Vous avez une question ?

Créer un sujet

internet & fixe ma connexion

Mappage de port 1194 pour openVPN sur un Raspberry 3

Highlighted
contributeur occasionnel
6 734  

Mappage de port 1194 pour openVPN sur un Raspberry 3

Bonjour,

 

J'ai installé openVPN sur un Raspberry 3.

Le RPI a une IP locale fixe (192.168.1.20) qui est dans la plage d'IP locales ouvertes sur ma livebox4.

En VNC, je vois qu ele RPI accède bien à internet par son navigateur et je peux le contrôler en ssh.

 

J'ai mappé le port 1194 (qui est le port d'openVPN) dans le NAT/PAT en UDP tel que conseillé :

Application/Service Port interne     Port externe 	Protocole 	Équipement
Raspberry VPN 		1194	 	1194 		UDP 		XX

 

J'ai modifié le fichier /etc/firewall-openvpn-rules.sh

#!/bin/sh

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to-source 192.168.1.20

J'ai modifié le fichier /etc/openvpn/server.conf

local 192.168.1.20 # RASPBERRY PI IP ADDRESS
dev tun
proto udp
port 1194
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/XX.crt # SWAP XX WITH YOUR SERVER NAME
key /etc/openvpn/easy-rsa/keys/XX.key # SWAP XX WITH YOUR SERVER NAME
dh /etc/openvpn/easy-rsa/keys/dh1024.pem # IF YOU CHANGED YOUR ENCRYPTION TO 2048, CHANGE THAT HERE
server 10.8.0.0 255.255.255.0
# server and remote endpoints
ifconfig 10.8.0.1 10.8.0.2
# Add route to Client routing table for the OpenVPN Server
push "route 10.8.0.1 255.255.255.255"
# Add route to Client routing table for the OpenVPN Subnet
push "route 10.8.0.0 255.255.255.0"
# your local subnet
push "route 192.168.1.20 255.255.255.0" # SWAP THE IP NUMBER WITH YOUR RASPBERRY PI IP ADDRESS
# Set primary domain name server address to the SOHO Router
# If your router does not do DNS, you can use Google DNS 8.8.8.8
push "dhcp-option DNS 192.168.0.1" # THIS SHOULD ALREADY MATCH YOUR OWN ROUTER ADDRESS AND SHOULD NOT NEED TO BE CHANGED
# Override the Client default gateway by using 0.0.0.0/1 and
# 128.0.0.0/1 rather than 0.0.0.0/0. This has the benefit of
# overriding but not wiping out the original default gateway.
push "redirect-gateway def1"
client-to-client
duplicate-cn
keepalive 10 120
tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0
cipher AES-128-CBC
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log 20
log /var/log/openvpn.log
verb 1

J'avoue que dans cette config, j'ai un doute sur le

push "dhcp-option DNS 192.168.0.1

je me demande s'il ne faut pas mettre l'IP de la livebox (192.168.1.1), mais ça n'arrange pas mon problème quand j'essaye…

 

 

Voici mon problème

 

1. je n'arrive pas à me connecter avec Tunnelblick (j'ai masqué mon IP par XX) :

2016-08-04 18:55:26 Control Channel Authentication: tls-auth using INLINE static key file
2016-08-04 18:55:26 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
2016-08-04 18:55:26 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
2016-08-04 18:55:26 Socket Buffers: R=[196724->196724] S=[9216->9216]
2016-08-04 18:55:26 UDPv4 link local: [undef]
2016-08-04 18:55:26 UDPv4 link remote: [AF_INET]XX:XX:XX:XX:1194
2016-08-04 18:55:26 MANAGEMENT: >STATE:1470329726,WAIT,,,

 

2. lorsque je teste le port avec un site type http://www.t1shopper.com/tools/port-scan/ il me répond

XX.XX.XX.XX isn't responding on port 1194 (openvpn).

 

J'en conclut que le problème vient du port non ouvert, mais je n'arrive pas à avancer pour l'ouvrir…

17 RÉPONSES 17
star
6 730  

Re : Mappage de port 1194 pour openVPN sur un Raspberry 3

Bonjour,

Quelle LIvebox possèdes-tu ? Car si c'est une Livebox 2 ou une Livebox 3 (Play), elles n'acceptent pas le loopback = elles n'acceptent pas de router les données vers leur propre réseau local.

Si tes essais sont faits depuis une machine du réseau local de ta Livebox, tu n'auras pas de réponse ou bien un message d'erreur !

 

Tes tests, fais les depuis un autre accès Internet que celui de ta Livebox.


Cordialement, mg36
contributeur occasionnel
6 723  

Re : Mappage de port 1194 pour openVPN sur un Raspberry 3

Bonsoir et merci pour la réponse.

 

J'ai une Livebox 4 (firmware SG40_sip-fr-2.14.8.1_7.21.3.1).

 

L'accès en VPN ne marche pas non plus quand je passe par la connexion de mon iPhone.

 

Quoi qu'il en soit, quand je teste le port depuis un site internet (extérieur à mon réseau local), s'il me répond que le port est fermé, ça doit être une partie du problème ?

 

a6tole

star
6 707  

Re : Mappage de port 1194 pour openVPN sur un Raspberry 3

La Livebox 4 accepte le loopback. Comment est réglé son parefeu ?


Cordialement, mg36
contributeur occasionnel
6 704  

Re : Mappage de port 1194 pour openVPN sur un Raspberry 3

Ne sachant pas trop comment le paramétrer manuellement, je l'ai laissé en "moyen"

 

a6tole

star
6 697  

Re : Mappage de port 1194 pour openVPN sur un Raspberry 3

Réglé en "Moyen", si la règle Nat est correcte, normalement ça devrait passer...

 

Mais j'ai un doute sur l'affectation de l'adresse Ip du RasberryPi : tu dis 192.168.1.20, cette adresse Ip a-t-elle été attribuée par le DHCP ? Si oui, il faut lui fixer un bail DHCP statique dans l'interface d'administration de la Livebox. Si non, 192.168.1.20 est dans la plage du DHCP, il y a gros risque de conflit d'adresse Ip... ou que la Livebox, dont le DHCP n'est pas ce qui se fait de mieux, s'y perde !

 

Pour ce qui est du test des ports accessibles, ce n'est pas parce que le test indique que le port n'est pas accessible que le routage ne se fait pas : ici, sur ma Livebox 4, j'ai des ports "routés" fonctionnels et pourtant le site http://www.t1shopper.com/tools/port-scan/ les voit non accessibles !

 

Autre remarque : c'est la Livebox qui joue le rôle de DNS, son Ip est donc 192.168.1.1 et non pas 192.168.0.1, mais tu l'avais remarqué. Pour le reste des lignes de commande, je ne peux t'en dire plus, n'ayant jamais manipulé cela. Peut-être qu'un autre contributeur passera par là pour t'aider...

 

 


Cordialement, mg36
contributeur occasionnel
6 674  

Re : Mappage de port 1194 pour openVPN sur un Raspberry 3

Bonjour,

 

L'adresse IP du Raspberry est fixe, tant dans les réglages DHCP de la livebox (bail fixe sur son adresse MAC) que de son côté dans ses paramètres de connexion (/etc/network/interfaces)

auto lo
iface lo inet loopback
# iface eth0 inet dhcp
iface eth0 inet static
        pre-up /etc/firewall-openvpn-rules.sh
        adress 192.168.1.20
        netemask 255.255.255.0
        network 192.168.1.0
        broadcast 192.168.1.255
        gateway 192.168.1.1 # IP de la Livebox

et dans le /etc/firewall-openvpn-rules

#!/bin/sh

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to-source 192.168.1.20 # adresse du RPI

Sinon, content d'apprendre que les sites qui permettent de tester l'ouverture des ports… ne testent pas !

 

a6tole

star
6 660  

Re : Mappage de port 1194 pour openVPN sur un Raspberry 3

Bonjour,

Attention, je n'ai pas dit que "les sites qui permettent de tester l'ouverture des ports… ne testent pas !" !

En fait, parefeu de la Livebox réglé sur "Moyen", le port 1194 n'est pas ouvert. Pour l'ouvrir, il faut le faire dans le parefeu de la Livebox en réglage personnalisé. 

 

Mais si la règle Nat est correcte, le routage doit se faire...

 

Quand tu appelles ton OpenVpn, est-ce que tu indiques bien ce port 1194 ?


Cordialement, mg36
contributeur occasionnel
6 643  

Re : Mappage de port 1194 pour openVPN sur un Raspberry 3

Bonsoir,

 

Tunnelblick appelle bien le bon port

2016-08-05 19:09:02 UDPv4 link remote: [AF_INET]XX.XX.XX.XX:1194

Et même en ouvrant moi même le port depuis le Firewall personnalisé, ça ne fonctionne pas

Protocole : VPN
Adresse IP source :
Masque sous réseau : 0.0.0.0
Port source :
Adresse IP destination :
Masque sous réseau : 0.0.0.0
Port destination : 1194
Action : Accepter

Je vais me replonger dans la ligne de commande en attendant une nouvelle idée…

 

Bonne soirée et merci du coup de main.

 

a6tole

contributeur occasionnel
6 617  

Re : Mappage de port 1194 pour openVPN sur un Raspberry 3

Bon j'ai refait l'installation propre en ligne de commande en faisant bien attention, tout marche à merveille… mais la connexion VPN ne se fait pas !

 

À mon avis, c'est vraiment un problème de mappage de port cette histoire :-(

 

Je commence à regretter la freebox revolution et son VPN intégré !

 

a6tole

Vous avez une question ?

Créer un sujet

Trouvez les réponses à toutes vos questions

De nombreuses discussions sur les sujets qui vous intéressent :

8 membres connectés
et 310 invités

Tous les membres en ligne

Infos utiles sur la Fibre

Tout savoir sur la Fibre