logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 16-12-2018 18:06:28

empereur-x
Membre
Distrib. : Debian the best.
Noyau : Noyau terrestre.
(G)UI : KDE.
Inscription : 06-02-2017

Openvpn trafic réseau.

Bonjour,


Je remarque qu'en me connectant via openvpn dans une console, que tout le trafic internet ne passe pas par openvpn et que certains programmes comme chromium ne l'utilise même pas.


Je le vérifie en regardant le trafic réseau de la connexion du pc en question et en bricolant le firewall du serveur vpn pour que celui-ci ne laisse rien passer mais , chromium passe quand même.


La vraie question est comment rediriger l'ensemble des connexions de mes applications par le vpn  (en me connectant au vpn via console) ?


Merci ! tongue

Relax

Hors ligne

#2 16-12-2018 22:19:20

raleur
Membre
Inscription : 03-10-2014

Re : Openvpn trafic réseau.

Ce sont les règles et tables de routage IPv4 et IPv6 qui déterminent comment les paquets sont routés.

ip -4 rule
ip -4 route show table all
ip -6 rule
ip -6 route show table all


En complément, peux-tu fournir un échantillon de paquets qui ne sont pas routés via le VPN ?


Il vaut mieux montrer que raconter.

Hors ligne

#3 17-12-2018 23:53:16

empereur-x
Membre
Distrib. : Debian the best.
Noyau : Noyau terrestre.
(G)UI : KDE.
Inscription : 06-02-2017

Re : Openvpn trafic réseau.

Bonjour,

ip -4 rule


0:  from all lookup local
32766:  from all lookup main
32767:  from all lookup default


ip -4 route show table all


0.0.0.0/1 via 10.8.0.1 dev tun0
default via 192.168.0.1 dev enp7s0 proto static metric 100
10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.2
"IP PUBLIC IPV4" via 192.168.0.1 dev enp7s0
128.0.0.0/1 via 10.8.0.1 dev tun0
169.254.0.0/16 dev enp7s0 scope link metric 1000
192.168.0.0/24 dev enp7s0 proto kernel scope link src 192.168.0.171 metric 100
broadcast 10.8.0.0 dev tun0 table local proto kernel scope link src 10.8.0.2
local 10.8.0.2 dev tun0 table local proto kernel scope host src 10.8.0.2
broadcast 10.8.0.255 dev tun0 table local proto kernel scope link src 10.8.0.2
broadcast 127.0.0.0 dev lo table local proto kernel scope link src 127.0.0.1
local 127.0.0.0/8 dev lo table local proto kernel scope host src 127.0.0.1
local 127.0.0.1 dev lo table local proto kernel scope host src 127.0.0.1
broadcast 127.255.255.255 dev lo table local proto kernel scope link src 127.0.0.1
broadcast 192.168.0.0 dev enp7s0 table local proto kernel scope link src 192.168.0.171
local 192.168.0.171 dev enp7s0 table local proto kernel scope host src 192.168.0.171
broadcast 192.168.0.255 dev enp7s0 table local proto kernel scope link src 192.168.0.171
 


ip -6 rule


0:      from all lookup local
32766:  from all lookup main


ip -6 route show table all


"IP PUBLIC IPV6" via fe80::3a43:7dff:fe5d:ea4d dev enp7s0 proto ra metric 100  pref medium
fe80::3a43:7dff:fe5d:ea4d dev enp7s0 proto static metric 100  pref medium
fe80::/64 dev enp7s0 proto kernel metric 256  pref medium
fe80::/64 dev tun0 proto kernel metric 256  pref medium
default via fe80::3a43:7dff:fe5d:ea4d dev enp7s0 proto static metric 100  pref medium
unreachable default dev lo proto kernel metric 4294967295  error -101 pref medium
local ::1 dev lo table local proto none metric 0  pref medium
local "**************************************" dev lo table local proto none metric 0  pref medium
local "**************************************" dev lo table local proto none metric 0  pref medium
local fe80::6b08:ff66:e7cc:7766 dev lo table local proto none metric 0  pref medium
local fe80::883a:be76:2589:fcc0 dev lo table local proto none metric 0  pref medium
ff00::/8 dev enp7s0 table local metric 256  pref medium
ff00::/8 dev tun0 table local metric 256  pref medium
unreachable default dev lo proto kernel metric 4294967295  error -101 pref medium
 



Alors veuillez m'excuser, la suite est peut-être un peu "dégueulasse" mais je ne voyais pas comment faire autrement dans l'immédiat big_smile

Ici j'ai utilisé chromium toujours connecté au vpn via la console :
https://mega.nz/#!P2g0AS4L!rysrc1agMQY_ … s7rVHKCGVU

Ici ce qui se passe au niveau de tun0 :
https://mega.nz/#!v7pwSY5A!72JEG59j8OhW … voLQ9jldFs

Et ici j'ai utilisé un autre navigateur :
https://mega.nz/#!K7g2xQaC!lv4VQgyiTSIh … xLSYeyy6Ew

Et tun0 :
https://mega.nz/#!ei4GnS4a!x6DFoR81qPlj … Tjpc75OMTY

J'ai l'impression que le problème est L'ipv6 mais peut être rien avoir !

Dernière modification par empereur-x (18-12-2018 21:04:50)


Relax

Hors ligne

#4 18-12-2018 15:56:11

empereur-x
Membre
Distrib. : Debian the best.
Noyau : Noyau terrestre.
(G)UI : KDE.
Inscription : 06-02-2017

Re : Openvpn trafic réseau.

J'aurais peut-être dû utiliser tcpdump, au lieu de wireshark ?

Est-il possible de faire en sorte dans mon par-feu de dire que les connexions à internet ne passent que par le vpn ? (C'est peut être plus simple)

Dernière modification par empereur-x (18-12-2018 21:04:17)


Relax

Hors ligne

#5 18-12-2018 21:30:20

raleur
Membre
Inscription : 03-10-2014

Re : Openvpn trafic réseau.

L'examen des règles et tables de routage ne révèle rien d'inhabituel. En voici néanmoins une synthèse :

- les paquets IPv4 à destination des adresses locales à la machines sont routées par l'interface lo - normal
- les paquets IPv4 à destination du réseau local sont routés par l'interface ethernet - ne pas oublier que cela peut inclure les requêtes DNS si la box est utilisée comme serveur DNS ; on voit dans les captures que n'est pas le cas, les requêtes DNS sont envoyées à un serveur extérieur
- les paquets IPv4 à destination de l'adresse de la passerelle VPN sont routés par l'interface ethernet - forcément, le VPN ne peut pas se router dans lui-même
- les autres paquets IPv4 sont routés par le VPN

- les paquets IPv6 à destination des adresses locales à la machines sont routées par l'interface lo - normal
- les autres paquets IPv6 sont routés par l'interface ethernet

A quoi correspond "IP PUBLIC IPV6" ?

empereur-x a écrit :

la suite est peut-être un peu "dégueulasse"


Tu as raison, c'est pour le moins discutable de poster des images sur un site de téléchargement extérieur qui rame au lieu de poster le texte brut directement dans le forum.

empereur-x a écrit :

Ici j'ai utilisé chromium toujours connecté au vpn via la console


On peut voir du trafic IPv4 HTTPS et DNS (dont des requêtes pour des adresses IPv6) dans le VPN et du trafic IPv6 HTTPS en ethernet. C'est cohérent avec les tables de routage.

empereur-x a écrit :

Et ici j'ai utilisé un autre navigateur :


On voit de l'IPv4 HTTPS dans le VPN et de l'IPv4 TCP depuis et vers une adresse qui est celle de la passerelle VPN, je suppose. Pas d'IPv6.

empereur-x a écrit :

J'ai l'impression que le problème est L'ipv6


En effet, c'est ce qu'il ressort des informations fournies.

empereur-x a écrit :

J'aurais peut-être dû utiliser tcpdump, au lieu de wireshark ?


Peu importe, du moment que tu postes le résultat sous forme de texte brut au lieu d'images.

empereur-x a écrit :

Est-il possible de faire en sorte dans mon par-feu de dire que les connexions à internet ne passent que par le vpn ?


Oui, il suffit de bloquer le trafic IPv6 sur l'interface ethernet. Mais ça risque de causer des lenteurs lorsqu'une application cherchera à se connecter à une adresse IPv6.
Tu ne peux pas configurer le VPN pour dévier la route IPv6 par défaut, comme pour l'IPv4 ?


Il vaut mieux montrer que raconter.

Hors ligne

#6 28-12-2018 22:45:33

empereur-x
Membre
Distrib. : Debian the best.
Noyau : Noyau terrestre.
(G)UI : KDE.
Inscription : 06-02-2017

Re : Openvpn trafic réseau.

Bonjour,

"IP PUBLIC IPV6" j'ai dû confondre ! tongue

j'ai écrit ce qui suit, dans le fichier de configuration du server openvpn,
mais rien ne change il me semble au niveau des paquets ipv6 qui transitent :

dev tun0-ipv6
port 1297
proto udp
auth-nocache
cipher AES-256-CBC
ifconfig 10.8.0.1 10.8.0.2
ifconfig-ipv6 2001:db8:ee00:ee00::1/124 2001:db8:ee00:ee00::2
keepalive 10 120
persist-key
persist-tun

Voici la configuration pour le server vpn :

http://www.pivpn.io

Y aurait-il une façon de colmater la fuite de l'ipv6?

Relax

Hors ligne

#7 29-12-2018 11:19:33

raleur
Membre
Inscription : 03-10-2014

Re : Openvpn trafic réseau.

empereur-x a écrit :

dev tun0-ipv6


Qu'est-ce que c'est que ce truc ?

Il y a longtemps que je ne me suis pas penché sur openvpn mais il ne devrait pas y avoir des options du style defaultroute pour indiquer que le VPN doit dévier les routes par défaut IPv4 et IPv6 dans le tunnel ?

Note : configurer une adresse IPv6 non routée (2001:db8::/32 est réservé aux exemples et à la documentation) risque de provoquer des ralentissements si la machine essaie de l'utiliser pour communiquer.

Dernière modification par raleur (29-12-2018 11:21:36)


Il vaut mieux montrer que raconter.

Hors ligne

#8 15-01-2019 13:30:59

empereur-x
Membre
Distrib. : Debian the best.
Noyau : Noyau terrestre.
(G)UI : KDE.
Inscription : 06-02-2017

Re : Openvpn trafic réseau.

Ok je vais essayer de régler ca.

Relax

Hors ligne

Pied de page des forums