Probleme VPN

[zoic]

Bonjour,

Je possède un PC qui fais office de serveur chez moi et je souhaiterais pouvoir accéder a son contenu quand je ne suis pas chez moi. Dans un premier temps j'utilisais Weezo mais ce système manque de souplesse. J'ai donc créé un VPN. Celui marche parfaite j'arrive a me connecter dessus sans problème mais après je suis bloqué comment accéder a mon serveur une fois dessus ? Mon serveur étant sous Microsoft serveur 2008 et mon PC sous Vista. J'ai essayer la découverte réseau (en mettant partout un réseau privé) mais il ne voit pas mon serveur, j'ai essayé de rentrer son adresse IP (192.168.1.2) rien non plus. ensuite je suis allé voir dans les propriété de la connexion VPN et j'ai remarqué adresse serveur (192.168.1.20) j'ai donc essayé d'y accéder par la rien non plus, essayé avec le nom du serveur rien non plus. Je suis a cours d'idée j'aurais donc besoin de vos lumières....

Merci d'avance

[crocodudule]

Je ne comprend pas clairement où est ton problème:

J'ai donc créé un VPN. Celui marche parfaite j'arrive a me connecter dessus sans problème mais après je suis bloqué comment accéder a mon serveur une fois dessus"

Tu arrives a accéder à quoi? au VPN mais pas à entrer sur le serveur?

Tu utilises quoi comme solution VPN? Hamachi, OpenVPN, autre?

- Si le problème est bien que tu te connectes au VPN mais n'accède pas au serveur, les choses a vérifier sont souvent celles-ci:

. Que ton firewall autorise le VPN a accéder au net.

. S'il s'agit d'hamachi, que les IP du serveur et de ton pc soient bien autorisées dans le firewall (les IP avec ce logiciel sont souvent du type 5.4.*.*).

. S'il s'agit d'un soft du type OpenVPN, autoriser la plage d'IP qu'utilise le logiciel (le plus souvent 10.8.0.*), et s'assurer d'avoir bien redirigé sur le routeur le port utilisé par OpenVPN vers le serveur (par défaut 1194 ).

(ps: naturellement je suppose que tu as configuré sur le serveur, le partage du contenu sur le réseau).

[zoic]

Le VPN est configuré avec l'outil de base de Windows server:

Centre de réseau et partage==>géré les connexion réseau==>nouvelle connexion entrante

Je voulais évité de rajouter un soft pour une fonction déjà intégré a windows

Le firewall utilisé est pour l'instant celui intégré a windows serveur les port suivant étant sélectionnés dans les exception: 1972 UDP, 21 et en TCP et UDP, le 80 en UDP et TCP, le 500 en UDP, 1701 UDP,443 TCP et UDP, 1723 TCP . De plus les règle suivant sont dans les exception:µtorrent (port 16889), bureau à distance, partage de fichier imprimante, protocole SSTP (d'après la description c'est lui qui autorise les connexion entrante sur le VPN), recherche réseau, réseau de base, routage et accès a distance et Weezo. Je pense qu'a ce niveau la tout est bon. L'antivirus étant Avast édition server je n'ai rien configuré chez lui.

Le modem étant une livebox (configurer en DMZ vers le serveur, pour ceux que ça inquiète seulement lors des test VPN pour le moment)

La connexion VPN marche bien aussi bien sur le client que sur le serveur qui me confirment tout les 2 que la connexion est bien établie. Mais c'est tout je n'arrive pas à aller plus loin impossible d'accéder au partage du serveur (l'utilisateur étant bien entendu autorisé)

[zoic]

Bon j'ai refais quelques nouveaux essais.

Il s'avère que quand je partage un dossier sur le poste client j'arrive à le voir et à y accéder de n'importe quel pc (serveur ou autre pc se trouver sur le réseau local). Bizarrement le dossier, musiques, (qui a été partagé a par tir du bureau) se retrouve dans users\<utilisateur>\document\desktop\musiques au lieu d'apparaitre simplement sous musiques. Enfin bon ce n'est pas le problème principal.

Le problème c'est que j'arrive a accéder au client mais que le client ne voit désemparement pas le serveur (le ping marchant pourtant)

Sur l'adresse 192.168.1.20 (adresse du serveur VPN) alors que le serveur local a comme adresse 192.168.1.2 je comprend pas trop pourquoi alors que c'est le même pc.

[zoic]

Je pense que mon problème n'est pas très clair je vais donc le reformuler:

La création du VPN étant réalisé sans logiciel externe à Windows server 2008

J'ai un PC_SERVEUR (PC_S) sa configuration réseau est-elle que (nom du pc LGSERVER)

Réseau local:

IP:192.168.1.2

Masque sous réseau: 255.255.255.0

IP passerelle:192.168.1.1 (la livebox)

IP serveur DNS: 192.168.1.1

Net bios tcp/Ip activé: oui

La connexion VPN (lorsqu'il y a un client):

IP serveur 192.168.1.20 (j'ai aussi essayé avec 10.0.0.20)

IP client:192.168.1.21 (j'ai aussi essayé avec 10.0.0.21)

Pour établir la connexion VPN aucun problème tout ce passe très bien. Le problème c'est une fois établie comment accéder au partage du serveur? (musiques étant un dossier partagé sur le serveur)

J'ai essayé la découverte réseau: rien

J'ai essayé de taper dans la barre d'adresse du poste de travail: \\192.168.1.2 ou \\192.168.1.2\Musiques ou \\LGSERVER ou \\LGSERVER\Musiques ou \\192.168.1.20 ou \\192.168.1.20\Musiques ou \\10.0.0.20 ou enfin \\10.0.0.20\Musiques mais à aucun moment je n'y ai eu accès.

J'ai essayé de "pinger" le serveur seul 192.168.1.20 ou 10.0.0.20 (avec l'autre attribution des adresse ip) à marché.

En revanche si le pc client (qui à pour nom ts_client dans la découverte réseau) partage un dossier j'y ai accès depuis le serveur.

Je ne sais plus quoi essayer je crois qu'il me reste plus que la solution open vpn mais sa m'embête d'avoir à installer un logiciel sur le pc client en plus de devoir lui fournir un fichier certificat.

J'ai remarqué aussi que quand je vais dans les propriétaires de la connexion réseau local j'ai les protocole suivant

-répondeur de découverte topologique de la couche (je vois pas la suite mais d'après la description sa permet au pc d'être vu sur le réseau)

-pilotage E/S du mappage de découverte topologique (sert a voir les autres ordinateur du réseau ainsi qu'a déterminer la bande passante)

tandis que dans les propriété de la connexion vpn es protocole n'apparaissent pas (je n'ai que l'ip v4; ipv6,partage de fichiers et d'imprimantes, planificateur de paquet QoS)

Enfin dans les propriété de la connexion VPN dans l'onglet général je n'ai aucun périphérique qui apparait.

Voila j'ai essayer de reformuler en donnant le plus de détails possible.

[crocodudule]

Perso. je n'ai pas la moindre idée du fonctionnent du VPN intégré à windows home serveur (tout comme celui d'xp ou vista).

Seule une personne connaissant son paramétrage peut t'aider.

En revanche, tu peux utiliser hamachi (très pratique et très simple a mettre en place), ou OpenVPN (soft de qualité pro., utilisé dans pas mal de boites et de fac).

Je préfère OpenVPN et son mode bridge qui permet de conserver des IP sur la même plage, que l'on soit sur le réseau local ou le net.

Si tu souhaites utiliser l'une de ces solutions je peux t'aider.

. Pour hamachi cela ne demande pas vraiment d'explication, cependant si tu en veux:

http://forum.hardware.fr/hfr/reseauxpersos...s-sujet_2_1.htm (le seul véritable avantage en plus de sa simplicité c'est qu'il traverse les routeurs très facilement).

. Pour OpenVPN, c'est un poil plus complexe a mettre en place (enfin, ça n'a rien d'exceptionnel non plus), mais je le trouve très puissant (comprendre vraiment transparent dans son fonctionnement, et paramétrable à volonté):

Pour des explications il suffit d'utiliser le même lien que plus haut

http://forum.hardware.fr/hfr/reseauxpersos...s-sujet_2_1.htm

Si tu bloques pour l'un ou l'autre de ces softs n'hésite pas a demander. :)

[zoic]

J'ai essayer d'utiliser openVPN j'ai suivi le tuto. Je n'ai pas encore pu tester mais j'ai un probleme avec la generation de ta.key enfaite je tape la commande il me dit rien et me redonne la main mais le fichier n'existe pas(je n'ai donc pas decommenté les ligne dans les fichier .opvn client et serveur). Qui plus est j'ai aussi eu le droit à l'erreur: enable to random state a plusieur reprise mais l'operation qu'il réalisait continuée.

Sinon le reste c'est bien deroulé je pense j'ai les fichiers je testerais tout ça mercredi.

[crocodudule]

. Pour la clef, elle n'est pas dans le répertoire où se trouvent les autres fichiers générés mais dans le répertoire racine de celui-ci il me semble.

. L'autre erreur courante est de mettre le commun name que l'on a choisi au moment où on génère les fichiers du certificat. En fait le commun name lorsqu'on génère le certificat est toujours et invariablement "server" et pas le nom que l'on a choisi pour son réseau VPN.

[zoic]

Et faut-il refaire tout les fichier pour l'autre erreur ou c'est bon?

J'avais d'autre question imaginons

-je laisse l'accès au serveur a un utilisateur passant par OpenVPN et que je veuille le bannir (cas vraiment hypothétique) quels sont les option? c'est bon j'ai trouvé ça

-Si je réinstalle le serveur j'ai juste a conserver les fichier se trouvant dans config a réinstaller openVPN et a remettre les fichier dans config? aucune modification chez les clients à faire?

-Comment le configurer pour qu'il se lance (ça sa va) et se connecte tout seul au démarrage (sur le serveur) ou essaye de se connecter dès qu'il voit la connexion internet (sur les pc client)?

-Dernière question: imaginons j'ai un 2eme serveur (appelé :PCS2) placer dans une autre ville de France et je veux les relier. J'ai juste a autoriser le 2eme serveur comme client du premier serveur. je pense que jusque la il n'y a pas vraiment de problème. Mais ensuite je voudrais pouvoir définir certain client à se connecter en directe se le premier serveur et d'autre sur le deuxième. Sa m'obligerais à avoir OpenVPN en mode serveur sur le 2eme serveur mais celui-ci est configurer en mode client (pour se connecter sur le premier serveur) cela est-il possible? (je sais pas si c'est très clair)

Merci d'avance pour avoir pris le temps de répondre à mes questions.

[crocodudule]

Et faut-il refaire tout les fichier pour l'autre erreur ou c'est bon?

Je pense que non, sinon on peut pas dire que cela soit très long.

-Si je réinstalle le serveur j'ai juste a conserver les fichier se trouvant dans config a réinstaller openVPN et a remettre les fichier dans config? aucune modification chez les clients à faire?

Non, c'est bon.

-Comment le configurer pour qu'il se lance (ça sa va) et se connecte tout seul au démarrage (sur le serveur) ou essaye de se connecter dès qu'il voit la connexion internet (sur les pc client)?

Soit l'ajouter en service et mettre dans le fichier de conf AUTOSTART=1

Sinon un petit script: openvpn-gui --connect office.ovpn

-Dernière question: imaginons j'ai un 2eme serveur (appelé :PCS2) placer dans une autre ville de France et je veux les relier. J'ai juste a autoriser le 2eme serveur comme client du premier serveur. je pense que jusque la il n'y a pas vraiment de problème. Mais ensuite je voudrais pouvoir définir certain client à se connecter en directe se le premier serveur et d'autre sur le deuxième. Sa m'obligerais à avoir OpenVPN en mode serveur sur le 2eme serveur mais celui-ci est configurer en mode client (pour se connecter sur le premier serveur) cela est-il possible? (je sais pas si c'est très clair)

Alors je ne l'ai jamais fait mais si tu regardes sur coté du fichier conf du serveur tu as une option pour avoir plusieurs serveurs.

En suite, je pense que le plus simple est d'activer le mode bride sur les deux serveurs, en faisant attention de bien spécifier 2 IP différentes pour les serveurs (par exemple: 192.168.10.1 et 192.168.10.2), et tu bornes bien chaque plage pour chaque serveur (1°serveur: 192.168.10.3-126, 2°serveur 192.168.10.127-255).

Ainsi tout le monde est sur la même plage d'IP, mais ne se chevauche pas.

Pour le client il suffit de spécifier soit une seule des 2 IP des serveurs, soit mettre dans un ordre différents les 2 IP pour balancer la charge alternativement sur l'un des deux (un load balancing "manuel" en fait):

exemple :

IP 1°serveur: 80.82.83.86

IP 2°serveur: 80.82.83.87

Sur le client 1, tu indiques

80.***.86

80.***.87

Sur le client 2,:

80.***.87

80.***.86

Merci d'avance pour avoir pris le temps de répondre à mes questions.

Avec plaisir

[zoic]

J'ai pu tester plutôt que prévu.

Alors j'ai testé , dans un premier temps, sans "bridge", c'est à dire en laissant au client comme au serveur une adresse en 10.8.0.x comme ça tout marche nickel ping et partage c'est bon.

En revanche après j'ai essayé la méthode bridge mais la plus rien ne marche. La grosse différence ce situe au niveau de la connexion réseau crée par openvpn (réseau local 2 dans mon cas) au lieu d'avoir une adresse de la forme 192.168.1.1xx (comme me l'indique open vpn lorsque je me connecte) j'ai une adresse de la forme 169.xxx.xxx.xxx (le 169 étant assez explicite) de plus le masque sous réseau est faux 255.255.0.0 au lieu de 255.255.255.0 (je tiens a préciser que la commande de ping du client vers le serveur , du serveur vers le client et du client vers le client ne donne rien)

J'ai peut etre une idée de la raison de ce problème mais n'étant pas sur je n'ai pas testé.

Le poste client se connecte à internet en wifi à travers une livebox qui lui attribue donc une adresse de la forme 192.168.1.xxx (avec un masque sous reseau de la forme 255.255.255.0) or le vpn essaye de lui attribuer une adresse de la forme 192.168.1.xxx le pc se voit donc attribuer deux adresse de la même forme je suis pas sur que sa lui plaise. Alors peut être qu'en disant à openvpn de donné une adresse de la forme 192.168.2.xxx ou 192.168.10.xxx ça corrigerais le problème.

[zoic]

J'ai regarder en utilisant un pc de mon réseau local.

J'ai donc essayer en mode tap à partir d'un pc de mon réseau local (donc ça vaut ce que ça vaut) mais la sa l'air de fonction. L'adresse IP de la 2eme interface réseau est bonne et le ping du serveur a mon pc est correct (le ping de mon pc au serveur n'ayant aucun sens étant donné que mon pc est connecté par 2 interfaces réseaux une virtuelle (le vpn) et l'autre réel (la carte réseau)

[crocodudule]

Si ca passe en mode normal c'est que tu as tout bon. :)

En revanche j'ai oublié de préciser que le mode bridge implique normalement de passer l'ip du pc sous le réseau local en IP fixe, le risque comme tu l'as constaté étant d'avoir des doubles attributions (y compris pour le même PC). Si tu ne peux pas travailler en IP fixe, alors limite la plage d'adresse avec laquelle openvpn peut travailler et de même pour la livebox (par exemple 192.168.1.-126 pour la livebox (et donc pour le réseau vraiment local), et sur openvpn 192.168.1.127-255. (naturellement faire varier la limite en fonction des besoins, par exemple laisser moins d'ip pour le réseau local et plus pour openvpn).

Accessoirement il n'est pas mauvais de lancer openvpn sur le client quelques secondes (30s) après la connexion au bureau, pour être certain que le pc a pu se déclarer sur le réseau et obtenir une IP auprès du DHCP. Sinon il est pas impossible qu'openvpn commence a vouloir négocier avec le serveur, alors que le pc n'a même pas une IP locale.

En espérant t'aider utilement

ps: je l'ai pas précisé mais tu as dû penser a fowarder le port 1194 vers le serveur sur la livebox, pour pouvoir accèder au VPN depuis l'extérieur

ps-bis: si tu es chez orange, tu n'as peut-être pas une IP fixe, si tu en as besoin, j'ai fait un tout petit script qui email l'ip publique de ta connexion à l'adresse(s) que l'on veut, lorsque cette IP change.

[zoic]

Pour ce qui est de la redirection des port j'ai tout redirigé donc c'est bon. Et pour l'IP externe de la livebox aucun problème non plus je suis chez dny-dns (si ma mémoire est bonne)

Mais j'ai toujours le problème avec le bridge (et d'après ce que j'ai lu c'est presque plus simple le routage que le bridge).

Le problème viens du pc client:

Il a deux adresse, si sa marchait bien (qui ne se chevauche pas) par exemple: 192.168.1.30 sur la livebox et 192.168.1.101 sur le VPN. Le problème c'est que quand je lui demande de faire un ping de 192.168.1.2 (mon serveur) il envoi la commande de ping sur quelles interface réseau? Les 2? la livebox seulement? Ou le VPN?

Sa c'était pour si sa marcher bien parce que moi quand je demande a mon client de se connecter (le pc étant déjà connecté à internet avec une adresse du type 192.168.1.23 par exemple) OpenVPN m'indique qu'il est bien connecté avec l'adresse ip suivante 192.168.1.101. Le problème est dans le statut de la connexion VPN (nommer réseau local 2 dans les connexion windows) il m'indique 169.xxx.yyy.zzz et masque sous réseau 255.255.0.0 donc rien de valide.

Je me demande si sa serait pas plus efficace de faire un routage au niveau du serveur?

[crocodudule]

Tu peux faire un routage effectivement, mais normalement cela doit fonctionner en mode bridge (enfin chez moi, auxbureaux, ou chez mes amis, j'ai jamais eu de problème).

Si tu fais un tracer vers l'ip openvpn du serveur depuis le client (et en interdisant l'ip locale du serveur dans le firewall du client), tu as quoi comme renseignements ?

ps: dny-dns ne permet pas si je dis pas de bêtise la résolution, il n'assure qu'une redirection, autant pour du html ça doit fonctionner, autant pour l'usage rechercher je pense que le client va chercher à se connecter à l'IP des serveurs de dny-dns et pas sur ta ligne orange. A vérifier.

[zoic]

J'essayerais de la faire demain si j'ai le temps vu que la j'ai que des pc en local à disposition. Je comprend pas pourquoi windows m'attribue une adresse en 169. normalement il fait ça en l'absence de dhcp

[crocodudule]

J'essayerais de la faire demain si j'ai le temps vu que la j'ai que des pc en local à disposition. Je comprend pas pourquoi windows m'attribue une adresse en 169. normalement il fait ça en l'absence de dhcp

Effectivement, et si temporairement tu passes le client en IP fixe?

[zoic]

Pour dny-dns ça marche très bien j'ai essayer avec ça sans le bridge aucun problème il se connecter bien et tout.

Par contre j'ai oublié de te signal en mode bridge quand je me connecte à la fin du log j'ai ça:

Tue Jan 27 14:43:18 2009 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )

Je suis aller voir sur le site mais rien trouver de concluant. Mais ça confirme mon idée d'un problème avec le DHCP.

Si ta besoin du log complet pour mieux comprendre je te l'enverrais en MP.

[crocodudule]

Le log et les fichiers conf. serv./client.

Bonne soirée :)

[zoic]

Bonne nouvelle j'ai fais essayer une amie sur un pc vista et ça marche sans probleme ça vient donc de la config du pc XP SP2 que j'utilisais pour les test (pourtant firewall XP desactivé) je me demandais si ça pouvait venir du firewall integré à la livebox?

[crocodudule]

Je regarde les MP ce soir, mais effectivement il doit y avoir un petit problème de config. sur le pc xp si ça marche normalement sur d'autres machines. :)