Le mar. 22 janv. 2019 à 17:31, Daniel Huhardeaux <no-spam@tootai.net
<mailto:no-spam@tootai.net>> a écrit :
Le 22/01/2019 à 16:48, Olivier a écrit :
> Bonjour,
Bonjour
>
> J'ai plusieurs réseaux locaux distants dont le routeur est un
serveur
> Debian sur lequel un client OpenVPN est installé.
>
> Je souhaite pouvoir depuis mon propre PC sur lequel est aussi
installé
> un client OpenVPN, atteindre les machines connectées des différents
> réseaux locaux distants qui par ailleurs, sont à peu près tous
> configurés de la même façon (tous en 192.168.1.0/24
<http://192.168.1.0/24>
> <http://192.168.1.0/24>, par exemple).
>
> Pour fixer les choses, j'envisage d'opérer de la façon suivante:
> + sur mon PC:
> A. je lance mon client OpenVPN
> B. j'adapte ma configuration réseau en indiquant comment
atteindre les
> machines d'un réseau distant
> + sur mon serveur OpenVPN
> C. j'adapte ma configuration réseau
> + sur un routeur Debian distant particulier:
> D. j'adapte la configuration réseau afin que les machines du réseau
> local puissent communiquer avec mon PC (par chance, le routeur
Debian
> est déjà la passerelle par défaut de ces machines).
>
> Le serveur OpenVPN est une machine sur le cloud.
> J'ai découvert que je pouvais utiliser l'option client-to-client
> d'OpenVPN pour permettre la communication directe entre deux clients
> OpenVPN.
> J'ai lu en [1], que cette communication s'opérait à "l'insu de la
> configuration réseau du serveur OpenVPN" : les flux passaient
> directement d'un client OpenVPN à un autre sans que je puisse,
avec le
> firewall du serveur OpenVPN définir des régles très précises
comme celle
> de n'autoriser que la communication depuis ou vers un ou deux
clients
> OpenVPN.
>
> Mes questions:
> 1. Ai-je bien compris [1] et [1] est-il bien toujours valable ?
>
> 2. J'imaginais configurer l'étape D si dessus par un simple NAT avec
> iptables du type (10.8.1.70 est l'IP dans le VPN du routeur Debian):
> iptables -t nat -A POSTROUTING -o tun0 -j SNAT --to-source 10.8.1.70
> Qu'en pensez-vous ?
>
> 3. Que faire pour les étapes B et C ?
> J'ai essayé sans trop de succès différentes commande "ip route
add" sans
> succès pour l'instant.
Perso j'utilise 2 types d'organisations:
1. les machines des réseaux de l'entreprise: un serveur OpenVPN en mode
tun, tous les serveurs des sites clients s'y connectent, je peux
joindre
n'importe quel machine sur ces autres réseaux, aucun n'a le même plan
d'adresses IP.
L'inconvénient pour toi est que justement tous les réseaux auxquels tu
veux te joindre ont le même plan d'adressage IP
2. les réseaux des clients: j'utilise un serveur OpenVPN mode tun en DC
auquel les serveurs clients se connectent soit via OpenVPN soit en ssh
avec autossh (reverse ssh).
Dans les 2 cas, à partir de mon portable je peux joindre n'importe quel
machine derrière les réseaux clients en utilisant les commandes ssh
(pour le cas 2 essentiellement ProxyCommand pour tous les clients,
Hostname en plus pour ceux en VPN)
--
Daniel