Routage openvpn

par **therafou** » 30 Mai 2008 06:46

Bonjour,

Je cherche a mettre en place des regles de routage au niveau du vpn. soit cote client soit IPCOP.
Car j'ai observe que tout le flux des gens connectees par vpn passe par IPCOP. Ce qui veut aussi dire que la bande passante se retrouve tres vite limitee.

Je cherche donc a ne router que les reseaux entreprise par le vpn pour ce qui est de l'internet qu'il passe directement par leur propre connexion sans passe par le serveur vpn IPCOP.

Je presume que je peux resoudre ce genre de probleme avec des regles de routage. Mais comment et ou ?

Merci d'avance pour vos reponses

par **Ikko** » 30 Mai 2008 08:37

Bonjour,

j'ai déjà travaillé sur ce genre de problème. Nous avons opté pour une solution de ce type :

2 routeurs (1 routeur matériel sur une ligne SDSL pour le VPN, 1 freebox pour la ligne internet) qui assurent la connexion.

On transmet par DHCP la configuration des postes clients, avec comme adresse de passerelle par défaut la freebox et on transmet aussi toutes les routes des réseaux en statiques en utilisant comme passerelle le routeur. (Très facile avec 2k3 serveur, réalisable sur un serveur DHCP linux)

Le poste client n'a qu'à envoyé ses paquets à la bonne machine en fonction de la destination.

Je ne peux pas dire si c'est la meilleure solution, mais c'en est une, qui fonctionne.

par **Mister-Magoo** » 30 Mai 2008 14:26

Tes clients VPN sont des sites ou des Roadwarrior ??

Car dans le dernier cas, dans la configuration du client OpenVPN, tu n'envoi par le VPN que le traffic entreprise, pas le reste (fonction de base), ou tu route tout par le VPN (option à préciser, pas de base)...

J'utilise le client tous les jours et suivant le cas, je route tout par IPCop ou seulement le trafic interne ...

par **jdh** » 31 Mai 2008 08:22

Je crois qu'il y a, là, incompréhension.

- OpenVPN utilise 2 fichiers de config, un pour le client, l'autre pour le serveur.
- dans le fichier de conf du serveur, on peut trouver des instructions comme "push route" et "push dhcp".
- il N'EST PAS possible de router certains trafics selon les protocoles vers certaines passerelles. (incompréhension !).
- il existe une instruction "push redirect-gateway" à utiliser avec précaution !

* Comment fonctionne "push route" et "push dhcp" (dans le cas de tun) ?

- push "route 192.168.x.x 255.255.255.0" ajoute au client la dite route : ce réseau est DONC accessible en passant par le serveur OpenVPN (qui doit "forwarder" le trafic entre interface : ip_forward = 1).

- push "dhcp-option DNS 192.168.x.x" et push "dhcp-options WINS x.x.x.x" fournit le serveur DNS et le serveur WINS au client à l'initialisation. Le serveur WINS permet d'accéder à un partage windows sur une machine du réseau accédé via le serveur VPN avec son nom et non son adresse ip. De même pour le DNS.

A NOTER que, dans le cas de DNS, le client qui ouvrira un navigateur pour naviguer en même temps sur SA ligne ADSL verra chaque requête passer d'abord par le serveur DNS du réseau VPN, ralentissant la navigation. Et, pire, si vous avez configuré du WPAD, vous contraindrez vos clients à passer par le proxy interne (ce que vous n'aviez pas prévu, cas "vécu") !

* Quel est le rôle de "push redirect-gateway" ?

L'objectif de cette commande est de modifier la passerelle du client : tout passe via le réseau VPN. Or souvent, un système OpenVPN est installé dans l'entreprise via un ADSL et donc la bande passante fourni au client sera la bande passante montante, qui est inférieure à celle descendante de l'ADSL.

Je note que la question est mal présentée (comme beaucoup) : il aurait été souhaitable d'indiquer les adressages et les fichiers de conf d'OpenVPN. Peu pensent à décrire complètement leur problème limitant du même coup le nombre et la pertinence des réponses ...

Je répète qu'on ne route pas tel trafic via des commandes basic de Windows !!! C'est d'ailleurs pas si aisé de le faire même avec iptables !!

par **Ikko** » 11 Juin 2008 09:46

Code: Tout sélectionner: ---------- |routeur | ----------|internet|-------- Vers Internet / ---------- ---------- ---------- / | | | |/ | client |----------| switch |\ ---------- ---------- \ ---------- \ |routeur | ----------| VPN |-------- Vers le réseau d'entreprise ----------

Voilà, si j'ai bien compris, ce que vous recherchez.

Le client, s'il a besoin d'accéder au réseau de l'entreprise, passera par le routeur VPN.
S'il a besoin d'accèder à Internet, il passera par le routeur internet.

Pour moi, ce problème ne se résoud pas au niveau des routeurs, mais au niveau des postes clients.
Le plus simple étant d'avoir un serveur DHCP qui transmet aux clients la configuration de routage.

Il faut ajouter aux informations "standard" DHCP (adresse, masque) une passerelle par défaut.
Le client enverra toutes les trames destinées à un réseau qu'il ne connait pas à ce routeur. Ici le mieux est de mettre l'adresse de votre routeur internet.
En plus de celà il faut transmettre des routes "statiques" une pour chaques réseau de votre entreprise.

Si on prend un exemple concret :
réseau local : 192.168.0.0/24 (1 routeur internet, 254 routeur VPN)
réseau d'entreprise distant : 172.16.0.0/16
internet ; (beaucoup d'adresse de réseaux)

table de routage du poste client :

Code: Tout sélectionner: Adresse réseau masque passerelle 172.16.0.0 255.255.0.0 192.168.0.254 (routeur VPN) 0.0.0.0 (defaut) 0.0.0.0 192.168.0.1 (routeur internet)

Routage openvpn

Routage openvpn

Qui est en ligne ?