Vous n'êtes pas identifié(e).
Dernière modification par ztheoz (17-04-2017 00:49:50)
Hors ligne
J'aimerais pourvoir sélectionner les services passant par le tunnel (interface tun0).
Tu parles de connexions entrantes ou sortantes ?
la redirection automatique des flux
Qu'est-ce que c'est ?
Question subsidiaire : qu'y a-t-il à l'autre bout du (des) VPN ?
Dernière modification par raleur (12-04-2017 14:20:55)
Il vaut mieux montrer que raconter.
Hors ligne
Tu parles de connexions entrantes ou sortantes ?
Je parle des deux.
la redirection automatique des flux
En gros, quand on installe OpenVpn, il fait passer tous les flux par le tunnel VPN, mais j'ai désactivé cette option, car je ne veux qu'il n'y ai qu'un seul service qui passe dans le tunnel.
Question subsidiaire : qu'y a-t-il à l'autre bout du (des) VPN ?
Il y a un accès internet avec une autre adresse IP.
Hors ligne
il fait passer tous les flux par le tunnel VPN
Modification de la route par défaut. Rien à voir avec une redirection.
Pour les connexions entrantes, et si le service dont les flux sortants doivent passer dans le tunnel peut être configuré de façon à utiliser explicitement l'adresse IP du VPN comme adresse source, tu peux faire du routage avancé basé sur l'adresse source, comme ce que j'ai proposé (mais dans l'autre sens) dans ce fil :
https://debian-facile.org/viewtopic.php?id=17561
A noter que l'application n'utilisera pas forcément l'adresse spécifiée pour toutes ses communications, par exemple pour les requêtes DNS (cf. DNS leak).
Si ce n'est pas suffisant. il faudra faire du routage avancé basé sur le marquage de paquets par des règles iptables. Cela permet de marquer des paquets par adresse, protocole de transport (TCP, UDP...), port, UID/GID (identifiant utilisateur/groupe du processus)... Il faudra ajouter du NAT source par dessus pour que les paquets reroutés vers le VPN partent avec la bonne adresse source.
Il vaut mieux montrer que raconter.
Hors ligne
Hors ligne
Le choix de la table 7 et de la marque 7 est arbitraire.
La seconde commande est à exécuter à chaque fois que le VPN est monté, car la route est détruite quand l'interface tun0 tombe.
Ensuite il faut créer les règles iptables pour marquer les paquets à router par le VPN.
Par exemple pour les connexions sortantes vers le port TCP 12345 :
La seconde règle sert à faire en sorte que les paquets reroutés dans le VPN aient l'adresse de tun0 comme adresse source.
La difficulté consiste à identifier et caractériser les flux réseau devant passer par le VPN pour les traduire en règles iptables.
Il vaut mieux montrer que raconter.
Hors ligne
Hors ligne