ggbce Posté(e) le 20 décembre 2006 Partager Posté(e) le 20 décembre 2006 Salut, Ma situation implique des ordis en Windows et Linux... et OpenVPN du monde du libre. J'ai donc opté pour poser la question ici, même si le OpenVPN en question est installé sur un Windows 2000. ----------------------------- Voilà mon problème: J'utilise OpenVPN pour mes utilisateurs distants (maison ou sur la route) afin de leur donner un accès à leur données sur le réseau. Le tout fonctionne parfaitement... mais lorsque l'utilisateur est connecté, il ne parvient plus à naviguer sur Internet. Le tout est configuré en mode Bridge (et non routed) afin d'avoir un accès complet au réseau local. Voici un dessin pour bien comprendre la configuration: * J'ouvre le port UDP:1194 sur le router/NAT Linux et le redirige vers le serveur VPN. Le client utilise l'adresse IP xx.xx.xx.xx (côté Internet du router) dans le fichier de configuration du client OpenVPN pour se connecter. ----------------------------- Le client VPN n'a aucun problème pour accéder au serveur VPN et à tous les autres nodes sur le réseau local. Je peux même faire un PING vers 192.168.1.254 (ma passerelle qui retourne vers Internet), mais plus rien au-delà. J'obtiens ma résolution DNS depuis le serveur Windows 2003 (192.168.1.4), j'accède aux partages, imprimantes, ... sans difficulté. Le client VPN à pour seul différence aux stations du réseau local, une adresse IP dynamique qui est fournit par le serveur DHCP de OpenVPN avec : server-bridge 192.168.1.2 255.255.255.0 192.168.1.201 192.168.1.210 et j'ai bien fait attention que le serveur DHCP du réseau local ne fournisse pas d'adresse au-dessus de 200. Voici la configuration du serveur OpenVPN: port 1194 proto udp dev tap dev-node tap-bridge ca ca.crt cert server.crt key server.key dh dh1024.pem ifconfig-pool-persist ipp.txt server-bridge 192.168.1.2 255.255.255.0 192.168.1.201 192.168.1.210 push "route 192.168.1.0 255.255.255.0" push "redirect-gateway" push "dhcp-option DNS 192.168.1.11" client-to-client keepalive 10 120 tls-auth ta.key 0 comp-lzo persist-key persist-tun status openvpn-status.log verb 3 Alors je ne sais pas s'il faut que j'ajoute un paramètre de route additionnel ici, ou encore sur mon serveur NAT, sur le client (via un push), ... J'ai tenté quelques expériences sans succès. Est-ce possible de donner accès Internet au client via un retour de la passerelle du réseau local ou encore lui laisser son propre accès Internet, utilisé pour le VPN, pour naviguer simplement tout ça en utilisant le mode bridge ? Merci de votre aide. Lien vers le commentaire Partager sur d’autres sites More sharing options...
mikemowgli Posté(e) le 20 décembre 2006 Partager Posté(e) le 20 décembre 2006 Ca ne va pas t'aider du tout, mais sache que l'admin réseau de ma boîte a mis en place une solution openvpn également et qu'il n'y a pas non plus moyen de surfer sur le web en même temps que l'on est connecté au VPN. Il faudra que je le secoue ou que je regarde à ça moi-même. Je tiens au courant si j'ai du neuf. ++ bon week-end Lien vers le commentaire Partager sur d’autres sites More sharing options...
tyrann27 Posté(e) le 20 décembre 2006 Partager Posté(e) le 20 décembre 2006 rhaaaaa c'était le sujet de mon labo l'année passée... Mais j'utilisais pas openvpn... Si mes souvenirs sont bons, tu dois router les paquets destinés a 0.0.0.0 via le gateway local... Ou alors tu envois ta passerelle par le DHCP... Je ne sais plus si c'est possible pour ce dernier point, et évidemment j'ai plus mon serveur pour vérifier! Pour moi ce sont des solutions équivalentes... Lien vers le commentaire Partager sur d’autres sites More sharing options...
ggbce Posté(e) le 21 décembre 2006 Auteur Partager Posté(e) le 21 décembre 2006 Salut Tyrann, À priori, les paquets destinés à 0.0.0.0 devraient être redirigés vers la passerelle locale avec le paramètre: push "redirect-gateway" En regardant de plus près le sujet, lorsque je me connecte avecun client VPN, si je vérifie ses infos avec ipconfig j'obtiens: C:\Documents and Settings\gestion>ipconfig /all Configuration IP de Windows 2000 Nom de l'hôte . . . . . . . . . . : sparelaptop Suffixe DNS principal . . . . . . : mondomaine.local Type de noud. . . . . . . . . . . : Hybride Routage IP activé . . . . . . . . : Non Proxy WINS activé . . . . . . . . : Non Liste de recherche de suffixe DNS : mondomaine.local Ethernet carte MyTap : Suffixe DNS spéc. à la connexion. : Description . . . . . . . . . . . : TAP-Win32 Adapter V8 Adresse physique. . . . . . . . . : 00-FF-A8-95-48-5D DHCP activé . . . . . . . . . . . : Oui Autoconfiguration activée . . . . : Oui Adresse IP. . . . . . . . . . . . : 192.168.1.201 Masque de sous-réseau . . . . . . : 255.255.255.0 Passerelle par défaut . . . . . . : 192.168.1.2 Serveur DHCP. . . . . . . . . . . : 192.168.1.0 Serveurs DNS. . . . . . . . . . . : 192.168.1.4 Bail obtenu . . . . . . . . . . . : 21 décembre, 2006 08:47:48 Bail expire . . . . . . . . . . . : 21 décembre, 2007 08:47:48 Ethernet carte Connexion au réseau sans fil : État du media . . . . . . . . . . : Câble Déconnecté Description . . . . . . . . . . . : HP WLAN 802.11a/b/g W500 Adresse physique. . . . . . . . . : 00-0B-CD-59-C5-5A Ethernet carte Connexion au réseau local : État du media . . . . . . . . . . : Câble Déconnecté Description . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet Adresse physique. . . . . . . . . : 00-08-02-E0-05-A6 PPP carte monFAI : Suffixe DNS spéc. à la connexion. : Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface Adresse physique. . . . . . . . . : 00-53-45-00-00-00 DHCP activé . . . . . . . . . . . : Non Adresse IP. . . . . . . . . . . . : 142.xxx.xxx.57 Masque de sous-réseau . . . . . . : 255.255.255.255 Passerelle par défaut . . . . . . : Serveurs DNS. . . . . . . . . . . : 142.xxx.xxx.xxx 199.xxx.xxx.xxx C:\Documents and Settings\gestion> La passerelle par défaut des clients VPN est 192.168.1.2 (qui est l'adresse IP du serveur VPN) et non l'adresse de mon serveur de partage de connexion NAT sur mon réseau local (192.168.1.254). Je me demande si ... c'est normal puisque les clients doivent passer par le serveur VPN pour aller sur le réseau local qui redirige le tout entre les 2 il faut que le paquet sache par quel chemin revenir (comme dans une NAT), mais d'une certaine façon c'est fait en mode bridge qui "émule" une prolongation du réseau sur la même plage d'IP sur l'Interface physique du serveur VPN. Est-ce que le paquet connait le chemin du retour au client VPN ??? Je vais essayer de forcer la passerelle 192.168.1.254 sur le client VPN. Je sais pas comment... mais je vais essayer ! Et je vous redis si ça fonctionne. En attendant, si vous avez d'autres infos, elles sont le bienvenue !!! Merci Lien vers le commentaire Partager sur d’autres sites More sharing options...
ggbce Posté(e) le 21 décembre 2006 Auteur Partager Posté(e) le 21 décembre 2006 Youhou !!!! J'ai réussi !!!!!!!!!!! Je peux maintenant me connecter à mon réseau local via VPN et profiter de l'accès Internet comme si j'étais branché localement. Évidemment le traffic doit passer par le VPN en premier avant d'aller sur Internet, ça fait du traffic en double, mais ça fonctionne très bien. alors voilà ce que j'ai fait, j'ai simplement changé la ligne suivante: server-bridge 192.168.1.2 255.255.255.0 192.168.1.201 192.168.1.210 pour server-bridge 192.168.1.254 255.255.255.0 192.168.1.201 192.168.1.210 Mon serveur VPN est bien à l'adresse 192.168.1.2, mais étant utilisé en "bridge" il ne fait pas office de passerelle (contrairement au mode "routé"), donc j'ai paramétré 192.168.1.254 comme route de retour qui force la passerelle par défaut du réseau local et d'une certaine façon il sait que l'adresse IP 192.168.1.201 (client VPN) est pour lui local, donc il retourne les paquets d'où ils viennent (via le bridge sur le serveur VPN). Super, je vais pouvoir enfin implanter le VPN correctement pour les clients distants ! ... Reste maintenant à m'attaquer à la configuration d'un VPN site-à-site entre mes sites distants. Lien vers le commentaire Partager sur d’autres sites More sharing options...
tyrann27 Posté(e) le 21 décembre 2006 Partager Posté(e) le 21 décembre 2006 Oui c'est vrai, j'ai sauté le fait que tu es en mode bridge... J'étais en mode routé moi... Ben alors c'est cool que ca fonctionne! Bonne continuation Lien vers le commentaire Partager sur d’autres sites More sharing options...
ggbce Posté(e) le 17 janvier 2007 Auteur Partager Posté(e) le 17 janvier 2007 Salut tout le monde, Je voulais simplement ajouter comme information: J'ai essayé de créer mon serveur OpenVPN sur un ordinateur avec Windows 2000 Professionnel et le logiciel Ethernet Bridge (afin de ponter l'interface du réseau local et tap-bridge) et ça fonctionnait super bien. J'ai ensuite fait l'essai sur un serveur Windows 2003, la seule chose de différent est que je n'utilisait pas Ethernet Bridge pour le pont réseau puisque Windows XP et 2003 ont la possibilité de le faire (intégré au système) et là j'ai eu de la difficulté. La configuration s'est fait sans problème... mais le broadcast du réseau local via le pont ne fonctionne pas très bien, le DNS passe une fois sur 2, etc... Donc je peux comprendre que la fonction de pont réseau dans Windows 2003 éprouve de l'instabilité. J'ai essayé d'installer Ethernet Bridge sur le serveur Windows 2003, mais le serveur gèle lorsque j'active l'interface tap-bridge. Si vous avez rencontré des problèmes de stabilité ou fonctionnement du genre et que vous avez trouvé une solution, j'aimerais bien savoir comment vous avez résolu le tout. Merci Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.