13 réponses à ce sujet

[mario]

Bonjour,

(bon, premier message sur le forum, bonjour tout le monde, oui j'ai pris le temps de faire une recherche, tout ça et j'adore ce que vous faites ).

Mes parents et ma soeur (3 appartements différents et distants) souhaiterait que je mette en place une connexion via un VPN pour qu'ils puissent partager leurs photos de vacances via bitTorrent et cie entre eux et avec toute la famille (et trouverait ça très "convenient" que les connexions sortent depuis un serveur situé hors de France, bien entendu)

De ce que j'ai compris, la solution est de payer un accès à un VPN, puis de créer un autre VPN auquel soient connectés les (5) ordis, et de relier les 2 VPN.

Niveau materiel, tous les ordis "clients" sont sous windows, et je dispose d'un serveur sous Debian. Donc si j'ai tout compris aux différents tutos glânés ça et là, je dois utiliser le serveur pour créer un VPN "à moi", puis le configurer comme passerelle réseau, et enfin, souscrire un accès à un VPN "externe" et configurer les routes.

J'ai généré l'autorité de certification et le certificat du serveur, puis les clé&certificat pour 1 ordinateur (le mien)

J'ai installé openvpn sur mon serveur, et j'ai tenté de le configurer. la config est :

port 500 # modification du port pas défaut pour passer par le port UDP
proto udp #Configure le VPN en mode UDP. Si besoin, TCP fonctionne aussi.
dev tun
ca keys/ca.crt
cert keys/server.crt #emplacement du certificat SSL
key keys/server.key #emplacement de la clée SSL
dh dh1024.pem # Emplacement du paramètre dh
server 10.8.0.0 255.255.255.0 #ip désirée pour le serveur
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
push "redirect-gateway def1" # Définit le serveur VPN comme passerelle par défaut pour les clients.
push "dhcp-option DNS 10.8.0.1" # Définit le serveur VPN comme DNS par défaut
client-to-client
# Server configuration
dev tun
comp-lzo
persist-key
persist-tun
# Logging configuration
status openvpn-status.log
log-append /var/log/openvpn.log
verb 3

j'ai redémarré le service, voila le log :

Wed Jul 28 21:36:26 2010 event_wait : Interrupted system call (code=4)
Wed Jul 28 21:36:26 2010 TCP/UDP: Closing socket
Wed Jul 28 21:36:26 2010 /sbin/route del -net 10.8.0.0 netmask 255.255.255.0
SIOCDELRT: Operation not permitted
Wed Jul 28 21:36:26 2010 ERROR: Linux route delete command failed: external program exited with error status: 7
Wed Jul 28 21:36:26 2010 Closing TUN/TAP interface
Wed Jul 28 21:36:26 2010 /sbin/ifconfig tun0 0.0.0.0
SIOCSIFADDR: Permission denied
SIOCSIFFLAGS: Permission denied
Wed Jul 28 21:36:26 2010 Linux ip addr del failed: external program exited with error status: 255
Wed Jul 28 21:36:26 2010 SIGTERM[hard,] received, process exiting
Wed Jul 28 21:36:27 2010 OpenVPN 2.1.0 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [MH] [PF_INET6] [eurephia] built on Jul  9 2010
Wed Jul 28 21:36:27 2010 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Wed Jul 28 21:36:27 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Jul 28 21:36:27 2010 Diffie-Hellman initialized with 1024 bit key
Wed Jul 28 21:36:27 2010 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
Wed Jul 28 21:36:27 2010 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Jul 28 21:36:27 2010 ROUTE default_gateway=192.168.0.254
Wed Jul 28 21:36:27 2010 TUN/TAP device tun0 opened
Wed Jul 28 21:36:27 2010 TUN/TAP TX queue length set to 100
Wed Jul 28 21:36:27 2010 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Wed Jul 28 21:36:27 2010 /sbin/route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.2
Wed Jul 28 21:36:27 2010 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Jul 28 21:36:27 2010 GID set to nogroup
Wed Jul 28 21:36:27 2010 UID set to nobody
Wed Jul 28 21:36:27 2010 Socket Buffers: R=[112640->131072] S=[112640->131072]
Wed Jul 28 21:36:27 2010 UDPv4 link local (bound): [undef]
Wed Jul 28 21:36:27 2010 UDPv4 link remote: [undef]
Wed Jul 28 21:36:27 2010 MULTI: multi_init called, r=256 v=256
Wed Jul 28 21:36:27 2010 IFCONFIG POOL: base=10.8.0.4 size=62
Wed Jul 28 21:36:27 2010 IFCONFIG POOL LIST
Wed Jul 28 21:36:27 2010 Initialization Sequence Completed

