Re: Pb de routage entre deux sites via openvpn
Le vendredi 29 août 2014 à 21:13 +0200, Johnny B a écrit :
> Salut,
Bonsoir,
ci après les conf...
>
> Quelle est ta conf de routage iptables ?
Coté serveur
root@firewall:~# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
fail2ban-ssh tcp -- anywhere anywhere
multiport dports ssh
ACCEPT all -- anywhere anywhere state
RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state
RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state
RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
Chain fail2ban-ssh (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Coté client
root@sky:~# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state
RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state
RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state
RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW
>
> Quelle est ta conf openvpn.conf ?
Serveur
root@firewall:~# grep -v -e "#" -e ";" -e"^
$" /etc/openvpn/server.conf
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
dh dh1024.pem
server 192.168.100.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.3.0 255.255.255.0"
push "route 192.168.4.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0"
client-config-dir ccd
route 192.168.29.0 255.255.255.0
push "route 192.168.29.0 255.255.255.0"
client-to-client
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
verb 4
ccd
iroute 192.168.29.0 255.255.255.0
Client
root@sky:~# grep -v -e "#" -e ";" -e"^
$" /etc/openvpn/connect/clients.d/sky.lys-net/client.conf
client
dev tun
proto udp
remote xx.yy.zz.www 1194
resolv-retry infinite
cipher DES-EDE3-CBC
ca ca.crt
cert sky.lys-net.crt
key sky.lys-net.key
tls-auth ta.key 1
nobind
persist-key
persist-tun
comp-lzo
verb 3
>
>
> Le 08/29/2014 06:29 PM, Yann Cohen a écrit :
> > Bonjour,
> >
> > je sèche sur un problème de routage entre deux sites qui sont connectés
> > via openvpn.
> >
> > Chaque coté du tunnel est un serveur debian (old-stable et jessie).
> >
> > Le serveur (firewall) est coté old-stable, le client coté jessie.
> >
> > Le serveur dessert les réseaux 192.168.3.0/24, 192.168.4.0/24 et
> > 192.168.1.0/24
> >
> > Le vpn est dans le plan d'@ 192.168.100.0/24
> >
> > Le client (sky) dessert le réseau 192.168.29.0/24.
> >
> > la table de routage coté serveur est la suivante :
> > root@firewall:/etc/openvpn# netstat -rn
> > Kernel IP routing table
> > Destination Gateway Genmask Flags MSS Window irtt
> > Iface
> > 192.168.100.2 0.0.0.0 255.255.255.255 UH 0 0 0
> > tun0
> > 192.168.100.0 192.168.100.2 255.255.255.0 UG 0 0 0
> > tun0
> > 192.168.4.0 0.0.0.0 255.255.255.0 U 0 0 0
> > eth2
> > 192.168.3.0 0.0.0.0 255.255.255.0 U 0 0 0
> > eth0
> > 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0
> > eth1
> > 192.168.29.0 192.168.100.2 255.255.255.0 UG 0 0 0
> > tun0
> > 0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0
> > eth1
> >
> > la table de routage coté client est la suivante :
> > root@sky:~# netstat -rn
> > Table de routage IP du noyau
> > Destination Passerelle Genmask Indic MSS Fenêtre irtt
> > Iface
> > 0.0.0.0 192.168.29.1 0.0.0.0 UG 0 0 0
> > br0
> > 192.168.1.0 192.168.100.21 255.255.255.0 UG 0 0 0
> > tun0
> > 192.168.3.0 192.168.100.21 255.255.255.0 UG 0 0 0
> > tun0
> > 192.168.4.0 192.168.100.21 255.255.255.0 UG 0 0 0
> > tun0
> > 192.168.29.0 0.0.0.0 255.255.255.0 U 0 0 0
> > br0
> > 192.168.100.1 192.168.100.21 255.255.255.255 UGH 0 0 0
> > tun0
> > 192.168.100.21 0.0.0.0 255.255.255.255 UH 0 0 0
> > tun0
> >
> > Les routes viennent de la configuration openvpn via les directives :
> > push route pour .4, .3, .1
> > route et iroute pour .29
> >
> > via fwbuilder la table de routage est configurée de chaque coté pour ne
> > rien bloquer (enfin c'est ce que je crois...).
> >
> > De chaque coté j'ai mis en place un tshark sur l'interface tun0 et un
> > sur l'interface eth0 ou br0. Objectif suivre les paquets "icmp".
> >
> > Les pings et les pongs depuis le client (sky) vers l'adresse du serveur
> > (firewall) en .3 passent.
> >
> > Les pings depuis firewall vers sky sur l'adresse en .29 ne sont pas
> > envoyés sur tun0 de firewall.
> >
> > Les pings depuis une machine sur le .29 vers une machine sur le .3,
> > entrent sur br0 de sky, passent sur tun0 de sky mais ne sortent pas de
> > tun0 de firewall.
> >
> > Je sèche sur ce problème depuis un bon paquets d'heures.
> >
> > Je suppose que le problème est coté serveur (firewall) mais je ne sais
> > plus où chercher.
> >
> > Je suis donc preneur de toute piste...
> >
> > Cordialement.
> >
> > Yann.
> >
>
Reply to: