Jump to content

[résolu] OpenVPN impossible chez certains opérateurs


Recommended Posts

Bonjour,

J'ai monté un OpenVPN sur une dedibox chez Online, sur une connexion k-net la connexion au serveur OpenVPN fonctionne mais sur une connexion 4g de Bouygues et une autre connexion fibre de Completel ça ne fonctionne pas.
L'OpenVPN est sur le port 53 en UDP.

Niveau log sur le client quand ça ne fonctionne pas j'ai :
 

Mon Nov  2 13:37:01 2015 OpenVPN 2.3.2 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [eurephia] [MH] [IPv6] built on Dec  1 2014
Mon Nov  2 13:37:01 2015 Socket Buffers: R=[212992->131072] S=[212992->131072]
Mon Nov  2 13:37:01 2015 UDPv4 link local: [undef]
Mon Nov  2 13:37:01 2015 UDPv4 link remote: [AF_INET]195.154.7.143:53
Mon Nov  2 13:38:01 2015 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Nov  2 13:38:01 2015 TLS Error: TLS handshake failed
Mon Nov  2 13:38:01 2015 SIGUSR1[soft,tls-error] received, process restarting
Mon Nov  2 13:38:01 2015 Restart pause, 2 second(s)


Et côté serveur je n'ai aucun log de la connexion, le néant...

Des personnes à des expériences avec Openvpn avec certains opérateurs ?

Edited by DED
Link to post
Share on other sites

Salut,

Si je comprend bien, ton tunnel monte bien sur une connexion client classique (ADSL FAI grand public par exemple) mais en 4G Bouygues et fibre Completel ca ne fonctionne pas?

Si c'est le cas, la seule chose qui me vient à l'esprit est que les paquets sont filtrés sur les firewall du FAI. Dans ce cas, essaye de modifier ta conf pour utiliser TCP au lieu d'UDP et regarde si ca change la donne. Du traffic "suspect" (données de connexion VPN sur un port réservé au DNS), ca peut sembler suspect à un firewall niveau .7. C'est même typiquement le genre de fonctionnement qu'on recherche sur ce type d'équipement.
Il voit passer des trames complètement différentes du protocole DNS sur le port UDP 53, donc il filtre.

Dans ce cas, ca peut correspondre à ton erreur (très peu explicite) qui stipule uniquement un timeout (normal, les paquets sont bloqués).

En tous cas, essaye de modifier la conf dans un premier temps, fait des tests, et reviens nous dire! ;)
 

Link to post
Share on other sites

Oui mon VPN montait bien sur une connexion fibre grand public (k-net) mais avec la 4g de Bouygues et une connexion fibre de Completel rien.

 

Je viens d'avoir une réponse d'un tech qui travaille chez bouygue, voici ça réponse :

Bonjour,

Il faut changer de port, le port 53 est réservé au trafic DNS sur l'infrastructure mobile.

C'est le seul port UDP, sur les 65536 ports disponible qui pose problème.

Cordialement,
Boris de Bouygues Telecom.

J'ai passer mon OpenVPN sur le port 8080 (toujours en UDP) et ça passe.

Je passe le sujet en résolu.

Edited by DED
Link to post
Share on other sites

Oui mon VPN montait bien sur une connexion fibre grand public (k-net) mais avec la 4g de Bouygues et une connexion fibre de Completel rien.

 

Je viens d'avoir une réponse d'un tech qui travaille chez bouygue, voici ça réponse :

J'ai passer mon OpenVPN sur le port 8080 (toujours en UDP) et ça passe.

Je passe le sujet en résolu.

Bien, ca venait bien du port alors.
Pour tous ceux qui voudraient comprendre, l'infrastructure réseau du FAI doit utiliser un parfeu applicatif avec des règles restrictives, comme le précise le technicien qui t'a affirmé que le port 53 était réservé au protocole DNS.

A mon avis par contre, il serait mieux d'utiliser un port plus utilisé que le 8080. Par exemple le 443, qui a plus de chance par exemple de ne pas être bloqué sur le parefeu d'un hôtel, ou autre infrastructure susceptible de te fournir une connectivité.

Merci de ton retour, qui servira surement à d'autres.

Link to post
Share on other sites

Le problème c'est que sur mon serveur j'ai aussi un serveur web... donc le port 80 et 443 est déjà pris. Il me semble que le port 8080 n'est pas beaucoup bloqué.

 

J'ai demandé la raison de ce blocage au tech :

Je suppose que c'est pour l'auto-configuration du mobile : permettre à un mobile configurer avec les mauvais paramètres de pouvoir fonctionne parfaitement. Un mobile configuré avec l'APN ou le MMSC d'un concurrent, va fonctionner, sans avoir besoin de modifier les paramètres.

Cela permet de faire fonctionner un téléphone via un simple changement de carte SIM, tout en gardant les paramètres techniques d'un autre opérateur (qui devrait donc bloquer tout accès à Internet / MMS sur le téléphone)

Link to post
Share on other sites

Merci à vous pour vos réponses.

 

Je trouve bizarre que Completel à cette limitation, surtout que l'abonnement est un abonnement pro avec débit garantie.

Oui c'est bizarre, mais il faudrait prendre contact avec eux pour vérifier si c'est volontaire ou pas.
Visiblement pour le réseau 4G chez Bouygues, c'est un soucis de souplesse de paramétrage des terminaux qui a amené les équipes réseau à mettre cette politique en place.
Chez Completel, on peut imaginer qu'une autre raison les a poussés à limiter le port 53 UDP au protocole DNS uniquement. Peut être d'ailleurs pour limiter le traffic VPN sur ce port, qui est dédié en principe à un flux très léger (alors que là on encapsule tout notre flux de données dedans). Ce qui peut paraitre totalement justifié selon leur infrastructure...

Link to post
Share on other sites

Mais normalement, pour le FAI, c'est la même chose que le VPN passe par le 53 ou 443 ou par le 1194, ça passe par les mêmes équipements, par les mêmes fibres...

 

L'abonnement n'est pas à moi, mais je vais quand même essayer de leur envoyer un mail.

On peut imaginer que cette limitation est active aussi sur le réseau de sfr et de numéricable vus que ce sont des sociétés soeurs à completel, à testé !

Link to post
Share on other sites
×
×
  • Create New...