du coté du client, j'ai installé OpenVPN pour windows, et je le lance avec ce fichier de conf :

# Client configuration 
client 
remote dns.du.vpn.que.jai.remplacé.ici
nobind 
dev tun 
comp-lzo 
 
# SSL Configuration 
ca ca.crt 
cert client.crt 
key client.key 

Les fichiers clés étant copiés de part et d'autre.

Je n'ai pas configuré le routage, en me disant que ca viendrait après.

Résultat :
je n'arrive pas à me connecter au VPN. Je ne sais pas si c'est lié a une mauvaise config du client ou du serveur. Mes tentatives de connexion ne génèrent pas de log.

Et après :
Je ne suis pas sûr de savoir comment je devrais configurer le routage une fois que le VPN sera fonctionnel. Si j'ai tout suivi, il faudrait que je rajoute un second fichier de configuration (client, cette fois-ci) dans /etc/openvpn, et ca devrait me donner au total un tun0 et un tun1, et il faudra que je reroute le tun0 sur le tun1. Le serveur sera-t-il toujours accessible via eth0 ? (c'est quand même mon serveur, s'il reste accessible, c'est bien...)

Est-ce que j'ai pas fait trop d'erreurs jusque là ? Est-ce que vous auriez des conseils pour la suite ? Est-ce que vous sauriez pourquoi ca marche pas, ce qu'il vous manque comme info pour le savoir ou comment résoudre le problème ?

Merci beaucoup,
bonne soirée !

[killou]

pourquoi ne pas connecter tous les ordis au même VPN, quel est l'intérêt de passer par 2 VPN ?? pas bien compris.

[mario]

killou, le 28 juillet 2010 - 22:04, dit :

pourquoi ne pas connecter tous les ordis au même VPN, quel est l'intérêt de passer par 2 VPN ?? pas bien compris.

Si j'achète un accès à un VPN dont les serveurs sont à l'étranger, et que ca me coute, mettons, 5€ par mois, j'ai une seule IP, non ?
Donc si je veux ne pas avoir à payer 5€ par ordinateur (en plus du fait qu'ils ne seront pas capables de communiquer entre eux via le VPN, parce que je doute que les VPN "commerciaux" laissent leur utilisateurs entrer en contact), ben...

C'est pour ça que je pensais à un second VPN pour réunir dans un même réseau (et faire apsser par une même passerelle) des ordis répartis dans Paris et sur des FAI différents...

[Bashy]

mario, le 28 juillet 2010 - 22:18, dit :

en plus du fait qu'ils ne seront pas capables de communiquer entre eux via le VPN, parce que je doute que les VPN "commerciaux" laissent leur utilisateurs entrer en contact

Pourrais-tu être plus explicite sur tes exigences ?

[killou]

Tu prends un vps a 10€ par moi, tu montes ton vpn, et t'auras tous tes postes dans le meme reseau local et avec la meme ip public, celle de ton vps.

http://forum.korben....__60#entry35041

[mario]

Bashy, le 28 juillet 2010 - 22:31, dit :

Pourrais-tu être plus explicite sur tes exigences ?

