[OpenVPN] déconnexion étrange

loopx · Last edited by loopx on Fri Oct 05, 2007 4:34 pm; edited 1 time in total

Bonsoir,

Je dispose d'un vpn sous openvpn (linux de chaque coté). J'aimerais savoir si il existe des "techniques" de dissuasion de l'utilisation d'un VPN (qu'y a t'il comme moyen pour empecher ou perturber une connexion VPN non authorisée par exemple).

En fait, je perd le liens toute les minutes, le débit chute brusquement, puis remonte à quelques k, puis retombe, puis crache encore quelques octets et se bloque (puis c'est un timeout qui relance la connexion). Extrènement désagréable: je ne sais pas si c'est un admin qui bloque la ligne ou si c'est un problème avec le serveur/client. Peut etre le FAI ?

Enfin, si vous aviez réponse à une de mes questions, ca pourrait ptet m'avancer un peu

NB: le seul moyen actuel de contrer, c'est de diminuer fortement le temps de reconnexion ... Pas très propre, mais c'est quand meme plus utilisable...
_________________
Mon MediaWiki perso : http://pix-mania.dyndns.org

truc · Advocate Joined: 25 Jul 2005 Posts: 3199

j'dis ça totalement au pif, alors faut le prendre avec des pincettes... ta config openvpn est bien en proto UDP? car sinon (proto TCP pour ceux qui ne suivent pas..

) tu peux avoir des problèmes si la fenètre TCP à l'interieur du tunnel est >= à la fenètre TCP entre le client et le serveur openvpn
_________________
The End of the Internet!

loopx · Posted: Tue Sep 18, 2007 10:09 pm Post subject:

Je suis en TCP, pas en UDP... je dois passer a travers le net donc ...

Sinon, jte filerais les configs client/serveur pour que tu puisse voir (demain)
_________________
Mon MediaWiki perso : http://pix-mania.dyndns.org

truc · Advocate Joined: 25 Jul 2005 Posts: 3199

bah donc ça pourrait éventuellement venir de là cf ce que je viens d'essayer de dire (apparemment, j'n'ai pas été clair., tiens c'est bizarre ça, c'est pas courant, ah si en fait :evil:

)

Bon maintenant, j'comprends pas trop le lien entre le fait que tu dois en TCP, et le fait que tu doives passer à travers le net ?
_________________
The End of the Internet!

guilc · Posted: Wed Sep 19, 2007 5:47 am Post subject:

loopx · Posted: Wed Sep 19, 2007 4:33 pm Post subject:

Ben tiens

La je suis embrouillé (comme les oeuf s)

Je me disais que, TCP était un meilleur choix, parce que y a de la fiabilité en plus (mais bon, ce que tu dis est tout a fais vrai, pourquoi réencapsuler du TCP dans du TCP! La tu m'a kc d'un coup! ). De deux, mon choix porte sur le fait que je suis firewallé ...

Ah, de trois.... Jpense que l'UDP n'est pas permis du coté du client => la connexion sera impossible (firewallé, filtré... en gros, j'ai pris un port courant pour y faire transiter le vpn :p ).

Enfin, je vais toujours donner les 2 fichiers de configuration. Si vous pouviez me dire ce qui est utile et ce qui ne l'es pas du tout ...

SERVEUR

loopx · Posted: Wed Sep 19, 2007 5:46 pm Post subject:

J'ai une question toute conne ...

C'est quoi la différence entre TUN et TAP ??? Parce que moi j'ai des TAP, et des gens on des TUN ... :roll:

_________________
Mon MediaWiki perso : http://pix-mania.dyndns.org

guilc · Posted: Wed Sep 19, 2007 6:50 pm Post subject:

sd44 · Posted: Wed Sep 19, 2007 7:12 pm Post subject:

je comprend pas tout je croyais que tun c'est le mode routed et tap le mode bridged (permet de faire un pont reseau) ?
perso ca marche en tun + udp et aucun probleme linux ou windows
_________________
Pourquoi faire simple quand on peut faire compliqué ?

guilc · Posted: Wed Sep 19, 2007 7:16 pm Post subject:

sd44 · Posted: Wed Sep 19, 2007 7:21 pm Post subject:

ok vu sous cet angle

perso j'avais essayer tap mais j'avais eu beaucoup de probleme pour creer l'interface sous linux, j'ai pas trouver une doc vraiment a jour ...
_________________
Pourquoi faire simple quand on peut faire compliqué ?

guilc · Posted: Wed Sep 19, 2007 7:24 pm Post subject:

sd44 · Posted: Wed Sep 19, 2007 7:47 pm Post subject:

[off]merci guillc je vient de decouvrir virtualbox et c'est vraiment sympa

[/off]
_________________
Pourquoi faire simple quand on peut faire compliqué ?

truc · Advocate Joined: 25 Jul 2005 Posts: 3199

loopx · Posted: Thu Sep 20, 2007 12:41 pm Post subject:

C'est trop marrant ce topic qui est le mien

Parce que bon, la on me raconte que :

TAP=> ethernet
TUN=> IP

Moi, je me fou de ethernet, et j'ai TAP (jamais eu de problème de création de cette TAP) alors que c'était pas trop utile :roll:

Bon, je vous explique brievement comment faire un VPN avec un TAP:
fournir les configs et les clé au serveur/client
et préciser que c'est TAP ou TAPx (x=num de la tap) et lancer le service

compliqué hein

Bon, faudra quand meme que je test le TAP en UDP (je suppose que c'est pas le choix TAP/TUN qui pose des soucis dans mon cas).

