Bonjour à tous.
Je loue un serveur virtuel (vps) tournant sous debian 7, j’aimerais le connecter a un vpn via openvpn mais quand cela se lance, impossible de m’y connecter en ssh, et oui il passe par une nouvelle ip.
Est-il possible, peut etre via iptable, de faire passer seulement certains ports par le vpn (80, 443…) par le vpn et que le port ssh reste accessible via l’adresse ip physique du serveur ?
Merci d’avance pour vos reponses.
Salut,
Oui il faut mettre en place du NAT via IPTABLES, ca fonctionne très bien.
[quote]Je loue un serveur virtuel (vps) tournant sous debian 7, j’aimerais le connecter a un vpn via openvpn mais quand cela se lance, impossible de m’y connecter en ssh, et oui il passe par une nouvelle ip.
[/quote]
Moi pas comprendre, cela vient surement de ta conf OpenVPN tu peu détailler ?
@+
[quote=“johnnyB”]Salut,
Oui il faut mettre en place du NAT via IPTABLES, ca fonctionne très bien.
[quote]Je loue un serveur virtuel (vps) tournant sous debian 7, j’aimerais le connecter a un vpn via openvpn mais quand cela se lance, impossible de m’y connecter en ssh, et oui il passe par une nouvelle ip.
[/quote]
Moi pas comprendre, cela vient surement de ta conf OpenVPN tu peu détailler ?
@+[/quote]
Je voudrais connecter le serveur a un vpn, le serveur option donc une nouvelle ip. je ne peux donc plus me connecter au serveur via ssh.
j’ai trouvé ça mais ça ne semble pas fonctionner
dltj.org/article/openvpn-split-routing/
Ok donc ton serveur est un simple client VPN qui doit se connecter sur un serveur VPN.
je suppose oui
Excuse mais je panne rien à ton archi
En résumé :
Toi homme te connecter à ton VPS via SSH
Toi homme souhaite te connecter à ton VPS en SSH via VPN c’est ca ?
actuellement j’ai un vps sur lequel je me connecte en ssh.
je voudrais quue le vps se connecte se connecte au vpn seulement pour une partie du traffic (Port 25 ou 80 par exemple) et qu’il reste accessible en ssh sur son ip habituelle.
Ok mais ca n’a pas de sens.
Pourquoi un serveur se connecterait en client à lui même pour gérer certains flux ?
L’interet des vpn c’est qu’un client A se connecte à un serveur B
Je ne comprends toujours pas ton besoin
[quote=“johnnyB”]Ok mais ca n’a pas de sens.
Pourquoi un serveur se connecterait en client à lui même pour gérer certains flux ?
L’interet des vpn c’est qu’un client A se connecte à un serveur B
Je ne comprends toujours pas ton besoin[/quote]
Mon vps (serveur virtuel) se connecterait a un vpn tiers
ahhhhh
Merci de la précision au bout du 10eme post 
Donc ton serveur A (client) doit se connecter au serveur OpenVPN B
et
tu n’arrives pas a te connecter en ssh sur ton serveur A
Alors par contre non il n’a pas de nouvelle IP il a une interface virtuelle montée c’est différent.
[quote=“johnnyB”]ahhhhh
Merci de la précision au bout du 10eme post
Donc ton serveur A (client) doit se connecter au serveur OpenVPN B
et
tu n’arrives pas a te connecter en ssh sur ton serveur A
Alors par contre non il n’a pas de nouvelle IP il a une interface virtuelle montée c’est différent.[/quote]
Désolé je pensais que c’etait clair. Il doit etre possible de configurer deux passerelles une pour les connections normales, une pour le port que je veux rediriger. Chexz moi j’ai deux connections internet, un min-pc avec trois rj45, une ligne pour le l’internet normal, une pour rediriger tout le traffic d’un certain port. On doit pouvoir faire une regle nat du meme style avec des interfaces virtuelles…
Pas de soucis
Oui tu peux faire des règles de NAT et de FORWARD avec IPTABLES ou tout ce qui concerne le VPN est forwardé vers cette IP et les accès SSH restent actifs
justement c’est ma question de depart, quelle regle dois je appliquer
Hello,
Deja il te faut accepter la communication inter-interfaces (oula faut pas s’embaler
Exemple :
iptables -t filter -A FORWARD -i tap+ -o eth0 -j ACCEPT
Ensuite accepter les communications entre les subnets (ce qui vient de la place ip vpn vers la plage ip privée)
Exemple :
iptables -t filter -A FORWARD -i tap+ -o tap+ -s 10.0.1.0/24 -d 192.168.0.0/24 -j ACCEPT
Est ce que tu as deja mis en place un iptables sur ton serveur ?
brizou : C’était clair dès le départ.
johnnyB : Arrête, s’il te plaît. Tu ne comprends rien et tu racontes n’importe quoi.
Il faut mettre en place du routage avancé. Strictement rien à voir avec le forwarding qui transformerait le serveur en routeur, ce qui n’est pas le but. La suite un peu plus tard, j’ai faim.
J’avais oublié le nonos pour chien méchant
Ben vas y envoi les infos au lieu de balancer ta bave et non ce n’est pas clair, tu n’exprime pas un besoin avec 2 infos.
J’aime bien le “il faut du routage avancé” oui c’est bien ce que je dis
Donc pour continuer oui il te faut des règles de NAT et de FORWARD contrairement a ce que dit PascalHambourg (nerd frustré victime de la rage).
Il faut aussi jouer avec les gateway :
Ex : route add -net 10.X.X.X netmask 255.255.X.X gw 10.X.X.X
Les gateways se définissent aussi dans la conf d’OpenVPN
J’ai cependant une question : Il y a un tas de tuto qui te permettent de faire cela, tu n’a rien trouvé ?
D’ailleurs tu devrais opter pour une archi différente :
VPS A est serveur OpenVPN
VPS B est un client VPN
Ton poste est client il initialise la connexion VPN et ensuite tu tunnelises SSH via OpenVPN
(J’ai une conf pro comme ca) après chacun son choix d’archi
JohnyB, Pascal a raison (en fait sur les pbms de routage et réseau, avant de le contredire, il faut vraiment réfléchir). Lorsque le serveur se connecte à un VPN, cela lui redéfinit une passerelle par défaut par l’intermédiaire du VPN. À ce stade lorsqu’on se connecte sur le serveur via son IP «standard», les paquets retour empruntent la route par défaut donc celle définie par le VPN et la connexion ne se fait pas. Ça n’est pas un souci de règles iptables (redirigeant des paquets) mais de routage. Il faut faire du routage différencié suivant que la connexion se soit faite par l’interface ancienne ou celle du VPN. Ne serait-ce que parce qu’une connexion venant du VPN sur le port ssh doit avoir son retour sur ce même port. Cela doit se faire en marquant les paquets et avec deux tables de routage (une via passerelle VPN, une autre via ancienne passerelle). Mais j’attends de voir la suite, sur le routage non élémentaire je ne connais pas bien. En tout cas, je vois mal comment tu pourras avec iptables différencier une connexion ssh venant d’une machine par le VPN d’une autre venant d’une machine via l’ancienne passerelle.
Salut,
Merci fran.b pour ta réponse non agressive avec du contenu.
Je comprends votre (Hamburger et toi) reflexion sur le routage élémentaire avec redefinition de gateway.
En revanche il est tout a fait possible avec du NAT/MASQUERADE. Il est bien entendu possible de différencier les ip des interfaces. (j’ai 2 KVM avec 10 VM et du routage avancé via iptables.)
Mais surtout le routage élémentaire se fait avec la conf d’OpenVPN, c’est cette conf qui va pusher les routes à prendre le routage avancé se fait par iptables.
Je pense que tu seras d’accord sur le fait qu’un VPS (exposé) doit faire l’objet d’un filtrage avancé via Iptables. ((il devient routeur-firewall)