode routeur off)
est-ce qu'il y aura des réglages spéciaux à faire ???

[MRIC]

Premier problème...

Tu aurais pu dire comment tu t'en étais sorti, j'ai le même problème

[Jorm]

Il faut installer Xcode qui te fournira le compilateur GCC nécessaire

[MRIC]

Allons y pour xCode
merci

[5thString]

onjour.

Quelqu'un a-t-il réussi à faire fonctionner tout celà? Chez moi l'installation se passe sans problème, mais impossible d'y connecter un client (que ce soit Tunnelblick ou viscosity). Je soupçonne qu'il y a quand-même un problème dans la configuration spécifiée ici.

A moins que ça ne soit la présence du routeur Airport Express?!?

[Jorm]

onjour.

Quelqu'un a-t-il réussi à faire fonctionner tout celà? Chez moi l'installation se passe sans problème, mais impossible d'y connecter un client (que ce soit Tunnelblick ou viscosity). Je soupçonne qu'il y a quand-même un problème dans la configuration spécifiée ici.

A moins que ça ne soit la présence du routeur Airport Express?!?

Pareil, jamais réussi à me connecter depuis que j'ai réinstallé OSX. Ports routés et tout... J'ai installé un VPN L2TP du coup.

[terence_smd]

Pour ma part, ça fonctionne enfin sur mon iMAC OS 10.6 derrière une freebox!
Après avoir déplacé quelques fichiers, réglé les problèmes de droits, mon serveur openVPN est enfin fonctionnel!

J'ai testé avec un client Openvpn sous Windows et c'est tout bon!!

Il ne me reste plus qu'à tester avec tunnelblick et openvpn client sous Linux, mais il n'y a aucune raison que ça ne marche pas!

J'ai ajouté ma petite touche personnelle avec un envoi automatique de mail à chaque connexion sur mon adresse gmail!!


Pour ceux qui ont des problèmes, merci de me donner les détails de ce qui coince avec les tests déjà effectués!!

@+

TS

[5thString]

Gah...

Alors pourquoi chez moi ça ne marche pas?!?
Au lancement, j'ai "Cannot open TUN/TAP dev /dev/tun1: Permission denied (errno=13)".
Quels droits dois-je modifier?

Help!!

[terence_smd]

Voici mes droits sur le dossier /etc/openvpn

-rw-r--r-- 1 vpn vpn 1696 Apr 13 12:14 ca.crt
-rw-r--r-- 1 vpn vpn 1679 Apr 13 12:14 ca.key
-rw-r--r-- 1 vpn vpn 424 Apr 13 12:21 dh2048.pem
drw-r--r-- 5 vpn vpn 170 Feb 11 13:38 easy-rsa
-rw-r--r-- 1 vpn vpn 232 Apr 19 14:03 openvpn-status.log
-rw-r--r-- 1 vpn vpn 1692 Apr 19 09:57 popenvpn.log
-rwxr-xr-x 1 vpn vpn 654 Apr 13 15:37 script
-rw-r--r-- 1 vpn vpn 384 Apr 14 10:29 server.conf
-rw-r--r-- 1 vpn vpn 5411 Apr 13 12:15 server.crt
-rw-r--r-- 1 vpn vpn 1679 Apr 13 12:15 server.key

Peux tu poster le contenu de ton fichier popenvpn.log?

Si tu as suivi le tuto depuis le départ avec le script org.openvpn.plist dans "/Library/LaunchDaemon/"
tu peux essayer les commandes suivantes pour vérifier que ton serveur openvpn se lance bien avec le script (et ça évite de redémarrer le Mac à chaque fois tu relances le serveur openvpn):
launchctl load /Library/LaunchDaemon/org.openvpn.plist => pour charger le fichier
launchctl start org.openvpn => pour démarrer le serveur

launchctl unload /Library/LaunchDaemon/org.openvpn.plist => pour décharger le fichier
launchctl stop org.openvpn pour le stopper

Si pas d'erreur tu devrais voir ton fichier de log (popenvpn.log) qui se remplit!

Voici également le contenu de mon fichier server.conf

####################
port 1194
proto udp
dev tun

ca ca.crt
cert server.crt
key server.key
dh dh2048.pem

server 10.99.0.0 255.255.255.0

push "route 10.99.0.0 255.255.255.0"

--script-security 3 system
learn-address /etc/openvpn/script

keepalive 10 120

user vpn
group vpn

persist-key
persist-tun

status openvpn-status.log
log popenvpn.log

verb 3

crl-verify /etc/openvpn/easy-rsa/2.0/keys/crl.pem

###############################

PS : en mettant verb 9 tu devrais cracher plus de logs donc ça permettra peut-être de résoudre le vrai problème!!

@+

TS

Ce message a été modifié par terence_smd - 19 Apr 2010, 14:15.

[5thString]

Merci!

Je vais poster le contenu de mon fichier de logs dès que possible (j'ai cassé tout le système, par dépit ). J'ai d'autre part trouvé le même tutoriel sur un autre Forum, mais revu et corrigé; peut-être que ça va m'aider également. Enfin, j'ai vu quelquepart (je ne sais plus où) que cette erreur 13 surgissait parceque j'avais lancé le serveur sans le sudo de rigueur, ce qui provoque des problèmes de droits de création des 'tun'.

Ca fait quelques pistes.

J'ai des questions cependant:
1- Faut-il installer tuntap?
2- Faut-il activer le transfert d'ip?
3- Y a-t-il besoin de configurer des chemins statiques quelquepart?
4- lors de la création de l'utilisateur vpn, faut-il lui assigner un mot de passe?

Je reviendrai bientôt te demander un peu plus d'aide. Merci encore!

Ce message a été modifié par 5thString - 21 Apr 2010, 14:03.

[5thString]

onjour.

Quelqu'un a-t-il réussi à faire fonctionner tout celà? Chez moi l'installation se passe sans problème, mais impossible d'y connecter un client (que ce soit Tunnelblick ou viscosity). Je soupçonne qu'il y a quand-même un problème dans la configuration spécifiée ici.

A moins que ça ne soit la présence du routeur Airport Express?!?

Pareil, jamais réussi à me connecter depuis que j'ai réinstallé OSX. Ports routés et tout... J'ai installé un VPN L2TP du coup.

Tu pourrais nous faire un tuto s'il te plait? Même succint?

[terence_smd]

1- Faut-il installer tuntap?

J'ai installer le client Tunnelblick (qui contient les drivers TUN/TAP) mais il semble que ces drivers Tun/tap soient inclus dans les sources d'openvpn!

2- Faut-il activer le transfert d'ip?

Le transfert d'IP?? Qu'entend-tu par là?
Si tu parles de l'adressage IP en 10.8.0.x dans la config du serveur openvpn, la réponse est oui => il faut mettre la ligne dans le fichier server.conf

Si tu parles de l'utilisation d'un DNS, ce n'est pas obligatoire sauf si tu ne disposes pas d'une adresse IP fixe!

3- Y a-t-il besoin de configurer des chemins statiques quelquepart?

Si ton fichier server.conf est correct, il n' y a pas de route statique à ajouter!

server 10.99.0.0 255.255.255.0 => cette ligne ajoute la route sur le serveur

push "route 10.99.0.0 255.255.255.0" => cette ligne ajoute la route sur le client

4- lors de la création de l'utilisateur vpn, faut-il lui assigner un mot de passe?

Pour ça j'ai suivi la procédure en créant un compte vpn en partage uniquement sans mdp je crois!!

Quel est exactement ton pb? Ton serveur est lançé?
C'est la connexion avec un client qui échoue?

@+

[5thString]

Sache que j'apprécie vraiment ton aide!

Les choses n'ont que peu évolué depuis la dernière fois; je n'ai eu que très peu de temps pour m'y remettre. J'ai donc tout réinstallé au propre, et j'ai la très nette impression que le serveur ne se lance pas (commande 'ps aux' --> pas d'openvpn dans la liste qui s'affiche), que ce soit par le script de démarrage ou par la ligne de commande. Je mettrai des logs dans le courant du weekend. J'ai jetté un coup d'oeil à la console système qui semble boucler sur les tentatives de lancement, mais aux heures où je l'ai fait, je n'avais pas l'esprit assez clair pour retenir ce que je lisais...
Donc en gros, je n'en suis pas encore au point d'essayer de connecter un client!!

J'ai modifié les droits pour que ça ressemble aux tiens. Rafraîchis ma mémoire: Dans une ligne du style -rw-r--r-- 1 vpn vpn 1696 Apr 13 12:14 ca.crt, les deux "vpn", c'est d'abord le groupe puis l'utilisateur?

Par transfert d'IP, j'entends en fait translation d'IP, c'est à dire un mapping façon NAT, sauf qu'au lieu de mapper des ports, on mappe des adresses IP. Certains disent que c'est essentiel pour que ça marche, d'autres ne le mentionnent même pas! Dur de trouver la vérité vraie.

J'utilise Viscosity au lieu de Tunnelblick comme client, mais je ne pense pas que ça change grand'chose. Par contre, je ne l'ai pas installé sur mon poste serveur, alors peut-être que les drivers tun/tap manquent quand-même?

Il y a un truc qui me chagrine - c'est la génération de la clef dh2048: ca me dit "Attention, ça va être long!" et ça ne l'est pas la première fois. Par contre, ça l'est si je relance la commande de génération?!?

Dernière question: c'est quoi, le fichier script (--script-security 3 system, puis learn-address /etc/openvpn/script dans le fichier de conf)
)?

Voilà. La suite dans un petit moment. A bientôt.
Julian

Ce message a été modifié par 5thString - 23 Apr 2010, 10:03.

[terence_smd]

Les choses n'ont que peu évolué depuis la dernière fois; je n'ai eu que très peu de temps pour m'y remettre. J'ai donc tout réinstallé au propre, et j'ai la très nette impression que le serveur ne se lance pas (commande 'ps aux' --> pas d'openvpn dans la liste qui s'affiche), que ce soit par le script de démarrage ou par la ligne de commande. Je mettrai des logs dans le courant du weekend. J'ai jetté un coup d'oeil à la console système qui semble boucler sur les tentatives de lancement, mais aux heures où je l'ai fait, je n'avais pas l'esprit assez clair pour retenir ce que je lisais...
Donc en gros, je n'en suis pas encore au point d'essayer de connecter un client!!

Si en faisant ça :
>ps aux | grep openvpn

Tu ne vois pas cette ligne :
vpn 178 0.0 0.1 2436540 2612 ?? Ss 6:59AM 0:06.41 openvpn --config server.conf

C'est que ton serveur n'est pas lançé.

Je pense que le mieux pour déboguer, c'est de le lancer manuellement.
Pour cela tu tapes ces commandes dans un shell root:

login root
>ton mot de passe root
launchctl stop org.openvpn pour stopper le serveur
launchctl unload /Library/LaunchDaemon/org.openvpn.plist => pour décharger le fichier

launchctl load /Library/LaunchDaemon/org.openvpn.plist => pour charger le fichier
launchctl start org.openvpn => pour démarrer le serveur

A chaque modification de tes droits ou de ton fichier de config openvpn, tu retapes les commandes ci dessus et tu consultes le fichier poenvpn.log pour analyser les défaillances.

J'ai modifié les droits pour que ça ressemble aux tiens. Rafraîchis ma mémoire: Dans une ligne du style -rw-r--r-- 1 vpn vpn 1696 Apr 13 12:14 ca.crt, les deux "vpn", c'est d'abord le groupe puis l'utilisateur?

Les droits :
-rw-r--r-- 1 vpn vpn 1696 Apr 13 12:14 ca.crt

L'utilisateur et le groupe propriétaires du fichier ca.crt est vpn.

Les droits sont affichés de gauche à droite pour l'utilisateur propriétaire, le groupe propriétaire et les autres utilisateurs.
Ils sont représentés par des r, w, x et - à partir du second des dix caractères (le premier caractère peut être d (pour directory) si c'est un dossier, - si c'est un fichier ou un alias, l pour un lien symbolique Unix, etc.).
r = peut être lu (read)
w = peut être modifié (written)
x = peut être exécuté
- = droit non autorisé

Par transfert d'IP, j'entends en fait translation d'IP, c'est à dire un mapping façon NAT, sauf qu'au lieu de mapper des ports, on mappe des adresses IP. Certains disent que c'est essentiel pour que ça marche, d'autres ne le mentionnent même pas! Dur de trouver la vérité vraie.

Pour que ton serveur openvpn fonctionne de l'extérieur (depuis internet), il faut en effet que tu fasses du NAT dans ton routeur (freebox, livebox, etc...)
Pour cela, il faut que tu rediriges le port udp 1194 d'openvpn vers l'adresse IP de ton serveur!

Sur une freebox par exple :
Dans l'interface admin du routeur :

Redirections de ports:
Port | Protocole | Destination | Port
1194 | UDP | 192.168.X.X | 1194

avec 192.168.X.X l'adresse IP de ton serveur.

Sur un routeur plus pro :
Activer | Nom du service | Action | Adresse IP du serveur LAN | Utilisateurs WAN | Journal
oui | Openvpn | Toujours autoriser | 192.168.X.X | TOUS | OUI ou NON

Avec le service Openvpn déclaré comme ceci :
# | Type de service | Ports
1 | OpenVPN | 1194


Par contre, ce n'est pas à cause du nat que ton serveur ne démarre pas!
Même si le NAT n'est pas paramétré dans ton routeur, tu devrais qd même voir :
vpn 178 0.0 0.1 2436540 2612 ?? Ss 6:59AM 0:06.41 openvpn --config server.conf
quand tu lances la commande ps-aux | grep openvpn

J'utilise Viscosity au lieu de Tunnelblick comme client, mais je ne pense pas que ça change grand'chose. Par contre, je ne l'ai pas installé sur mon poste serveur, alors peut-être que les drivers tun/tap manquent quand-même?

Non je ne pense pas que les drivers manquent!

Il y a un truc qui me chagrine - c'est la génération de la clef dh2048: ca me dit "Attention, ça va être long!" et ça ne l'est pas la première fois. Par contre, ça l'est si je relance la commande de génération?!?

La commande de génération d'une clé 2048 est un processus généré de façon aléatoire en utilisant des données de ton système. Certaine clé se génère en bougeant la souris par exemple pour avoir un processus le plus aléatoire possible.
Pour des raisons de sécurité, si tu relances 2 fois de suite la commande, il est possible que le système mette plus de temps à la générer car il doit être sûr qu'elle est différente de la première => donc faire appel à d'autres données!

Dernière question: c'est quoi, le fichier script (--script-security 3 system, puis learn-address /etc/openvpn/script dans le fichier de conf)
)?

--script-security 3 system
Permet de garder une compatibilité avec les anciennes version d'openvpn!

learn-address /etc/openvpn/script
Permet de faire appel à un script qui m'envoie un mail automatique à chaque connexion d'un client!

Dans ton cas il faut les supprimer car tu n'as pas de script je pense.

@+

Ce message a été modifié par terence_smd - 23 Apr 2010, 10:57.

[5thString]

Plus de questions pour l'instant, Votre Honneur! J'ai hâte de m'y remettre.

Merci!

[5thString]

launchctl load /Library/LaunchDaemon/org.openvpn.plist me dit

launchctl: Dubious ownership on file (skipping): org.openvpn.plist
nothing found to load

[chombier]

launchctl load /Library/LaunchDaemon/org.openvpn.plist me dit

launchctl: Dubious ownership on file (skipping): org.openvpn.plist
nothing found to load

Code

$ sudo chown root:wheel /Library/LaunchDaemon/org.openvpn.plist

[terence_smd]

launchctl load /Library/LaunchDaemon/org.openvpn.plist me dit

launchctl: Dubious ownership on file (skipping): org.openvpn.plist
nothing found to load

Code

$ sudo chown root:wheel /Library/LaunchDaemon/org.openvpn.plist

Moi, j'ai les droits suivants sur ce fichier :

Code

$ sudo chown root:vpn /Library/LaunchDaemon/org.openvpn.plist

Puis faire attention à être loggué en root avant de lancer les commandes launchctl

Code

$ login root

[chombier]

Moi, j'ai les droits suivants sur ce fichier :

Code

$ sudo chown root:vpn /Library/LaunchDaemon/org.openvpn.plist

L'important est que le fichier ne soit modifiable que par root. Sinon, launchctl refuse de s'en servir.

Puis faire attention à être loggué en root avant de lancer les commandes launchctl

Code

$ login root

Ou lancer la commande avec sudo ce qui revient au même, tout en évitant d'activer l'utilisateur root.

[5thString]

Pfouh... C'est complexe!

J'ai également eu un message d'erreur dans les logs disant que le fichier dh2048.pem était inexistant... Mais ça, il faut que je le reproduise pour en savoir plus. D'après ce que je comprends des fichiers de configuration, il faut bien que les fichiers de sécurité (ca.crt, server.crt, server.key, dh2048.pem) soient directement dans le dossier /etc/openvpn, n'est-ce-pas?

Merci pour les infos complémentaires, j'essaye ça ce soir .

Ce message a été modifié par 5thString - 29 Apr 2010, 08:55.

[terence_smd]

L'important est que le fichier ne soit modifiable que par root. Sinon, launchctl refuse de s'en servir.

Dans ce cas, si le pb vient du fait que le fichier doit être en écriture que pour root il faut donc faire en plus :

Code

sudo chmod 644 /Library/LaunchDaemon/org.openvpn.plist

Pour ainsi obtenir les droits suivants :
-rw-r--r-- 1 root vpn 754 Apr 13 09:24 /Library/LaunchDaemons/org.openvpn.plist

Ou lancer la commande avec sudo ce qui revient au même, tout en évitant d'activer l'utilisateur root.

En effet!

J'ai également eu un message d'erreur dans les logs disant que le fichier dh2048.pem était inexistant... Mais ça, il faut que je le reproduise pour en savoir plus. D'après ce que je comprends des fichiers de configuration, il faut bien que les fichiers de sécurité (ca.crt, server.crt, server.key, dh2048.pem) soient directement dans le dossier /etc/openvpn, n'est-ce-pas?

Oui en effet!

Voici le contenu du répertoire /etc/openvpn que tu devrais avoir (avec les bons droits!!) :
-rwxr--r-- 1 vpn vpn 1696 Apr 13 12:14 ca.crt
-rwxr--r-- 1 vpn vpn 1679 Apr 13 12:14 ca.key
-rwxr--r-- 1 vpn vpn 424 Apr 13 12:21 dh2048.pem
drwxr--r-- 5 vpn vpn 170 Feb 11 13:38 easy-rsa
-rwxr--r-- 1 vpn vpn 390 Apr 29 13:50 openvpn-status.log
-rwxr--r-- 1 vpn vpn 12469 Apr 29 13:32 popenvpn.log
-rwxr--r-- 1 vpn vpn 384 Apr 14 10:29 server.conf
-rwxr--r-- 1 vpn vpn 5411 Apr 13 12:15 server.crt
-rwxr--r-- 1 vpn vpn 1679 Apr 13 12:15 server.key

Sachant que normalement les droits en exécution ne devraient pas être utiles pour l'utilisateur vpn! Mais bon chez moi avec ces droits là ça fonctionne impec!

[chombier]

Voici le contenu du répertoire /etc/openvpn que tu devrais avoir (avec les bons droits!!) :
-rwxr--r-- 1 vpn vpn 1696 Apr 13 12:14 ca.crt
-rwxr--r-- 1 vpn vpn 1679 Apr 13 12:14 ca.key
-rwxr--r-- 1 vpn vpn 424 Apr 13 12:21 dh2048.pem
drwxr--r-- 5 vpn vpn 170 Feb 11 13:38 easy-rsa
-rwxr--r-- 1 vpn vpn 390 Apr 29 13:50 openvpn-status.log
-rwxr--r-- 1 vpn vpn 12469 Apr 29 13:32 popenvpn.log
-rwxr--r-- 1 vpn vpn 384 Apr 14 10:29 server.conf
-rwxr--r-- 1 vpn vpn 5411 Apr 13 12:15 server.crt
-rwxr--r-- 1 vpn vpn 1679 Apr 13 12:15 server.key

Sachant que normalement les droits en exécution ne devraient pas être utiles pour l'utilisateur vpn! Mais bon chez moi avec ces droits là ça fonctionne impec!

Je ne me suis jamais servi d'openvpn, mais dans les fichiers que tu listes, certains ne contiendraient pas des clés privées ne devant être accessibles en lecture que par root ?

[5thString]

Voilà. J'ai dans les logs

Thu Apr 29 23:07:41 2010 us=883672 OpenVPN 2.1.1 i386-apple-darwin10.3.0 [SSL] built on Apr 21 2010
Thu Apr 29 23:07:41 2010 us=883797 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Thu Apr 29 23:07:41 2010 us=883812 NOTE: --script-security method='system' is deprecated due to the fact that passed parameters will be subject to shell expansion
Thu Apr 29 23:07:41 2010 us=921763 Diffie-Hellman initialized with 2048 bit key
Thu Apr 29 23:07:41 2010 us=922452 TLS-Auth MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Apr 29 23:07:41 2010 us=922562 ROUTE default_gateway=0.0.0.0
Thu Apr 29 23:07:41 2010 us=922687 TUN/TAP device /dev/tun0 opened
Thu Apr 29 23:07:41 2010 us=922716 /sbin/ifconfig tun0 delete
ifconfig: ioctl (SIOCDIFADDR): Can't assign requested address
Thu Apr 29 23:07:41 2010 us=986254 NOTE: Tried to delete pre-existing tun/tap instance -- No Problem if failure
Thu Apr 29 23:07:41 2010 us=986295 /sbin/ifconfig tun0 10.99.0.1 10.99.0.2 mtu 1500 netmask 255.255.255.255 up
Thu Apr 29 23:07:41 2010 us=989690 /sbin/route add -net 10.99.0.0 10.99.0.2 255.255.255.0
add net 10.99.0.0: gateway 10.99.0.2
Thu Apr 29 23:07:41 2010 us=998998 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Thu Apr 29 23:07:41 2010 us=999790 GID set to vpn
Thu Apr 29 23:07:41 2010 us=999856 UID set to vpn
Thu Apr 29 23:07:41 2010 us=999887 Socket Buffers: R=[42080->65536] S=[9216->65536]
Thu Apr 29 23:07:41 2010 us=999905 UDPv4 link local (bound): [undef]:1194
Thu Apr 29 23:07:41 2010 us=999916 UDPv4 link remote: [undef]
Thu Apr 29 23:07:41 2010 us=999942 MULTI: multi_init called, r=256 v=256
Thu Apr 29 23:07:41 2010 us=999984 IFCONFIG POOL: base=10.99.0.4 size=62
Thu Apr 29 23:07:42 2010 us=19 Initialization Sequence Completed

Par contre, ps aux | grep openvpn me dit

mon_utilisateur 301 0.5 0.0 2435036 524 s000 S+ 11:15PM 0:00.00 grep openvpn

Il y a un truc qui me chagrine: J'ai l'impression (à vérifier) qu'il faut que Tunnelblick soit lancé pour qu'il arrive à allouer un TUN...
D'autre part, j'ai deux questions.
1. Lorsque l'on créé les clefs pour le client, faut-il donner le même Common Name que l'on a utilisé pour le serveur?
2. Dans le fichier org.openvpn.plist du tutoriel, il y a

Code

        <key>ProgramArguments</key>
        <array>
                <string>openvpn</string>
                <string>--config</string>
                <string>server.conf</string>
        </array>

La ligne <string>openvpn</string> a-t-elle raison d'être??

Ce message a été modifié par 5thString - 30 Apr 2010, 09:54.

[terence_smd]

Voilà. J'ai dans les logs

Thu Apr 29 23:07:41 2010 us=883672 OpenVPN 2.1.1 i386-apple-darwin10.3.0 [SSL] built on Apr 21 2010
Thu Apr 29 23:07:41 2010 us=883797 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Thu Apr 29 23:07:41 2010 us=883812 NOTE: --script-security method='system' is deprecated due to the fact that passed parameters will be subject to shell expansion
Thu Apr 29 23:07:41 2010 us=921763 Diffie-Hellman initialized with 2048 bit key
Thu Apr 29 23:07:41 2010 us=922452 TLS-Auth MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Apr 29 23:07:41 2010 us=922562 ROUTE default_gateway=0.0.0.0
Thu Apr 29 23:07:41 2010 us=922687 TUN/TAP device /dev/tun0 opened
Thu Apr 29 23:07:41 2010 us=922716 /sbin/ifconfig tun0 delete
ifconfig: ioctl (SIOCDIFADDR): Can't assign requested address
Thu Apr 29 23:07:41 2010 us=986254 NOTE: Tried to delete pre-existing tun/tap instance -- No Problem if failure
Thu Apr 29 23:07:41 2010 us=986295 /sbin/ifconfig tun0 10.99.0.1 10.99.0.2 mtu 1500 netmask 255.255.255.255 up
Thu Apr 29 23:07:41 2010 us=989690 /sbin/route add -net 10.99.0.0 10.99.0.2 255.255.255.0
add net 10.99.0.0: gateway 10.99.0.2
Thu Apr 29 23:07:41 2010 us=998998 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Thu Apr 29 23:07:41 2010 us=999790 GID set to vpn
Thu Apr 29 23:07:41 2010 us=999856 UID set to vpn
Thu Apr 29 23:07:41 2010 us=999887 Socket Buffers: R=[42080->65536] S=[9216->65536]
Thu Apr 29 23:07:41 2010 us=999905 UDPv4 link local (bound): [undef]:1194
Thu Apr 29 23:07:41 2010 us=999916 UDPv4 link remote: [undef]
Thu Apr 29 23:07:41 2010 us=999942 MULTI: multi_init called, r=256 v=256
Thu Apr 29 23:07:41 2010 us=999984 IFCONFIG POOL: base=10.99.0.4 size=62
Thu Apr 29 23:07:42 2010 us=19 Initialization Sequence Completed

Par contre, ps aux | grep openvpn me dit

mon_utilisateur 301 0.5 0.0 2435036 524 s000 S+ 11:15PM 0:00.00 grep openvpn

Le fichier de log n'indique pas d'erreur significative....
Les lignes suivantes montre que l'interface tun0 est active car elle accepte une configuration d'adresse IP et de route :

Thu Apr 29 23:07:41 2010 us=986295 /sbin/ifconfig tun0 10.99.0.1 10.99.0.2 mtu 1500 netmask 255.255.255.255 up
Thu Apr 29 23:07:41 2010 us=989690 /sbin/route add -net 10.99.0.0 10.99.0.2 255.255.255.0
add net 10.99.0.0: gateway 10.99.0.2

Peux tu essayer un ifconfig :

Code

ifconfig tun

qui devrait te renvoyer ça :

tun0: flags=8851<UP,POINTOPOINT,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 10.99.0.1 --> 10.99.0.2 netmask 0xffffffff
open (pid 122)

Il y a un truc qui me chagrine: J'ai l'impression (à vérifier) qu'il faut que Tunnelblick soit lancé pour qu'il arrive à allouer un TUN...
D'autre part, j'ai deux questions.
1. Lorsque l'on créé les clefs pour le client, faut-il donner le même Common Name que l'on a utilisé pour le serveur?
2. Dans le fichier org.openvpn.plist du tutoriel, il y a

Code

        <key>ProgramArguments</key>
        <array>
                <string>openvpn</string>
                <string>--config</string>
                <string>server.conf</string>
        </array>

La ligne <string>openvpn</string> a-t-elle raison d'être??

1.Non le common name est ce qui va différencier un utilisateur d'un autre donc il faut le changer à chaque certificat!

2.Oui c'est le nom du binaire qui est lancé.

Peux-tu encore essayer exactement ces commandes dans l'ordre :

Code

login root
cd /etc/openvpn
/usr/local/sbin/openvpn --config /etc/openvpn/server.conf&

Le & de la fin sert à faire tourner ta commande en tache de fond!
Puis vérifier si c'est bon :

Code

ps -ef | grep openvpn
ifconfig tun0

@+

[5thString]

- Mon héros!! ...



Bon sang, je me rend compte que j'ai oublié tout ce que j'ai appris en commandes UNIX!! Ca fait du bien de s'y remettre.

Ce message a été modifié par 5thString - 30 Apr 2010, 16:10.

[5thString]

- CA MARCHE!! AVEC LE LANCEMENT AUTOMATIQUE ET TOUT!!!!!! WOUAAAAAH!!!

J'ai fini par installer tuntap quand-même, parceque sinon ça ne fonctionnait qu'avec Tunnelblick lancé. J'ai également adapté les droits sur le fichier org.openvpn.plist, ce que je n'avais pas fait. Et YOP! A moi le beau réseau VPN!

Un GRAND merci à ceux qui m'ont aidé, et à charge de revanche si je peux apporter mon aide sur quelquechose!

[simji]

Bonjour,

Merci pour ce super tutoriel !
Cependant, j'ai une question à propos des adresses IP fixes.
J'ai créé un nom de domaine sur dyndns à ce nom est apparemment associé une IP fixe (mon IP au moment de la création du compte).
Cependant, si je ne me trompe, ma freebox va régulièrement changer d'adresse sur le réseau.

Si j'ai bien compris, le fichier client0.conf permettra au client de pointer vers l'adresse du type lareinedangleterre.homeunix.org notamment grâce à la requête remote, comment le client saura t'il que mon IP aura certainement évolué depuis. Y a t'il une configuration particulière à lancer au niveau de la box ou au niveau de dyndns ?

Merci,

[5thString]

Si tu as un compte free, tu n'as pas besoin de dyndns. Va sur le paramétrage de ton compte, sur free.fr, et trouve l'endroit pour demander une IP fixe et y associer un nom de domaine. Une fois que ta demande aura été prise en compte, tu n'auras plus qu'à utiliser ton nom de domaine (un truc du genre ton_nom.hd.free.fr, je pense).

[simji]

Parfait, merci beaucoup pour ta réponse.

[mrieutlse]

Personnellement, je peux vous proposer une méthide plus simple et assez rapide, avec une fonctionnalité incluse dans Mac OS:
http://pagesperso-orange.fr/macmouflon

Ce message a été modifié par mrieutlse - 4 May 2010, 13:28.

[5thString]

A chaque jour son lot de questions...

Je n'ai plus de problèmes coté serveur; tunnelblick et viscosity se connectent très bien (comme en attestent les logs). Maintenant, la question, c'est comment diable accéder d'une machine cliente à la machine serveur via internet?!?
Les services de partage de fichiers et de partage d'écran sont bien activés sur le serveur (qui est également ma machine-cible).

Sous quelle IP dois-je tenter d'y accéder? Option-K et afp://Nom_de_mon_Serveur (comme je pourrais le faire en local) ne donne rien: la cible est inconnue. Pas plus que vnc://Nom_de_mon_serveur.
Faut-il utiliser afp://10.99.0.1 (qui semble être l'IP openvpn du serveur) et vnc://10.99.0.1?
[edit] Réponse: Oui! Il faut effectivement utiliser afp://10.99.0.1 et vnc://10.99.0.1.C'est bien cela qui bloquait!

Faut-il ouvrir également le port 1194 coté client?
[edit] Réponse: Non. J'ai honte d'avoir même simplement envisagé la question!!

Quid est de Bonjour? Puis-je faire en sorte que mes deux machines se voient via Bonjour par le réseau openvpn?

Personnellement, je peux vous proposer une méthide plus simple et assez rapide, avec une fonctionnalité incluse dans Mac OS:
http://pagesperso-orange.fr/macmouflon

Merci pour ce tuto! Cependant, quid est de la sécurité de L2TP par rapport à OpenVpn tel qu'il est configuré ici?
L'avantage, évidemment, est que le client L2TP est inclus dans les préférences réseau d'OSX...

Ce message a été modifié par 5thString - 7 May 2010, 09:41.

[5thString]

Bon, juste une p'tite info complémentaire.

J'ai installé tuntap pour faire fonctionner OpenVPN, puis lorsque j'ai lancé Viscosity, le logiciel m'a dit que les drivers tuntap étant obsolètes, il pouvait les mettre à jour avec une version plus récente. Eh bien n'essayez pas!!! Il n'y a plus rien qui marche avec les "nouveaux drivers"!

J'ai donc simplement ré-installé tuntap, et zouuuuu, tout re-fonctionne comme avant.

[mrieutlse]

Personnellement, je peux vous proposer une méthide plus simple et assez rapide, avec une fonctionnalité incluse dans Mac OS:
http://pagesperso-orange.fr/macmouflon

Merci pour ce tuto! Cependant, quid est de la sécurité de L2TP par rapport à OpenVpn tel qu'il est configuré ici?
L'avantage, évidemment, est que le client L2TP est inclus dans les préférences réseau d'OSX...

En effet,je me pose la question également, mais ce serveur vpn est inclus dans mac os . C'est presque le même que celui de mac os x server mais sans interface graphique. Il est difficile de croire alors qu'il présente une quelconque faille de sécurité, d'autant qu'il utilise bien ipsec. Personnellement, j'utilise ce moyen de configurer un serveur vpn depuis longtemps, mais à des fins strictement personnelles, et je n'ai eu aucun problème. Ce n'est bien sûr pas une justification.
Une confirmation d'expert serait la bienvenue!

[5thString]

Personnellement, je peux vous proposer une méthide plus simple et assez rapide, avec une fonctionnalité incluse dans Mac OS:
http://pagesperso-orange.fr/macmouflon

Merci pour ce tuto! Cependant, quid est de la sécurité de L2TP par rapport à OpenVpn tel qu'il est configuré ici?
L'avantage, évidemment, est que le client L2TP est inclus dans les préférences réseau d'OSX...

En effet,je me pose la question également, mais ce serveur vpn est inclus dans mac os . C'est presque le même que celui de mac os x server mais sans interface graphique. Il est difficile de croire alors qu'il présente une quelconque faille de sécurité, d'autant qu'il utilise bien ipsec. Personnellement, j'utilise ce moyen de configurer un serveur vpn depuis longtemps, mais à des fins strictement personnelles, et je n'ai eu aucun problème. Ce n'est bien sûr pas une justification.
Une confirmation d'expert serait la bienvenue!

Le truc sur la sécurité, je l'ai lu quelquepart... mais je n'ai pas pu retrouver où .
Mais bon, je ne suis pas spécialiste.

J'aimerais tout-de-même en savoir plus sur les mérites respectifs de ces deux variantes de VPN.

Par contre, il faut bien voire que la solution de MacMouflon utilise un soft payant (je ne crois pas que la version Bêta dont il parle dans son tuto soit encore accessible). Et je ne sais pas si l'activation du serveur d'OS X client à la mimine, par le terminal, est très sexy pour un non initié. Il y a toujours cette méthode, notez.

[mrieutlse]

En fait, j'utilisais au début iVPN, et maintenant j'entre les infos manuellement dans com.apple.Remote..... Mais pour un non initié, il faut avouer que iVPN est plus aisé à manipuler, d'autant que la version gratuite est encore disponible sur macmouflon. De plus, avec les outils de développeurs apple, cette interface graphique n'est pas très dur à faire...
Enfin, le lien que vous avez donné me rassure quant à la sécurité de cette méthode, qui est en en fait la même que celle de macosxhints avec interface graphique.

Ce message a été modifié par mrieutlse - 11 May 2010, 17:21.

[5thString]

Au risque de faire un petit hors-sujet, j'ajouterais que j viens de tenter la solution MacMouflon.
Je n'ai pas eu de souci pour créer le serveur, mais impossible de configurer mon poste client!! Ou plutôt, impossible de me connecter une fois la configuration entrée dans les préférences système...

Avez-vous eu des problèmes de ce coté dont vous puissiez me faire part?

[edit] A titre indicatif, j'arrive à me connecter depuis mon client en local, mais pas via internet... Ca sent les ports pas ouverts, non? J'ai ouvert le 500 et le 4500, mais sur l'airport, on ne peut pas choisir l'ouverture en TCP ou UDP. Ne vient-ce pas de là?

Ce message a été modifié par 5thString - 13 May 2010, 14:55.

[mrieutlse]

Bonjour,
En effet, du côté du serveur, il faut rediriger les ports UDP 500, 4500 ET 1701, vers l'ordinateur qui sert le vpn. En revanche, je ne sais pas comment faire avec une borne airport. Mais il me semble que les bornes airport sont situées après le routeur fourni par le fournisseur d'accès, non? Dans ce cas, il doit falloir rediriger les ports 2 fois.

Ce message a été modifié par mrieutlse - 14 May 2010, 12:08.

[floran]

Bonjour !

Merci pour ce tuto !

Petit problème lors de l'installation de openvpn avec la commande :

Code

./configure --disable-lzo && make && sudo make-install

voici la dernière ligne du log du terminal : sudo: make-install: command not found

Le problème vient-il du fait que le xcode a été installé à partir du DVD de snowleopard et non à partir du site de developper Apple ?

[osnola]

Bonjour !

....

Code

./configure --disable-lzo && make && sudo make-install

voici la dernière ligne du log du terminal : sudo: make-install: command not found

Bonjour,
sans avoir jamais installé OpenVpn, tu devrais essayer

Code

sudo make install

cela devrait bien mieux marcher :-)

[floran]

merci, j'essaye ça tout de suite !

Édit. : problème résolu

Ce message a été modifié par floran - 22 Jun 2010, 13:38.

[zygoat]

Hello les amis,

Je me permets de solliciter votre aide car je ne vois pas d'ou vient mon problème.

J'ai scrupuleusement suivi le tutoriel pour l'installation du serveur vpn. J'ai bien choisi une clé à 2048 et j'ai bien tapé "make install" et pas "make-install".

Cepedant l'installation du serveur ne se fait pas correctement car lorsque je tape : "ps aux | grep openvpn"
J'obtiens : "Serveur 1723 0,0 0,0 2425700 260 s000 R+ 5:01 0:00.00 grep openvpn"

J'ai vu que 2 confrères (Kara et 5thString) ont eu le même message mais je n'ai pas réussi à comprendre comment ils ont fait pour s'en tirer.

Qqn a-t-il une idée ?

Merci pour votre aide

Paul
(MacMini Server 10.6.4 + LiveBox Sagem)

[zygoat]

Hello again

Petits compléments d'information :

J'ai également eu un pbm sur le fichier org.openvpn.plist. Message d'erreur du type : "launchctl: Dubious ownership on file (skipping): org.openvpn.plist"

J'ai donc modifié les droits en tappant : "sudo chmod 644 /Library/LaunchDaemon/org.openvpn.plist"
et obtenu ceci : "rw-r--r-- 1 root vpn 754 Apr 13 09:24 /Library/LaunchDaemons/org.openvpn.plist"

Ensuite g voulu vérifier les droits des fichiers contenus dans etc/openvpn/easy-rsa/2.0/keys et j'ai obtenu ça :

-rw-r--r-- 1 root staff 5295 16 nov 16:07 01.pem
-rw----rw-+ 1 root staff 1606 16 nov 16:00 ca.crt
-rw----rw-+ 1 root staff 1675 16 nov 16:00 ca.key
-rw-r--r-- 1 root staff 424 16 nov 16:10 dh2048.pem
-rw-r--r-- 1 root staff 113 16 nov 16:07 index.txt
-rw-r--r-- 1 root staff 21 16 nov 16:07 index.txt.attr
-rw----rw-+ 1 root staff 0 16 nov 15:59 index.txt.old
-rw-r--r-- 1 root staff 3 16 nov 16:07 serial
-rw----rw-+ 1 root staff 3 16 nov 15:59 serial.old
-rw-r--r-- 1 root staff 5295 16 nov 16:07 server.crt
-rw-r--r-- 1 root staff 1041 16 nov 16:06 server.csr
-rw------- 1 root staff 1679 16 nov 16:06 server.key


Constat 1 : j'ai root à la place de vpn
Constat 2 : j'ai staff à la place de vpn

à quoi correspond ce staff ??

Je continue mes recherches. Si une âme charitable passe par là...

[floran]

Quelques problèmes…

tout va bien jusqu'à

Code

man openvpn

par contre

Code

ps aux | grep openvpn

me donne :

flo 580 0,0 0,0 2435116 524 s000 S+ 4:11 0:00.00 grep openvpn

j'ai testé :

Code

root# launchctl load /Library/LaunchDaemon/org.openvpn.plist
root# launchctl start org.openvpn

et aussi :

Code

root# chmod 644 /Library/LaunchDaemon/org.openvpn.plist

et aussi

Code

root# ifconfig tun

mais :

ifconfig: interface tun does not exist

alors j'ai installé tunnelblick, mais là je suis un peu perdu… voici mon fichier de config :

Code

port 1194
proto udp
dev tun

ca ca.crt
cert server.crt
key server.key  
dh dh1024.pem

server 10.8.0.0 255.255.255.0

--script-security 3 system

keepalive 10 120

user vpn
group vpn

persist-key
persist-tun

status openvpn-status.log
log popenvpn.log

verb 2

et voici le log :

Code

Sat Jan 29 16:34:04 2011 OpenVPN 2.1.1 i386-apple-darwin10.6.0 [SSL] built on Jan 28 2011
Sat Jan 29 16:34:04 2011 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Sat Jan 29 16:34:04 2011 NOTE: --script-security method='system' is deprecated due to the fact that passed parameters will be subject to shell expansion
Sat Jan 29 16:34:04 2011 Cannot open dh1024.pem for DH parameters: error:02001002:system library:fopen:No such file or directory: error:2006D080:BIO routines:BIO_new_file:no such file
Sat Jan 29 16:34:04 2011 Exiting

à l'aiiiiiiiiiiiide !

merci