[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: iptables et openvpn



Tekpi a écrit :

Je n'ai pas accès au serveur du lan.

Tant pis, on devrait pouvoir se débrouiller sans. Par contre j'aurais aimé avoir les sorties de ifconfig|ipconfig, pour ne pas avoir besoin de jouer aux devinettes concernant les adresses et masques. Tant pis aussi... (bis repetita)

voici la route du linux (openvpn) :
192.168.3.1 dev eth1  scope link #Ici j'ai forcé la route pour accéder au
routeur, si j'enlève cela, le linux n'a plus le net car il se retourne vers
l'interface lan pour trouver l'ip du routeur

Ah, forcément si tu configures le même sous-réseau IP 192.168.3.0/24 sur deux interfaces reliées à des réseaux différents, ça va beaucoup moins bien marcher comme dirait l'autre. Après, pas étonnant qu'il faille des rustines pour faire à peu près marcher une configuration boiteuse.

192.168.3.0/24 dev eth0  scope link
192.168.3.0/24 dev br0  scope link
192.168.3.0/24 dev br0  proto kernel  scope link  src 192.168.3.254
192.168.3.0/24 dev eth1  proto kernel  scope link  src 192.168.3.2
default via 192.168.3.1 dev br0
default via 192.168.3.1 dev eth1

Je suppose que 192.168.3.2 est l'adresse de eth1, 192.168.3.254 celle de br0 et 192.168.3.1 celle du routeur ADSL.

Quel bazar là-dedans !
Pas moins de 4 routes pour le même sous-réseau et deux routes par défaut, contradictoires pour la plupart.

Primo, configurer deux sous-réseaux distincts pour le segment eth1-routeur ADSL et pour le segment br0-LAN-VPN. Secundo, eth0 fait partie du pont et donc ne doit être associé à aucune adresse IP ni route.
Tertio, virer les routes redondantes, en cherchant d'où elles viennent.

Au final, la table de routage devrait ressembler à ceci :

192.168.3.0/24 dev br0  proto kernel  scope link  src 192.168.3.254
192.168.4.0/24 dev eth1  proto kernel  scope link  src 192.168.4.2
default via 192.168.4.1 dev eth1

J'ai renuméroté le sous-réseau eth1-routeur ADSL en 192.168.4.0/4, l'adresse de eth1 en 192.168.4.2 et l'adresse du routeur en 192.168.4.1.

Voici la route du poste lambda (avec connexion vpn lancée) :
Itinéraires actifs :
Destination réseau    Masque réseau  Adr. passerelle   Adr. interface
Métrique
      192.168.3.0    255.255.255.0     192.168.3.50    192.168.3.50       30
      192.168.3.0    255.255.255.0      192.168.3.2    192.168.3.50       1

Je n'ai gardé que les routes non locales et non broadcast liées au VPN, pour la lisibilité. Il y a un intrus : la route vers le sous-réseau du LAN 192.168.3.0/24 ayant comme passerelle 192.168.3.2, adresse appartenant au serveur VPN. Je serais curieux de savoir comment elle est arrivée là. Poussée par le serveur VPN ? En tout cas je pense que c'est elle qui provoque le routage des paquets au lieu du pontage : au lieu d'être envoyés directement au LAN, ils sont envoyés à l'adresse de la passerelle car cette route a une métrique inférieure (donc une priorité supérieure) à la route directe juste au dessus.



Reply to: