ICE Is Coming To EvE

zornn: en fait c'est pas le meme subnet, mais un subnet compris dans l'autre. Vais essayer de changer ça ...

Tial: OpenVPN ne tourne pas sur le routeur, mais chez un provider OpenVPN (ovh pour ne pas le citer)
Je suis en train de voir pour installer un firmware Tomato modifié pour rajouté OpenVPN afin qu'il tourne directement sur le routeur, ainsi pas besoin de provider externe. Associé à un dynDNS pour toujours pointer sur le routeur.

Bon aujourd'hui j'aurais pas le temps de continuer a bidouiller ça donc on verra demain

Mais si vous avez des idées n'hésitez pas!

Damralh a écrit :Pour qu'une table de routage fonctionne, il faut que des deux côtés elle soit connu et vu qu'à chaque connections internet des adresses IP changent tu dois donc redonner le chemin à chaque fois, après tu as le paramétrage à prendre en compte, ton serveur doit avoir le service installé.

Oui mais y a moyen d'exécuter des commande au moment où la connexion VPN est établie, et donc de rajouter des routes à ce moment là en utilisant les IP courante
Et les routes sont supprimées au moment où la connexion se termine.

Pour le routeur c'est un Linksys WRT54G avec un firmware remplacé par tomato, l'interface permet de configurer facilement des routes

Si il faut tu peux toujours utilisé un vpn PPTP au lieu d'openvpn, si tu sais forward le port tcp 1723 et le protcole ip 47 (GRE) sur le routeur le tour est joué.

L'avantage du pptp c'est que le client est dispo dans toutes les versions de windows donc même si tu n'es pas sur ton pc tu peux te connecter en vpn.

S a toujours la meme IP, elle est définie dans ta conf openvpn. c'est P qui a une ip attribuée en dhcp par openvpn. si ton service écoute sur l'interface openvpn (le nom que tu as donné dans la conf, genre \\MyTap ou \\OpenVPN_{IP} si tu es propre) c'est bon.

Vrast a écrit :S a toujours la meme IP, elle est définie dans ta conf openvpn. c'est P qui a une ip attribuée en dhcp par openvpn. si ton service écoute sur l'interface openvpn (le nom que tu as donné dans la conf, genre \\MyTap ou \\OpenVPN_{IP} si tu es propre) c'est bon.

Heuuuuuu j'ai rien pigé

S a la même IP sur l'interface du reseau local, mais il se connecte aussi au VPN qui lui délivre une IP

SpArtA a écrit :
Vrast a écrit :S a toujours la meme IP, elle est définie dans ta conf openvpn. c'est P qui a une ip attribuée en dhcp par openvpn. si ton service écoute sur l'interface openvpn (le nom que tu as donné dans la conf, genre \\MyTap ou \\OpenVPN_{IP} si tu es propre) c'est bon.
Heuuuuuu j'ai rien pigé

S a la même IP sur l'interface du reseau local, mais il se connecte aussi au VPN qui lui délivre une IP

non non. quand tu as un VPN, tu as une nouvelle interface, l'interface de ton vpn. quand tu connecte un client au serveur, le client va taper sur l'addresse ip publique S1 de ton serveur, ou le vpn écoute. le process de négociation se déroule, et quand il s'acheve, ton client a une adresse ip sur le sous réseau du VPN. ton client a une adresse dynamique, attribuée par le serveur (qui peut tout a fait etre toujours la meme hein. ça se définit dans la conf) et il communique avec le monde exterieur en utilisant l'adresse interne du serveur VPN. imagine que tu relie ton client a ta box par un cable ethernet. tu as une addresse privée sur ton lan (typiquement en 192.168.1.0) et l'adresse publique de ta box. bah la c'est pareil. sauf qu'au lieu d'un cable ethernet, c'est des lutins chiffrés dans les tuyaux.

exemple, la conf du vpn que j'ai monté chez diab

Code : Tout sélectionner

# Which local IP address should OpenVPN
# listen on? (optional)
local [[BLAHBLAHIPPUBLIQUE]]

# Which TCP/UDP port should OpenVPN listen on?
# If you want to run multiple OpenVPN instances
# on the same machine, use a different port
# number for each one.  You will need to
# open up this port on your firewall.
port [[BLAHBLAHPORT]]

# TCP or UDP server?
;proto tcp
proto udp

# "dev tun" will create a routed IP tunnel,
# "dev tap" will create an ethernet tunnel.
# Use "dev tap0" if you are ethernet bridging
# and have precreated a tap0 virtual interface
# and bridged it with your ethernet interface.
# If you want to control access policies
# over the VPN, you must create firewall
# rules for the the TUN/TAP interface.
# On non-Windows systems, you can give
# an explicit unit number, such as tun0.
# On Windows, use "dev-node" for this.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
dev tap

# SSL/TLS root certificate (ca), certificate
# (cert), and private key (key).  Each client
# and the server must have their own cert and
# key file.  The server and all clients will
# use the same ca file.
#
# See the "easy-rsa" directory for a series
# of scripts for generating RSA certificates
# and private keys.  Remember to use
# a unique Common Name for the server
# and each of the client certificates.
#
# Any X509 key management system can be used.
# OpenVPN can also use a PKCS #12 formatted key file
# (see "pkcs12" directive in man page).
ca [[BLAHBLAHROOTCA]]
cert [[BLAHBLAHSERVERCERT]]
key [[BLAHBLAHKEYFILE]]  # This file should be kept secret

# Diffie hellman parameters.
# Generate your own with:
#   openssl dhparam -out dh1024.pem 1024
# Substitute 2048 for 1024 if you are using
# 2048 bit keys. 
dh /etc/openvpn/dh2048.pem

# Configure server mode and supply a VPN subnet
# for OpenVPN to draw client addresses from.
# The server will take 10.8.0.1 for itself,
# the rest will be made available to clients.
# Each client will be able to reach the server
# on 10.8.0.1. Comment this line out if you are
# ethernet bridging. See the man page for more info.
server 10.0.43.0 255.255.255.0

# Maintain a record of client  virtual IP address
# associations in this file.  If OpenVPN goes down or
# is restarted, reconnecting clients can be assigned
# the same virtual IP address from the pool that was
# previously assigned.
ifconfig-pool-persist ipp.txt

# If enabled, this directive will configure
# all clients to redirect their default
# network gateway through the VPN, causing
# all IP traffic such as web browsing and
# and DNS lookups to go through the VPN
# (The OpenVPN server machine may need to NAT
# the TUN/TAP interface to the internet in
# order for this to work properly).
# CAVEAT: May break client's network config if
# client's local DHCP server packets get routed
# through the tunnel.  Solution: make sure
# client's local DHCP server is reachable via
# a more specific route than the default route
# of 0.0.0.0/0.0.0.0.
push "redirect-gateway"

# Certain Windows-specific network settings
# can be pushed to clients, such as DNS
# or WINS server addresses.  CAVEAT:
# http://openvpn.net/faq.html#dhcpcaveats
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option WINS 10.0.43.1"

# Uncomment this directive to allow different
# clients to be able to "see" each other.
# By default, clients will only see the server.
# To force clients to only see the server, you
# will also need to appropriately firewall the
# server's TUN/TAP interface.
client-to-client

# Uncomment this directive if multiple clients
# might connect with the same certificate/key
# files or common names.  This is recommended
# only for testing purposes.  For production use,
# each client should have its own certificate/key
# pair.
#
# IF YOU HAVE NOT GENERATED INDIVIDUAL
# CERTIFICATE/KEY PAIRS FOR EACH CLIENT,
# EACH HAVING ITS OWN UNIQUE "COMMON NAME",
# UNCOMMENT THIS LINE OUT.
;duplicate-cn

dans ce scenario, les deux interfaces qui nous interessent sont l'interface publique (que jvais appeller eth0 parce que je suis flemmard) et l'interface privée virtuelle (que je vais appeller tap0)

ton client se connecte sur l'interface eth0, la ou le vpn écoute. si le serveur t'aime bien, il va t'attribuer une ip du subnet que tu lui a dis d'utiliser (dans cette conf 10.0.43.0/24), sachant que lui prendra TOUJOURS la premiere ip du subnet pour lui meme (10.0.43.1 ici)

c'est sur cette ip la que tu dois faire écouter ton service pour que ton client puisse s'y connecter sans avoir a faire des trucs funs avec ton firewall. et évidemment que le vpn démarre avant ton service, sinon il auras pas d'adresse ou écouter et va surement couiner tres fort.

Ah oui OK là je comprend mais là où y a confusion c'est que S n'est pas le serveur VPN
Le serveur VPN est une machine sur internet (hébergé chez OVH, un minicloud) car mon serveur S est sur un réseau privé derrière 2 firewall et au final une IP publique dynamique

Donc j'ai installé un client VPN sur S pour que lui se connecte au VPN
J'ai le client VPN sur ma machine pour que moi je me connecte au VPN

Et j'aimerais donc avoir accès à S via le VPN mais là bah ça marche pas
Enfin, si ça marche mais pour y avoir accès faut que je rentre l'IP fournie par le serveur VPN à S (ip dynamique) hors j'aimerais pouvoir fournir le hostname car l'IP je peux pas la connaitre à moins d'être déjà sur S pour voir quelle IP il a reçu ... donc il faudrait un DNS pour traduire ça (?)
Ensuite, là j'ai simplifié le cas car S est en fait une machine Win2008R2 avec Hyper-V et donc toutes les machines virtuelle devront être dispo via le VPN.

De toute façon je pense que cette architecture est un peu bancale, car j'ai pas vraiment la main sur le serveur VPN (c'est un minicloud, et cette offre est vouée à disparaître de toute façon)
J'hésite entre 2 possibilités, à faire dès que j'aurais un peu de temps (càd pas pour tout de suite):
- flasher le routeur pour y mettre un firmware tomato avec OpenVPN, ainsi le serveur VPN sera le routeur lui-même.
- faire une machine virtuelle qui servira de serveur OpenVPN (je préférerais pas car soit je le fais un Windows et ça va me bouffer de trop pour le service demandé, doit en linux et là ça va me prendre des heures)
Dans les 2 cas le problème que j'aurais c'est que mon routeur est lui-même derrière un autre routeur en IP dynamique, et donc faudra trouver un moyen pour router tout vers mon routeur (sans doute le mettre en dmz puis le reste je sais pas...)
Tu en penses quoi ?
Si je dis des conneries n'hésite pas à les corriger car je suis loin d'être un maître en réseau

ah ouais ok simple. t'as juste a conf un enregistrement DNS de ton serveur S et activer l'option client-to-client de ton serveur VPN pour que tes deux clients se voient (par défaut openvpn isole les clients les uns des autres). apres tu tape sur ton serveur par son nom. sinon tu peux push une adresse spécifique a un client, ton serveur en l'occurence, pour qu'il ai toujours la meme adresse, et t'utilise ça.

ICE Is Coming To EvE

VPN - question pour admin réseau

Re: VPN - question pour admin réseau

Re: VPN - question pour admin réseau

Re: VPN - question pour admin réseau

Re: VPN - question pour admin réseau

Re: VPN - question pour admin réseau

Re: VPN - question pour admin réseau

Re: VPN - question pour admin réseau

Re: VPN - question pour admin réseau

Re: VPN - question pour admin réseau