- État Fermée
- Pourcentage achevé
- Type Anomalie
- Catégorie Non trié
- Assignée à Personne
- Système d'exploitation Tous
- Sévérité Basse
- Priorité Très Basse
- Basée sur la version 4.5.0
- Due pour la version Non décidée
-
Échéance
Non décidée
- Votes
- Privée
Ouverte par ValBreizh - 28/09/2021
Dernière modification par mmakassikis - 04/10/2021
FS#35662 - openvpn routé / accés au disque local impossible
Bonjour, le tunnel openvpn routé se monte bien (aprés modif de la config), le trafic passe par le tunnel mais impossible d'accéder au disque.
Mon trafic internet passe bien par la box remote (vérifié par whatsmyip)
Pas de ping sur l'@Ip locale de la box 192.168.27.66 (seulement la mienne :) )
Le DHCP est en 94 j ai mis la GW dessus (que je ne ping pas)
Le DNS est en 212.27.38.253, il faudrait le changer mais par quoi (le 192.168.27.94 ?)
Merci de votre aide/commentaire.
Frederic
Config FB:
User: aes128 / @ dynamic
Share : smbv2 / share file / authenticated access
Config client:
client
remote <@Ip pub FB> 6402
proto tcp-client
nobind
dev-type tun
pull
dev tun0
#modif starts ———————————————-
#avoid warning message / crypto algo
data-ciphers-fallback 'AES-128-CBC'
topology subnet
ifconfig 192.168.27.65 255.255.255.224
pull-filter ignore "ifconfig"
route-gateway 192.168.27.94
auth-user-pass login.conf
#auth-retry interact
#show-gateway ⇒ ? 2021-09-28 09:13:12 ROUTE_GATEWAY 192.168.0.253/255.255.255.0 I=3 HWADDR=00:15:5d:00:02:07
#Modif end ———————————————-
redirect-gateway
#auth-user-pass
auth-retry interact
cipher AES-128-CBC
remote-cert-tls server
…
Ipconfig:
Carte inconnue OpenVPN TAP-Windows6 :
Suffixe DNS propre à la connexion. . . : Description. . . . . . . . . . . . . . : TAP-Windows Adapter V9 Adresse physique . . . . . . . . . . . : 00-FF-CB-CC-00-36 DHCP activé. . . . . . . . . . . . . . : Oui Configuration automatique activée. . . : Oui Adresse IPv4. . . . . . . . . . . . . .: 192.168.27.65(préféré) Masque de sous-réseau. . . . . . . . . : 255.255.255.224 Bail obtenu. . . . . . . . . . . . . . : mardi 28 septembre 2021 10:44:46 Bail expirant. . . . . . . . . . . . . : mercredi 28 septembre 2022 10:44:45 Passerelle par défaut. . . . . . . . . : 192.168.27.94 Serveur DHCP . . . . . . . . . . . . . : 192.168.27.94 Serveurs DNS. . . . . . . . . . . . . : 212.27.38.253 NetBIOS sur Tcpip. . . . . . . . . . . : Activé
Routes ajoutées :
IPv4 Table de routage
Itinraires actifs:
Destination rseau Masque rseau Adr. passerelle Adr. interface Mtrique
0.0.0.0 0.0.0.0 192.168.27.94 192.168.27.65 25 <@ip pub FB> 255.255.255.255 192.168.0.253 192.168.0.248 15 127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
….
Métrique du tunnel soit > 15 (??)
192.168.0.253= @Ip GW/FW
192.168.0.248= @Ip serveur
Src: Windows server / Windows 10
Dest: FB mini (r2) / v 4.5
Chargement...
Activer les raccourcis clavier
- Alt + ⇧ Shift + l Se connecter/Se déconnecter
- Alt + ⇧ Shift + a Ouvrir une tâche
- Alt + ⇧ Shift + m Mes recherches
- Alt + ⇧ Shift + t Rechercher par ID de tâche
Liste des tâches
- o Ouvrir la tâche sélectionnée
- j Déplacer le curseur vers le bas
- k Déplacer le curseur vers le haut
Détails de la tâche
- n Tâche suivante
- p Tâche précédente
- Alt + ⇧ Shift + e ↵ Enter Modifier cette tâche
- Alt + ⇧ Shift + w Surveiller
- Alt + ⇧ Shift + y Fermer cette tâche
Édition de la tâche
- Alt + ⇧ Shift + s Enregistrer la tâche
Bonjour,
Quelle(s) modification(s) avez-vous faites à la config ? Utilisez-vous le client OpenVPN officiel ? Est-il à jour ?
L'adresse en question est dédiée aux clients VPN, donc il est normal que la box ne réponde pas.
Je ne comprends pas ce que vous voulez dire.
Pourquoi faudrait-il le changer ? Ce serveur DNS répond normalement aux clients provenant d'une IP Free, ce qui est votre cas quand vous accéder à Internet via le VPN de la freebox.
Arrivez-vous à accéder à \\192.168.0.200 avec l'explorateur ? Si non, quelle est l'erreur affichée ?
Bonjour, merci.
Oui le client est la dernière version d'openvpn.
C:\Program Files\OpenVPN\bin>openvpn.exe –version
OpenVPN 2.5.3 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Jun 17 2021
library versions: OpenSSL 1.1.1k 25 Mar 2021, LZO 2.10
Windows version 10.0 (Windows 10 or greater) 64bit
Originally developed by James Yonan
Copyright (C) 2002-2021 OpenVPN Inc sales@openvpn.net Compile time defines: enable_async_push=no enable_comp_stub=no enable_crypto_ofb_cfb=yes enable_debug=yes enable_def_auth=yes enable_dlopen=unknown enable_dlopen_self=unknown enable_dlopen_self_static=unknown enable_fast_install=needless enable_fragment=yes enable_iproute2=no enable_libtool_lock=yes enable_lz4=yes enable_lzo=yes enable_management=yes enable_multihome=yes enable_pam_dlopen=no enable_pedantic=no enable_pf=yes enable_pkcs11=yes enable_plugin_auth_pam=no enable_plugin_down_root=no enable_plugins=yes enable_port_share=yes enable_selinux=no enable_shared=yes enable_shared_with_static_runtimes=yes enable_small=no enable_static=yes enable_strict=no enable_strict_options=no enable_systemd=no enable_werror=no enable_win32_dll=yes enable_x509_alt_username=no with_aix_soname=aix with_crypto_library=openssl with_gnu_ld=yes with_mem_check=no with_special_build= with_sysroot=no
Options modifiées:
Warning
2021-09-27 17:36:08 DEPRECATED OPTION: –cipher set to 'AES-128-CBC' but missing in –data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore –cipher for cipher negotiations. Add 'AES-128-CBC' to –data-ciphers or change –cipher 'AES-128-CBC' to –data-ciphers-fallback 'AES-128-CBC' to silence this warning.
D'où l'option data-ciphers-fallback ‘AES-128-CBC’ pour rétro compatibilité.
Error
2021-09-27 18:11:40 There is a problem in your selection of –ifconfig endpoints [local=192.168.27.65, remote=212.27.38.253]. The local and remote VPN endpoints must exist within the same 255.255.255.252 subnet. This is a limitation of –dev tun when used with the TAP-WIN32 driver. Try 'openvpn –show-valid-subnets' option for more info.
J'ai skippé le /30 et fixé @Ip (topology & ifconfig), le pull-filter est pour faire disparaitre le warning ambiguite client ⇔ ifconfig
topology subnet
ifconfig 192.168.27.65 255.255.255.224
pull-filter ignore “ifconfig” route-gateway 192.168.27.94
/DNS:
le dig ou le nslookup essaie de passer par le dns de la NIC physique qui ne marche pas
Carte Ethernet Ethernet :
/Ping: Pour les vpn ipsec/ssl que je monte au-delà des @Ip des points d'accès, le subnet est partagé et pingable et différent des subnet locaux des 2 extrémités.
/explorer: \\192.168.0.200 → m'indique "@ n'est pas disponible"
Il y a ambiguïté entre LAN local des 2 extrémités qui est le même (192.168.0.0/24)
Frédéric
Bonjour,
Effectivement, cela est problématique. Windows essaie de joindre 192.168.0.200 par l'interface locale plutôt que par le tunnel.
Est-ce que la box se trouve à la même adresse des deux côtés ?
Vous pouvez essayer en ajoutant la configuration suivante au niveau du client:
Bonjour, merci désolé de ma réponse tardive.
>Je vais essayer votre commande.
Est-ce que la box se trouve à la même adresse des deux côtés ?
>(??) @Ip lan=192.168.0.200
Frédéric
Bonjour, petit résultat des opération.
J'ai essayé 2 choses.
1. Votre option fonctionne: le traceroute/dig dns/ping/montage disque ⇒ OK (donc parfait)
2. J'avais modifié le métrique de la gateway & du poste pour passer aprés les routes vpn en 25 et avant celles de l'os ⇒ OK (ça fonctionne aussi)
Je v faire des tests en udp plutôt que tcp (apprécier le débit)
Essayer aussi le nouveau wireguard qui a l'air prometteur
Si vous avez des commentaires… Merci encore
Frederic
Une précision: avec cette configuration, on donne la priorité au réseau distant. Finalement, cela ne fait que décaler le problème ("équipement distant injoignable" ⇒ "équipement local injoignable").
Sauf erreur de ma part cela fonctionne par chance, car la box n'a pas la même IP que celle dans le réseau local du client. Autrement dit, si vous avez deux LAN dans le même subnet (192.168.0.0/24) et dans chacun la box à la même IP (192.168.0.254 par exemple) il est impossible de joindre la box distante via un tunnel VPN.
Si vous en avez la possibilité, le mieux est de changer le sous-réseau. Cela évite d'avoir des configs fragiles.
Si vous cherchez à avoir le débit maximum en VPN, il vaut mieux opter pour WireGuard: sur un freebox mini, c'est quasiment multiplié par 2.
Bonsoir,tout a fait d'accord, et même dans ce cas particulier, il existe des moyens de "travestir" la cible.
Bilan des opérations:
OPENVPN: OK par tâche de mise à jour, ça marche mais lentement avec une config à modifier.
WIREGUARD: OK par tâche d'update nocturne avec cmdline très simple avec une config qu'il faut modifier en précisant de ne pas faire passer tout le trafic dans le tunnel sinon on se coupe la branche.
cerise sur le gâteau, les débits sont nettement + élevés.
Merci encore
TICKET CLOSED