Bonjour,
Tous d'abord voici la situation: Je souhaite depuis un réseau filtré par divers firewall me connecter à mon serveur en dehors de ce réseau en vpn depuis mon pc portable (évidemment le réseau laisse passer le traffic vpn). Puis de là je veux que mon serveur serve simplement de proxy pour renvoyer le traffic vers internet en clair.
Donc je rentre par l'IP publique du serveur en crypté via le vpn et que je veux ressortir par cette même IP mais en clair et vers internet.
C'est un système de bypass de filtrage tout simplement.
Jusque là j'ai mis en place la solution vpn sur mon portable et sur le serveur. Les connexions semblent bien s'établir d'après le client openvpn
Le seul problème que je rencontre, mais qui plutôt ennuyeux c'est que je peux pas sortir de mon serveur. Depuis mon portable je ping bien l'ip public de mon serveur (ce qui est plutôt logique vu que je passe par là).
Voici à quoi ressemble les routes sur le serveur, elles me paraissent assez douteuses:
image_perdue
(J'ai volontairement remplacé mes IPs évidemment)
Mon pc portable obtiens une IP vpn 10.8.0.6 et les IPs en 10.8.0.2 sont apparemment générée automatiquement par openvpn sur le serveur et je ne vois pas trop à quoi elles servent enfin bon.
Par contre je ne peux pas pinger 10.8.0.6 depuis le serveur donc j'imagine que cela est plutôt problématique x).
Mais je ne vois pas quelles routes ajouter puisque qu'ils sont censé être virtuellement connecté directement…
J'ai un iptables mais qu'il soit activé ou non j'ai le même résultat.
Si vous voyez une solution, je vous serais gré de ma la partager :p.
# Commentaire supprimé
Posté par Anonyme . Évalué à 1.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Forwarding ?
Posté par Kerro . Évalué à 1.
Tu t'embêtes, c'est juste un problème de NAT.
Syffer, il faut utiliser iptables pour mettre en place un NAT.
Tes paquets sortent du serveur avec comme ip source celle de ton poste Windows. Les réponses ne pourront jamais revenir vers ton serveur (et si le réseau de ton hébergeur est bien fait, ils ne partent même pas).
[^] # Re: Forwarding ?
Posté par Syffer . Évalué à 0.
Comme mis plus bas:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE
Ceci n'est pas bon ?
J'ai essayé divers nat/routage et pour l'instant aucun n'a changé la situation : /
[^] # Re: Forwarding ?
Posté par nono14 (site web personnel) . Évalué à 2.
forwarding activé?
C'est un point, ensuite il y a peut etre d'autres choses à voir ( routage, ...)
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: Forwarding ?
Posté par Syffer . Évalué à -2.
Forwarding activé, pour les autres point j'ai screen les tables de routages des deux côtés dans les autres réponses ;).
[^] # Re: Forwarding ?
Posté par nono14 (site web personnel) . Évalué à 2.
Avoir les tables filter et nat serait trés utile. ( politique par défaut, ordre des régles, ... )
Il manque les interfaces et la connexion externe sur ton schéma.
Penser à les vider, suite aux différents essais infructeux ( effets de bord garantis )
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: Forwarding ?
Posté par Kerro . Évalué à 1.
Hélas non, ta commandes n'est pas bonne du tout. Il te faut potasser quelques docs et demander à Google.
Sinon mon métier est d'aider les gens dans ce genre de situation: eo6s9ggyspshhig@jetable.org
C'est 165 € HT de l'heure. Tu trouveras facilement d'autres personnes à des tarifs moins élevés.
# Reponses
Posté par Syffer . Évalué à 1. Dernière modification le 26 décembre 2011 à 13:30.
Alors le portable est un pc sous Windows dont voici les routes lorsque le vpn est connecté (c'est assez le bordel...)
Pour l'ip_forward, je te confirme qu'il est bien actif sur le serveur.
Ensuite pour le résultat de la commande "ip addr show" sur le serveur:
19: tun0: mtu 1500 qdisc pfifo_fast qlen 100
link/[65534]
inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
Je ne peux évidemment pas faire la même sur Windows...
l'ip en 128.0.0.0 est une IP que openvpn crée lorsqu'il monte le tunnel, je ne connais pas son utilité :(.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 1.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Reponses
Posté par Syffer . Évalué à -5.
Hum c'est vrai qu'en tant qu'admin sys et réseaux je dois rien connaitre en réseaux...
Les routes affichées sont auto-générée, je ne les ai pas configuré c'est openvpn qui les a générées.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 5.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Reponses
Posté par Syffer . Évalué à -6. Dernière modification le 28 décembre 2011 à 08:43.
Avoir des arguments c'est mieux.
# blocage icmp côté client
Posté par nono14 (site web personnel) . Évalué à 2.
Vérifier le pare feu sur l'interface correspondante.
Le ping marche du client vers le serveur ?
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: blocage icmp côté client
Posté par Syffer . Évalué à 0.
Oui le ping client vers serveur fonctionne bien. Seul le serveur vers client n'est pas effectif.
# et internet il fait comment pour savoir qu'il doit passer par ton serveur pour parler à 10.8.0.6 ?
Posté par Krunch (site web personnel) . Évalué à 3.
D'après ce que tu décris je suis à peu près sûr que c'est faux. À tous les coups les paquets du client partent bien sur internet via ton serveur mais la machine avec laquelle tu essais d'établir une connexion ne sait évidemment pas par où passer pour répondre à 10.8.0.6. Il te faut aussi du NAT (ou utiliser une IP routable) pour que la connexion semble provenir de ton serveur.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # lol ?
Posté par Syffer . Évalué à -2.
Je veux bien croire ça mais c'est justement la solution que je recherche. Comme tu peux le voir openvpn s'est amusé a généré une quantité énorme de route. Et je ne vois pas pourquoi je devrais en configurer en plus vu qu'il est censé se débrouiller avec les fichiers de conf fournie des deux côtés : /.
[^] # iptable
Posté par Syffer . Évalué à -1.
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE
Hors je ne vois cette règle nulle part si je fais un iptables -L
[^] # Re: iptable
Posté par Syffer . Évalué à -1.
J'ai rien dis je ne me sert pas assez d'iptables pour avoir devinez qu'il n'affichait pas toutes les tables. J'ai régler ce soucis d'affichage ;).
# ssh tunnel
Posté par snurpsss . Évalué à -1.
si c est pour surfer depuis chez toi (en étant au travail), un ssh reverse en configurant ton browser au taf correctement (aka en lui disant de passer par un port local qui renvois tout via ssh a ta machine chez toi) est suffisant selon moi....
Ykajuste mettre un petit forward d'un port autorisé par ton travail (443) sur ton serveur vers le port ssh (22), ne pas oublier d'autoriser via ton firewall (ou plus certainement la box de ton provider) le flux a entrer chez toi, puis du taf, tu utilises Putty avec l'option de renvois de port. (ou ssh si t es sous linux sur ton portable). et tu configures ton browser a passer par là (option de proxy)
ca m a l'air plus simple (même si j'explique mal)...
cherche ssh tunnelling
[^] # Re: ssh tunnel
Posté par Syffer . Évalué à -2.
Malheureusement ce n'est pas aussi simple, je cherche plutôt a avoir les ports steam et autres d'ouvert au taff via cette méthode.
Pour info le tunnel vpn se monte bien, c'est juste que je met un redirect-gateway dans openvpn et c'est à ce niveau là que ça bloque.
Toutes les commandes que j'ai passée viennent du site et du tuto d'openvpn officiel...
Si je met des routes normales la connexion se fait normalement.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.