Re: Pb de routage entre deux sites via openvpn

To: Johnny B <frozzenshell@gmail.com>
Cc: debian-user-french@lists.debian.org
Subject: Re: Pb de routage entre deux sites via openvpn
From: Yann Cohen <yann@ianco.org>
Date: Fri, 29 Aug 2014 21:48:08 +0200
Message-id: <[🔎] 1409341688.8368.5.camel@yco-sts-linux.ianco.homelinux.org>
In-reply-to: <[🔎] 5400D0D1.9050002@gmail.com>
References: <[🔎] 1409329760.8368.1.camel@yco-sts-linux.ianco.homelinux.org> <[🔎] 5400D0D1.9050002@gmail.com>

Le vendredi 29 août 2014 à 21:13 +0200, Johnny B a écrit :
> Salut,
Bonsoir,

ci après les conf...
> 
> Quelle est ta conf de routage iptables ?
Coté serveur
root@firewall:~# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         
fail2ban-ssh  tcp  --  anywhere             anywhere
multiport dports ssh 
ACCEPT     all  --  anywhere             anywhere            state
RELATED,ESTABLISHED 
ACCEPT     all  --  anywhere             anywhere            state NEW 

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            state
RELATED,ESTABLISHED 
ACCEPT     all  --  anywhere             anywhere            state NEW 

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            state
RELATED,ESTABLISHED 
ACCEPT     all  --  anywhere             anywhere            state NEW 

Chain fail2ban-ssh (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            

Coté client
root@sky:~# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             state
RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere             state NEW

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             state
RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere             state NEW

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             state
RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere             state NEW

> 
> Quelle est ta conf openvpn.conf ?
Serveur
root@firewall:~# grep -v -e "#" -e ";" -e"^
$" /etc/openvpn/server.conf                
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
dh dh1024.pem
server 192.168.100.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.3.0 255.255.255.0"
push "route 192.168.4.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0"
client-config-dir ccd
route 192.168.29.0 255.255.255.0
push "route 192.168.29.0 255.255.255.0"
client-to-client
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log         openvpn.log
verb 4

ccd
iroute 192.168.29.0 255.255.255.0

Client
root@sky:~# grep -v -e "#" -e ";" -e"^
$" /etc/openvpn/connect/clients.d/sky.lys-net/client.conf 
client
dev tun
proto udp
remote xx.yy.zz.www 1194
resolv-retry infinite
cipher DES-EDE3-CBC
ca ca.crt
cert sky.lys-net.crt
key sky.lys-net.key
tls-auth ta.key 1
nobind
persist-key
persist-tun
comp-lzo
verb 3


> 
> 
> Le 08/29/2014 06:29 PM, Yann Cohen a écrit :
> > Bonjour,
> >
> > je sèche sur un problème de routage entre deux sites qui sont connectés
> > via openvpn.
> >
> > Chaque coté du tunnel est un serveur debian (old-stable et jessie).
> >
> > Le serveur (firewall) est coté old-stable, le client coté jessie.
> >
> > Le serveur dessert les réseaux 192.168.3.0/24, 192.168.4.0/24 et
> > 192.168.1.0/24
> >
> > Le vpn est dans le plan d'@ 192.168.100.0/24
> >
> > Le client (sky) dessert le réseau 192.168.29.0/24.
> >
> > la table de routage coté serveur est la suivante :
> > root@firewall:/etc/openvpn# netstat -rn
> > Kernel IP routing table
> > Destination     Gateway         Genmask         Flags   MSS Window  irtt
> > Iface
> > 192.168.100.2   0.0.0.0         255.255.255.255 UH        0 0          0
> > tun0
> > 192.168.100.0   192.168.100.2   255.255.255.0   UG        0 0          0
> > tun0
> > 192.168.4.0     0.0.0.0         255.255.255.0   U         0 0          0
> > eth2
> > 192.168.3.0     0.0.0.0         255.255.255.0   U         0 0          0
> > eth0
> > 192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0
> > eth1
> > 192.168.29.0    192.168.100.2   255.255.255.0   UG        0 0          0
> > tun0
> > 0.0.0.0         192.168.1.1     0.0.0.0         UG        0 0          0
> > eth1
> >
> > la table de routage coté client est la suivante :
> > root@sky:~# netstat -rn
> > Table de routage IP du noyau
> > Destination     Passerelle      Genmask         Indic   MSS Fenêtre irtt
> > Iface
> > 0.0.0.0         192.168.29.1    0.0.0.0         UG        0 0          0
> > br0
> > 192.168.1.0     192.168.100.21  255.255.255.0   UG        0 0          0
> > tun0
> > 192.168.3.0     192.168.100.21  255.255.255.0   UG        0 0          0
> > tun0
> > 192.168.4.0     192.168.100.21  255.255.255.0   UG        0 0          0
> > tun0
> > 192.168.29.0    0.0.0.0         255.255.255.0   U         0 0          0
> > br0
> > 192.168.100.1   192.168.100.21  255.255.255.255 UGH       0 0          0
> > tun0
> > 192.168.100.21  0.0.0.0         255.255.255.255 UH        0 0          0
> > tun0
> >
> > Les routes viennent de la configuration openvpn via les directives :
> > push route pour .4, .3, .1
> > route et iroute pour .29
> >
> > via fwbuilder la table de routage est configurée de chaque coté pour ne
> > rien bloquer (enfin c'est ce que je crois...).
> >
> > De chaque coté j'ai mis en place un tshark sur l'interface tun0 et un
> > sur l'interface eth0 ou br0. Objectif suivre les paquets "icmp".
> >
> > Les pings et les pongs depuis le client (sky) vers l'adresse du serveur
> > (firewall) en .3 passent.
> >
> > Les pings depuis firewall vers sky sur l'adresse en .29 ne sont pas
> > envoyés sur tun0 de firewall.
> >
> > Les pings depuis une machine sur le .29 vers une machine sur le .3,
> > entrent sur br0 de sky, passent sur tun0 de sky mais ne sortent pas de
> > tun0 de firewall.
> >
> > Je sèche sur ce problème depuis un bon paquets d'heures.
> >
> > Je suppose que le problème est coté serveur (firewall) mais je ne sais
> > plus où chercher.
> >
> > Je suis donc preneur de toute piste...
> >
> > Cordialement.
> >
> > Yann.
> >
>

Reply to:

References:
- Pb de routage entre deux sites via openvpn
  - From: Yann Cohen <yann@ianco.org>
- Re: Pb de routage entre deux sites via openvpn
  - From: Johnny B <frozzenshell@gmail.com>

Prev by Date: [1/2 HS] : la révolution des OS viendrait-elle de la Chine... ?
Next by Date: Re: [1/2 HS] : la révolution des OS viendrait-elle de la Chine... ?
Previous by thread: Re: Pb de routage entre deux sites via openvpn
Next by thread: Re: Pb de routage entre deux sites via openvpn
Index(es):
- Date
- Thread