OpenVPN connecté, mais pas de routage. (le test de ping échoue)

3

Je suis en train de configurer une connexion VPN pour la première fois. Je travaille sur un projet dans lequel je voudrais accéder à mon réseau local chez moi depuis le monde extérieur. J'ai donc installé OpenVPN2.2.2 sur mon ordinateur portable Windows 7 32 bits (faisant office de serveur). Mon objectif final est de charger une page accessible uniquement sur mon réseau local.

J'ai créé un certificat client qui est un ordinateur portable Windows 8 64 bits (sur lequel OpenVPN2.2.2 est installé). Je peux me connecter au serveur via VPN en utilisant mon client. Je peux voir cette icône d'interface graphique verte dans la barre d'état système des deux ordinateurs portables. Je vois aussi la "séquence d'initialisation terminée" dans les journaux sans erreur majeure. Cependant, lorsque j'essaie de faire un ping sur l'un de mes périphériques du réseau local, je ne peux pas le faire avec mon client distant, qui exécute openVPN. De plus, quand je cherche ip en utilisant http://www.whatismyip.com/ , j'obtiens toujours l'adresse IP d'origine du client et non celle de mon réseau local.

Ce sont l'avertissement majeur / notest que j'ai reçu.

Serveur:

REMARQUE: votre réseau local utilise l'adresse de sous-réseau extrêmement commune 192.168.0.x ou 192.168.1.x. Sachez que cela peut créer des conflits de routage si vous vous connectez au serveur VPN à partir d'emplacements publics, tels que des cybercafés utilisant le même sous-réseau.

Avertissement: la passerelle de routage n'est accessible sur aucun adaptateur réseau actif: 10.8.0.2

MULTI: adresse source incorrecte du client [192.168.2.30], paquet abandonné

Client:

AVERTISSEMENT: conflit potentiel de sous-réseau de route entre le réseau local [172.20.10.0/255.255.255.240] et le VPN distant [0.0.0.0/0.0.0.0]

J'ai fait beaucoup de recherches à ce sujet la semaine dernière. J'ai examiné la documentation et les forums openVPN. Les gens peuvent se connecter aux serveurs mais ne peuvent pas faire de ping. Voici les étapes supplémentaires que j'ai prises:

  • désactivé complètement mon pare-feu Windows (sur le client et sur le serveur) pour résoudre ce problème d'interface TUN / TAP
  • configuration du transfert de port, de sorte que toutes les connexions établies avec mon routeur sur le port 1194 soient transférées sur mon serveur (avec une adresse IP statique de 192.168.1.168).
  • tout courir avec des droits d'administrateur
  • Routage et accès à distance configurés sur une machine Windows (serveur)
  • IPEnableRouter est 1.
  • Cochez la case "Autoriser les autres utilisateurs du réseau à se connecter via la connexion Internet de cet ordinateur pour l'adaptateur TAP.

Quelques étapes supplémentaires que j'ai entreprises après les avoir obtenues sur les forums openVPN:

Server.ovpn

port 1194
proto udp
dev tun
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\server.crt"
key "C:\\Program Files\\OpenVPN\\config\\server.key"
dh "C:\\Program Files\\OpenVPN\\config\\dh1024.pem"
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "route 0.0.0.0 0.0.0.0"
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 5

Client.ovpn

client
dev tun
proto udp
remote xx.xx.xxx.xxx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca "C:\\Program Files (x86)\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files (x86)\\OpenVPN\\config\\client1.crt"
key "C:\\Program Files (x86)\\OpenVPN\\config\\client1.key"
ns-cert-type server
comp-lzo
verb 3
explicit-exit-notify 2
ping 10
ping-restart 60
route-method exe
route-delay 2

Si vous pouviez m'aider à résoudre ce problème, ce serait vraiment génial. Toutes les suggestions / suggestions sont extrêmement bienvenues. Merci.

EDIT: 1

Merci beaucoup pour vos suggestions.

1) Pourriez-vous expliquer un peu ce que vous entendez exactement par "obtenir un pare-feu ou si vous devez utiliser votre pare-feu pour un réseau privé virtuel"? J'ai déjà les pare-feu intégrés dans mon client et mon serveur, et je les ai désactivés tous les deux, juste pour qu'ils n'interfèrent pas avec ma configuration pour le moment.

2) J'ai changé mon sous-réseau d'adresse IP. Ainsi, la passerelle par défaut côté serveur est maintenant 192.168.157.1 au lieu de 192.168.1.1.Je vais masquer mon adresse IP. :RÉ

3) 10.8.0.2 est la passerelle par défaut pour l’adaptateur TAP-Win32. Donc, après avoir regardé dans les forums openvpn, j’ai ajouté 10.8.0.2 comme passerelle par défaut côté serveur en allant dans les propriétés avancées des propriétés IPv4 de l’adaptateur TAP-Win32. Pour être honnête, je ne sais pas pourquoi je l’ai fait. J'étais juste désespéré de le faire fonctionner.

Maintenant, depuis que j'ai changé le sous-réseau IP de mon itinéraire en 192.168.157.1, je ne vois que deux avertissements dans les fichiers journaux, ce qui est une très bonne nouvelle, OMI. Mais je ne peux toujours pas cingler (il faut aussi examiner les politiques de cinglement, mais je doute que cela puisse être le problème). De plus, le côté client n'a aucun accès à Internet lorsqu'il est connecté à mon serveur. Pas de ping, pas de pages web, pas d'internet.

Avertissement côté serveur dit:

Avertissement: la passerelle de routage n'est accessible sur aucun adaptateur réseau actif: 10.8.0.2

Avertissement côté client:

AVERTISSEMENT: conflit de sous-réseau de route potentiel entre le réseau local [192.168.2.0/255.255.255.0] et le VPN distant [0.0.0.0/0.0.0.0]

Merci encore une fois.

openvpn 
numérosdans moi
source
Vous feriez bien mieux d'utiliser une interface tactile si vous voulez un accès bidirectionnel entre vos machines locales et votre client VPN avec un minimum d'effort.
qasdfdsaq

Réponses:

-1

Je suggérerais d’obtenir un pare-feu ou si vous en avez un qui utilise votre pare-feu pour un réseau privé virtuel. J'ai un poste de surveillance et il est très simple d'élaborer ou de modifier des règles, telles que le ping. J'ai eu un problème où je ne voulais pas que les utilisateurs du sous-réseau "B" puissent même envoyer une requête ping au sous-réseau "A" et que cela ait facilement changé dans cette politique.

Quoi qu'il en soit, vous pouvez essayer de changer le sous-réseau de votre réseau (si possible) en ayant une plage IP "normale", car 192.168.1.1 n'est pas la méthode recommandée. Je ne voudrais également pas mettre votre adresse IP externe pour le monde à voir :)

Pour moi, quelque chose dans votre pare-feu ne semble pas acheminer le trafic vers votre sous-réseau 192.xxx et, à ce qu'il semble, c'est parce que vos réseaux locaux ont la même plage d'adresses IP. Aussi, quel appareil avez-vous sur 10.8.0.2? ressemble à votre passerelle mais vos réseaux locaux sont différents. S'il vous plaît expliquer un peu plus ...

PS désolé, j'ai essayé de commenter au lieu de répondre mais je n'ai pas assez de représentant.

Vdub
source
J'ai édité mon message pour communiquer avec vous. Je suis incapable de tout dire ici. Ce sera vraiment gentil de votre part, si vous pouviez faire d'autres suggestions. Merci!!
numbersinmyhead
Ce que je voulais dire par pare-feu est d'avoir un firebox ou sonicwall comme passerelle vers votre réseau. accès VPN facile à utiliser. de toute façon, comment votre réseau est-il configuré? comme un routeur, des commutateurs? Quelle est exactement votre passerelle @ 192.168.157.1? Sans exécuter vpn, pouvez-vous accéder à ping, internet, etc. sur les deux systèmes? essayez simplement de vous assurer que vos réseaux locaux sont correctement configurés aux deux extrémités avant de vous connecter ensemble.
Vdub
le serveur est configuré sur mon réseau domestique. Je vis dans une maison et dispose de l'adresse IP attribuée par le FAI. Je crois que j'ai un modem câble qui est ensuite connecté à mon routeur (port fwdng activé). Le routeur est juste WRT160N Linksys. L'adresse IP de ce routeur est 192.168.157.1. (avant 192.168.1.1). Je n'ai aucun commutateur impliqué. Le serveur (Windows 7) est connecté au routeur sans fil. Le client est chez mes amis, il habite dans une maison différente et a un FAI différent. Donc, il se connecte à mon ordinateur portable en utilisant openVPN. Nous avons tous les deux désactivé nos pare-feu. OpenVPN lui a attribué l'adresse IP de 10.8.0.6
numbersinmyhead,
J'ai Internet activé sur les deux réseaux sans VPN. Mais l'ordinateur portable de mon ami cesse de se connecter lorsque le client VPN est connecté à mon serveur. Mon serveur fonctionne parfaitement sans aucun problème. Voudriez-vous que je poste quelques journaux de plus de iptables ou de tracert?
numbersinmyhead
Ok, vu son apparence, vous utilisez 192.168.157.x et il est sur 10.8.0.x. Je ne suis pas un expert en openvpn, mais je me demande si vous devez le diriger vers sa passerelle à 10.8.0.1? de l'erreur que vous avez reçue "AVERTISSEMENT: conflit de sous-réseau de route potentiel entre le réseau local [192.168.2.0/255.255.255.0] et le VPN distant [0.0.0.0/0.0.0.0]", 192.168.2.0 n'est-il pas correct? alors qu'est-ce qui pointe vers ça?
Vdub
1

Cette déclaration 

 push "route 0.0.0.0 0.0.0.0"

dans le fichier server.conf est à l’origine de vos problèmes. le

push "route ..."

déclaration, à ne pas confondre avec la 

push route ...

Cette instruction, qui remplit une fonction différente, est utilisée pour informer les clients OpenVPN de l’existence d’un réseau local derrière le serveur OpenVPN. Comme vous avez changé ce sous-réseau en 192.168.157.0/24, l'instruction ci-dessus doit être remplacée par:

  push "route 192.168.157.0 255.255.255.0"

Vous pouvez trouver la description de cette déclaration dans le guide OpenVPN . En plus de détailler ce que je vous ai déjà dit, vous trouverez également la déclaration suivante:

Ensuite, vous devez configurer une route sur la passerelle LAN côté serveur pour acheminer le sous-réseau client VPN (10.8.0.0/24) vers le serveur OpenVPN (cette opération est nécessaire uniquement si le serveur OpenVPN et la passerelle LAN sont des ordinateurs différents).

Assurez-vous que vous avez activé le transfert IP et TUN / TAP sur la machine serveur OpenVPN.

Ces deux opérations sont cruciales pour le fonctionnement de l’OpenVPN. Malheureusement, elles dépendent également du système d’exploitation, vous devez donc trouver le moyen de le faire vous-même.

Les utilisateurs de machines Linux auront besoin des deux commandes suivantes:

   ip route add 10.8.0.0/24 via IP.of.TheOpenVPN.Server
   echo 1 > /proc/sys/net/ipv4/ip_forward
MariusMatutiae
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.