Windows : dysfonctionnement, première liste de vérification

août 29th, 2024

Si la connexion VPN est active et que les sites universitaires ne sont pas accessibles, voici une liste à vérifier :

  • Vérification de la MTU de l’interface utilisée pour faire la connexion VPN. Cette connexion sera le plus souvent la connexion WIFI.
    Se référer à l’article sur la correction du MTU.
  • Priorité de routage : la sortie par défaut (par exemple 35) doit être inférieure à la route vers le serveur VPN (194.57.91.249/250/251/252/… par exemple 36) et les routes vers les sites universitaires inférieurs a la sortie par défaut et le serveur VPN (par exemple 11).
    Si cela n’est pas bon, il faut détruire la connexion et la recréer à partir du script (cf procédure de connexion, problème de métrique, problème avec le script, …).
  • Windows a tendance à positionner le proxy de manière automatique. Il faut le désactiver en positionnant “pas de proxy”. Pour ce faire, vous pouvez passer par votre navigateur internet, dans les propriétés, recherche “proxy”.

Windows, modification de la MTU

mai 28th, 2024

Voici un script qui modifie la base de registre pour y placer directement la bonne valeur de MTU. En effet, nous nous sommes rendu compte que parfois la modification manuelle (à partir de l’interface réseau) n’était pas prise en compte correctement. En modifiant la base de registre, la valeur affectée est la bonne.

Voici le programme set-vpn-mtu.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NdisWan\Parameters\Protocoles]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NdisWan\Parameters\Protocoles\0]
"ProtocolType"=dword:00000800
"PPPProtocoleType"=dword:00000021
"TunnelMTU"=dword:00000514

Création de la connexion VPN par le script ou manuelle échouent

février 6th, 2024

Une erreur de création de l’interface VPN (UFC VPN) et des routes par :

  • exécution du script dans une fenêtre CMD ;
  • exécution du script dans une fenêtre PowerShell ;
  • en tapant les commandes du script à la main dans une fenêtre PowerShell ;
  • création manuelle (l’interface semble inaccessible [cf image plus bas]).

Si la configuration semble Ok (cf image plus bas) :

En fait, il manque le “WAN Miniport (IKEv2)” dans le gestionnaire de périphériques de l’ordinateur.

Le “Windows Driver Kit” devrait permettre d’ajouter le module manquant et à la connexion VPN de pouvoir s’établir.

Exécution du script “désactivé”

février 2nd, 2024

Si sous PowerShell de Windows 10 ou 11 vous avez l’erreur “Exécution de scripts est désactivée“, deux méthodes pour arriver à exécuter le script

** Vous pouvez soit exécuter le script avec la commande suivante

Powershell.exe -ExecutionPolicy Bypass "creerVPNUFC.ps1"

** ou vous pouvez exécuter la ligne suivantes (toujours sous PowerShell)

set-executionpolicy unrestricted

Valider par “O” et ensuite le script pourra s’exécuter normalement.

La cause première de l’erreur provient du script qui est non-signé par l’infrastructure de PKI du domaine (ou autre). Une PKI de domaine universitaire corrigera le problème (un nouveau projet ?!).

Ubuntu 22 et installation

novembre 7th, 2023

lors de l’installation avec la documentation du VPN sur une Ubuntu version 22 un problème de MTU peut apparaître. L’outil graphique nmtui permet de vérifier et de corriger le problème.

Déconnexion au bout de 2h/8h

octobre 26th, 2023

Nous n’avons pas à ce jour identifié le problème des déconnexions non demandées au bout de 2h ou 8h.

Les pistes sont :

  • utilisation réseau trop importante et incapacité pour le poste client de maintenir sa connexion avec le serveur VPN
  • l’anti-virus local ou le pare-feu local coupe la connexion suite à un time-out qu’il a définit
  • la version de Windows installée est d’origine de l’achat et celle-ci contient des variables définissant un time-out pour les connexions

Amélioration du script de configuration de la connexion VPN

août 31st, 2023

Les collègues de FEMTO-ST (entre autre) ont été confronté au problème de montage de disque (par exemple) suite à l’établissement de la connexion VPN. En effet, dans ce cas, ce sont les identifiants utilisés par la connexion VPN qui sont rejoués pour le montage du disque sur le domaine considéré. Or ces identifiants ne peuvent pas être reconnu car spécifique à l’établissement de la connexion VPN.

