Openvpn aucune connexion au réseau sur le client

Nelky · Novembre 22, 2016, 3:07pm

Bonjour,
J’ai donc créer un server OPENVPN sur une debian 8.
Mes clients arrivent à ce connecter au serveur mais ensuite il ne peuvent rien faire impossible d’aller sur le réseaux local et sur internet.

Voici la conf côté serveur (server.conf)

port 443
proto tcp
dev tun
sndbuf 0
rcvbuf 0
ca ca.crt
cert server.crt
key server.key
dh dh.pem
tls-auth ta.key 0
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 192.168.82.4"
push "dhcp-option DNS 192.168.81.5"
keepalive 10 120
cipher AES-128-CBC
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify crl.pem

Voici la conf côté client

client
dev tun
proto tcp-client
sndbuf 0
rcvbuf 0
remote A.B.C.D 443
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-128-CBC
comp-lzo
setenv opt block-outside-dns
key-direction 1
verb 3
<ca>xxxxx</ca>
<cert>xxxxxxx</cert>
<key>xxxx</key>
<tls-auth>xxxxxx</tls-auth>

Voici mes iptables (iptables -L)

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

et voici mes route (route -n)

Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
0.0.0.0         192.168.82.10   0.0.0.0         UG    0      0        0 eth0
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
192.168.82.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0

Si vous avez besoin d’autre information n’hésitez pas.
Merci d’avance.
Cordialement Nelky.

Nelky · Novembre 24, 2016, 7:44am

Up Svp
Merci d’avance

PascalHambourg · Novembre 24, 2016, 10:50am

Le fonctionnement en routeur IP est bien activé sur le serveur (sysctl net.ipv4.ip_forward=1) ?

Nelky · Novembre 24, 2016, 1:16pm

Oui ceci est bien activé.

PascalHambourg · Novembre 24, 2016, 1:25pm

Les autres éléments du réseau local (routeur par défaut si différent du serveur VPN, serveurs…) ont-ils une route vers le sous-réseau du VPN ?

Sinon, le serveur VPN fait-il du NAT source (iptables SNAT ou MASQUERADE) pour masquer l’adresse IP des paquets provenant du VPN et sortant sur le réseau local ?

shantilove · Novembre 27, 2016, 6:54am

j’ai eu pas de soucis avec openvpn et si cela peut vous aider j’ai regler le probleme en changeant mes dns pour ceux de google

Nelky · Décembre 5, 2016, 2:40pm

Bonjour,
Alors voici quelques éléments.

Route du mon VPN :

Destination Passerelle Genmask Indic Metric Ref Use Iface 0.0.0.0 192.168.82.10 0.0.0.0 UG 0 0 0 eth0 10.8.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0 192.168.82.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

Mes Iptables :

`Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp – anywhere anywhere state NEW tcp dpt:https
ACCEPT all – anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all – anywhere anywhere
ACCEPT all – anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all – anywhere anywhere state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all – anywhere anywhere
`

et voici les routes de mon client une fois connecter

IPv4 Table de routage

Itinéraires actifs :
Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique
0.0.0.0 0.0.0.0 192.168.43.1 192.168.43.177 25
0.0.0.0 128.0.0.0 10.8.0.1 10.8.0.2 20
10.8.0.0 255.255.255.0 On-link 10.8.0.2 276
10.8.0.2 255.255.255.255 On-link 10.8.0.2 276
10.8.0.255 255.255.255.255 On-link 10.8.0.2 276
62.244.X.X 255.255.255.255 192.168.43.1 192.168.43.177 25
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
128.0.0.0 128.0.0.0 10.8.0.1 10.8.0.2 20
192.168.43.0 255.255.255.0 On-link 192.168.43.177 281
192.168.43.177 255.255.255.255 On-link 192.168.43.177 281
192.168.43.255 255.255.255.255 On-link 192.168.43.177 281
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.43.177 281
224.0.0.0 240.0.0.0 On-link 10.8.0.2 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.43.177 281
255.255.255.255 255.255.255.255 On-link 10.8.0.2 276

Cordialement,

PascalHambourg · Décembre 6, 2016, 8:29am

Cela ne répond pas à mes questions.

Le routeur du réseau (d’adresse 192.168.82.10) a-t-il une route pour le préfixe du VPN 10.8.0.0/255.255.255.0 ? Voir la table de routage de ce routeur.

Le serveur VPN a-t-il des règles iptables de NAT source ? On ne peut pas les voir avec iptables -L, il vaut mieux utiliser iptables-save pour afficher toutes les tables.

Une de ces conditions doit être vraie pour qu’un client du VPN puisse communiquer au delà du serveur.

Nelky · Décembre 6, 2016, 7:14am

Oups Désolé voici le résultat de la commande iptables-save

nat :PREROUTING ACCEPT [24628:3082894] :INPUT ACCEPT [15916:2248887] :OUTPUT ACCEPT [367:42370] :POSTROUTING ACCEPT [367:42370] -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source 62.244.X.X COMMIT

et il n’y a aucune route sur mon routeur qui parle du réseaux 10.8.0.0/24
Cordialement,

PascalHambourg · Décembre 6, 2016, 8:38am

Pas besoin de route puisqu’iptables a une règle de NAT source. L’une ou l’autre suffit.

Par contre, d’après la table de routage du serveur VPN, l’adresse source de remplacement 62.244.X.X ne semble pas être celle de l’interface eth0 du serveur VPN. D’après la table de routage du client, je dirais que c’est plutôt l’adresse IP publique du routeur du serveur. Il faut mettre l’adresse d’eth0, ou plus simplement utiliser la cible MASQUERADE qui détermine automatiquement l’adresse source au lieu de SNAT.

Nelky · Décembre 6, 2016, 9:32am

Est-ce bien cette commande qu’il faut que je rentre pour utiliser la cible MASQUERADE ?

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

PascalHambourg · Décembre 6, 2016, 10:08am

Oui, par exemple, en remplacement de la règle SNAT.

Un petit mot concernant les règles de filtrage de la table filter : si les politiques par défaut des chaînes sont à ACCEPT, créer des règles avec la cible ACCEPT ne sert à rien puisque tout est déjà autorisé.

Nelky · Décembre 6, 2016, 10:39am

C’est Supppper tout fonctionne à merveille !!!
J’ai pourtant rajouter cette ligne plusieurs fois sans supprimer la règle SNAT par contre !!
Savez-vous comment je puisse enregistrer cette configuration car la commande suivante n’a pas fonctionné iptables-save>/etc/iptables.rules au redémarrage il m’as remis la règle SNAT.
Merci beaucoup !

PascalHambourg · Décembre 6, 2016, 11:14am

Si la règle SNAT reste en premier, c’est elle qui est prise en compte et le traitement s’arrête, donc les règles suivantes de la chaîne ne sont pas appliquées.
Une astuce pour tester rapidement était de remplacer -A par -I pour insérer la nouvelle règle en début de chaîne plutôt que l’ajouter à la fin.

Il faut voir comment les règles ont été mises en place au démarrage à l’origine.
Avec un script dans /etc/init.d/ ou /etc/rc.local, avec des options pre-up/up/post-up dans /etc/network/interfaces, avec le paquet iptables-persistent… ?

Nelky · Décembre 6, 2016, 12:59pm

La règle iptables se trouvais dans le fichier /etc/rc.local.
Merci grâce à vous j’ai pu en apprendre un peux plus sur iptables et surtout résoudre mon problème.
Merci
Cordialement Steeven.