Script Iptables pour OpenVPN

par **DocLeFou** » 07 Déc 2004 16:28

Bonjour tous

Quelqu'un pourrait-il m'aider à faire un script pour iptables afin que les paquet venant de mon VPN ( OpenVPN) puissent etre accepté. A l'heure actuelle les 2 serveur passerelle se pingue mais je n'arrive pas voir le machine se trouvant derriere la passerelle.

Voici les infos du reseau et du VPN.

Site 1 : 192.168.20.0 Lan
|
|
192.168.20.1 (serveur SME-eth0)
|
Site 1 10.0.30.1 (Interface OpenVPN sur le serveur SME-tun0)
|
WAN (eth1)
|
Internet
|
WAN (eth1)
|
Site 2 10.0.30.2 (Interface OpenVPN sur le serveur SME-tun0)
|
192.168.21.1 (serveur SME-eth0)
|
|
Site 2 192.168.21.0 Lan

Ci joint egalement le message que j'obtiens de la passerelle du Site 1 lorsque que je ping 192.168.20.2 de 192.168.21.1

Dec 7 15:11:45 mamachine kernel: denylog:IN=tun0 OUT=eth0 SRC=10.0.30.2 DST=192.168.20.2 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=48442 SEQ=512
Dec 7 15:11:46 mamachine kernel: denylog:IN=tun0 OUT=eth0 SRC=10.0.30.2 DST=192.168.20.2 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=48442 SEQ=768
Dec 7 15:11:47 mamachine kernel: denylog:IN=tun0 OUT=eth0 SRC=10.0.30.2 DST=192.168.20.2 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=48442 SEQ=1024
Dec 7 15:11:48 mamachine kernel: denylog:IN=tun0 OUT=eth0 SRC=10.0.30.2 DST=192.168.20.2 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=48442 SEQ=1280

J'espere que cela pourra aider.

En vous remerciant par avance.

par **netspirit** » 13 Déc 2005 21:06

Bonsoir,

Je suis confronté au même problème aujourd'hui, configuration identique (à l'adressage IP prés) avec OPENVPN, je peux pinguer de part d'autre l'adresse de l'interface locale de l'autre SME mais impossible d'aller plus loin. Je suis bloqué par iptables des deux cotés (d'après les logs).
Je cherche donc soit une "vraie"contrib de gestion d'iptable via l'interface Web permettant d'ouvrir des règles du type :
Allow ALL from le_réseau_distant_privé to mon_réseau local.
Et ce, sans tout casser sur la SME.

DocLeFou, As-tu trouvé une solution depuis un an ?
D'avance merci,

Olivier

par **DocLeFou** » 13 Déc 2005 21:09

Malheureusement non

J'ai du faire mon installation sous Linux DEBIAN

par **netspirit** » 13 Déc 2005 21:18

Mauvaise nouvelle... Moi je ne peux pas les changer ceux sont des serveurs qui sont en production depuis des mois et je ne pense pas que le boss sera OK pour passer à autre chose.
Merci pour la rapidité de réponse, je vais continuer mes recherches.
Olivier

par **Fesch** » 14 Déc 2005 23:46

En fait, c'est tout simple. Il suffit de jouer un peu avec la commande "route" et de rajouter le bon route sur le serveur OpenVPN ainsi que sur la passerelle par défaut. - Chez moi cela fonctionne impec ...

par **netspirit** » 15 Déc 2005 01:14

Oui ok, sauf que là j'ai clairement dans les logs (messages) un refus par le firewall pour les paquets provenants de mon VPN. Donc route ou pas route je ne vois pas ce que ça arrangerait pour que le firewall laisse passer les paquets en entrée vers les machines du LAN.
Maintenant j'ai essayé de mettre les routes via l'interface Web mais j'obtiens ensuite des erreurs lorsque je lance mes pings pour tester (unknown route to host).
Je reste persuadé que ce n'est qu'un problème de régle pour autoriser le réseau distant à entrer mais je ne trouve pas comment faire sans tout pêter dans la gestion d'IPTABLE de la SME vu que c'est très particulier avec des scripts en veux tu en voilà rangés à droite et à gauche. Mais je trouverai bien ;-)

Merci pour ton info en tout cas.

par **Pabze** » 03 Jan 2006 16:33

Bonjour, et bonne année à tous !!

Tu as du résoudre ton probléme depuis ce temps, mais bon, il est toujours bon de mettre une conclusion !!

Pour ma part j'ai compilé OpenVPN en version 2 sur une SME6.1 mais à la différence de toi elle est en server-only, donc aucunement besoin des régles de firewall chez moi !! :wink:

En revanche pour un VPN sur SME en mode passerelle les bonnes régles sont de ce type :

Code: Tout sélectionner: # Accepter les connexions du daemon OpenVPN iptables -I INPUT -p udp --dport [NUMERO DU PORT DU SERVEUR] -j ACCEPT

Puis :

VPN ROUTE (2 interfaces ethernet) :

Code: Tout sélectionner: # Cas 1 pour les tunnels VPN routés device TUN0 iptables -I INPUT -i tun0 -j ACCEPT iptables -I FORWARD -i tun0 -j ACCEPT iptables -I FORWARD -o tun0 -j ACCEPT iptables -I OUTPUT -o tun0 -j ACCEPT

Pour ceux disposant d'un firewall retisant en mode bridge (Une seule interface ethernet) :
La premiére régle citée ci dessus, puis :

:!:

VPN en mode BRIDGE (1 interface ethernet)

Code: Tout sélectionner: # Cas 2 pour les VPN bridgés device TAP0 iptables -I INPUT -i tap0 -j ACCEPT iptables -I FORWARD -i tap0 -j ACCEPT iptables -I FORWARD -o tap0 -j ACCEPT iptables -I OUTPUT -o tap0 -j ACCEPT iptables -I INPUT -i br0 -j ACCEPT iptables -I FORWARD -i br0 -j ACCEPT iptables -I OUTPUT -o br0 -j ACCEPT

En esperant aider quelqu'un !

Pabze

par **Pabze** » 03 Jan 2006 16:48

Re ... !!!

SI LES REGLES FONCTIONNENT PENSEZ A LES REMETTRE AVEC "-A" à la place de "-I" UNE FOIS VOS TEST TERMINE :
Ce qui evitera au firewall d'ignorer les autres régles ...

( I = Insert et A = Append)

:wink:

Pabze
Edité 3 fois pour fautes d'orthographe ... lol Sorry ...

Script Iptables pour OpenVPN

Script Iptables pour OpenVPN

Qui est en ligne ?