VPNclient: Service VPN ne démarre plus

What type of hardware are you using: Raspberry Pi 3, 4+
What YunoHost version are you running: 12.0.7 (stable)
How are you able to access your server: The webadmin
SSH
Direct access via physical keyboard/screen
Are you in a special context or did you perform specific tweaking on your YunoHost instance ?: No

Describe your issue

Bonjour à toutes et tous,

Je rencontre un problème avec le VPN de mon installation. Tout fonctionnait correctement, VPN Client installé, avec un VPN de Neutrinet et l’application Neutrinet également installée.

Il y a quelques semaines, VPN Client n’a plus voulu redémarrer, je pense suite à mise à jour du système vers Debian Bookworm et YunoHost 12 (mais je n’en suis plus sûr). Il ne voulait rien savoir.

Aujourd’hui (après avoir beaucoup procrastiné), j’ai tenté une désinstalation de VPN Client et de Neutrinet. J’ai réinstallé le tout, mais le service vpn ne veut toujours pas se lancer…

Une idée ?

Un tout grand merci d’avance !

Belle soirée/journée

Share relevant logs or error messages

https://paste.yunohost.org/oriziyebib

OpenSSL: error:05800074:x509 certificate routines::key values mismatch

ça ressemble à un truc où il a encore l’ancienne clé privée quelque part mais il a une nouvelle clef publique, ou vice-versa, ou un truc du genre, mais du coup les clefs ne correspondent pas et il explose en vol

Merci beaucoup, Aleks, d’avoir pris le temps de regarder à tout ça!

Par contre, je vois pas bien comment régler le problème… J’imagine que je dois voir cela avec qqn de chez Neutrinet…

Belle journée!

Si les certificats ne sont pas expirés (cf. Renouvellement du certificat VPN) il y a aussi un soucis suite au passage à Debian 12 dont il est fait mention dans le dernier PV de Neutrinet.

Merci Tierce!
Sur base de ce qui est raconté dans le PV de Neutrinet, j’ai tenté de changer
cipher AES-256-CBC
par
data-ciphers AES-256-GCM:AES-256-CBC:AES-128-GCM:CHACHA20-POLY1305 dans le fichier .cube
Mais ça plante toujours…

Comment tu utilises ton fichier .cube ?

En tout cas dans les logs il y a la ligne suivante…

2024-11-26 09:15:12,128: DEBUG -     2024-11-26 09:13:26 Cannot load private key file /etc/openvpn/keys/user.key

… qui dit que le fichier user.key n’existe pas dans le dossier /etc/openvpn/keys/.

Ce dossier devrait contenir au moins quatre fichiers qui sont construits sur base du contenu du fichier .cube.

$ sudo ls /etc/openvpn/keys
ca-server.crt <-certificat du serveur de Neutrinet
credentials <-fichier contenant login et mot de passe 
user.crt <-le certificat qui a été contre signé par le serveur
user.key <-ta clé privée qui a servit à généré ton certificat

Tout cela se trouve en fait dans le fichier .cube qui, dans mon souvenir, devrait être uploadé dans l’interface web de l’application Vpn Client pour Yunohost.

Salut Tierce! Un tout grand merci, une nouvelle fois!

Pour créer le fichier .cube, j’ai suivi la démarche expliquée chez neutrinet. Je créé un .cube à partir de tous les fichier nécessaire.

Une fois le fichier .cube créé, je le téléverse via l’interface de VPN Client:

J’ai été voir dans /etc/openvpn/keys/ et le fichier user.key existe bel et bien (de même que ca-server.crt, credentials et user.crt).

Le contenu de user.key correspond à ma clé privée, et le contenu de credentials correspond bien à mes login et mot de passe…

Autant pour moi, j’aurais dû lire deux ligne plus loin dans le log.

Est-ce que tu aurais utilisé un challenge password pour la génération du CSR.csr quand tu as suivi le tuto commander un vpn ou utilisé un mot de passe pour la clé privée ?

2024-11-26 09:13:26 Cannot load private key file /etc/openvpn/keys/user.key
2024-11-26 09:13:26 Error: private key password verification failed
2024-11-26 09:13:26 Exiting due to fatal error

Parce qu’il n’en faut pas et il faudrait enlever le mot de passe de la clé privée ou en refaire en te connectant sur https://user.neutrinet.be/ .

Ceci dit, le tuto que tu as suivi sur le blog de neutrinet pour Yunohost et VPN est pour Yunohost 11 et je ne sais pas ce que ça donne sur Yunohost 12, donc peut-être que c’est encore un autre problème.

Sorry, j’ai laissé filé le temps…

Encore merci Tierce d’avoir regardé!

Bon ben mince… pas de souvenir d’avoir utilisé un mot de passe pour la clé privée…

Vu les problèmes, je me suis reconnecté sur https://user.neutrinet.be/ pour récuperer tous les fichiers ca.crt, user.crt, neutrinet.ovpn… J’ai pu tout avoir sauf user.key, que j’ai récupéré d’avant… Je ne sais même pas quand et où j’ai reçu ce fichier… A la création de mon compte chez neutrinet?

La génération de ta clé privée se fait à l’étape … génération de la paire de clés.

La commande openssl req -out CSR.csr -new -newkey rsa:4096 -nodes -keyout client.key est le moment où ta clé privée client.key est générée et où une demande de signature CSR.csr par le serveur de Neutrinet est crée aussi.

La demande CSR.csr est copié / collée lors de la création de ton compte, soit lors de la première commande, soit sur user.neutrinet.be, comme tu viens probablement de le faire.

Particularité qui ajoute un peu de confusion (comme si cela ne suffisait pas), le fichier client.key deviendra user.key lors de l’installation de l’application vpnclient_ynh, que ce soit avec un fichier .cube ou en remplissant les champs dans l’application.

Le tout se retrouvera au final sur ton serveur dans /etc/openvpn/keys. Le tout étant…

  • ta clé privée user.key,
  • ton certificats contre signé par le serveur de Neutrinet user.crt,
  • un fichier contenant ton login et ton pass credentials
  • le certificat du serveur de Neutrinet ca-server.crt

En espérant que ça t’aidera un peu à y voir plus clair…

Hello, je rencontre un problème similaire suite à la migration vers la version 12.07. le restore de la sauvegarde plante, pas moyen de connecter le VPN du coup. Or tout fonctionnait correctement avant la migration. J’ai ressayé de refaire un fichier cube mais le script ne crée pas le fichier. J’ai créé le fichier à la main, mais pas mieux en installant VPN client avec le cube.

En toute honnêteté, je n’ai pas encore essayé la version 12, et pas encore fait d’upgrade de 11 à 12.

Dés lors, mis à part les problème d’algo dont un PV de Neutrinet fait mention, cf…

… je ne sais pas si cela fonctionne bien ou pas sur Yunohost 12. Du moins pas encore et je pourrai peut-être m’y intéresser d’ici la fin de l’année.

Peut-être voir du côté de https://chat.neutrinet.be/ ?

Merci Tierce ! Aprés quelques manips j’ai finalement réussi à lancer openvpn. Pour vpn-client pas moyen pour l’instant, mais au moins le vpn fonctionne.

J’ai un Vpn chez Franciliens et l’application VPNclient marche bien chez moi avec Debian 12 + Yunohost sur mon Pi 5.