Arethusa forum

Arethusa discussion forums.

You are not logged in.

Announcement

Registration is not required to post, but is required to post links.

#26 2018-01-31 19:54:37

Adelscott
Anonymous

Re: Server upgrades

je suis passé en V3 et j'essaie de me connecter avec un DD-WRT

J'ai généré un fichier de configuration en UDP (il semble que j'étais en UDP en V2) et j'ai collé la première partie dans "Additional Config" là ou il y avait déjà la config pour le V2. J'ai fait de même pour le certificat.

J'ai une commande que j'utilise pour voir ce qu'il se passe dans le log et c'est beaucoup moins verbeux qu'avant, c'est mauvais signe sad

root@DD-WRT:~# cat /tmp/var/log/messages | grep openvpn
Jan  1 00:00:05 DD-WRT daemon.notice openvpn[993]: OpenVPN 2.3.4 arm-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Oct  7 2014
Jan  1 00:00:05 DD-WRT daemon.notice openvpn[993]: library versions: OpenSSL 1.0.1i 6 Aug 2014, LZO 2.08
Jan  1 00:00:05 DD-WRT daemon.notice openvpn[993]: MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:16
Jan 31 19:43:09 DD-WRT user.info : openvpn : OpenVPN daemon (Client) successfully stopped
Jan 31 19:43:11 DD-WRT user.info : openvpn : OpenVPN daemon (Client) hanging, send SIGKILL
Jan 31 19:43:11 DD-WRT user.info : openvpn : OpenVPN daemon (Client) starting/restarting...
Jan 31 19:43:11 DD-WRT daemon.notice openvpn[1868]: OpenVPN 2.3.4 arm-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Oct  7 2014
Jan 31 19:43:11 DD-WRT daemon.notice openvpn[1868]: library versions: OpenSSL 1.0.1i 6 Aug 2014, LZO 2.08
Jan 31 19:43:11 DD-WRT daemon.notice openvpn[1868]: MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:16
root@DD-WRT:~# ping 10.10.10.10
PING 10.10.10.10 (10.10.10.10): 56 data bytes

Le ping 10.10.10.10 (un serveur ntp je crois ?) je l'utilisais pour le keep alive et ça me permettait aussi en manuel de voir que j'étais bien connecté sur la V2. Est ce que ce serveur existe toujours sur la V3 ?

edit :
j'ai changé "auth-user-pass" en "auth-user-pass /jffs/password.txt" comme sur la V2 et j'ai mis la clé TLS dans "TLS Auth Key" (alors que je n'en utilisais pas avant. Du coup ça à changé un peu le log :

root@DD-WRT:~# cat /tmp/var/log/messages | grep openvpn
Jan  1 00:00:05 DD-WRT daemon.notice openvpn[983]: OpenVPN 2.3.4 arm-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Oct  7 2014
Jan  1 00:00:05 DD-WRT daemon.notice openvpn[983]: library versions: OpenSSL 1.0.1i 6 Aug 2014, LZO 2.08
Jan  1 00:00:05 DD-WRT daemon.notice openvpn[983]: MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:16
Jan  1 00:00:05 DD-WRT daemon.warn openvpn[983]: WARNING: file '/jffs/password.txt' is group or others accessible
Jan  1 00:00:05 DD-WRT daemon.warn openvpn[983]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jan  1 00:00:05 DD-WRT daemon.warn openvpn[983]: WARNING: file '/tmp/openvpncl/ta.key' is group or others accessible
Jan  1 00:00:05 DD-WRT daemon.notice openvpn[983]: Control Channel Authentication: using '/tmp/openvpncl/ta.key' as a OpenVPN static key file
Jan  1 00:00:05 DD-WRT daemon.notice openvpn[983]: Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Jan  1 00:00:05 DD-WRT daemon.notice openvpn[983]: Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Jan  1 00:00:05 DD-WRT daemon.notice openvpn[983]: Socket Buffers: R=[180224->131072] S=[180224->131072]
Jan 31 20:04:05 DD-WRT daemon.err openvpn[983]: RESOLVE: Cannot resolve host address: p2p.tunsrv.s6n.net: Try again
Jan 31 20:04:05 DD-WRT daemon.notice openvpn[1742]: UDPv4 link local: [undef]
Jan 31 20:04:05 DD-WRT daemon.notice openvpn[1742]: UDPv4 link remote: [AF_INET]163.172.118.38:443
Jan 31 20:04:05 DD-WRT daemon.notice openvpn[1742]: TLS: Initial packet from [AF_INET]163.172.118.38:443, sid=a3828a5b aabe0d94
Jan 31 20:04:05 DD-WRT daemon.err openvpn[1742]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]163.172.118.38:443
Jan 31 20:04:05 DD-WRT user.info : openvpn : OpenVPN daemon (Client) successfully stopped
Jan 31 20:04:05 DD-WRT daemon.err openvpn[1742]: event_wait : Interrupted system call (code=4)
Jan 31 20:04:05 DD-WRT daemon.notice openvpn[1742]: SIGTERM[hard,] received, process exiting
Jan 31 20:04:05 DD-WRT user.info : openvpn : OpenVPN daemon (Client) starting/restarting...
Jan 31 20:04:05 DD-WRT daemon.notice openvpn[1877]: OpenVPN 2.3.4 arm-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Oct  7 2014
Jan 31 20:04:05 DD-WRT daemon.notice openvpn[1877]: library versions: OpenSSL 1.0.1i 6 Aug 2014, LZO 2.08
Jan 31 20:04:05 DD-WRT daemon.notice openvpn[1877]: MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:16
Jan 31 20:04:05 DD-WRT daemon.warn openvpn[1877]: WARNING: file '/jffs/password.txt' is group or others accessible
Jan 31 20:04:05 DD-WRT daemon.warn openvpn[1877]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jan 31 20:04:05 DD-WRT daemon.warn openvpn[1877]: WARNING: file '/tmp/openvpncl/ta.key' is group or others accessible
Jan 31 20:04:05 DD-WRT daemon.notice openvpn[1877]: Control Channel Authentication: using '/tmp/openvpncl/ta.key' as a OpenVPN static key file
Jan 31 20:04:05 DD-WRT daemon.notice openvpn[1877]: Outgoing Control Channel Authentication: Using 256 bit message hash
'SHA256' for HMAC authentication
Jan 31 20:04:05 DD-WRT daemon.notice openvpn[1877]: Incoming Control Channel Authentication: Using 256 bit message hash
'SHA256' for HMAC authentication
Jan 31 20:04:05 DD-WRT daemon.notice openvpn[1877]: Socket Buffers: R=[180224->131072] S=[180224->131072]
Jan 31 20:04:05 DD-WRT daemon.notice openvpn[1879]: UDPv4 link local: [undef]
Jan 31 20:04:05 DD-WRT daemon.notice openvpn[1879]: UDPv4 link remote: [AF_INET]163.172.119.39:443
Jan 31 20:04:05 DD-WRT daemon.notice openvpn[1879]: TLS: Initial packet from [AF_INET]163.172.119.39:443, sid=c0c1fa16 548e245a
Jan 31 20:04:05 DD-WRT daemon.err openvpn[1879]: TLS Error: cannot locate HMAC in incoming packet from [AF_INET]163.172.119.39:443 

edit 2: j'ai corrigé le host qui était configuré un peu plus haut, j'ai mis le même que dans le fichier de config, je n'ai plus l'erreur, mais on dirait que rien ne passe par le tunnel, j'ai mon ip perso quand je la check avec un curl sur un site web dédié.

root@DD-WRT:~# cat /tmp/var/log/messages | grep openvpn
Jan  1 00:00:05 DD-WRT daemon.notice openvpn[1000]: OpenVPN 2.3.4 arm-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Oct  7 2014
Jan  1 00:00:05 DD-WRT daemon.notice openvpn[1000]: library versions: OpenSSL 1.0.1i 6 Aug 2014, LZO 2.08
Jan  1 00:00:05 DD-WRT daemon.notice openvpn[1000]: MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:16
Jan  1 00:00:05 DD-WRT daemon.warn openvpn[1000]: WARNING: file '/jffs/password.txt' is group or others accessible
Jan  1 00:00:05 DD-WRT daemon.warn openvpn[1000]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jan  1 00:00:05 DD-WRT daemon.notice openvpn[1000]: Socket Buffers: R=[180224->131072] S=[180224->131072]
Jan  1 00:00:06 DD-WRT daemon.notice openvpn[1401]: UDPv4 link local: [undef]
Jan  1 00:00:06 DD-WRT daemon.notice openvpn[1401]: UDPv4 link remote: [AF_INET]163.172.52.166:443
Jan 31 20:28:52 DD-WRT daemon.notice openvpn[1401]: [UNDEF] Inactivity timeout (--ping-restart), restarting
Jan 31 20:28:52 DD-WRT daemon.notice openvpn[1401]: SIGUSR1[soft,ping-restart] received, process restarting
Jan 31 20:28:52 DD-WRT daemon.notice openvpn[1401]: Restart pause, 2 second(s)
Jan 31 20:28:53 DD-WRT user.info : openvpn : OpenVPN daemon (Client) successfully stopped
Jan 31 20:28:53 DD-WRT daemon.notice openvpn[1401]: SIGTERM[hard,init_instance] received, process exiting
Jan 31 20:28:53 DD-WRT user.info : openvpn : OpenVPN daemon (Client) starting/restarting...
Jan 31 20:28:53 DD-WRT daemon.notice openvpn[1871]: OpenVPN 2.3.4 arm-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Oct  7 2014
Jan 31 20:28:53 DD-WRT daemon.notice openvpn[1871]: library versions: OpenSSL 1.0.1i 6 Aug 2014, LZO 2.08
Jan 31 20:28:53 DD-WRT daemon.notice openvpn[1871]: MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:16
Jan 31 20:28:53 DD-WRT daemon.warn openvpn[1871]: WARNING: file '/jffs/password.txt' is group or others accessible
Jan 31 20:28:53 DD-WRT daemon.warn openvpn[1871]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jan 31 20:28:53 DD-WRT daemon.notice openvpn[1871]: Socket Buffers: R=[180224->131072] S=[180224->131072]
Jan 31 20:28:53 DD-WRT daemon.notice openvpn[1873]: UDPv4 link local: [undef]
Jan 31 20:28:53 DD-WRT daemon.notice openvpn[1873]: UDPv4 link remote: [AF_INET]163.172.52.166:443

Last edited by Adelscott (2018-01-31 20:32:43)

#27 2018-01-31 22:34:22

Zero
Moderator

Re: Server upgrades

10.10.10.10 est un serveur DNS. Il ne répond pas au ping sur le serveur v3 pays-bas actuel.

Le pb dans ton dernier log est que tu essaies de te connecter sur le port UDP 443 alors qu'en v3 c'est 1194 (mais toujours 443 en TCP). Mais si un jour on ajoute un autre port UDP en v3 ce sera le 443.

Offline

#28 2018-01-31 23:13:31

Adelscott
Anonymous

Re: Server upgrades

J'ai changé le port mais ça ne veut toujours pas

gZL2HiT.png

cat /tmp/var/log/messages | grep openvpn
root@DD-WRT:~# cat /tmp/var/log/messages | grep openvpn
Jan  1 00:00:05 DD-WRT daemon.notice openvpn[999]: OpenVPN 2.3.4 arm-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Oct  7 2014
Jan  1 00:00:05 DD-WRT daemon.notice openvpn[999]: library versions: OpenSSL 1.0.1i 6 Aug 2014, LZO 2.08
Jan  1 00:00:05 DD-WRT daemon.notice openvpn[999]: MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:16
Jan  1 00:00:05 DD-WRT daemon.warn openvpn[999]: WARNING: file '/jffs/password.txt' is group or others accessible
Jan  1 00:00:05 DD-WRT daemon.warn openvpn[999]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jan  1 00:00:05 DD-WRT daemon.warn openvpn[999]: WARNING: file '/tmp/openvpncl/ta.key' is group or others accessible
Jan  1 00:00:05 DD-WRT daemon.notice openvpn[999]: Control Channel Authentication: using '/tmp/openvpncl/ta.key' as a OpenVPN static key file
Jan  1 00:00:05 DD-WRT daemon.notice openvpn[999]: Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Jan  1 00:00:05 DD-WRT daemon.notice openvpn[999]: Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Jan  1 00:00:05 DD-WRT daemon.notice openvpn[999]: Socket Buffers: R=[180224->131072] S=[180224->131072]
Jan  1 00:00:07 DD-WRT user.info : openvpn : OpenVPN daemon (Client) successfully stopped
Jan  1 00:00:07 DD-WRT daemon.notice openvpn[1859]: UDPv4 link local: [undef]
Jan  1 00:00:07 DD-WRT daemon.notice openvpn[1859]: UDPv4 link remote: [AF_INET]163.172.52.166:1194
Jan  1 00:00:08 DD-WRT daemon.notice openvpn[1859]: SIGTERM[hard,init_instance] received, process exiting
Jan  1 00:00:08 DD-WRT user.info : openvpn : OpenVPN daemon (Client) starting/restarting...
Jan  1 00:00:08 DD-WRT daemon.notice openvpn[1863]: OpenVPN 2.3.4 arm-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Oct  7 2014
Jan  1 00:00:08 DD-WRT daemon.notice openvpn[1863]: library versions: OpenSSL 1.0.1i 6 Aug 2014, LZO 2.08
Jan  1 00:00:08 DD-WRT daemon.notice openvpn[1863]: MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:16
Jan  1 00:00:08 DD-WRT daemon.warn openvpn[1863]: WARNING: file '/jffs/password.txt' is group or others accessible
Jan  1 00:00:08 DD-WRT daemon.warn openvpn[1863]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jan  1 00:00:08 DD-WRT daemon.warn openvpn[1863]: WARNING: file '/tmp/openvpncl/ta.key' is group or others accessible
Jan  1 00:00:08 DD-WRT daemon.notice openvpn[1863]: Control Channel Authentication: using '/tmp/openvpncl/ta.key' as a OpenVPN static key file
Jan  1 00:00:08 DD-WRT daemon.notice openvpn[1863]: Outgoing Control Channel Authentication: Using 256 bit message hash
'SHA256' for HMAC authentication
Jan  1 00:00:08 DD-WRT daemon.notice openvpn[1863]: Incoming Control Channel Authentication: Using 256 bit message hash
'SHA256' for HMAC authentication
Jan  1 00:00:08 DD-WRT daemon.notice openvpn[1863]: Socket Buffers: R=[180224->131072] S=[180224->131072]
Jan  1 00:00:08 DD-WRT daemon.notice openvpn[1865]: UDPv4 link local: [undef]
Jan  1 00:00:08 DD-WRT daemon.notice openvpn[1865]: UDPv4 link remote: [AF_INET]163.172.52.166:1194

#29 2018-02-01 10:20:47

Zero
Moderator

Re: Server upgrades

Tu as supprimé key-direction 1 de la config. Et il faut que ce soit lu avant la clé tls-auth par openvpn (je ne sais pas dans quel ordre dd-wrt insère la clé).

Offline

#30 2018-02-01 21:25:54

Adelscott
Anonymous

Re: Server upgrades

J'ai essayé des dizaines de combinaisons, je crois que j'en ai trouvé une qui fonctionne.


