Elrick Posté(e) le 4 août 2019 Partager Posté(e) le 4 août 2019 Bonjour à tous, J'utilise VPN Server sur un serveur Synology, il est configuré en mode OpenVPN (AES 256 CBC, SHA 512) Lors de cette installation, j'ai exporter la configuration pour l'utiliser avec mon poste sous Windows 10. J'ai installé OpenVPN version client sur le poste client en Windows 10, j'arrive à me connecter correctement mais j'ai le message suivant dans le log : WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. J'ai donc regardé sur internet les personnes suggère d'ajouter la ligne remote-cert-tls server dans le fichier de configuration VPNConfig.ovpn. Après ajout de cette ligne, je ne suis plus en mesure de me connecter, j'obtiens les messages d'erreurs suivant : Certificat does not have key usage extension OpenSSL: error:1416XXXX:SSL routines:tls_process_server_certificate:certificate verify failed TLS_ERROR: BIO read tls_read_plaintext error TLS Error: TLS object -> incoming plaintext read error TLS Error: TLS handshake failed Je suis revenu en arrière pour continuer à utiliser ma connexion VPN mais j'ai toujours ce premier message d'erreur, comment est ce que je peux corriger ce problème pour éviter les attaques de type MITM (Man In The Middle) svp ? Merci pour vos conseils. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
.Shad. Posté(e) le 4 août 2019 Partager Posté(e) le 4 août 2019 Il y a bien ce lien qui en parle, je n'ai jamais essayé cela étant : https://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/ 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Elrick Posté(e) le 4 août 2019 Auteur Partager Posté(e) le 4 août 2019 (modifié) Merci, ce lien est intéressant. Le post initial date un peu mais il semble toujours utile, il mets à mal la version obsolète d'OpenVPN de l'application VPN Server de Synology 😞 Ce post me fait dire qu'il faut que j'envisage sérieusement l'utilisation d'un package VPN pfSense pour optimiser ma connexion VPN comme il se doit, il prendra en charge l'AES-GCM, ce chiffrement est plus rapide et plus secure qu'AES-CBC. C'est dommage que Synology ne se bouge pas les fesses. Modifié le 4 août 2019 par Elrick 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 4 août 2019 Partager Posté(e) le 4 août 2019 Dans ton fichier de configuration tu as bien intégré le contenu du fichier ca_bundle ? Ce fichier est produit par l'exportation de la configuration Openvpn dans VPN Server 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
.Shad. Posté(e) le 4 août 2019 Partager Posté(e) le 4 août 2019 J'envisage de plus en plus l'investissement dans un boîtier pfSense ou OpnSense également. Mais ça a l'air vachement pointu, j'ai peur de ne pas avoir le temps nécessaire pour en maîtriser tous les rouages, si tu as une expérience là-dedans ça m'intéresse @Elrick 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 4 août 2019 Partager Posté(e) le 4 août 2019 Openvpn sur vpn server fonctionne très bien. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Elrick Posté(e) le 4 août 2019 Auteur Partager Posté(e) le 4 août 2019 Il y a 3 heures, Thierry94 a dit : Dans ton fichier de configuration tu as bien intégré le contenu du fichier ca_bundle ? Ce fichier est produit par l'exportation de la configuration Openvpn dans VPN Server Si ta question est, est-ce que j'ai bien dans mon fichier .ovpn les balises <ca> et </ca> avec le contenu de mon certificat, la réponse est oui. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 4 août 2019 Partager Posté(e) le 4 août 2019 Oui c'est bien cela mais entre les balises c'est le contenu du fichier CA_bundle qu'il faut mettre. Dans ce fichier il y a 2 parties avec chacune des balises" begin_certificat" et "end_certificat", c'est l'ensemble qu'il faut insérer entre les balises <ca> et </ca> 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Elrick Posté(e) le 5 août 2019 Auteur Partager Posté(e) le 5 août 2019 Le certificat était déja renseigné automatiquement lors de l'exportation de la configuration. Cela ne vient donc pas de là... le fichier qui contient le meme certificat est CA (et non CA_bundle) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 5 août 2019 Partager Posté(e) le 5 août 2019 Je viens de refaire l'exportation pour être sur et c'est bien le contenu du fichier CA_bundle que je retrouve dans le fichier VPNconfig.ovpn généré par VPN server Ce contenu avec l'option "remote-tls server"dans la config tu n'auras plus le warning 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Elrick Posté(e) le 6 août 2019 Auteur Partager Posté(e) le 6 août 2019 (modifié) Je suis passé par pfSense, plus sécure et aussi rapide, chiffrement 4096bit, AES GCM avec TLS/Auth. Le paramétrage est un jeu d'enfant, j'ai suivi le tuto ici > https://www.samueldowling.com/2018/11/27/how-to-configure-an-openvpn-remote-access-server-in-pfsense/ Il y a un assistant pour créer sa connexion VPN dans pfSense, il créer également la régle dans le parefeu automatiquement. Il y a un package qui permet d'exporter la configuration complete, elle fait un executable avec OpenVPN et les fichiers de configuration automatiquement à l'installation. Encore plus simple que Synology, du coup je n'ai plus d'alerte MINT. Vous pouvez ajouter "auth-nocache" dans le fichier de configuration (fichier .ovpn) cela permettra d'éviter que votre mot de passe soit stocker dans le fichier de pagination (pagefile) de votre PC. Modifié le 6 août 2019 par Elrick 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
.Shad. Posté(e) le 6 août 2019 Partager Posté(e) le 6 août 2019 Sur quelle machine fais-tu tourner pfSense ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Elrick Posté(e) le 6 août 2019 Auteur Partager Posté(e) le 6 août 2019 Une machine dédié, c'est un Dell R230 avec un E3-1260lv5. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
.Shad. Posté(e) le 6 août 2019 Partager Posté(e) le 6 août 2019 Une belle bête effectivement 😉 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Elrick Posté(e) le 6 août 2019 Auteur Partager Posté(e) le 6 août 2019 Le minimum syndical pour gérer plusieurs sous réseau et plusieurs WAN. J'ai collé deux cartes réseau, Intel X710-T4 et Chelsio T540 pour être compatible pfSense. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.