Forcer la connexion à couper si le vpn tombe

domoticity · Septembre 15, 2018, 4:21pm

Bonsoir à toutes et à tous.
Dans un premier temps je vais vous exposer le projet sur lequel je suis et ensuite poser ma question

J’ai une carte mère avec une carte réseau intégrée et une rajoutee en pci.
L’os est debian jessie( je ne suis pas encore passé à stretch à cause de la gestion réseau, je ne suis pas encore prêt à sauter le pas ).

Ce projet me servirai à stocker des documents pro et perso accessible à distance.
Une des carte réseau serait consacrée à la connexion LAN et donc ne sortirait pas sur internet.
Son objectif est d alimenter le disque dur en données et permettre la configuration du serveur en ssh et en interne.

La deuxième carte servirait seulement à aller sur internet via une connexion protégé sous vpn, openvpn(ayant un abonnement chez nordvpn ).
Et donc me permettre l accès à la carte en étant à l’extérieur.

Ma question est
1- imaginons que la connexion vpn tombe pour X raison, puis je bloquer automatiquement le réseau de la carte réseau dédiée?
En vous remerciant d avance

PascalHambourg · Septembre 9, 2018, 1:49pm

Je n’ai pas compris ce que tu voulais faire, à quoi sert la seconde carte ethernet, à quoi elle est connectée, par où passe le VPN, qui va sur internet depuis où ni en quoi cela permet l’accès depuis l’extérieur.

domoticity · Septembre 11, 2018, 9:23am

Hello.
Désolé de ne répondre que maintient, beaucoup de boulot

Alors je vais essayer d être plus precis:

Mon serveur sous debian à deux cartes réseau :eth1 et eth2.

Le vpn est véhiculé sur eth2 qui servirait à être accessible en extérieur, via un dyndns installe dans le serveur.
La connexion passant par eth2, j aimerais quelle soit exclusivement en vpn(j ai un abonnement nordvpn).
Imaginons pour X raisons le vpn tombe, j aimerais que la connexion de eth2 tombe aussi. Plis de flux.

Eth1 servirai seulement à prendre la main sur le serveur mais en interne, en man

PascalHambourg · Septembre 11, 2018, 11:58am

L’interface eth2 a une adresse IP publique ?

Problème : il faut que l’interface soit active pour que le VPN puisse monter. Donc si l’interface est désactivée quand le VPN tombe, ce dernier ne pourra plus remonter.

Est-ce qu’un filtrage avec iptables qui ne laisserait passer que le flux VPN serait une solution acceptable ?
Accessoirement, pourquoi vouloir désactiver l’interface ? Quels autres flux que le VPN pourraient y passer ?

domoticity · Septembre 11, 2018, 2:43pm

l’interface eth2 aura une ip publique

pour le vpn, je pense que ton idée est celle que je cherche.
Via iptable et son filtrage je peux faire en sorte que si le vpn est coupé, plus de flux passe?
Je vais me documenter sur iptable .
Merci en totu cas

PascalHambourg · Septembre 12, 2018, 11:44am

Oui, si tu peux exécuter des scripts lors de l’établissement et de la terminaison du VPN.
Mais tu n’as pas répondu : quel flux autres que le VPN sont censés passer par l’interface eth2 ?

domoticity · Septembre 15, 2018, 3:08pm

Hello,
désolé de ne répondre que maintenant, beaucoup de boulot.
Tout d’abord merci pour ton aide.
A part le vpn j’aimerais que rien ne passe justement.

Ce boitier,accessible de l’exterieur seulement en vpn, sera une sorte de coffre fort pour mes documents ( perso mais aussi boulot).

PascalHambourg · Septembre 16, 2018, 7:34am

Dans ce cas il suffit de n’autoriser que les paquets du VPN sur cette interface en permanence (UDP port 1194 par défaut si je ne m’abuse).
La façon de réaliser cela dépend du jeu de règles iptables déjà en place.

domoticity · Février 23, 2019, 9:47am

bonjour, je voulais te remercier pour ta réponse.
Désolé de ne le faire que maintenant, mais je n’avais pas vu avant.
Mieux vaut tard que jamais