[Résolu] Openvpn ping uniquement sur le serveur

Tonycab · 4 déc. 2010

Bonsoir à tous,

Je viens vers vous car j'essaye de mettre en place un VPN entre chez moi et chez mes parents. Ceci afin de partager un partage samba qui se trouve chez moi. Sachant qu'ils ont comme OS windows XP. Seulement je rencontre un problème. La connexion VPN s'établit parfaitement depuis le client, j'arrive à pinger sur le serveur et du serveur à pinger sur le client. Mais voila mon partage Samba ne se trouve pas sur le serveur, mais sur un NAS. Et je n'arrive pas a pinger depuis le client sur le NAS. J'ai lancer une capture avec wireshark sur tun0 et je vois bien le ping arrivé du client en destination du nas. Est ce le Parfeu qui bloque ? (Je connais pas iptables/netfilter, pas eu le temps de l'étudier). Ou est ma configuration du serveur VPN qui n'est pas bonne ? Si quelqu'un pouvais me dirigé vers la résolution de mon problème j'en serais ravis.

L'architecture du réseau :

Uploaded with ImageShack.us

configuration du serveur :

[root@Tony-Desktop sysconfig]# cat /etc/openvpn/server.conf 

port 1194

proto udp

dev tun

ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/SRVVPN.crt
key /etc/openvpn/easy-rsa/keys/SRVVPN.key  # This file should be kept secret

dh /etc/openvpn/easy-rsa/keys/dh1024.pem

server 192.172.1.0 255.255.255.0

push "route 192.172.2.0 255.255.255.0"

keepalive 10 120

cipher AES-128-CBC
 
comp-lzo

max-clients 10

user nobody
group nobody

persist-key
persist-tun

;status openvpn-status.log
;log openvpn.log

verb 5

Ifconfig du serveur :

[root@Tony-Desktop sysconfig]# ifconfig
eth0      Link encap:Ethernet  HWaddr 90:E6:BA:2D:12:B4  
          inet adr:192.172.2.4  Bcast:192.172.2.255  Masque:255.255.255.0
          adr inet6: fe80::92e6:baff:fe2d:12b4/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:792167 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1086201 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000 
          RX bytes:979877930 (934.4 MiB)  TX bytes:821842477 (783.7 MiB)
          Interruption:48 Adresse de base:0xc000 

lo        Link encap:Boucle locale  
          inet adr:127.0.0.1  Masque:255.0.0.0
          adr inet6: ::1/128 Scope:Hôte
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:475 errors:0 dropped:0 overruns:0 frame:0
          TX packets:475 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0 
          RX bytes:44554 (43.5 KiB)  TX bytes:44554 (43.5 KiB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet adr:192.172.1.1  P-t-P:192.172.1.2  Masque:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:16 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:100 
          RX bytes:1056 (1.0 KiB)  TX bytes:516 (516.0 b)

virbr0    Link encap:Ethernet  HWaddr 6A:44:54:8A:1E:F3  
          inet adr:192.168.122.1  Bcast:192.168.122.255  Masque:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:204 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0 
          RX bytes:0 (0.0 b)  TX bytes:13885 (13.5 KiB)

Configuration du client :

client

dev tun

proto udp

remote xx.xx.xx.xx 1194

resolv-retry infinite

nobind

user nobody
group nobody


persist-key
persist-tun

mute-replay-warnings

ca ca.crt
cert PORTABLE1.crt
key PORTABLE1.key

cipher AES-128-CBC

comp-lzo

verb 3

ipconfig sur le client :

Carte Ethernet Connexion au réseau local :
Suffixe DNS propre à la connexion :
Adresse IP ..............................: 192.168.1.2
Masque de sous réseau....................: 255.255.255.0
Passerelle par défaut....................: 192.168.1.1

Carte Ethernet Connexion au réseau local 2 :
Suffixe DNS propre à la connexion :
Adresse IP ..............................: 192.172.1.6
Masque de sous réseau....................: 255.255.255.0
Passerelle par défaut....................:

Capture Wireshark :

1    0.000000    192.172.1.6    192.172.2.3    ICMP    Echo (ping) request  (id=0x0300, seq(be/le)=29440/115, ttl=128)
2    516.823261    192.172.1.6    192.172.2.3    ICMP    Echo (ping) request  (id=0x0300, seq(be/le)=29696/116, ttl=128)
3    521.874562    192.172.1.6    192.172.2.3    ICMP    Echo (ping) request  (id=0x0300, seq(be/le)=29952/117, ttl=128)

Merci d'avance pour votre aide.

philippe_PMA · 5 déc. 2010

Ton schéma n'est pas exact, pas assez précis et améne pleins de devinettes ... 😉

Sur quoi est branché ton NAS ? Sur ton switch ? Sur ta live box ? Sur ton serveur ?
Ton serveur même question ? Sur ton switch, sur ta live box ?

