Bonjour,
J ai une config de ce type:
Docker kylemanna/openvpn<----tun---->192.168.255.10/ 10.8.0.18<----eth0---->10.8.0.19
ainsi qu’un client sur android
Pour le traffic internet tout fonctionne très bien sans souci.
Ce que je cherche a faire c est de pouvoir me connecter au 10.8.0.19 ( on peux changer l’ip si besoin).
Cependant mon niveau de réseau est ce qu’il est, je ne pige rien à la logique du réseau et des tables de routage. Et je demande l’aide.
Amicalement
Tu peux fournir les résultats de :
iptables-save -vnL
ip route
sur ma gateway ( ici une cm3+ avec Raspbian 10)
iptables-save -vnL
Chain INPUT (policy DROP 1045 packets, 30808 bytes)
pkts bytes target prot opt in out source destination
60053 68M ufw-before-logging-input all -- * * 0.0.0.0/0 0.0.0.0/0
60053 68M ufw-before-input all -- * * 0.0.0.0/0 0.0.0.0/0
1058 33189 ufw-after-input all -- * * 0.0.0.0/0 0.0.0.0/0
1045 30808 ufw-after-logging-input all -- * * 0.0.0.0/0 0.0.0.0/0
1045 30808 ufw-reject-input all -- * * 0.0.0.0/0 0.0.0.0/0
1045 30808 ufw-track-input all -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ufw-before-logging-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-before-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-after-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-after-logging-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-reject-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-track-forward all -- * * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 44 packets, 1910 bytes)
pkts bytes target prot opt in out source destination
52804 5553K ufw-before-logging-output all -- * * 0.0.0.0/0 0.0.0.0/0
52804 5553K ufw-before-output all -- * * 0.0.0.0/0 0.0.0.0/0
3234 504K ufw-after-output all -- * * 0.0.0.0/0 0.0.0.0/0
3234 504K ufw-after-logging-output all -- * * 0.0.0.0/0 0.0.0.0/0
3234 504K ufw-reject-output all -- * * 0.0.0.0/0 0.0.0.0/0
3234 504K ufw-track-output all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-before-logging-input (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-before-logging-output (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-before-logging-forward (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-before-input (1 references)
pkts bytes target prot opt in out source destination
387 26998 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
54773 68M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 ufw-logging-deny all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 12
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
4893 592K ufw-not-local all -- * * 0.0.0.0/0 0.0.0.0/0
825 91583 ACCEPT udp -- * * 0.0.0.0/0 224.0.0.251 udp dpt:5353
0 0 ACCEPT udp -- * * 0.0.0.0/0 239.255.255.250 udp dpt:1900
4068 500K ufw-user-input all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-before-output (1 references)
pkts bytes target prot opt in out source destination
387 26998 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
49183 5022K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
3234 504K ufw-user-output all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-before-forward (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 12
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8
0 0 ufw-user-forward all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-after-input (1 references)
pkts bytes target prot opt in out source destination
0 0 ufw-skip-to-policy-input udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:137
0 0 ufw-skip-to-policy-input udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:138
0 0 ufw-skip-to-policy-input tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:139
0 0 ufw-skip-to-policy-input tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:445
3 1040 ufw-skip-to-policy-input udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:67
0 0 ufw-skip-to-policy-input udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:68
10 1341 ufw-skip-to-policy-input all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type BROADCAST
Chain ufw-after-output (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-after-forward (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-after-logging-input (1 references)
pkts bytes target prot opt in out source destination
1045 30808 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "
Chain ufw-after-logging-output (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-after-logging-forward (1 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "
Chain ufw-reject-input (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-reject-output (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-reject-forward (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-track-input (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-track-output (1 references)
pkts bytes target prot opt in out source destination
109 12056 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW
3081 490K ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW
Chain ufw-track-forward (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-logging-deny (2 references)
pkts bytes target prot opt in out source destination
0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID limit: avg 3/min burst 10
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "
Chain ufw-logging-allow (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW ALLOW] "
Chain ufw-skip-to-policy-input (7 references)
pkts bytes target prot opt in out source destination
13 2381 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-skip-to-policy-output (0 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-skip-to-policy-forward (0 references)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-not-local (1 references)
pkts bytes target prot opt in out source destination
2 104 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type LOCAL
1870 122K RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type MULTICAST
3021 470K RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type BROADCAST
0 0 ufw-logging-deny all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-user-input (1 references)
pkts bytes target prot opt in out source destination
2 104 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:22
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5572
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5572
3008 467K ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 137,138 /* 'dapp_Samba' */
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 139,445 /* 'dapp_Samba' */
Chain ufw-user-output (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-user-forward (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-user-logging-input (0 references)
pkts bytes target prot opt in out source destination
Chain ufw-user-logging-output (0 references)
pkts bytes target prot opt in out source destination
Chain ufw-user-logging-forward (0 references)
pkts bytes target prot opt in out source destination
Chain ufw-user-limit (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 0 level 4 prefix "[UFW LIMIT BLOCK] "
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain ufw-user-limit-accept (0 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
ip route
0.0.0.0/1 via 192.168.255.5 dev tun0
default via 192.168.1.1 dev wlan0 src 192.168.1.14 metric 303
10.8.0.0/24 via 192.168.255.5 dev tun0
10.8.0.0/24 dev eth0 proto dhcp scope link src 10.8.0.18 metric 202
51.38.38.239 via 192.168.1.1 dev wlan0
128.0.0.0/1 via 192.168.255.5 dev tun0
192.168.1.0/24 dev wlan0 proto dhcp scope link src 192.168.1.14 metric 303
192.168.255.1 via 192.168.255.5 dev tun0
192.168.255.5 dev tun0 proto kernel scope link src 192.168.255.6
Amicalement
Sinon soit passer sur un autre protocole ou mixer et bridger dans les dockers
Et que donne le retour des commandes :
sysctl net.ipv4.ip_forward
sysctl net.ipv6.conf.all.forwarding
Sur le client ? Sur le server? Le host ou dans le docker?
Normalement, c’est le serveur VPN qui doit faire le routage, du coup, je pense qu’il me faut le résultat de ces commandes depuis le serveur VPN.
Après, je ne connais pas bien Docker, mais il me semble que c’est basé sur LXC, du coup, ces variables sont indépendantes de leur valeur sur l’hôte, mais au cas où, donne-nous aussi le retour de ces commandes depuis l’hôte (en précisant quel retour est celui de l’hôte est lequel est celui du serveur VPN).
Juste le serveur hôte, docker doit sans doute être configuré de façon basique donc rien d’exotique.
moi je veux bien mais je ne vois que wlan0 et tun dans tes routes 
Oui bien entendu, par contre tu as du REJECT dans la partie forward et je répète tu demande pour du eth0 mais on ne vois que du wlan0 et l’interface tun du VPN.
Ah, oui, je n’avais pas fait attention. C’est curieux une connexion en Wifi pour un serveur…
Non c’est un mini pc type Raspberry pi
Bonjour,
Merci pour votre aide.
Là j’ai trouvé une solution pour décaler mon projet et de voir ca tranquillement en Janvier.
En tout cas super.
Bonjour,
Pour faire court, tu as une route en trop dans la table de routage, qui empêche ta Raspberry Pi CM3+ de joindre / ping la machine dont l’adresse IP est 10.8.0.19 .
La route en trop est celle qui passe par tun0 .
Explication un peu plus longue : Il existe plusieurs tables de routage mais pour faire ce que tu souhaites, la table de routage principale, dite main suffit. C’est la table de routage qui s’est affichée quand tu as utilisé la commande ip route .
Dans une table de routage, il est censé n’y avoir qu’une seule route par destination, sauf quand une valeur « metric » est utilisée. La valeur « metric » pour une route vaut 0 par défaut. Dans le cas de plusieurs routes, celle dont la métrique est la plus petite sera utilisée et les autres routes ne seront pas prises en compte.
Il est d’ailleurs possible que la route erronée ai été installée par OpenVPN. Il faut donc que tu vérifies les fichiers de configuration de celui-ci.
–
AnonymousCoward