Aller au contenu

[RESOLU] OpenVPN - Mode bridge et accès Internet


ggbce

Messages recommandés

Salut,

Ma situation implique des ordis en Windows et Linux... et OpenVPN du monde du libre. J'ai donc opté pour poser la question ici, même si le OpenVPN en question est installé sur un Windows 2000.

-----------------------------

Voilà mon problème:

J'utilise OpenVPN pour mes utilisateurs distants (maison ou sur la route) afin de leur donner un accès à leur données sur le réseau. Le tout fonctionne parfaitement... mais lorsque l'utilisateur est connecté, il ne parvient plus à naviguer sur Internet.

Le tout est configuré en mode Bridge (et non routed) afin d'avoir un accès complet au réseau local.

Voici un dessin pour bien comprendre la configuration:

vpn_bridge.gif

* J'ouvre le port UDP:1194 sur le router/NAT Linux et le redirige vers le serveur VPN. Le client utilise l'adresse IP xx.xx.xx.xx (côté Internet du router) dans le fichier de configuration du client OpenVPN pour se connecter.

-----------------------------

Le client VPN n'a aucun problème pour accéder au serveur VPN et à tous les autres nodes sur le réseau local. Je peux même faire un PING vers 192.168.1.254 (ma passerelle qui retourne vers Internet), mais plus rien au-delà.

J'obtiens ma résolution DNS depuis le serveur Windows 2003 (192.168.1.4), j'accède aux partages, imprimantes, ... sans difficulté.

Le client VPN à pour seul différence aux stations du réseau local, une adresse IP dynamique qui est fournit par le serveur DHCP de OpenVPN avec :

server-bridge 192.168.1.2 255.255.255.0 192.168.1.201 192.168.1.210

et j'ai bien fait attention que le serveur DHCP du réseau local ne fournisse pas d'adresse au-dessus de 200.

Voici la configuration du serveur OpenVPN:

port 1194
proto udp
dev tap
dev-node tap-bridge

ca ca.crt
cert server.crt
key server.key
dh dh1024.pem

ifconfig-pool-persist ipp.txt
server-bridge 192.168.1.2 255.255.255.0 192.168.1.201 192.168.1.210
push "route 192.168.1.0 255.255.255.0"
push "redirect-gateway"
push "dhcp-option DNS 192.168.1.11"
client-to-client
keepalive 10 120
tls-auth ta.key 0
comp-lzo

persist-key
persist-tun

status openvpn-status.log

verb 3

Alors je ne sais pas s'il faut que j'ajoute un paramètre de route additionnel ici, ou encore sur mon serveur NAT, sur le client (via un push), ... J'ai tenté quelques expériences sans succès.

Est-ce possible de donner accès Internet au client via un retour de la passerelle du réseau local ou encore lui laisser son propre accès Internet, utilisé pour le VPN, pour naviguer simplement tout ça en utilisant le mode bridge ?

Merci de votre aide.

Lien vers le commentaire
Partager sur d’autres sites

Ca ne va pas t'aider du tout, mais sache que l'admin réseau de ma boîte a mis en place une solution openvpn également et qu'il n'y a pas non plus moyen de surfer sur le web en même temps que l'on est connecté au VPN. Il faudra que je le secoue ou que je regarde à ça moi-même.

Je tiens au courant si j'ai du neuf.

++

bon week-end

Lien vers le commentaire
Partager sur d’autres sites

rhaaaaa c'était le sujet de mon labo l'année passée...

Mais j'utilisais pas openvpn...

Si mes souvenirs sont bons, tu dois router les paquets destinés a 0.0.0.0 via le gateway local...

Ou alors tu envois ta passerelle par le DHCP...

Je ne sais plus si c'est possible pour ce dernier point, et évidemment j'ai plus mon serveur pour vérifier!

Pour moi ce sont des solutions équivalentes...

Lien vers le commentaire
Partager sur d’autres sites

Salut Tyrann,

À priori, les paquets destinés à 0.0.0.0 devraient être redirigés vers la passerelle locale avec le paramètre:

push "redirect-gateway"

En regardant de plus près le sujet, lorsque je me connecte avecun client VPN, si je vérifie ses infos avec ipconfig j'obtiens:

C:\Documents and Settings\gestion>ipconfig /all

Configuration IP de Windows 2000

	Nom de l'hôte . . . . . . . . . . : sparelaptop
	Suffixe DNS principal . . . . . . : mondomaine.local
	Type de noud. . . . . . . . . . . : Hybride
	Routage IP activé . . . . . . . . : Non
	Proxy WINS activé . . . . . . . . : Non
	Liste de recherche de suffixe DNS : mondomaine.local

Ethernet carte MyTap :