J'imagine que le serveur est branché d'un coté sur le NAS et de l'autre sur le switch.
Et que le NAS est branché sur le switch.

Auquel cas, ça pourrait un problème de forward.
Fait les commandes ci-dessous

cat /proc/sys/net/ipv4/ip_forward
iptables -v -L FORWARD

et donnes le résultat ici.

Pour les aspects purement openvpn, je ne connais pas trop, mais tu peux jeter un oeil à ce tutoriel : http://www.nbs-system.com/blog/howto-openvpn2/.

Tonycab · 5 déc. 2010

Philippe_PMA wrote:Ton schéma n'est pas exact, pas assez précis et améne pleins de devinettes ...
Sur quoi est branché ton NAS ? Sur ton switch ? Sur ta live box ? Sur ton serveur ?
Ton serveur même question ? Sur ton switch, sur ta live box ?

Le serveur, le nas, la box sont raccordé au switch

IP_FORWARD activé :

[root@Tony-Desktop Script]# cat /proc/sys/net/ipv4/ip_forward
1

FORWARD pas configurer :

[root@Tony-Desktop Script]# iptables -v -L FORWARD
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  any    any     anywhere             anywhere            reject-with icmp-host-prohibited

Script iptables :

[root@Tony-Desktop Script]# cat /bin/iptables-config
#!/bin/sh

#########################################################################
# Rgles d'origine :
#########################################################################

orig() {

        iptables -t filter -F
        iptables -t filter -X

        iptables -t filter -P INPUT   ACCEPT
        iptables -t filter -P FORWARD ACCEPT
        iptables -t filter -P OUTPUT  ACCEPT

        iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
        iptables -t filter -A INPUT -p icmp -j ACCEPT
        iptables -t filter -A INPUT -i lo -j ACCEPT
        iptables -t filter -A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j LOG --log-prefix "Connexion client ssh"
        iptables -t filter -A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
        iptables -t filter -A INPUT -m state --state NEW -m udp -p udp --dport 1194 -j LOG --log-prefix "Connexion client vpn"
        iptables -t filter -A INPUT -m state --state NEW -m udp -p udp --dport 1194 -j ACCEPT

        iptables -t filter -A INPUT -j REJECT --reject-with icmp-host-prohibited
        iptables -t filter -A FORWARD -j REJECT --reject-with icmp-host-prohibited
}



#########################################################################
# Ouverture du trafic :
#########################################################################

start() {
       
       #---------------------------------------------#
       # Vrification des indicateurs des trames tcp #
       #---------------------------------------------#

       iptables -N CHECK_BAD_TCP
       iptables -A CHECK_BAD_TCP -p tcp -m state --state NEW,RELATED ! --tcp-flags ALL SYN -j DROP
       iptables -A CHECK_BAD_TCP -p tcp --tcp-flags ALL NONE -j DROP
       iptables -A CHECK_BAD_TCP -p tcp --tcp-flags ALL ALL -j DROP
       iptables -A CHECK_BAD_TCP -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
       iptables -A CHECK_BAD_TCP -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
       iptables -A CHECK_BAD_TCP -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
       iptables -A CHECK_BAD_TCP -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
       iptables -A CHECK_BAD_TCP -j RETURN

       #-------------------------------------#
       # Traitement des trames tcp en entre #
       #-------------------------------------#

       iptables -N INPUT_TCP
       iptables -A INPUT_TCP -j CHECK_BAD_TCP 
       iptables -A INPUT_TCP -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT
       iptables -A INPUT_TCP -p tcp --sport ftp-data -m state --state RELATED -j ACCEPT

       #############################################
       # A COMPLETER AVEC VOS REGLES TCP en entre #
       #############################################

       #iptables -t filter -A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j LOG --log-prefix "Connexion client ssh"
       #iptables -t filter -A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
       iptables -A INPUT_TCP -p tcp --syn --dport 443 -m state --state NEW -j LOG --log-prefix "Connexion client ssh"
       iptables -A INPUT_TCP -p tcp --syn --dport 443 -m state --state NEW -j ACCEPT 
       
       #-------------------------------------#
       # Traitement des trames udp en entre #
       #-------------------------------------#

       iptables -N INPUT_UDP
       iptables -A INPUT_UDP -p udp -m multiport --sport domain,ntp -m state --state ESTABLISHED -j ACCEPT
       iptables -A INPUT_UDP -p udp --sport bootps --dport bootpc -m state --state ESTABLISHED -j ACCEPT

       #pour imprimante HP#
       iptables -A INPUT_UDP -p udp -m mac --mac-source 00:23:7d:f9:27:ca -s 192.172.2.2 --sport 161 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
       iptables -A INPUT_UDP -p udp -m mac --mac-source 00:23:7d:f9:27:ca -s 192.172.2.2 --sport 5353 --dport 5353 -j ACCEPT



       #############################################
       # A COMPLETER AVEC VOS REGLES UDP en entre #
       #############################################
       
       #pour VPN
       #iptables -t filter -A INPUT -m state --state NEW -m udp -p udp --dport 1194 -j LOG --log-prefix "Connexion client vpn"
       #iptables -t filter -A INPUT -m state --state NEW -m udp -p udp --dport 1194 -j ACCEPT
       iptables A INPUT_TCP -p udp --syn --dport 1194 -m state --state NEW -j LOG --log-prefix "Connexion client vpn"
       iptables A INPUT_TCP -p udp --syn --dport 1194 -m state --state NEW -j ACCEPT 

       #--------------------------------------#
       # Traitement des trames icmp en entre #
       #--------------------------------------#

       iptables -N INPUT_ICMP
       iptables -A INPUT_ICMP -p icmp --icmp-type echo-reply -m state --state ESTABLISHED -j ACCEPT
       iptables -A INPUT_ICMP -p icmp --icmp-type destination-unreachable -m state --state RELATED -j ACCEPT
       iptables -A INPUT_ICMP -p icmp --icmp-type time-exceeded -m state --state RELATED -j ACCEPT



       #-----------------------------------------------------------------#
       # Filtrage des appels entrants avec appel des rgles utilisateurs #
       #-----------------------------------------------------------------#

       iptables -A INPUT -m state --state INVALID -j DROP

       iptables -A INPUT -p tcp -j INPUT_TCP
       iptables -A INPUT -p udp -j INPUT_UDP
       iptables -A INPUT -p icmp -j INPUT_ICMP



       #-------------------------------------#
       # Traitement des trames tcp en sortie #
       #-------------------------------------#

       iptables -N OUTPUT_TCP
       iptables -A OUTPUT_TCP -p tcp -m state --state NEW,RELATED ! --tcp-flags ALL SYN -j DROP
       iptables -A OUTPUT_TCP -p tcp -m state --state RELATED -j ACCEPT
       iptables -A OUTPUT_TCP -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT
       iptables -A OUTPUT_TCP -p tcp --sport 1024:65535 -m multiport --dports ftp,smtp,http,pop3,imap,https,5900 -m state --state NEW -j ACCEPT

 
       #############################################
       # A COMPLETER AVEC VOS REGLES TCP en sortie #
       #############################################
       
       #pour imprimante HP
       iptables -A OUTPUT_TCP -d 192.172.2.2 -p tcp --syn --sport 1024:65535 --dport 9100 -m state --state NEW -j ACCEPT

       #-------------------------------------#
       # Traitement des trames udp en sortie #
       #-------------------------------------#

       iptables -N OUTPUT_UDP
       iptables -A OUTPUT_UDP -p udp -m state --state ESTABLISHED -j ACCEPT
       iptables -A OUTPUT_UDP -p udp --sport bootpc --dport bootps -j ACCEPT
       iptables -A OUTPUT_UDP -p udp --dport ntp -j ACCEPT
       iptables -A OUTPUT_UDP -p udp --dport domain -j ACCEPT

       #pour imprimante HP
       iptables -A OUTPUT_UDP -d 192.172.2.2 -p udp --sport 1024:65535 --dport 161 -j ACCEPT
       iptables -A OUTPUT_UDP -p udp --sport 5353 --dport 5353 -j ACCEPT



       #############################################
       # A COMPLETER AVEC VOS REGLES UDP en sortie #
       #############################################




       #--------------------------------------#
       # Traitement des trames icmp en sortie #
       #--------------------------------------#

       iptables -N OUTPUT_ICMP
       iptables -A OUTPUT_ICMP -p icmp --icmp-type echo-request -m state --state NEW -j ACCEPT



       #------------------------------#
       # Filtrage des appels sortants #
       #------------------------------#

       iptables -A OUTPUT -p tcp -j OUTPUT_TCP
       iptables -A OUTPUT -p udp -j OUTPUT_UDP
       iptables -A OUTPUT -p icmp -j OUTPUT_ICMP

}



#########################################################################
# Arrt de tout trafic :
#########################################################################

stop() {

        #-----------------#
        # Initialisations #
        #-----------------#

        # Vidage et suppression des rgles existantes :
        for TABLE in filter nat mangle
        do
        iptables -t $TABLE -F
        iptables -t $TABLE -X
        done

        # Modifications des politiques par dfaut :
        iptables -P INPUT DROP
        iptables -P OUTPUT DROP
        iptables -P FORWARD DROP
}



#########################################################################
# Status des rgles :
#########################################################################

status() {
        iptables -v -L
}



###############################################################################
# Fonction principale : analyse des arguments et appel fonction correspondant :
###############################################################################

case "$1" in
    orig|start|stop)
        $1
        # Sauvegarde des rgles :
        service iptables save
        ;;
    status)
        $1
    ;;
    *)
        echo "Usage : $0 {orig|start|stop|status}"
        ;;
esac

Log de la connexion VPN (connexion ssh sur le serveur à travers le vpn):

[root@Tony-Desktop log]# tail -n 2 messages
Dec  5 16:24:34 Tony-Desktop kernel: [17219.013999] Connexion client vpnIN=eth0 OUT= MAC=xx.xx.xx.xx.xx.xx.xx.xx.xx.xx.xx.xx.xx SRC=XX.XX.XX.XX5 DST=192.172.2.4 LEN=42 TOS=0x00 PREC=0x00 TTL=116 ID=24520 PROTO=UDP SPT=1215 DPT=1194 LEN=22 
Dec  5 16:25:24 Tony-Desktop kernel: [17269.219546] Connexion client sshIN=tun0 OUT= MAC= SRC=192.172.1.6 DST=192.172.2.4 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=25130 DF PROTO=TCP SPT=1223 DPT=443 WINDOW=16384 RES=0x00 SYN URGP=0

Ping sur le NAS depuis le client 192.172.1.6 :

Envoi d'une requte 'ping' sur 192.172.2.3 avec 32 octets de donnes:

Rponse de 192.172.1.1: Impossible de joindre l'hte de destination.
Rponse de 192.172.1.1: Impossible de joindre l'hte de destination.
Rponse de 192.172.1.1: Impossible de joindre l'hte de destination.
Rponse de 192.172.1.1: Impossible de joindre l'hte de destination.

Statistiques Ping pour 192.172.2.3:
    Paquets: envoys = 4, reus = 4, perdus = 0 (perte 0%),
Dure approximative des boucles en millisecondes :
    Minimum = 0ms, Maximum = 0ms, Moyenne = 0ms

Ping du client 192.172.1.6 vers le serveur 192.172.2.4 :

Envoi d'une requte 'ping' sur 192.172.2.4 avec 32 octets de donnes:

Rponse de 192.172.2.4: octets=32 temps=84 ms TTL=64
Rponse de 192.172.2.4: octets=32 temps=82 ms TTL=64
Rponse de 192.172.2.4: octets=32 temps=81 ms TTL=64
Rponse de 192.172.2.4: octets=32 temps=81 ms TTL=64

Statistiques Ping pour 192.172.2.4:
    Paquets: envoys = 4, reus = 4, perdus = 0 (perte 0%),
Dure approximative des boucles en millisecondes :
    Minimum = 81ms, Maximum = 84ms, Moyenne = 82ms

Ping du serveur 192.172.2.4 vers le Nas 192.172.2.3 :

[root@Tony-Desktop log]# ping 192.172.2.3
PING 192.172.2.3 (192.172.2.3) 56(84) bytes of data.
64 bytes from 192.172.2.3: icmp_req=1 ttl=64 time=0.872 ms
64 bytes from 192.172.2.3: icmp_req=2 ttl=64 time=0.109 ms
64 bytes from 192.172.2.3: icmp_req=3 ttl=64 time=0.119 ms
64 bytes from 192.172.2.3: icmp_req=4 ttl=64 time=0.113 ms
^C
--- 192.172.2.3 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3001ms
rtt min/avg/max/mdev = 0.109/0.303/0.872/0.328 ms

philippe_PMA · 5 déc. 2010

Tonycab wrote:
Philippe_PMA wrote:Ton schéma n'est pas exact, pas assez précis et améne pleins de devinettes ...
Sur quoi est branché ton NAS ? Sur ton switch ? Sur ta live box ? Sur ton serveur ?
Ton serveur même question ? Sur ton switch, sur ta live box ?
Le serveur, le nas, la box sont raccordé au switch
...

Ton VPN fonctionne bien entre ton serveur et ton client (Desktop2). C'est déjà un bon point ...

Ton premier problème est un problème de topologie (ie d'architecture réseau) :
- Ton NAS a pour passerelle ta box (d'après ton shéma).
- Tu mets en place un VPN entre ton serveur (Desktop1) et ton client (Desktop2).

Il faut que tu ais :
Box --- passerelle / firewall --- switch --- NAS
--- portable 1
--- desktop 1
--- imprimante

Ce qui implique :
- Deux cartes réseaux sur ton serveur (Desktop1) (est-ce le cas ?).
- Ton serveur devrait plutot etre une passerelle / firewall.
- Le forward activé (c'est le cas).
- Des régles adéquates sur ta chaine FORWARD (c'est pas le cas, ce qui est ton deuxième problème).

Ton serveur, il fait serveur de quoi ?
Parce que si c'est pour y mettre un serveur WEB ou ftp, et faire passerelle et firwall c'est pas sécure. Il faut une DMZ.

Commance déjà par réfléchir sur ta topologie. Et fait un retour sur ce point, pour que nous soyons en phase.

Ppixelrock · 6 déc. 2010

pourquoi avoir server 192.172.1.0 255.255.255.0

qui correspond au réseaux de droite

pourquoi ne pas faire et ajouter

local 192.... ip du server ou tourne le server openvpn

server 192.168.8.0 255.255.255.0

donc prendre un réseaux intermédiaire et pas le même que celui du client

Tonycab · 6 déc. 2010

Philippe_PMA wrote:Ton VPN fonctionne bien entre ton serveur et ton client (Desktop2). C'est déjà un bon point ...

Oui 🙂

Philippe_PMA wrote:Ton serveur, il fait serveur de quoi ?
Parce que si c'est pour y mettre un serveur WEB ou ftp, et faire passerelle et firwall c'est pas sécure. Il faut une DMZ.

En faite c'est simplement un poste de travail que je laisse constamment allumé. Il faut office de serveur SSH (pour accès distant) et serveur VPN. Pas de serveur Web etc

Philippe_PMA wrote:Ton premier problème est un problème de topologie (ie d'architecture réseau) :
- Ton NAS a pour passerelle ta box (d'après ton shéma).
- Tu mets en place un VPN entre ton serveur (Desktop1) et ton client (Desktop2).

Oui l'architecture est assez basique comme tout particulier équipé d'une box de FAI, hormis le NAS et le switch 16 ports qui n'est pas très courant chez un particulier

Client1=BOX FAI(Passerelle/Firewall/Antenne Wifi)= INTERNET BOX FAI(Passerelle/Firewall/Antenne Wifi) = Switch = >
|
>=Desktop1 (Serveur OpenVPN/SSH)
>=NAS ( Partage Samba et NFS)

Philippe_PMA wrote:Ce qui implique :
- Deux cartes réseaux sur ton serveur (Desktop1) (est-ce le cas ?).
- Ton serveur devrait plutot etre une passerelle / firewall.
- Le forward activé (c'est le cas).
- Des régles adéquates sur ta chaine FORWARD (c'est pas le cas, ce qui est ton deuxième problème).

En gros si mon serveur OpenVPN aurait été dans ma box FAI j'aurai pas eu ce problème ?. Donc la solution (J'essaye de comprendre) serait de mettre le Desktop1 derrière la box sur Eth0 (Desktop1) et repartir sur Eth2(Desktop1) vers le switch. Ainsi Desktop1 deviendra une passerelle et arrivera a router les paquets IP venant de tun0 vers Eth0 et donc le nas ? mais le client n'accèdera jamais a PORTABLE1 car en Wifi depuis la box.

Dans ma config actuelle, il n'y pas moyen que desktop1 soit une passerelle entre le réseau 192.172.1.0 et 192.172.2.0 et indiqué au NAS la route pour 192.172.1.0

Je suis un peu perdu :-?

Pixelrock wrote:
pourquoi avoir server 192.172.1.0 255.255.255.0

qui correspond au réseaux de droite

pourquoi ne pas faire et ajouter

local 192.... ip du server ou tourne le server openvpn

server 192.168.8.0 255.255.255.0

donc prendre un réseaux intermédiaire et pas le même que celui du client

192.172.1.0 est le réseau virtuel VPN et 192.172.2.0 le Réseau normal, non ?

Ppixelrock · 6 déc. 2010

local 192.172.2.4 ip du server ou tourne le server openvpn

server 192.168.8.0 255.255.255.0

donc prendre un réseaux intermédiaire et pas le même que celui du client

coté client qui est en 192.168.1.0/24 va avoir une adresse 192.168.8.0/24 qui aura accès à 192.172.2.0/24

si tu garde le même range 192.168.1.0/24 çà ne va pas aller le client va chercher en local

essaie cette config pour voir

moi je fait comme ça et j'ai déjà installé quelque serveur qui fonctionne très bien

Tonycab · 6 déc. 2010

J'ai modifier le server.conf avec server 192.168.8.0/24 255.255.255.0 et ca ping toujours pas sur le nas.

Je comprend pas trop ta solution car pour moi le client n'était sur le même range

Je récapitule ma config de base :

serveur openvpn :
IP local 192.172.2.4 255.255.255.0 192.172.2.1

fichier de config :
server 192.172.1.0 255.255.255.0
push "route 192.172.2.0 255.255.255.0"

Client1 :
IP local 192.168.1.2 255.255.255.0 255.255.255.0 192.168.1.1
IP virtuel (tun0) 192.168.1.6 255.255.255.0

philippe_PMA · 6 déc. 2010

Je me suis peut-être mal fait comprendre.

1°) Problème d'architecture :
A mon sens, il faut que tu ais un firewall entre ta BOX et ton réseau local. Ca peut être ton Desktop1 (puisque tu le laisse allumer). Il te faut une deuxième carte réseau sur ton Desktop1 branché sur ton switch. Et sur ton switch ton NAS. ton portable, imprimante et autre. Mais bon, c'est un conseil de sécurité, pas un impératif pour l'accès à ton NAS via le VPN fonctionne.
2°) Ta chaine FORWARD de Desktop1 rejete tout (0 0 REJECT all -- any any anywhere anywhere reject-with icmp-host-prohibited). Donc rien ne peut traverser Desktop1.
3°) As tu regarde ce tuto dont je t'ai passé le lien http://www.nbs-system.com/blog/howto-openvpn2/ ? En particulier http://www.nbs-system.com/blog/howto-openvpn2/. Mais attention, ce n'est qu'une amorce. Ca laisse passer tout ce qui passe par le VPN. Peut-être faut-il y ajouter des restrictions.

Tonycab · 6 déc. 2010

Philippe_PMA wrote:2°) Ta chaine FORWARD de Desktop1 rejete tout (0 0 REJECT all -- any any anywhere anywhere reject-with icmp-host-prohibited). Donc rien ne peut traverser Desktop1.

J'ai commenter cette ligne dans iptables le temps de testé, apres j'ajouterai une règle pour autorisé uniquement le partage samba et uniquement vers le nas. (j'aurais le temps détudié ça quand tout marchera).

En attendant je fait mes test sur mon portable1. j'ai mi Wireshark a surveiller wlan0 (filtrage icmp) et lorsque je ping depuis le client1 (client vpn) je vois les ping 192.172.1.6 arriver sur le portable1 (192.172.2.5). seulement celui renvoi en 192.172.1.6. et donc j'ai pas le retour.

ça doit être un problème de routage au niveau de la passerelle alors (box orange) faudrais que je puisse router vers 192.172.2.4 toute les adresses 192.172.1.x ?

