[Résolu] Routage inter-passerelle

moi4567 · 17-10-2016 20:46:35

Bonjour à tous

Je me suis monté un serveur VPN sur un raspberry, tous fonctionne très bien sauf le routage vers "l'exterieur". C'est à dire qu'au moment ou un client est connecté via le VPN il récupère bien une IP (via OpenVPN), ping bien tout le réseau local mais pour pouvoir pinguer des IPs publiques je doit ajouter la route vers mon routeur FAI à la main... Pas très pratique

Le client VPN ping bien la passerelle, le raspberry ping bien des IPs publiques mais le client ne peux pas les pinguers...

La passerelle VPN (raspberry) ne devrait elle pas rediriger les paquets dont la destination est inconnu vers sa passerelle par defaut?

Si vous avez une piste je prend parce que je sèche un peux

Solution: J'avais oublié d'activer l'ip forwarding. Pour ce faire, il faut éditer le fichier /etc/sysctl.conf et atribuer 1 à l'argument net.ipv4.ip_forward.

Dernière modification par moi4567 (18-10-2016 20:20:51)

raleur · 17-10-2016 21:33:02

Pas très clair.
L'extérieur de quoi ?
Où est le client du VPN ?
Ou est le serveur VPN ?
De quel réseau local s'agit-il ?
De quel routeur FAI s'agit-il (pas le modèle, l'emplacement) ?
Un petit schéma, peut-être ?

Faut-il ajouter une route sur le client ou le serveur ?

Peux-tu fournir les tables de routage du client et du serveur, et la route qu'il faut ajouter ?

moi4567 a écrit :

La passerelle VPN (raspberry) ne devrait elle pas rediriger les paquets dont la destination est inconnu vers sa passerelle par defaut?

Contradictoire. Si elle a une route par défaut, elle n'a pas de destination inconnue.
S'il faut ajouter une route sur le client, c'est le client qui ne sait pas router les paquets comme il faut, pas le serveur.

Dernière modification par raleur (17-10-2016 21:35:10)

tatave · 17-10-2016 21:37:12

salut salut

Je rebondis sur les propos de raleur, par et por l'acces internet y a une box et ou un pare-feu entre le vpn-box et l'extérieur ?

vous me faites penser a un gars qui veux piloter un jet super sonique sans apprendre les bases du pilotage et d'avionique.

++

moi4567 · 17-10-2016 22:53:04

Alors effectivement je n'ai pas donné beaucoup d'infos... Voici quelques détails:

raleur a écrit :

L'extérieur de quoi ?

Du réseau local, en bref, l'accès aux IPs publiques

raleur a écrit :

Où est le client du VPN ?

En dehors du réseau local, où précisément? Peu importe

raleur a écrit :

Ou est le serveur VPN ?

Dans le réseau local avec l'IP 192.168.1.253.

raleur a écrit :

De quel réseau local s'agit-il ?

Celui d'un particulier, monsieur tous le monde.

raleur a écrit :

De quel routeur FAI s'agit-il (pas le modèle, l'emplacement) ?

C'est une BBOX après je ne sais pas précisément quel routeur ils y ont mis. Sont emplacement dans le réseau: 192.168.1.254

raleur a écrit :

Un petit schéma, peut-être ?

Le voici, c'est sûr que ça sera plus simple à expliquer comme ça

Pour info:
- Le client VPN utilise le port 1194
- Il y a une redirection du port 1194 de la box (192.168.1.254) vers le raspberry (192.168.1.253) sur le port 1194.
- Le serveur DNS utilisé par le client VPN est celui de la box (192.168.1.254).

Les routes du raspberry:

route -n

Table de routage IP du noyau

Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface

0.0.0         192.168.1.254   0.0.0.0         UG    0      0        0 br0

0.0.0         192.168.1.253   0.0.0.0         UG    0      0        0 br0

254.0.0     0.0.0.0         255.255.0.0     U     204    0        0 eth1

254.0.0     0.0.0.0         255.255.0.0     U     205    0        0 tap0

168.1.0     0.0.0.0         255.255.255.0   U     206    0        0 br0

L'interface br0 est un bridge pour les interfaces eth1 et tap0
L'interface eth1 permet à un une machine d'accéder au réseau (rien à voir avec le VPN).
L'interface tap0 correspond à l'interface d'openvpn.

Les routes du client:

route -n

Table de routage IP du noyau

Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface

0.0.0         192.168.1.253   0.0.0.0         UG    1024   0        0 tap0

159.226.109 192.168.43.1    255.255.255.255 UGH   10     0        0 wlan0

168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 tap0

168.1.0     192.168.1.253   255.255.255.0   UG    1024   0        0 tap0

168.43.0    0.0.0.0         255.255.255.0   U     0      0        0 wlan0

Puis voici l'ajout manuel de la passerelle par défaut:

route add default gw 192.168.1.254

Après ça tous se passe sans soucis, les clients VPN ont accès aux IPs publiques.

tatave a écrit :

... y a une box et ou un pare-feu entre le vpn-box et l'extérieur ?

Bonne question, il y a bien un pare-feu (celui de la box) mais aucune règle n'a été rajouté. La seule active interdit les protocoles TCP et UDP sur le port 25 donc normalement pas de soucis.

Désolé, c'est vrai que je n'ai pas apporté beaucoup de précision, sur le coup ça me paraissais évident puisque je connais la situation ^^'

raleur · 17-10-2016 23:17:01

moi4567 a écrit :

L'interface br0 est un bridge pour les interfaces eth1 et tap0

C'est l'information capitale qui manquait. Le serveur VPN est un pont transparent entre le client et le LAN, pas un routeur. Il joue le même rôle qu'un switch ethernet. Par conséquent l'adresse de la passerelle par défaut doit être celle du routeur du LAN.

Tu peux aussi utiliser le serveur VPN comme passerelle par défaut à condition qu'il soit configuré en routeur (ip_forward=1) mais attention s'il y a des règles de filtrage iptables dessus car le routage ne sera pas symétrique : les paquets aller seront routés, mais les paquets retour seront pontés.

moi4567 · 18-10-2016 20:14:34

raleur a écrit :

...Tu peux aussi utiliser le serveur VPN comme passerelle par défaut à condition qu'il soit configuré en routeur (ip_forward=1)...

Honte à moi et à mes trois prochaines générations... J'ai oublié l'ip forwarding... J'étais absolument persuadé de l'avoir activé...
Un grand merci à toi j'étais tellement sûr de l'avoir fait que je n'ai même pas pris la peine de vérifier...

Debian-facile

#1 17-10-2016 20:46:35

[Résolu] Routage inter-passerelle

#2 17-10-2016 21:33:02

Re : [Résolu] Routage inter-passerelle

#3 17-10-2016 21:37:12

Re : [Résolu] Routage inter-passerelle

#4 17-10-2016 22:53:04

Re : [Résolu] Routage inter-passerelle

#5 17-10-2016 23:17:01

Re : [Résolu] Routage inter-passerelle

#6 18-10-2016 20:14:34

Re : [Résolu] Routage inter-passerelle

Pied de page des forums