Accéder à Jeedom lorsque l'on a un routeur 4G

[xobix]

Bonjour,

Lors de mon installation Jeedom j'ai été confronté à un problème :

• Comment accéder à mon serveur web Jeedom alors que celui-ci est hébergé derrière un routeur 4G

Je vous propose donc de partager ce que j'ai mis en place des fois que cela puisse servir a quelqu'un. Cette procédure peut facilement être adaptable pour tout type de service que vous hébergez chez vous (serveur de jeux videos, SSH, plex,...).

La problématique :

problématique.png (60.39 Kio) Consulté 6358 fois

Afin de limiter la consommation d'adresses publiques pour tous les équipements mobiles (téléphones portables, routeurs 4g, girouette connectée...), les opérateurs mobiles utilise le routage CGNAT afin de partager une adresse publique entre plusieurs apareils.
Ce qui veut dire que notre boxe 4g n'a donc pas d'IP publique (sauf si l'on a pris une option couteuse chez l'opérateur).
Donc à chaque fois que nous effectuons une requête vers internet, elle passe par notre routeur 4G qui attribue un port de réponse à notre machine puis par le routeur CGNAT qui en fait de même en réservant un port de réponse savoir vers quel routeur 4g ( = quel client) envoyer la réponse.
Comme ces ports de retours sont encapsulés dans la requête que nous envoyons, le serveur d'en face peut alors répondre en reprécisant grâce à ces port le chemin inverse. Une fois la requête reçue par le routeur CGNAT il décapsulera il va la décapsuler, lire le port de réponse qui lui indiquera alors à quel routeur 4g l'envoyé, qui reproduira ce processus pour la router vers la bonne machine du réseau local.

Là où ça se complique, c'est lorsque l'on veut joindre notre serveur web, hébergé sur notre réseau domestique car tout ce qui nous est transmis c'est l'adresse publique du routeur CGNAT de l'opérateur. En effet notre routeur 4G étant situé sur un réseau privé de l'opérateur, n'avons pas le moyen de le joindre.
On pourrait faire l'analogie avec un service postale. Vous voulez envoyer une lettre à une personne habitant dans une résidence où il y a plusieurs logements. Le routeur CGNAT qui a l'adresse publique dans ce cas correspond à l'adresse de votre correspondant ("4 rue de la biscotte - 51300 le Fion"). Or pour le que la facteur mette le courrier dans la boite au lettre il faut qu'il rentre dans l'espace privé de la résidence et se dirige vers la bonne boite aux lettres grâce au nom de la personne ("Jean claude Duss"). Or ce nom et ce prénom gravés sur la boite aux lettres correspond à l'adresse IP privé de notre routeur 4G sur le réseau de l'opérateur que nous n'avons pas.
Donc envoyé une trame vers cette adresse publique revient à envoyer une lettre dans une grande résidence sans connaitre le nom et le prénom du destinataire. Le courrier / la trame est perdue et ne peut donc arriver.


La solution proposée :

solution.png (80.16 Kio) Consulté 6358 fois

La solution que je propose est de passer par une autre machine qui elle à une IP publique.
Dans mon cas cette machine est un serveur VPS loué chez un hébergeur web ( ≃ 4€/mois). Cette machine peut aussi bien être un petit raspberry pi qu'un proche vous laisse brancher gentiment chez lui dans le cas ou il a une connexion avec une IP fixe. Dans ce cas il ne faut pas oublié de refaire la redirection NAT sur sa box/routeur des ports que nous allons ouvrir au publique vers votre raspberry (ou tout autre machine linux).

Ici j'ai schématisé 3 étapes. La première (1) correspond à la mise en place de la solution et la deuxième (2+3) à son utilisation.

Etape 1, la mise en place :
Comme nous ne pouvons pas atteindre depuis l'extérieur notre serveur web, nous allons donc en joindre un autre accessible par une IP publique, nous l'appellerons le relai. Le relai n'a pas plus accès que notre serveur au client. Si l'on reprend notre analogie, le relai correspondrait à une adresse ou l'on peut poster notre courrier sans ambiguïté (" Popeye - 5 rue de la biscotte - 51300 le Fion). C'est pas parce que l'on poste notre courrier à cette adresse qu'il va se retrouver dans la boite au lettre de notre bon vieux JC. C'est à ce moment que l'analogie se complique un peu, car nous allons créer un tunnel qui va faire glisser toutes les enveloppes mises dans boite aux lettres de Popeye vers celle de JC.
Techniquement on traduit ça par du "reverse ssh tunneling". En pratique comme notre relai ne peut pas joindre directement notre serveur web, c'est notre serveur web qui va se manifester à lui en lui envoyant une requête. Or comme dit tout a l'heure, dans l'architecture où nous trouvons nous savons très bien faire revenir le trafic vers notre machine à l'intérieur de notre réseau local, si c'est lui qui a émis la première requête.
Comme l'aller retour est possible le relai est donc capable maintenant de joindre le serveur web. Cette requête est un peu plus que ça car en fait c'est une demande au relai d'ouverture d'un tunnel SSH ( = un canal de communication bidirectionnel chiffré qui reste ouvert entre les deux équipements pour un temps donné).
Grâce à des arguments de la requête SSH (que je détaillerai plus tard), nous allons pouvoir demander au relai de nous transmettre via le tunnel tout le trafic reçu sur un certain port (80/443 pour du web). Ça y est le tuyau est posé entre nos 2 boites aux lettres et le courrier va pouvoir glisser.

en une phrase : Le serveur web initie un tunnel ssh avec le relay en lui demandant de faire transiter tout le trafic qu'il reçoit sur un port donné.

Etape 2, Utilisation :
Maintenant que le tuyau est posé il n'y a plus qu'a mettre l'enveloppe chez Popeye pour qu'elle glisse chez JC.
Indiqué en 2 le client va joindre notre serveur relai grace à son IP publique sur le port 80 par exemple. Suite à la configuration que nous avons faite dans l'étape précédente, sa requête va donc automatiquement être transmise au serveur web. La réponse du serveur web se fera ensuite en empruntant le chemin inverse.


Mise en place :
prérequis :

• avoir un jeedom / serveur web installé sur une machine linux(je pars du principe que celui-ci écoute les ports 80 et 443

• avoir une machine relai avec un serveur openvpn installé et pour la quelle les ports 22/80/443 sont joignables via une ip publique (ou nom de domaine)

La première chose a faire et d'aller sur le terminal du serveur web soit en directe (clavier / écran) soit par ssh.

étape 1: installer auto SSH

Code : Tout sélectionner

sudo apt install autossh -y

L'avantage de autossh est qu'il surveille les tunnels ssh établis. Si jamais le trafic est interrompu il recréer un nouveau tunnel.

étape 2: installer auto SSH
Pour éviter de devoir retaper le mot de passe à chaque connexion ssh vers le relai, nous allons créer une paire de clé publique/privée.

Code : Tout sélectionner

ssh-keygen -t rsa -b 16384

appuyez sur entrée à chaque question posée.
cette commande est un peu longue, même sur une machine performante.
Une clé privée id_rsa et une clé publique id_rsa.pub sont créées dans le répertoire /home/votreuser/.ssh

étape 3: transférer la clé au relai

Code : Tout sélectionner

cd
ssh-copy-id -i .ssh/id_rsa.pub root@relai

il faut changer relai par l'adresse IP de celui-ci ou le nom de domaine associé

on peut alors faire un

Code : Tout sélectionner

ssh root@relai

pour se connecter en ssh au relai sans utiliser de mot de passe.

étape 4: autoriser le port forwarding
comme nous sommes connectés au relai, nous allons en profiter pour autoriser la redirection de flux dans la conf du serveur openssh.

Code : Tout sélectionner

sudo nano /etc/ssh/sshd_config

pour ouvrir le fichier de conf

il faut alors modifier la ligne :
#GatewayPorts yes
en
GatewayPorts yes

ctrl +x pour sauvegarder puis quitter.

Redémarrer le serveur sshd pour qu'il prenne en compte la modification

Code : Tout sélectionner

sudo service sshd restart

cette commande doit normalement nous déconnecter du relai.

étape 5: créer un script ouvrant les tunnels
De retour sur notre serveur web nous allons créer un script de création des tunnel ssh de port forwading.

Code : Tout sélectionner

cd
nano sshtunnel

Il faudra copier le code suivant après l'avoir modifier

Code : Tout sélectionner

#/bin/sh
export AUTOSSH_FIRST_POLL=30
export AUTOSSH_GATETIME=0
export AUTOSSH_POLL=60
autossh -i /home/user/.ssh/id_rsa -NR 80:127.0.0.1:80 root@relai &
autossh -i /home/user/.ssh/id_rsa -NR 443:127.0.0.1:443 root@relai &

Ce sont les deux dernière lignes quoi ouvrent les tunnels et que vous devez adapter.
la première pour le http (80) et la deuxième pour le https(443)

voici comment elles sont composées :
autossh = nom de l’exécutable a lancer
-i = arguement pour indique que l'authentification se fera par clé et non par mot de passe
/home/user/.ssh/id_rsa = le chemin de la clé de déchiffrement. il faudra changer user par votre nom d'utilisateur
-NR = arguments signifiants que le tunnel n'est pas fait pour lancer des commandes a distances mais pour faire du reverse ssh tunneling
80:127.0.0.1:80 =le premier 80 correspond au port d'écoute du relai, la suite à l'endroit ou il faut le rediriger. ici tout ce qui arrive sur le port 80 de notre relai sera donc rediriger vers 127.0.0.1:80 (=le port 80 du serveur sur le quel nous somme)
root@relai = pour dire que pour se faire nous allons nous connecter en tant que root sur notre relai. Vous devez changer relai par l'IP publique ou le nom de domaine de votre relai
& = ce caractère en fin de commande libère le prompt pour pouvoir passer à la commande suivante

Une fois adapté, fermer enregistrer et fermer l'éditeur de texte.


étape 6: rendre le script éxécutable

Code : Tout sélectionner

sudo chmod +x sshtunnel

A ce stade nous pouvons tester que tout est fonctionnel il suffit de lancer le script

Code : Tout sélectionner

./sshtunnel

Puis de vérifier que notre site est accessible avec un navigateur web en allant sur :
https://relai (où relai est l'ip publique de votre serveur web)
ou http://relai si vous n'avez pas encore activé le https.

étape 7: démarrer automatiquement le script à chaque redémarrage du serveur web
Nous allons éditer la crontab

Code : Tout sélectionner

crontab -e

pour y ajouter la ligne suivante

Code : Tout sélectionner

@reboot /home/user/sshtunnel

changer user par votre nom d'utilisateur




Et voila vous avez les tunnels se montent automatiquement à chaque redémarrage de votre machine et vous avez contourné vous même la barrière du CGNAT

vous exposez votre serveur au monde entier alors au minimum pensez a mettre en place le https sur votre jeedom (procédure ici).

[Me_]

Salut,

Ton post tombe à pic car étant confronté depuis peu au même problème, je regarde les différentes solutions possibles...

De mon côté en revanche, derrière ma box 4G, Plex reste accessible de l’extérieur. Tout comme ma caméra Foscam...

C’est une subtilité dans ma config ou c’est simplement dû au fait que c’est mon serveur Plex et ma cam qui ouvrent un accès directement avec leurs serveurs respectifs?

En tout cas, merci pour ces explications et celles à venir!

[xobix]

c’est simplement dû au fait que c’est mon serveur Plex et ma cam qui ouvrent un accès directement avec leurs serveurs respectifs?

Je penche pour cette solution pour les raisons suivantes :

• tu n'as pas fait d'ouverture de port pour permettre la redirection de ton trafic vers tes équipements

• ton IP n'est pas forcément fixe et du coup inconnue du cloud au quel sont connectés tes équipements

• d'un point de vue pratique il me semble plus aisé que chaque équipement se signale au cloud lorsqu'il est actif plutôt que le cloud les interroge constamment pour savoir si ils sont dispo (dans l'hypothèse ou il sait où ils sont)

[Me_]

Je penche pour cette solution pour les raisons suivantes :

• tu n'as pas fait d'ouverture de port pour permettre la redirection de ton trafic vers tes équipements

• ton IP n'est pas forcément fixe et du coup inconnue du cloud au quel sont connectés tes équipements

Si j’ai une adresse noip et j’avais un port d’ouvert exprès pour Plex. Mais je me suis aperçu qu’en le fermant ça fonctionnait toujours...

• d'un point de vue pratique il me semble plus aisé que chaque équipement se signale au cloud lorsqu'il est actif plutôt que le cloud les interroge constamment pour savoir si ils sont dispo (dans l'hypothèse ou il sait où ils sont)

C’est ce que je pensais aussi...

[xobix]

Un peu hors sujet mais si PLEX implemente le protocole UPNP et que ce protocole est activé, alors il est capable, comme n'importe quelle application, d'ouvrir de lui même n'importe quel port de ton réseau. C'est clairement la première option à désactiver de son routeur lorsque l'on veut un minimum de sécurité.
Après dans notre cas si ce n'est pas ton plex qui ouvre un socket avec le serveur distant, alors à cause du CGNAT comme il n'y a pas de règle de routage permettant de rediriger un flux adresser sur l'ip publique de ton opérateur vers ton routeur et donc ton PLEX alors on serait bloqué

[bartounet]

Bonsoir.
bonne initiative.
J'ai quelques remarques,
- pourquoi passer par du tunnel SSH plutôt qu'un tunnel VPN entre ton VPS et ton Jeedom ?
- Pourquoi avoir choisi le port 80 pour le tunnel SSH ?
- As tu un monitoring de la bonne tenue du tunnel ?
- Le faire soit meme est gratifiant, mais à ce prix la le pack Power de Jeedom t'offre tout cela et plus.

[xobix]

- pourquoi passer par du tunnel SSH plutôt qu'un tunnel VPN entre ton VPS et ton Jeedom ?

Pour moi le VPN est par définition une extension de LAN. Il permet d'intégrer un ensemble de machines pour partager des ressources de façon sécurisée. C'est idéal pour accéder au serveur git ou aux partages de ta boîte quand t'es en télétravail.
Dans le cas d'un VPN il faudrait aussi mettre en place du NAT pour rediriger les requêtes vers notre serveur Web.
Or là c'est juste une connexion entre deux machines qui d'après moi n'ont pas de sens d'être sur le même réseau.
De plus le tunnel ssh peut se mettre en place en une seule commande.
Donc pour moi et ça n'engage que moi il y a une raison de sémantique et de simplicité.

Pourquoi avoir choisi le port 80 pour le tunnel SSH ?

Le ssh n'est pas sur le port 80, il s'effectue sur le port 22 du serveur. Ce que je fais c'est de faire transiter à travers le tunnel SSH tout le trafic adressé au relai sur son port 80 vers le port 80 de mon serveur Web.
J'ai choisit le port 80 car c'est le port d'écoute par défaut d'un serveur Web pour du HTTP, il faudrait en faire de même avec le port 443 pour le HTTPS.

As tu un monitoring de la bonne tenue du tunnel ?

Monitoring non, car je ne suis pas admin réseau et pour mes besoins je n'ai jamais rencontré de problème.
Cette technique me permet surtout lorsque je suis en clientèle de montrer l'avancement de mes devs en exposant en 1 ligne de commande un serveur sans avoir besoin d'alerter toute la DSI (mais chuuuuuuuut ).
J'ai pas de recul par rapport à une utilisation de jeedom, mais je ne vois pas pourquoi ça ne marcherait pas.
Avec autossh ou les bons paramètres sur la commande ssh, il est possible de gérer la remontée automatique du tunnel lorsqu'il tombe.

Le faire soit meme est gratifiant, mais à ce prix la le pack Power de Jeedom t'offre tout cela et plus.

En effet je suis un adepte du DIY
Je ne connais pas le tarif du pack en question mais comme dit plus haut, ça ne te coûte rien ou presque si tu peux poser un rasp chez un pote ou de la famille. Perso mon VPS me sert aussi de seedbox, serveur VPN ( comme quoi je n'y suis pas fermé ), git, pour le boulot... Donc 4€/mois c'est acceptable pour le service rendu.

Le plus apporté par le pack ne m'est pas forcément utile et ce que j'aime dans l'open source c'est qu'on est tous libre de se l'approprier et de l'adapter pour repondre à notre besoin.

Ce qui serait intéressant ce serait de savoir techniquement comment marche ce pack et surtout avec du CGNAT pour rendre le même service ? Des experts peuvent nous expliquer ?

[bartounet]

Cela se base sur de l'Open VPn il me semble.
VPN entre ton Jeedom et les infra cloud de Jeedom SAS

Cela te fourni une entrée DNS qui pointe chez Jeedom et redirige vers ta box.
C'est simple et sécurisé.

Mais le pack offre pas mal d'autre service ( dont la possibilité d'ouvrir des tickets.)

[xobix]

l'explication technique est faite en espérant que ça vous soit utile ou que ça vous intéresse

[winhex]

merci
hs vu que tu passe en tunnel ssh le sshfs c'est juste la creation d'un repertoire sur le serveur
et via se protocole d'y mettre le rep html jeedom
se n'est qu'un raccourci interne
et tu as accès à tous , pour le serveur c'est interne donc pour lui html jeedom est une clef usb
avec tous les avantages lié

tu veux savoir si jeedom est accessible via le serveur
le fichier x est il présent dans le dossier y ?
si non ton serveur t'envoie un mail (un script avec cron)

ça existe pour Windows donc quand je le lance
et j'ai un répertoire dédié pour mes jeedom
n'importe quel logiciel le croyant interne m'ouvre,crée ou modifie les fichiers sans aucune restriction.

je l utilisais pour un cumul de data entre différent serveurs,pc,nas,.

il le dit mieux que moi
https://m.nextinpact.com/news/106720-ss ... dows.htm?r

[xobix]

hs vu que tu passe en tunnel ssh le sshfs c'est juste la creation d'un repertoire sur le serveur
et via se protocole d'y mettre le rep html jeedom
se n'est qu'un raccourci interne
et tu as accès à tous , pour le serveur c'est interne donc pour lui html jeedom est une clef usb
avec tous les avantages lié

J'avoue que je n'ai pas bien compris ce que tu veux faire..
Tu partages le rep www entre plusieurs instances apache don une située sur serveur publique, c'est ça ?

[winhex]

moi rien
c'est pour ton montré une variante via tunnel ssh (cluster)

[Salva57]

Bonjour,

Je m'invite dans la discussion qui est très technique pour moi. Je voulais savoir quel fournisseur 4G tu utilises et quel matériel.

Pour ma part j'ai acheté un routeur 4G TP-Link Archer MR200, qui peut faire du VPN avec un abonnement Red SFR à 5€, mais j'avoue que je n'y arrive pas du tout. Il faut peut-être un abonnement particulier car j'ai l'impression que le trafic entrant avec cet abonnement n'est pas possible.
D'autre part l'adresse IP de la connexion 4G n'est pas fixe.

Salutations.

[xobix]

Salut,

Je voulais savoir quel fournisseur 4G tu utilises et quel matériel.

perso j'ai un routeur 4g qui ne fait pas VPN et je suis sur un abonnement Free mobile.

j'ai l'impression que le trafic entrant avec cet abonnement n'est pas possible.

C'est a cause du CGNAT, l'ip publique que tu vois est la sienne pas celle de ton routeur.

D'autre part l'adresse IP de la connexion 4G n'est pas fixe

C'est pas un problème avec la procédure que j'explique

[Salva57]

Salut,

Me revoilou mais pas avec de bonnes nouvelles.

Je n'arrive pas installer autossh sur mon raspberrypi.

J'ai le message suivant qui apparait :

Code : Tout sélectionner

Reading package lists... Done
Building dependency tree
Reading state information... Done
The following NEW packages will be installed:
  autossh
0 upgraded, 1 newly installed, 0 to remove and 49 not upgraded.
Need to get 32.4 kB of archives.
After this operation, 87.0 kB of additional disk space will be used.
Err:1 http://raspbian.raspberrypi.org/raspbian stretch/main armhf autossh armhf 1.4e-3
  Temporary failure resolving 'raspbian.raspberrypi.org'
E: Failed to fetch http://raspbian.raspberrypi.org/raspbian/pool/main/a/autossh/autossh_1.4e-3_armhf.deb  Temporary failure resolving 'raspbian.raspberrypi.org'
E: Unable to fetch some archives, maybe run apt-get update or try with --fix-missing?

J'ai essayer apt-get update mais là aussi j'ai des erreurs :

Code : Tout sélectionner

Reading package lists... Done
W: chmod 0700 of directory /var/lib/apt/lists/partial failed - SetupAPTPartialDirectory (1: Operation not permitted)
E: Could not open lock file /var/lib/apt/lists/lock - open (13: Permission denied)
E: Unable to lock directory /var/lib/apt/lists/
W: Problem unlinking the file /var/cache/apt/pkgcache.bin - RemoveCaches (13: Permission denied)
W: Problem unlinking the file /var/cache/apt/srcpkgcache.bin - RemoveCaches (13: Permission denied)

Une idée?

Merci

[mdx73]

Cela se base sur de l'Open VPn il me semble.
VPN entre ton Jeedom et les infra cloud de Jeedom SAS

Cela te fourni une entrée DNS qui pointe chez Jeedom et redirige vers ta box.
C'est simple et sécurisé.

Mais le pack offre pas mal d'autre service ( dont la possibilité d'ouvrir des tickets.)

Bonjour.
J'ai acheté le pack pour bénéficier du DNS Jeedom. Étant en routeur 4G, c'était la solution la plus simple.
Très régulièrement je n'arrive pas à accéder à mon Jeedom depuis l'exterieur. Alors que mes apps Dlink, Foscam... ne posent pas de probleme.
Malgré les tickets et posts sur le forum. Aucune aide ne m'a été proposée.

J'envisage donc une solution DIY


Envoyé de mon SM-G930F en utilisant Tapatalk

[mdx73]

Cela se base sur de l'Open VPn il me semble.
VPN entre ton Jeedom et les infra cloud de Jeedom SAS

Cela te fourni une entrée DNS qui pointe chez Jeedom et redirige vers ta box.
C'est simple et sécurisé.

Mais le pack offre pas mal d'autre service ( dont la possibilité d'ouvrir des tickets.)

Bonjour.
J'ai acheté le pack pour bénéficier du DNS Jeedom. Étant en routeur 4G, c'était la solution la plus simple.
Très régulièrement je n'arrive pas à accéder à mon Jeedom depuis l'exterieur. Alors que mes apps Dlink, Foscam... ne posent pas de probleme.
Malgré les tickets et posts sur le forum. Aucune aide ne m'a été proposée.

mon code erreur est 504 Gateway Timeout

J'envisage donc une solution DIY


Envoyé de mon SM-G930F en utilisant Tapatalk

[bartounet]

As tu bien suivi les recommandation de la documentation Jeedom ?
https://jeedom.github.io/documentation/ ... dns_jeedom

