This is a multi-part message in MIME format.
Cela s'appelle du routage, iproute2 installé d'office, fait cela en
faisant du marquage. Sinon wireguard permet également de router via sa configuration
Le 09/07/2023 à 14:11,
[email protected] a écrit :
Bonjour,
Je peux me connecter à un serveur openvpn en CLI (sudo openvpn
truc.conf) ou par le GUI (gnome VPN settings : clic).
Je vois cette connexion client sur le serveur (10.0.0.x).
$ ip addr
2: enp0s25: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc
pfifo_fast master br0 state UP group default qlen 1000
link/ether 78:e7:d1:85:f0:79 brd ff:ff:ff:ff:ff:ff
3: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state
UP group default qlen 1000
link/ether 92:fc:e6:5d:91:eb brd ff:ff:ff:ff:ff:ff
inet 192.168.1.153/24 brd 192.168.1.255 scope global noprefixroute br0 valid_lft forever preferred_lft forever
inet6 2a02:.................................... /64 scope global dynamic noprefixroute
valid_lft 604402sec preferred_lft 604402sec
inet6 fe80::.................../64 scope link noprefixroute valid_lft forever preferred_lft forever
...
21: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc
pfifo_fast state UNKNOWN group default qlen 500
link/none
inet 10.0.0.2 peer 10.0.0.5/32 scope global tun0
valid_lft forever preferred_lft forever
inet6 fe80::................................./64 scope link stable-privacy
valid_lft forever preferred_lft forever
Oui, il y a un bridge car j'avais du utiliser ce mécanisme pour me
tirer d'un problème de connexion. Avec nmcli.
Ça fonctionne bien ainsi depuis des années.
Malgré le tunnel, depuis un autre terminal ou depuis un navigateur ma machine a toujours la même adresse IP (celle publique fournie par mon opérateur), bien que je sois connecté au vpn.
Je suis autonome en réseau pour des choses ordinaires.
Là c'est plus compliqué...
Voici le fichier .ovpn (freebox) qui bascule toutes les cnx de la
machine dans le VPN (sans les certificats)
client
remote $REMOTE_IP 6504
proto udp
nobind
dev-type tun
pull
dev tun0
redirect-gateway
auth-user-pass login.txt
auth-retry interact
fragment 1452
mssfix 1452
explicit-exit-notify 3
remote-cert-tls server
verify-x509-name "C=FR, O=Freebox SA, CN=Freebox OpenVPN server xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
cipher AES-256-CBC
Et celui qui ne fait pas ce que j'attends :
dev tun
tls-client
remote $REMOTE_IP 1195
pull
proto udp
script-security 2
comp-lzo
reneg-sec 0
cipher AES-256-CBC
auth SHA512
auth-user-pass
Le fichier .opvpn m'est fourni par le détenteur du serveur openvpn.
Je ne suis pas expert en openvpn bien qu'autonome pour l'utiliser.
Je me dis que le problème vient de ce fichier de configuration openvpn.
Je fouille donc du côté d'openvpn "Comment router tout le trafic d'une machine dans un tunnel openvpn"...
Résultat :
Il se pourrait que ce soit la directive suivante qui permette de
router tout le trafic dans le tunnel vpn :
redirect-gateway
ou
redirect-gateway def1
Ou
push "redirect-gateway"
push "redirect-gateway def1"
Qu'en pensez-vous ?
Quelle est la manière de faire ça proprement ?
- sans modifier le fichier .opvpn fourni
- en le modifiant a minima (ex : ajouter la directive redirect-gateway)
Je vais plus loin :
J'ai souvent besoin de me connecter à diverses machines en CLI ou avec
un navigateur via un tunnel.
Je sais faire ça successivement mais pas simultanément.
Je veux éviter de devoir gérer successivement chaque tunnel unique.
J'ai aussi des connexions RDP actives qui doivent rester hors des tunnels.
Comment puis-je router SIMULTANEMENT le trafic de tel terminal, ou
telle fenêtre de navigateur dans le tunnel ssh/vpn qui LUI correspond,
sans toucher au trafic des autres connexions (RDP, etc.) ?
Ça c'est du vrai réseau, pas ordinaire (pour moi)...!
Merci.
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p>Cela s'appelle du routage, iproute2 installé d'office, fait cela
en faisant du marquage. Sinon wireguard permet également de router
via sa configuration <br>
</p>
<div class="moz-cite-prefix">Le 09/07/2023 à 14:11,
<a class="moz-txt-link-abbreviated" href="mailto:
[email protected]">
[email protected]</a> a écrit :<br>
</div>
<blockquote type="cite"
cite="mid:
[email protected]">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<div style="font-family: arial, helvetica, sans-serif; font-size:
12pt; color: #000000">
<div>Bonjour,<br data-mce-bogus="1">
</div>
<div><br data-mce-bogus="1">
</div>
<div>Je peux me connecter à un serveur openvpn en CLI (sudo
openvpn truc.conf) ou par le GUI (gnome VPN settings : clic).<br
data-mce-bogus="1">
</div>
<div><br data-mce-bogus="1">
</div>
<div>Je vois cette connexion client sur le serveur (10.0.0.x).<br
data-mce-bogus="1">
</div>
<div><br data-mce-bogus="1">
</div>
<div><span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;">$ ip addr</span><br>
</div>
<div><span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;">2: enp0s25:
<BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc
pfifo_fast master br0 state UP group default qlen 1000</span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"> link/ether
78:e7:d1:85:f0:79 brd ff:ff:ff:ff:ff:ff</span><br>
</div>
<div><br data-mce-bogus="1">
</div>
<div><span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;">3: br0:
<BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc
noqueue state UP group default qlen 1000</span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"> link/ether
92:fc:e6:5d:91:eb brd ff:ff:ff:ff:ff:ff</span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"> inet
192.168.1.153/24 brd 192.168.1.255 scope global
noprefixroute br0</span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"> valid_lft
forever preferred_lft forever</span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"> inet6
2a02:.................................... /64 scope global
dynamic noprefixroute </span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"> valid_lft
604402sec preferred_lft 604402sec</span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"> inet6
fe80::.................../64 scope link noprefixroute </span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"> valid_lft
forever preferred_lft forever</span><br>
...<br data-mce-bogus="1">
</div>
<div><span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;">21: tun0:
<POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500
qdisc pfifo_fast state UNKNOWN group default qlen 500</span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"> link/none </span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"> inet 10.0.0.2
peer 10.0.0.5/32 scope global tun0</span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"> valid_lft
forever preferred_lft forever</span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"> inet6
fe80::................................./64 scope link
stable-privacy </span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"> valid_lft
forever preferred_lft forever</span><br>
<br data-mce-bogus="1">
</div>
<div><br data-mce-bogus="1">
</div>
<div>
<div>
<div>
<div>Oui, il y a un bridge car j'avais du utiliser ce
mécanisme pour me tirer d'un problème de connexion. Avec
nmcli.</div>
<div>Ça fonctionne bien ainsi depuis des années.<br
data-mce-bogus="1">
</div>
</div>
</div>
<div><br data-mce-bogus="1">
</div>
</div>
<div>Malgré le tunnel, depuis un autre terminal ou depuis un
navigateur ma machine a toujours la même adresse IP (celle
publique fournie par mon opérateur), bien que je sois connecté
au vpn.<br data-mce-bogus="1">
</div>
<div><br data-mce-bogus="1">
</div>
<div>
<div>
<div>Je suis autonome en réseau pour des choses <span
style="text-decoration: underline;"
data-mce-style="text-decoration: underline;">ordinaires</span>.</div>
<div>Là c'est plus compliqué...<br>
</div>
<div><br data-mce-bogus="1">
</div>
<div><br data-mce-bogus="1">
</div>
<div>Voici le fichier .ovpn (freebox) qui bascule toutes les
cnx de la machine dans le VPN (sans les certificats)<br
data-mce-bogus="1">
</div>
<div><br data-mce-bogus="1">
</div>
<div><span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier,
monaco, monospace, sans-serif; font-size: 11pt;">client</span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier,
monaco, monospace, sans-serif; font-size: 11pt;">remote
$REMOTE_IP 6504</span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier,
monaco, monospace, sans-serif; font-size: 11pt;">proto
udp</span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier,
monaco, monospace, sans-serif; font-size: 11pt;">nobind</span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier,
monaco, monospace, sans-serif; font-size: 11pt;">dev-type
tun</span><br>
<br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier,
monaco, monospace, sans-serif; font-size: 11pt;">pull</span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier,
monaco, monospace, sans-serif; font-size: 11pt;">dev
tun0</span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier,
monaco, monospace, sans-serif; font-size: 11pt;">redirect-gateway</span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier,
monaco, monospace, sans-serif; font-size: 11pt;">auth-user-pass
login.txt</span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier,
monaco, monospace, sans-serif; font-size: 11pt;">auth-retry
interact</span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier,
monaco, monospace, sans-serif; font-size: 11pt;">fragment
1452</span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier,
monaco, monospace, sans-serif; font-size: 11pt;">mssfix
1452</span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier,
monaco, monospace, sans-serif; font-size: 11pt;">explicit-exit-notify
3</span><br>
<br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier,
monaco, monospace, sans-serif; font-size: 11pt;">remote-cert-tls
server</span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier,
monaco, monospace, sans-serif; font-size: 11pt;">verify-x509-name
"C=FR, O=Freebox SA, CN=Freebox OpenVPN server
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"</span><br>
<br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier,
monaco, monospace, sans-serif; font-size: 11pt;">cipher
AES-256-CBC</span><br data-mce-bogus="1">
</div>
<div><br data-mce-bogus="1">
</div>
<div><br data-mce-bogus="1">
</div>
<div>Et celui qui ne fait pas ce que j'attends :<br
data-mce-bogus="1">
</div>
<div><br data-mce-bogus="1">
</div>
<div><span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier,
monaco, monospace, sans-serif; font-size: 11pt;">dev tun</span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier,
monaco, monospace, sans-serif; font-size: 11pt;">tls-client</span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier,
monaco, monospace, sans-serif; font-size: 11pt;">remote
$REMOTE_IP 1195</span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier,
monaco, monospace, sans-serif; font-size: 11pt;">pull</span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier,
monaco, monospace, sans-serif; font-size: 11pt;">proto
udp</span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier,
monaco, monospace, sans-serif; font-size: 11pt;">script-security
2</span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier,
monaco, monospace, sans-serif; font-size: 11pt;">comp-lzo</span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier,
monaco, monospace, sans-serif; font-size: 11pt;">reneg-sec
0</span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier,
monaco, monospace, sans-serif; font-size: 11pt;">cipher
AES-256-CBC</span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier,
monaco, monospace, sans-serif; font-size: 11pt;">auth
SHA512</span><br>
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif; font-size: 11pt;"
data-mce-style="font-family: courier new, courier,
monaco, monospace, sans-serif; font-size: 11pt;">auth-user-pass</span><br
data-mce-bogus="1">
</div>
<div><br data-mce-bogus="1">
</div>
<div><br data-mce-bogus="1">
</div>
<div>
<div>Le fichier .opvpn m'est fourni par le détenteur du
serveur openvpn.</div>
Je ne suis pas expert en openvpn bien qu'autonome pour
l'utiliser.</div>
<div><br data-mce-bogus="1">
</div>
<div>Je me dis que le problème vient de ce fichier de
configuration openvpn.</div>
<br>
<div>Je fouille donc du côté d'openvpn "Comment router tout
le trafic d'une machine dans un tunnel openvpn"...<br
data-mce-bogus="1">
</div>
<div><br data-mce-bogus="1">
</div>
<div>Résultat : </div>
<div>Il se pourrait que ce soit la directive suivante qui
permette de router tout le trafic dans le tunnel vpn :<br
data-mce-bogus="1">
</div>
<div><span style="font-family: courier new, courier, monaco,
monospace, sans-serif;" data-mce-style="font-family:
courier new, courier, monaco, monospace, sans-serif;">
redirect-gateway</span><br>
</div>
</div>
<div>ou</div>
<div>
<div>
<div><span style="font-family: courier new, courier,
monaco, monospace, sans-serif;"
data-mce-style="font-family: courier new, courier,
monaco, monospace, sans-serif;"> redirect-gateway
def1</span><br>
</div>
</div>
</div>
<div>Ou</div>
<div>
<div> <span style="font-family: courier new, courier,
monaco, monospace, sans-serif;"
data-mce-style="font-family: courier new, courier,
monaco, monospace, sans-serif;">push "redirect-gateway"</span></div>
<div>
<div> <span style="font-family: courier new, courier,
monaco, monospace, sans-serif;"
data-mce-style="font-family: courier new, courier,
monaco, monospace, sans-serif;">push "redirect-gateway
def1"</span></div>
<div><br data-mce-bogus="1">
</div>
<div>Qu'en pensez-vous ?<br data-mce-bogus="1">
</div>
<div><br data-mce-bogus="1">
</div>
<div>Quelle est la manière de faire ça proprement ?<br
data-mce-bogus="1">
</div>
<div>- sans modifier le fichier .opvpn fourni<br
data-mce-bogus="1">
</div>
<div>- en le modifiant a minima (ex : ajouter la directive
<span style="font-family: courier new, courier, monaco,
monospace, sans-serif;" data-mce-style="font-family:
courier new, courier, monaco, monospace, sans-serif;">redirect-gateway</span>)<br
data-mce-bogus="1">
</div>
</div>
</div>
<div><br data-mce-bogus="1">
</div>
<div><br data-mce-bogus="1">
</div>
<div>Je vais plus loin :<br data-mce-bogus="1">
</div>
<div>J'ai souvent besoin de me connecter à diverses machines
en CLI ou avec un navigateur via un tunnel.<br
data-mce-bogus="1">
</div>
<div>Je sais faire ça successivement mais pas simultanément.<br
data-mce-bogus="1">
</div>
<div><br data-mce-bogus="1">
</div>
<div>Je veux éviter de devoir gérer successivement chaque
tunnel unique.</div>
<div>J'ai aussi des connexions RDP actives qui doivent rester
hors des tunnels.<br data-mce-bogus="1">
</div>
<div><br data-mce-bogus="1">
</div>
<div>Comment puis-je router SIMULTANEMENT le trafic de tel
terminal, ou telle fenêtre de navigateur dans le tunnel
ssh/vpn qui LUI correspond, sans toucher au trafic des
autres connexions (RDP, etc.) ?<br data-mce-bogus="1">
</div>
<div>Ça c'est du vrai réseau, pas ordinaire (pour moi)...!<br
data-mce-bogus="1">
</div>
<div><br data-mce-bogus="1">
</div>
<div>Merci.<br data-mce-bogus="1">
</div>
<div><br data-mce-bogus="1">
</div>
</div>
</div>
</blockquote>
</body>
</html>
--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)