[Tutoriel] Serveur VPN sous Mac OSX (gratuit et libre, bien sûr), Installation d'un serveur (et d'un client) VPN sous Mac OS X

[Jorm]

As-tu modifié le fichier de conf ?

port 1194
proto udp
dev tun

ca ca.crt
cert server.crt
key server.key
dh dh2048.pem

server 10.8.0.0 255.255.255.0

keepalive 10 120

user vpn
group vpn

persist-key
persist-tun

status openvpn-status.log
log popenvpn.log

verb 2

Si ton chiffrage est en 1024, tu dois remplacer ce que j'ai mis en gras et mettre 1024 à la place de 2048.

Ce message a été modifié par Jorm - 18 Mar 2010, 15:06.

[kara]

As-tu modifié le fichier de conf ?
Si ton chiffrage est en 1024, tu dois remplacer ce que j'ai mis en gras et mettre 1024 à la place de 2048.

J'ai bien fait cette modif dans le fichier de conf pas de problème. Par contre, je veux vérifier cette histoire de backslash...

EDIT:

Je n'ai pas d'antislash dans mon fichier de conf client.... du coup je ne vois pas d'où cela peut provenir.

Par contre, est ce je peux tester mon VPN sachant que mon serveur et mon client sont sur le même réseau local ? Je suppose que oui vu que j'avais testé la commande à distance avec le port 5900 via internet, mais pour le VPN ça doit rouler aussi non ?

La commande suivante sur le serveur ne me satsfait pas totalement dans la réponse :

ps aux | grep openvpn


J'ai ceci en réponse :

Kara 207 0,0 0,0 2435032 524 s000 S+ 7:50 0:00.00 grep openvpn

La fin n'est pas similaire à ce qu'indique 570FF... c'est comme si la commande grep openvpn était inopérante ? qu'en pensez vous ?

Ce message a été modifié par kara - 18 Mar 2010, 20:25.

[kara]

Bon, je vous avoue qu'après des heures de surf sur internet.... je bloque complet.

J'ai bien l'impression qu'il y a un truc qui ne va pas dans la config de mon serveur déjà.

Est ce que la commande openvpn doit produire un retour lorsqu'elle est executée sur le terminal ?

J'ai ceci lorsque je saisi openvpn restart


-bash: openvpn: command not found

Ce message a été modifié par kara - 18 Mar 2010, 22:24.

[beloutte]

merci pour ce super tuto !
j'étais justement en train d'en chercher un aussi bien fait.
j'aurai un mac mini lundi, je suis impatient d'essayer la manip étant donné que je l'ai acheté en partie pour ça (et pour en faire un mediacenter)

par contre, le mini sera derrière une time capsule, elle-même reliée à la freebox v5 (mode routeur off)
est-ce qu'il y aura des réglages spéciaux à faire ???

[MRIC]

Premier problème...

Tu aurais pu dire comment tu t'en étais sorti, j'ai le même problème

[Jorm]

Il faut installer Xcode qui te fournira le compilateur GCC nécessaire

[MRIC]

Allons y pour xCode
merci

[5thString]

onjour.

Quelqu'un a-t-il réussi à faire fonctionner tout celà? Chez moi l'installation se passe sans problème, mais impossible d'y connecter un client (que ce soit Tunnelblick ou viscosity). Je soupçonne qu'il y a quand-même un problème dans la configuration spécifiée ici.

A moins que ça ne soit la présence du routeur Airport Express?!?

[Jorm]

onjour.

Quelqu'un a-t-il réussi à faire fonctionner tout celà? Chez moi l'installation se passe sans problème, mais impossible d'y connecter un client (que ce soit Tunnelblick ou viscosity). Je soupçonne qu'il y a quand-même un problème dans la configuration spécifiée ici.

A moins que ça ne soit la présence du routeur Airport Express?!?

Pareil, jamais réussi à me connecter depuis que j'ai réinstallé OSX. Ports routés et tout... J'ai installé un VPN L2TP du coup.

[terence_smd]

Pour ma part, ça fonctionne enfin sur mon iMAC OS 10.6 derrière une freebox!
Après avoir déplacé quelques fichiers, réglé les problèmes de droits, mon serveur openVPN est enfin fonctionnel!

J'ai testé avec un client Openvpn sous Windows et c'est tout bon!!

Il ne me reste plus qu'à tester avec tunnelblick et openvpn client sous Linux, mais il n'y a aucune raison que ça ne marche pas!

J'ai ajouté ma petite touche personnelle avec un envoi automatique de mail à chaque connexion sur mon adresse gmail!!


Pour ceux qui ont des problèmes, merci de me donner les détails de ce qui coince avec les tests déjà effectués!!

@+

TS

[5thString]

Gah...

Alors pourquoi chez moi ça ne marche pas?!?
Au lancement, j'ai "Cannot open TUN/TAP dev /dev/tun1: Permission denied (errno=13)".
Quels droits dois-je modifier?

Help!!

[terence_smd]

Voici mes droits sur le dossier /etc/openvpn

-rw-r--r-- 1 vpn vpn 1696 Apr 13 12:14 ca.crt
-rw-r--r-- 1 vpn vpn 1679 Apr 13 12:14 ca.key
-rw-r--r-- 1 vpn vpn 424 Apr 13 12:21 dh2048.pem
drw-r--r-- 5 vpn vpn 170 Feb 11 13:38 easy-rsa
-rw-r--r-- 1 vpn vpn 232 Apr 19 14:03 openvpn-status.log
-rw-r--r-- 1 vpn vpn 1692 Apr 19 09:57 popenvpn.log
-rwxr-xr-x 1 vpn vpn 654 Apr 13 15:37 script
-rw-r--r-- 1 vpn vpn 384 Apr 14 10:29 server.conf
-rw-r--r-- 1 vpn vpn 5411 Apr 13 12:15 server.crt
-rw-r--r-- 1 vpn vpn 1679 Apr 13 12:15 server.key

Peux tu poster le contenu de ton fichier popenvpn.log?

Si tu as suivi le tuto depuis le départ avec le script org.openvpn.plist dans "/Library/LaunchDaemon/"
tu peux essayer les commandes suivantes pour vérifier que ton serveur openvpn se lance bien avec le script (et ça évite de redémarrer le Mac à chaque fois tu relances le serveur openvpn):
launchctl load /Library/LaunchDaemon/org.openvpn.plist => pour charger le fichier
launchctl start org.openvpn => pour démarrer le serveur

launchctl unload /Library/LaunchDaemon/org.openvpn.plist => pour décharger le fichier
launchctl stop org.openvpn pour le stopper

Si pas d'erreur tu devrais voir ton fichier de log (popenvpn.log) qui se remplit!

Voici également le contenu de mon fichier server.conf

####################
port 1194
proto udp
dev tun

ca ca.crt
cert server.crt
key server.key
dh dh2048.pem

server 10.99.0.0 255.255.255.0

push "route 10.99.0.0 255.255.255.0"

--script-security 3 system
learn-address /etc/openvpn/script

keepalive 10 120

user vpn
group vpn

persist-key
persist-tun

status openvpn-status.log
log popenvpn.log

verb 3

crl-verify /etc/openvpn/easy-rsa/2.0/keys/crl.pem

###############################

PS : en mettant verb 9 tu devrais cracher plus de logs donc ça permettra peut-être de résoudre le vrai problème!!

@+

TS

Ce message a été modifié par terence_smd - 19 Apr 2010, 14:15.

[5thString]

Merci!

Je vais poster le contenu de mon fichier de logs dès que possible (j'ai cassé tout le système, par dépit ). J'ai d'autre part trouvé le même tutoriel sur un autre Forum, mais revu et corrigé; peut-être que ça va m'aider également. Enfin, j'ai vu quelquepart (je ne sais plus où) que cette erreur 13 surgissait parceque j'avais lancé le serveur sans le sudo de rigueur, ce qui provoque des problèmes de droits de création des 'tun'.

Ca fait quelques pistes.

J'ai des questions cependant:
1- Faut-il installer tuntap?
2- Faut-il activer le transfert d'ip?
3- Y a-t-il besoin de configurer des chemins statiques quelquepart?
4- lors de la création de l'utilisateur vpn, faut-il lui assigner un mot de passe?

