[Résolu] OpenVPN et SME 7.1.2 : IPTABLES refusé !

[Pabze]

Bonjour,

J'ai un petit souci avec la contribs smeserver-openvpn-bridge-fws-1.1-1.noarch.rpm depuis ma migration en 7.1.2 celui-ci ne fonctionne que si le service iptables est stoppé !
Je suis en server-only, full mise à jour, et en 7.1.1 celui-ci fonctionnait trés bien !

En tapant un "iptables -L" je vois bien la régle qui accepte depuis n'importe où les connexions sur le port udp 1194, mais si le service iptables est démarré, la session OpenVpn est rejetté !

Probléme connu pour la 7.1.2 ? Des MAJ de cette contrib prévu ?
Merci,

Voici mes log iptables :

Code: Tout sélectionner

@4000000045ee6d0f28d32df4 Wed Mar  7 08:43:01 2007 <5> ulogd.c:696 initialization finished, entering main loop
@4000000045ee6f173b54c244 Mar  7 08:51:41 sme71fr denylog: IN=br0 OUT= MAC=00:e0:4c:cc:80:31:00:80:ad:xx:xx:xx:xx:xx  SRC=217.19.XxX.XxX DST=192.168.XxX.105 LEN=70 TOS=00 PREC=0x00 TTL=118 ID=15987 PROTO=UDP SPT=2261 DPT=1194 LEN=50
@4000000045ee6f1a07d01d4c Mar  7 08:51:44 sme71fr denylog: IN=br0 OUT= MAC=00:e0:4c:cc:80:31:00:80:ad:xx:xx:xx:xx:xx  SRC=217.19.XxX.XxX DST=192.168.XxX.105 LEN=70 TOS=00 PREC=0x00 TTL=118 ID=15989 PROTO=UDP SPT=2261 DPT=1194 LEN=50
@4000000045ee6f1c0fe7a1e4 Mar  7 08:51:46 sme71fr denylog: IN=br0 OUT= MAC=00:e0:4c:cc:80:31:00:80:ad:xx:xx:xx:xx:xx  SRC=217.19.XxX.XxX DST=192.168.XxX.105 LEN=70 TOS=00 PREC=0x00 TTL=118 ID=15991 PROTO=UDP SPT=2261 DPT=1194 LEN=50
@4000000045ee6f1e180e16b4 Mar  7 08:51:48 sme71fr denylog: IN=br0 OUT= MAC=00:e0:4c:cc:80:31:00:80:ad:xx:xx:xx:xx:xx  SRC=217.19.XxX.XxX DST=192.168.XxX.105 LEN=70 TOS=00 PREC=0x00 TTL=118 ID=15993 PROTO=UDP SPT=2261 DPT=1194 LEN=50
@4000000045ee6f202043ed04 Mar  7 08:51:50 sme71fr denylog: IN=br0 OUT= MAC=00:e0:4c:cc:80:31:00:80:ad:xx:xx:xx:xx:xx  SRC=217.19.XxX.XxX DST=192.168.XxX.105 LEN=70 TOS=00 PREC=0x00 TTL=118 ID=15995 PROTO=UDP SPT=2261 DPT=1194 LEN=50
@4000000045ee6f22286a8114 Mar  7 08:51:52 sme71fr denylog: IN=br0 OUT= MAC=00:e0:4c:cc:80:31:00:80:ad:xx:xx:xx:xx:xx  SRC=217.19.XxX.XxX DST=192.168.XxX.105 LEN=70 TOS=00 PREC=0x00 TTL=118 ID=15997 PROTO=UDP SPT=2261 DPT=1194 LEN=50


Pabze

[Pabze]

Re,

Je reviens sur ce probléme.
Acces impossible en openVpn sur ma SME 7.1.2 sauf si je kill le service masq de la SME !

La régle est bien créé, mais tout les packets sont refusé par iptable !
Une idée serait la bien venue !

PS : Il ne s'agit pas d'un probléme d'OpenVpn, car celui-ci est fonctionnel lorsque masq est désactivé...

[chpego]

bonjour,

sur une machine virtuelle je me suis installé SME 7.1, j'ai upgrade en version 7.1.2 et me suis lancé à l'installation d'openvpn avec l'aide du site suivant

Par contre j'utilise une version d'openvpn plus récente que celle proposé sur swerts-knudsen... une fois que tout ca était mis en place, je n'ai eu aucun souci particulier à me connecter en vpn sur la machine virtuelle

[Pabze]

Re,

Merci de ta réponse.
J'utilisais aussi cette version en 6.x
Mais quand tu vois le manifique travail que fait daniel, c'est dur de passer à côté !

De plus, il y a une grosse différence entre les deux !
L'un est en mode bridge (Daniel) l'autre en mode routed (Swerts)

Je continue mes recherches.

Pabze

[Vulmix]

Je viens de me relancer dans l'histoire...

Por faire plus simple, j'ai tout viré et j'ai réinstaller la procédure de Daniel et comme elle englobe un Yum tout change !!!

Nouvelle interface etc ....
ET ça marche !

Alors Pabze, je ne sais pas si pour toi c'est un problème de refaire l'installation complète, mais chez moi cela été très bénéfique

(pour l'instant je n'ai pas vérifié ce que cela donnait d'un PC vers un autre PC via le tunnel car je suis seul et que je viens de refaire l'installation via Ssh en changeant les IP de chez moi -Il y a le fils qui va encore ralé de ne pas avoir internet sur son pc - )

[Pabze]

Re,

Pour ce qui est de refaire une installation compléte de OpenVpn c'est déjà fait moulte fois depuis mon passage en SME 7.1.2.
Par contre pour une ré-installation compléte de SME, là pas possible pour l'instant !
Je viens de monter une nouvelle machine en paralléle et je commence l'installation cette aprés midi, si j'ai un peu de temps !