Dans tout les cas, un grand merci pour les infos, j'avais visiblement de grosse lacune sur le sujet

EDIT: j'ai toujours aucun moyen de tester la connexion UDP entre 2 points, personne n'a une chtit idée ??? ou jvais devoir faire un truc de fou pour y arriver :lol:

_________________
Mon MediaWiki perso : http://pix-mania.dyndns.org

loopx · Posted: Tue Oct 02, 2007 8:29 pm Post subject:

Bonjour,

ptit up ...

J'ai modifié un truc dans la config ... En fait, j'avais mis le ping-restart à 10 secondes coté client et serveur, je me suis appercu que ca se reconnectais tout le temps, j'ai donc passé cette valeur à 1000 coté serveur, et maintenant c'est au client de décider (après 10 secondes) une reconnection (il semblerait que le serveur, ne recevant aucun packet, restartait la connexion toute les 10 secondes).

Donc, ca se reconnecte moins souvent, mais ca le fait toujours, et particulièrement quand on augmente la charge ...

Pour l'instant, mon serveur me dis ceci :

sd44 · Posted: Tue Oct 02, 2007 8:45 pm Post subject:

t'es toujours pas sur udp ? j'ai en gros la conf a bouletbill (openvpn section documentaire) et aucun probleme !
_________________
Pourquoi faire simple quand on peut faire compliqué ?

loopx · Posted: Tue Oct 02, 2007 8:54 pm Post subject:

nop, tjs en TCP (qui fonctionnais à un moment ... pendant 1 an meme, mais depuis 1 an, l'es kc ...). Un autre à tester un autre vpn en UDP, mais ca passais pas, je testerais .. pour etre sur. En tout cas, jpige pas les lignes plus haut, il jongle avec 2 ports sources... Pourquoi ????

sd44 · Posted: Tue Oct 02, 2007 9:02 pm Post subject:

non de non, change donc tcp par udp et regarde et tire tes conclusions, deja tu sera pas en mode connecté ! t'aura donc pas de deconnections :lol:

_________________
Pourquoi faire simple quand on peut faire compliqué ?

loopx · Posted: Tue Oct 02, 2007 9:30 pm Post subject:

lol, terrible ta déduction

en fait, je fais mon lourd, j'ai pas trop envie de changer, parce que jvais perdre la connex pendant un moment sinon .... mais je testerais quand meme ...

Faut changer quoi pour que ca fonctionne (j'ai mis mes configs plus haut), je change juste TCP en UDP et hop, c bon ?

Suis tjs à la recherche d'un progz pour test la connex UDP ... udptraceroute peut etre :p (pff, c'est nul, autant y a tout pour tcp, autant il y a rien pour udp)
_________________
Mon MediaWiki perso : http://pix-mania.dyndns.org

sd44 · Posted: Wed Oct 03, 2007 12:06 am Post subject:

oui c'est tout (client et srv)

pour info voila ma conf client, moi je suis en mode routed

truc · Advocate Joined: 25 Jul 2005 Posts: 3199

loopx · Posted: Wed Oct 03, 2007 4:16 pm Post subject:

Ben en fait, j'ai pas vraiment accès au client si celui-ci se déconnecte du vpn

ou si, ce qui arrive, le service openvpn ne redémarre pas...

Tu me dis que tu es en mode "routed", donc, tu utilise tun (tu n'es pas au niveau ethernet mais ip). Je pourrais tester, mais il faut modifier le kernel du client (qui est loin de chez moi ^^).

Question: puis-je utiliser une TAP avec un TUN (client=tap, serveur=tun) sans que cela pose problème ???

Je vous promet que j'y regarderais

mais la, je suis meme pas chez moi ...

Enfin, merci pour les infos

_________________
Mon MediaWiki perso : http://pix-mania.dyndns.org

sd44 · Posted: Wed Oct 03, 2007 4:50 pm Post subject:

chez moi j'ai une interface tap et une tun , je me sert de la tap pour virtualbox et tun pour vpn, tap et eth0 etant sur mon bridge br0.
je te conseil de créé une tun sur le client (c'est automatique de toute facon avec openvpn) car tun <=> tap je suis pas sur que ca passe.

tu n'as pas a modifier ton kernel car si tu a une tap c'est que l'option tun/tap est coché

en gros change tap par tun et tcp par udp et verif ta conf avec la miene et ca roule ...
_________________
Pourquoi faire simple quand on peut faire compliqué ?

truc · Advocate Joined: 25 Jul 2005 Posts: 3199

je crois effectivement me rappeller que tu peux être en mode routé avec une interface tap (mais pas l'inverse ( tun en mode bridge )), ça doit tout simplement être marquer sr le site d'openvpn
_________________
The End of the Internet!