zSaltar Posted August 24, 2023 Report Share Posted August 24, 2023 Bonjour à tous, Je viens vers vous au sujet d'un soucis de connexion vpn via openVPN, j'ai déjà posté sur le forum officiel, sans réponse depuis 15 jours, je me tourne vers vous J'ai openVPN activé sur un NAS Qnap, tout fonctionnait très bien jusqu'à début juillet environ. Mon soucis est le suivant : Quand j'utilise OpenVPN GUI (dispo uniquement sur Windows), ca fonctionne sans problème. Voici le log de connexion : 2023-08-11 17:26:37 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set. 2023-08-11 17:26:37 DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). OpenVPN ignores --cipher for cipher negotiations. 2023-08-11 17:26:37 OpenVPN 2.6.5 [git:v2.6.5/cbc9e0ce412e7b42] Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] [DCO] built on Jun 13 2023 2023-08-11 17:26:37 Windows version 10.0 (Windows 10 or greater), amd64 executable 2023-08-11 17:26:37 library versions: OpenSSL 3.1.1 30 May 2023, LZO 2.10 2023-08-11 17:26:37 DCO version: v0 2023-08-11 17:26:39 TCP/UDP: Preserving recently used remote address: [AF_INET]XX.XXX.XXX.XXX:1194 2023-08-11 17:26:39 UDPv4 link local: (not bound) 2023-08-11 17:26:39 UDPv4 link remote: [AF_INET]XX.XXX.XXX.XXX:1194 2023-08-11 17:26:40 [TS Series NAS] Peer Connection Initiated with [AF_INET]XX.XXX.XXX.XXX:1194 2023-08-11 17:26:41 open_tun 2023-08-11 17:26:41 tap-windows6 device [OpenVPN TAP-Windows6] opened 2023-08-11 17:26:41 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {63D910D5-C9E6-4B29-9138-3BCD6BDA2BE2} [DHCP-serv: 10.8.0.5, lease-time: 31536000] 2023-08-11 17:26:41 Successful ARP Flush on interface [10] {63D910D5-C9E6-4B29-9138-3BCD6BDA2BE2} 2023-08-11 17:26:41 IPv4 MTU set to 1500 on interface 10 using service 2023-08-11 17:26:46 Initialization Sequence Completed Par contre, si j'utilise OpenVPN Connect (car mon client est sur Mac), là ca ne fonctionne plus... Voici le log : [Aug 11, 2023, 17:31:11] OpenVPN core 3.8connect1 win x86_64 64-bit OVPN-DCO built on Jun 26 2023 16:08:41 ⏎[Aug 11, 2023, 17:31:11] Frame=512/2112/512 mssfix-ctrl=1250 ⏎[Aug 11, 2023, 17:31:11] NOTE: This configuration contains options that were not used: ⏎[Aug 11, 2023, 17:31:11] Unsupported option (ignored) ⏎[Aug 11, 2023, 17:31:11] 4 [resolv-retry] [infinite] ⏎[Aug 11, 2023, 17:31:11] 6 [auth-nocache] ⏎[Aug 11, 2023, 17:31:11] 15 [explicit-exit-notify] [1] ⏎[Aug 11, 2023, 17:31:11] Unused options, probably specified multiple times in the configuration file ⏎[Aug 11, 2023, 17:31:11] 11 [tls-cipher] [TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-ECDSA-WITH-AES-2...] ⏎[Aug 11, 2023, 17:31:11] EVENT: RESOLVE ⏎[Aug 11, 2023, 17:31:11] Contacting XX.XXX.XXX.XXX:1194 via UDP ⏎[Aug 11, 2023, 17:31:11] EVENT: WAIT ⏎[Aug 11, 2023, 17:31:11] WinCommandAgent: transmitting bypass route to XX.XXX.XXX.XXX { "host" : "XX.XXX.XXX.XXX", "ipv6" : false } ⏎[Aug 11, 2023, 17:31:11] Connecting to [XX.XXX.XXX.XXX]:1194 (XX.XXX.XXX.XXX) via UDP ⏎[Aug 11, 2023, 17:31:11] EVENT: CONNECTING ⏎[Aug 11, 2023, 17:31:11] Tunnel Options:V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-128-CBC,auth SHA1,keysize 128,key-method 2,tls-client ⏎[Aug 11, 2023, 17:31:11] Creds: Username/Password ⏎[Aug 11, 2023, 17:31:11] Peer Info: IV_VER=3.8connect1 IV_PLAT=win IV_NCP=2 IV_TCPNL=1 IV_PROTO=990 IV_MTU=1600 IV_CIPHERS=AES-128-CBC:AES-192-CBC:AES-256-CBC:AES-128-GCM:AES-192-GCM:AES-256-GCM:CHACHA20-POLY1305 IV_LZO=1 IV_GUI_VER=OCWindows_3.4.0-3121 IV_SSO=webauth,openurl,crtext ⏎[Aug 11, 2023, 17:31:11] Transport Error: OpenSSLContext::SSL::read_cleartext: BIO_read failed, cap=2640 status=-1: error:0A000086:SSL routines::certificate verify failed ⏎[Aug 11, 2023, 17:31:11] EVENT: CERT_VERIFY_FAIL OpenSSLContext::SSL::read_cleartext: BIO_read failed, cap=2640 status=-1: error:0A000086:SSL routines::certificate verify failed⏎[Aug 11, 2023, 17:31:11] EVENT: DISCONNECTED ⏎ Le fichier config.ovpn que j'utilise est celui ci : ## How to setup OpenVPN client? ## 1. Install OpenVPN software on your platform. ## 2. Double click NAS-CNACIM.ovpn file to create new connection profile. ## 3. Type username and password while connection. client dev tun script-security 3 remote XXX.XXX.XXX.XXX 1194 resolv-retry infinite nobind auth-nocache auth-user-pass remote-cert-tls server reneg-sec 0 cipher AES-128-CBC tls-cipher TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA tls-cipher "DEFAULT:@SECLEVEL=0" comp-lzo proto udp explicit-exit-notify 1 <ca> -----BEGIN CERTIFICATE----- MIIDxTCCAy6gAwIBAgIJALZXRwHMy+FqMA0GCSqGSIb3DQEBBQUAMIGeMQswCQYD VQQGEwJUVzEPMA0GA1UECBMGVGFpd2FuMQ8wDQYDVQQHEwZUYWlwZWkxGjAYBgNV BAoTEVFOQVAgU3lzdGVtcyBJbmMuMQwwCgYDVQQLEwNOQVMxFjAUBgNVBAMTDVRT IFNlcmllcyBOQVMxDDAKBgNVBCkTA05BUzEdMBsGCSqGSIb3DQEJARYOYWRtaW5A cW5hcC5jb20wHhcNMjEwMzI1MTMyMzA0WhcNMzEwMzIzMTMyMzA0WjCBnjELMAkG A1UEBhMCVFcxDzANBgNVBAgTBlRhaXdhbjEPMA0GA1UEBxMGVGFpcGVpMRowGAYD VQQKExFRTkFQIFN5c3RlbXMgSW5jLjEMMAoGA1UECxMDTkFTMRYwFAYDVQQDEw1U UyBTZXJpZXMgTkFTMQwwCgYDVQQpEwNOQVMxHTAbBgkqhkiG9w0BCQEWDmFkbWlu QHFuYXAuY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCh5kv6LT6PAc0v 6jv/T3wwVkZzoXsvLsY5Ec2cIh5J+1zojmzrmteYIljir+Ztzc9d6ZhSzr1HOGB6 Qfxw2BNB72Pj/3u5uNXHFXtLwtzjz8wWtIrPGtP1kpCi5DQSgajo7qRX0kHAtLJH KSV18P1z8OcI9kV06QS5HVDBxkyGMQIDAQABo4IBBzCCAQMwHQYDVR0OBBYEFDK/ aTeUgyy6frVvvrHMYvx4J3FoMIHTBgNVHSMEgcswgciAFDK/aTeUgyy6frVvvrHM Yvx4J3FooYGkpIGhMIGeMQswCQYDVQQGEwJUVzEPMA0GA1UECBMGVGFpd2FuMQ8w DQYDVQQHEwZUYWlwZWkxGjAYBgNVBAoTEVFOQVAgU3lzdGVtcyBJbmMuMQwwCgYD VQQLEwNOQVMxFjAUBgNVBAMTDVRTIFNlcmllcyBOQVMxDDAKBgNVBCkTA05BUzEd MBsGCSqGSIb3DQEJARYOYWRtaW5AcW5hcC5jb22CCQC2V0cBzMvhajAMBgNVHRME BTADAQH/MA0GCSqGSIb3DQEBBQUAA4GBADo4tSkMjt6yLPIqu+yVH66yN5I3wfc2 uj5Cgc1XY85O5Qqx5YoUpSKhw/ZdV5Ov0ZeFJ59iz5fgGUV+ZDvWIOf0appVJ+48 FTFmFjY7UTNAyfIOv/38J9UrbVG0Chu3xFHllxAHTBKuLrSXopzBqTZDCZuSa0+e z8Tk1e/+9q/e -----END CERTIFICATE----- </ca> J'ai bien sur remplacé l'IP publique à chaque fois par XX.XX.XX.XX.. Si quelqu'un peut m'aider à comprendre pourquoi ca fonctionne avec un et pas l'autre... Je commence à désespérer.. Merci d'avance les techos ! Link to comment Share on other sites More sharing options...
Pyrithe Posted August 24, 2023 Report Share Posted August 24, 2023 Salut @zSaltar J'ai été confronté à ce genre de problème avec OpenVPN. Sur MacOS, je préfère mettre en place le client VPN Viscosity : https://www.sparklabs.com/viscosity/ Ca fonctionne très bien, tu peux le tester gratuitement deux semaines, et la licence n'est pas très chère. Link to comment Share on other sites More sharing options...
zSaltar Posted August 25, 2023 Author Report Share Posted August 25, 2023 Salut @Pyrithe Merci pour ta réponse, effectivement, c'est une solution en dernier recours, il faudrait que j'essaie de voir si cela fonctionne. Mais j'aimerais tout de même comprendre pourquoi j'ai ce soucis, et il doit bien y avoir un moyen de le résoudre et d'utiliser OpenVPN Connect, en sachant que tout marchait bien avant.. Link to comment Share on other sites More sharing options...
fabrice Posted August 25, 2023 Report Share Posted August 25, 2023 La deuxième ligne tls-cipher de ton fichier de config est apparemment ignorée Link to comment Share on other sites More sharing options...
zSaltar Posted August 30, 2023 Author Report Share Posted August 30, 2023 J'ai trouvé une solution mais qui n'est surement pas la plus safe.. Dans les paramètres avancés de OpenVPN Connect, mettre le security level sur le mode Insecure.. Et là je n'ai plus d'erreurs à la conenxion Link to comment Share on other sites More sharing options...
fabrice Posted August 30, 2023 Report Share Posted August 30, 2023 Je pense que la ligne tls-cipher "DEFAULT:@SECLEVEL=0", correspond au niveau de sécurité. Elle n'était pas prise en compte, en changeant ce mode tu arrives au même résultat. https://security.stackexchange.com/questions/261780/what-is-the-impact-of-openvpn-seclevel-0 Link to comment Share on other sites More sharing options...
Recommended Posts