OpenVPN : impossible de pinger LAN...

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

OpenVPN : impossible de pinger LAN...

Messagepar epolet » 27 Oct 2004 18:48

Bonjour à tous !

J'ai installé un serveur openvpn (1.6) sous Fedora C2 ; j'arrive à créer un tunnel, pinger l'extrémité du tunnel à partir de mon poste windows XP (openvpn 1.6 aussi).
Ensuite quand j'ajoute la route "route add 192.168.0.0 MASK 255.255.255.0 10.0.0.1" (10.0.0.1 étant l'extémité de mon tunnel côté LAN et 192.168.0.0/24 mon réseau local à atteindre), j'arrive à pinger 192.168.0.252 (mon IP côté réseau - eth1), mais pas moyen de pinger les autres IP de mon réseau local...

J'ai bien exécuté echo "1" > /proc/sys/net/ipv4/ip_forward sur mon serveur FC2 histoire d'autoriser l'ip_forward, mais ça change rien...

Toujours la même réponse : Délai d'attente de la demande dépassé...

Ma conf côté serveur :

local MON_IP_PUBLIQUE_OPENVPN
remote MON_NOM_DE_DOMAINE_DYNDNS
dev tun
ifconfig 10.0.0.1 10.0.0.2
lport 5000
verb 4
tun-mtu 1300
proto udp
comp-lzo
ping 10

Ma conf côté client winxp :

remote MON_IP_PUBLIQUE_OPENVPN
dev tun
ifconfig 10.0.0.2 10.0.0.1
port 5000
verb 4
tun-mtu 1300
proto udp
comp-lzo
ping 10

Voilà... rien de bien extraordinaire, j'ai même pas de clé partagée pour le moment...

Je commence à désespérer trouver un solution (ça fais 15 j que je suis sur le pb... :cry: )
Une âme charitable aurait-elle une idée à me proposer ? :wink:

Merci d'avance
Avatar de l’utilisateur
epolet
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 13 Mai 2004 13:14

Messagepar NtDetect » 27 Oct 2004 18:53

verifie tes réseaux d'extrémités : Le remote et le local.
NtDetect :)
Avatar de l’utilisateur
NtDetect
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 19 Fév 2004 01:00
Localisation: METZ

Messagepar NtDetect » 27 Oct 2004 18:55

d'ou viennent les extrémités en 10 dans ton paramétrage?
NtDetect :)
Avatar de l’utilisateur
NtDetect
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 19 Fév 2004 01:00
Localisation: METZ

Messagepar epolet » 27 Oct 2004 18:58

NtDetect a écrit:verifie tes réseaux d'extrémités : Le remote et le local.


Heu... Je présume qu'ils doivent être bon, sinon le tunnel ne se créerait pas ... Que veux-tu dire par là ?
Avatar de l’utilisateur
epolet
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 13 Mai 2004 13:14

Messagepar epolet » 27 Oct 2004 19:01

NtDetect a écrit:d'ou viennent les extrémités en 10 dans ton paramétrage?


10.0.0.1 et 10.0.0.2 ?? Ce sont les deux extrémitées de mon tunnel (interfaces tun) ; J'ai choisi ces ip car ce sont des ips privées (et accessoirement parce que c'était les ip choisies dans le tutotrial dont je me suis inspiré :lol: )
Avatar de l’utilisateur
epolet
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 13 Mai 2004 13:14

Messagepar NtDetect » 27 Oct 2004 20:39

Je comprends mieux maintenant.

-Tu as les extrémités du tunnel 10.1.0.1 et 10.1.0.2 l'inverse à l'opposé.

Oui mais

- le tunnel se retrouve monté entre ces deux points, il ne tient pas compte de ton réseau.
Par conséquent seul le traffic 10.1.0.1 vers 10.1.0.2 et son retour pourra circuler.

C'est pour cela que tu peux pinguer uniquement l'extrémité qui est de ton coté.
Le reste est dropp

Si tu veux que toutes les machines du réseau A puissent aller au travert du tunnel vers le réseau B
Moi je monterai le tunnel entre A et B dans ton cas entre 192.168.x.x et 192.168.x.x
voir même 192.168.0.0 et Any(0.0.0.0) si tu souhaites rebondir au delà du tunnel vers d'autres classes.
NtDetect :)
Avatar de l’utilisateur
NtDetect
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 19 Fév 2004 01:00
Localisation: METZ

Messagepar epolet » 28 Oct 2004 09:27

NtDetect a écrit:- le tunnel se retrouve monté entre ces deux points, il ne tient pas compte de ton réseau.


Si ! C'est pour ça que j'ai rajouté l'entrée "route 192.168.0.0 MASK 255.255.255.0 10.0.0.1" à ma table de routage de mon winXP !

NtDetect a écrit:C'est pour cela que tu peux pinguer uniquement l'extrémité qui est de ton coté.
Le reste est dropp


En fait non : l'extrémité que je peux pinger c'est du côté de mon LAN (l'ip privé de ma passerelle Fedora - serveur openvpn - pas du côté de mon XP !

Un petit schéma s'impose :wink: :

WinXP -----------------------------------------------> Passerelle Fedora
TUN : 10.0.0.2 TUN : 10.0.0.1
IP Publique : DYNDNS IP Publique : MON_IP_PUBLIQUE_OPENVPN
IP Privée : 192.168.0.252

J'arrive de ma passerelle XP à pinger 10.0.0.1, 192.168.0.252, mais aucun autres serveur ni postes de mon LAN !!

NtDetect a écrit:Si tu veux que toutes les machines du réseau A puissent aller au travert du tunnel vers le réseau B
Moi je monterai le tunnel entre A et B dans ton cas entre 192.168.x.x et 192.168.x.x
voir même 192.168.0.0 et Any(0.0.0.0) si tu souhaites rebondir au delà du tunnel vers d'autres classes.


:shock: ça c'est pas possible, ou alors j'ai rien compris et il faut que je revois tout :? : un tunnel se monte entre deux interfaces virtuelles ; il faut avoir des IP de classes différentes pour le tunnel que pour les deux extrémité physiques ... enfin, il me semble quand même ...

Merci en tout cas pour ta réponse
Avatar de l’utilisateur
epolet
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 13 Mai 2004 13:14

Messagepar epolet » 28 Oct 2004 09:30

Oups... c'est pas passé correctement mon schéma... :oops:

Le revoilou :

WinXP ------------------------------------------> FEDORA
TUN : 10.0.0.2
IP Publique : DYNDNS


Passerelle FEDORA
TUN : 10.0.0.1
IP Publique : MON_IP_PUBLIQUE_OPENVPN
IP Privée : 192.168.0.252

Quelqu'un aurait une autre idée ??? Please help !
Avatar de l’utilisateur
epolet
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 13 Mai 2004 13:14

Messagepar epolet » 28 Oct 2004 10:38

:up: Pas de réponse ??? Please help !!
Avatar de l’utilisateur
epolet
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 13 Mai 2004 13:14

Messagepar epolet » 28 Oct 2004 16:19

HEHOOOO ! Personne ne peux m'aider ???
Avatar de l’utilisateur
epolet
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 13 Mai 2004 13:14

Messagepar NtDetect » 28 Oct 2004 16:23

fais comme je t'ai dit et regardes les traffics end points.
NtDetect :)
Avatar de l’utilisateur
NtDetect
Quartier Maître
Quartier Maître
 
Messages: 20
Inscrit le: 19 Fév 2004 01:00
Localisation: METZ

Messagepar epolet » 28 Oct 2004 17:05

NtDetect a écrit:fais comme je t'ai dit et regardes les traffics end points.


ça change rien, même symptômes...

Celà étant dit, je peux pinger ma machine fedora de ma machine XP, mais pas le contraire... est-ce que mon problème pourais venir de ma config XP (firewall, etc... même si je laisse passer le traffic 5000:udp sur mon firewall perso...).

Mais bon, j'ai essayé à partir d'un autre poste nomade, même résultat...
Pourtant tout à l'air bon, j'ai bien vérifié mes règles d'iptables, et tout semble correct...

Je suis désepéré ! Quelqu'un aurait pas déjà eu le même problème ?
Avatar de l’utilisateur
epolet
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 13 Mai 2004 13:14

Messagepar epolet » 28 Oct 2004 17:06

NtDetect a écrit:fais comme je t'ai dit et regardes les traffics end points.


ça change rien, même symptômes...

Celà étant dit, je peux pinger ma machine fedora de ma machine XP, mais pas le contraire... est-ce que mon problème pourais venir de ma config XP (firewall, etc... même si je laisse passer le traffic 5000:udp sur mon firewall perso...).

Mais bon, j'ai essayé à partir d'un autre poste nomade, même résultat...
Pourtant tout à l'air bon, j'ai bien vérifié mes règles d'iptables, et tout semble correct...

Je suis désepéré ! Quelqu'un aurait pas déjà eu le même problème ?

Merci en tout cas pour ta piste NtDetect, même si ça n'a pas abouti...
Avatar de l’utilisateur
epolet
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 13 Mai 2004 13:14

Messagepar epolet » 29 Oct 2004 10:27

Bon...

J'ai changé de méthode : je suis passé en "proto tcp-server" et "proto tcp-client", j'ai rajouter une clé partagée, j'ai ouvert le port 5000:tcp sur mon serveur fedora et bon, ça a l'air toujours pareil : mon tunnel se créé bien, mais pas moyen de pinger au delà d'eth1 (l'interface physique interne de mon serveur openvpn sous fedora...).

Pour tant à partir de ce serveur, je peux pinguer de partout sans pb...

Personne ne pourrait me sauver la vie ? 8-[ Je vais finir par pêter un cable...

Tout à l'air de fonctionner correctement pourtant !!
Avatar de l’utilisateur
epolet
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 13 Mai 2004 13:14

Messagepar epolet » 02 Nov 2004 19:03

ça marche !!!!!!!! \:D/

J'ai rajouter la chaine iptables suivante dans mon fichier de conf :

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE #eth1 est l'interface interne de mon fw

et tout semble marcher nickel !

Ma question était la suivante : est-ce que cette chaine est suffisamment sécurisé ou faut-il que je la sécurise davantage ? Et si oui, comment ??

Merci pour toutes réponses !
Avatar de l’utilisateur
epolet
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 13 Mai 2004 13:14


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron