Rpi débian vpn eth0 et eth1

Support Debian
Tags: #<Tag:0x00007f63f47cd328>
#1

Bonjour , je suis un nouveaux dans la famille debian :joy:
Mon projet et de configurer mon rpi 3 en passerelle vpn

     _______________pc + décodeur etc.....
    |
    |
(LIVEBOX)——eth0———(rpi vpn tun0  )——eth1—— (_pc_)

A présent j’ai réussi à partager la connections de mon rpi avec mon pc

J’ai installer NordVPN mais je n’arrive nullement à partagé mon vpn avec mon lan
Je perd la connections immédiatement une fois le vpn lancer
Est ce un problème de configuration sur mon iptables ?
Ou il y a d’autre chose que j ai zapper ?

Fichier de configuration iptables

Je reste à votre disposition pour plus d infos je n’est malheureusement pu poster qu’une image je suis nouveaux :joy:

#2

Bonjour et bienvenue sur le forum,

Pourquoi ? Ton image contient du texte, pourquoi ne pas mettre directement le texte ?

Je ne comprends pas trop ce que tu as voulu faire.
Si tu veux installer un VPN de ce type, je te conseille de faire en sorte que la connexion à Internet ne fonctionne pas, je ne conseille de refuser le trafic entre eth0 et eth1.

#3

Je n’est pas poster le texte brut car je ne suis pas sur mon rpi mais sur ma tablette en ssh :+1:

Le fichier iptables je pense que je me suis mélanger les pinceaux dur :rofl::rofl: d’où ma demande d assistance :wink: iptables est complexe à comprendre :expressionless:

#4

Ah, si tu n’as pas de copier-coller sur ton client SSH, ça va être assez compliqué de te transmettre des suggestions. D’un côté, nous ne pourrons pas prendre ce que tu as fait comme base (à moins de le retaper à la main) et tu ne pourras pas le mettre en place (à moins de le retaper à la main).
Oh, mais attends, c’est une capture d’écran d’une capture d’écran, c’est l’application qui affiche les images qu’on voit ?

OK, dans ce cas, un truc le plus simple possible fera l’affaire :

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o tun0 -j ACCEPT

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o tun0 -j MASQUERADE

Assure-toi de comprendre ces règles avant de les mettre en place. N’hésite pas à demander des détails sur ce que tu ne comprends pas.
Par contre, ce n’est que pour la partie iptables, il y a d’autres choses à prendre en compte également dans la configuration, comme la configuration réseau du PC, le DNS et la tables des itinéraires réseau.

Ah, j’ai complètement oublié de demander, tu perds quelle connexion ?

#5

Bonjour est merci de ton aide précieuse je me plongerais dans les réglé iptables ce soir pour essayer de comprendre bien comme il ce doit :v:t2:

Pour la connections c est celle du ssh une fois le vpn lancer ,et bien sur celle du PC derrière le rpi .

Cotes if config je te fait un coller :grin: de mon retour if config à savoir que j ai passer en ip static pour les deux eth0 (étant mon wan ) et eth1 étant mon lan

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.2  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::ba27:ebff:fee1:1a0b  prefixlen 64  scopeid 0x20<link>
        ether b8:27:eb:e1:1a:0b  txqueuelen 1000  (Ethernet)
        RX packets 1408602  bytes 1269825150 (1.1 GiB)
        RX errors 0  dropped 19874  overruns 0  frame 0
        TX packets 1727311  bytes 311828455 (297.3 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth1: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        inet 192.168.2.1  netmask 255.255.255.0  broadcast 192.168.2.255
        inet6 fe80::20e:c6ff:fe8e:d469  prefixlen 64  scopeid 0x20<link>
        ether 00:0e:c6:8e:d4:69  txqueuelen 1000  (Ethernet)
        RX packets 1679297  bytes 268284786 (255.8 MiB)
        RX errors 67  dropped 19  overruns 0  frame 67
        TX packets 1263271  bytes 1252481273 (1.1 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Boucle locale)
        RX packets 16  bytes 1328 (1.2 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 16  bytes 1328 (1.2 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Bien évidement cotés fichier sysctl.conf

Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1

Uncomment the next line to enable packet forwarding for IPv6
Enabling this option disables Stateless Address Autoconfiguration
  based on Router Advertisements for this host
net.ipv6.conf.all.forwarding=1

Si tu a besoin d autre configuration je peut vous les communiquer

#6

Alors je pense avoir compris pourrait vous me dire si j’ai compris ou si je suis à cotés de la plaques :face_with_raised_eyebrow: merci encore

