Bien le bonjour tout le monde.
Déjà merci à vous de vous être transformé en canard, j’ai réussi à réglé une partie de mon problème !
Mais totalement, ca bloque encore.
On a grosso modo l’infra réseau suivante :
PC A --- serveur VPN A --- Internet --- serveur VPN B --- PC
192.168.1.11---192.168.1.254 || 10.255.255.1---10.255.255.2 || 192.168.2.1---192.168.2.254---192.168.2.11
- 192.168.1.0/24 : LAN A
- 10.255.255.0/30 : Réseau VPN
- 192.168.2.0/24 : LAN B ; Pourquoi 3 ip ? Car malheureusement je ne peux installer de VPN sur cette fichue box d’un opérateur dont je tairai le nom. On a donc .1 la boxe (c’est déjà un miracle que j’ai pu changer le réseau), .254 le serveur OPNsense en DMZR ( qui est virtualisé sur un Proxmox). .11 mon PC.
Du côté LAN A, ca ping jusqu’au LAN B. Pas de problème.
Par contre le LAN B, ca coince.
Du PC B (192.168.2.11) j’arrive à ping la box et le OPNsense.
Eeeeetttt en autorisant le flux retour ( direction non pas « in » mais « any ») sur le VPN B du LAN B vers réseau VPN, j’arrive à ping 10.255.255.1.
Par contre je ping pas 192.168.1.254 ; pourtant depuis le VPN A de 10.255.255.1 vers 192.168.1.254 c’est ok.
Qu’est ce j’ai bien pu oublier ?
Le but de tout ce bouzin est de permettre à aux serveurs proxmox et nas de parler entre eux et pouvoir sauvegarder des truc d’un côté comme de l’autre (règle des 3-2-1).
Sauf que je me pose la question concernant la sécurité. Sachant que 1- côté famille (LAN B), il y a par exemple pas (encore?) d’Alexia ( je lute pour) mais il y a déjà la chaudière / le chauffage qui papote, 2- je me fait peur à chaque fois que je regarde les flux qui arrivent sur mon routeur (pourvu que j’ai pas ouvert trop large, que j’ai oublié de fermer un flux (attention aux doubles négations et à l'ordre des règles)).
Si vous avez des recommandations / conseils je suis preneur.
Merci par avance.
# Les routes les routes les routes ...
Posté par Skilgannon . Évalué à 1. Dernière modification le 19 décembre 2023 à 19:54.
ha pinaise je crois que je l'ai :
Je la connaissais pas d'ailleur
ip route get.sauf que
Comment ca invalide ?
[^] # Re: Les routes les routes les routes ...
Posté par NeoX . Évalué à 5.
tu ne peux pas faire de route vers un reseua qui n'est pas le tiens (enfin si, mais c'est plus compliqué)
dans le reseau 192.168.2.0/24, tu dois definir ton boitier VPN (192.168.2.x) comme gateway pour atteindre le reseau 192.168.1.0/24
donc
ip r a 192.168.1.0/24 via 192.168.2.254 dev lacarteensuite sur cette machine VPN, tu diras que le reseau 192.168.1.0/24 est "derriere le VPN"
soit, si j'ai bien suivi ton schema
ip r a 192.168.1.0/24 via 10.255.255.1 dev levpn[^] # Re: Les routes les routes les routes ...
Posté par Skilgannon . Évalué à 1. Dernière modification le 21 décembre 2023 à 18:06.
Heu je suis pas sûre que l'on se soit compris.
Et je ne sais pas ce que j'avais fait mais visiblement là ça fonctionne.
Ce que je viens de faire pour que ça fonctionne:
En gros en reformulant mon problème, la solution vient assez nettement.
Je suis dans le réseau 192.168.2.0/24.
Le problème est que la boxe, la passerelle par défaut ne connaît pas les routes pour aller dans les réseaux 10.255.255.0/24 (enfin /30) et 192.168.1.0.
Première solution ajouter des routes sur cette boxe, sauf que visiblement c'est impossible ( merci Orange).
Donc la deuxième solution est de rajouter les routes ci dessus sur les machines du réseaux 192.168.2.0/24 ayant besoin de joindre le réseau 192.168.1.0/24.
Et soit dit en passant ca doit résoudre mon problème de sécurité… Quoi que ..le mieux est sûrement de n'autoriser les flux venant uniquement des machines autorisées, par exemple
Bref, j'étais encore tombé dans l'un de mes tunnels.
Merci.
[^] # Re: Les routes les routes les routes ...
Posté par NeoX . Évalué à 3.
le reseau 10.255.255.0/24 n'a pas besoin d'etre connu de tes machines dans les reseaux 192.168.x.0/24
elles ont juste besoin de savoir que pour joindre n'importe qui dans 192.168.1.0/24, il faut demander à 192.168.2.254 (le boitier VPN sur le reseau 2), et non plus à la box (192.168.2.1, route par defaut proposer par le DHCP de la box)
ton reseau 10.255.255.x/24 etant tes interfaces VPN dans le VPN, chaque client VPN connait ce reseau puisqu'il est connecté dessus.
par contre, sur les 2 clients (boitier VPN) il faut preciser que le reseau 192.168.x.0/24 opposé se trouve sur l'autre boitier VPN
ainsi sur ton boitier 192.168.1.x (VPN 10.255.255.1), tu lui diras donc que 192.168.2.0/24 se trouve derriere 10.255.255.2
=> ip a r 192.168.2.0/24 via 10.255.255.2
et vice-versa, sur le boitier 192.168.2.x (VPN 10.255.255.2) tu lui dira que 192.168.1.0/24 se trouve derriere le boitier 10.255.255.1
=> ip a r 192.168.1.0/24 via 10.255.255.1
pour la suite
ca se regle sur les boitiers VPN, en faisant des regles de filtrages (parefeu), tu as le choix des armes sous linux, depuis un simple iptables, jusqu'a des outils comme UFW, Firewalld…
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.