Discussion :

[Invité]

Bonjour à tous !

Petit résumé de mes actions :
J'ai récemment pris un serveur Kimsufi chez OVH. J'y ai installé Debian 8.1.
J'ai ensuite installé un serveur OpenVPN en suivant ce tuto : https://guides-serveur.ovh/construir...-sur-debian-8/.

Jusqu'à ce point, tout fonctionnait correctement : Communication entre les clients OK, Communication avec Internet OK.
J'y ai même ajouté plusieurs modifications pour apporter plus de sécurité au serveur; tout fonctionnait encore.

Le problème est apparu après avec effectuer un tuto qui m'as permis d'avoir un serveur web/mail : https://www.howtoforge.com/tutorial/...t-ispconfig-3/.

Depuis, le VPN fonctionne toujours, je peux communiquer entre clients, mais plus aucun accès à Internet.

J'ai essayé de suivre d'autres tutos pour essayer de voir ce qui peux bloquer mais je n'ai pas vraiment trouvé la solution.

A mon avis ça serait un problème avec iptables...sauf que je ne m'y connais pas beaucoup.

Une âme charitable pour m'aider dans mon périple ?

[supersnail]

Bonjour,

Que renvoie

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -L

et

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -t nat -L

sur ta machine connectée en VPN et sur ton serveur Debian ?

Que renvoit

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

traceroute 8.8.8

sur ton serveur Debian et sur ta machine une fois connectée en VPN ?

[Invité]

Merci d'avoir pris le temps de m'aider pour mon problème

Alors côté client il est sous Windows donc je n'ai pas d'iptables. Les ports sont bien ouverts, routeur bien configuré ainsi que le firewall.

Côté serveur voici ce que me donne "iptables -L"

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
Chain INPUT (policy DROP)
target     prot opt source               destination
fail2ban-postfix-sasl  tcp  --  anywhere             anywhere             multiport dports smtp
fail2ban-dovecot-pop3imap  tcp  --  anywhere             anywhere             multiport dports pop3,pop3s,imap2,imaps
fail2ban-pureftpd  tcp  --  anywhere             anywhere             multiport dports ftp
fail2ban-ssh  tcp  --  anywhere             anywhere             multiport dports ssh
DROP       tcp  --  anywhere             loopback/8
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere
DROP       all  --  base-address.mcast.net/4  anywhere
PUB_IN     all  --  anywhere             anywhere
PUB_IN     all  --  anywhere             anywhere
PUB_IN     all  --  anywhere             anywhere
PUB_IN     all  --  anywhere             anywhere
PUB_IN     all  --  anywhere             anywhere
DROP       all  --  anywhere             anywhere
 
Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
DROP       all  --  anywhere             anywhere
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
PUB_OUT    all  --  anywhere             anywhere
PUB_OUT    all  --  anywhere             anywhere
PUB_OUT    all  --  anywhere             anywhere
PUB_OUT    all  --  anywhere             anywhere
PUB_OUT    all  --  anywhere             anywhere
 
Chain INT_IN (0 references)
target     prot opt source               destination
ACCEPT     icmp --  anywhere             anywhere
DROP       all  --  anywhere             anywhere
 
Chain INT_OUT (0 references)
target     prot opt source               destination
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
 
Chain PAROLE (16 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
 
Chain PUB_IN (5 references)
target     prot opt source               destination
ACCEPT     icmp --  anywhere             anywhere             icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere             icmp echo-reply
ACCEPT     icmp --  anywhere             anywhere             icmp time-exceeded
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request
PAROLE     tcp  --  anywhere             anywhere             tcp dpt:ftp-data
PAROLE     tcp  --  anywhere             anywhere             tcp dpt:ftp
PAROLE     tcp  --  anywhere             anywhere             tcp dpt:ssh
PAROLE     tcp  --  anywhere             anywhere             tcp dpt:smtp
PAROLE     tcp  --  anywhere             anywhere             tcp dpt:domain
PAROLE     tcp  --  anywhere             anywhere             tcp dpt:http
PAROLE     tcp  --  anywhere             anywhere             tcp dpt:pop3
PAROLE     tcp  --  anywhere             anywhere             tcp dpt:imap2
PAROLE     tcp  --  anywhere             anywhere             tcp dpt:https
PAROLE     tcp  --  anywhere             anywhere             tcp dpt:submission
PAROLE     tcp  --  anywhere             anywhere             tcp dpt:imaps
PAROLE     tcp  --  anywhere             anywhere             tcp dpt:pop3s
PAROLE     tcp  --  anywhere             anywhere             tcp dpt:mysql
PAROLE     tcp  --  anywhere             anywhere             tcp dpt:http-alt
PAROLE     tcp  --  anywhere             anywhere             tcp dpt:tproxy
PAROLE     tcp  --  anywhere             anywhere             tcp dpt:webmin
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:mysql
ACCEPT     udp  --  anywhere             anywhere             udp dpt:openvpn
DROP       icmp --  anywhere             anywhere
DROP       all  --  anywhere             anywhere
 
Chain PUB_OUT (5 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
 
Chain fail2ban-dovecot-pop3imap (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere
 
Chain fail2ban-postfix-sasl (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere
 
Chain fail2ban-pureftpd (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere
 
Chain fail2ban-ssh (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere

Pour "iptables -t nat -L" :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
 
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
 
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

J'ai remarqué qu'il me manquait 2 règles, j'ai alors fait :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Ce qui m'as donné :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
 
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
 
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  anywhere             anywhere
MASQUERADE  all  --  10.8.0.0/24          anywhere

Par contre toujours pas de connexion à Internet et les 2 règles ne restent pas en mémoire au reboot du serveur.
Quand j'essaie la commande de "sauvegarde" voici ce que cela me donne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
root@xxx:~# /etc/init.d/netfilter-persistent save
[....] Saving netfilter rules...run-parts: executing /usr/share/netfilter-persistent/plugins.d/15-ip4tables save
run-parts: /usr/share/netfilter-persistent/plugins.d/15-ip4tables exited with return code 1
run-parts: executing /usr/share/netfilter-persistent/plugins.d/25-ip6tables save
run-parts: /usr/share/netfilter-persistent/plugins.d/25-ip6tables exited with return code 1
failed.

Pour finir, sur le serveur un "traceroute 8.8.8" me donne ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
traceroute to 8.8.8 (8.8.0.8), 30 hops max, 60 byte packets
 1  37.187.120.253 (37.187.120.253)  13.067 ms * *
 2  gra-g2-a9.fr.eu (178.33.103.227)  0.795 ms  1.026 ms  0.757 ms
 3  th2-g1-a9.fr.eu (178.33.103.237)  5.208 ms  5.197 ms th2-g1-a9.fr.eu (178.33.103.211)  5.195 ms
 4  * * gsw-1-6k.fr.eu (91.121.215.135)  5.070 ms
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *

Et sur le client Windows connecté en VPN, un "tracert 8.8.8" me donne ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
Détermination de l'itinéraire vers 8.8.0.8 avec un maximum de 30 sauts.
 
  1    52 ms    52 ms    49 ms  10.8.0.1
  2     *        *        *     Délai d'attente de la demande dépassé.
  3     *        *        *     Délai d'attente de la demande dépassé.
  4     *        *        *     Délai d'attente de la demande dépassé.
  5     *        *        *     Délai d'attente de la demande dépassé.
  6     *        *        *     Délai d'attente de la demande dépassé.
  7     *        *        *     Délai d'attente de la demande dépassé.
  8     *        *        *     Délai d'attente de la demande dépassé.
  9     *        *        *     Délai d'attente de la demande dépassé.
 10     *        *        *     Délai d'attente de la demande dépassé.
 11     *        *        *     Délai d'attente de la demande dépassé.
 12     *        *        *     Délai d'attente de la demande dépassé.
 13     *        *        *     Délai d'attente de la demande dépassé.
 14     *        *        *     Délai d'attente de la demande dépassé.
 15     *        *        *     Délai d'attente de la demande dépassé.
 16     *        *        *     Délai d'attente de la demande dépassé.
 17     *        *        *     Délai d'attente de la demande dépassé.
 18     *        *        *     Délai d'attente de la demande dépassé.
 19     *        *        *     Délai d'attente de la demande dépassé.
 20     *        *        *     Délai d'attente de la demande dépassé.
 21     *        *        *     Délai d'attente de la demande dépassé.
 22     *        *        *     Délai d'attente de la demande dépassé.
 23     *        *        *     Délai d'attente de la demande dépassé.
 24     *        *        *     Délai d'attente de la demande dépassé.
 25     *        *        *     Délai d'attente de la demande dépassé.
 26     *        *        *     Délai d'attente de la demande dépassé.
 27     *        *        *     Délai d'attente de la demande dépassé.
 28     *        *        *     Délai d'attente de la demande dépassé.
 29     *        *        *     Délai d'attente de la demande dépassé.
 30     *        *        *     Délai d'attente de la demande dépassé.
 
Itinéraire déterminé.

Pour info, je viens de tester un client sous Android, même constat : ping entre clients possibles mais pas d'accès à Internet :/

[supersnail]

Bonjour,

Elle vient d'où ta configuration iptables ? (avant qu'elle soit trafiquée par fail2ban j'entends). Sinon remplace 8.8.8 par 8.8.8.8 , je me suis trompé en tapant .

Sinon du peu que je vois je dirais que c'est le NAT eth0 <-> interface virtuelle qui foire pour une raison quelconque.

Sinon que renvoie cat /proc/sys/net/ipv4/ip_forward ?

[Invité]

Pour la configuration iptables, je n'ai fait que suivre les 2 tutos que j'ai précisé dans mon 1er message :
Configuration OpenVPN (que j'ai faite tout de suite après installation de Debian) : https://guides-serveur.ovh/construir...-sur-debian-8/
Et configuration de Apache et compagnie : https://www.howtoforge.com/tutorial/...t-ispconfig-3/

Je n'ai rien ajouté d'autre qui soit hors de ces 2 tutos (sauf dans les fichiers server.conf et client.conf de OpenVPN).

L'interface virtuelle est "tun0". Ce que je ne pige pas (mais c'est peut être normal); c'est qu'un fois mon client connecté au VPN, je peux pinger autant l'IP de tun0 que celle de eth0 (même en utilisant son nom de domaine que j'ai associé au serveur).

Pour le traceroute côté serveur :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
 1  37.187.120.253 (37.187.120.253)  0.608 ms * *
 2  gra-g1-a9.fr.eu (178.33.103.225)  1.118 ms  2.711 ms  2.713 ms
 3  gsw-g1-a9.fr.eu (37.187.36.216)  5.165 ms gsw-g1-a9.fr.eu (178.33.103.235)  5.096 ms gsw-g1-a9.fr.eu (37.187.36.216)  5.073 ms
 4  * * *
 5  209.85.246.129 (209.85.246.129)  5.161 ms 209.85.246.131 (209.85.246.131)  5.141 ms 209.85.246.125 (209.85.246.125)  5.118 ms
 6  google-public-dns-a.google.com (8.8.8.8)  4.843 ms  4.785 ms  4.832 ms

Et pour celui du client pas de grand changement :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
Détermination de l'itinéraire vers google-public-dns-a.google.com [8.8.8.8]
avec un maximum de 30 sauts*:
 
  1    53 ms    50 ms    50 ms  10.8.0.1
  2     *        *        *     Délai d'attente de la demande dépassé.
etc...

Et pour l'ip forward :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
root@xxx:~# cat /proc/sys/net/ipv4/ip_forward
1

Je peux éventuellement repartir de zéro, c'est un serveur de test pour le moment mais j'aimerai bien comprendre d'où viens le problème ^^
Pourtant en ayant suivi ces tutos, j'ai pu apprendre pas mal de choses, j'ai essayé d'apprendre à quoi servent chaque commande que je tapait; il doit peut être y avoir quelque chose qui m'échappe mais je ne vois pas quoi !

[supersnail]

Donc ça confirme clairement ce que je pensais, tes règles de NAT ne sont pas bonnes (vu que le serveur a l'air de pouvoir accéder au net, à confirmer cependant par un wget http://www.developpez.com, autant rester chez nous ), ou alors t'as une règle de firewall obscure qui va bloquer le NAT...

Faudrait voir ce que ça donne en virant temporairement fail2ban (je suis moyennement fan de l'outil à vrai dire, on maîtrise pas grand-chose sur les règles iptables qu'il rajoute, et un firewalling fait maison + monitoring des logs quitte à faire un script maison pour maîtriser toute la chaîne me semble plus efficace :p)

[Invité]

Alors le wget fonctionne bien, j'ai viré fail2ban :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
apt-get remove --purge fail2ban
apt-get autoremove
reboot

Toujours pareil..

Pour fail2ban on m'en a dit du bien...mais je commence à regretter

Si je ne trouve pas comment résoudre le problème, je pense que j'essayerai une nouvelle installation complète mais SANS fail2ban, juste histoire de voir si c'est bien lui qui fou le bordel ou si ça viens d'autre chose du 2ème tuto que j'ai suivi.

J'ai déjà suivi ces tutos séparément sur 2 installations différentes et aucuns problèmes. Il doit y avoir un conflit quelque part ou quelque chose à configurer qui n'est pas précisé.
L'auteur du 2ème tuto n'as pas su me répondre :/

[supersnail]

Dans les deux tutos que t'as lié, je ne vois nulle part la configuration d'iptables, du coup je pense que c'est fail2ban qu'a rajouté plein de règles.

Ou alors j'ai peut-être mal regardé les règles de NAT (fatigue ) et la solution pourrait me crever les yeux avec l'esprit frais . Sinon fail2ban pourrait éventuellement servir pour limiter un bruteforce d'un compte FTP (qu'il vaut mieux abandonner au profit de SSH/SFTP qui sont largement plus sécurisés je pense) ou une attaque par bruteforce SSH (où le mieux est selon moi est de virer l'auth par mot de passe et la remplacer par une authentification par clé uniquement, de toute façon une console de secours est fournie par l'hébergeur en cas de gros pépin normalement ).

[supersnail]

Sinon, ça donne quoi avec iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE à la place de tes deux règles NAT d'avant ? (la première me paraissant assez bizarre en y regardant de plus près ). Et question débile: l'interface réseau de sortie est bien eth0 ?

[Invité]

Toujours pareil :/

L'interface de sortie est bien eth0. Un ami m'avais trouvé une solution pour virer toutes les règles et autoriser tout le trafic entre eth0 et tun0 mais selon loin la solution n'était pas recommandée niveau sécurité.
Je n'ai plus la commande exacte mais en gros au lieu de renseigner eth0 il fallait mettre l'adresse IP du serveur.

Je crois que je vais réinstaller et ne pas faire le 2ème tuto mais configurer le firewall par moi même ^^
Pas trop compliqué d'après ce que j'ai pu voir mais je voulais une solution "rapide" pour quelques tests, finalement ça me fait perdre du temps

Merci tout de même du coup de main

[Zwiter]

Bonjour,
J'ai pas toutes vos connaissance IPtables, mais d'expérience, ca a toujours été un problème de route, mauvaise passerelle. Que renvoie route -4?

Z.