Tous les projets

ID Projet Ouverte Type Catégorie État Résumé
35640Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)24/09/2021ÉvolutionServeur VPNNouveauAlgorithme d'authentication pour OpenVPN server Description de la tâche

Bonjour,

Cet algorithme n'est pas configurable dans l'interface et il semble que par défaut ce soit SHA1.
SHA1 étant déprécié, le serveur VPN n'est plus compatible avec certains clients VPN.

Serait-il possible:
- soit de rendre configurable l'algorithme d'authentification du serveur OpenVPN
- soit de le mettre par défaut à SHA2 256 au lieu de SHA1
?

Merci,

Fred
TheGreenBow.

22745Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)02/07/2018AnomalieServeur VPNÀ investiguerServeur OpenVPN: génération des certificats serveur et ... Description de la tâche

Bonjour,

Je viens de recréer la configuration serveur OpenVPN d’une Freebox Revolution.

En utilisant le client VPN TheGreenBow, je constate que les 2 certificats serveur et serveur CA sont bien différents, mais ils utilisent la même clef publique.
Ils ont aussi la même valeur pour le champ “Subject key identifier”.

Est-ce volontaire ? ou est-ce une erreur, ou mauvaise manip de ma part ?

Si c’est volontaire, ce n’est pas conforme. D’après la RFC 5280 paragraphe 4.2.1.2, le champ “Subject key identifier” est bien censé être unique pour chaque certificat, et il est effectivement calculé à partir du champ “subjectPublicKey”.

Je peux faire d’autres manips, ou donner plus d’information si besoin.

Avec mon ancienne configuration Serveur OpenVpn de la Freebox je n’avais pas constaté ce problème. Un utilisateur Freebox 4k + Client TheGreenBox nous a remonté aussi ce problème, que j’arrive donc maintenant à reproduire.

Merci,

Frederic Gloannec
TheGreenBow VPN.

 20057 Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)05/04/2016AutreServeur VPNFermée IkeV2: Réseau distant à 0.0.0.0/0  Description de la tâche

Bonjour,

Je viens de tester le nouveau firmware 3.3.1, en ce qui concerne IkeV2.

La bonne nouvelle c’est que maintenant, avec le client TheGreenBow, le tunnel se monte correctement en EAP. Merci pour le travail effectué.

En revanche, je constate que le serveur renvoie un réseau distant (à utiliser du coté client) à 0.0.0.0/0.
Ceci signifie que tout le trafic du poste va aller dans le tunnel, ou en d’autres termes, qu’il n’y a pas de split tunneling.

Est-ce normal ?

Je m’attendais à ce que le client reçoive le réseau local de la Freebox comme réseau distant.

Le client est configuré pour recevoir la configuration réseau automatiquement (mode Configuration Payload). Si je désactive ce mode pour spécifier moi même le paramétrage, le serveur répond que le “Traffic Selector” envoyé par le client est incorrect.

Merci,

Frederic Gloannec
TheGreenBow VPN.

 19496 Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)18/01/2016AutreServeur VPNFermée OpenVPN en mode routé: il est possible d'accéder aux ma ... Description de la tâche

Bonjour,

La documentation du serveur VPN indique:
OpenVPN Routé : ce type de serveur nécessite l’installation d’un client OpenVPN. Lorsque le service est activé, vous pouvez télécharger pour chaque utilisateur un fichier de configuration OpenVPN. Ce type de serveur ne vous permet pas de voir les machines du réseau local.

J’utilise ce type de serveur, et j’ai bien accès aux machines du réseau local.
C’est bien ce que j’attends de la connexion VPN, donc ne pas changer ce comportement.
C’est informatif au cas où la doc devrait être mise à jour sur ce point.

Cordialement,

F.Gloannec
TheGreenBow VPN.

 18050 Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)24/07/2015AnomalieNon triéFermée OpenVPN: Le fichier .ovpn ne contient pas le CA du cert ... Description de la tâche

Bonjour,

Nous avons développé un client VPN compatible OpenVPN et compatible avec la Freebox en mode routé.
Notre client VPN accepte le fichier .ovpn fourni par la Freebox. Le tunnel monte correctement, et le poste distant a accès au réseau local de la Freebox.

Cependant, nous rencontrons un petit soucis qui génère un warning lors de la configuration du tunnel.
En effet, il semble que les certificats de la Freebox Server et de l’utilisateur sont issus de 2 autorités de certification (CA) différents, mais seul le CA de la freebox server est fourni dans le fichier .ovpn.
Notre client cherche à valider la chaine de certification du certificat utilisateur et échoue car ce CA n’est pas connu, et cela génère un warning de sécurité.

Le sujet du certificat CA inclus dans le fichier .ovpn est par exemple:
“C=FR, O=Freebox SA, CN=Freebox OpenVPN server CA for xxxxxxxxxxxxxxx”
alors que l’émetteur (issuer) du certificat client a pour sujet:
“C=FR, O=Freebox SA, CN=Freebox OpenVPN client CA for xxxxxxxxxxxxxxx”
(Note: les champs keyid et serial sont également différents).

D’après la documentation OpenVPN, en général un seul CA devrait être utilisé (”THE master root certificate”):
To use TLS mode, each peer that runs OpenVPN should have its own local certificate/key pair ( –cert and –key ), signed by the root certificate which is specified in –ca.
When two OpenVPN peers connect, each presents its local certificate to the other. Each peer will then check that its partner peer presented a certificate which was signed by the master root certificate as specified in –ca.

Ma question est alors la suivante: est-il possible de prévoir une évolution pour que le CA du certificat utilisateur puisse être connu du coté client VPN ?

Il y a plusieurs solutions envisageables:
- soit revenir à un seul CA pour générer le certificat de la Freebox server, et les certificats utiliseur
- soit inclure le CA du certificat utilisateur dans le .ovpn (il est effectivement possible de le faire d’après la documentation OpenVPN: “–ca file: Certificate authority (CA) file in .pem format, also referred to as the root certificate. This file can have multiple certificates in .pem format, concatenated together.“).
- soit donner un accès à ce CA via l’interface de configuration de la Freebox server, charge à l’utilisateur de prendre ce CA pour le mettre par exemple dans le magasin Windows (et dans ce cas notre client VPN arrivera à vérifier la chaine de certification).

Merci,

Frederic Gloannec
TheGreenBox VPN.

Tâches 1 - 5 sur 5 Page 1 sur 1

Activer les raccourcis clavier

Liste des tâches

Détails de la tâche

Édition de la tâche