IYyZQ9Y.png

A savoir que:
1) J'ai mis la compression LZO à Disabled car "Yes" et "Adaptative" me donnaient une erreur. "No" me donnait une erreur aussi je crois
2) J'ai commenté "dev tun" car sinon dans l'onglet Status d'OpenVPN j'avais bien une "Local Address: 10.246.*" mais rien dans "Remote Address:"  et je n'arrivais pas à sortir par la 185.11.*
3) J'ai dû activer IPV6 sur le routeur, car à un moment j'ai eu une erreur sur un test ipv6 (voir point suivant)
4) La config semble fonctionner sans les lignes "tun-ipv6", "route-ipv6 2000::/3", "route-ipv6 ::/0" , par contre même sans ces lignes il faut bien activer IPV6 sur le routeur, sinon il ne se passe rien, je ne vois même pas l'étape AUTH dans l'onglet status d'OpenVPN
5) "key-direction 1" ne semble pas nécessaire
6) J'ai laissé "keepalive 10 60" parce que de souvenir ça m'avait bien aidé contre les déco sur la V2, donc dans le doute ...
7) je suis fatigué smile


Pour finir je crois qu'on voit dans l'onglet Status OpenVPN de DD-WRT les paramètres qu'il utilise au final :

ca /tmp/openvpncl/ca.crt management 127.0.0.1 16 management-log-cache 100 verb 3 mute 3 syslog writepid /var/run/openvpncl.pid client resolv-retry infinite nobind persist-key persist-tun script-security 2 dev tun1 proto udp cipher aes-256-cbc auth sha256 remote eu1.vgw.arethusa.su 1194 tun-mtu 1500 mtu-disc yes fast-io tun-ipv6 tls-auth /tmp/openvpncl/ta.key 1 client #dev tun resolv-retry infinite nobind persist-key persist-tun persist-remote-ip mute-replay-warnings remote-cert-tls server cipher AES-256-CBC tls-version-min 1.2 auth SHA256 verb 3 mute 20 auth-user-pass /jffs/password.txt redirect-gateway def1 bypass-dhcp setenv CLIENT_CERT 0 keepalive 10 60

Je pense qu'il y a plein de bordel inutile/en_double mais plus envie de chercher à épurer là tout de suite ...

Une dernière question @Zero, enfin j'espère, quelle IP pourrait remplacer la 10.10.10.10 pour l'usage que j'en faisais ? C'est à dire serveur NTP et répondant au ping pour le keep alive géré par DD-WRT ? Ce serait une IP en 10.246.* j'imagine ?

Last edited by Adelscott (2018-02-01 21:33:29)

#31 2018-02-02 14:15:40

Zero
Moderator

Re: Server upgrades

1) Ah oui LZO est désactivé sur la v3 et j'avais loupé ce paramétrage sur la précédente capture d'écran.

2) D'après le status log DD-WRT rajoute son propre paramètre

3) et 4) tun-ipv6 est redondant dans la plupart des cas (car openvpn l'active de lui-même). Les route-ipv6 servent à rediriger le trafic ipv6 par le VPN. Mais quel que soit le système le support ipv6 est obligatoire même si on ne veut pas l'utiliser au final.

5) Le status log indique que DD-WRT a déjà indiqué la direction lui-même.


À part quelques vieux serveurs, plus aucun serveur v1 v2 ou v3 n'a de NTP ouvert, par sécurité. Mais n'importe quel serveur public devrait fonctionner.

10.10.10.10 est l'ip du serveur DNS local sur chaque serveur VPN. Cette IP ne répond pas au ping sur le serveur v3 actuel. En fait je crois bien qu'aucune IP interne ne répond au ping sur ce serveur. Ça devrait changer à l'avenir.

Offline

#32 2018-02-02 22:34:16

Adelscott
Anonymous

Re: Server upgrades

Ok je reste à l’affût

Board footer

Powered by FluxBB