Routage et openVPN

[guillaume28]

Bonjour à tous,

Voici l'architecture de mon reseau :



Pour info :
- Le serveur VPN tourne sous debian.
- Le raspberry Pi aussi.
- Le client du LAN 2 tourne sous ubuntu 13.02.


Pouvez vous m'aider à définir les fichiers de confs openVPN afin de "pusher" les routes au sein du reseau VPN pour que le client du LAN 2 puisse accéder à l'ensemble des clients du LAN 1 via leurs adresses eth0 (ping 192.168.1.62 à partir du client LAN 2 fonctionne). De plus, si cela est possible, je souhaite que l'inverse ne soit pas possible, à savoir qu'aucun client du LAN 1 ne puisse accéder directement aux services des clients du LAN 2 (ping 192.168.0.150 à partir d'un client LAN 1 comme 192.168.1.3 ne fonctionne pas).

Merci d'avance pour vos coup de main,

Guillaume

[madko]

Bonjour,

Si tu veux que la configuration marche pour un sens et pas dans l'autre, à part jouer avec un parefeu ça ne se fera pas en poussant des routes. En tout cas en 1ere étape si tout le monde peut se pinguer se serait déjà bien. Et pour ça il faut que chaque client VPN se voit pousser une route (ou dans la conf du client direct) indiquant qu'il doit passer par le vpn pour joindre les autres réseaux.

Dans la conf du serveur openvpn, tu as un fichier de conf unique pour tous tes clients (lan1 et lan2) ou tu en a un par client?

[guillaume28]

J'en utilise deux différents. Oui, dans un premier temps, le blocage dans le sens LAN 1 vers LAN 2 n'est pas absolument nécessaire.

[seboss666]

Donc là actuellement si je lis correctement le graphique (avec quoi tu l'as fait, ça m'intéresse ) tu n'as que deux clients connectés au VPN, le Pi sur LAN1, et le client du LAN2. Et pour être précis, tes deux tunnels VPN passent par techniquement les routeurs et internet (petite précision que je tiens à faire pour qu'on comprenne bien la suite).

Pour que tous les clients aient la possibilité de discuter ensemble, deux solutions : soit chaque poste se voit équipé d'un certificat et du client de connexion pour se raccorder à OpenVPN (lourd mais très souple à gérer), soit tu bricoles un routeur avec VPN qui redirigent automatiquement tous les clients d'un des deux LAN dans le tunnel (j'avais envisagé la chose pour que ma platine de salon puisse ENFIN lire des vidéos sur Youtube, avant qu'ils ferment Youtube XL). Il y a aussi une option à activer sur le serveur openVPN pour que les clients puissent se voir entre eux (option "client-to-client" à ajouter ou dé-commenter dans le fichier de configuration).

Ensuite effectivement pour les restrictions, le pare-feu sera beaucoup plus approprié que les tables de routage pour limiter les communications

[guillaume28]

Merci pour vos réponses.

Pour réaliser ce diagramme, j'ai utilisé Dia.

Voici mes fichiers de conf utilisé :

Fichier server.conf

# Serveur TCP/443
mode server
proto tcp
port 443
dev tap


# Cles et certificats
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
tls-auth ta.key 0
cipher AES-256-CBC

# Reseau
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120


# Securite
user nobody
group nogroup
chroot /etc/openvpn/jail
persist-key
persist-tun
comp-lzo


# Log
verb 3
mute 20
status openvpn-status.log
log-append /var/log/openvpn.log

Fichier Client.conf

# Client
client
dev tap
proto tcp-client
remote X.X.X.X 443
resolv-retry infinite
cipher AES-256-CBC

# Cles
ca ca.crt
cert raspberyPi.crt
key raspberyPi.key
tls-auth ta.key 1



# Securite
nobind
persist-key
persist-tun
comp-lzo
verb 3

Il n'y a pas de moyen simple (sans passé par un soft de firewall) de faire en sorte que les clients en 192.168.0.X puisse pinguer directement les adresse ip en 192.168.1.X ?

Merci d'avance

[AHP_Nils]

Il n'y a pas de moyen simple (sans passé par un soft de firewall) de faire en sorte que les clients en 192.168.0.X puisse pinguer directement les adresse ip en 192.168.1.X ?

Salut,

comme l'a signalé seboss666, il te faut ajouter l'option "client-to-client" dans le fichier de configuration du serveur OpenVPN. Ensuite, il te faudra configurer tes deux clients VPN en tant que routeur, et faire en sorte que la passerelle par défaut des clients LAN soit leur client VPN (ou ajouter une route indiquant que le réseau d'en face est accessible via le routeur VPN).

A ce moment-là, LAN1 et LAN2 pourront communiquer ensemble, mais comme tu souhaites que les seules communications LAN1 vers LAN2 soient les réponses des communications LAN2 vers LAN1, il te faudra jouer avec le firewall, et il te faudra faire du stateful. Si tu utilises Netfilter (aka iptables), n'oublie donc pas d'active le module "state" et de jouer avec les états "NEW", "RELATED" et "ESTABLISHED" entre autres.

[ggbce]

Ça fait longtemps que je n'ai pas utiliser OpenVPN, mais de mémoire il existe 2 méthodes de configuration du serveur. Une méthode permet une communication client-serveur et l'autre en mode pont (serveur-serveur). De plus je me rappelle que par défaut les clients ne se voient pas l'un et l'autre, il faut activer un paramètre de broadcast dans OpenVPN (dans la config du client et/ou du serveur). désolé de ne pas avoir plus de détails, mais ça te donne une piste de recherche avec l'aide sur le site Internet de OpenVPN tu pourras surement trouver.