Project

General

Profile

Actions

Anomalie #6453

open

L'accès à Argemone a distance (en dehors du local) ne fonctionne plus

Added by Frédéric Couchet about 1 month ago. Updated 15 days ago.

Status:
Nouveau
Priority:
Urgente
Assignee:
Category:
-
Target version:
Start date:
06/04/2024
Due date:
% Done:

90%

Estimated time:
Difficulté:
2 Facile

Description

Quand Elsa n'est pas au local, si elle démarre le VPN on peut se connecter sur son laptop. Mais cela ne fonctionne plus.

L'accès à distance est d'autant plus important qu'à partir de juillet Elsa déménage hors IDF.

Actions #1

Updated by Frédéric Couchet about 1 month ago

  • Assignee set to Romain H.
  • Target version changed from Backlog to Juin 2024

Quentin indique sur irc « pour le vpn le certificat de guarana a expiré, faut le mettre à jour . j'en toucherai un mot à romain cesoir »

Actions #2

Updated by Frédéric Couchet about 1 month ago

  • Description updated (diff)
Actions #3

Updated by Frédéric Couchet about 1 month ago

  • Priority changed from Normale to Urgente
Actions #4

Updated by Romain H. about 1 month ago

J'ai effectué le renouvellement du certificat avec la commande easyrsa renew, ça devrait être ok maintenant

Actions #5

Updated by Frédéric Couchet about 1 month ago

Elsa a démarré le VPN, elle dit qu'aucune erreur ne s'affiche. Pourtant je ne peux pas me connecter : channel 0: open failed: connect failed: Name or service not known

Le résultat de la commande ip a sur son laptop https://dl.amie.coop/f.php?h=1b1Oq7fa&p=1

Est-ce que le VPN est vraiment démarré sur son laptop ?

Actions #6

Updated by Frédéric Couchet about 1 month ago

Elsa a réessayer de redémarrer le VPN.

Dans /var/log/openvpn-remote.log on voit des erreurs liées au certificat.

Actions #7

Updated by Frédéric Couchet about 1 month ago

A noter qu'il faut que guarana doit dans la DMZ de la Box pour que la tentative de connexion se fasse.

A voir si une redirection de port ne serait pas suffisant.

Et il reste le problème de certificat.

Actions #8

Updated by Frédéric Couchet about 1 month ago

Je n'y connais rien mais : il semblerait que la commande easyrsa renew ne permet pas d'étendre la durée de validité d'un certificat, cf https://github.com/OpenVPN/easy-rsa/issues/609

Actions #9

Updated by Frédéric Couchet about 1 month ago

Quentin a fait des trucs (tests sur son laptop et passiflora) mais il y a un problème sans log d'erreurs.

Actions #10

Updated by Quentin Gibeaux about 1 month ago

  • % Done changed from 0 to 90

J'ai regénéré les certificats des clients (passiflora et damiana) et collé les nouvelles valeurs dans la conf /etc/openvpn/april-vpn.conf et c'est bon pour ces laptop.

Doc pour générer les certificats : https://admin.april.org/dokuwiki/doku.php?id=sysadm:liste_des_machines:guarana#vpn_teletravail
Reste à faire pareil sur argemone.

Actions #11

Updated by Frédéric Couchet 19 days ago

J'ai regénéré les certificats pour argemone.

La connexion au VPN fonctionne.

Mais on ne peut pas se connecter en utilisant le nom du laptop, il faut utiliser son IP VPN qui est 192.168.3.6.

Et, comme sur passiflora, quand on stopper le VPN le fichier /etc/resolv.conf n'est pas mis à jour, et donc la résolution de nom ne fonctionne plus.

Actions #12

Updated by Frédéric Couchet 19 days ago

Lorsqu'on arrête le VPN, le script /usr/local/bin/april-vpn-if-down.sh est exécuté, qui refait un dhclient pour la mise à jour de resolv.conf.

Si je teste manuellement la procédure, le script affice :

# /usr/local/bin/april-vpn-if-down.sh 
Killed old client process
Internet Systems Consortium DHCP Client 4.4.3-P1
Copyright 2004-2022 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/

Listening on LPF/enx001e101f0000/00:1e:10:1f:00:00
Sending on   LPF/enx001e101f0000/00:1e:10:1f:00:00
Listening on LPF/enp0s25/28:d2:44:a5:e9:99
Sending on   LPF/enp0s25/28:d2:44:a5:e9:99
Sending on   Socket/fallback

enx001e101f0000 étant l'interface 4G (utilisée par Elsa pendant le test)
enp0s25 étant l'interface ethernet, qui est déconnectée pendant le test.

Et donc pas de mise à jour resolv.conf.

Si on exécute :

killall dhclient
dhclient -4 -v

Internet Systems Consortium DHCP Client 4.4.3-P1
Copyright 2004-2022 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/

Listening on LPF/enx001e101f0000/00:1e:10:1f:00:00
Sending on   LPF/enx001e101f0000/00:1e:10:1f:00:00
Listening on LPF/enp0s25/28:d2:44:a5:e9:99
Sending on   LPF/enp0s25/28:d2:44:a5:e9:99
Sending on   Socket/fallback
DHCPDISCOVER on enx001e101f0000 to 255.255.255.255 port 67 interval 7
DHCPDISCOVER on enp0s25 to 255.255.255.255 port 67 interval 3
DHCPOFFER of 192.168.8.101 from 192.168.8.1
DHCPREQUEST for 192.168.8.101 on enx001e101f0000 to 255.255.255.255 port 67
DHCPACK of 192.168.8.101 from 192.168.8.1
bound to 192.168.8.101 -- renewal in 36988 seconds.

Alors la mise à jour de resolv.conf a lieu correctement.

Actions #13

Updated by Frédéric Couchet 19 days ago

A noter aussi : ma connexion ssh (via le VPN) freeze quelques secondes régulièrement.

Actions #14

Updated by Quentin Gibeaux 17 days ago

  • Target version changed from Juin 2024 to Été 2024
Actions #15

Updated by Frédéric Couchet 15 days ago

Ce vendredi Elsa était connecté de chez elle, avec le VPN démarré.

Quand elle a voulu envoyer un courriel avec Thunderbird il y a eu un message d'erreur « la connexion au serveur sortant smtp.april.org a échoué ».

En arrêtant le VPN, le courriel a bien été envoyé.

Actions

Also available in: Atom PDF