Openvpn "roadwarrior" et accès intranet

Salut,
Je vais essayé d’être clair. Un petit shéma:

Un serveur openVPN sur une squeeze derrière une passerelle.
Un client isolé sur le Net.

Le client accède parfaitement au serveur via openVPN (par l’IP de l’interface physique et par l’IP de l’interface virtuelle)
Le client n’accède pas aux autres machines du Lan (10.9.8.0/22)

La conf du serveur:cat /etc/openvpn/server.conf port 1194 proto udp dev tun ca keys/ca.crt cert keys/server.crt key keys/server.key dh keys/dh1024.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt keepalive 10 120 comp-lzo user nobody group nogroup persist-key persist-tun status openvpn-status.log verb 3 push "redirect-gateway def1" push "route 10.9.8.0 255.255.252.0" push "dhcp-option DNS 10.8.0.1"

Sur le serveur toujours:route -n Table de routage IP du noyau Destination Passerelle Genmask Indic Metric Ref Use Iface 10.8.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 192.168.167.0 0.0.0.0 255.255.255.0 U 0 0 0 eth4 10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0 10.9.8.0 0.0.0.0 255.255.252.0 U 0 0 0 eth6 0.0.0.0 10.9.8.254 0.0.0.0 UG 0 0 0 eth6

Et enfin:iptables -S -P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT -N fail2ban-ssh -A INPUT -p tcp -m tcp --dport 22 -j fail2ban-ssh -A FORWARD -i tun0 -o eth6 -j ACCEPT -A FORWARD -i eth6 -o tun0 -j ACCEPT -A fail2ban-ssh -j RETURN

Avec tcpdump j’ai compris que les paquets envoyés par le client parviennent bien au serveur, mais que celui-ci ne transmet pas aux autres machines du réseau (10.9.8.0/22).

J’ai essayé pas mal de choses depuis 2-3 jours, (modif de la configuration du serveur openVPN, ajout de règles iptables) sans succès.

Qu’est-ce qui me manque pour que le serveur transmette les paquets aux machines concernées ?

Edit: Faut-il passer en mode “bridged” pour parvenir à mes fins ?

Il faut autorisé l’ip forward
echo 1 > /proc/sys/net/ipv4/ip_forward

Et "masquer tes paquets"
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE

Salut,

[quote=“hayou”]Il faut autorisé l’ip forward
echo 1 > /proc/sys/net/ipv4/ip_forward

Et “masquer tes paquets”
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE[/quote]

Le “masquerade” est déjà activé, mais…

Quel âne je fais. J’étais PERSUADÉ que l’ip forward était activé, et j’allais te répondre que c’était déjà fait.
J’ai vérifié… 0

Merci beaucoup!

Je vais quand même essayer avec le mode bridged (je voudrais faire un tuto pour le Wiki, autant qu’il soit complet!)

je vois pas l’intérêt du mode bridge dans ton cas… Je pense que le mode bridge permet de relier 2 sous-réseaux, non? …

Oui, mais je souhaite aller au bout du VPN et tenter d’en maîtriser les arcanes…
De plus j’aurais vraiment besoin d’un site-à-site d’ici un an, donc ce sera du “bridged”!

je te filerai ma configuration si tu veux… par contre l’authentification se fait par pre-shared keys… et non par certificat

Oui ça m’intéresse beaucoup. MP ou mon pastebin (avec mot de passe si tu souhaite; tu n’aura qu’a me filer le code)
Merci beaucoup!

Voici la conf sur le premier serveur :

#Chroot du répertoire d’exécution par sécurité 
chroot /tmp
dev tun
remote IP2

secret /etc/openvpn/static.key
ifconfig 192.168.99.2 192.168.99.1
route 192.168.0.0 255.255.255.0

# Force l’échange
keepalive 10 120
# Activer la compression de type lzo
comp-lzo
persist-key
persist-tun
log /var/log/openvpn.log
verb 3
user openvpn
group openvpn

Sur le deuxième serveur :

#Chroot du répertoire d’exécution par sécurité 
chroot /tmp
port 1194
proto udp
dev tun
remote IP1
# creer la cle static :
# "openvpn --genkey --secret static.key "
secret /etc/openvpn/static.key
ifconfig 192.168.99.1 192.168.99.2
route 192.168.9.0 255.255.255.0
route 10.1.1.0 255.255.255.0

# Force l’échange
keepalive 10 120
# Activer la compression de type lzo
comp-lzo
persist-key
persist-tun
log /var/log/openvpn.log
verb 3
# Exécution du programme avec des droits restreints
user openvpn
group openvpn

Salut,
Merci. Je suis étonné, pas de:

server ?
server-bridge ?

C’est le ifconfig qui fait tout ?

Dans ton fichier interfaces, des scripts pour lever et arrêter le bridge ?

oui c’est OpenVPN qui fait tout… J’ai juste fait :

et dans mon ifconfig :
serveur 1:

tun1 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet adr:192.168.99.2 P-t-P:192.168.99.1 Masque:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:100 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

serveur 2 :

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet adr:192.168.99.1 P-t-P:192.168.99.2 Masque:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:100 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

Re,

Alors, pas de bridge alors entre eth et tun ? C’est donc du “routé” aussi ?

oui, car je peux gérer mes routes plus facilement, ou bien si je suis bloqué par le routeur sur un des sites(Numér…) .

je pense qu’il y’a d’autres solutions mais celle-ci correspondait à mes besoins.

[quote=“hayou”]oui, car je peux gérer mes routes plus facilement, ou bien si je suis bloqué par le routeur sur un des sites(Numér…) .

je pense qu’il y’a d’autres solutions mais celle-ci correspondait à mes besoins.[/quote]

Ok, super.
J’avais compris que tu faisais du “ponté”… C’est la prochaine étape pour moi, plus “délicat” à mettre en place, mais plus rapide (un hop en moins) et moins de difficultés avec les routes justement.
Merci beaucoup pour tes confs, je garde ça dans un coin, ça pourrait faire l’objet d’un complément dans le Wiki (je viens de faire un petit tuto sur le mode “routé”).