Je reviendrai bientôt te demander un peu plus d'aide. Merci encore!

Ce message a été modifié par 5thString - 21 Apr 2010, 14:03.

[5thString]

onjour.

Quelqu'un a-t-il réussi à faire fonctionner tout celà? Chez moi l'installation se passe sans problème, mais impossible d'y connecter un client (que ce soit Tunnelblick ou viscosity). Je soupçonne qu'il y a quand-même un problème dans la configuration spécifiée ici.

A moins que ça ne soit la présence du routeur Airport Express?!?

Pareil, jamais réussi à me connecter depuis que j'ai réinstallé OSX. Ports routés et tout... J'ai installé un VPN L2TP du coup.

Tu pourrais nous faire un tuto s'il te plait? Même succint?

[terence_smd]

1- Faut-il installer tuntap?

J'ai installer le client Tunnelblick (qui contient les drivers TUN/TAP) mais il semble que ces drivers Tun/tap soient inclus dans les sources d'openvpn!

2- Faut-il activer le transfert d'ip?

Le transfert d'IP?? Qu'entend-tu par là?
Si tu parles de l'adressage IP en 10.8.0.x dans la config du serveur openvpn, la réponse est oui => il faut mettre la ligne dans le fichier server.conf

Si tu parles de l'utilisation d'un DNS, ce n'est pas obligatoire sauf si tu ne disposes pas d'une adresse IP fixe!

3- Y a-t-il besoin de configurer des chemins statiques quelquepart?

Si ton fichier server.conf est correct, il n' y a pas de route statique à ajouter!

server 10.99.0.0 255.255.255.0 => cette ligne ajoute la route sur le serveur

push "route 10.99.0.0 255.255.255.0" => cette ligne ajoute la route sur le client

4- lors de la création de l'utilisateur vpn, faut-il lui assigner un mot de passe?

Pour ça j'ai suivi la procédure en créant un compte vpn en partage uniquement sans mdp je crois!!

Quel est exactement ton pb? Ton serveur est lançé?
C'est la connexion avec un client qui échoue?

@+

[5thString]

Sache que j'apprécie vraiment ton aide!

Les choses n'ont que peu évolué depuis la dernière fois; je n'ai eu que très peu de temps pour m'y remettre. J'ai donc tout réinstallé au propre, et j'ai la très nette impression que le serveur ne se lance pas (commande 'ps aux' --> pas d'openvpn dans la liste qui s'affiche), que ce soit par le script de démarrage ou par la ligne de commande. Je mettrai des logs dans le courant du weekend. J'ai jetté un coup d'oeil à la console système qui semble boucler sur les tentatives de lancement, mais aux heures où je l'ai fait, je n'avais pas l'esprit assez clair pour retenir ce que je lisais...
Donc en gros, je n'en suis pas encore au point d'essayer de connecter un client!!

J'ai modifié les droits pour que ça ressemble aux tiens. Rafraîchis ma mémoire: Dans une ligne du style -rw-r--r-- 1 vpn vpn 1696 Apr 13 12:14 ca.crt, les deux "vpn", c'est d'abord le groupe puis l'utilisateur?

Par transfert d'IP, j'entends en fait translation d'IP, c'est à dire un mapping façon NAT, sauf qu'au lieu de mapper des ports, on mappe des adresses IP. Certains disent que c'est essentiel pour que ça marche, d'autres ne le mentionnent même pas! Dur de trouver la vérité vraie.

J'utilise Viscosity au lieu de Tunnelblick comme client, mais je ne pense pas que ça change grand'chose. Par contre, je ne l'ai pas installé sur mon poste serveur, alors peut-être que les drivers tun/tap manquent quand-même?

Il y a un truc qui me chagrine - c'est la génération de la clef dh2048: ca me dit "Attention, ça va être long!" et ça ne l'est pas la première fois. Par contre, ça l'est si je relance la commande de génération?!?

Dernière question: c'est quoi, le fichier script (--script-security 3 system, puis learn-address /etc/openvpn/script dans le fichier de conf)
)?

Voilà. La suite dans un petit moment. A bientôt.
Julian

Ce message a été modifié par 5thString - 23 Apr 2010, 10:03.

[terence_smd]

Les choses n'ont que peu évolué depuis la dernière fois; je n'ai eu que très peu de temps pour m'y remettre. J'ai donc tout réinstallé au propre, et j'ai la très nette impression que le serveur ne se lance pas (commande 'ps aux' --> pas d'openvpn dans la liste qui s'affiche), que ce soit par le script de démarrage ou par la ligne de commande. Je mettrai des logs dans le courant du weekend. J'ai jetté un coup d'oeil à la console système qui semble boucler sur les tentatives de lancement, mais aux heures où je l'ai fait, je n'avais pas l'esprit assez clair pour retenir ce que je lisais...
Donc en gros, je n'en suis pas encore au point d'essayer de connecter un client!!

Si en faisant ça :
>ps aux | grep openvpn

Tu ne vois pas cette ligne :
vpn 178 0.0 0.1 2436540 2612 ?? Ss 6:59AM 0:06.41 openvpn --config server.conf

C'est que ton serveur n'est pas lançé.

Je pense que le mieux pour déboguer, c'est de le lancer manuellement.
Pour cela tu tapes ces commandes dans un shell root:

login root
>ton mot de passe root
launchctl stop org.openvpn pour stopper le serveur
launchctl unload /Library/LaunchDaemon/org.openvpn.plist => pour décharger le fichier

launchctl load /Library/LaunchDaemon/org.openvpn.plist => pour charger le fichier
launchctl start org.openvpn => pour démarrer le serveur

A chaque modification de tes droits ou de ton fichier de config openvpn, tu retapes les commandes ci dessus et tu consultes le fichier poenvpn.log pour analyser les défaillances.

J'ai modifié les droits pour que ça ressemble aux tiens. Rafraîchis ma mémoire: Dans une ligne du style -rw-r--r-- 1 vpn vpn 1696 Apr 13 12:14 ca.crt, les deux "vpn", c'est d'abord le groupe puis l'utilisateur?

Les droits :
-rw-r--r-- 1 vpn vpn 1696 Apr 13 12:14 ca.crt

L'utilisateur et le groupe propriétaires du fichier ca.crt est vpn.

Les droits sont affichés de gauche à droite pour l'utilisateur propriétaire, le groupe propriétaire et les autres utilisateurs.
Ils sont représentés par des r, w, x et - à partir du second des dix caractères (le premier caractère peut être d (pour directory) si c'est un dossier, - si c'est un fichier ou un alias, l pour un lien symbolique Unix, etc.).
r = peut être lu (read)
w = peut être modifié (written)
x = peut être exécuté
- = droit non autorisé

Par transfert d'IP, j'entends en fait translation d'IP, c'est à dire un mapping façon NAT, sauf qu'au lieu de mapper des ports, on mappe des adresses IP. Certains disent que c'est essentiel pour que ça marche, d'autres ne le mentionnent même pas! Dur de trouver la vérité vraie.

Pour que ton serveur openvpn fonctionne de l'extérieur (depuis internet), il faut en effet que tu fasses du NAT dans ton routeur (freebox, livebox, etc...)
Pour cela, il faut que tu rediriges le port udp 1194 d'openvpn vers l'adresse IP de ton serveur!

Sur une freebox par exple :
Dans l'interface admin du routeur :

Redirections de ports:
Port | Protocole | Destination | Port
1194 | UDP | 192.168.X.X | 1194

avec 192.168.X.X l'adresse IP de ton serveur.

Sur un routeur plus pro :
Activer | Nom du service | Action | Adresse IP du serveur LAN | Utilisateurs WAN | Journal
oui | Openvpn | Toujours autoriser | 192.168.X.X | TOUS | OUI ou NON

Avec le service Openvpn déclaré comme ceci :
# | Type de service | Ports
1 | OpenVPN | 1194


Par contre, ce n'est pas à cause du nat que ton serveur ne démarre pas!
Même si le NAT n'est pas paramétré dans ton routeur, tu devrais qd même voir :
vpn 178 0.0 0.1 2436540 2612 ?? Ss 6:59AM 0:06.41 openvpn --config server.conf
quand tu lances la commande ps-aux | grep openvpn

J'utilise Viscosity au lieu de Tunnelblick comme client, mais je ne pense pas que ça change grand'chose. Par contre, je ne l'ai pas installé sur mon poste serveur, alors peut-être que les drivers tun/tap manquent quand-même?

Non je ne pense pas que les drivers manquent!

Il y a un truc qui me chagrine - c'est la génération de la clef dh2048: ca me dit "Attention, ça va être long!" et ça ne l'est pas la première fois. Par contre, ça l'est si je relance la commande de génération?!?

La commande de génération d'une clé 2048 est un processus généré de façon aléatoire en utilisant des données de ton système. Certaine clé se génère en bougeant la souris par exemple pour avoir un processus le plus aléatoire possible.
Pour des raisons de sécurité, si tu relances 2 fois de suite la commande, il est possible que le système mette plus de temps à la générer car il doit être sûr qu'elle est différente de la première => donc faire appel à d'autres données!

Dernière question: c'est quoi, le fichier script (--script-security 3 system, puis learn-address /etc/openvpn/script dans le fichier de conf)
)?

--script-security 3 system
Permet de garder une compatibilité avec les anciennes version d'openvpn!

learn-address /etc/openvpn/script
Permet de faire appel à un script qui m'envoie un mail automatique à chaque connexion d'un client!

Dans ton cas il faut les supprimer car tu n'as pas de script je pense.

@+

Ce message a été modifié par terence_smd - 23 Apr 2010, 10:57.

[5thString]

Plus de questions pour l'instant, Votre Honneur! J'ai hâte de m'y remettre.

Merci!

[5thString]

launchctl load /Library/LaunchDaemon/org.openvpn.plist me dit

launchctl: Dubious ownership on file (skipping): org.openvpn.plist
nothing found to load

[chombier]

launchctl load /Library/LaunchDaemon/org.openvpn.plist me dit

launchctl: Dubious ownership on file (skipping): org.openvpn.plist
nothing found to load

Code

$ sudo chown root:wheel /Library/LaunchDaemon/org.openvpn.plist

[terence_smd]

launchctl load /Library/LaunchDaemon/org.openvpn.plist me dit

launchctl: Dubious ownership on file (skipping): org.openvpn.plist
nothing found to load

Code

$ sudo chown root:wheel /Library/LaunchDaemon/org.openvpn.plist

Moi, j'ai les droits suivants sur ce fichier :

Code

$ sudo chown root:vpn /Library/LaunchDaemon/org.openvpn.plist

Puis faire attention à être loggué en root avant de lancer les commandes launchctl

Code

$ login root

[chombier]

Moi, j'ai les droits suivants sur ce fichier :

Code

$ sudo chown root:vpn /Library/LaunchDaemon/org.openvpn.plist

L'important est que le fichier ne soit modifiable que par root. Sinon, launchctl refuse de s'en servir.

Puis faire attention à être loggué en root avant de lancer les commandes launchctl

Code

$ login root

Ou lancer la commande avec sudo ce qui revient au même, tout en évitant d'activer l'utilisateur root.

[5thString]

Pfouh... C'est complexe!

J'ai également eu un message d'erreur dans les logs disant que le fichier dh2048.pem était inexistant... Mais ça, il faut que je le reproduise pour en savoir plus. D'après ce que je comprends des fichiers de configuration, il faut bien que les fichiers de sécurité (ca.crt, server.crt, server.key, dh2048.pem) soient directement dans le dossier /etc/openvpn, n'est-ce-pas?

Merci pour les infos complémentaires, j'essaye ça ce soir .

Ce message a été modifié par 5thString - 29 Apr 2010, 08:55.

[terence_smd]

L'important est que le fichier ne soit modifiable que par root. Sinon, launchctl refuse de s'en servir.

Dans ce cas, si le pb vient du fait que le fichier doit être en écriture que pour root il faut donc faire en plus :

Code

sudo chmod 644 /Library/LaunchDaemon/org.openvpn.plist

Pour ainsi obtenir les droits suivants :
-rw-r--r-- 1 root vpn 754 Apr 13 09:24 /Library/LaunchDaemons/org.openvpn.plist

Ou lancer la commande avec sudo ce qui revient au même, tout en évitant d'activer l'utilisateur root.

En effet!

J'ai également eu un message d'erreur dans les logs disant que le fichier dh2048.pem était inexistant... Mais ça, il faut que je le reproduise pour en savoir plus. D'après ce que je comprends des fichiers de configuration, il faut bien que les fichiers de sécurité (ca.crt, server.crt, server.key, dh2048.pem) soient directement dans le dossier /etc/openvpn, n'est-ce-pas?

Oui en effet!

Voici le contenu du répertoire /etc/openvpn que tu devrais avoir (avec les bons droits!!) :
-rwxr--r-- 1 vpn vpn 1696 Apr 13 12:14 ca.crt
-rwxr--r-- 1 vpn vpn 1679 Apr 13 12:14 ca.key
-rwxr--r-- 1 vpn vpn 424 Apr 13 12:21 dh2048.pem
drwxr--r-- 5 vpn vpn 170 Feb 11 13:38 easy-rsa
-rwxr--r-- 1 vpn vpn 390 Apr 29 13:50 openvpn-status.log
-rwxr--r-- 1 vpn vpn 12469 Apr 29 13:32 popenvpn.log
-rwxr--r-- 1 vpn vpn 384 Apr 14 10:29 server.conf
-rwxr--r-- 1 vpn vpn 5411 Apr 13 12:15 server.crt
-rwxr--r-- 1 vpn vpn 1679 Apr 13 12:15 server.key

Sachant que normalement les droits en exécution ne devraient pas être utiles pour l'utilisateur vpn! Mais bon chez moi avec ces droits là ça fonctionne impec!

[chombier]

Voici le contenu du répertoire /etc/openvpn que tu devrais avoir (avec les bons droits!!) :
-rwxr--r-- 1 vpn vpn 1696 Apr 13 12:14 ca.crt
-rwxr--r-- 1 vpn vpn 1679 Apr 13 12:14 ca.key
-rwxr--r-- 1 vpn vpn 424 Apr 13 12:21 dh2048.pem
drwxr--r-- 5 vpn vpn 170 Feb 11 13:38 easy-rsa
-rwxr--r-- 1 vpn vpn 390 Apr 29 13:50 openvpn-status.log
-rwxr--r-- 1 vpn vpn 12469 Apr 29 13:32 popenvpn.log
-rwxr--r-- 1 vpn vpn 384 Apr 14 10:29 server.conf
-rwxr--r-- 1 vpn vpn 5411 Apr 13 12:15 server.crt
-rwxr--r-- 1 vpn vpn 1679 Apr 13 12:15 server.key

Sachant que normalement les droits en exécution ne devraient pas être utiles pour l'utilisateur vpn! Mais bon chez moi avec ces droits là ça fonctionne impec!

Je ne me suis jamais servi d'openvpn, mais dans les fichiers que tu listes, certains ne contiendraient pas des clés privées ne devant être accessibles en lecture que par root ?

[5thString]

Voilà. J'ai dans les logs

Thu Apr 29 23:07:41 2010 us=883672 OpenVPN 2.1.1 i386-apple-darwin10.3.0 [SSL] built on Apr 21 2010
Thu Apr 29 23:07:41 2010 us=883797 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Thu Apr 29 23:07:41 2010 us=883812 NOTE: --script-security method='system' is deprecated due to the fact that passed parameters will be subject to shell expansion
Thu Apr 29 23:07:41 2010 us=921763 Diffie-Hellman initialized with 2048 bit key
Thu Apr 29 23:07:41 2010 us=922452 TLS-Auth MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Apr 29 23:07:41 2010 us=922562 ROUTE default_gateway=0.0.0.0
Thu Apr 29 23:07:41 2010 us=922687 TUN/TAP device /dev/tun0 opened
Thu Apr 29 23:07:41 2010 us=922716 /sbin/ifconfig tun0 delete
ifconfig: ioctl (SIOCDIFADDR): Can't assign requested address
Thu Apr 29 23:07:41 2010 us=986254 NOTE: Tried to delete pre-existing tun/tap instance -- No Problem if failure
Thu Apr 29 23:07:41 2010 us=986295 /sbin/ifconfig tun0 10.99.0.1 10.99.0.2 mtu 1500 netmask 255.255.255.255 up
Thu Apr 29 23:07:41 2010 us=989690 /sbin/route add -net 10.99.0.0 10.99.0.2 255.255.255.0
add net 10.99.0.0: gateway 10.99.0.2
Thu Apr 29 23:07:41 2010 us=998998 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Thu Apr 29 23:07:41 2010 us=999790 GID set to vpn
Thu Apr 29 23:07:41 2010 us=999856 UID set to vpn
Thu Apr 29 23:07:41 2010 us=999887 Socket Buffers: R=[42080->65536] S=[9216->65536]
Thu Apr 29 23:07:41 2010 us=999905 UDPv4 link local (bound): [undef]:1194
Thu Apr 29 23:07:41 2010 us=999916 UDPv4 link remote: [undef]
Thu Apr 29 23:07:41 2010 us=999942 MULTI: multi_init called, r=256 v=256
Thu Apr 29 23:07:41 2010 us=999984 IFCONFIG POOL: base=10.99.0.4 size=62
Thu Apr 29 23:07:42 2010 us=19 Initialization Sequence Completed

Par contre, ps aux | grep openvpn me dit

mon_utilisateur 301 0.5 0.0 2435036 524 s000 S+ 11:15PM 0:00.00 grep openvpn

Il y a un truc qui me chagrine: J'ai l'impression (à vérifier) qu'il faut que Tunnelblick soit lancé pour qu'il arrive à allouer un TUN...
D'autre part, j'ai deux questions.
1. Lorsque l'on créé les clefs pour le client, faut-il donner le même Common Name que l'on a utilisé pour le serveur?
2. Dans le fichier org.openvpn.plist du tutoriel, il y a

Code

        <key>ProgramArguments</key>
        <array>
                <string>openvpn</string>
                <string>--config</string>
                <string>server.conf</string>
        </array>

La ligne <string>openvpn</string> a-t-elle raison d'être??

Ce message a été modifié par 5thString - 30 Apr 2010, 09:54.

[terence_smd]

Voilà. J'ai dans les logs

Thu Apr 29 23:07:41 2010 us=883672 OpenVPN 2.1.1 i386-apple-darwin10.3.0 [SSL] built on Apr 21 2010
Thu Apr 29 23:07:41 2010 us=883797 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Thu Apr 29 23:07:41 2010 us=883812 NOTE: --script-security method='system' is deprecated due to the fact that passed parameters will be subject to shell expansion
Thu Apr 29 23:07:41 2010 us=921763 Diffie-Hellman initialized with 2048 bit key
Thu Apr 29 23:07:41 2010 us=922452 TLS-Auth MTU parms [ L:1541 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Apr 29 23:07:41 2010 us=922562 ROUTE default_gateway=0.0.0.0
Thu Apr 29 23:07:41 2010 us=922687 TUN/TAP device /dev/tun0 opened
Thu Apr 29 23:07:41 2010 us=922716 /sbin/ifconfig tun0 delete
ifconfig: ioctl (SIOCDIFADDR): Can't assign requested address
Thu Apr 29 23:07:41 2010 us=986254 NOTE: Tried to delete pre-existing tun/tap instance -- No Problem if failure
Thu Apr 29 23:07:41 2010 us=986295 /sbin/ifconfig tun0 10.99.0.1 10.99.0.2 mtu 1500 netmask 255.255.255.255 up
Thu Apr 29 23:07:41 2010 us=989690 /sbin/route add -net 10.99.0.0 10.99.0.2 255.255.255.0
add net 10.99.0.0: gateway 10.99.0.2
Thu Apr 29 23:07:41 2010 us=998998 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:4 ET:0 EL:0 ]
Thu Apr 29 23:07:41 2010 us=999790 GID set to vpn
Thu Apr 29 23:07:41 2010 us=999856 UID set to vpn
Thu Apr 29 23:07:41 2010 us=999887 Socket Buffers: R=[42080->65536] S=[9216->65536]
Thu Apr 29 23:07:41 2010 us=999905 UDPv4 link local (bound): [undef]:1194
Thu Apr 29 23:07:41 2010 us=999916 UDPv4 link remote: [undef]
Thu Apr 29 23:07:41 2010 us=999942 MULTI: multi_init called, r=256 v=256
Thu Apr 29 23:07:41 2010 us=999984 IFCONFIG POOL: base=10.99.0.4 size=62
Thu Apr 29 23:07:42 2010 us=19 Initialization Sequence Completed

