[RESOLU] Problème d'accès DMZ depuis VPN sous OpenVPN

[neodragon]

Bonjour,

Après quelques temps d'utilisation d'openvpn entre une machine connectée en roadwarrior et le green de mon réseau local, j'ai eu besoin d'accéder au serveur se trouvant dans la DMZ. Seulement, je n'ai pas accès à ce serveur depuis mon pc roadwarrior.

J'ai fait quelques tests sur le routage :
- du roadwarrior au green, les paquets passent bien par la connection VPN
- du roadwarrior à la DMZ, les paquets passent par la connection internet du roadwarrior et PAS par le VPN.

Sauriez-vous pourquoi ? Et dans ce cas, comment faire passer ces paquets par la connection VPN ?

Code: Tout sélectionner

PC(192.168.7.10)--------Freebox(mode routeur activé)---------INTERNET
|                                                                   |
|                                                                   |
VPN(192.168.254.X)-----------------------------------------------Ipcop-------Green(192.168.1.X)
                                                                    |
                                                                    |
                                                                  DMZ(192.168.3.X)

[neodragon]

Y a-t-il des personnes qui utilisent openvpn et accèdent à la dmz derrière ipcop ?

[Franck78]

Hello,
Tu as trois réseau A,B, et C.
Si tu envisages le vpn comme un connecteur entre deux réseaux A et B , et bien cela ne fonctionnera qu'entre A et B. Logique non?
Ce n'est pas un connecteur entre A et un routeur (B ou C)

Tu peux essayer deux solutions:
1) créer un deuxième vpn A-C
2) en jouant sur les masques, grouper B & C sous un seul réseau du point de vue A.
Par exemple
C=192.168.0.0
B=192.168.1.0
A=192.168.128.0
et masque /25. Je n'ai pas essayé ces solutions. Possible, pas possible... à tester !

[neodragon]

Ce que tu dis est logique oui. Mais dans le cas actuel, ce n'est pas tout à fait identique comme situation.

Je me connecte au green par vpn roadwarrior. Le green a accès à la dmz (par défaut), donc comme le vpn permet de faire comme si mon roadwarrior distant se trouvait sur le green, il est donc aussi logique que ce roadwarrior puisse accéder à la dmz.

Je viens de régler le problème, et la piste des routes qui ne "collent" pas était bonne.
Lorsque je contactais les adresses du green, la connection passait bien par le vpn, mais lorsque je contactais une adresse qui n'était pas sur le green (qu'elle soit sur la dmz ou sur internet) la connection passait par la liaison internet du roadwarrior. Le truc était d'obliger les connections à passer par le vpn.

Il suffit pour cela de cocher une "option avancée" de OpenVPN sur IPCop : Redirect-Gateway def1
Cette option permet d'envoyer lors d'une connection vpn l'adresse de la passerelle par défaut pour obliger toutes les connections du roadwarrior à passer par le vpn.

Donc je n'ai toujours que mon vpn roawarrior-green mais je peux accéder sans problème à ma dmz dorénavant.

Si ça peut servir à d'autres, ...

[Franck78]

Dire que la sortie par le VPN est la route par défaut fonctionne mais quand tu veux atteindre internet ? Que se passe -t-il ?
Tu as bien remarqué que la table de routage possédait une entrée par réseau distant. Si tu ne veux pas jouer sur les masques, tu peux peut être 'seulement' ajouter une nouvelle route vers la dmz, sans toucher à la route par défaut (internet).

[neodragon]

Ben comme je l'ai dit, toutes les connections du roadwarrior passe par le vpn, donc internet aussi. Je l'avoue ça m'embête un peu à cause du ralentissement, qui reste raisonnable cependant, mais j'ai bien essayé avec des "route add" sans réussir.
Je ne suis pas un pro de la gestion des routes, donc j'ai juste essayé des commandes comme celle-ci sur mon win2k :
route add 192.168.3.0 mask 255.255.255.0 192.168.254.1 (avec différentes valeurs pour l'interface : 0x2 ou carrément l'adresse ip de la passerelle vpn)

Si tu as une idée de comment forcer cette route, je suis près à tout essayer.

[neodragon]

Ca y est j'ai réussi à forcer le routage.

J'ai modifié la configuration du serveur openvpn sur ipcop pour qu'il envoie aux clients vpn la "bonne" route pour le réseau orange (la dmz donc).

Pour cela, il faut modifier le fichier /home/httpd/cgi-bin/ovpnmain.cgi. Dans le script, à l'endroit où le fichier /var/ipcop/ovpn/server.conf est créé, écrire une ligne comme suit :

Code: Tout sélectionner

print CONF "push \"route $netsettings{'ORANGE_NETADDRESS'} $netsettings{'ORANGE_NETMASK'}\"\n";

Pour que les changements soient pris en compte dans le serveur openvpn, il faut passer par le webgui de ipcop et cliquer sur "enregistrer" dans l'interface openvpn. Ainsi le fichier server.conf sera recréé avec les modifs.

Cette fois je peux mettre le sujet en résolu

[taxaw]

neodragon pour ton probleme de route tu aurais pu dans le fichier de config du client openvpn ajouter la commande
--route adressedelaDMZ/MasqueDMZ

et comme cela tu auras plus de probleme.
C ce que j'utilise moi.
Bonne continuation

[neodragon]

Tout à fait d'accord taxaw.
Mais je voulais que tous les clients vpn puissent le faire sans toucher à leur config. Donc je n'ai pas vu d'autres solutions que de toucher au serveur.