Le vendredi 29 août 2014 à 21:13 +0200, Johnny B a écrit : > Salut, Bonsoir,
ci après les conf... > > Quelle est ta conf de routage iptables ? Coté serveur root@firewall:~# iptables -L Chain INPUT (policy DROP) target prot opt source destination fail2ban-ssh tcp -- anywhere anywhere multiport dports ssh ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere state NEW Chain FORWARD (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere state NEW Chain OUTPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere state NEW Chain fail2ban-ssh (1 references) target prot opt source destination RETURN all -- anywhere anywhere Coté client root@sky:~# iptables -L Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere state NEW Chain FORWARD (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere state NEW Chain OUTPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere state NEW > > Quelle est ta conf openvpn.conf ? Serveur root@firewall:~# grep -v -e "#" -e ";" -e"^ $" /etc/openvpn/server.conf port 1194 proto udp dev tun ca ca.crt cert server.crt dh dh1024.pem server 192.168.100.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "route 192.168.3.0 255.255.255.0" push "route 192.168.4.0 255.255.255.0" push "route 192.168.1.0 255.255.255.0" client-config-dir ccd route 192.168.29.0 255.255.255.0 push "route 192.168.29.0 255.255.255.0" client-to-client keepalive 10 120 comp-lzo user nobody group nogroup persist-key persist-tun status openvpn-status.log log openvpn.log verb 4 ccd iroute 192.168.29.0 255.255.255.0 Client root@sky:~# grep -v -e "#" -e ";" -e"^ $" /etc/openvpn/connect/clients.d/sky.lys-net/client.conf client dev tun proto udp remote xx.yy.zz.www 1194 resolv-retry infinite cipher DES-EDE3-CBC ca ca.crt cert sky.lys-net.crt key sky.lys-net.key tls-auth ta.key 1 nobind persist-key persist-tun comp-lzo verb 3 > > > Le 08/29/2014 06:29 PM, Yann Cohen a écrit : > > Bonjour, > > > > je sèche sur un problème de routage entre deux sites qui sont connectés > > via openvpn. > > > > Chaque coté du tunnel est un serveur debian (old-stable et jessie). > > > > Le serveur (firewall) est coté old-stable, le client coté jessie. > > > > Le serveur dessert les réseaux 192.168.3.0/24, 192.168.4.0/24 et > > 192.168.1.0/24 > > > > Le vpn est dans le plan d'@ 192.168.100.0/24 > > > > Le client (sky) dessert le réseau 192.168.29.0/24. > > > > la table de routage coté serveur est la suivante : > > root@firewall:/etc/openvpn# netstat -rn > > Kernel IP routing table > > Destination Gateway Genmask Flags MSS Window irtt > > Iface > > 192.168.100.2 0.0.0.0 255.255.255.255 UH 0 0 0 > > tun0 > > 192.168.100.0 192.168.100.2 255.255.255.0 UG 0 0 0 > > tun0 > > 192.168.4.0 0.0.0.0 255.255.255.0 U 0 0 0 > > eth2 > > 192.168.3.0 0.0.0.0 255.255.255.0 U 0 0 0 > > eth0 > > 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 > > eth1 > > 192.168.29.0 192.168.100.2 255.255.255.0 UG 0 0 0 > > tun0 > > 0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 > > eth1 > > > > la table de routage coté client est la suivante : > > root@sky:~# netstat -rn > > Table de routage IP du noyau > > Destination Passerelle Genmask Indic MSS Fenêtre irtt > > Iface > > 0.0.0.0 192.168.29.1 0.0.0.0 UG 0 0 0 > > br0 > > 192.168.1.0 192.168.100.21 255.255.255.0 UG 0 0 0 > > tun0 > > 192.168.3.0 192.168.100.21 255.255.255.0 UG 0 0 0 > > tun0 > > 192.168.4.0 192.168.100.21 255.255.255.0 UG 0 0 0 > > tun0 > > 192.168.29.0 0.0.0.0 255.255.255.0 U 0 0 0 > > br0 > > 192.168.100.1 192.168.100.21 255.255.255.255 UGH 0 0 0 > > tun0 > > 192.168.100.21 0.0.0.0 255.255.255.255 UH 0 0 0 > > tun0 > > > > Les routes viennent de la configuration openvpn via les directives : > > push route pour .4, .3, .1 > > route et iroute pour .29 > > > > via fwbuilder la table de routage est configurée de chaque coté pour ne > > rien bloquer (enfin c'est ce que je crois...). > > > > De chaque coté j'ai mis en place un tshark sur l'interface tun0 et un > > sur l'interface eth0 ou br0. Objectif suivre les paquets "icmp". > > > > Les pings et les pongs depuis le client (sky) vers l'adresse du serveur > > (firewall) en .3 passent. > > > > Les pings depuis firewall vers sky sur l'adresse en .29 ne sont pas > > envoyés sur tun0 de firewall. > > > > Les pings depuis une machine sur le .29 vers une machine sur le .3, > > entrent sur br0 de sky, passent sur tun0 de sky mais ne sortent pas de > > tun0 de firewall. > > > > Je sèche sur ce problème depuis un bon paquets d'heures. > > > > Je suppose que le problème est coté serveur (firewall) mais je ne sais > > plus où chercher. > > > > Je suis donc preneur de toute piste... > > > > Cordialement. > > > > Yann. > > > -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/1409341688.8368.5.ca...@yco-sts-linux.ianco.homelinux.org
