Bonjour,
Voila je tient un service de VPN proposé via un site internet. J'ai actuellement 1 serveur en marche avec une passerelle VPN qui fonctionne à merveille. Maintenant je veut ajouter un deuxieme serveur VPN et la ... problème.
J'utilise OpenVPN (authentification des utilisateurs via pam_mysql), dans le log OpenVPN j'obtient l'erreur:
Tue Oct 5 04:58:39 2010 ludo/86.207.*.*:2745 MULTI: bad source address from client [192.168.1.14], packet dropped
En recherchant sur google je trouve qu'une seule solution: créer fichier pour chaque utilisateur (ce qui ne m'arrange pas du tous, mais soit), je créer donc le fichier de chaque clients dans le répertoire ccd : résultat, toujours la même erreur.
Ayant une sainte horreur d'avoir à affronter un problème de route ou de regle iptables, j'ai néamoins essayer toute les solutions possible: je n'arrive à rien, toujours la même erreur.
Je poste ici toute les informations nécéssaire, si quelqu'un veut bien jeter un coup d'oeil.
server.conf:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57
|
#### MODE
mode server
#tls-server
port 443
proto tcp
dev tun
#### SECURITER -SERVER
ca ca.crt
cert sVPN***.crt
key sVPN***.key
dh dh2048.pem
#### SECURITER -CLIENT
username-as-common-name
client-cert-not-required
tls-auth ta.key 0
plugin /usr/lib/openvpn/openvpn-auth-pam.so openvpn
cipher AES-256-CBC
server 10.9.0.0 255.255.255.0
client-config-dir ccd
ccd-exclusive
#### ROUTE
push "route 192.168.0.0 255.255.255.0"
;push "dhcp-option WINS 10.9.0.1"
push "redirect-gateway def1"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
;push "redirect-gateway def1 bypass-dhcp"
;push "dhcp-option DNS 10.8.0.1"
;route 192.168.0.0 255.255.255.0
keepalive 10 120
comp-lzo
reneg-sec 172800
max-clients 100
persist-key
persist-tun
management 127.0.0.1 11940 management.secret
status openvpn-status.log
log openvpn.log
;log-append openvpn.log
verb 3
;mute 20 |
client.ovpn:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
| client
remote 95.211.XXX.XX 443
dev tun
proto tcp
nobind
persist-key
persist-tun
tls-auth ta.key 1
ca ca.crt
cipher AES-256-CBC
keysize 256
link-mtu 1560
comp-lzo
auth-user-pass
pull |
cdd/ludo:
iroute 192.168.0.0 255.255.255.0
route:
1 2 3 4 5 6
| Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.9.0.2 * 255.255.255.255 UH 0 0 0 tun0
localnet * 255.255.255.192 U 0 0 0 eth1
10.9.0.0 10.9.0.2 255.255.255.0 UG 0 0 0 tun0
default hosted.by. 0.0.0.0 UG 100 0 0 eth1 |
iptables:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39
| # Generated by iptables-save v1.4.0 on Tue Oct 5 05:15:32 2010
*mangle
:PREROUTING ACCEPT [119972:39764698]
:INPUT ACCEPT [76231:7891991]
:FORWARD ACCEPT [43741:31872707]
:OUTPUT ACCEPT [75573:36353004]
:POSTROUTING ACCEPT [119314:68225711]
COMMIT
# Completed on Tue Oct 5 05:15:32 2010
# Generated by iptables-save v1.4.0 on Tue Oct 5 05:15:32 2010
*raw
:PREROUTING ACCEPT [119972:39764698]
:OUTPUT ACCEPT [75573:36353004]
COMMIT
# Completed on Tue Oct 5 05:15:32 2010
# Generated by iptables-save v1.4.0 on Tue Oct 5 05:15:32 2010
*nat
:PREROUTING ACCEPT [29555:1608694]
:POSTROUTING ACCEPT [200:12000]
:OUTPUT ACCEPT [958:65936]
-A POSTROUTING -o tun0 -j SNAT --to-source 95.211.109.XX
-A POSTROUTING -s 95.211.109.0/24 -o eth1 -j MASQUERADE
-A POSTROUTING -s 10.9.0.0/24 -o eth1 -j MASQUERADE
COMMIT
# Completed on Tue Oct 5 05:15:32 2010
# Generated by iptables-save v1.4.0 on Tue Oct 5 05:15:32 2010
*filter
:INPUT ACCEPT [1790:159360]
:FORWARD ACCEPT [24645:29164436]
:OUTPUT ACCEPT [122629:8218983]
-A INPUT -p tcp -m tcp --dport 433 -j ACCEPT
-A INPUT -i tun+ -j ACCEPT
-A INPUT -i tun+ -p tcp -m tcp --dport 433 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A FORWARD -i tun+ -j ACCEPT
-A OUTPUT -o tun+ -p tcp -m tcp --sport 433 -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
COMMIT
# Completed on Tue Oct 5 05:15:32 2010 |
Voila, je but sur ce problème depuis samedi, si quelqu'un à une idée ou une solution ? (je suis pret à dédomagé celui qui pourrait me regler ce problème, mp)
Merci de m'avoir lu, en esperant avoir une réponse.
Cordialement, Ludovic.
Partager