bonjours,
tous est dans le titre je voudrais savoir si c’est possible de faire un vpn avec openvpn bien sur sans les clés de cryptage suivantes:
-ca.crt
-client01.crt
-client01.key
enfin sans cryptage au niveau client surtout je c’est que c’est pas sécuriser mais c’est pas grave je veut tester un truck et j’ai besoin que sa ne soit pas crypter.
Avez-vous une idée de comment je peut procéder et a la limite si comment avoir que le ca.crt coter client alors?
Le ca.crt permet au client d’identifier le serveur. C’est le couple client.key client.crt qui permet le cryptage (pour être exact, une clef est d’abord échangée servant à crypter la session pendant une heure, puis il y a renégociation). Je ne crois pas que ce soit faisable a priori. Si tu veux capturer le trafic, tu dois pouvoir le faire sur l’interface tap0 ou tun0, le trafic sera en clair.
le trafic sera en clair ? même avec le cryptage des client ?
car effectivement je veut capturer le trafic qui passe par le vpn voir tous en clair et non crypter si c’est possible alors avec quel paquet ? nmap, tcpdump, wireshark? quel options ? Merci 
edit: j’ai vu que certain vpn utiliser que le ca.crt comment font-ils?
Avec une clef static je pense, c’est moins fiable.
Attention à ne pas confondre, ce qui est crypté c’est le trafic réel qui encapsule le trafic de ton interface tap ou tun vers le serveur:
Un ping donne
totoche:/etc/openvpn# tcpdump -i tap0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tap0, link-type EN10MB (Ethernet), capture size 96 bytes
15:01:58.428047 ARP, Request who-has 10.8.0.1 tell totoche.local, length 28
15:01:58.473522 ARP, Reply 10.8.0.1 is-at 00:ff:0d:7f:59:4c (oui Unknown), length 28
15:01:58.473545 IP totoche.local > 10.8.0.1: ICMP echo request, id 13439, seq 1, length 64
15:01:58.520852 IP 10.8.0.1 > totoche.local: ICMP echo reply, id 13439, seq 1, length 64
15:01:58.554233 IP6 fe80::2cbf:76ff:fe77:df4d.mdns > ff02::fb.mdns: 0[|domain]
^C15:01:58.554330 IP totoche.local.mdns > 224.0.0.251.mdns: 0 PTR (QM)? 1.0.8.10.in-addr.arpa. (39)
C’est le trafic encapsulé véhiculé par le VPN. Il est en clair. Le même traffic sur l’interface réelle:
15:03:24.004317 IP totoche.chezmoi.35412 > serveurvpn.net.14142: UDP, length 229
15:03:24.620788 IP totoche.chezmoi.35412 > serveurvpn.net.14142: UDP, length 133
15:03:24.667300 IP serveurvpn.net.14142 > totoche.chezmoi.35412: UDP, length 133
15:03:25.622400 IP totoche.chezmoi.35412 > serveurvpn.net.14142: UDP, length 133
15:03:25.668829 IP serveurvpn.net.14142 > totoche.chezmoi.35412: UDP, length 133
15:03:26.623607 IP totoche.chezmoi.35412 > serveurvpn.net.14142: UDP, length 133
15:03:26.670797 IP serveurvpn.net.14142 > totoche.chezmoi.35412: UDP, length 133
15:03:27.625659 IP totoche.chezmoi.35412 > serveurvpn.net.14142: UDP, length 133
15:03:27.671829 IP serveurvpn.net.14142 > totoche.chezmoi.35412: UDP, length 133
Tu ne vois que le traffic réel (crypté donc) sur le port UDP, celui ci est indéchiffrable
oui donc ce n’est pas possible de déchiffrer celui ci et pour le ca.crt tu a plus d’info ? car c’est vrai que le fait de devoir faire un client pour chaque personne est trés lourd.
Je ne sais pas si tu ne peux pas partager la même clef pour tous… Personellement j’ai besoin d’identifier qui vient sur le serveur.
Pour la clef statique, c’est
openvpn --genkey --secret clefserveur.key
et le fichier de configuration est plus simple:
dev tun
port 1194
ifconfig 10.8.0.2 10.8.0.254
secret clefserveur.key
comp-lzo
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
par exemple. Pour le client, tu rajoutes
secret maclef.key
et enlèves les références au certificat et clefs perso.
tien regarde essaye se vpn il n’a que le ca.crt pour fonctionner je te donne mon compte comme sa tu en fait pas un:
login: XXX
pass: XXX (avec le point a la fin) [J’ai viré les identifiants (François)]
le site: manage.s6n.org/accounts/login/?next=/tunnels/
tu as un idée de comment il font?
Authentification par login/mot de passe (cf option auth-user-pass).
oui sa je sais mais comment fait il pour avoir juste le ca.crt l’authentification user je connais déjà.
Le ca permet au client d’identifier le serveur, il se fabrique par build-ca (cf http://forum.debian-fr.org/viewtopic.php?p=36656#p36656) une bonne fois pour toute.
mais je sais faire le vpn il marche et tous ce que je veut c’est comment faire pour avoir juste le ca.crt sur mon client qu’il puisse me connecter sans me demander le client01.crt ou d’autre clé car admettons si je mes en commentaire mon
;client01.crt
et
;client01.key
il ne pourra pas me connecter au serveur et me demandera forcement le client01 donc comment faire?
Non, ton fichier client sera
dev tap0
proto tcp
remote IP port
resolv-retry infinite
nobind
user openvpn
group openvpn
persist-key
persist-tun
ca ca.crt
secret maclef.key
ns-cert-type server
comp-lzoTu fournis le certificat ca.crt et la clef maclef.key identiques pour tout le monde
j’obiten une erreur des le lancement voila le message (client):
Sun Feb 07 17:06:29 2010 NOTE: --user option is not implemented on Windows
Sun Feb 07 17:06:29 2010 NOTE: --group option is not implemented on Windows
Options error: Parameter ca_file can only be specified in TLS-mode, i.e. where --tls-server or --tls-client is also specified.
Essaye
dev tap0
proto tcp
remote IP port
resolv-retry infinite
nobind
persist-key
persist-tun
secret maclef.key
ns-cert-type server
comp-lzo
un autre:
Options error: Parameter ca_file can only be specified in TLS-mode, i.e. where --tls-server or --tls-client is also specified.
ma config client:
dev tap0
proto udp
remote 188.xx.xxx.xxx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
secret clefserveur.key
ns-cert-type server
comp-lzo
et coter serveur:
[code]mode server
tls-server
port 1194
proto udp
dev tun
;dev-node MyTap
ca ca.crt
cert LeServeurVPN.crt
key LeServeurVPN.key
dh dh1024.pem
plugin /usr/lib/openvpn/openvpn-auth-pam.so common-auth
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
push “route 192.168.0.0 255.255.255.0”
;push “route 192.168.20.0 255.255.255.0”
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
[/code]
essaye
mode server
port 1194
proto udp
dev tun
ca ca.crt
secret LeServeurVPN.key
dh dh1024.pem
plugin /usr/lib/openvpn/openvpn-auth-pam.so common-auth
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.0.0 255.255.255.0"
par contre il faut que ça soit tun des 2 cotés ou tap des 2 cotés… Bizarre qu’il ne veuille pas du ca…
oula le serveur vpn démarre même plus la.
Hum, remet ta configuration, j’essaye de deviner la syntaxe et ça ne réussit pas, il faut lire la doc. J’essayerai éventuellement tout à l’heure…
effectivement c’est pas pratique, pareil je lis aussi la doc mais je trouve pas se que je veut je tombe tous le temps avec les client01
Ben écoute ça marche de façon basique par
Serveur:
secret clefserveur.key
port 1194
proto udp
dev tun
ifconfig 10.8.0.1 10.8.0.15
Client:
remote IP_serveur
dev tun
ifconfig 10.8.0.15 10.8.0.1
secret clefserveur.key