Mettons que je souscrive moi et mon père, à l'offre de Xango (http://xango-info.fr). On aura chacun notre IP. Je pense pas qu'on sois dans le même sous-réseau, donc si on veut partager des fichiers, ce sera pas évident, et ca passera par le serveur VPN à perpette les noix. Si on a notre vpn avec mon serveur à Paris, ca devrait aller mieux, et on pourra partager des fichiers (voire même imprimantes, tout ça) simplement avec partage windows/samba/whatever.

killou, le 28 juillet 2010 - 22:42, dit :

Tu prends un vps a 10€ par moi, tu montes ton vpn, et t'auras tous tes postes dans le meme reseau local et avec la meme ip public, celle de ton vps.

http://forum.korben....__60#entry35041

Le truc, c'est que j'ai déjà mon propre serveur et que je sais pas si j'aurais l'utilité d'en prendre un autre. Mais c'est sur, c'est une solution envisageable. Dans tous les cas, tout ce que j'ai fait jusqu'à présent, je l'aurais fait à l'identique sur un VPS, et ca ne répond pas à la grande interrogation de la journée : pourquoi ça marche pas ...

(Merci pour les réponses, en tout cas)
(Je viens de m'apercevoir que je me suis planté de catégorie du forum. Spa sérieux tout ça ><. Désolé aux familles, si un gentil modo veut bien déplacer... enfin si on considère que le côté "VPN" est prédominant dans le problème par rapport au côté "problème de configuration d'un logiciel sous Debian"...)

[Pilip]

Je ne comprends pas non plus pourquoi deux VPN ?!?

Vous pouvez vous connecter à un seul VPN quelque soit votre FAI ...
L'intéret d'un VPN c'est justement de connecter des machines sur différents réseaux avec une connexion sécurisé.

Edit/précision: C'est la partie serveur à l'étranger que je ne saisi pas

[mario]

Pilip, le 29 juillet 2010 - 09:24, dit :

Je ne comprends pas non plus pourquoi deux VPN ?!?

Vous pouvez vous connecter à un seul VPN quelque soit votre FAI ...
L'intéret d'un VPN c'est justement de connecter des machines sur différents réseaux avec une connexion sécurisé.

Edit/précision: C'est la partie serveur à l'étranger que je ne saisi pas

Il y a un VPN simplement pour réunir nos ordi dans un même réseau, et l'autre c'est genre ça :
http://free.korben.i...PN#Liste_de_VPN

Ce genre de service te donne une IP d'un VPN dont l'accès internet est à l'étranger mais si j'ai plusieurs ordis qui veulent passer par là et une seule IP je dois NATer et si je veux faire ca sur des ordis physiquement éloignés. Donc 2 VPN, l'un parce que ca me donne une IP publique étrangère, l'autre pour que tout le monde ait cette ip là. Ce qui était proposé ci-dessus était que je prenne un VPS, comme ca le peux mettre le serveur dans mon VPN. Si je fais pas ça, je peux pas jouer avec le serveur du fournisseur du VPN étranger, donc je suis obligé de monter un 2e VPN. Toujours pas clair ?

(et quelqu'un a une idée de pourquoi ça marche pas ?)

Edit (question alternative) : dans un VPN, est-ce que tous les paquets qui transitent sur le réseau passent physiquement par le serveur ou est-ce que les machines peuvent se connecter directement par le lien le plus court physiquement ?

[Pilip]

Oui c'etait clair ça mais j'etais parti sur le fait que tu voulais un VPN pour seulement partager les fichiers, alors je comprenais pourquoi avoir besoin d'un VPN à létranger ^^ en fait si je comprends il faut que cela soit possible de télécharger sur tout les postes avec une adresse à l'etranger !

Et si tu prends un seul abonnement VPN avec un serveur de partage en ftps et tu donnes la possibilite a tous d'acceder/controler le serveur?

[mario]

Pilip, le 29 juillet 2010 - 11:41, dit :

Oui c'etait clair ça mais j'etais parti sur le fait que tu voulais un VPN pour seulement partager les fichiers, alors je comprenais pourquoi avoir besoin d'un VPN à létranger ^^ en fait si je comprends il faut que cela soit possible de télécharger sur tout les postes avec une adresse à l'etranger !

