Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 17-10-2016 20:46:35

moi4567
Membre
Distrib. : Jessie
Noyau : Linux 3.16.0-4-amd64
(G)UI : Gnome 3
Inscription : 22-06-2015

[Résolu] Routage inter-passerelle

Bonjour à tous smile

Je me suis monté un serveur VPN sur un raspberry, tous fonctionne très bien sauf le routage vers "l'exterieur". C'est à dire qu'au moment ou un client est connecté via le VPN il récupère bien une IP (via OpenVPN), ping bien tout le réseau local mais pour pouvoir pinguer des IPs publiques je doit ajouter la route vers mon routeur FAI à la main... Pas très pratique hmm

Le client VPN ping bien la passerelle, le raspberry ping bien des IPs publiques mais le client ne peux pas les pinguers...

La passerelle VPN (raspberry) ne devrait elle pas rediriger les paquets dont la destination est inconnu vers sa passerelle par defaut? scratchhead.gif

Si vous avez une piste je prend parce que je sèche un peux smile

Solution: J'avais oublié d'activer l'ip forwarding. Pour ce faire, il faut éditer le fichier /etc/sysctl.conf et atribuer 1 à l'argument net.ipv4.ip_forward.

Dernière modification par moi4567 (18-10-2016 20:20:51)

Hors ligne

#2 17-10-2016 21:33:02

raleur
Membre
Inscription : 03-10-2014

Re : [Résolu] Routage inter-passerelle

Pas très clair.
L'extérieur de quoi ?
Où est le client du VPN ?
Ou est le serveur VPN ?
De quel réseau local s'agit-il ?
De quel routeur FAI s'agit-il (pas le modèle, l'emplacement) ?
Un petit schéma, peut-être ?

Faut-il ajouter une route sur le client ou le serveur ?

Peux-tu fournir les tables de routage du client et du serveur, et la route qu'il faut ajouter ?

moi4567 a écrit :

La passerelle VPN (raspberry) ne devrait elle pas rediriger les paquets dont la destination est inconnu vers sa passerelle par defaut?


Contradictoire. Si elle a une route par défaut, elle n'a pas de destination inconnue.
S'il faut ajouter une route sur le client, c'est le client qui ne sait pas router les paquets comme il faut, pas le serveur.

Dernière modification par raleur (17-10-2016 21:35:10)

Hors ligne

#3 17-10-2016 21:37:12

tatave
Membre
Lieu : France-Belgique
Distrib. : Debian 8.4x / Pfsense 2.3.x / esxi 5.5 / nas4free
Inscription : 23-06-2014
Site Web

Re : [Résolu] Routage inter-passerelle

salut salut

Je rebondis sur les propos de raleur, par et por l'acces internet y a une box et ou un pare-feu entre le vpn-box et l'extérieur ?

vous me faites penser a un gars qui veux piloter un jet super sonique sans apprendre les bases du pilotage et d'avionique.

++

1 Cluster Pare-feu sous Pfsense 2.3.x (2wan,1wifi,1dmz,1lan)
1 Cluster Data center maison sous nas4free 10.3.x
2 Cluster Labo de Virtualisation 1 sous esxi et 1 sous hyper-v
----- vm prod debian, windows serveur 2012/2016, freebsd

Hors ligne

#4 17-10-2016 22:53:04

moi4567
Membre
Distrib. : Jessie
Noyau : Linux 3.16.0-4-amd64
(G)UI : Gnome 3
Inscription : 22-06-2015

Re : [Résolu] Routage inter-passerelle

Alors effectivement je n'ai pas donné beaucoup d'infos... Voici quelques détails:

raleur a écrit :

L'extérieur de quoi ?


Du réseau local, en bref, l'accès aux IPs publiques

raleur a écrit :

Où est le client du VPN ?


En dehors du réseau local, où précisément? Peu importe

raleur a écrit :

Ou est le serveur VPN ?


Dans le réseau local avec l'IP 192.168.1.253.

raleur a écrit :

De quel réseau local s'agit-il ?


Celui d'un particulier, monsieur tous le monde.

raleur a écrit :

De quel routeur FAI s'agit-il (pas le modèle, l'emplacement) ?


C'est une BBOX après je ne sais pas précisément quel routeur ils y ont mis. Sont emplacement dans le réseau: 192.168.1.254

raleur a écrit :

Un petit schéma, peut-être ?


Le voici, c'est sûr que ça sera plus simple à expliquer comme ça smile

255357ResseauVPN.png

Pour info:
- Le client VPN utilise le port 1194
- Il y a une redirection du port 1194 de la box (192.168.1.254) vers le raspberry (192.168.1.253) sur le port 1194.
- Le serveur DNS utilisé par le client VPN est celui de la box (192.168.1.254).

Les routes du raspberry:

route -n


Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
0.0.0.0         192.168.1.254   0.0.0.0         UG    0      0        0 br0
0.0.0.0         192.168.1.253   0.0.0.0         UG    0      0        0 br0
169.254.0.0     0.0.0.0         255.255.0.0     U     204    0        0 eth1
169.254.0.0     0.0.0.0         255.255.0.0     U     205    0        0 tap0
192.168.1.0     0.0.0.0         255.255.255.0   U     206    0        0 br0



L'interface br0 est un bridge pour les interfaces eth1 et tap0
L'interface eth1 permet à un une machine d'accéder au réseau (rien à voir avec le VPN).
L'interface tap0 correspond à l'interface d'openvpn.

Les routes du client:

route -n


Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
0.0.0.0         192.168.1.253   0.0.0.0         UG    1024   0        0 tap0
176.159.226.109 192.168.43.1    255.255.255.255 UGH   10     0        0 wlan0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 tap0
192.168.1.0     192.168.1.253   255.255.255.0   UG    1024   0        0 tap0
192.168.43.0    0.0.0.0         255.255.255.0   U     0      0        0 wlan0



Puis voici l'ajout manuel de la passerelle par défaut:

route add default gw 192.168.1.254



Après ça tous se passe sans soucis, les clients VPN ont accès aux IPs publiques.

tatave a écrit :

... y a une box et ou un pare-feu entre le vpn-box et l'extérieur ?


Bonne question, il y a bien un pare-feu (celui de la box) mais aucune règle n'a été rajouté. La seule active interdit les protocoles TCP et UDP sur le port 25 donc normalement pas de soucis.


Désolé, c'est vrai que je n'ai pas apporté beaucoup de précision, sur le coup ça me paraissais évident puisque je connais la situation ^^'

Hors ligne

#5 17-10-2016 23:17:01

raleur
Membre
Inscription : 03-10-2014

Re : [Résolu] Routage inter-passerelle

moi4567 a écrit :

L'interface br0 est un bridge pour les interfaces eth1 et tap0


C'est l'information capitale qui manquait. Le serveur VPN est un pont transparent entre le client et le LAN, pas un routeur. Il joue le même rôle qu'un switch ethernet. Par conséquent l'adresse de la passerelle par défaut doit être celle du routeur du LAN.

Tu peux aussi utiliser le serveur VPN comme passerelle par défaut à condition qu'il soit configuré en routeur (ip_forward=1) mais attention s'il y a des règles de filtrage iptables dessus car le routage ne sera pas symétrique : les paquets aller seront routés, mais les paquets retour seront pontés.

Hors ligne

#6 18-10-2016 20:14:34

moi4567
Membre
Distrib. : Jessie
Noyau : Linux 3.16.0-4-amd64
(G)UI : Gnome 3
Inscription : 22-06-2015

Re : [Résolu] Routage inter-passerelle

raleur a écrit :

...Tu peux aussi utiliser le serveur VPN comme passerelle par défaut à condition qu'il soit configuré en routeur (ip_forward=1)...



Honte à moi et à mes trois prochaines générations... J'ai oublié l'ip forwarding... J'étais absolument persuadé de l'avoir activé... ops.gif
Un grand merci à toi big_smile j'étais tellement sûr de l'avoir fait que je n'ai même pas pris la peine de vérifier... roll

Hors ligne

Pied de page des forums