On doit y etre presque le ping arrive a destination mais ne revient pas.

Edit apres quelques test :

Je viens de faire un route sur le portable :

route add -net 192.172.1.0 255.255.255.0 192.172.1.4

maintenant le ping passe bien depuis le client, je trouve ça moyen car cela voudrais dire que sur tout les postes ou j'aurai besoins d'avoir accès depuis un client vpn il faudra ajouter une règle de routage. sur l'imprimante par exemple je vois pas comment le faire.

Le problème est presque résolu, faut que j'essaye de configurer le NAS maintenant.

Edit après encore quelques tests :

j'ai configurer le nas en ajoutant la règle de routage vers le serveur vpn. J'ai ajouter une lecteur réseau pointant sur //192.172.2.3/Commun depuis le client1 (le pc se trouvant chez mes parents)et ça marche.

maintenant me reste plus que a ajouter des règles iptables pour laisser passer que le partage Samba vers tun0

Peu ton ajouter une règle de routage sur une livebox ?

Je met résolu même s'il me reste quelques interrogation.

Ppixelrock · 7 déc. 2010

Edit apres quelques test :

Je viens de faire un route sur le portable :

route add -net 192.172.1.0 255.255.255.0 192.172.1.4

maintenant le ping passe bien depuis le client, je trouve ça moyen car cela voudrais dire que sur tout les postes ou j'aurai besoins d'avoir accès depuis un client vpn il faudra ajouter une règle de routage. sur l'imprimante par exemple je vois pas comment le faire.

Comme tu peux voir je pense que tu es bien sur le même range d'où ton problème de routage

fichier de config :
server 192.172.1.0 255.255.255.0
push "route 192.172.2.0 255.255.255.0"

Client1 :
IP local 192.168.1.2 255.255.255.0 255.255.255.0 192.168.1.1
IP virtuel (tun0) 192.168.1.6 255.255.255.0

Tu as des client qui tourne avec des adresse ip 192.168.1.0/24 et ton serveur crée un réseaux virtuel 192.168.1.0/24

Donc tu risque d'avoir un jour conflit d'ip et faire à chaque fois une route particulière pour atteindre une machine exact,

si par contre dans le fichier du server tu crée un réseaux virtuel 192.168.8.0/24 tu n'auras plus de problème pour joindre tes machines

Tonycab · 7 déc. 2010

Je comprend pas ton raisonnement car pour moi,le serveur en ip local est en 192.172.2.4 (Eth0), Le réseau virtuel est en 192.172.1.0, donc le serveur ce réserve le 192.172.1.1(tun0) et le .2 et il attribue 192.172.1.6(tun0) au premier client qui ce connecte (.6 car c'est une particularité d'openvpn sur windows mask 255.255.255.252) en local le client a une adresse IP 192.168.1.x(Eth0).

je vois pas ou il pourrait avoir de conflit. Je suis pas informaticien. Je connais pas tout. J'ai peu être mal compris le fonctionnement.

Ppixelrock · 8 déc. 2010

Donc ip server est en 192.172.2.4 (Eth0),
Le réseau virtuel est en 192.172.1.0

mais les adresses des clients ce n'est pas un réseaux 192.168.1.0/24 aussi non

moi je me réfère à ton schéma

Tonycab · 8 déc. 2010

Sur mon schéma est indiqué l'IP local des postes. les clients vpn sont sur le réseau virtuel 192.172.1.0

Ppixelrock · 8 déc. 2010

les clients sont 192.168.1.0 non coté droit du shéma avec la livebox et les clients on une passerelle 192.168.1.1 ou je me trompe

Tonycab · 8 déc. 2010

Pixelrock wrote:les clients sont 192.168.1.0 non coté droit du shéma avec la livebox et les clients on une passerelle 192.168.1.1 ou je me trompe

Oui sur Eth0 (IP local)

et sur tun0 (Reseau virtuel) les clients on 192.172.1.xx passerelle 192.172.1.1

Ppixelrock · 8 déc. 2010

ok alors j'ai rien dit j'ai pas fait attention ip local 192.168.1.0 et 192.172.1

Tonycab · 8 déc. 2010

Mon schémas met en erreur, j'aurai pas du représenter le tunnel vpn. ou alors indiquer aussi le réseau virtuel