Je vais installer SME7 et OpenVPN Bridge puis test (Ma configuration initiale)
Je formate est j'installe SME7.1 et OpenVPN Bridge puis test (Ma deuxiéme configuration fonctionnelle)
Je yum en 7.1.2 et enfin test (Ma configuration actuelle est non fonctionnelle)

Apparement je suis tout seul pour qui l'upgrade en 7.1.2 à tout fait capoter...

Au niveau VPN, celui-ci fonctionne trés bien lorsque masq est désactivé (Pas grave SME en mode server-only et firewall solution matériel en amont, ou aval, cela dépends de où on regarde )
Il fonctionne aussi trés bien lorsque je rajoute les IP de mes clients (IP externe fixe) au niveau de l'onglet "Réseaux locaux" depuis le server manager (masque 4x 255)

Un diff au niveau des régles iptables entre une configuration classique avec OpenVPN et l'ajout des ip fixe en tant que réseau locaux ne me montre aucune différence au niveau des régles.
Pourtant SME drop bien mes connexions malgré l'acceptation de tous flux udp sur le port 1194 alors que cette régle est bien présente...

Je continue mes recherche

Pabze

[Vulmix]

Bonjour !
Et bien contrairement ce que j'ai dit tout ne marche pas !

je donne ma configuration :

internet---modem---Sme-réseau de la maison

internet---modem cisco----SME production----- réseau utilisateurs boulot
''''''''''''''''''''''''''''''''''''''''''''''|------SME test--------------réseau de test

J'ai défini un réseau local au boulot pour accéder au pc de la maison via l'adress ip du vpn.

A savoir que le modem Cisco est à notre fournisseur d'accès qui Bloque les ports !! J'ai donc fait routé les ports traditionnels vers le réseau utilisateurs SAUF les port 1723 et 1194 qui sont routé vers le SME de test.

Ce qui fonctionne :
Le VPN est ouvert via le port 1723.
De la maison je peux aller sur le serveur de Test et sur le pc de test en connaissant l'adresse ip (je n'ai pas testé avec le nom de la machine !)
Du boulot, le ping fonctionne sur le serveur de la maison

Ce qui ne fonctionne pas :
Du boulot je ne sais pas pinguer les PC de la maison.
Je n'arrive pas à ouvrir le server-mlanager via le vpn.


Voilà, une fois de plus on ne me laisse plus le temps de tester donc je reprendrai cela dès que possible. Si vous voyez quelque chose de mal fait... signalez le moi je ne vous en voudrai pas

[Pabze]

Re,

Pour ma part :

SME7 et openvpn-bridge de daniel fonctionne
SME7.1 et openvpn-bridge de daniel fonctionne

Je viens de lancer le yum upgrade depuis ma SME7.1 fonctionnelle avec openvpn-bridge pour passer en SME7.1.2 !
Je reviens poster ici d'ici peu de temps pour vous dire si cela fonctionne ou non !

Pabze En bonne voie !

[Pabze]

Re,

Upgrade en SME7.1.2 terminé... Et OpenVPN de daniel fonctionnel ...
Reste plus qu'a ré-installer mon serveur didié VPN de prod...

See you soon !
Pabze

Vulmix je te conseil d'ouvrir un autre post pour ton soucis, je peux aussi t'aider dans divers test, et daniel aussi.

[Vulmix]

Vulmix je te conseil d'ouvrir un autre post pour ton soucis, je peux aussi t'aider dans divers test, et daniel aussi.

Pas de problème !

Super pour toi !

[VIP-ire]

Si y'en a que ça interesse, je viens de trouver pourquoi smeserver-openvpn-bridge-fws a des problèmes depuis la mise à jour en 7.1.2 (en mode server-only uniquement). C'est bien un problème de par feu, et en attendant que le bug soit résolue (voir sur le bugzilla de contribs.org bug no 2812), voici un fix temporaire:

Code: Tout sélectionner

mkdir -p /etc/e-smith/templates-custom/etc/rc.d/init.d/masq/
cp -a /etc/e-smith/templates/etc/rc.d/init.d/masq/00Definitions /etc/e-smith/templates-custom/etc/rc.d/init.d/masq/
vim /etc/e-smith/templates-custom/etc/rc.d/init.d/masq/00Definitions


puis, changer la ligne 16 de ça:

Code: Tout sélectionner

if (defined $ExternalInterface{Name})


en ça:

Code: Tout sélectionner

if($SystemMode ne "serveronly")


et enfin

Code: Tout sélectionner

signal-event remoteaccess-update


Et voilà, le VPN refonctionne. N'oubliez pas de retirer ce template-custom quand le bug sera corrigé (SME 7.2 normalement).

[Pabze]

Bonjour,

Verifiez bien que en tapant en ligne de commande ci dessous, suite à cette manipulation :

Code: Tout sélectionner

iptables -L -vn | more

Dans les premiéres lignes vous devriez avoir ça :

Code: Tout sélectionner

    1    70 InboundUDP  udp  --  br0    *       0.0.0.0/0            0.0.0.0/0
    0     0 denylog    udp  --  br0    *       0.0.0.0/0            0.0.0.0/0


br0 étant votre interface local, br0 doit apparaître, et non "none" ou encore "eth0"

Pabze
Merci Daniel d'avoir ramené le bugtracker directement ici, honte à moi de ne pas être revenu corriger mon [Résolu]