Routage de plage ip et ssl vpn (open vpn)

Xbase · Février 21, 2016, 10:07pm

Bonjour a tous,
nouveau sur le forum je me rapproche de vous pour essayer de trouver une solution a un problème qui traîne depuis longtemps sur mon serveur.
J’ai fait un serveur vpn ssl avec open vpn grâce au blog de Nicolargo.
je peu me connecter dessus le tunel monte correctement il me donne une adresse ip. (10.8.0.6)

Le problème

je ne ping pas l’adresse ip a l’extrémité du tunnel coté serveur (10.8.0.2)
Je ne peu pas accéder a mon réseau local

mon iptables est vide (au cas le probleme venait de la j’ai fait flush)
ds netstat j’ai 2 ligne que je ne comprend pas.

un extrait de mon netstat -r -n

Destination Passerelle Genmask Indic MSS Fenêtre irtt Iface
0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0 eth0
10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
10.8.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 (je comprend pas d’ou vien cette regle)
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 (je ne comprend d’ou vien cette regle)

Un extrait de mon iptables -L -n

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Je vous re mercie tous d’avance si vous pouvez m’aider a régler mon problème .

PascalHambourg · Février 21, 2016, 10:07pm

Conseils :

Lister les règles iptables avec [mono]iptables-save[/mono] au lieu de [mono]iptables -L[/mono].
Afficher la table de routage avec [mono]ip route[/mono] au lieu de [mono]route[/mono] ou [mono]netstat -r[/mono].

Cette route est créée par le VPN pour atteindre l’autre extrémité du tunnel.

C’est la route qui permet d’atteindre le sous-réseau local 192.168.0.0/255.255.255.0 (incluant le routeur ou box 192.168.0.1 et tes autres machines) sur l’interface ethernet.

Sont-ce la table de routage et les règles iptables du serveur ou du client ? Quels sont-ils de l’autre côté ?
Le réseau local dont tu parles est-il vraiment local ou est-ce le réseau distant de l’autre côté du VPN ? Dans le second cas, c’est normal : il n’y a pas de route pour indiquer comment atteindre ce réseau distant. Quelle est l’adresse de ce sous-réseau ?

Xbase · Février 21, 2016, 10:07pm

Bonsoir et merci pour le conseil:
voici le resultat: pour iptables -save

root@debian:~# # Completed on Thu Dec 10 21:13:12 2015
root@debian:~# # Generated by iptables-save v1.4.14 on Thu Dec 10 21:13:12 2015
root@debian:~# *nat
-bash: *nat : commande introuvable
root@debian:~# REROUTING ACCEPT [56514]
-bash: REROUTING : commande introuvable
root@debian:~# :INPUT ACCEPT [56129]
-bash: :INPUT : commande introuvable
root@debian:~# :OUTPUT ACCEPT [10726:919704]
-bash: :OUTPUT : commande introuvable
root@debian:~# OSTROUTING ACCEPT [10726:919704]
-bash: OSTROUTING : commande introuvable
root@debian:~# -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
-bash: -A : commande introuvable
root@debian:~# COMMIT
-bash: COMMIT : commande introuvable
root@debian:~# # Completed on Thu Dec 10 21:13:12 2015[/quote]

voici le résultat pour ip route:

[quote]default via 192.168.0.1 dev eth0
10.8.0.0/24 via 10.8.0.2 dev tun0
10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1
192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.20

=> ce sont les regles cotés serveur
=> mon réseau local tourne 192.168.0.0 avec 192.168.0.1 pour le routeur (passerel) et 192.168.0.18 pour le serveur de fichier.
=> a mon sens je parle du réseau local car c celui de ma box, et je me connect a travers le vpn quand je suis en déplacement pour récupérer des fichiers.

PascalHambourg · Février 21, 2016, 10:07pm

Je ne sais pas comment tu t’es débrouillé, mais le résultat d’iptables-save (et non iptables -save) est de la bouillie illisible. On dirait que tu as essayé d’exécuter la sortie de la commande avec bash. Et l’utilisation de balises “Quote” au lieu de “Code” n’arrange rien (smileys, alignement…).

Il ressort de la table de routage du serveur que l’adresse IP du VPN côté serveur n’est pas 10.8.0.2 mais 10.8.0.1.

Si tu veux accéder au réseau local de ton serveur depuis le client, il faut que ce dernier ait la route qui va bien. J’ai besoin de connaître la table de routage du client pour voir si cette route est présente ou non.