[striatum_1999]

Bonjour,

plusieurs quesitons en une. J'ai lu les Wiki, inspecté les forums, et n'ai pas vu (ou compris) quelque chose qui repondait de façon claire à ma question:

- je veux me connecter par le routeur (WNR3500L avec build mega 14133) sur un serveur VPN distant, qui n'accepte que l'authentification username/password.

- je veus que tout le LAN connecté derrière passe par le client VPN.

En bricolant un peu en console/telnet j'arrive à établir une connection mais premièrement cela n'est pas pratique (si je rebot le routeur... ca ne se reconnecte pas) et deuxièment je n'arrive pas à comprendre comment modifier la table de routage pour dévier tout le traffic LAN vers le serveur VPN via le client...

Merci pour votre aide d'avance (le WIki dd-wrt est très peu clair, car fait de rajouts successifs, et sous entend un certian niveau de connaissances réseau parfois).

[striatum_1999]

Bonjour, voici ma dernière tentative:


root@DD-WRT:/tmp/openvpncl# openvpn --verb 3 --config /tmp/openvpncl/openvpn.conf
Thu Jun 3 08:48:49 2010 OpenVPN 2.1.1 mipsel-unknown-linux-gnu [SSL] [LZO2] [EPOLL] built on Apr 23 2010
Thu Jun 3 08:48:49 2010 WARNING: file '/tmp/openvpncl/sauve.txt' is group or others accessible
Thu Jun 3 08:48:49 2010 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Thu Jun 3 08:48:49 2010 LZO compression initialized
Thu Jun 3 08:48:49 2010 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Jun 3 08:48:49 2010 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Thu Jun 3 08:48:49 2010 Socket Buffers: R=[114688->131072] S=[114688->131072]
Thu Jun 3 08:48:49 2010 UDPv4 link local: [undef]
Thu Jun 3 08:48:49 2010 UDPv4 link remote: VPN.VPN.VPN.VP:1194
Thu Jun 3 08:48:49 2010 TLS: Initial packet from VPN.VPN.VPN.VP:1194, sid=65d14892 b9637502
Thu Jun 3 08:48:49 2010 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Thu Jun 3 08:48:50 2010 VERIFY OK: depth=1, /C=KY/VPN ident
Thu Jun 3 08:48:50 2010 VERIFY OK: depth=0, /C=KY/VPN ident
Thu Jun 3 08:48:52 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jun 3 08:48:52 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jun 3 08:48:52 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Jun 3 08:48:52 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jun 3 08:48:52 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Thu Jun 3 08:48:52 2010 [VPN address] Peer Connection Initiated with VPN.VPN.VPN.VP:1194
Thu Jun 3 08:48:54 2010 SENT CONTROL [VPN address]: 'PUSH_REQUEST' (status=1)
Thu Jun 3 08:48:54 2010 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS xxx.xxx.xxx.xxx,dhcp-option DNS xxx.xxx.xxx.xxx,explicit-exit-notify 5,rcvbuf 262144,route-gateway 10.9.0.1,topology subnet,ping 10,ping-restart 60,ifconfig 10.9.0.7 255.255.0.0'
Thu Jun 3 08:48:54 2010 Options error: Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:4: explicit-exit-notify (2.1.1)
Thu Jun 3 08:48:54 2010 OPTIONS IMPORT: timers and/or timeouts modified
Thu Jun 3 08:48:54 2010 OPTIONS IMPORT: --sndbuf/--rcvbuf options modified
Thu Jun 3 08:48:54 2010 Socket Buffers: R=[131072->229376] S=[131072->131072]
Thu Jun 3 08:48:54 2010 OPTIONS IMPORT: --ifconfig/up options modified
Thu Jun 3 08:48:54 2010 OPTIONS IMPORT: route options modified
Thu Jun 3 08:48:54 2010 OPTIONS IMPORT: route-related options modified
Thu Jun 3 08:48:54 2010 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Thu Jun 3 08:48:54 2010 TUN/TAP device tun0 opened
Thu Jun 3 08:48:54 2010 TUN/TAP TX queue length set to 100
Thu Jun 3 08:48:54 2010 /sbin/ifconfig tun0 10.9.0.7 netmask 255.255.0.0 mtu 1500 broadcast 10.9.255.255
Thu Jun 3 08:48:54 2010 /sbin/route add -net VPN.VPN.VPN.VP netmask 255.255.255.255 gw xx.xx.xx.xx (My Public ISP IP)
Thu Jun 3 08:48:54 2010 /sbin/route add -net 0.0.0.0 netmask 128.0.0.0 gw 10.9.0.1
Thu Jun 3 08:48:54 2010 /sbin/route add -net 128.0.0.0 netmask 128.0.0.0 gw 10.9.0.1
Thu Jun 3 08:48:54 2010 Initialization Sequence Completed



Table de routage:

root@DD-WRT:~# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
VPN.VPN.VPN.VP xxx.xxx.xx.xxx 255.255.255.255 UGH 0 0 0 vlan2
192.168.1.0 * 255.255.255.0 U 0 0 0 br0
xx.xxx.xxx.0 * 255.255.255.0 U 0 0 0 vlan2
169.254.0.0 * 255.255.0.0 U 0 0 0 br0
10.9.0.0 * 255.255.0.0 U 0 0 0 tun0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 10.9.0.1 128.0.0.0 UG 0 0 0 tun0
128.0.0.0 10.9.0.1 128.0.0.0 UG 0 0 0 tun0
default xx.xxx.xxx.xxx 0.0.0.0 UG 0 0 0 vlan2

J'ai utilisé le fichier de conf suivant:

client
dev tun
proto udp
remote XXX.XXX.XXX.XXX 1194
resolv-retry infinite
nobind
persist-key
persist-tun
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
ca /tmp/openvpncl/ca.crt
auth-user-pass /tmp/openvpncl/sauve.txt (user/passord file)
push "dhcp-option DNS XXX.XXX.XXX.XXX"
redirect-gateway
comp-lzo


L'idée étant alors de ne pas avoir besoin d'utiliser un script au démarrage.

Une fois tout ceci fait, la conneection est censée être active, mais je ne peux pas naviguer sur le net ...

Des idées?

[Skalp]

Salut,

J'ai tenté d'écrire un tuto assez clair utilisant un script de démarrage final de 2 lignes (qui se limite à lancer ovpn avec le bon fichier) afin de tout faire fonctionner correctement. Tout marche sans aucun problème.

Tu le trouveras à l'adresse suivante

Il faut au minimum un script de démarrage si tu as un login/pass en openvpn... Il n'existe pas d'alternative (le truc c'est d'éviter de retaper en /tmp en permanence)

J'espère que ça répondra à tes interrogations (note que j'ai eu EXACTEMENT les mêmes problèmes que toi)

[Boobix]

[Skalp]

Ah ben merci beaucoup Ça fait plaisir.

En ce moment je fais une série de tutos propre aux Fournisseurs VPN. Voici ce que ça donne :

http://www.plugngeek.net/routeur-vpn-maison-et-ivacy

Là c'est la configuration spécifique à apporter aux fichiers et à la configuration pour que Ivacy fonctionne correctement avec le DD-WRT.

Je vais en faire d'autres pour d'autres VPNs