Projet

Général

Profil

Actions

Anomalie #6453

fermé

L'accès à Argemone a distance (en dehors du local) ne fonctionne plus

Ajouté par Frédéric Couchet il y a 7 mois. Mis à jour il y a 4 mois.

Statut:
Fermé
Priorité:
Urgente
Assigné à:
Catégorie:
-
Version cible:
Début:
04/06/2024
Echéance:
% réalisé:

90%

Temps estimé:
Difficulté:
2 Facile

Description

Quand Elsa n'est pas au local, si elle démarre le VPN on peut se connecter sur son laptop. Mais cela ne fonctionne plus.

L'accès à distance est d'autant plus important qu'à partir de juillet Elsa déménage hors IDF.

Mis à jour par Frédéric Couchet il y a 7 mois

  • Assigné à mis à Romain H.
  • Version cible changé de Backlog à Juin 2024

Quentin indique sur irc « pour le vpn le certificat de guarana a expiré, faut le mettre à jour . j'en toucherai un mot à romain cesoir »

Mis à jour par Frédéric Couchet il y a 7 mois

  • Description mis à jour (diff)

Mis à jour par Frédéric Couchet il y a 7 mois

  • Priorité changé de Normale à Urgente

Mis à jour par Romain H. il y a 7 mois

J'ai effectué le renouvellement du certificat avec la commande easyrsa renew, ça devrait être ok maintenant

Mis à jour par Frédéric Couchet il y a 7 mois

Elsa a démarré le VPN, elle dit qu'aucune erreur ne s'affiche. Pourtant je ne peux pas me connecter : channel 0: open failed: connect failed: Name or service not known

Le résultat de la commande ip a sur son laptop https://dl.amie.coop/f.php?h=1b1Oq7fa&p=1

Est-ce que le VPN est vraiment démarré sur son laptop ?

Mis à jour par Frédéric Couchet il y a 7 mois

Elsa a réessayer de redémarrer le VPN.

Dans /var/log/openvpn-remote.log on voit des erreurs liées au certificat.

Mis à jour par Frédéric Couchet il y a 7 mois

A noter qu'il faut que guarana doit dans la DMZ de la Box pour que la tentative de connexion se fasse.

A voir si une redirection de port ne serait pas suffisant.

Et il reste le problème de certificat.

Mis à jour par Frédéric Couchet il y a 7 mois

Je n'y connais rien mais : il semblerait que la commande easyrsa renew ne permet pas d'étendre la durée de validité d'un certificat, cf https://github.com/OpenVPN/easy-rsa/issues/609

Mis à jour par Frédéric Couchet il y a 6 mois

Quentin a fait des trucs (tests sur son laptop et passiflora) mais il y a un problème sans log d'erreurs.

Mis à jour par Quentin Gibeaux il y a 6 mois

  • % réalisé changé de 0 à 90

J'ai regénéré les certificats des clients (passiflora et damiana) et collé les nouvelles valeurs dans la conf /etc/openvpn/april-vpn.conf et c'est bon pour ces laptop.

Doc pour générer les certificats : https://admin.april.org/dokuwiki/doku.php?id=sysadm:liste_des_machines:guarana#vpn_teletravail
Reste à faire pareil sur argemone.

Mis à jour par Frédéric Couchet il y a 6 mois

J'ai regénéré les certificats pour argemone.

La connexion au VPN fonctionne.

Mais on ne peut pas se connecter en utilisant le nom du laptop, il faut utiliser son IP VPN qui est 192.168.3.6.

Et, comme sur passiflora, quand on stopper le VPN le fichier /etc/resolv.conf n'est pas mis à jour, et donc la résolution de nom ne fonctionne plus.

Mis à jour par Frédéric Couchet il y a 6 mois

Lorsqu'on arrête le VPN, le script /usr/local/bin/april-vpn-if-down.sh est exécuté, qui refait un dhclient pour la mise à jour de resolv.conf.

Si je teste manuellement la procédure, le script affice :

# /usr/local/bin/april-vpn-if-down.sh 
Killed old client process
Internet Systems Consortium DHCP Client 4.4.3-P1
Copyright 2004-2022 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/

Listening on LPF/enx001e101f0000/00:1e:10:1f:00:00
Sending on   LPF/enx001e101f0000/00:1e:10:1f:00:00
Listening on LPF/enp0s25/28:d2:44:a5:e9:99
Sending on   LPF/enp0s25/28:d2:44:a5:e9:99
Sending on   Socket/fallback

enx001e101f0000 étant l'interface 4G (utilisée par Elsa pendant le test)
enp0s25 étant l'interface ethernet, qui est déconnectée pendant le test.

Et donc pas de mise à jour resolv.conf.

Si on exécute :

killall dhclient
dhclient -4 -v

Internet Systems Consortium DHCP Client 4.4.3-P1
Copyright 2004-2022 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/

Listening on LPF/enx001e101f0000/00:1e:10:1f:00:00
Sending on   LPF/enx001e101f0000/00:1e:10:1f:00:00
Listening on LPF/enp0s25/28:d2:44:a5:e9:99
Sending on   LPF/enp0s25/28:d2:44:a5:e9:99
Sending on   Socket/fallback
DHCPDISCOVER on enx001e101f0000 to 255.255.255.255 port 67 interval 7
DHCPDISCOVER on enp0s25 to 255.255.255.255 port 67 interval 3
DHCPOFFER of 192.168.8.101 from 192.168.8.1
DHCPREQUEST for 192.168.8.101 on enx001e101f0000 to 255.255.255.255 port 67
DHCPACK of 192.168.8.101 from 192.168.8.1
bound to 192.168.8.101 -- renewal in 36988 seconds.

Alors la mise à jour de resolv.conf a lieu correctement.

Mis à jour par Frédéric Couchet il y a 6 mois

A noter aussi : ma connexion ssh (via le VPN) freeze quelques secondes régulièrement.

Mis à jour par Quentin Gibeaux il y a 6 mois

  • Version cible changé de Juin 2024 à Été 2024

Mis à jour par Frédéric Couchet il y a 6 mois

Ce vendredi Elsa était connecté de chez elle, avec le VPN démarré.

Quand elle a voulu envoyer un courriel avec Thunderbird il y a eu un message d'erreur « la connexion au serveur sortant smtp.april.org a échoué ».

En arrêtant le VPN, le courriel a bien été envoyé.

Mis à jour par Frédéric Couchet il y a 4 mois

Pour le problème d'envoi de courriel c'est résolu voir #6481

Mis à jour par Frédéric Couchet il y a 4 mois

  • Statut changé de Nouveau à Résolu

Mis à jour par Quentin Gibeaux il y a 4 mois

  • Statut changé de Résolu à Fermé
Actions

Formats disponibles : Atom PDF