Re: OpenVPN DHCP Conflits. Huh ?!

[Yann Coleu <yann.coleu@mailoo.org>]

Le 15/01/2013 18:54, Bzzz a écrit :
> On Tue, 15 Jan 2013 18:05:34 +0100
> Yann Coleu <yann.coleu@mailoo.org> wrote:
>
> > Je suis en train de configurer un modeste serveur OpenVPN sur ma Dedibox
> > de chez Online.net. Je suis plutôt content, je viens de le mettre en
> > place, il marche correctement et je peux donc accéder au port IMAP et
> > SMTP via ma connexion étudiante archi bridée.
> >
> > Mais voilà. Je télécharge un .iso d'ubuntu pour tester la bande passante
> > (réflexe) et voilà que PAF ! Ma connexion s'arrête brutalement. Je ping
> > (réflexe) et... rien. Mon serveur ne répond plus. Je vais sur la console
> > d'administration de online.net pour voir si il n'y a pas une anomalie
> > quelque par, et je vois un gros message en rouge:
> >
> > "Le port réseau de votre serveur est coupé, car des flux réseaux non
> > autorisés ont été détectés" (en gros)
> >
> > Ni une, ni deux, je prend ma souris fermement et j'ouvre un ticket
> > d'incident (depuis quand ubuntu ferait parti d'un flux non autorisé) et
> > je demande ce qu'il se passe.
> >
> > Le technicien me répond (rapidement d'ailleurs, et très sympa) que le
> > switch, sur lequel ma machine est reliée, a fermé le port
> > automatiquement en laissant un post-it dans les logs.
> Ça ferait un bon début de roman mi-noir mi-informatique!
>
> ... Et le détective Coleu sauta sur son Solex bi-turbo
> propulsé au shashlick mercerisé à la solexine; "merde"
> pensa-t-il très fort, Al-Qaida vient de me saboter le
> tuyau d'admission de la solexine,
> sale temps pour les serveurs Israëliens
> ainsi que pour les connexions Chinoises ...
Ahah !
> >      .Jan 15 10:02:27: %DHCP_SNOOPING-4-DHCP_SNOOPING_ERRDISABLE_WARNING: DHCP
> > Snooping received 10 DHCP packets on interface Gi1/0/2 .Jan 15 10:02:27:
> > %DHCP_SNOOPING-4-DHCP_SNOOPING_RATE_LIMIT_EXCEEDED: The interface Gi1/0/2 is
> > receiving more than the threshold set .Jan 15 10:02:27: %PM-4-ERR_DISABLE:
> > dhcp-rate-limit error detected on Gi1/0/2, putting Gi1/0/2 in err-disable
> > state .Jan 15 10:02:27: %SPANTREE-6-PORT_STATE: Port Gi1/0/2 instance 158
> > moving from forwarding to disabled .Jan 15 10:02:27: %SPANTREE-6-PORT_STATE:
> > Port Gi1/0/2 instance 658 moving from forwarding to disabled .Jan 15
> > 10:02:28: %LINEPROTO-5-UPDOWN: Line protocol on Interface
> > GigabitEthernet1/0/2, changed state to down .Jan 15 10:02:29: %LINK-3-UPDOWN:
> > Interface GigabitEthernet1/0/2, changed state to down
> >
> > Quoi ?! J'ai jamais eu l'idée de mettre un serveur dhcp. Je sais bien
> > que OpenVPN doit en intégrer un mais c'est pour le réseau "local
> > virtuel" pour donner des adresses à mes clients pas pour mon réseau
> > publique. Alors pourquoi tant de haine?
> > Bon c'est aussi mon premier VPN mis en place, mais là je dois dire que
> > je comprend pas ce qui lui arrive à ce petit serveur. Quelqu'un a une
> > idée? Je vous mets la conf du serveur VPN en bonus en pièce jointe.
> D'abord, à moins que ça ne soit une obligation, on évite TCP
> et on passe en UDP (moins d'overhead, etc)
Yep, pour moi c'est une obligation. Je suis derrière un portail captif 
où les seuls ports ouverts sont 80 et443, donc pas le choix. C'est clair 
que j'aime pas, mais j'ai pas le choix.
> Ensuite, pourquoi passer en mode routed plutôt que bridged?
> (bridged est plus facile à faire fonctionner et surtout
> amène le ping que routed ne permet pas)
Je vais voir ça.
> Le DH devrait aussi être de préférence en 2048 bits,
> ainsi que les autres clés et CA.
>
> Le chiffrage bouffe moins de ressources en BlowFish,
> et la sécurité est supérieure à AES.
Compris ! Je vais faire ça.
> > push "redirect-gateway def1 bypass-dhcp"
> Que tu veuilles rediriger 100% du trafic IP du client
> vers le svr passe encore, mais créer une route directe
> du client vers le DHCP, y'a de bonnes chances que ça
> soit là que le switch n'aime pas.
Ahh ouais d'accord. Donc j'enlève le bypass-dhcp. C'est vrai que c'est 
la ligne que j'avais du mal à comprendre. Je l'ai vue dans le blog de 
nicolargo, il doit bien y avoir une raison de mettre cette option mais 
j'avoue que elle ne m’était pas très claire.
> Dans tous les cas, il est préférable d'indiquer le path
> absolu des diverses clés (et attention aux permissions,
> notamment pour la clé privée).
Ça marche !
> À lire d'urgence:
> http://openvpn.net/index.php/open-source/documentation/howto.html
Vraiment un immense merci ! J'adore cette liste de diffusion, j'ai 
appris beaucoup beaucoup de choses encore une fois. Bonne soirée à tous.

PS: Non Gwilhom, pas de Dhcpd qui tourne. C'est la première chose que 
j'ai vérifié. Je m'en serai vraiment voulu si c'était le cas.