Re: iptables et openvpn
>Tant pis, on devrait pouvoir se débrouiller sans. Par contre j'aurais
>aimé avoir les sorties de ifconfig|ipconfig, pour ne pas avoir besoin de
>jouer aux devinettes concernant les adresses et masques. Tant pis
>aussi... (bis repetita)
ipconfig : Carte Ethernet Connexion au réseau local:
Suffixe DNS propre à la connexion :
Adresse IP. . . . . . . . . . . . : 192.168.10.69
Masque de sous-réseau . . . . . . : 255.255.255.0
Passerelle par défaut . . . . . . : 192.168.10.1
Carte Ethernet Connexion au réseau local 2:
Suffixe DNS propre à la connexion :
Adresse IP. . . . . . . . . . . . : 192.168.3.50
Masque de sous-réseau . . . . . . : 255.255.255.0
Passerelle par défaut . . . . . . :
ifconfig :
br0 Link encap:Ethernet HWaddr 00:19:21:5C:A5:CA
inet addr:192.168.3.254 Bcast:192.168.3.255 Mask:255.255.255.0
inet6 addr: fe80::219:21ff:fe5c:a5ca/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:185826 errors:0 dropped:0 overruns:0 frame:0
TX packets:79746 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:198779227 (189.5 MiB) TX bytes:5208874 (4.9 MiB)
eth0 Link encap:Ethernet HWaddr 00:19:21:5C:A5:CA
inet6 addr: fe80::219:21ff:fe5c:a5ca/64 Scope:Link
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:202292 errors:0 dropped:0 overruns:0 frame:0
TX packets:79749 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:199542242 (190.2 MiB) TX bytes:5208936 (4.9 MiB)
Interrupt:19
eth1 Link encap:Ethernet HWaddr 00:1B:11:63:4F:CF
inet addr:192.168.3.2 Bcast:192.168.3.255 Mask:255.255.255.0
inet6 addr: fe80::21b:11ff:fe63:4fcf/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:80975 errors:0 dropped:0 overruns:0 frame:0
TX packets:146856 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:5766455 (5.4 MiB) TX bytes:196969433 (187.8 MiB)
Interrupt:21 Base address:0xec00
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
tap0 Link encap:Ethernet HWaddr 9A:FA:92:99:45:CD
inet6 addr: fe80::98fa:92ff:fe99:45cd/64 Scope:Link
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:80 errors:0 dropped:0 overruns:0 frame:0
TX packets:45865 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:10709 (10.4 KiB) TX bytes:3252694 (3.1 MiB)
>Ah, forcément si tu configures le même sous-réseau IP 192.168.3.0/24 sur
>deux interfaces reliées à des réseaux différents, ça va beaucoup moins
>bien marcher comme dirait l'autre. Après, pas étonnant qu'il faille des
>rustines pour faire à peu près marcher une configuration boiteuse.
Figures toi que j'ai demandé conseil sur ce forum en développant ma
topologie réseau et mes besoins, on m'a répondu qu'il fallait faire du vpn
bridgé et donc que les interfaces lan et wan soient les mêmes.
En même temps j'ai peut être mal compris lol
>Je suppose que 192.168.3.2 est l'adresse de eth1, 192.168.3.254 celle de
>br0 et 192.168.3.1 celle du routeur ADSL.
Bien deviné.
>Quel bazar là-dedans !
>Pas moins de 4 routes pour le même sous-réseau et deux routes par
>défaut, contradictoires pour la plupart.
>Primo, configurer deux sous-réseaux distincts pour le segment
>eth1-routeur ADSL et pour le segment br0-LAN-VPN.
>Secundo, eth0 fait partie du pont et donc ne doit être associé à aucune
>adresse IP ni route.
>Tertio, virer les routes redondantes, en cherchant d'où elles viennent.
Cela signifie que je dois reconfigurer mon script iptables. Ce qui me parait
bizarre, c'est que cela fonctionne si j'ouvre complètement mon script
iptables...
>Au final, la table de routage devrait ressembler à ceci :
>
>192.168.3.0/24 dev br0 proto kernel scope link src 192.168.3.254
>192.168.4.0/24 dev eth1 proto kernel scope link src 192.168.4.2
>default via 192.168.4.1 dev eth1
>J'ai renuméroté le sous-réseau eth1-routeur ADSL en 192.168.4.0/4,
>l'adresse de eth1 en 192.168.4.2 et l'adresse du routeur en 192.168.4.1.
Nickel.
> Voici la route du poste lambda (avec connexion vpn lancée) :
>
> Itinéraires actifs :
> Destination réseau Masque réseau Adr. passerelle Adr. interface
> Métrique
> 192.168.3.0 255.255.255.0 192.168.3.50 192.168.3.50
> 30
> 192.168.3.0 255.255.255.0 192.168.3.2 192.168.3.50
> 1
>Je n'ai gardé que les routes non locales et non broadcast liées au VPN,
>pour la lisibilité. Il y a un intrus : la route vers le sous-réseau du
>LAN 192.168.3.0/24 ayant comme passerelle 192.168.3.2, adresse
>appartenant au serveur VPN. Je serais curieux de savoir comment elle est
>arrivée là. Poussée par le serveur VPN ? En tout cas je pense que c'est
>elle qui provoque le routage des paquets au lieu du pontage : au lieu
>d'être envoyés directement au LAN, ils sont envoyés à l'adresse de la
>passerelle car cette route a une métrique inférieure (donc une priorité
>supérieure) à la route directe juste au dessus.
Oui, c'est bien le openvpn.conf qui force cette route sur le poste lambda.
J'ai supprimé cette option car je pensais qu'elle pouvait être la source du
pb, sans résultat.
Ce qui est franchement étrange, c'est que je peux, via mon poste lambda,
faire un ping ou même faire du ssh sur la pate lan du linux...
Pourquoi m'aurait-on dit de mettre toutes les interfaces du linux dans le
même sous réseau pour bridgé le vpn?
Merci pour ton aide.
--
View this message in context: http://www.nabble.com/iptables-et-openvpn-tf4895724.html#a14042387
Sent from the debian-user-french mailing list archive at Nabble.com.
Reply to: