Probleme de pont/connexion avec OpenVPN [Résolu/Fermé]

Signaler
Messages postés
51
Date d'inscription
vendredi 16 mars 2007
Statut
Membre
Dernière intervention
24 août 2007
-
 van -
Bonjour,

voila, je suis sur un reseau de grande entreprise avec des DHCP pour les hotes (9.x.x.x) et je souhaiterai creer une connexion VPN vers une salle serveurs adressee en adressage prive.
J'utilise OpenVPN et j'arrive a me connecter de ma station vers le serveur qui me sert de passerelle pour entrer dans la salle serveurs, en gros, le server.conf se lance, le client.conf aussi, j'obtiens mes adresses et les routes et je ping le br0 de la passerelle.
Par contre, impossible d'aller derriere, pour acceder les autres serveurs...la passerelle a l'air coupe du reste de la salle. Je ne peux pas "pinguer" les autres serveurs... (iptables -A TOUT -j ACCEPT, c'est pour des tests pour le momemt)
comment est ce que je peux me sortir de ca svp ?

je resume la situation, en esperant que ca eclaire des gens...
AVANT:
client (9.x.x.x/25) ====== (9.x.x.x/25) server (192.168.100.91/24 (br0=tap0+eth2)) ===== (192.168.100.93/24) server2

APRES CONNEXION OPENVPN:
client (192.168.100.2/24) ===== (9.x.x.x/25) server (192.168.100.91/24 (br0=tap0+eth2)) ===== (192.168.100.93/24) server2

une fois la connexion etablie, je "ping" correctement depuis "client" vers l'interface br0 de server.
des que je fais le pont (br0), server ne communique plus avec server2 (pas de reponses aux requetes arp "whois" avec tcpdump par exemple)

si kkun pouvait me dire quoi faire, ca serait top

merci d'avance

Toeic

6 réponses

Messages postés
17747
Date d'inscription
mardi 3 juillet 2001
Statut
Modérateur
Dernière intervention
11 mars 2015
130
Je pense que tu as un soucis de plages réseau.
Quand tu fait un VPN, il faut que tu aies des subnets bien séparés. Essaie de mettre tes clients dans la plage 192.168.200.0/24 par exemple
Messages postés
51
Date d'inscription
vendredi 16 mars 2007
Statut
Membre
Dernière intervention
24 août 2007
2
je joins mes fichiers de configuration pour encore plus de clarte:

server.conf
local 9.x.x.x
proto udp
port 11194
dev tap0
keepalive 10 120
#daemon
writepid /var/run/openvpn.pid
comp-lzo
max-clients 10
push "route 192.168.100.0 255.255.255.0"
server-bridge 192.168.200.91 255.255.255.0 192.168.200.2 192.168.200.50
user nobody
group nobody
persist-key
persist-tun
verb 4
mute 5
client-to-client
duplicate-cn
cipher BF-CBC
tls-server
####### keys #######
tls-auth keys/ta.key 0
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh1024.pem
####################
status log/status.log
#log-append log/openvpn.log


client.conf
client
dev tap
proto udp
remote 9.x.x.x 11194
resolv-retry infinite
nobind                          #assign dynamically client's port
persist-key
persist-tun
ns-cert-type server
comp-lzo
#daemon
writepid /var/run/openvpn.pid
verb 3
mute 5
tls-client
##########keys##########
tls-auth keys/ta.key 1
ca keys/ca.crt
cert keys/client.crt
key keys/client.key
########################
cipher BF-CBC
pull
status log/status.log
#log-append log/openvpn.log


l'erreur vient peut etre de mon pont aussi, j'arrive pas a voir precisement quelles interfaces il faut mettre dedans, j'ai "ponte" mon eth2 (vers les autres serveurs) avec tap0 (l'extremite de mon tunnel) en br0:
brctl addbr br0
brctl addif br0 eth2
brctl addif br0 tap0
ifconfig tap0 0.0.0.0 promisc up
ifconfig eth2 0.0.0.0 promisc up
ifconfig br0 192.168.200.91 up



j'ai essaye de changer mes adresses en 200 sans resultats, c'est bien la partie server-bridge qu'il fallait modifier ?

merci d'avance
Toeic
Messages postés
17747
Date d'inscription
mardi 3 juillet 2001
Statut
Modérateur
Dernière intervention
11 mars 2015
130
Nan... je vois pas trop pourquoi faire du bridge... Du routage serait plus approprié non?
Il faut que ton client (la machine distante) soit dans le lan 192.168.200.x
Tu actives le routage sur ton serveur vpn
Et normalement tout roule
Messages postés
51
Date d'inscription
vendredi 16 mars 2007
Statut
Membre
Dernière intervention
24 août 2007
2
J'ai lu partout qu'il fallait "bridger" ses interfaces pour pouvoir joindre un reseau derriere un VPN ( utilisateur nomade pas exclu dans ma config).
C'est pour cela que j'ai tente dans cette direction, mais si c'est inutile, tant mieux...
Messages postés
17747
Date d'inscription
mardi 3 juillet 2001
Statut
Modérateur
Dernière intervention
11 mars 2015
130
Bah j'ai jamai bridgé, maintenant je me vautre peut être :D
Messages postés
51
Date d'inscription
vendredi 16 mars 2007
Statut
Membre
Dernière intervention
24 août 2007
2
hehe, OK, ben vais tenter sans alors...
Messages postés
51
Date d'inscription
vendredi 16 mars 2007
Statut
Membre
Dernière intervention
24 août 2007
2
Alors je confirme, pas besoin de "bridger" les interfaces sur le serveur pour que le reseau qui est derriere le serveur VPN soit atteignable...

j'ai fait sauter le pont, j'ai remis l'ancienne adresse IP de mon interface eth2 et une fois le tunnel connecte entre mon client et mon serveur, j'ai pu "pinger" une des machines situee derriere mon serveur. le ping ne fonctionnait plus des lors que j'ai coupe le tunnel et a repris automatiquement des que j'ai relance le tunnel...
Messages postés
17747
Date d'inscription
mardi 3 juillet 2001
Statut
Modérateur
Dernière intervention
11 mars 2015
130 >
Messages postés
51
Date d'inscription
vendredi 16 mars 2007
Statut
Membre
Dernière intervention
24 août 2007

Cool je me suis pas vautré ^^
Bonjour,
cependant, avec un routed ip, on ne peux aps faire circuler certain packet tell que dhcp. alors bridge est toujours plus reocmemnder