Très court article expliquant comment résoudre le bug OpenVPN C2S.

Netgate a annoncé il y a quelques semaines la sortie de pfSense+ 22.05. Cependant, après cette mise à jour, plusieurs utilisateurs se sont rendus compte qu’OpenVPN –particulièrement les serveurs Site-to-Site de ce que j’ai pu lire– ne fonctionnaient plus… la connexion s’affiche bien comme établie, mais impossible pour le client d’accéder au LAN du serveur distant.

Après quelques rapides recherches, je suis tombé sur plusieurs posts où les utilisateurs s’en sont plaint (ici par exemple), avec une réponse qui revenait assez souvent: ré-installer la dernière version, qui visiblement n’updatait pas correctement le package OpenVPN, puis ré-importer un backup et le tour est joué… ou bien update le paquet OpenVPN en SSH…

Ou alors simplement modifier les paramètres du client ?

Le soucis, c’est qu’en production, c’est toujours un peu casse-pieds de réinstaller un routeur/firewall à la volée, encore plus pour un site distant, et étant un tantinet flemmard (mais paraît-il qu’un bon Sysadmin est fainéant? Puis c’est lundi matin…), je me suis un peu plus documenté et j’ai testé une solution apportée par l’utilisateur Neverstopdreaming, et il s’avère que celle-ci fonctionne à merveille ! Bon, selon d’autres sa solution ne fonctionnait pas chez eux, mais je planche plutôt pour d’autres soucis de configuration.

Bref, voici la solution: Sur le client, aller dans les paramètres OpenVPN, et ne pas renseigner le champ IPv4 Tunnel Network, ni le champ IPv4 Remote Network. Car à première vue, avec cette nouvelle mouture d’OpenVPN, le serveur push ces informations là directement au client… Il ne vous reste plus qu’à redémarrer le service, et le tour est joué !

Bien-entendu, à l’heure où j’écris ces lignes je ne suis pas sûr et certain que ce soucis ne vienne pas d’autre part, ou tout dû moins qu’il faille obligatoirement modifier sa config, j’effectue encore plusieurs tests sur le côté, mais visiblement cela a solutionné mon problème, donc je me permets de vous la partager ici aussi, sait-on jamais

Sur ce, passez une bonne journée/soirée, et comme d’habitude, faites des backups !

L’article pfSense+ 22.05, bug OpenVPN est apparu en premier sur Notamax.

Petite note suite à l'installation d'une machine OPNsense. Lors de la détection d'un virus/malware avec le service Proxy Web, le message suivant apparaît sur les clients : Unable to find specified template: /tmp/c-icap/templates//virus_scan/en/VIRUS_FOUND. Nous allons voir dans cet article comment résoudre cet incident.

Cause

En regardant le message d'erreur, il est explicite que le service c-icap ne trouve pas le template à renvoyer aux clients du service Proxy Web. En faisant un ls /tmp/c-icap/templates//virus_scan/en le répertoire est vide.

Lorsque l'on regarde le fichier utiliser pour générer la configuration du service c-icap, on retrouve le répertoire vide :

# cat /usr/local/opnsense/service/templates/OPNsense/CICAP/c-icap.conf | grep TemplateDir
TemplateDir /tmp/c-icap/templates/

On peut résoudre le problème en modifiant la directive correctement mais cela va poser un nouveau problème. Lors d'une mise à jour, cette configuration sera de nouveau incorrecte (sauf si une correction est mise en place par l'éditeur).

Nous allons voir comment résoudre cette problématique proprement et sans être impacter par les mises à jours futures.

Prérequis

Pouvoir accéder en shell sur la machine OPNsense.

Procédure

Nous allons créer un script qui sera lancé au démarrage de OPNsense pour modifier les chemins des templates en utilisant les liens symboliques.

1) Se connecter au shell de OPNsense

2) Créer le fichier suivant et saisir le contenu ci-dessous :

Fichier: /usr/local/etc/rc.syshook.d/start/99-custom-icap

#!/bin/sh

sleep 60

rm -rf /tmp/c-icap/templates/virus_scan/en
ln -s /usr/local/share/c_icap/templates/virus_scan/en/ /tmp/c-icap/templates/virus_scan/en

date >> /tmp/custom.log

exit 0

3) Ajouter les autorisations d’exécution au nouveau script :

# chmod +x /usr/local/etc/rc.syshook.d/start/99-custom-icap

4) Redémarrer la machine OPNsense pour vérifier que tout fonctionne correctement

Pour vérifier la bonne exécution du script au démarrage, il est possible de regarder la présence du fichier de log :

# cat /tmp/custom.log
Tue Aug 23 21:56:06 CEST 2022

Pour tester le bon fonctionnement du service, il existe des URLs de tests, en voici un exemple :

 

L’article OPNsense - Unable to find specified template VIRUS_FOUND est apparu en premier sur Admin Malin.