IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Architecture Discussion :

openvpn site to site


Sujet :

Architecture

  1. 04/02/2020, 17h24 #1
    schneed
    schneed est déconnecté
    Membre du Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juin 2003
    Messages
    54
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Meurthe et Moselle (Lorraine)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Santé

    Informations forums :
    Inscription : Juin 2003
    Messages : 54
    Points : 65
    Points
    65
    Envoyer un message via ICQ à schneed Envoyer un message via AIM à schneed Envoyer un message via MSN à schneed
    Par défaut openvpn site to site
    Bonjour à tous

    J'ai installé il y a quelques temps 2 rasp PI reliés par un vpn au travers de ma connexion Internet :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    +-----------------+                         +------------------+
|     Travail     |         openVPN         |      Maison      |
| LAN 10.10.0.232 +-------------------------+ LAN 192.168.0.40 |
| VPN 10.5.0.1    |                         | VPN 10.5.0.6     |
+--------+--------+                         +--------+---------+
         |                                           |
         |                                           |
         |                                           |
         |                                           |
         |                                           |
         |                                           |
         |LAN travail                                |LAN maison
         |10.10.0.0/24                               |192.168.0.0/24
         +                                           +
    Initialement, je pouvais accéder au réseau de l'entreprise depuis mon poste Maison.
    Désormais, je souhaites accéder depuis mon bureau à mon réseau local de la maison pour commander d'autres systèmes : impossible de pinger une quelconque machine du réseau 192.168.0.0

    Le VPN en tant que tel fonctionne ainsi que :
    depuis 10.5.0.1
    • ping 10.5.0.6

    depuis 10.5.0.6
    • ping 10.5.0.1
    • ping 10.10.0.232
    • ping 10.10.0.200
    • ping 10.10.0. ...


    Voici les routes :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    Poste 10.5.0.1:
0.0.0.0         10.10.0.254     0.0.0.0         UG    202    0        0 eth0
10.5.0.0        10.5.0.2        255.255.255.0   UG    0      0        0 tun0
10.5.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
10.10.0.0       0.0.0.0         255.255.255.0   U     202    0        0 eth0
192.168.0.0     10.5.0.2        255.255.255.0   UG    0      0        0 tun0

Poste 10.5.0.6:
0.0.0.0         192.168.0.254   0.0.0.0         UG    202    0        0 eth0
10.5.0.0        10.5.0.5        255.255.255.0   UG    0      0        0 tun0
10.5.0.5        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
10.10.0.0       10.5.0.5        255.255.255.0   UG    0      0        0 tun0
192.168.0.0     0.0.0.0         255.255.255.0   U     202    0        0 eth0
    Sur les 2 raspbian, j'ai activé le ip forwarding et utilisé les règles ip tables suivantes (identiques sur les 2)
    *filter

    #-P INPUT DROP
    -P INPUT ACCEPT

    #-P FORWARD DROP
    -P FORWARD ACCEPT

    -P OUTPUT ACCEPT



    -A INPUT -i lo -j ACCEPT
    -A INPUT -p icmp -j ACCEPT
    -A INPUT -p igmp -j ACCEPT

    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

    -A INPUT -i eth0 -j ACCEPT
    -A INPUT -i tun0 -j ACCEPT

    -A INPUT -i eth0 -p tcp --dport 11940 -j ACCEPT

    -A INPUT -j LOG --log-prefix "paquet IPv4 inattendu "
    #-A INPUT -j REJECT
    #-A INPUT -j DROP

    -A FORWARD -p icmp -j ACCEPT
    -A FORWARD -p tcp -j LOG --log-prefix "forward -> "

    COMMIT


    *nat

    -A POSTROUTING -o eth0 -j MASQUERADE
    -A POSTROUTING -o tun0 -j MASQUERADE


    COMMIT
    Enfin, voici les fichiers de configuration du serveur et du client :
    server.conf:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    # OpenVPN Port, Protocol, and the Tun
port 11940
proto udp
dev tun

# OpenVPN Server Certificate - CA, server key and certificate
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/SD-Lan.crt
key /etc/openvpn/server/SD-Lan.key

# DH and CRL key
dh /etc/openvpn/server/dh.pem
crl-verify /etc/openvpn/server/crl.pem

# Network Configuration - Internal network
# Redirect all Connection through OpenVPN Server
server 10.5.0.0 255.255.255.0
push "route 10.10.0.0 255.255.255.0"
route 192.168.0.0 255.255.255.0

# Enable multiple clients to connect with the same certificate key
;duplicate-cn

# Allow different clients to be able to "see" each other.
# By default, clients will only see the server.
# To force clients to only see the server, you will also need to appropriately firewall the
# server's TUN/TAP interface.
client-to-client

# TLS Security
cipher AES-256-CBC
tls-version-min 1.2
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256
auth SHA512
auth-nocache

# Other Configuration
keepalive 20 60
persist-key
persist-tun
compress lz4
daemon
user nobody
group nogroup

# OpenVPN Log
log-append /var/log/openvpn.log
verb 3
    client.conf:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    # OpenVPN Port, Protocol, and the Tun
client
dev tun
proto udp

remote 160.238.55.195 11940

# OpenVPN Server Certificate - CA, client key and certificate
ca ca.crt
cert SD-LanMetz.crt
key SD-LanMetz.key

# TLS Security
cipher AES-256-CBC
auth SHA512
auth-nocache
tls-version-min 1.2
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256

# Other Configuration
resolv-retry infinite
compress lz4
nobind
persist-key
persist-tun
mute-replay-warnings
verb 3

# OpenVPN Log
log-append /var/log/openvpn.log
verb 3
    J'avoue que là, je tourne en rond, je sèche !

    Le tcpdump sur le serveur me montre bien les ICMP requests, mais je ne vois rien venir sur le tcpdump du client vpn alors que si je ping l'adresse en 10.5, tout marche nickel... J'ai du oublier quelque chose, mais quoi... ?
    Est-ce que l'un d'entre vous à déjà eu à régler ce genre de problème ?

    D'avance merci bien !
    Répondre avec citation Répondre avec citation   0  0
  2. 04/02/2020, 17h40 #2
    becket
    becket est déconnecté
    Expert confirmé
    Avatar de becket
    Profil pro
    Informaticien multitâches
    Inscrit en
    Février 2005
    Messages
    2 854
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Informaticien multitâches
    Secteur : Service public

    Informations forums :
    Inscription : Février 2005
    Messages : 2 854
    Points : 5 915
    Points
    5 915
    Par défaut
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    -A POSTROUTING -o tun0 -j MASQUERADE
    POURQUOI ?
    --
    Mon blog triathlon : triathlon.sport-challenge.be
    LinkedIn
    Répondre avec citation Répondre avec citation   0  0
  3. 14/02/2020, 14h43 #3
    schneed
    schneed est déconnecté
    Membre du Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juin 2003
    Messages
    54
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Meurthe et Moselle (Lorraine)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Santé

    Informations forums :
    Inscription : Juin 2003
    Messages : 54
    Points : 65
    Points
    65
    Envoyer un message via ICQ à schneed Envoyer un message via AIM à schneed Envoyer un message via MSN à schneed
    Par défaut
    Très bonne question, il me semblait que la cible MASQUERADE permettait de ne pas s'occuper des adresses, mais simplement autoriser le passage des paquets par l'interface réseau. Je vais faire des essais sans cette règle.

    D'autres part, j'ai découvert l'option client-config-dir qui permet de spécifier des paramètres pour chaque client. J'ai donc ajouter ce paramètre et créer le fichier sur le serveur du dit client contenant :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    iroute 192.168.0.0 255.255.255.0
    Miracle, j'arrive à pinger le réseau du serveur depuis le poste client à la maison, et le réseau de la maison depuis le poste serveur au travail.

    Encore quelques travaux de routage sur les autres postes du réseau et ça devrait rouler !!!

    C'est fou comme une petite option peut tout mettre par terre.

    @+
    Répondre avec citation Répondre avec citation   0  0
+ Répondre à la discussion
Cette discussion est résolue.
ActualitésRubrique IRC
« Discussion précédente | Discussion suivante »

Discussions similaires

  1. Créer un site web - en quel langage ?
    Par Thierry92 dans le forum Débuter
    Réponses: 95
    Dernier message: Aujourd'hui, 12h11
  2. Pfsense openVPN site à site pas de communication avec le client
    Par saindou dans le forum Sécurité
    Réponses: 0
    Dernier message: 15/07/2019, 07h41
  3. Avec quel éditeur concevez-vous vos site web ?
    Par Marc-xhtml dans le forum Outils
    Réponses: 263
    Dernier message: 06/05/2009, 14h43
  4. site to site openvpn
    Par Abdellah.alaoui2006 dans le forum Applications et environnements graphiques
    Réponses: 0
    Dernier message: 03/02/2009, 15h57
  5. Check Url pour savoir si erreur 404 ou si le site existe
    Par Clément[Delphi] dans le forum Composants VCL
    Réponses: 2
    Dernier message: 07/08/2002, 13h49

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo