[EDIT] Un VPN (OpenVPN) entre 2 SME (via serveur dédié)

par **lulu62** » 19 Oct 2006 10:45

Bonjour,

Voilà je dispose de deux réseaux A et B se trouvant dans deux villes différentes, dans chacun de ces réseaux il y a un serveur local sur lequel SME est installé.
Je dispose aussi d'un serveur dédié 1&1 tournant sous linux Suse et Plesk.
J'aimerais relier les deux réseaux A et B en utilisant le serveur dédié comme machine centrale afin de gérer les connexions VPN (j'ai laissé tombé la solution de VPN intégrée dans Plesk car celle-ci ne permet de faire une seule connexion entre une machine et le serveur dédié).
A l'heure actuelle je suis entrain d'essayer de faire fonctionner hamachi :
Le client qui est à l'origine de la création du réseau est installé sur le serveur dédié tandis que les clients rejoignant le réseau sont installés sur les 2 serveurs locaux. Tout semble être correctement installé et configuré: je ping dans n'importe quel sens n'importe quelle machine.

Maintenant le problème est le suivant : Est-il possible d'établir une connexion entre un poste client appartenant au réseau A et le serveur local situé dans le réseau B en se servant de la connexion VPN Hamachi établie entre les serveurs locaux SME et ainsi évitter l'installation de clients hamachi sur toutes les postes clients des réseaux A et B ?

Je précise que les serveurs locaux SME sont en mode Serveur et Passerelle.

Au cours de mes tests, j'ai installé un client VPN hamachi sur mon pc portable afin de tester l'accès aux ressources situées sur les serveurs locaux SME, j'arrive à pinger les serveurs SME mais je n'arrive pas à accéder aux partages samba ?!
Merci pour votre aide !
@+

par **lulu62** » 19 Oct 2006 15:58

Réseau local A
Réseau local B

Client <---> SME + Hamachi <---> internet <---> Serveur dédié + Hamachi <---> internet <---> SME + hamachi <--> Client

Voilà ce que je veux faire en gros, tout ça sans utiliser Hamachi sur les postes client et biensûr j'aimerais qu'un client du réseau A puisse accéder au serveur du réseau B, je me demande toujours si c'est possible, peut être en modifiant qqch dans la table de routage des SME ???

par **jibe** » 19 Oct 2006 21:10

Salut,

D'après le très peu que je sais d'hamachi, il crée et utilise des cartes réseau virtuelles et constitue un réseau virtuel qui lui est propre, avec ses @IP à lui. Tes clients sont par contre dans le réseau normal du serveur. Donc, AMHA, pour qu'un client puisse passer par le réseau hamachi, il faut une quelconque passerelle entre le LAN et le réseau hamachi. Je ne sais pas si hamachi sait le faire ? Apparemment, il établit la relation entre les machines sur lesquelles il est installé...

Bon, j'essaie de te donner une piste de recherche, mais je peux me planter totalement : je ne connais pratiquement pas hamachi...

par **Franck78** » 19 Oct 2006 21:46

Tiré de leur site:

Advanced Usage
Hamachi is a full-featured tunneling system that can handle arbitrary network traffic exchanged by Hamachi peers as governed by their routing setup. In particular this feature can be used for:

* Accessing networked devices, such as NAS and printers, that cannot be setup to run Hamachi on their own
* Connecting LAN segments via a single Hamachi computer on each LAN
* Setting up secure Web browsing or email access for roaming users

Il ne fait aucun doute que le serveur peut servir de hub vpn. Il faut bien sur un adressage réseau conforme pour que cela marche.
Aprés, il ne s'agit que de routage et ouverture de protocole adéquat.

Je place en le réseau privé classe A !
10.1.X.X <= site A
10.2.X.X <= site B
10.3.X.X <= site Central

10/8 adresse tout le réseau local (tout les site)
10/16 adresse un site particulier
Et il reste 2 octects pour identifier imprimante, serveurs et workstation ;-)

par **lulu62** » 20 Oct 2006 04:27

Franck78 a écrit:Tiré de leur site:
Advanced Usage
Hamachi is a full-featured tunneling system that can handle arbitrary network traffic exchanged by Hamachi peers as governed by their routing setup. In particular this feature can be used for:

* Accessing networked devices, such as NAS and printers, that cannot be setup to run Hamachi on their own
* Connecting LAN segments via a single Hamachi computer on each LAN
* Setting up secure Web browsing or email access for roaming users

Il ne fait aucun doute que le serveur peut servir de hub vpn. Il faut bien sur un adressage réseau conforme pour que cela marche.
Aprés, il ne s'agit que de routage et ouverture de protocole adéquat.

Je place en le réseau privé classe A !
10.1.X.X <= site A
10.2.X.X <= site B
10.3.X.X <= site Central

10/8 adresse tout le réseau local (tout les site)
10/16 adresse un site particulier
Et il reste 2 octects pour identifier imprimante, serveurs et workstation

Merci pour cette importante précision que je n'avais pas remarqué sur leur site :

Connecting LAN segments via a single Hamachi computer on each LAN

10.1.X.X <= site A
10.2.X.X <= site B

ok, en ce qui me concerne il s'agit de 192.168.1.X et 192.168.2.X
cependant j'ai du mal à te comprendre par la suite :

10.3.X.X <= site Central

S'agit-il du réseau VPN établi par Hamachi ? (je ne peux pas changer les ips Hamachi celles ci sont attribuées aléatoirement et sont tous au format 5.X.X.X)

par **Franck78** » 20 Oct 2006 10:28

Ton serveur qui est fait hub, il doit bien avoir lui aussi un LAN collé derrière lui. De toute facon c'est pas très génant, le routage se fera quand même car il connait forcément les deux autre réseaux.

par **lulu62** » 20 Oct 2006 14:09

J'ai trouvé deux liens qui m'ont permis de résoudre le premier problème qui était de relier les stations (dépourvues du logiciel hamachi) des réseaux A et B aux serveurs locaux en utilisant la connexion VPN entre les deux serveurs locaux :

la commande magique à exécuter sur les 2 SME :

Code: Tout sélectionner: iptables -A POSTROUTING -t nat -o ham0 -j MASQUERADE

j'arrive maintenant à pinguer le serveur sur le réseau B en utilisant un poste du réseau A grâce à l'adresse ip hamachi du serveur B et ce sans installer de client hamachi sur le poste A.

source :

http://forums.hamachi.cc/viewtopic.php?t=3523
http://forums.hamachi.cc/viewtopic.php?t=3180

Par contre il me reste un problème à régler : Je n'arrive pas à accéder aux ressources (samba, http...) situées sur les serveurs locaux (SME) en utilisant le réseau VPN Hamachi. J'ai ouvert les ports du firewall d'SME mais cela n'a rien changé, j'ai créé des renvoi de port mais tjs pareil, impossible d'ouvrir une session ftp ou samba ](*,)

Qqun a une idée ?!

par **Franck78** » 21 Oct 2006 19:23

Au pif je dirais que tu configuré d'une facon telle que le serveur 'du milieu' relie bien les deux tunnels vpn mais ne permet pas d'en sortir...
Ou plus subtilement, A connait B et vice versa, mais C est inconnu des deux autres. Je parle des numéros de réseau bien sur.

par **lulu62** » 23 Oct 2006 05:29

Bonjour, voilà j'ai changé de solution concernant le lien VPN, Hamachi c'est simple et rapide mais pas très stable entre 2 linux (apparemment un problème avec keepalive...).

J'ai donc installé OpenVPN sur le serveur dédié, et sur les 2 serveurs locaux et configuré le tout afin que les clients VPN (serveurs locaux en SME 7) se connectent au serveur VPN qui est le serveur dédié.

Tout marche bien je ping dans tous les sens cependant je retrouve le même problème que lorsque j'utilisais Hamachi :

Je n'arrive pas à passer le pare feu d'une SME7 en utilisant le VPN, lorsque je lis le fichier journal "iptables/current" voilà ce que j'observe :

Code: Tout sélectionner: 2006-10-22 21:57:12.173275500 Oct 22 21:57:12 serverhadyai denylog: IN=tun0 OUT= MAC= SRC=10.8.0.10 DST=10.8.0.6 LEN=48 TOS=00 PREC=0x00 TTL=128 ID=17871 DF PROTO=TCP SPT=1426 DPT=21 SEQ=1430690654 ACK=0 WINDOW=65535 SYN URGP=0

Le réseau 10.8.0.0 étant bien sûr celui du VPN,
10.8.0.10 est une station du réseau B, 10.8.0.6 est le serveur local SME7 du réseau A.

Comment puis-je faire afin d'autoriser le réseau VPN à utiliser les ressources de mes serveurs SME7 ?
(j'ai déjà essayer en ajoutant un nouveau réseau dans server-manager mais cela n'a pas marché, au contraire le VPN ne fonctionnait carrément plus... et j'ai essayé aussi le port-forwarding et le port-opening mais sans résultat

)

par **lulu62** » 25 Oct 2006 09:37

Bon je vais me répondre à moi même mais c'est pas un problème si par la suite ça peut aider qqun d'autre :wink:

Je pense avoir trouvé la réponse afin de paramétrer correctement les régles iptables afin de laisser le traffic du VPN traverser le firewall de SME, et j'ai trouvé la réponse ici !

http://forums.fr.ixus.net/viewtopic.php?t=23584

Code: Tout sélectionner: # Cas 1 pour les tunnels VPN routés device TUN0 iptables -I INPUT -i tun0 -j ACCEPT iptables -I FORWARD -i tun0 -j ACCEPT iptables -I FORWARD -o tun0 -j ACCEPT iptables -I OUTPUT -o tun0 -j ACCEPT

Comme Pabze le dit à la fin mieux vaut remplacer les I par des A cependant chez moi cela ne fonctionne plus si je met les A, mais je ne pense pas que cela puisse être un gros problème de sécurité si je laisse les I car ces régles concernent le traffic du VPN (tun0) et si le réseau interne est bien protèger, rien de bien méchant est censé emprunter le VPN...

par **lulu62** » 26 Oct 2006 13:56

Est-ce que qqun sait comment faire pour ne pas avoir à retapper ces régles à chaque redémarrage du serveur ?

par **jibe** » 26 Oct 2006 18:24

Salut,

Peut-être que ceci pourra t'aider. Pas très au goût du jour (faudra quand même que je me décide à remettre ce truc à niveau !), mais en t'en inspirant tu devrais y arriver, d'autant plus que tu as fait la partie la plus difficile : la mise au point des règles :wink:

[EDIT] Un VPN (OpenVPN) entre 2 SME (via serveur dédié)

[EDIT] Un VPN (OpenVPN) entre 2 SME (via serveur dédié)

Qui est en ligne ?