Connexion OpenVPN

[zSaltar]

Bonjour à tous, 

 

Je viens vers vous au sujet d'un soucis de connexion vpn via openVPN, j'ai déjà posté sur le forum officiel, sans réponse depuis 15 jours, je me tourne vers vous

J'ai openVPN activé sur un NAS Qnap, tout fonctionnait très bien jusqu'à début juillet environ.

 

Mon soucis est le suivant :

 

Quand j'utilise OpenVPN GUI (dispo uniquement sur Windows), ca fonctionne sans problème. Voici le log de connexion : 

2023-08-11 17:26:37 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.
2023-08-11 17:26:37 DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). OpenVPN ignores --cipher for cipher negotiations. 
2023-08-11 17:26:37 OpenVPN 2.6.5 [git:v2.6.5/cbc9e0ce412e7b42] Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] [DCO] built on Jun 13 2023
2023-08-11 17:26:37 Windows version 10.0 (Windows 10 or greater), amd64 executable
2023-08-11 17:26:37 library versions: OpenSSL 3.1.1 30 May 2023, LZO 2.10
2023-08-11 17:26:37 DCO version: v0
2023-08-11 17:26:39 TCP/UDP: Preserving recently used remote address: [AF_INET]XX.XXX.XXX.XXX:1194
2023-08-11 17:26:39 UDPv4 link local: (not bound)
2023-08-11 17:26:39 UDPv4 link remote: [AF_INET]XX.XXX.XXX.XXX:1194
2023-08-11 17:26:40 [TS Series NAS] Peer Connection Initiated with [AF_INET]XX.XXX.XXX.XXX:1194
2023-08-11 17:26:41 open_tun
2023-08-11 17:26:41 tap-windows6 device [OpenVPN TAP-Windows6] opened
2023-08-11 17:26:41 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {63D910D5-C9E6-4B29-9138-3BCD6BDA2BE2} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
2023-08-11 17:26:41 Successful ARP Flush on interface [10] {63D910D5-C9E6-4B29-9138-3BCD6BDA2BE2}
2023-08-11 17:26:41 IPv4 MTU set to 1500 on interface 10 using service
2023-08-11 17:26:46 Initialization Sequence Completed

 

Par contre, si j'utilise OpenVPN Connect (car mon client est sur Mac), là ca ne fonctionne plus...

Voici le log : 

[Aug 11, 2023, 17:31:11] OpenVPN core 3.8connect1 win x86_64 64-bit OVPN-DCO built on Jun 26 2023 16:08:41
⏎[Aug 11, 2023, 17:31:11] Frame=512/2112/512 mssfix-ctrl=1250
⏎[Aug 11, 2023, 17:31:11] NOTE: This configuration contains options that were not used:
⏎[Aug 11, 2023, 17:31:11] Unsupported option (ignored)
⏎[Aug 11, 2023, 17:31:11] 4 [resolv-retry] [infinite]
⏎[Aug 11, 2023, 17:31:11] 6 [auth-nocache]
⏎[Aug 11, 2023, 17:31:11] 15 [explicit-exit-notify] [1]
⏎[Aug 11, 2023, 17:31:11] Unused options, probably specified multiple times in the configuration file
⏎[Aug 11, 2023, 17:31:11] 11 [tls-cipher] [TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-ECDSA-WITH-AES-2...]
⏎[Aug 11, 2023, 17:31:11] EVENT: RESOLVE ⏎[Aug 11, 2023, 17:31:11] Contacting XX.XXX.XXX.XXX:1194 via UDP
⏎[Aug 11, 2023, 17:31:11] EVENT: WAIT ⏎[Aug 11, 2023, 17:31:11] WinCommandAgent: transmitting bypass route to XX.XXX.XXX.XXX
{
	"host" : "XX.XXX.XXX.XXX",
	"ipv6" : false
}

⏎[Aug 11, 2023, 17:31:11] Connecting to [XX.XXX.XXX.XXX]:1194 (XX.XXX.XXX.XXX) via UDP
⏎[Aug 11, 2023, 17:31:11] EVENT: CONNECTING ⏎[Aug 11, 2023, 17:31:11] Tunnel Options:V4,dev-type tun,link-mtu 1558,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-128-CBC,auth SHA1,keysize 128,key-method 2,tls-client
⏎[Aug 11, 2023, 17:31:11] Creds: Username/Password
⏎[Aug 11, 2023, 17:31:11] Peer Info:
IV_VER=3.8connect1
IV_PLAT=win
IV_NCP=2
IV_TCPNL=1
IV_PROTO=990
IV_MTU=1600
IV_CIPHERS=AES-128-CBC:AES-192-CBC:AES-256-CBC:AES-128-GCM:AES-192-GCM:AES-256-GCM:CHACHA20-POLY1305
IV_LZO=1
IV_GUI_VER=OCWindows_3.4.0-3121
IV_SSO=webauth,openurl,crtext

⏎[Aug 11, 2023, 17:31:11] Transport Error: OpenSSLContext::SSL::read_cleartext: BIO_read failed, cap=2640 status=-1: error:0A000086:SSL routines::certificate verify failed
⏎[Aug 11, 2023, 17:31:11] EVENT: CERT_VERIFY_FAIL OpenSSLContext::SSL::read_cleartext: BIO_read failed, cap=2640 status=-1: error:0A000086:SSL routines::certificate verify failed⏎[Aug 11, 2023, 17:31:11] EVENT: DISCONNECTED ⏎

 

 

Le fichier config.ovpn que j'utilise est celui ci : 

## How to setup OpenVPN client?
## 1. Install OpenVPN software on your platform.
## 2. Double click NAS-CNACIM.ovpn file to create new connection profile.
## 3. Type username and password while connection.

client
dev tun
script-security 3
remote XXX.XXX.XXX.XXX 1194
resolv-retry infinite
nobind
auth-nocache
auth-user-pass
remote-cert-tls server
reneg-sec 0
cipher AES-128-CBC
tls-cipher TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA
tls-cipher "DEFAULT:@SECLEVEL=0"
comp-lzo
proto udp
explicit-exit-notify 1
<ca>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</ca>

 

J'ai bien sur remplacé l'IP publique à chaque fois par XX.XX.XX.XX..

 

Si quelqu'un peut m'aider à comprendre pourquoi ca fonctionne avec un et pas l'autre... Je commence à désespérer..

 

Merci d'avance les techos !

[Pyrithe]

Salut @zSaltar

J'ai été confronté à ce genre de problème avec OpenVPN.

Sur MacOS, je préfère mettre en place le client VPN Viscosity : https://www.sparklabs.com/viscosity/

Ca fonctionne très bien, tu peux le tester gratuitement deux semaines, et la licence n'est pas très chère.

 

[zSaltar]

Salut @Pyrithe 

Merci pour ta réponse, effectivement, c'est une solution en dernier recours, il faudrait que j'essaie de voir si cela fonctionne.

Mais j'aimerais tout de même comprendre pourquoi j'ai ce soucis, et il doit bien y avoir un moyen de le résoudre et d'utiliser OpenVPN Connect, en sachant que tout marchait bien avant..

[fabrice]

La deuxième ligne tls-cipher de ton fichier de config est apparemment ignorée

[zSaltar]

J'ai trouvé une solution mais qui n'est surement pas la plus safe..

Dans les paramètres avancés de OpenVPN Connect, mettre le security level sur le mode Insecure.. Et là je n'ai plus d'erreurs à la conenxion

[fabrice]

Je pense que la ligne tls-cipher "DEFAULT:@SECLEVEL=0", correspond au niveau de sécurité.

Elle n'était pas prise en compte, en changeant ce mode tu arrives au même résultat.

 

https://security.stackexchange.com/questions/261780/what-is-the-impact-of-openvpn-seclevel-0