Re: OpenVPN DHCP Conflits. Huh ?!
On Tue, 15 Jan 2013 18:05:34 +0100
Yann Coleu <yann.coleu@mailoo.org> wrote:
> Je suis en train de configurer un modeste serveur OpenVPN sur ma Dedibox
> de chez Online.net. Je suis plutôt content, je viens de le mettre en
> place, il marche correctement et je peux donc accéder au port IMAP et
> SMTP via ma connexion étudiante archi bridée.
>
> Mais voilà. Je télécharge un .iso d'ubuntu pour tester la bande passante
> (réflexe) et voilà que PAF ! Ma connexion s'arrête brutalement. Je ping
> (réflexe) et... rien. Mon serveur ne répond plus. Je vais sur la console
> d'administration de online.net pour voir si il n'y a pas une anomalie
> quelque par, et je vois un gros message en rouge:
>
> "Le port réseau de votre serveur est coupé, car des flux réseaux non
> autorisés ont été détectés" (en gros)
>
> Ni une, ni deux, je prend ma souris fermement et j'ouvre un ticket
> d'incident (depuis quand ubuntu ferait parti d'un flux non autorisé) et
> je demande ce qu'il se passe.
>
> Le technicien me répond (rapidement d'ailleurs, et très sympa) que le
> switch, sur lequel ma machine est reliée, a fermé le port
> automatiquement en laissant un post-it dans les logs.
Ça ferait un bon début de roman mi-noir mi-informatique!
... Et le détective Coleu sauta sur son Solex bi-turbo
propulsé au shashlick mercerisé à la solexine; "merde"
pensa-t-il très fort, Al-Qaida vient de me saboter le
tuyau d'admission de la solexine,
sale temps pour les serveurs Israëliens
ainsi que pour les connexions Chinoises ...
> .Jan 15 10:02:27: %DHCP_SNOOPING-4-DHCP_SNOOPING_ERRDISABLE_WARNING: DHCP
> Snooping received 10 DHCP packets on interface Gi1/0/2 .Jan 15 10:02:27:
> %DHCP_SNOOPING-4-DHCP_SNOOPING_RATE_LIMIT_EXCEEDED: The interface Gi1/0/2 is
> receiving more than the threshold set .Jan 15 10:02:27: %PM-4-ERR_DISABLE:
> dhcp-rate-limit error detected on Gi1/0/2, putting Gi1/0/2 in err-disable
> state .Jan 15 10:02:27: %SPANTREE-6-PORT_STATE: Port Gi1/0/2 instance 158
> moving from forwarding to disabled .Jan 15 10:02:27: %SPANTREE-6-PORT_STATE:
> Port Gi1/0/2 instance 658 moving from forwarding to disabled .Jan 15
> 10:02:28: %LINEPROTO-5-UPDOWN: Line protocol on Interface
> GigabitEthernet1/0/2, changed state to down .Jan 15 10:02:29: %LINK-3-UPDOWN:
> Interface GigabitEthernet1/0/2, changed state to down
>
> Quoi ?! J'ai jamais eu l'idée de mettre un serveur dhcp. Je sais bien
> que OpenVPN doit en intégrer un mais c'est pour le réseau "local
> virtuel" pour donner des adresses à mes clients pas pour mon réseau
> publique. Alors pourquoi tant de haine?
> Bon c'est aussi mon premier VPN mis en place, mais là je dois dire que
> je comprend pas ce qui lui arrive à ce petit serveur. Quelqu'un a une
> idée? Je vous mets la conf du serveur VPN en bonus en pièce jointe.
D'abord, à moins que ça ne soit une obligation, on évite TCP
et on passe en UDP (moins d'overhead, etc)
Ensuite, pourquoi passer en mode routed plutôt que bridged?
(bridged est plus facile à faire fonctionner et surtout
amène le ping que routed ne permet pas)
Le DH devrait aussi être de préférence en 2048 bits,
ainsi que les autres clés et CA.
Le chiffrage bouffe moins de ressources en BlowFish,
et la sécurité est supérieure à AES.
> push "redirect-gateway def1 bypass-dhcp"
Que tu veuilles rediriger 100% du trafic IP du client
vers le svr passe encore, mais créer une route directe
du client vers le DHCP, y'a de bonnes chances que ça
soit là que le switch n'aime pas.
Dans tous les cas, il est préférable d'indiquer le path
absolu des diverses clés (et attention aux permissions,
notamment pour la clé privée).
À lire d'urgence:
http://openvpn.net/index.php/open-source/documentation/howto.html
--
<Poisson> : Nan mais cette semaine, je l'ai prise tous les jours,
partout et dans tous les sens, j'en pouvais plus...
<Papillon> : Rassure-moi, tu parles toujours de la ligne 4?
Reply to: