Forum Clubic

Problème route pour openvpn

Bonjour,

J’essaye de monter un tunnel openvpn entre 2 sites (entre chez moi et ma boite) pour remplacer un routeur VPN ipsec qui a laché.

J’en profite de ce laps de temps pour essayer de me depanner car cela risque de prendre du temps d’avoir son remplacant.

Donc le principe de mon réseau:
Site principal : 192.168.120.0/24
site distant (chez moi) : 192.168.65.0/24

Sur le site principal : le serveur qui va etre utilisé est un ubuntu server 12.04 (eth3 en 192.168.120.11)
Le client distant sera un bete XP

J’ai fait 2 essais:

  • la premier j’ai voulu creer la connexion Inter site avec des adresses en 192.168.120.x. J’ai donc configurer la conf du serveur en indiquant comme adresse : “server 192.168.120.0 255.255.255.0”
    Il a prit comme prévu l’adresse 192.168.120.1, malheureusement la config des routes provoquait un sérieux problème puis le serveur etait inacessible sur Internet ou sur le reseau. J’ai donc tout casser d’ou mon 2eme essais

  • j’ai un reseau intermediaire entre les sites en 10.8.0.0. Le serveur est donc en 10.8.0.1 et le client en 10.8.0.6.
    le ping du client sur l’adresse 10.8.0.1 ou 192.168.120.11 fonctionne. Par contre le reste du réseau est innacessible

Recap des adresse:
serveur : 192.168.120.11 ou 10.8.0.1
client : 192.168.65.4 ou 10.8.0.6

voici le route de chaque coté:

coté serveur:
Destination Passerelle Genmask Indic Metric Ref Use Iface
default 192.168.120.254 0.0.0.0 UG 100 0 0 eth3
10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
10.8.0.2 * 255.255.255.255 UH 0 0 0 tun0
192.168.65.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
192.168.120.0 * 255.255.255.0 U 0 0 0 eth3

coté client:
Itinéraires actifs :
Destination réseau Masque réseau Adr. passerelle Adr. interface Métri
0.0.0.0 0.0.0.0 192.168.65.1 192.168.65.4 20
10.8.0.1 255.255.255.255 10.8.0.5 10.8.0.6 31
10.8.0.4 255.255.255.252 On-link 10.8.0.6 286
10.8.0.6 255.255.255.255 On-link 10.8.0.6 286
10.8.0.7 255.255.255.255 On-link 10.8.0.6 286
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
169.254.0.0 255.255.0.0 192.168.65.13 192.168.65.4 21
169.254.0.0 255.255.0.0 On-link 10.8.0.6 306
169.254.255.255 255.255.255.255 On-link 10.8.0.6 286
192.168.65.0 255.255.255.0 On-link 192.168.65.4 276
192.168.65.4 255.255.255.255 On-link 192.168.65.4 276
192.168.65.255 255.255.255.255 On-link 192.168.65.4 276
192.168.120.0 255.255.255.0 10.8.0.5 10.8.0.6 31
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.65.4 276
224.0.0.0 240.0.0.0 On-link 10.8.0.6 286
224.0.0.0 240.0.0.0 On-link 192.168.120.58 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.65.4 276
255.255.255.255 255.255.255.255 On-link 10.8.0.6 286
255.255.255.255 255.255.255.255 On-link 192.168.120.58 276

Itinéraires persistants :
Adresse réseau Masque réseau Adresse passerelle Métrique
169.254.0.0 255.255.0.0 192.168.65.13 1

extrait conf du serveur:

server 10.8.0.0 255.255.255.0

push “route 192.168.120.0 255.255.255.0”

Au final j’ai donc 2 questions:

  • pourquoi le reste du réseau est innacessible sachant que j’ai creer une route sur le routeur site principal qui indique quand il y a une demande en 192.168.65.0/24, il doit renvoyer à l’adresse 192.168.120.11
  • Que faut il faire pour que l’ensemble des postes de mon site distant puisse avoir accès au reseau en 192.168.120.0/24 par l’intermédiaire du poste client openvpn. J’ai creer aussi un route qui indique que tout ce qui est 192.168.120.0/24 je le route sur l’adresse 192.168.65.4, mais aucun resultat de ping y compris l’adresse du 192.168.120.11 qui est le serveur openvpn

merci d’avance

Bonjour, tu n’aurais pas un firewall au milieu ? car si j’ai bien compris tu as changé des adresses IP.

Oui chaque routeur a le firewall activé, mais je l’ai programme pour laisse passe le port openvpn que j’utilise.

De plus le ping du client sur le serveur sur ces 2 adresses (interface openvpn et LAN) fonctionnent

au de la du serveur ou du client il y un simple switch aucun autre firewall existe

J’ai un peu du mal à bien visualiser ta configuration, en quelle IP sont les clients (ceux qui ne sont pas accessibles), ils n’y aurait pas un pb de passerelle ?

le client openvpn ne ping aucune autre adresse que le serveur openvpn en 192.168.120.11.

par exemple, le 192.168.120.4 ne repond pas.

Que l’on soit bien d’accord: il n’y a pas d’autres clients openvpn. Il ny’en au’un (chez moi) et il n’y en aura pas d’autres

Regarde au niveau de la config IP de ton client openvpn, si la passerelle est bonne, sinon il manque surement une route sur ton serveur, mais je ne vois pas laquelle

il faudrait voir avec un analyseur de paquet si ton ping arrive à destination ou non. Sil il arrive pas il faut voir si ton serveur a bien son parametre /proc/sys/net/ip_v4/ip_forward à 1.
Si il arrive c’est peut-être le pong qui ne sait pas quel chemin suivre et il faut regarder les routes sur les postes en 192.168.120.X

ip_forward est a 0

c’est de la d’ou pourrait venir le pb?

oui tout a fait tes cartes ne communiquent pas ensemble
tu fais un
sudo sh -c “echo 1 > /proc/sys/net/ip_v4/ip_forward”
et par la suite tu vérifies que la requête ping arrive à destination. Idem pour le pong
Edité le 02/09/2013 à 19:36

PS: Il faut ajouter cette ligne à ton /etc/sysctl.conf pour prendre en compte la modification au démarrage
net.ipv4.ip_forward = 1