Re: iptables et openvpn

[Pascal Hambourg <pascal.mail@plouf.fr.eu.org>]

Tekpi a écrit :
> Je n'ai pas accès au serveur du lan.

Tant pis, on devrait pouvoir se débrouiller sans. Par contre j'aurais 
aimé avoir les sorties de ifconfig|ipconfig, pour ne pas avoir besoin de 
jouer aux devinettes concernant les adresses et masques. Tant pis 
aussi... (bis repetita)

> voici la route du linux (openvpn) : 
>
> 192.168.3.1 dev eth1  scope link #Ici j'ai forcé la route pour accéder au
> routeur, si j'enlève cela, le linux n'a plus le net car il se retourne vers
> l'interface lan pour trouver l'ip du routeur

Ah, forcément si tu configures le même sous-réseau IP 192.168.3.0/24 sur 
deux interfaces reliées à des réseaux différents, ça va beaucoup moins 
bien marcher comme dirait l'autre. Après, pas étonnant qu'il faille des 
rustines pour faire à peu près marcher une configuration boiteuse.

> 192.168.3.0/24 dev eth0  scope link
> 192.168.3.0/24 dev br0  scope link
> 192.168.3.0/24 dev br0  proto kernel  scope link  src 192.168.3.254
> 192.168.3.0/24 dev eth1  proto kernel  scope link  src 192.168.3.2
> default via 192.168.3.1 dev br0
> default via 192.168.3.1 dev eth1

Je suppose que 192.168.3.2 est l'adresse de eth1, 192.168.3.254 celle de 
br0 et 192.168.3.1 celle du routeur ADSL.

Quel bazar là-dedans !
Pas moins de 4 routes pour le même sous-réseau et deux routes par 
défaut, contradictoires pour la plupart.

Primo, configurer deux sous-réseaux distincts pour le segment 
eth1-routeur ADSL et pour le segment br0-LAN-VPN.
Secundo, eth0 fait partie du pont et donc ne doit être associé à aucune 
adresse IP ni route.
Tertio, virer les routes redondantes, en cherchant d'où elles viennent.

Au final, la table de routage devrait ressembler à ceci :

192.168.3.0/24 dev br0  proto kernel  scope link  src 192.168.3.254
192.168.4.0/24 dev eth1  proto kernel  scope link  src 192.168.4.2
default via 192.168.4.1 dev eth1

J'ai renuméroté le sous-réseau eth1-routeur ADSL en 192.168.4.0/4, 
l'adresse de eth1 en 192.168.4.2 et l'adresse du routeur en 192.168.4.1.

> Voici la route du poste lambda (avec connexion vpn lancée) : 
>
> Itinéraires actifs :
> Destination réseau    Masque réseau  Adr. passerelle   Adr. interface
> Métrique
>       192.168.3.0    255.255.255.0     192.168.3.50    192.168.3.50       30
>       192.168.3.0    255.255.255.0      192.168.3.2    192.168.3.50       1

Je n'ai gardé que les routes non locales et non broadcast liées au VPN, 
pour la lisibilité. Il y a un intrus : la route vers le sous-réseau du 
LAN 192.168.3.0/24 ayant comme passerelle 192.168.3.2, adresse 
appartenant au serveur VPN. Je serais curieux de savoir comment elle est 
arrivée là. Poussée par le serveur VPN ? En tout cas je pense que c'est 
elle qui provoque le routage des paquets au lieu du pontage : au lieu 
d'être envoyés directement au LAN, ils sont envoyés à l'adresse de la 
passerelle car cette route a une métrique inférieure (donc une priorité 
supérieure) à la route directe juste au dessus.