| View previous topic :: View next topic |
| Author |
Message |
Ascodas
Apprentice
Joined: 18 Nov 2004
Posts: 263
|
 Posted: Wed Oct 10, 2007 3:34 pm Post subject: [OpenVPN] interconnecter deux réseaux distants (résolu) |
 |
|
Hello,
Je voudrais connecter deux réseaux locaux distants (qui ont des classes d'adresses différentes, par ex . 192.168.1.* et 192.168.0.*) via un tunnel VPN.
J'ai opté pour la solution OpenVPN que j'arrive à faire fonctionner tant que je veux faire du client vers mon serveur et je coince sur une config telle que :
[réseau local 192.168.1.*]<-->[serveur VPN]<----Internet---->[serveur VPN]<-->[[réseau local 192.168.0.*]
Voici mon openvpn.con qui est semblable sur les deux machines :
| Code: |
port 1194
proto udp
dev tun
ca privnet/ca.crt
cert privnet/server.crt
key privnet/server.key
dh privnet/dh1024.pem
# server 10.8.0.0 255.255.255.0
ifconfig 10.8.0.1 10.8.0.2
route 192.168.1.0 255.255.255.0 10.8.0.2
# push "route 192.168.0.0 255.255.255.0"
mode server
tls-server
ifconfig-pool-persist ipp.txt
ifconfig-pool 10.8.0.1 10.8.0.255
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3
log-append /var/log/openvpn.log |
Vous dire exactement ce qui ne marche pas est difficile, par contre les serveurs doivent je pensent être le client de l'autre serveur mais être aussi serveur ? doit t'on avoir les mes même CA ?
Je pense qu'il faut l'option remote (pour savoir qui sont les serveurs de part et d'autre du net) mais dans l'exemple que je suis (qui date un peu), il n'en ait pas fait mention.
http://christian.caleca.free.fr/crypt/applications.htm
dernière application.
Merci si vous avez des conseils ou des bon tutos sur cette appli en particulier.
Last edited by Ascodas on Fri Oct 12, 2007 6:57 pm; edited 1 time in total |
|
| Back to top |
|
 |
sd44
Apprentice
Joined: 21 Jul 2007
Posts: 277
Location: Nantes 44
|
| Posted: Wed Oct 10, 2007 7:07 pm Post subject: |
|
|
un tres bon tuto dans la section doc du forum, fait aussi une recherche sur le forum.
_________________
Pourquoi faire simple quand on peut faire compliqué ? |
|
| Back to top |
|
|
Ascodas
Apprentice
Joined: 18 Nov 2004
Posts: 263
|
| Posted: Wed Oct 10, 2007 7:48 pm Post subject: |
|
|
| sd44 wrote: | | un tres bon tuto dans la section doc du forum, fait aussi une recherche sur le forum. |
Oui je connais ce tuto mais je cherche qque chose de plus spécifique à ce que je cherche à faire et qui me spécifie bien si je dois choisir le mode routed ou le bridge ... |
|
| Back to top |
|
|
sd44
Apprentice
Joined: 21 Jul 2007
Posts: 277
Location: Nantes 44
|
|
| Back to top |
|
|
Ascodas
Apprentice
Joined: 18 Nov 2004
Posts: 263
|
| Posted: Fri Oct 12, 2007 8:28 am Post subject: |
|
|
Merci pour tes conseils sd44, apres beaucoup de lecture j'ai opté pour la solution de bridge (apparemment la meilleure solution pour connecter deux réseaux distants).
Tous se passe bien au niveau du brige, du lancement d'openvpn, des négociations de clefs, des attibutions des ips, mes clients se connectent, par contre impossible de pinger le serveur du client ou inverssement et donc encore moins de pinguer les machines entre elles.
J'ai un client windows sur lequel je crée un pont entre l'interface tap et ma carte reseau, auquel j'assigne l'ip 192.168.0.203 et la passerelle du réseaux 192.168.0.1.
Mon openvpn.conf :
| Code: |
port 1194
proto udp
# dev tun
dev tap
ca privnet/ca.crt
cert privnet/server.crt
key privnet/server.key
dh privnet/dh1024.pem
# server 10.8.0.0 255.255.255.0
# ifconfig 10.8.0.1 10.8.0.2
# route 192.168.1.0 255.255.255.0 10.8.0.2
# push "route 192.168.0.0 255.255.255.0"
# ifconfig-pool 10.8.0.1 10.8.0.255
server-bridge 192.168.1.2 255.255.255.0 192.168.1.50 192.168.1.60
mode server
tls-server
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3
log-append /var/log/openvpn.log |
mon ifconfig sur le serveur :
| Code: | br0 Lien encap:Ethernet HWaddr 00:13:D4:99:29:DE
inet adr:192.168.1.2 Bcast:192.168.1.255 Masque:255.255.255.0
adr inet6: fe80::213:d4ff:fe99:29de/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:13443 errors:0 dropped:0 overruns:0 frame:0
TX packets:9246 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:4406866 (4.2 Mb) TX bytes:1247176 (1.1 Mb)
eth1 Lien encap:Ethernet HWaddr 00:13:D4:99:20:1C
inet adr:10.10.1.2 Bcast:10.10.1.255 Masque:255.255.255.0
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Interruption:21 Adresse de base:0x2000
eth2 Lien encap:Ethernet HWaddr 00:13:D4:99:29:DE
adr inet6: fe80::213:d4ff:fe99:29de/64 Scope:Lien
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:13443 errors:0 dropped:0 overruns:0 frame:0
TX packets:9241 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:4654351 (4.4 Mb) TX bytes:1300678 (1.2 Mb)
Interruption:17
lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:26298 errors:0 dropped:0 overruns:0 frame:0
TX packets:26298 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:1825685 (1.7 Mb) TX bytes:1825685 (1.7 Mb)
tap0 Lien encap:Ethernet HWaddr 00:FF:52:C1:21:4D
adr inet6: fe80::2ff:52ff:fec1:214d/64 Scope:Lien
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:2498 overruns:0 carrier:0
collisions:0 lg file transmission:100
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) |
mon ipp.txt, on voit que les ips sont bien attibués dans la plage définie sur le serveur :
| Code: | t40p,192.168.1.50
client1,192.168.1.51 |
Ma conf sur le client win :
| Code: | client
dev tap
proto udp
# change this to your servers ip or hostname
remote mon dyndns 1194
# remote-cert-tls server
ns-cert-type server
resolv-retry infinite
nobind
persist-key
persist-tun
tls-client
ca ca.crt
cert client.crt
key client.key
comp-lzo
verb 3 |
Et enfin le log de la négociation sur le client windows :
| Code: |
Fri Oct 12 10:15:03 2007 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Oct 12 10:15:03 2007 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Oct 12 10:15:03 2007 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Oct 12 10:15:03 2007 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Oct 12 10:15:03 2007 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Fri Oct 12 10:15:03 2007 [server] Peer Connection Initiated with *.*.*.*:1194
Fri Oct 12 10:15:04 2007 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Fri Oct 12 10:15:05 2007 PUSH: Received control message: 'PUSH_REPLY,route-gateway 192.168.1.2,ping 10,ping-restart 120,ifconfig 192.168.1.51 255.255.255.0'
Fri Oct 12 10:15:05 2007 OPTIONS IMPORT: timers and/or timeouts modified
Fri Oct 12 10:15:05 2007 OPTIONS IMPORT: --ifconfig/up options modified
Fri Oct 12 10:15:05 2007 OPTIONS IMPORT: route options modified
Fri Oct 12 10:15:05 2007 Preserving previous TUN/TAP instance: Connexion au réseau local 2
Fri Oct 12 10:15:05 2007 Initialization Sequence Completed |
Voila je vois pas ou ca cloche, si vous avez une idée et pouvez vous me confirmer que la meilleure solution pour connecter deux réseaux d'environ 10 machines est le mode briged ?
Merci encore |
|
| Back to top |
|
|
loopx
Advocate
Joined: 01 Apr 2005
Posts: 2787
Location: Belgium / Liège
|
| Posted: Fri Oct 12, 2007 9:18 am Post subject: |
|
|
Je saurais pas trop t'aider, mais ca doit venir du coté d'iptables peut etre...
_________________
Mon MediaWiki perso : http://pix-mania.dyndns.org |
|
| Back to top |
|
|
sd44
Apprentice
Joined: 21 Jul 2007
Posts: 277
Location: Nantes 44
|
| Posted: Fri Oct 12, 2007 9:32 am Post subject: |
|
|
dans ta config server
| Code: | # route 192.168.1.0 255.255.255.0 10.8.0.2
# push "route 192.168.0.0 255.255.255.0"
|
je ne suis pas spécialiste du mode bridge mais ne faut'il pas mettre des routes ?
d'autre part peux tu me donner le contenu du fichier /etc/conf.d/net ainsi que la commande "route"
_________________
Pourquoi faire simple quand on peut faire compliqué ? |
|
| Back to top |
|
|
Ascodas
Apprentice
Joined: 18 Nov 2004
Posts: 263
|
| Posted: Fri Oct 12, 2007 9:57 am Post subject: |
|
|
| sd44 wrote: | dans ta config server
| Code: | # route 192.168.1.0 255.255.255.0 10.8.0.2
# push "route 192.168.0.0 255.255.255.0"
|
je ne suis pas spécialiste du mode bridge mais ne faut'il pas mettre des routes ?
d'autre part peux tu me donner le contenu du fichier /etc/conf.d/net ainsi que la commande "route" |
Et oui c'est bien ce que je me dis mais dans les tutos sur le bridge pas une ligne sur les routes (réservé au mode route) ici ca semble se faire via les ponts :
Mon /etc/conf.d/net
| Code: | # This blank configuration will automatically use DHCP for any net.*
# scripts in /etc/init.d. To create a more complete configuration,
# please review /etc/conf.d/net.example and save your configuration
# in /etc/conf.d/net (this file :]!).
config_eth1=( "10.10.1.2 netmask 255.255.255.0 brd 10.10.1.255" )
#routes_eth2=( "default gw 10.10.1.1" )
#routes_eth0=( "default gw 192.168.1.1" )
#config_eth0=( "10.0.0.1 netmask 255.255.255.0 brd 10.0.0.255" )
#config_eth2=( "192.168.1.2 netmask 255.255.255.0 brd 192.168.1.255" )
# routes_eth2=( "default gw 192.168.1.1" )
depend_br0() {
need net.tap0 net.eth1
}
tuntap_tap0="tap"
config_eth1=( "null" )
config_tap0=( "0.0.0.0 promisc" )
bridge_br0="eth1 tap0"
# or dynamically add them when the interface comes up
#bridge_add_eth0="br0"
config_br0=( "192.168.1.2" )
routes_br0=( "default gw 192.168.1.1" ) |
Mes routes sur le serveur (la ca doit clocher car aucun signe de la classe 192.168.0.*)
| Code: | Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
192.168.1.0 * 255.255.255.0 U 0 0 0 br0
loopback * 255.0.0.0 U 0 0 0 lo
default 192.168.1.1 0.0.0.0 UG 1000 0 0 br0 |
Sur le client XP :
les routes :
| Code: |
===========================================================================
Liste d'Interfaces
0x1 ........................... MS TCP Loopback interface
0x20003 ...02 ff b3 c1 e9 f0 ...... Miniport de pont MAC - Miniport d'ordonnancement de paquets
===========================================================================
===========================================================================
Itin‚raires actifsÿ:
Destination r‚seau Masque r‚seau Adr. passerelle Adr. interface M‚trique
0.0.0.0 0.0.0.0 192.168.0.200 192.168.0.203 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.203 192.168.0.203 20
192.168.0.203 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.255 255.255.255.255 192.168.0.203 192.168.0.203 20
192.168.1.0 255.255.255.0 192.168.0.200 192.168.0.203 1
224.0.0.0 240.0.0.0 192.168.0.203 192.168.0.203 20
255.255.255.255 255.255.255.255 192.168.0.203 192.168.0.203 1
Passerelle par d‚fautÿ: 192.168.0.200
===========================================================================
Itin‚raires persistantsÿ:
Adresse r‚seau Masque r‚seau Adresse passerelle M‚trique
192.168.1.0 255.255.255.0 192.168.0.200 1 |
l'ip affecté sur mon client XP est 192.168.1.51 et son adresse sur le LAN local est 192.168.0.203 et le modem passerelle 192.168.0.200, ici on a bien une route vers le LAN distant en 192.168.1.* via le modem.
Merci |
|
| Back to top |
|
|
Ascodas
Apprentice
Joined: 18 Nov 2004
Posts: 263
|
| Posted: Fri Oct 12, 2007 6:57 pm Post subject: |
|
|
Résolu avec cette conf :
| Code: | local 192.168.1.2
port 1194
proto udp
dev tap0
ca privnet/ca.crt
cert privnet/server.crt
key privnet/server.key
dh privnet/dh1024.pem
server-bridge 192.168.1.2 255.255.255.0 192.168.1.100 192.168.1.150
ifconfig-pool-persist ipp.txt
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 192.168.1.1"
keepalive 10 120
comp-lzo
max-clients 10
user nobody
group nobody
persist-key
persist-tun
status /tmp/openvpn-status.log
log-append /var/log/openvpn.log
verb 6 |
|
|
| Back to top |
|
|
|
French