# Generated by xtables-save v1.8.2 on Wed Oct 6 23:24:06 2021
*nat
:PREROUTING ACCEPT [59:11913]
:INPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [6:640]
-A POSTROUTING -o tun0 -j MASQUERADE
COMMIT
# Completed on Wed Oct  6 23:24:06 2021
# Generated by xtables-save v1.8.2 on Wed Oct  6 23:24:06 2021
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o tun0 -j ACCEPT
COMMIT
# Completed on Wed Oct  6 23:24:06 2021
# Generated by xtables-save v1.8.2 on Wed Oct  6 23:24:06 2021
*mangle
:PREROUTING ACCEPT [3977:1019086]
:INPUT ACCEPT [3977:1019086]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [7396:614249]
:POSTROUTING ACCEPT [1398:198571]
COMMIT
# Completed on Wed Oct  6 23:24:06 2021
# Generated by xtables-save v1.8.2 on Wed Oct  6 23:24:06 2021
*raw
:PREROUTING ACCEPT [3977:1019086]
:OUTPUT ACCEPT [7396:614249]
COMMIT
# Completed on Wed Oct  6 23:24:06 2021
# Generated by xtables-save v1.8.2 on Wed Oct  6 23:24:06 2021
*security
:INPUT ACCEPT [1220:533089]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1382:197483]
COMMIT
# Completed on Wed Oct  6 23:24:06 2021

Voilà mon fichier iptables maintenant

#7

Je ne sais pas pourquoi tu as mis les tables mangle, raw et security.

Sinon, pour les règles que je te file, c’est plutôt ça :

*filter
:INPUT DROP [0:0] # on refuse par défaut les paquets entrants
:FORWARD DROP [0:0] # on refuse par défaut les paquets traversants (routage)
:OUTPUT ACCEPT [0:0] # on accepte par défaut les paquets sortants
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # on accepte les paquets entrants qui correspondent à une connexion établie ou relatifs à une communication connue
-A INPUT -i eth0 -j ACCEPT # on accepte les paquets entrants du port eth0
-A INPUT -i eth1 -j ACCEPT # on accepte les paquets entrants du port eth1
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT # on accepte les paquets traversants établis ou relatifs (comme ci-dessus)
-A FORWARD -i eth1 -o tun0 -j ACCEPT # on accepte les paquets traversants entrants par l'interface eth1 et dont le routage prévoit de les faire sortir par tun0

*nat
:PREROUTING ACCEPT [0:0] # on n'altère pas par défaut les paquets qui sont sur le point de traverser
:POSTROUTING ACCEPT [0:0] # on n'altère pas par défaut les paquets qui viennent de traverser
:INPUT ACCEPT [0:0] # on n'altère pas les paquets entrants
:OUTPUT ACCEPT [0:0] # on n'altère pas les paquets sortants
-A POSTROUTING -o tun0 -j MASQUERADE # pour les paquets sortants par l'interface tun0, on applique une traduction d'adresse réseau (NAT)

Est-ce que les règles que tu as appliquées font ce que tu veux ?

#8

Encore merci parfaitement de tout manière quand le vpn et lancer je doit pas être sur le ssh
Donc c’est très bien comme ça
Maintenant config du pc a l heure actuelle il et en dur
192.168.2.2
255.255.255.0
192.168.2.1
DNS 8.8.8.8
8.8.4.4

#9

Mauvaise manipulation de ma part je sais pas comment les désactiver :expressionless:

#10

Il faut les retirer de ton fichier de règles, ensuite, tu relances le service :

systemctl restart netfilter-persistent

NordVPN n’a pas de serveur DNS ? Ton rasperrypi n’a pas de serveur DNS ? Ta Livebox n’est pas de serveur DNS ?

#11

Merci pour la commande :v:t2:

 Generated by xtables-save v1.8.2 on Fri Oct  8 15:29:16 2021
*nat
:PREROUTING ACCEPT [1:218]
:INPUT ACCEPT [1:218]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o tun0 -j MASQUERADE
COMMIT
# Completed on Fri Oct  8 15:29:16 2021
# Generated by xtables-save v1.8.2 on Fri Oct  8 15:29:16 2021
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [11:1676]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o tun0 -j ACCEPT
COMMIT
# Completed on Fri Oct  8 15:29:16 2021

Les serveur dns de
NordVPN sont 103.86.96.100 et 103.86.99.100

J ai mis ce de Google pour faire mais test avec ma simple conf iptable maintenant que mon iptable et bon je vais les changer de sort que ça soit cohérent

Du coup ma conf devrait être comme ça ?

   192.168.2.2
    255.255.255.0
    192.168.2.1
    DNS 103.86.96.100
    DNS sortant 103.86.99.100
#12

Bonsoir pourrait tu m en dire plus sur la table de routage est ce qu il existe une doc merci

#13

Une doc pour quoi exactement sur la table de routage ?

#14

Bonsoir oui effectivement :+1: