Forum Linux.debian/ubuntu Pas de connexion à Internet sur le client Openvpn

Posté par dafp le 26 septembre 2013 à 07:26. Licence CC By‑SA.

Étiquettes :

sept.

2013

Bonjour,
je

mis une des machines que j'utilise en serveur Openvpn (sur tun1). Elle
même est client par Openvpn chez un fournisseur (tun0). Le but est de
faire partager la connexion par VPN à plusieurs machines.
Donc pour les machines clientes, la connexion se fait en protocole TCP
(car UDP ne marche pas) vers le port 1194 du serveur. Les clients et le
serveur sont bien créés et la connexion se passe à merveille.
Le problème c'est que je n'ai pas de connexion à Internet sur les
machines clientes.
Sans openvpn les machines clientes sont automatiquement redirigé vers le
routeur et reconnu sur le réseau. Elles ont donc le droit à une adresse
IP public du FAI. Mais dès que je lance openvpn sur les machines, ni
ping ni autres programme permettant de communiquer par l'Internet ne
marche.
Du côté du serveur j'ai bien rajouté sur le fichier config (je suis
cette page
http://doc.ubuntu-fr.org/openvpn#acceder_a_internet_par_votre_vpn:
```
push

"redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
```
- j'ai repris le DNS de OpenDNS.

et ajouter ensuite:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Ce qui est très bête, c'est que je crois me souvenir avoir réussi il y a
une semaine, mais n'ayant pas noté-faisant juste quelque tests-, je ne
sais pas comment j'ai fais.
Que cela pourrait-t-il être? Que dois-je faire?

Edit:Faire passer plusieurs machines sur le même port ethernet (celui qui relie la machine serveur et routeur) ne fera pas baisser le débit max pour chaque client? - le cable est bon (1Gb/s) suffisant pour aller à fond, mais est-ce que la machine peut envoyer plus, …? Actuellement le serveur pour la machine seule vers le VPN souscris envoie du 2.5MB/s max environ (en up), donc le routeur reçoit à peu près ça avant de le renvoyer. Est-ce que le serveur sera capable d'envoyer plus (ça je n'en doute pas trop), et est-ce que le routeur acceptera un débit plus important venant d'une seule machine? - le routeur ne m'appartient pas.

Merci d'avance.

# Rien de particulier

Posté par dafp le 26 septembre 2013 à 07:37. Évalué à 1.

Bon
je n'ai rien fais de particulier, juste redémarrer les clients, et
c'est bon.

Question quand même, pour ce qui est du DNS, quel est le mieux? Ne
devrai-je pas reprendre la liste des DNS du fournisseur? Comment
récupérer les listes de DNS?
- [^] # Re: Rien de particulier
  
  Posté par nono14 (site web personnel) le 26 septembre 2013 à 10:26. Évalué à 2.
  
  en dhcp ?
  
  Système - Réseau - Sécurité Open Source
- [^] # Re: Rien de particulier
  
  Posté par NeoX le 26 septembre 2013 à 10:43. Évalué à 1.
  
  installer un dhcp et un dns sur la machine qui fait le routage.
  
  ainsi tu auras des noms de machines gerés par le dhcp/dns
  et avec l'option dns forwarder, ca enverra les requetes non resolvable vers les DNS du FAI
  
  du coup tes clients VPN n'ont qu'une passerelle : ta machine de routage, et un seul DNS : ta machine de routage
  - [^] # Re: Rien de particulier
    
    Posté par dafp le 26 septembre 2013 à 13:48. Évalué à 1.
    
    Bien, c'est ce que je ferrai. Merci.
    - [^] # Re: Rien de particulier
      
      Posté par NeoX le 26 septembre 2013 à 15:33. Évalué à 3.
      
      remarque le dhcp n'est pas necessaire puisque c'est openvpn qui fournit la config ip au client
      - [^] # Re: Rien de particulier
        
        Posté par dafp le 26 septembre 2013 à 20:13. Évalué à 1.
        
        ouais.
# toujours faire un schema

Posté par NeoX le 26 septembre 2013 à 07:41. Évalué à 2.

je comprend que tu as

VPN0 sur Tun0 ->(reseau orange)->Fournisseur
|
(Serveur de partage VPN)
|
VPN1 -> Tun1 -> (machines clientes)

sans vpn tes machines clientes ont un acces direct à internet
avec vpn, tes machines doivent avoir comme route par defaut (config par defaut d'openvpn) ton serveur de partage VPN

comme tu fais un "redirect-gateway def1 bypass-dhcp"
il est probable que tes machines clientes n'aient plus de route par defaut
et donc ne savent pas ou aller quand tu demandes google ou linuxfr

il faut donc verifier les routes de tes clients avant et apres avoir activé le vpn
et comme tu l'as indiqué, adapter la config DNS pour envoyer la requete à un server DNS qui est joignable.
- [^] # Re: toujours faire un schema
  
  Posté par dafp le 26 septembre 2013 à 08:02. Évalué à 1.
  
  Je
  dois revoir mon redirect et la config DNS dans ce cas?
  
  J'ai edité le message principal:
  "Faire passer plusieurs machines sur le même port ethernet (celui qui
  relie la machine serveur et routeur) ne fera pas baisser le débit max
  pour chaque client? - le cable est bon (1Gb/s) suffisant pour aller à
  fond, mais est-ce que la machine peut envoyer plus, …? Actuellement le
  serveur pour la machine seule vers le VPN souscris envoie du 2.5MB/s
  max environ, donc le routeur reçoit à peu près ça avant de le renvoyer.
  Est-ce que le serveur sera capable d'envoyer plus (ça je n'en doute pas
  trop), et est-ce que le routeur acceptera un débit important venant
  d'une seule machine? - le routeur ne m'appartient pas."

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.