Re: Réseau : accès VPN et LAN simultanés

To: debian-user-french@lists.debian.org
Subject: Re: Réseau : accès VPN et LAN simultanés
From: roger.tarani@free.fr
Date: Wed, 9 Jan 2019 19:41:14 +0100 (CET)
Message-id: <[🔎] 1882227444.1046841107.1547059274854.JavaMail.root@zimbra1-e1.priv.proxad.net>
In-reply-to: <[🔎] 759fcba4-bedc-fb11-6a1a-ab6ff71657ff@pregonetwork.net>


----- Original Message -----
From: "Jérémy Prego" <jeremy@pregonetwork.net>
To: debian-user-french@lists.debian.org
Sent: Wednesday, January 9, 2019 6:10:02 PM
Subject: Re: Réseau : accès VPN et LAN simultanés

Le 09/01/2019 à 14:05, roger.tarani@free.fr a écrit :
> 	Avec traceroute :
> MACHINE 2
>  1  freeplayer.freebox.fr (FREEPLAYER)  39.753 ms  39.531 ms  39.427 ms
>  2  freeplayer.freebox.fr (FREEPLAYER)  3139.230 ms !H  3139.549 ms !H  3139.457 ms !H
>
ce traceroute n'est pas bon.
> Problème résolu. 

tant mieux si c'est résolu, mais le traceroute n'est pas convainquant

Réponse :
Le traceroute communiqué pour les deux machines est celui indiqué SANS la configuration salvatrice côté client openvpn ("on visualise le cas où il y a blocage entre les 2 machines via le LAN").

AVEC la bonne config, le traceroute montre juste un saut :
$ traceroute IP_machine2
traceroute to IP_machine2 (IP_machine2), 30 hops max, 60 byte packets
 1  IP_machine2 (IP_machine2)  5.358 ms  5.654 ms  5.677 ms

Idem depuis l'autre machine.


> PS : une question de sécurité qui devrait intéresser les gens, je crois :
> Est-il normal que l'adresse IP d'une machine du LAN soit visible depuis un site internet auquel elle se connecte par un navigateur ??
> On la lit en clair, par exemple avec http://www.whatsmyip.org/more-info-about-you/ qui fournit d'abord (et c'est normal) l'adresse IP publique du réseau (de la Box).

> l'adresse privé de la machine est visible parce que ton navigateur utilise la technologie webRTC. 

> Est-ce un danger ?

Je ne sais pas vraiment.

Réponse :
Test : sans VPN, http://www.whatsmyip.org/more-info-about-you/ voit l'adresse IP de la machine sur le LAN.
Cette situation me choque. Peux-tu/pouvez-vous essayer avec votre machine pour voir si votre IP LAN "fuit" ?

> Si oui, y a-t-il une solution ? (tiens, là je sens que l'on va me parler de FW que je devrais configurer...)

désactivvé WebRTC ? mais c'est pas forcément une bonne idée si des services l'utilisent

Réponse :
Je n'utilise pas webRTC, mais il est utilisé à mon insu.
Je viens d'installer l'extension FF Disable WebRTC  et, ô joie, whatsmyip ne voit plus l'IP LAN :
Internal LAN IP: Local IP address is not supported in this browser 

Notez que noscript n'empêchait pas l'IP LAN d'être lue.

Je suis en train de plancher sur Securing Debian Manual ( https://www.debian.org/doc/manuals/securing-debian-howto/ ). Je veux tout passer au crible. Et je sens que je vais découvrir un tas de fissures de ce genre dans mon système.

Avant que j'ai fait le tour de la sécurité d'une machine Debian, 
y a-t-il d'autres choses évidentes (comme WebRTC) à vérifier ?
Déjà au niveau du navigateur qui expose beaucoup la machine au monde extérieur

Merci


Jerem
>
> ----- Original Message -----
> From: "Eric Degenetais" <edegenetais@henix.fr>
> To: "roger tarani" <roger.tarani@free.fr>
> Cc: "ML Debian User French" <debian-user-french@lists.debian.org>
> Sent: Wednesday, January 9, 2019 10:10:47 AM
> Subject: Re: Réseau : accès VPN et LAN simultanés
>
> bonjour,
> Le mer. 9 janv. 2019 à 09:22, <roger.tarani@free.fr> a écrit :
>> Je vais essayer. C'est simple, une ligne.
>>
>> A part constater que la communication fonctionne entre elles via le LAN lorsque les machines sont aussi reliées au VPN, quel outil SIMPLE utiliser pour vérifier les liens et les flux ?
>> Je connais un peu nmap mais c'est de la grosse artillerie (pour moi). Ce pb réseau est l'occasion de se mettre à jour.
>>
> pourquoi ne pas commencer par un simple traceroute tout con ?
>> Bonne journée
>>
>> ----- Original Message -----
>> From: "Jérémy Prego" <jeremy@pregonetwork.net>
>> To: debian-user-french@lists.debian.org
>> Sent: Wednesday, January 9, 2019 8:47:07 AM
>> Subject: Re: Réseau : accès VPN et LAN simultanés
>>
>>
>>
>> Le 09/01/2019 à 07:25, Pascal Hambourg a écrit :
>>> Le 09/01/2019 à 02:35, Jérémy Prego a écrit :
>>>> Le 09/01/2019 à 02:23, roger.tarani@free.fr a écrit :
>>>>
>>>>> J'ai un petit blocage sur un sujet de réseau :
>>>>> Openvpn client est installé sur 2 machiness Jessie qui sont sur le
>>>>> même LAN.
>>>>> Le serveur est dans un lieu différent.
>>>>> Dès que la connexion vpn est demarrée, impossible de communiquer via
>>>>> le LAN entre les deux machines. Seule l'adresse IP du VPN est
>>>>> accessible.
>>>>> C'est surtout gênant pour les gros transferts de fichiers.
>>> Peux-tu poster la table de routage et le jeu de règles iptables des
>>> deux machines lorsqu'elles sont connectées au VPN ?
>>>
>>> ip route
>>> iptables-save
>>>
>>>> dans le fichier openvpn sur les clients ou sur le serveur
>>>>
>>>> client:
>>>> route 192.168.40.0 255.255.255.0 net_gateway
>>> En quoi est-ce censé répondre au besoin ?
>>> Je ne pense pas que Roger souhaite que les communications entre les
>>> deux machines passent par le VPN (cf. phrase sur le transfert de gros
>>> fichiers).
>>>
>> ça tombe bien, c'est le but de net_gateway par oposition a l'option
>> vpn_gateway.
>>
>> Jerem
>>
> Éic Dégenètais
>

Reply to:

References:
- Re: Réseau : accès VPN et LAN simultanés
  - From: Jérémy Prego <jeremy@pregonetwork.net>

Prev by Date: Re: Réseau : accès VPN et LAN simultanés
Next by Date: Re: Réseau : accès VPN et LAN simultanés
Previous by thread: Re: Réseau : accès VPN et LAN simultanés
Next by thread: Re: Réseau : accès VPN et LAN simultanés
Index(es):
- Date
- Thread