Problème de connectivité VPN avec Yunohost 3.X

RemyL · September 20, 2018, 2:29pm

Bonjour à tous,

Depuis maintenant plus de une semaine, je dois gros problèmes de connexion à ma brique internet depuis l’extérieur.

Configuration de mon YunoHost

Matériel: la brique internet (lime 2)
Accès Internet : ethernet à la maison
YunoHost version:
yunohost: 3.2.1 (d’origibe 2.7 puis upgrade comme ceci: 3.1 puis 3.2
yunohost-admin: 3.2.1
moulinette: 3.2.0
ssowat: 3.2.0
As tu modifié ton yunohost avec des configuration spécifiques ou bien utilise tu uniquement la web administration et/ou la ligne de commande yunohost ? basique
Si modifié, comment:
Ajoût d’un SSD et la carte SD ne sert que lors du boot (il semble que cela ne soit pas lié au problème)

Les symptômes :

Je suis passé de yunohost 2.7 à 3.1 il y’a 2 semaines, avant cela tout fonctionnait très bien.
Suite à cela, j’avais remarqué de gros problèmes pour faire des updates de la brique ainsi que pour installer des logiciels.
Je me suis alors rendu-compte (avec pitchum) que j’avais des problèmes de résolution DNS.
Lorsque je me connecte à mes sites avec la plus part des navigateurs, la page charge infiniment sans l’ouvrir.
Lorsque j’essai de vérifier la connexion aux adresses DNS:

for ip in $(cat /etc/resolv.dnsmasq.conf{,.ynh} | cut -d’ ’ -f2); do echo “Trying dig @${ip}”; dig +short ftp.fr.debian.org @$ip +time=2 +tries=1 ; done

, cela me dit met:

;; connection timed out; no servers could be reached

Avec certains navigateur, la connexion marche parfaitement et c’est comme si je n’avais aucun problème. Après la connexion avec l’un de ces navigateurs, le test sur les adresses DNS donne cette fois-ci une bonne connexion à l’ensemble des adresses DNS (dure 2/3 min)
l’utilisation de la commande “yunohost dyndns update --debug” (de la même façon que l’utilisation d’un navigateur fonctionnel) permet de débloquer l’accessibilité aux adresses DNS

n’hésitez pas à demander si vous voulez plus d’explications ou si vous souhaitez une reformulation de celles ci-dessus. (ayant du mal à comprendre le problème j’ai des difficultés à l’expliquer)

Merci d’avance pour vos réponses,
Rémy

pitchum · September 23, 2018, 10:14am

Ce problème de connectivité est spécifique au VPN du FAI associatif Franciliens.net dont je fais partie.

Les fichiers .cube que nous fournissons depuis toujours à nos abonnés comportent une option de compression erronée par rapport à la configuration côté serveur (comp-lzo no au lieu de comp-lzo). Il semblerait que cette erreur de configuration passait inaperçue jusqu’à présent dans openvpn 2.3.4 mais que depuis la mise à jour vers openvpn 2.4.0 cette erreur pose problème.
(La correction d’un bug peut parfois poser des problèmes aux utilisateurs, cf. le XKCD 1172 pour les connaisseurs)

Donc pour corriger ce problème voici une façon de faire.
Dans le fichier .cube, remplacer “comp-lzo no” par “comp-lzo” :

@@ -11 +11 @@
-  "openvpn_add": ["client","dev tun","comp-lzo no"],
+  "openvpn_add": ["client","dev tun","comp-lzo"],

Puis recharger la configuration de vpnclient avec ce nouveau fichier .cube, soit via l’interface Web soit en ligne de commande.
L’interface Web risque d’être difficile à joindre du fait de ce problème de connectivité VPN mais peut-être que ça pourrait marcher avec Chromium.
Sinon en ligne de commande, après avoir copié le nouveau fichier .cube sur la brique, dans /root/vpnclient-xxxxxx.cube, taper la commande suivante :

sudo ynh-vpnclient-loadcubefile.sh -c /root/vpnclient-xxxxxx.cube -u username -p userpassword

username et userpassword doivent correspondre au compte utilisateur principal de yunohost.

arnauld · September 23, 2018, 2:24pm

Bonjour pitchum,

utilisateur d’un vpn Franciliens, est-ce que cela pourrait être la cause de mon problème évoqué ici :

Merci.

pitchum · September 23, 2018, 3:41pm

Si tu utilises un compte VPN Franciliens et que tu as mis à jour yunohost vers la version 3.X alors oui, tu es très probablement dans la même situation.
Tu peux donc appliquer le correctif que j’ai proposé.

Cela dit j’ai survolé le topic #5591: Plus d’accès à mes services et je pense que tu as un autre soucis concernant ton domaine en ynh.fr. Je te ferais une réponse à ce sujet directement dans le topic concerné.

arnauld · September 23, 2018, 3:50pm

Ok, merci.

RemyL · September 24, 2018, 6:28pm

Bonjour pitchum,

Alors j’ai fait les modifications que tu propose.
Lorsque je fait :

sudo ynh-vpnclient-loadcubefile.sh -c /root/vpnclient-xxxxxx.cube -u username -p userpassword

Cela me donner l’erreur:

[VPN] Error: Configuration updated but service reload failed

Après reboot, les problèmes de connection persistent. Je n’ai pas essayé avec l’interface web étant donné que cela devrait ne pas fonctionner à cause du patche de php7

pitchum · September 24, 2018, 6:39pm

Ah purée, j’avais oublié ce patch goret… Il se trouve qu’il empêche également la commande ynh-vpnclient-loadcubfile.sh de fonctionner car en fait cette commande fait appel à l’interface web indirectement.

OK, changement de stratégie. Tapes ces commandes :

sudo sed -i 's/^comp-lzo no/comp-lzo/' /etc/openvpn/client.conf.tpl
sudo systemctl restart ynh-vpnclient

RemyL · September 24, 2018, 7:16pm

Il semble que la commande ai fonctionné.
Pour le moment, le site est accessible. Je me réactualiserai ce message demain, pour être sur du bon fonctionnement du VPN.

Edit: Tout fonctionne parfaitement, cela a bien résolu mon problème

Encore merci pour tout