Re: Pb de routage entre deux sites via openvpn

To: Pascal Hambourg <pascal@plouf.fr.eu.org>
Cc: debian-user-french@lists.debian.org
Subject: Re: Pb de routage entre deux sites via openvpn
From: Yann Cohen <yann@ianco.org>
Date: Sun, 31 Aug 2014 08:00:55 +0200
Message-id: <[🔎] 1409464855.8368.34.camel@yco-sts-linux.ianco.homelinux.org>
In-reply-to: <[🔎] 5401E005.9040003@plouf.fr.eu.org>
References: <[🔎] 1409329760.8368.1.camel@yco-sts-linux.ianco.homelinux.org> <[🔎] 5401E005.9040003@plouf.fr.eu.org>

Bonjour,

Voici les compléments de configuration.

De plus, il me semble avoir omis une information :
les serveurs, dont firewall, sont des machines virtuelles (xen 4.0.1) et
après une nuit de sommeil, je me rappelle avoir eu des problèmes avec
UDP sur ce type de configuration (les requêtes snmp ne fonctionnaient
pas bien).


Le samedi 30 août 2014 à 16:30 +0200, Pascal Hambourg a écrit :
> Yann Cohen a écrit :
> > Bonjour,
> > 
> > je sèche sur un problème de routage entre deux sites qui sont connectés
> > via openvpn. [...]
> 
> Les tables de routage du serveur et du client VPN semblent correctes.
> 
> Pour vérifier le routage d'une adresse donnée, exécuter la commande :
> 
> ip route get <adresse>

Coté du réseau client sur une machine en .29
yann@yco-sts-linux:~$ ip route get 192.168.3.50
192.168.3.50 via 192.168.29.10 dev wlan0  src 192.168.29.100 
    cache 

Sur sky (client vpn  @.29.10):
root@sky:~# ip route get 192.168.3.50
192.168.3.50 via 192.168.100.21 dev tun0  src 192.168.100.22 
    cache 

Sur firewall (serveur vpn @ .3.70, .4.70 et .1.70)
root@firewall:~# ip route get 192.168.29.20
192.168.29.20 via 192.168.100.2 dev tun0  src 192.168.100.1 
    cache  mtu 1500 advmss 1460 hoplimit 64

Sur une machine du reseau .3
root@store:~# ip route get 192.168.29.20
192.168.29.20 via 192.168.3.70 dev eth0  src 192.168.3.50 
    cache  mtu 1500 advmss 1460 hoplimit 64

iptables-save
Le client :
root@sky:~# iptables-save
# Generated by iptables-save v1.4.21 on Sun Aug 31 07:41:53 2014
*raw
:PREROUTING ACCEPT [234993:26026712]
:OUTPUT ACCEPT [136592:22661450]
-A PREROUTING -p icmp -j TRACE
-A PREROUTING -p icmp -j TRACE
-A OUTPUT -p icmp -j TRACE
-A OUTPUT -p icmp -j TRACE
COMMIT
# Completed on Sun Aug 31 07:41:53 2014
# Generated by iptables-save v1.4.21 on Sun Aug 31 07:41:53 2014
*filter
:INPUT DROP [100:5164]
:FORWARD DROP [79014:9588079]
:OUTPUT DROP [122:12336]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state NEW -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state NEW -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state NEW -j ACCEPT
COMMIT
# Completed on Sun Aug 31 07:41:53 2014


Le serveur
root@firewall:~# iptables-save
# Generated by iptables-save v1.4.8 on Sun Aug 31 07:46:02 2014
*raw
:PREROUTING ACCEPT [5697445:3943580901]
:OUTPUT ACCEPT [2767699:2626019169]
-A PREROUTING -p icmp -j TRACE 
-A OUTPUT -p icmp -j TRACE 
COMMIT
# Completed on Sun Aug 31 07:46:02 2014
# Generated by iptables-save v1.4.8 on Sun Aug 31 07:46:02 2014
*nat
:PREROUTING ACCEPT [13814184:1193564665]
:POSTROUTING ACCEPT [4542101:299178859]
:OUTPUT ACCEPT [690955:44154381]
-A PREROUTING -d 192.168.1.70/32 -p tcp -m tcp --sport 20 --dport
1024:65535 -j DNAT --to-destination 192.168.4.40 
-A PREROUTING -d 192.168.1.70/32 -p tcp -m tcp -m multiport --dports
1143,1080,1025,21,20,80,443,143,993,110,995,25,465 -j DNAT
--to-destination 192.168.4.40 
-A PREROUTING -s 192.168.3.0/24 -p tcp -m tcp --dport 80 -j DNAT
--to-destination 192.168.3.70:3128 
-A POSTROUTING -o eth1 -j SNAT --to-source 192.168.1.70 
COMMIT
# Completed on Sun Aug 31 07:46:02 2014
# Generated by iptables-save v1.4.8 on Sun Aug 31 07:46:02 2014
*filter
:INPUT DROP [1:373]
:FORWARD DROP [88:4584]
:OUTPUT DROP [0:0]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -m state --state NEW -j ACCEPT 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -m state --state NEW -j ACCEPT 
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A OUTPUT -m state --state NEW -j ACCEPT 
-A fail2ban-ssh -j RETURN 
COMMIT
# Completed on Sun Aug 31 07:46:02 2014

> 
> sur chaque machine Linux impliquée dans le chemin entre la source
> (incluse) et la destination.
> 
> Pour les règles iptables, merci de fournir la sortie d'iptables-save qui
> est plus complète et plus lisible qu'iptables -L.
> 
> > Les pings depuis une machine sur le .29 vers une machine sur le .3,
> > entrent sur br0 de sky, passent sur tun0 de sky mais ne sortent pas de
> > tun0 de firewall.
> 
> Là j'ai un gros doute. Si ça entre dans le tunnel, ça doit en sortir.
> Sinon c'est le VPN qui ne fait pas son boulot.
>

Reply to:

References:
- Pb de routage entre deux sites via openvpn
  - From: Yann Cohen <yann@ianco.org>
- Re: Pb de routage entre deux sites via openvpn
  - From: Pascal Hambourg <pascal@plouf.fr.eu.org>

Prev by Date: Re: Pb de routage entre deux sites via openvpn
Next by Date: Re: [1/2 HS] : la révolution des OS viendrait-elle de la Chine... ?
Previous by thread: Re: Pb de routage entre deux sites via openvpn
Next by thread: [1/2 HS] : la révolution des OS viendrait-elle de la Chine... ?
Index(es):
- Date
- Thread