Connexion distante d'un PC sur mon serveur [RESOLU]

polinux · Le 23/11/2022, à 20:14

facon-piscine@facon-piscine:~$ cp /etc/openvpn/server/ta.key /media/facon-piscine/server/facon-piscine/server-configs/keys
cp: impossible d'ouvrir '/etc/openvpn/server/ta.key' en lecture: Permission non accordée
facon-piscine@facon-piscine:~$

NicoApi73 · Le 23/11/2022, à 20:37

Effectivement, ce fichier n'est lisible que par root. Passe la commande avec sudo :

sudo cp /etc/openvpn/server/ta.key /media/facon-piscine/server/facon-piscine/server-configs/keys

Puis change le propriétaire :

sudo chown $USER:$USER /media/facon-piscine/server/facon-piscine/server-configs/keys/ta.key

Puis pour éviter la même chose avec la commande suivante, tu fais :

cp /media/facon-piscine/server/facon-piscine/server-configs/keys/ta.key /media/facon-piscine/server/facon-piscine/client-configs/keys

polinux · Le 23/11/2022, à 20:45

suite de #164
Je fais donc la commande suivante sur le pc client ?

ls /etc/openvpn/client

tu disais :

Les fichiers de configuration pour le client sont à mettre dans /etc/openvpn/client

moi@client1:~$ ls /etc/openvpn/client
ca.crt  client1.conf  client1.crt  client1.key  ta.key
moi@client1:~$

Ici, il n'y a pas d'échange de clés Diffie-Hellman utilisant un ficher dh.pem car les demandes de certificats sont configurées pour utiliser la cryptographie sur les courbes elliptiques (ECC) afin de générer des clés et des signatures sécurisées pour les clients et le serveur. (https://www.digitalocean.com/community/ … u-20-04-fr)

NicoApi73 · Le 23/11/2022, à 20:50

Repris du #165 :
A ce stade dans /media/facon-piscine/server/facon-piscine/client-configs/keys/, tu dois avoir :

moi@server:~$ ls /media/facon-piscine/server/facon-piscine/client-configs/keys/
client1.key ta.key client1.crt ca.crt

et pour /media/facon-piscine/server/facon-piscine/server-configs/keys

moi@server:~$ ls /media/facon-piscine/server/facon-piscine/server-configs/keys
server.key ta.key server.crt ca.crt

Tu copies les fichiers servers dans le répertoire associé :

sudo cp /media/facon-piscine/server/facon-piscine/server-configs/keys/* /etc/openvpn/server

Tu démontes la clé, tu vas sur ton client et tu transfères les fichiers clients :

sudo cp /media/facon3/server/facon-piscine/client-configs/keys/* /etc/openvpn/client

EDIT : Je suis indisponible pendant une heure. J'essaierai tout de même de jeter un coup d'oeil si tu as une difficulté
####################################################################################
Pour la suite
####################################################################################

Tu peux voir également comment ouvrir un port sur ta box, fixer l'adresse IP de ton serveur et rediriger le port ouvert de ta box vers le port 1194 de ton serveur.

Dernière modification par NicoApi73 (Le 23/11/2022, à 20:52)

polinux · Le 23/11/2022, à 22:26

sur ma box les IP sont fixes

mais quel est le port de destination ? c'est le 3306 ?

NicoApi73 · Le 23/11/2022, à 22:47

non, le port de destination (de ta box vers ton serveur) est le 1194. Tu peux ouvrir le port 1194 sur la box également ou un autre. Si c'est un autre, il faut simplement mettre le même dans le fichier de conf du client. (la technique qui consiste à utiliser un port différent de celui utilisé habituellement pour un service donné, afin d'avoir un semblant de protection, est peu productive : les bots scannent les ports et recherchent essentiellement un service SSH pour essayer par la suite des couples identifiants mots de passe...)

Le 3306, c'est celui du serveur MySQL.

###############################################################################################################

Pour éviter tout malentendu concernant les réseaux et ports :
- ta box fait passerelle entre 2 réseaux : le réseau extérieur (ou réseau global ou internet) et ton réseau local (ou intranet).
- ouvrir un port sur la box, c'est le port côté internet (extérieur)
- la redirection c'est vers une machine de ton réseau local

Tu dois donc indiquer au pare-feu de la box quel port externe tu ouvres, vers quelle machine (adresse IP et port) tu le rediriges.

Précisions :
Au #115, on voit que ton serveur à l'adresse IP 192.168.0.30. Cette adresse est allouée par un serveur DHCP. Ce serveur DHCP est sur ta box. Cette adresse doit être fixe (le plus simple étant de configurer le serveur DHCP de la box pour qu'il attribue toujours cette adresse IP à cette machine. En général on utilise l'adresse MAC de la machine en question au niveau du serveur DHCP pour qu'il puisse identifier clairement la machine.
Cette machine va faire tourner openVPN et écouter sur le port 1194

L'adresse externe (celle accessible d'internet) de ta box devrait également être fixe. C'est celle-ci qui sera renseigné dans le client openVPN pour pouvoir se connecter au serveur (en passant par la box).

polinux · Le 23/11/2022, à 22:47

Alors j'ai autorisé le port entrant 49841
et je l'ai redirigé vers le port 3306
J'ai tout bon ?

NicoApi73 · Le 23/11/2022, à 22:49

non (cf post #181)

Reste sur 1194 et 1194. Si tu veux changer le port entrant pour un autre, on verra par la suite, ce n'est pas difficile à modifier.

NicoApi73 · Le 23/11/2022, à 23:00

Je dois me déconnecter. Normalement j'aurai du temps vendredi soir. (un peu demain soir)

polinux · Le 24/11/2022, à 20:34

Je ne trouve pas comment ouvrir le port et le rediriger !!!
j'ai une freebox révolution

NicoApi73 · Le 24/11/2022, à 20:48

Bonjour,

Je ne connais pas la freebox. Néanmoins tu devrais pouvoir trouver pouvoir trouver ceci dans un onglet concernant le pare-feu.

Sur les LiveBox orange, c'est dans Configuration avancée>NAT/PAT
A cet endroit on sélectionne le service (VPN), le port interne (1194), le port externe (1194), le protocole (TCP) et la machine sur laquelle on redirige les informations qui viennent de ce port (pour toi ce sera 192.168.0.30)

Ce ne sera probablement pas formulé exactement comme ça, mais quelque chose d'approchant.

Sinon, fais une recherche google. J'ai déjà trouvé ceci : https://www.astuces-pratiques.fr/inform … revolution

Tu en profiteras pour aller sur l'onglet DHCP et vérifier que ton serveur à bien une IP qui est toujours la même (je doute vraiment que ce soit fait)...
J'ai trouvé ceci pour t'aider : https://www.astuces-pratiques.fr/inform … ne-ip-fixe

nany · Le 24/11/2022, à 21:12

Bonjour,

polinux a écrit :

Je ne trouve pas comment ouvrir le port et le rediriger !!!
j'ai une freebox révolution

NicoApi73 a écrit :

Je ne connais pas la freebox. Néanmoins tu devrais pouvoir trouver pouvoir trouver ceci dans un onglet concernant le pare-feu.

http://mafreebox.freebox.fr/login.php ⇒ se connecter ⇒ Paramètres de la Freebox ⇒ Mode avancé ⇒ Connexion Internet : Gestion des ports ⇒ Ajouter une redirection :
← Cliquer pour agrandir (version plus moderne que dans https://www.astuces-pratiques.fr/inform … revolution).

polinux · Le 24/11/2022, à 21:13

j'en suis Là je n'ai pas la possibilité de rediriger un port en dessous de 49150

Pour ceux qui sont clients Free et qui n'ont plus la plage de ports complète 0-65555 , il vous faut aller sur votre compte client free (portail client , pas la box) 
puis dans demander une IP Full Stack, votre Ip publique va changer et vous retrouverez une plage de ports complète.

polinux · Le 24/11/2022, à 21:23

Merci Nany,
c'est bien ce que j'ai fais mais comme je n'arrivais pas à enregistrer un port inférieur au 49152 j'ai suivi l'info ci dessus #188
et j'ai demande une IP FULLSTACK c'est validé et il faudra que je redémarre la box dans 30 minutes pour remettre a jour.
j'ai bien fais ??

nany · Le 24/11/2022, à 21:28

polinux a écrit :

j'ai bien fais ??

Je pense que oui.

NicoApi73 · Le 24/11/2022, à 21:31

polinux a écrit :

j'en suis Là je n'ai pas la possibilité de rediriger un port en dessous de 49150

Pour ceux qui sont clients Free et qui n'ont plus la plage de ports complète 0-65555 , il vous faut aller sur votre compte client free (portail client , pas la box) 
puis dans demander une IP Full Stack, votre Ip publique va changer et vous retrouverez une plage de ports complète.

polinux a écrit :

j'ai demande une IP FULLSTACK c'est validé et il faudra que je redémarre la box dans 30 minutes pour remettre a jour.

Tu dégaines vite

Ce n'était pas un problème de mettre un port différent de 1194. Au #181

NicoApi73 a écrit :

Tu peux ouvrir le port 1194 sur la box également ou un autre. Si c'est un autre, il faut simplement mettre le même dans le fichier de conf du client. (la technique qui consiste à utiliser un port différent de celui utilisé habituellement pour un service donné, afin d'avoir un semblant de protection, est peu productive : les bots scannent les ports et recherchent essentiellement un service SSH pour essayer par la suite des couples identifiants mots de passe...)

Dernière modification par NicoApi73 (Le 24/11/2022, à 21:32)

NicoApi73 · Le 24/11/2022, à 21:36

/!\ : Surtout, tu ne rediriges pas le port ouvert vers le 3306, sinon tu exposes directement ton serveur MySQL, ce qui n'est pas le but. Redirige bien vers le port 1194

polinux · Le 24/11/2022, à 21:42

Ok c'est fait j'ai redirigé le port 1194
et les IP étaient bien fixe

NicoApi73 · Le 24/11/2022, à 21:51

Tu peux essayer de redémarrer le serveur :

sudo systemctl start openvpn-server@server.service
sudo systemctl status openvpn-server@server.service 
sudo cat /var/log/openvpn/openvpn.log

Donne bien les retours.

Peux tu donner le retour de :

grep ip_forward /etc/sysctl.conf

Je n'utilise pas ufw, mais directement iptables. Il faut que je regarde pour vérifier si tu as bien mis en place le masquerade. Déjà, as tu fait l'étape 9 de https://www.digitalocean.com/community/ … u-20-04-fr (si la réponse est non, ne la fait pas, je te donnerai les commandes iptables,)
Donne le retour de :

sudo iptables -L -t nat

polinux · Le 24/11/2022, à 22:05

facon-piscine@facon-piscine:~$ sudo systemctl start openvpn-server@server.service
[sudo] Mot de passe de facon-piscine : 
facon-piscine@facon-piscine:~$ sudo systemctl status openvpn-server@server.service 
● openvpn-server@server.service - OpenVPN service for server
     Loaded: loaded (/lib/systemd/system/openvpn-server@.service; enabled; vend>
     Active: active (running) since Thu 2022-11-24 07:40:25 CET; 14h ago
       Docs: man:openvpn(8)
             https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage
             https://community.openvpn.net/openvpn/wiki/HOWTO
   Main PID: 1677 (openvpn)
     Status: "Initialization Sequence Completed"
      Tasks: 1 (limit: 6939)
     Memory: 1.9M
     CGroup: /system.slice/system-openvpn\x2dserver.slice/openvpn-server@server>
             └─1677 /usr/sbin/openvpn --status /run/openvpn-server/status-serve>

nov. 24 07:40:25 facon-piscine systemd[1]: Starting OpenVPN service for server.>
nov. 24 07:40:25 facon-piscine systemd[1]: Started OpenVPN service for server.
lines 1-15/15 (END)

facon-piscine@facon-piscine:~$ sudo cat /var/log/openvpn/openvpn.log
OpenVPN 2.4.7 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Mar 22 2022
library versions: OpenSSL 1.1.1f  31 Mar 2020, LZO 2.10
NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Outgoing Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
Outgoing Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
Incoming Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
Incoming Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
ROUTE_GATEWAY 192.168.0.254/255.255.255.0 IFACE=enp5s0 HWADDR=d4:5d:64:b9:8e:b2
TUN/TAP device tun0 opened
TUN/TAP TX queue length set to 100
/sbin/ip link set dev tun0 up mtu 1500
/sbin/ip addr add dev tun0 local 10.8.0.1 peer 10.8.0.2
/sbin/ip route add 10.8.0.0/24 via 10.8.0.2
Could not determine IPv4/IPv6 protocol. Using AF_INET
Socket Buffers: R=[131072->131072] S=[16384->16384]
Listening for incoming TCP connection on [AF_INET][undef]:1194
TCPv4_SERVER link local (bound): [AF_INET][undef]:1194
TCPv4_SERVER link remote: [AF_UNSPEC]
GID set to nogroup
UID set to nobody
MULTI: multi_init called, r=256 v=256
IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
IFCONFIG POOL LIST
MULTI: TCP INIT maxclients=1024 maxevents=1028
Initialization Sequence Completed
facon-piscine@facon-piscine:~$

voila pour la première série

polinux · Le 24/11/2022, à 22:08

facon-piscine@facon-piscine:~$ grep ip_forward /etc/sysctl.conf
#net.ipv4.ip_forward=1
net.ipv4.ip_forward = 1
facon-piscine@facon-piscine:~$

facon-piscine@facon-piscine:~$ sudo iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
facon-piscine@facon-piscine:~$

et voila pour la suite

polinux · Le 24/11/2022, à 22:15

pour le pare feu de l'étape 9 je crois bien que oui .
mais j'en ai tellement fais que je ne me rappelle pas

NicoApi73 · Le 24/11/2022, à 22:24

Il faut que je regarde un peu comment fonctionne ufw. Pour moi ça s'appuie sur iptables et si c'est le cas, il n'y a pas trace du MASQUERADE. Sinon c'est ailleurs. Je dois me déconnecter, j'aurai plus de temps demain soir. Je te mettrai ce que j'ai trouvé.

Pour la suite, as tu un smartphone avec des données. Quand on testera le VPN complet (client-server), le plus simple est de couper la WiFi du client (bien sûr déconnecté de l'ethernet) et de faire un partage de connexion, en données mobiles, avec un smartphone, par USB. (C'est possible de faire également un partage de connexion en données mobiles par WiFi, et il faut s'assurer que le client ne soit pas sur la WiFi de la box )

Dernière modification par NicoApi73 (Le 24/11/2022, à 22:25)

polinux · Le 24/11/2022, à 22:33

ok très bien
j'ai un iphone mais pas beaucoup de réseau sans wifi, dur dur.
On verra je prendrais celui de ma femme
bonne soirée

Dernière modification par polinux (Le 24/11/2022, à 23:12)

NicoApi73 · Le 25/11/2022, à 07:03

Bonjour,

Si j'en crois ceci : https://www.malekal.com/ufw-vs-iptables … -meilleur/ je suis dans le vrai concernant la relation ufw et iptables.

La commande à passer est donc :

sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o enp5s0 -j MASQUERADE

Pour l'instant, un reboot de la machine supprimera le MASQUERADE, tout comme pour le démarrage du serveur VPN. On mettra en place à la fin de la mise en place automatique des règles IPTABLES et le démarrage d'openVPN.

EDIT : A titre informatif, le masque de sous réseau pour le tunnel est mis ici arbitrairement à /24 (équivalent à 255.255.255.0). Il est possible de le mettre jusqu'à /8 (255.0.0.0)

Dernière modification par NicoApi73 (Le 12/12/2022, à 11:35)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#176 Le 23/11/2022, à 20:14

Re : Connexion distante d'un PC sur mon serveur [RESOLU]

#177 Le 23/11/2022, à 20:37

Re : Connexion distante d'un PC sur mon serveur [RESOLU]

#178 Le 23/11/2022, à 20:45

Re : Connexion distante d'un PC sur mon serveur [RESOLU]

#179 Le 23/11/2022, à 20:50

Re : Connexion distante d'un PC sur mon serveur [RESOLU]

#180 Le 23/11/2022, à 22:26

Re : Connexion distante d'un PC sur mon serveur [RESOLU]

#181 Le 23/11/2022, à 22:47

Re : Connexion distante d'un PC sur mon serveur [RESOLU]

#182 Le 23/11/2022, à 22:47

Re : Connexion distante d'un PC sur mon serveur [RESOLU]

#183 Le 23/11/2022, à 22:49

Re : Connexion distante d'un PC sur mon serveur [RESOLU]

#184 Le 23/11/2022, à 23:00

Re : Connexion distante d'un PC sur mon serveur [RESOLU]

#185 Le 24/11/2022, à 20:34

Re : Connexion distante d'un PC sur mon serveur [RESOLU]

#186 Le 24/11/2022, à 20:48

Re : Connexion distante d'un PC sur mon serveur [RESOLU]

#187 Le 24/11/2022, à 21:12

Re : Connexion distante d'un PC sur mon serveur [RESOLU]

#188 Le 24/11/2022, à 21:13

Re : Connexion distante d'un PC sur mon serveur [RESOLU]

#189 Le 24/11/2022, à 21:23

Re : Connexion distante d'un PC sur mon serveur [RESOLU]

#190 Le 24/11/2022, à 21:28

Re : Connexion distante d'un PC sur mon serveur [RESOLU]

#191 Le 24/11/2022, à 21:31

Re : Connexion distante d'un PC sur mon serveur [RESOLU]

#192 Le 24/11/2022, à 21:36

Re : Connexion distante d'un PC sur mon serveur [RESOLU]

#193 Le 24/11/2022, à 21:42

Re : Connexion distante d'un PC sur mon serveur [RESOLU]

#194 Le 24/11/2022, à 21:51

Re : Connexion distante d'un PC sur mon serveur [RESOLU]

#195 Le 24/11/2022, à 22:05

Re : Connexion distante d'un PC sur mon serveur [RESOLU]

#196 Le 24/11/2022, à 22:08

Re : Connexion distante d'un PC sur mon serveur [RESOLU]

#197 Le 24/11/2022, à 22:15

Re : Connexion distante d'un PC sur mon serveur [RESOLU]

#198 Le 24/11/2022, à 22:24

Re : Connexion distante d'un PC sur mon serveur [RESOLU]

#199 Le 24/11/2022, à 22:33

Re : Connexion distante d'un PC sur mon serveur [RESOLU]

#200 Le 25/11/2022, à 07:03

Re : Connexion distante d'un PC sur mon serveur [RESOLU]

Pied de page des forums