Ma configuration est bonne mais impossible d’avoir une page ça tourne à l’infini

Si votre configuration est bonne (Initialization Sequence Completed dans le log openvpn_DNS_Jeedom) mais que vous n’arrivez pas à avoir la page de connexion qui marche avec l’application mobile de manière aléatoire et vous êtes en 4g ou en fin de ligne ADSL. Cela est du à une connexion de mauvaise qualité (les paquets n’arrivent pas tous correctement il demande donc un renvoi à l’infini). Il faut changer la taille des packets (plus les packet sont petits moins il y a de chance qu’ils soient corrompus et donc renvoyés par contre moins il y a de données transmises d’un coup donc ca peut ralentir). Pour changer la taille des packets aller dans Plugins -> Communication -> Openvpn puis cliquer sur l’équipement “DNS Jeedom” et dans “Commande post démarrage” mettre “sudo ip link set dev #interface# mtu 1300” (vous pouvez essayer avec 1400 au lieu de 1300, par défaut la taille est de 1500). Ne pas oublier de redémarrer le DNS Jeedom depuis la page d’Administration Jeedom puis partie réseaux.

[jmt75]

Bonjour à tous, bonjour Bartounet

en ce qui me concerne, je n'accède plus depuis quelques semaines amateurs box depuis l'extérieur (en utilisant le lien que me donne le DNS Jeedom.

J'ai bien lu la doc, j'ai fait tout bien, je pense. Surtout, je n'ai rien modifié sur ma configuration. Ayant une ligne ADSl merd... minable, je sui connecté via une carte DSIM 4G Free sur un routeur Huawei.

Après avoir tout vérifié, je suis arrivé au paragraphe que tu cites. J'ai bien écrit la commande citée dans le champ "Commande post démarrage", mais ça ne change rien. Ça semble logique car il me semble comprendre en lisant le log d'openvpn qu'il ne tient pas compte de la commande "sudo ip link set dev #interface# mtu 1300” puisqu'il inscrit dans le log "/sbin/ip link set dev tun0 up mtu 1500".

Voici mon log:
Sat Oct 5 15:00:31 2019 WARNING: file '/tmp/jeedom/openvpn/openvpn_auth_7rd6RbdRHNfKiQMQwEZUwkDtKrXKvR.conf' is group or others accessible
Sat Oct 5 15:00:31 2019 OpenVPN 2.4.0 aarch64-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 18 2017
Sat Oct 5 15:00:31 2019 library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.08
Sat Oct 5 15:00:31 2019 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sat Oct 5 15:00:35 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]212.129.11.59:1197
Sat Oct 5 15:00:35 2019 UDP link local: (not bound)
Sat Oct 5 15:00:35 2019 UDP link remote: [AF_INET]212.129.11.59:1197
Sat Oct 5 15:00:35 2019 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sat Oct 5 15:00:35 2019 VERIFY OK: depth=1, C=FR, ST=IDF, L=Paris, O=jeedom.com, OU=jeedom.com, CN=jeedom.com CA, name=jeedom, emailAddress=postmaster@jeedom.com
Sat Oct 5 15:00:35 2019 VERIFY OK: depth=0, C=FR, ST=IDF, L=Paris, O=jeedom.com, OU=jeedom.com, CN=server, name=jeedom, emailAddress=postmaster@jeedom.com
Sat Oct 5 15:00:35 2019 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 1024 bit RSA
Sat Oct 5 15:00:35 2019 [server] Peer Connection Initiated with [AF_INET]212.129.11.59:1197
Sat Oct 5 15:00:36 2019 Data Channel Encrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Sat Oct 5 15:00:36 2019 Data Channel Decrypt: Cipher 'AES-256-GCM' initialized with 256 bit key
Sat Oct 5 15:00:36 2019 TUN/TAP device tun0 opened
Sat Oct 5 15:00:36 2019 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Sat Oct 5 15:00:36 2019 /sbin/ip link set dev tun0 up mtu 1500
Sat Oct 5 15:00:36 2019 /sbin/ip addr add dev tun0 local 10.12.0.28 peer 10.12.0.29
Sat Oct 5 15:00:36 2019 Initialization Sequence Completed


Il y a une ligne qui me semble bizarre, c'est celle-ci: "UDP link local: (not bound)"

Merci de votre aide