Openvpn et ip fowarding

valyno · Février 21, 2016, 7:54pm

Bonjour,

Voilà, je viens de m’installer une petite Debian Wheezy sur un serveur. So far, so good.
J’ai entrepris de me monter un serveur vpn pour sécuriser quelque peu le surf depuis mon smartphone quand je suis sur un hotspot wifi public.
Pour cela, j’ai installé openvpn. Je parviens à me connecter sur mon serveur et à accéder à mon réseau local.

Là où le bât blesse, c’est que je ne parviens pas à accéder à internet depuis le server vpn.
Je comprends qu’une fois le server vpn configuré, il faut paramétrer l’OS pour permettre l’ip forwarding.
Et là, c’ets le drame.
J’ai suivi ce tuto mais tout ce que j’ai réussi à faire, c’est couper mon server de mon réseau local et internet…

Je suis donc à la recherche d’une procédure détaillée ( je n’ai aucune formation informatique ni réseau) qui me permettrais d’ouvrir les vannes (et surtout de comprendre ce que je fais…)

Merci par avance pour vos contributions.

Valyno

[edit] : j’utilise le client openvpn sur mon android : il génère le fichier conf depuis les instructions reçues depuis le serveur.
est-ce que mes problèmes de connection au web peuvent venir d’un probleme de config du client ?

valyno · Février 21, 2016, 7:54pm

Suite :

J’ai passé en revue les divers éléments de ma config :

mon openvpn.conf
l’output de démarrage de openvpn
le résultat d’ifconfig
le résultat de route
le résultat de sysctl -p
le contenu de mon fichier interfaces
le résultat de iptables -L -t nat

que je reproduis ci-dessous pour les soumettre à votre sagacité.
A noter que j’ai ré-initialisé mes règles ip table

OpenVpn Start

root@xxxxx:/etc/openvpn# openvpn openvpn.conf
Sun Feb 9 19:00:50 2014 OpenVPN 2.2.1 x86_64-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Jun 18 2013
Sun Feb 9 19:00:50 2014 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Sun Feb 9 19:00:50 2014 NOTE: OpenVPN 2.1 requires ‘–script-security 2’ or higher to call user-defined scripts or executables
Sun Feb 9 19:00:50 2014 Diffie-Hellman initialized with 1024 bit key
Sun Feb 9 19:00:50 2014 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Feb 9 19:00:50 2014 Socket Buffers: R=[229376->131072] S=[229376->131072]
Sun Feb 9 19:00:50 2014 ROUTE default_gateway=192.168.0.1
Sun Feb 9 19:00:50 2014 TUN/TAP device tun0 opened
Sun Feb 9 19:00:50 2014 TUN/TAP TX queue length set to 100
Sun Feb 9 19:00:50 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sun Feb 9 19:00:50 2014 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Sun Feb 9 19:00:50 2014 /sbin/route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.2
Sun Feb 9 19:00:50 2014 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Feb 9 19:00:50 2014 UDPv4 link local (bound): [undef]
Sun Feb 9 19:00:50 2014 UDPv4 link remote: [undef]
Sun Feb 9 19:00:50 2014 MULTI: multi_init called, r=256 v=256
Sun Feb 9 19:00:50 2014 IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Sun Feb 9 19:00:50 2014 ifconfig_pool_read(), in=‘client1,10.8.0.4’, TODO: IPv6
Sun Feb 9 19:00:50 2014 succeeded -> ifconfig_pool_set()
Sun Feb 9 19:00:50 2014 IFCONFIG POOL LIST
Sun Feb 9 19:00:50 2014 client1,10.8.0.4
Sun Feb 9 19:00:50 2014 Initialization Sequence Completed

ifconfig

root@xxxxx:/# ifconfig
eth0 Link encap:Ethernet HWaddr
inet adr:192.168.0.10 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: xxxxxxxx Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:15572 errors:0 dropped:0 overruns:0 frame:0
TX packets:10993 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:2579446 (2.4 MiB) TX bytes:2955742 (2.8 MiB)
Interruption:42 Adresse de base:0xc000

lo Link encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:3575 errors:0 dropped:0 overruns:0 frame:0
TX packets:3575 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:906337 (885.0 KiB) TX bytes:906337 (885.0 KiB)

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet adr:10.8.0.1 P-t-P:10.8.0.2 Masque:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

route

root@xxxxxxx:/# route
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
default 192.168.0.1 0.0.0.0 UG 0 0 0 eth0
10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
10.8.0.2 * 255.255.255.255 UH 0 0 0 tun0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0

sysctl -p

root@xxxxx:/# sysctl -p
net.ipv4.ip_forward = 1

/etc/network/interfaces

This file describes the network interfaces available on your system

and how to activate them. For more information, see interfaces(5).

The loopback network interface

auto lo
iface lo inet loopback

The primary network interface

allow-hotplug eth0
iface eth0 inet dhcp

iptable

root@xxxxxx:/etc/network# sudo iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination

sup180914 · Février 21, 2016, 7:54pm

[quote=“valyno”]

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination[/quote]

À première vue, il manque le MASQUERADE dans POSTROUTING, tu devrais normalement avoir quelque chose qui ressemble à ça:

MASQUERADE all – 10.8.0.0/24 anywhere

---->
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

valyno · Février 21, 2016, 7:54pm

[quote=“nykoos”][quote=“valyno”]