Et si tu prends un seul abonnement VPN avec un serveur de partage en ftps et tu donnes la possibilite a tous d'acceder/controler le serveur?

Ca marcherait aussi, mais...
Considérations pratiques, ca veut dire que le serveur doit avoir un client bittorrent, mais c'est un serveur, donc c'est relativement impensable de mettre un windows (faut pas déconner ) et vu que je suis le seul de la famille à etre suffisemment motivé pour me passer d'interface graphique, ca veut dire un serveur avec une interface graphique.

Globalement, ca marcherait aussi...
On perd le côté pratique du VPN mais on gagne en simplicité à l'installation et probablement en vitesse globale aussi (si dans un VPN, les paquets transitent par le serveur VPN, et qu'il a une vitesse d'upload pas super, ADSL power, alors c'est aussi une bonne idée)...

Donc globalement, je pense que je vais abandonner ma solution initiale n°1.
La solution n°2, le VPS ou j'installe un VPN parait pas mal
Sinon, la solution n°3, un VPS sans VPN, plus simple a mettre en place mais moins simple a utiliser.

Ben merci pour les conseils... Si jamais vous avez une idée de pourquoi ca marche pas, hésitez pas hein

Edit : Avec la solution n°2, on peut aussi rediriger certains ports (par exemple les ports de BitTorrent) sur le serveur à distance, via PuTTY, par exemple. Et on dit au client bittorrent sur l'ordi en local de se connecter via un proxy en passant par le port tunnelé en SSH (ma phrase est probablement pas claire. Je viens de faire une recherche google pour l'expliquer et je tombe sur un article de ce site, c'est trop la classe : voir ici). Sans monter tout un VPN, on aura alors une connexion sécurisée entre l'ordi local et le serveur à l'étranger, et on peut utiliser BitTorrent sans se prendre le chou

[Pilip]

mario, le 29 juillet 2010 - 15:43, dit :

Ca marcherait aussi, mais...
Considérations pratiques, ca veut dire que le serveur doit avoir un client bittorrent, mais c'est un serveur, donc c'est relativement impensable de mettre un windows (faut pas déconner ) et vu que je suis le seul de la famille à etre suffisemment motivé pour me passer d'interface graphique, ca veut dire un serveur avec une interface graphique.

tu peux tres bien installer un client bittorent et un serveur graphique X11. Une connexion ssh et ça passe.

Apres si tu as du temps et si tu veux faire pro c'est meme possible de faire une interface web qui lance des scripts sur le serveur ^^ ça peut être fun

[mario]

Pilip, le 29 juillet 2010 - 19:51, dit :

tu peux tres bien installer un client bittorent et un serveur graphique X11. Une connexion ssh et ça passe.

Apres si tu as du temps et si tu veux faire pro c'est meme possible de faire une interface web qui lance des scripts sur le serveur ^^ ça peut être fun

Je pense que le plus simple, c'est de rien installer sur le serveur a part les paquets de base, et de faire du tunneling tout bête. Mais bon, c'est envisageable. Ca peut même être fun . Mais il faut que je me mette au shellscript .

(Une interface web pour un serveur utilisé comme client bittorrent ... J'avoue, ce serait sacrément fun. Ca c'est du challenge sympa !)

[dokho]

mario, le 30 juillet 2010 - 12:06, dit :

(Une interface web pour un serveur utilisé comme client bittorrent ... J'avoue, ce serait sacrément fun. Ca c'est du challenge sympa !)

Euh ... transmission-daemon (linux) possède une interface web

[mario]

dokho, le 30 juillet 2010 - 20:39, dit :

Euh ... transmission-daemon (linux) possède une interface web

Et ben c'est ultimement classe

Allez c'est parti pour le VPS. Merci pour les avis.

Ceci étant dit, je sais toujours pas installer un vpn qui marche, mais bon