Les collègues nous ont fourni le moyen de modifier le script d’établissement de la connexion avec deux ajouts :

$pbkpath = "$env:APPDATA\Microsoft\Network\Connections\Pbk\rasphone.pbk"
(Get-Content -path $pbkpath -Raw) -Replace 'UseRasCredentials=1','UseRasCredentials=0' | Set-Content -path $pbkpath

Ces premières lignes permettent de modifier le fichier “rasphone.pbk” qui contient une variable qui permet de redemander un identifiant de connexion…

Add-VpnConnectionTriggerDnsConfiguration -ConnectionName "VPN UFC" -DnsIpAddress "195.83.19.60" -DnsSuffix "femto-st.fr" -PassThru -Force

Cette troisième ligne permettant d’interroger le bon DNS du domaine “femto-st.fr”.

Compilation du client VPN sur GENTOO

octobre 5th, 2022

Alexis Praga (CHU Besançon) nous signal ce point sur la compilation du client Strongswan sur une distribution Linux Gentoo.

j’ai pu faire fonctionner également le VPN sous Gentoo en utilisant votre tutorial (network-manager et son plugin). Il faut cependant installer strongswan en tant que root et avec toutes les options :

USE="caps constraints curl debug dhcp eap farp gcrypt gmp networkmanager openssl pam pkcs11 sqlite strongswan_plugins_addrblock strongswan_plugins_aesni strongswan_plugins_blowfish strongswan_plugins_bypass-lan strongswan_plugins_ccm strongswan_plugins_chapoly strongswan_plugins_ctr strongswan_plugins_error-notify strongswan_plugins_forecast strongswan_plugins_gcm strongswan_plugins_ha strongswan_plugins_ipseckey strongswan_plugins_kdf strongswan_plugins_led strongswan_plugins_lookip strongswan_plugins_newhope strongswan_plugins_ntru strongswan_plugins_rdrand strongswan_plugins_save-keys strongswan_plugins_systime-fix strongswan_plugins_unbound strongswan_plugins_unity strongswan_plugins_vici strongswan_plugins_whitelist strongswan_plugins_xauth-noauth systemd -ldap -mysql -non-root (-selinux) (-strongswan_plugins_padlock)" emerge

Problème sous Windows 10 : “Le port est déjà ouvert”

septembre 2nd, 2022

Lors d’une tentaive de connexion au serveur VPN sous Windows 10, le message suivant s’affiche : “Le port est déjà ouvert“.

Après investigation, on se rend compte qu’aucun autre logiciel en cours de fonctionnement utilise les ports utilisé par Ikev2. Or, on se rend compte que les connexions WAN Miniport du gestionnaire de périphériques ont disparues.

Les mises à jour de l’OS, des pilotes,… n’y font rien.

Solution : pour réinstaller la pile WAN, il faut se rendre dans C:\Windows\inf et installer manuellement netavpna.inf (clic droit sur le fichier puis installer).

Merci à Romain Pacé son retour.

Ubuntu 20.04 et non résolution de nom externe une fois connecté en VPN

mai 30th, 2022

Avec la version 22.04, le fonctionnement de dnsmasq a changé. Un client Ubuntu 20.04 connecté au VPN de l’UFC et voulant aller sur un site externe à l’UFC se retrouve bloqué car la résolution de nom échoue.

Explication

Nous avons pu identifier le problème au niveau de dnsmasq, sans pour autant retrouver l’explication de la différence de fonctionnement.

Sur les versions 18.04 et 20.04, le dnsmasq était interrogé et lorsque celui-ci n’avait pas de réponse (aucun cas n’étant trouvé dans la configuration), il passait la main au DNS de base (le DNS de la Box ou de la connexion 4G).

Avec la dernière version (22.04), si dnsmasq est activé, celui-ci ne passe plus la main au serveur de base. De fait, une résolution sur un site non inclus dans la configuration échoue.

Correction

Pour corriger le problème, Jean-Michel Caricand à eu l’idée d’inclure de force un DNS de base toujours accessible.

Il faut créer un nouveau fichier /etc/NetworkManager/dnsmasq.d/00-use-dns-google.conf :

server=8.8.8.8
server=8.8.4.4

La documentation en ligne pour Ubuntu contient cette correction.