Forum général.général VPN: interpréter la sortie de `route -n`

1
16
mar.
2018

Je viens de configurer un VPN en important un fichier ovpn dans le network-manager de KDE. Je voudrais m'assurer que l'intégralité de mon traffic internet passe par ce VPN. traceroute me montre que je passe par le serveur VPN, https://wtfismyip.com aussi, mais j'aimerai comprendre la sortie de route. Or, j'ai du mal à l'interpréter.

VPN désactivé:

$ ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
7: wlp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether xx:xx:xx:xx:xx:xx brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.108/24 brd 192.168.2.255 scope global dynamic wlp2s0
       valid_lft 1812894sec preferred_lft 1812894sec
    inet6 fe80::xxxx:xxxx:xxxx:xxxx/64 scope link 
       valid_lft forever preferred_lft forever

$ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.2.1     0.0.0.0         UG    600    0        0 wlp2s0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 wlp2s0
192.168.2.0     0.0.0.0         255.255.255.0   U     600    0        0 wlp2s0

VPN activé:

$ ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
7: wlp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether xx:xx:xx:xx:xx:xx brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.108/24 brd 192.168.2.255 scope global dynamic wlp2s0
       valid_lft 1812741sec preferred_lft 1812741sec
    inet6 fe80::xxxx:xxxx:xxxx:xxxx/64 scope link 
       valid_lft forever preferred_lft forever
10: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none 
    inet 10.7.7.66/24 brd 10.7.7.255 scope global tun0
       valid_lft forever preferred_lft forever
    inet6 fe80::yyyy:yyyy:yyyy:yyyy/64 scope link flags 800 
       valid_lft forever preferred_lft forever

$ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.7.7.1        0.0.0.0         UG    50     0        0 tun0
0.0.0.0         192.168.2.1     0.0.0.0         UG    600    0        0 wlp2s0
10.7.7.0        0.0.0.0         255.255.255.0   U     50     0        0 tun0
[public IP]    192.168.2.1     255.255.255.255 UGH   600    0        0 wlp2s0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 wlp2s0
192.168.2.0     0.0.0.0         255.255.255.0   U     600    0        0 wlp2s0
192.168.2.1     0.0.0.0         255.255.255.255 UH    600    0        0 wlp2s0

Après activation du VPN il y a trois (G)ateways. C'est très certainement normal, mais je ne comprend pas pourquoi. Qu'est-ce qui indique dans cette table de routage que tout le traffic vers le LAN ne passe pas par le VPN, et tous le traffic vers internet passe le VPN ?

Merci beaucoup !

  • # Gold guns girls

    Posté par (page perso) . Évalué à 10.

    D'abord, la décision de routage, ça se fait du plus précis au plus généraliste. Le trafic de ton LAN ne va pas dans ton VPN parce qu'il y a une route plus précise (192.168.2.0/24) sur l'interface. Ensuite, il y a deux routes par défaut, celle que tu avais avant et celle ajoutée par le VPN, là, comme elles sont toutes les deux aussi précises, c'est la métrique la plus basse qui va les départager, c'est donc celle du VPN avec une métrique de 50 qui gagne. Enfin, il y a une route vers l'IP publique du VPN pour éviter d'utiliser le VPN pour contacter le serveur VPN.

    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.