plop plop plop,
je vous explique, je viens de mettre un vpn en place. mais depuis que je fais ca, notre succursale à son débit internet très réduit. je me demande si maintenant, ils n’utiliseraient pas notre connexion web pour surfer. comment le vérifier ?
j’ai essayé de faire un traceroute, mais j’ai toujours la meme chose, à savoir :
1 * * *
2 * * *
3 * * *
…
Normal, sur un vpn ou sur un routeur externe, on désire souvent bloquer les adresses non routables (192.168.x.x par ex).
Pour eviter d’avoir des fuites , m^ si elles ne devraient pas arriver si le routage et le NAT,… sont bons.
Y a pas mal de choses qui marchent pas dans un vpn.
Pr le resoudre, il faudrait laisser passer les message ICMP TTL exceeded en retour mais c’est pas trop conseillé histoire de pas montrer ton plan d’adressage.
donc, si je traduit bien, je n’ai aucun moyen de savoir si les paquets passent par le vpn où si ils passent par le net ?
je me suis peut-etre mal exprimé, en gros, je voudrais savoir s’ils passent par notre connexion web pour aller sur google par exemple.
Avec le traceroute vers un vpn, de ce que j’en connais, tu ne verras que le traffic jusqu’a ton client vpn.
Je doute que cette machine cliente vpn serve aussi de proxy ou fasse du routage intensif donc le traffic normal ne devrait pas passer par ce client vpn.
Donc les premieres lignes devraient suffir pour differencier.
Mais chez toi, memes les premieres sont des etoiles, comme si tu te trouvais le meme segment ethernet que ton vpn; ou alors que tu traverses un autre firewall qui bloque les icmp, vpn ou pas (la machine sur laquelle tu teste, y aurait pas un iptables par hasard?)
ping -r 8 <destination>
mais ca doit etre bloqué…
Sinon tous les accès web passent-t-ils par un proxy? c’est pratique pour logger les accès. Tu aura ta réponse.
Logiquement il faut restreindre les accès au client vpn aux machines autorisées, avec iptables par ex.
[quote]$ ping -r 8 <ma_destination>
connect: Invalid argument
$ ping -r 8 -I eth0 <ma_destination>
connect: Invalid argument[/quote]
si je fais ping <ma_destination> j’y arrive sans souci.
le vpn (un boitier netgear) est ma gateway vers internet ET vers le vpn, pareil de l’autre coté du vpn (surement pas très “secure” tout ca, mais j’ai pas su faire autrement…)
nous n’avons ni proxy ni iptables (hormis sur ma machine et sur mes serv linux).
ping -R
Et il n’y a pas de filtrage possible sur le boitier?
Sinon je vois pas comment tu peux empecher l’utilisation du vpn dans ce cas.
ping -R fonctionne, mais je ne sais pas l’interpréter…
[quote]64 bytes from <ma_destination>: icmp_seq=1 ttl=126 time=558 ms
NOP
RR: <mon_ip>
<ma_destination>
<mon_ip>
64 bytes from <ma_destination>: icmp_seq=17 ttl=126 time=556 ms
NOP (same route)
64 bytes from <ma_destination>: icmp_seq=18 ttl=126 time=525 ms
NOP (same route)
…
[/quote]
je me suis renseigné auprès de Netgear, et il n’est pas possible de router le traffic venant du VPN sur ce boitier.
je tiens à préciser que ce n’est pas moi qui est choisi ce boitier, il etait la avant mon arrivée… mais je dois quand meme faire avec. 