	Suffixe DNS spéc. à la connexion. :
	Description . . . . . . . . . . . : TAP-Win32 Adapter V8
	Adresse physique. . . . . . . . . : 00-FF-A8-95-48-5D
	DHCP activé . . . . . . . . . . . : Oui
	Autoconfiguration activée . . . . : Oui
	Adresse IP. . . . . . . . . . . . : 192.168.1.201
	Masque de sous-réseau . . . . . . : 255.255.255.0
	Passerelle par défaut . . . . . . : 192.168.1.2
	Serveur DHCP. . . . . . . . . . . : 192.168.1.0
	Serveurs DNS. . . . . . . . . . . : 192.168.1.4
	Bail obtenu . . . . . . . . . . . : 21 décembre, 2006 08:47:48
	Bail expire . . . . . . . . . . . : 21 décembre, 2007 08:47:48

Ethernet carte Connexion au réseau sans fil :

	État du media . . . . . . . . . . : Câble Déconnecté
	Description . . . . . . . . . . . : HP WLAN 802.11a/b/g W500
	Adresse physique. . . . . . . . . : 00-0B-CD-59-C5-5A

Ethernet carte Connexion au réseau local :

	État du media . . . . . . . . . . : Câble Déconnecté
	Description . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
	Adresse physique. . . . . . . . . : 00-08-02-E0-05-A6

PPP carte monFAI :

	Suffixe DNS spéc. à la connexion. :
	Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
	Adresse physique. . . . . . . . . : 00-53-45-00-00-00
	DHCP activé . . . . . . . . . . . : Non
	Adresse IP. . . . . . . . . . . . : 142.xxx.xxx.57
	Masque de sous-réseau . . . . . . : 255.255.255.255
	Passerelle par défaut . . . . . . :
	Serveurs DNS. . . . . . . . . . . : 142.xxx.xxx.xxx
										199.xxx.xxx.xxx

C:\Documents and Settings\gestion>

La passerelle par défaut des clients VPN est 192.168.1.2 (qui est l'adresse IP du serveur VPN) et non l'adresse de mon serveur de partage de connexion NAT sur mon réseau local (192.168.1.254).

Je me demande si ... c'est normal puisque les clients doivent passer par le serveur VPN pour aller sur le réseau local qui redirige le tout entre les 2 il faut que le paquet sache par quel chemin revenir (comme dans une NAT), mais d'une certaine façon c'est fait en mode bridge qui "émule" une prolongation du réseau sur la même plage d'IP sur l'Interface physique du serveur VPN. Est-ce que le paquet connait le chemin du retour au client VPN ???

Je vais essayer de forcer la passerelle 192.168.1.254 sur le client VPN. Je sais pas comment... mais je vais essayer ! Et je vous redis si ça fonctionne. En attendant, si vous avez d'autres infos, elles sont le bienvenue !!!

Merci

Lien vers le commentaire
Partager sur d’autres sites

Youhou !!!! J'ai réussi !!!!!!!!!!!

Je peux maintenant me connecter à mon réseau local via VPN et profiter de l'accès Internet comme si j'étais branché localement. Évidemment le traffic doit passer par le VPN en premier avant d'aller sur Internet, ça fait du traffic en double, mais ça fonctionne très bien.

alors voilà ce que j'ai fait, j'ai simplement changé la ligne suivante:

server-bridge 192.168.1.2 255.255.255.0 192.168.1.201 192.168.1.210

pour

server-bridge 192.168.1.254 255.255.255.0 192.168.1.201 192.168.1.210

Mon serveur VPN est bien à l'adresse 192.168.1.2, mais étant utilisé en "bridge" il ne fait pas office de passerelle (contrairement au mode "routé"), donc j'ai paramétré 192.168.1.254 comme route de retour qui force la passerelle par défaut du réseau local et d'une certaine façon il sait que l'adresse IP 192.168.1.201 (client VPN) est pour lui local, donc il retourne les paquets d'où ils viennent (via le bridge sur le serveur VPN).

Super, je vais pouvoir enfin implanter le VPN correctement pour les clients distants !

... Reste maintenant à m'attaquer à la configuration d'un VPN site-à-site entre mes sites distants.

Lien vers le commentaire
Partager sur d’autres sites

  • 4 semaines après...

Salut tout le monde,

Je voulais simplement ajouter comme information:

J'ai essayé de créer mon serveur OpenVPN sur un ordinateur avec Windows 2000 Professionnel et le logiciel Ethernet Bridge (afin de ponter l'interface du réseau local et tap-bridge) et ça fonctionnait super bien.

J'ai ensuite fait l'essai sur un serveur Windows 2003, la seule chose de différent est que je n'utilisait pas Ethernet Bridge pour le pont réseau puisque Windows XP et 2003 ont la possibilité de le faire (intégré au système) et là j'ai eu de la difficulté. La configuration s'est fait sans problème... mais le broadcast du réseau local via le pont ne fonctionne pas très bien, le DNS passe une fois sur 2, etc... Donc je peux comprendre que la fonction de pont réseau dans Windows 2003 éprouve de l'instabilité. J'ai essayé d'installer Ethernet Bridge sur le serveur Windows 2003, mais le serveur gèle lorsque j'active l'interface tap-bridge.

Si vous avez rencontré des problèmes de stabilité ou fonctionnement du genre et que vous avez trouvé une solution, j'aimerais bien savoir comment vous avez résolu le tout.

Merci

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...