openvpn - LinuxFr.org

Bonjour a touse

Je suis en train de me mettre un serveur openvpn sur ubuntu16 et m'y connecter sous ubuntu14

Pour cela je me suis pris un vps chez ovh en ubuntu16.
J'ai suivi le tuto https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-ubuntu-16-04
pour la mise en place du serveur.

Mais une fois connecté je n'ai pas interet

$     sudo openvpn --config client1.ovpn
Mon Jul 10 23:18:29 2017 OpenVPN 2.3.2 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [eurephia] [MH] [IPv6] built on Jun 22 2017
Mon Jul 10 23:18:29 2017 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Mon Jul 10 23:18:29 2017 Control Channel Authentication: tls-auth using INLINE static key file
Mon Jul 10 23:18:29 2017 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Mon Jul 10 23:18:29 2017 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Mon Jul 10 23:18:29 2017 Socket Buffers: R=[212992->131072] S=[212992->131072]
Mon Jul 10 23:18:29 2017 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Mon Jul 10 23:18:29 2017 UDPv4 link local: [undef]
Mon Jul 10 23:18:29 2017 UDPv4 link remote: [AF_INET]XXX.XXX.XXX.XXX:1194
Mon Jul 10 23:18:29 2017 TLS: Initial packet from [AF_INET]XXX.XXX.XXX.XXX:1194, sid=223f4e17 93d78ad9
Mon Jul 10 23:18:29 2017 VERIFY OK: depth=1, […]
Mon Jul 10 23:18:29 2017 Validating certificate key usage
Mon Jul 10 23:18:29 2017 ++ Certificate has key usage  00a0, expects 00a0
Mon Jul 10 23:18:29 2017 VERIFY KU OK
Mon Jul 10 23:18:29 2017 Validating certificate extended key usage
Mon Jul 10 23:18:29 2017 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Mon Jul 10 23:18:29 2017 VERIFY EKU OK
Mon Jul 10 23:18:29 2017 VERIFY OK: depth=0, […]
Mon Jul 10 23:18:32 2017 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Mon Jul 10 23:18:32 2017 Data Channel Encrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Mon Jul 10 23:18:32 2017 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Mon Jul 10 23:18:32 2017 Data Channel Decrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Mon Jul 10 23:18:32 2017 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Mon Jul 10 23:18:32 2017 [server] Peer Connection Initiated with [AF_INET]149.202.51.159:1194
Mon Jul 10 23:18:34 2017 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Mon Jul 10 23:18:34 2017 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 208.67.222.222,dhcp-option DNS 208.67.220.220,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'
Mon Jul 10 23:18:34 2017 OPTIONS IMPORT: timers and/or timeouts modified
Mon Jul 10 23:18:34 2017 OPTIONS IMPORT: --ifconfig/up options modified
Mon Jul 10 23:18:34 2017 OPTIONS IMPORT: route options modified
Mon Jul 10 23:18:34 2017 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Mon Jul 10 23:18:34 2017 ROUTE_GATEWAY 10.10.10.254/255.255.255.0 IFACE=wlan0 HWADDR=00:XX:XX:XX:XX:XX
Mon Jul 10 23:18:34 2017 TUN/TAP device tun0 opened
Mon Jul 10 23:18:34 2017 TUN/TAP TX queue length set to 100
Mon Jul 10 23:18:34 2017 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Mon Jul 10 23:18:34 2017 /sbin/ip link set dev tun0 up mtu 1500
Mon Jul 10 23:18:34 2017 /sbin/ip addr add dev tun0 local 10.8.0.6 peer 10.8.0.5
Mon Jul 10 23:18:34 2017 /etc/openvpn/update-resolv-conf tun0 1500 1570 10.8.0.6 10.8.0.5 init
dhcp-option DNS 208.67.222.222
dhcp-option DNS 208.67.220.220
Mon Jul 10 23:18:34 2017 /sbin/ip route add 149.202.51.159/32 via 10.10.10.254
RTNETLINK answers: File exists
Mon Jul 10 23:18:34 2017 ERROR: Linux route add command failed: external program exited with error status: 2
Mon Jul 10 23:18:34 2017 /sbin/ip route add 0.0.0.0/1 via 10.8.0.5
Mon Jul 10 23:18:34 2017 /sbin/ip route add 128.0.0.0/1 via 10.8.0.5
Mon Jul 10 23:18:34 2017 /sbin/ip route add 10.8.0.1/32 via 10.8.0.5
Mon Jul 10 23:18:34 2017 GID set to nogroup
Mon Jul 10 23:18:34 2017 UID set to nobody
Mon Jul 10 23:18:34 2017 Initialization Sequence Completed

je ping sans soucis

gotcha@prbook:~$ ping 10.8.0.1
PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data.
64 bytes from 10.8.0.1: icmp_seq=1 ttl=64 time=214 ms
^C
--- 10.8.0.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 211.603/213.869/215.109/1.648 ms

Mais impossible de ping sur internet

gotcha@prbook:~$ ping google.fr
PING google.fr (172.217.24.163) 56(84) bytes of data.

coté server /etc/sysctl.conf

net.ipv4.ip_forward = 1

/etc/openvpn/server.conf :

push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

# Et le pare-feu ?

Posté par Nils Ratusznik (site web personnel, Mastodon) le 10 juillet 2017 à 18:36. Évalué à 5.
Activer la retransmission de paquets ne suffit pas, il te faut aussi activer le NAT. Cela se fait généralement via la brique de filtrage de paquets. Le tutoriel de Digital Ocean mentionne l'utilisation d'UFW, est-ce que tu as appliqué cette partie ? Est-ce que tu as implémenté toi-même via iptables un filtrage de paquets et des règles de NAT (généralement la cible est en -j MASQUERADE ou SNAT si tu souhaites sortir sur une IP précise) ?

Tu peux éventuellement jeter un œil à la config iptables de NAT via la commande suivante :
```
iptables -t nat -vnL
```
- [^] # Re: Et le pare-feu ?
  
  Posté par gotcha5832 le 10 juillet 2017 à 20:22. Évalué à 2. Dernière modification le 10 juillet 2017 à 20:26.
  je te remercie
  
  J'ai suivi le tuto mais il dois me manque une partie
```
s$ sudo iptables -t nat -vnL
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination       
```
  J'ai pourtant
```
# NAT table rules
*nat
:POSTROUTING ACCEPT [0:0]
# Allow traffic from OpenVPN client to wlp11s0 (change to the interface you discovered!)
-A POSTROUTING -s 10.8.0.0/8 -o ens3 -j MASQUERADE
COMMIT
# END OPENVPN RULES
```
  - [^] # Re: Et le pare-feu ?
    
    Posté par NeoX le 10 juillet 2017 à 22:14. Évalué à 4.
    
    et tu as redemarré le firewall ?
    ens3 dans ta regle de firewall, c'est bien ta carte reseau sur ton serveur dédié ?
    - [^] # Re: Et le pare-feu ?
      
      Posté par gotcha5832 le 11 juillet 2017 à 06:22. Évalué à 4.
      
      c'est bon,
      
      J'ai redefinit la regle. redemarrer le firewall et le serveur. et c'est bon