Impossible de lancer les serveurs OpenVPN (routé ou bridgé)

[jimbou (Auteur du topic)]

Bonjour,

Quand je tente d'activer un serveur OpenVPN bridgé ou routé ça ne marche pas :
- Si je tente de télécharger un fichier de configuration utilisateur, j'ai un message d'erreur
- Quand je vais dans l'onglet Etat de la page serveur VPN de ma Freebox, je vois que le service que j'ai tenté d'activer indique erreur (au lieu de Activé)

Par contre, les serveurs VPN IPsec IKEv2 ou PPTP fonctionnent normalement, et je peux effectivement m'y connecter.

C'est une ancienne Freebox, noire et rectangulaire. Je viens de faire une mise à jour du firmware vers le 4.9.7, mais j'avais déjà ça avant (et c'est d'ailleurs à cause de ça que j'ai fait la mise à jour).

Merci pour toute aide.

[BreizhBOX]

Vous demandez de l'aide mais vous n'êtes même pas foutu de nous indiquer si vous parlez d'un PC, d'iOS, d'Android, ou Linux

Déjà... correction, on ne parle pas de serveur, mais de client.
Si vous n'arrivez pas à faire le distinguo entre les deux ça risque d'être compliqué.
Le serveur est sur la box. Au niveau du PC, de la tablette c'est le client.

Le serveur OpenVPN de la Freebox est basé sur la version communautaire 2.x.x, la dernière version officielle étant 3.x.x
La dernière version communautaire du serveur/client est 2.6.x, concernant la box je ne la connaît pas, ce peut-être du 2.4.x ou 2.5.x, mais néanmoins 2.6.x implémente une ré-trocompatbilité avec ses prédécesseurs

OpenVPN 3.x ayant déprécié les 3/4 des protocoles de chiffrement, il n'est donc plus compatible avec les serveurs de la série 2.x.x

Donc première chose, sous Windows il faut installer cette version

https://OpenVPN.net/community/

et PAS LA VERSION par défaut qui est proposée sur la page d'accueil

Sous Linux idem, les paquets OpenVPN 2.x.x et OpenVPN 3.x.x sont des paquets distincts qui peuvent coexister

Au niveau du serveur de la Freebox il faut choisir l'un des protocoles suivants :

- CHACHA20-POLY1305
- AES-256 (qui correspond plus précisément à AES-256-CBC).

Si vous êtes en IP partagée il faudra le cas échéant aussi modifier les ports, mais à priori la box va par défaut proposer un port "compatible"

Le choix de tout autre protocole n'est pas conseillé, et en particulier blowfish engendrera une erreur, ce protocole étant considéré comme "non sécurisé", il n'est plus compatible avec openSSL (ou il faut intervenir dans la config openSSL du client pour activer explicitement un mode de compatibilité)

- Normalement sous Windows ça devrait fonctionner (même si ça fait longtemps que je n'ai pas testé), il faut juste veiller à installer le client communautaire.

- Sous Android :

OpenVPN bridgé NE FONCTIONNERA JAMAIS pour des raisons de droit (il faudrait un Android rooté)

OpenVPN routé fonctionnera mais avec un client alternatif "OpenVPN for Android" présent dans le Play Store, en effet le client officiel "OpenVPN connect" n'est compatible qu'avec les serveurs 3.x, alors que l'application mentionnée est capable de gérer les deux générations de serveurs.

Il y quelques petites modifications à effectuer dans la config, et ça fonctionne au poil avec double support IPv4/IPv6, mais je ne vais pas m'étaler, car pour Android, iOS le plus simple est d'utiliser l'application IPSEC IKEv2 Strongswan (pleinement compatible IPv4/IPv6) ou Wireguard (IPv4 seulement)

Pour Wireguard cherchez dans le forum, un guide a été rédigé assez récemment par un membre

- Sous Linux :

Le moyen le plus simple est d'installer le plugin graphique OpenVPN pour NetworkManager qui s'appuie actuellement sur OpenVPN 2.6.x Il existe aussi des plugins pour Wireguard et IPSEC Strongswan

J'ai fait des tests pas plus tard que ce week-end, et ça marche.

Il suffit de cliquer deux fois sur la config .opvpn téléchargée, et accepter l'importation automatique de la config dans NetworkManager, et ça fonctionne autant pour le mode routé que bridgé, il y a juste les identifiants et mot de passe à enregistrer dans le portefeuille local Gnome Keyring ou KDE Kwallet

Pour un fonctionnement autonome d'OpenVPN (via un fichier .conf dans /etc/OpenVPN/client) notamment en mode console qui n'offre pas l'interface graphique de NetworkManager, il faut le cas échéant amender le configuration car les règles de routage ne semblent pas s'établir correctement


En revanche attention :

Sur la Freebox le mot de passe est commun pour OpenVPN, IPSEC IKEv2
IPSEC accepte des mots de passe complexes avec des caractères spéciaux, mais OpenVPN n'accepte que des caractères alphanumériques.

J'ai bataillé plusieurs jours pour me rendre compte que des caractères spéciaux dans le mot de passe provoquaient le refus d'authentification sous OpenVPN, alors que ce mot de passe fonctionnait sous IPSEC IKEv2

OpenVPN routé n'a pas un grand intérêt dans la mesure où IPSEC IKEv2 fonctionne très bien, c'est un standard ouvert, il est supporté UNIVERSELLEMENT, OpenVPN restant lui un protocole propriétaire (OpenVPN étant devenu depuis longtemps une entité commerciale, il n'y a jamais la garantie que le support d'une version libre, ici sous la dénomination communautaire, soit reconduite dans les années futures).

Sous Linux, comme sous Android, j'utilise le paquet et l'application Strongswan de préférence à Libreswan
Strongswan semble être devenu de facto le standard.

Android supporte nativement IPSEC, on n'a théoriquement pas besoin de l'application Strongswan, mais après test le client natif d'Android ne supporte que l'IPv4, alors qu'en utilisant l'application Strongswan on a l'IPv4 et l'IPv6

L'intérêt d'OpenVPN c'est le mode bridgé (via une interface TAP) qui est le seul à offrir à l'utilisateur une IP dans le réseau privé de la box.
C'est le seul mode qui autorise du télétravail avec un accès aux ressources réseau EXACTEMENT comme si on était chez soi, mais c'est une solution un peu lourde en terme de ressources. Ça ne fonctionnera jamais sur iOS ou Android pour des raisons de "droits"

OpenVPN bridgé est un VPN qui encapsule la couche réseau OSI2, tous les autres sont des VPN qui encapsulent la couche réseau OSI3

L'encapsulation OSI3 revient à un "tunneling" via des réseaux dédiés "192.168.27.xx et 2a01:xxxx:xxxx:xxx8::10 (quand l'IPv6 est disponible)" qui rendent impossible ou compliqué (Wireguard) l'accès aux ressources du réseau privé de la box qui se trouvent sur un autre segment réseau (faire communiquer deux segments réseaux différents c'est toujours acrobatique).

Avec le bon client et bien paramétré OpenVPN routé et bridgé supportent l'IPv4 et l'IPv6

[rr]

[jimbou (Auteur du topic)]

Bonjour, et Merci pour vos réponses.

Je suis dans la situation suivante : sur Firefox, connecté à l'interface administrateur de la Freebox, mode avancé, page serveur VPN.

Je vais dans l'onglet OpenVPN routé (ou bridgé, c'est pareil) et je l'active (sans oublier de cliquer "Appliquer" en bas de la fenêtre ). Cela fait apparaitre la liste des utilisateurs en bas de la fenêtre, avec une icone de disquette pour télécharger le fichier de configuration. Lorsque je clique sur une des disquettes, j'ai un message d'erreur : "La configuration ne peut pas être téléchargée tant que le serveur n’est pas démarré".

Lorsque, toujours sur la page serveur VPN, je vais sur l'onglet état, je peux visualiser l'état des différents serveurs VPN. Je vois par exemple que les serveurs PPTP et IPsec IKEv2 sont dans l'état Activé. Mais le serveur OpenVPN (routé ou bridgé) est dans l'état Erreur.

Je suis effectivement en IP partagée depuis peu, et j'ai donc créé un nom de domaine xxx.Freebox OS.fr et remplacé, dans mes clients VPN, l'adresse IP par le nom de domaine.

Concernant la plage, où puis-je voir la plage qui m'est attribuée ?

[rr]

[jimbou (Auteur du topic)]

Bonjour,

Je vais arrêter ce fil.

Ce forum ne m'autorise qu'un post toutes les 25 heures. A ce rythme, ça va prendre du temps ! Car la piste de la plage de numéro de ports ne semble pas la bonne.

J'aurais aimé comprendre pourquoi je suis traité comme un pestiféré, mais je n'ai même pas le droit de contacter le webmaster.

Merci, et bonne continuation.

[rr]