[Résolu] Tunnel IPSec perte de connexion lan

Message par **dsebire** » mer. 22 oct. 2014 15:30

j'étais pareil

bon, maintenant, tu interconnecte ton VPS avec le dédié, et faut que tu puisse pinger de ton LAN sans passer par le net.

au boulot, t'as 2h

Message par **gizmo78** » mer. 22 oct. 2014 15:34

j'ai du travail moi monsieur

(du coup, je reprends le même fichier qu'@home et je change les ip non?

)

Message par **dsebire** » mer. 22 oct. 2014 15:48

presque.
c'est sur le dédié que ça sera le plus complexe.

tu recrée une NET-TO-NET2 (en recopiant l'autre) dans la conf IPSEC avec cette fois l'IP du VPS
coté VPS, tu reprend le même que @home (avec un nouveau réseau)

pour iptables,
@home, t'as rien a faire
sur le dédié, faut rajouter les règles vers le réseau du VPS
sur le VPS, tu reprend le même que @home en changeant par le nouveau réseau

un conseil, ne met pas en démarrage automatique le second tunnel. ya des chances que tu perde la main sur le dédié si tu te vautre (tout ce qui viens de la maison va sur le VPS) du coup, si en auto, pour reprendre la main, ça va être compliqué

(alors que la un reboot, et hop, tunnel fermé, et tu retrouve les commandes)

Message par **gizmo78** » mer. 22 oct. 2014 15:52

j'ai aucun tunnel auto pour l'instant ^^ et avant de passer le vps, je veux régler le soucis de ssh, car si la même arrive sur le vps ca va pas me plaire ^^

sur le vps, faut que je crée une nouvelle eth aussi non? comme sur le online

Message par **dsebire** » mer. 22 oct. 2014 16:19

pas nécessaire mais moi j'ai préféré le faire.
ça permet de faire écouter tes services sur une interface dédiée plutôt que sur le WAN et de se faire chier a filtrer au firewall après.
la tu bourrine, tu bloque tout le WAN sauf ton tunnel et ssh, et tu laisse tout ouvert sur l'interface virtuelle.

Message par **gizmo78** » mer. 22 oct. 2014 16:37

ouaip vais partir la dessus je pense

Message par **gizmo78** » jeu. 23 oct. 2014 16:30

bon le coup du ssh c'est un mystère!

les vm pinguent le online et inversement, online ping l'interface dmz de ma vm ainsi que celle dans mon lan et d'autres.

main mes vm dans mon lan ne pinguent ni la patte en dmz ni celle dans le lan.

la vm ipsec ping bien le serveur online mais pas le lan

oO

j'avoue que je vois pas le pk du comment

Message par **dsebire** » jeu. 23 oct. 2014 16:33

même comportement chez moi, j'avais jamais testé (elle faisait son taf, j'ai pas cherché plus loin)
vais regarder

Message par **gizmo78** » jeu. 23 oct. 2014 16:37

les routes sont bizarres pour certaines je trouve:

[cpp]Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
0.0.0.0 192.168.0.254 0.0.0.0 UG 0 0 0 eth1
172.16.35.0 192.168.0.13 255.255.255.0 UG 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
[/cpp]

pk deux fois 192.168.0.0 sur eth1 et eth0?

Message par **dsebire** » jeu. 23 oct. 2014 17:07

parce que de base, tu as 2 interfaces qui dans l'absolu ont besoin de joindre ton LAN.
essaie de virer la 6

Message par **gizmo78** » jeu. 23 oct. 2014 17:14

si je vire la 6 ca veut dire que tout passe par eth1 et donc l'interface dédiée au vpn, pas correct du coup?

Message par **gizmo78** » jeu. 23 oct. 2014 21:03

j'ai trouvé la ligne qui me permet d'avoir accès au lan:

ip route add 192.168.0.0/24 via 192.168.0.11 dev eth0

mais en faisant ca, je perds le ping vers le vpn....

raaa

Message par **dsebire** » ven. 24 oct. 2014 08:03

si je vire la 6 ca veut dire que tout passe par eth1 et donc l'interface dédiée au vpn, pas correct du coup?

en fait, je voulais dire la 5 !!!

j'ai trouvé la ligne qui me permet d'avoir accès au lan:

ip route add 192.168.0.0/24 via 192.168.0.11 dev eth0

mais en faisant ca, je perds le ping vers le vpn....

raaa

c'est pas un problème de route je pense. plutôt au niveau iptables FORWARD

Message par **gizmo78** » ven. 24 oct. 2014 08:17

suis pas sur car quand je fais un traceroute depuis la vm ipsec vers mon lan, ca part par le tunnel

Message par **dsebire** » ven. 24 oct. 2014 08:39

justement, je pense que les règles FORWARD ratissent trop large

Message par **dsebire** » jeu. 27 nov. 2014 12:08

j'ai trouvé !!!!

en fait, ça viens de la conf IPSEC de la passerelle (donc la VM dans nos cas.)

dans le ipsec.conf:
rightsubnet=0.0.0.0/0
ça route tout vers le tunnel !
y compris ce qui est destiné au LAN

dans mon cas, c'est ce que je voulais (pouvoir utiliser le VPN pour faire du transit par OVH)
mais du coup, ça ratisse trop large.

je regarde si ya moyen de faire des exclusion .... sans conviction

edit: oui, j'ai toujours qq insomnies, que j'occupe comme je peux.

Message par **gizmo78** » jeu. 27 nov. 2014 12:17

on s'occupe comme on peut quand c'est comme ca ^^

perso je fais joujoue avec du sas

Message par **dsebire** » mar. 2 déc. 2014 08:17

je regarde si ya moyen de faire des exclusion .... sans conviction

bon bah la réponse est non.
pas moyen de faire des exclusions.
par contre, on peut mettre une infinité de réseaux à router dans l'option rightsubnet=
donc faut prendre papier/crayon et écrire tous les réseaux à router mais sans 192.168.0.0/24
j'ai réfléchi, la liste va être longue.....

autre soluce, qui nécessite des modifs a chaque fois, c'est d'ajouter les réseaux a la main en même temps qu'on les ajoute au routage (dans l'option 249 du DHCP)

Message par **gizmo78** » mar. 2 déc. 2014 10:28

même en mettant un ! devant ca exclue pas le réseau?

Message par **dsebire** » mar. 2 déc. 2014 11:50

non, ça pete une erreur au moment ou tu démarre openswan.

après, c'est pas non plus prévu pour. le coup du 0.0.0.0/0 c'est un peu un hack

normalement, c'est fait pour de l'interconnexion de LAN, donc t'es censé connaitre et donner la liste de tes réseaux.