Forum Linux.debian/ubuntu Problème configuration VPN serveur dédié

Posté par  . Licence CC By‑SA.
Étiquettes :
0
30
déc.
2016

Bonjour,
Voilà j'ai écumé des tutos et ça fait 2 jours que je m'arrache les cheveux, je souhaite créé un serveur VPN sous mon serveur dédié ubuntu, apparemment le client se connecte (sur windows) mais le PC n'a pas de connexion internet. Je penche sur un problème de routage, j'utilise le port tcp 443 qui est ouvert dans le pare feu du serveur.

Merci pour votre précieuse aide ^

Voici mes fichiers conf:

conf server:

#
# Fichier de configuration du serveur OpenVPN
#

# Serveur
mode server
proto tcp
port 443
dev tun
# Cles et certificats
ca ca.crt
cert server.crt
key server.key # Ce fichier doit être gardé secret
dh dh4096.pem
tls-auth ta.key 1
key-direction 0
cipher AES-256-CBC
# Reseau
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
# Permet aux différentes clients de se contacter entre eux
#client-to-client

# Securite
user nobody
group nogroup
chroot /etc/openvpn/jail
persist-key
persist-tun
comp-lzo
# Décommenter cette option si plusieurs clients utilisent un même certificat
# (sinon l'un des clients sera déconnecté)
#duplicate-cn

# Log
verb 3
mute 20
status openvpn-status.log
; log-append /var/log/openvpn.log

conf client:

# Client
client
dev tun
proto tcp-client
remote 37.187.125.192 443
resolv-retry infinite
cipher AES-256-CBC

# Cles
ca ca.crt
cert aurelink.crt
key aurelink.key
tls-auth ta.key 1
key-direction 1
# Securite
nobind
persist-key
persist-tun
comp-lzo
verb 3

Le ifconfig:

eth0      Link encap:Ethernet  HWaddr 00:22:4d:ae:18:d5
          inet addr:37.187.125.192  Bcast:37.187.125.255  Mask:255.255.255.0
          inet6 addr: 2001:41d0:a:f6c0::1/128 Scope:Global
          inet6 addr: fe80::222:4dff:feae:18d5/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:890275 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1818979 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:66844068 (66.8 MB)  TX bytes:2552885855 (2.5 GB)
          Interrupt:16 Memory:d0400000-d0420000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:373 errors:0 dropped:0 overruns:0 frame:0
          TX packets:373 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
           RX bytes:32828 (32.8 KB)  TX bytes:32828 (32.8 KB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

le route:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         37.187.125.254  0.0.0.0         UG    0      0        0 eth0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
37.187.125.0    *               255.255.255.0   U     0      0        0 eth0

le sysctl.conf

# /etc/sysctl.conf - Configuration file for setting system variables
# See /etc/sysctl.d/ for additional system variables.
# See sysctl.conf (5) for information.
#

#kernel.domainname = example.com

# Uncomment the following to stop low-level messages on console
#kernel.printk = 3 4 1 3

##############################################################3
# Functions previously found in netbase
#

# Uncomment the next two lines to enable Spoof protection (reverse-path filter)
# Turn on Source Address Verification in all interfaces to
# prevent some spoofing attacks
#net.ipv4.conf.default.rp_filter=1
#net.ipv4.conf.all.rp_filter=1

# Uncomment the next line to enable TCP/IP SYN cookies
# See http://lwn.net/Articles/277146/
# Note: This may impact IPv6 TCP sessions too
#net.ipv4.tcp_syncookies=1

# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1


# Uncomment the next line to enable packet forwarding for IPv6
#  Enabling this option disables Stateless Address Autoconfiguration
#  based on Router Advertisements for this host
#net.ipv6.conf.all.forwarding=1

###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0
#
# Do not accept IP source route packets (we are not a router)
#net.ipv4.conf.all.accept_source_route = 0
#net.ipv6.conf.all.accept_source_route = 0
#
# Log Martian Packets
#net.ipv4.conf.all.log_martians = 1
#

# Disable IPv6 autoconf
net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.eth0.autoconf = 0
net.ipv6.conf.all.accept_ra = 0
net.ipv6.conf.default.accept_ra = 0
net.ipv6.conf.eth0.accept_ra = 0
  • # ip e troute

    Posté par  . Évalué à 4.

    ca me semble bien, mais il faudrait regarder la configuration IP et les routes du windows.

    aussi, il y a une truc à savoir, sous windows il faut executer le client OpenVPN "en tant qu'administrateur", sinon il ne peut pas appliquer les routes par defaut.

    dans la config du serveur tu mets :
    push "redirect-gateway def1"

    ce qui laisse supposer que tu veux que TOUT le trafic du client soit envoyé vers le VPN, meme internet.

    ok

    tu as activé l'IP_forward=1 => OK ca doit permettre de faire passer les paquets depuis tun0 vers eth0

    mais as-tu demandé à iptables de faire du masquerade quand ca vient de tun0 et que ca ressort par eth0 ?

    car sinon, tu cherches à aller sur internet avec l'IP 10.8.0.x
    ce qui ne reviendra jamais à ton serveur.

    • [^] # Re: ip e troute

      Posté par  . Évalué à 1. Dernière modification le 30 décembre 2016 à 14:56.

      C'est bon j'ai trouvé,

      j'ai rajouté:

      • dans /etc/default/ufw
      DEFAULT_FORWARD_POLICY="ACCEPT"
      • dans /etc/ufw/before.rules = après les lignes d’en-têtes commençant par #
      # règles pour la table NAT
      *nat
      :POSTROUTING ACCEPT [0:0]
      
      # transmission du trafic provenant de eth1 vers eth0
      -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
      
      # a ne surtout pas oublier !
      COMMIT

      Merci.

      • [^] # Re: ip e troute

        Posté par  . Évalué à 1.

        Par contre quand je suis connecté avec le VPN, j'ai mis le port 443 en UDP, je ne sais pas si ça vient de là, mais youtube est extrêmement lent -_-', une idée?

        Merci.

        • [^] # Re: ip e troute

          Posté par  . Évalué à 2. Dernière modification le 30 décembre 2016 à 15:04.

          une idée, oui plusieurs

          ton tunnel est deja en TCP (d'apres les fichiers de configuration que tu nous as fournit)

          donc il y a plusieurs posibilités :
          - OVH bride peut-etre les flux vers youtube et les sites de streaming pour eviter l'usage de VPN de ce type

          • le fait de passer dans un VPN ajoute des paquets en entetes et cloture de trames donc dans un MTU donnée, tu fais passer moins de données utiles => debit plus faible
          • [^] # Re: ip e troute

            Posté par  . Évalué à 1.

            J'ai changé le port en UDP pour plus de stabilité. J'ai pas testé YT en tcp du coup.

            • [^] # Re: ip e troute

              Posté par  . Évalué à 0.

              Je dirais plutôt UDP pour plus de performance et TCP pour plus stabilité ;)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.