Par contre, ps aux | grep openvpn me dit

mon_utilisateur 301 0.5 0.0 2435036 524 s000 S+ 11:15PM 0:00.00 grep openvpn

Le fichier de log n'indique pas d'erreur significative....
Les lignes suivantes montre que l'interface tun0 est active car elle accepte une configuration d'adresse IP et de route :

Thu Apr 29 23:07:41 2010 us=986295 /sbin/ifconfig tun0 10.99.0.1 10.99.0.2 mtu 1500 netmask 255.255.255.255 up
Thu Apr 29 23:07:41 2010 us=989690 /sbin/route add -net 10.99.0.0 10.99.0.2 255.255.255.0
add net 10.99.0.0: gateway 10.99.0.2

Peux tu essayer un ifconfig :

Code

ifconfig tun

qui devrait te renvoyer ça :

tun0: flags=8851<UP,POINTOPOINT,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 10.99.0.1 --> 10.99.0.2 netmask 0xffffffff
open (pid 122)

Il y a un truc qui me chagrine: J'ai l'impression (à vérifier) qu'il faut que Tunnelblick soit lancé pour qu'il arrive à allouer un TUN...
D'autre part, j'ai deux questions.
1. Lorsque l'on créé les clefs pour le client, faut-il donner le même Common Name que l'on a utilisé pour le serveur?
2. Dans le fichier org.openvpn.plist du tutoriel, il y a

Code

        <key>ProgramArguments</key>
        <array>
                <string>openvpn</string>
                <string>--config</string>
                <string>server.conf</string>
        </array>

La ligne <string>openvpn</string> a-t-elle raison d'être??

1.Non le common name est ce qui va différencier un utilisateur d'un autre donc il faut le changer à chaque certificat!

2.Oui c'est le nom du binaire qui est lancé.

Peux-tu encore essayer exactement ces commandes dans l'ordre :

Code

login root
cd /etc/openvpn
/usr/local/sbin/openvpn --config /etc/openvpn/server.conf&

Le & de la fin sert à faire tourner ta commande en tache de fond!
Puis vérifier si c'est bon :

Code

ps -ef | grep openvpn
ifconfig tun0

@+

[5thString]

- Mon héros!! ...



Bon sang, je me rend compte que j'ai oublié tout ce que j'ai appris en commandes UNIX!! Ca fait du bien de s'y remettre.

Ce message a été modifié par 5thString - 30 Apr 2010, 16:10.

[5thString]

- CA MARCHE!! AVEC LE LANCEMENT AUTOMATIQUE ET TOUT!!!!!! WOUAAAAAH!!!

J'ai fini par installer tuntap quand-même, parceque sinon ça ne fonctionnait qu'avec Tunnelblick lancé. J'ai également adapté les droits sur le fichier org.openvpn.plist, ce que je n'avais pas fait. Et YOP! A moi le beau réseau VPN!

Un GRAND merci à ceux qui m'ont aidé, et à charge de revanche si je peux apporter mon aide sur quelquechose!

[simji]

Bonjour,

Merci pour ce super tutoriel !
Cependant, j'ai une question à propos des adresses IP fixes.
J'ai créé un nom de domaine sur dyndns à ce nom est apparemment associé une IP fixe (mon IP au moment de la création du compte).
Cependant, si je ne me trompe, ma freebox va régulièrement changer d'adresse sur le réseau.

Si j'ai bien compris, le fichier client0.conf permettra au client de pointer vers l'adresse du type lareinedangleterre.homeunix.org notamment grâce à la requête remote, comment le client saura t'il que mon IP aura certainement évolué depuis. Y a t'il une configuration particulière à lancer au niveau de la box ou au niveau de dyndns ?

Merci,