OpenVPN ports à ouvrir ?

Support Debian
#1

Bonjour à tous

J’ai enfin réussi à configurer un OpenVPN sur mon serveur hier. Le seul problème que je rencontre est que lorsque je m’y connecte avec mon iptables activé la connexion est super lente et je n’ai pas de résolution DNS alors que tout se passe très bien lors que je passe tout en “ACCEPT” :108
Ma question est donc y a t il des ports à ouvrir en plus du port entrant ?

Voici mes fichiers de conf :

iptables :

[code]*filter

-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 4958 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5005:5010 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 666 -j ACCEPT

-I INPUT -i lo -j ACCEPT

COMMIT[/code]

Conf serveur OpenVPN :

[code]# Serveur TCP/666
mode server
proto tcp
port 666
dev tun

Clés certificats

ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
tls-auth ta.key 1
key-direction 0
cipher AES-256-CBC

Réseau

server 10.8.0.0 255.255.255.0
push “redirect-gateway def1 bypass-dhcp”
push “dhcp-option DNS 8.8.8.8”
push “dhcp-option DNS 8.8.4.4”
keepalive 10 120

Sécurité

user nobody
group nogroup
chroot /etc/openvpn/jail
persist-key
persist-tun
comp-lzo

Log

verb 3
mute 20
status openvpn-status.log
log-append /var/log/openvpn.log[/code]

Conf client OpenVPN :

[code]# Client
client
dev tun
proto tcp-client
remote ipserveur 666
resolv-retry infinite
cipher AES-256-CBC

Clé

ca ca.crt
cert mon-serveur-vpn.crt
key mon-serveur-vpn.key
tls-auth ta.key 1
key-direction 1

Sécurité

nobind
persist-key
persist-tun
comp-lzo
verb 3[/code]

Merci d’avance !

#2

iptables sur quelle machine ?
La connexion à quoi, depuis quelle machine ?
Quel est le but de ce VPN ?

#3

L’iptables est activé sur mon serveur. la connexion internet est lente depuis mon poste client lorsque le VPN est activé vers mon serveur.
Le but de ce VPN est d’utiliser “popcorn time” sans télécharger de manière claire depuis mon IP publique

#4

Quand je lis cela, j’avoue être partagé entre le rire, les pleurs et la colère.

Je pourrais indiquer au moins 4 gros problèmes avec cette configuration mais en fait, vais juste éteindre l’ordinateur et aller faire un tour pour essayer de me redonner un peu d’espoir en l’humanité.


AnonymousCoward

#5

Connais pas popcorn time. Apparemment c’est un lecteur vidéo en pair à pair via bittorrent. Si l’adresse IP publique de ton serveur VPN est facilement reliable à toi, ça ne te protègera pas vraiment.

Si tu veux utiliser ton serveur comme un routeur masquant, il faut :
1- activer le forwarding IPv4 (sysctl net.ipv4.ip_forward=1)
2- autoriser les paquets dans la chaîne FORWARD de la table filter d’iptables
3- masquer l’adresse source dans la chaîne POSTROUTING de la table nat d’iptables en sortie de l’interface réseau vers internet avec SNAT ou MASQUERADE

Le 1 est-il fait ? D’après ce que tu montres le 2 n’a pas l’air fait. Pour le 3, as-tu montré le jeu de règles iptables complet ou seulement le contenu de la table filter ?

#6

quel version d’openvpn ?

faudrais apprendre en detail openvpn et ses config : pour le dernier :> community.openvpn.net/openvpn/w … n23ManPage