VPN et routage

Et c’est là que je comprends pas l’utilité, tes postes clients sur le net et tu va leur demander de passer malgré tout vers le vpn pour aller sur lent.
C’est contre productif si tu n’effectue rien sur le flux …

Que tu veuille que tes postes clients accède à des applicatifs uniquement par VPN, ça a du sens … mais que t’es postes clients passent par du vpn pour sortir sur le web sans qu’il n’y est aucune valeur ajouté à passer par le VPN ça m’épate.

Encore tu me dirais c’est pour cacher mon c.l lorsque je fais des trucs pas catholique je te dirais ok mais là … je passe mon tour.

Ce n’est pas ce que je demande. Quel chemin réseau empruntent-ils pour se connecter au serveur ? Ils passent par internet ou par un réseau distinct ? L’interface eth1, elle est sur internet ? Si oui, pourquoi vouloir utiliser deux interfaces distinctes alors qu’une seule suffirait ?

Si ton serveur a deux interfaces connectées à internet, visiblement tu n’as pas idée des complications que ça implique.

je demande juste de l’aide pour résoudre mon soucis de routage. aujourd’hui, je n’ai pas d’utilisation prévue à ce serveur. mais j’aimerai pouvoir le faire fonctionner.

pour avoir une sortie qui n’a aucun lien avec l’autre interface car avec le provider, on peut obtenir des adresses IP qui ne se suivent pas…

biensur si j’utilisais l’ETH0 comme sortie, je n’aurais pas eu de soucis, ici j’aimerai juste que mes clients se connectant en VPN au serveur puissent sortir par l’autre interface.

Pas besoin d’avoir deux interfaces réseau pour avoir deux adresses IP. On peut configurer plusieurs adresses IP sur la même interface.

Si tu veux quand même utiliser deux interfaces ethernet, tu devras

  • soit ne pas configurer de route par défaut et faire du routage avancé pour définir le routage vers internet
  • soit configurer une route par défaut sur une interface et faire du routage avancé pour définir ce qui doit être routé par l’autre interface
1 J'aime

ok, je vais me pencher sur le routage avancé pour définir ce qui doit être routé. je te remercie.

Le document de référence pour le routage avancé de Linux est le LARTC-HOWTO (Linux Advanced Routing and Traffic Control), avec les pages de manuel de ip route (man ip-route) et ip rule (man ip-rule).

Le routage normal ne se base que sur le préfixe de l’adresse de destination. Mais quand on veut envoyer des paquets à destination d’adresses d’un même préfixe par des interfaces différentes, cela ne suffit pas. Le routage avancé permet d’utiliser d’autres clés comme le préfixe de l’adresse source, l’interface d’entrée, ou une marque appliquée par netfilter dans les cas les plus complexes.

Le principe est le suivant : on crée une règle de routage avec ip rule spécifiant la ou les clés de routage et la table de routage à appliquer, et on crée les routes souhaitées avec ip route dans cette table de routage.

Dans ton cas, les paquets provenant du VPN sont faciles à identifier, soit par l’interface d’entrée tun0, soit par le préfixe de l’adresse IP source.

Il faut faire attention aux paquets générés localement dont l’interface d’entrée est vue comme « lo » (interface de loopback) et l’adresse source n’est pas forcément définie (elle ne le sera qu’après la décision de routage), ainsi qu’aux paquets correspondant à la clé mais à destination d’un réseau autre qu’internet. Il peut être nécessaire d’ajouter des règles ou des routes pour les router correctement.

1 J'aime

Pour connaitre un peu debian-fr.org je te conseille de poster sur le forum d’openvpn ou de wireguard car si tu lis ce qu’on te dit içi tu ne vas plus savoir où tu habites.

ps: un conseil installe pfsense il se chargera du routage apres que tu aies installé openvpn ou wireguard là tu te prends le chou avec debian alors qu’il y a des solutions plus simples

Comment ?

pourquoi ?

Bon j’espère ne pas me faire bannir mais bon je vais donner mon pdv.
Certain, cachés derrière leur « statut » de pros ont une inaptitude chronique à la simplicité…leur motto semble être « pourquoi faire simple qd on peut faire compliqué ». Surtout que Linux permet pour une même tache d’utiliser des dizaines de possibilités. Un admin sys choisira en theorie la plus simple (…normalement)

Car pfsense est d’une simplicité enfantine et l’interface web facilite grandement la gestion des interfaces et du routage

Déployer un Pfsense pour simple gérer du routage et un VPN ?

Et tu dit ça oO ?

Mdr…déployer une instance fw Whaouh pour gérer un serveur!!!..et vous que faites vous en parlant d’iptables…mais lol!

Non mais sérieux regarde l’énormité que tu sors là … tu va déployer une appliance (virtuelle ou physique) pour gérer quelque chose qui peux tous simplement tourner sur le serveur applicatif lui même.

Je déploie en générale des machines pour chaque plateforme cliente dites healthcare et de services pour gérer les outils interne de la boîte (monitoring, sauvegarde etc …) et l’autre pour gérer par exemple du syslog, vpn, etc … et avec docker et iptable je déploie une gateway vpn avec des création de comptes par script en deux minutes.

Je te le redit proposer une appliance pour juste gérer un vpn et du routage c’est sortir le lance flammes pour un moustique.

PS : tu pourris le fil là :wink:

ok ma poule, whatever

ps: prends tes petits doigts de « fairy » et va faire deux secondes de recherche

Je me demande comment vous pouvez rentrer chez vous avec l’ego que vous avez sur ce forum

Et supprimez mon compte car j’en ai ma claque de vous de toute façon

Comme tu veux …