Des nouvelles?
Soucis VPN sur un serveur ikoula
- Modifié
Oui il demande les codes(je suis en clés ssh ...) pour accéder a la machine. Faudrait que @Ikoula passe sur le discord le temps du support ...
Sinon je laisse comme ça pour le moment.
Si un jour un gars fait un Proxmox sur l'un de leur serveurs avec un serveur VPN, ils verront bien que mondedie sera down.
Ou arriver à leur donner des logs sur ce qui se passe au moment que je contact mondedie via le VPN
(j'ai bien tenter de faire un tcpdump j'arrive pas à bien l'utiliser pour avoir la bonne donnée à leur donner)
Si jamais quelle un se débrouille sur le débug réseaux je suis preneur ^^
Plop,
Quel techno de serveur VPN ?
Installé comment ?
Depuis ton hôte ET ces CT/VM, sans le VPN, tu arrives à pinger MDD/IKOULA ? Tu peux partager les logs de ton client VPN ?
Avec VPN, peux-tu poster les retours de
traceroute www.ikoula.com / traceroute www.mondedie.fr / wget https://ipv4.ikoula.testdebit.info/1G.iso
Pour tcpdump, tu peux par exemple tester ces commandes
tcpdump dst 213.246.63.45
tcpdump -i <ton interface VPN> et tentes de surfer ici ou sur IKOULA
Magicalex Et question bête vous arrivez à le ping depuis votre serveur de mondedie?
Est-ce que ça serait pas tout bêtement une ACL ou un blocage firewall côté Ikoula. Un truc qui aurait été mis pour empêcher le broadcast sur le même sous réseau par exemple mais qui par erreur aurait tout bloqué.
Après ça serait quand même fou qu'un serveur de leur réseau ne puisse pas accéder à un autre serveur de leur propre réseau.
- Modifié
Salut @Aerya
Voici les différents log:
1 23 ms 22 ms 22 ms 10.2.2.1
2 22 ms 22 ms 22 ms 10.0.0.1
3 22 ms 26 ms 22 ms ik039003.ikoula.com [178.170.39.3]
4 * * * Délai d’attente de la demande dépassé.
5 * * * Délai d’attente de la demande dépassé.
6 * * * Délai d’attente de la demande dépassé.
7 * * * Délai d’attente de la demande dépassé.
8 * * * Délai d’attente de la demande dépassé.
9 * * * Délai d’attente de la demande dépassé.
10 * * * Délai d’attente de la demande dépassé.
etc .. etc.... Sans finLe tracert pour mondedie
Détermination de l’itinéraire vers thunderbolts.mondedie.fr [178.170.XX.XXmondedie]
avec un maximum de 30 sauts :
1 25 ms 22 ms 22 ms 10.2.2.1
2 22 ms 22 ms 23 ms 10.0.0.1
3 monhôte.ikexpress.com [178.170.XX,XX] rapports : Impossible de joindre l’hôte de destination.Pour l'ipv4
depuis une vm il télécharge le lien, pareil depuis le vpn
Je me suis dit la même chose ... Quand j'ai vu que ikoula n'était pas joignable non plus.
Merci à vous 
- Modifié
Bon bah... ils ont fermé les portes oO
Peut-être pour empêcher (en mode rambo) toute tentative d'accès à leur Intranet ? Je suis impatient et curieux du retour de leur SAV.
Retour du support
Bonjour,
Nous voudrions faire un point avec vous concernant la situation actuelle sur le problème que vous rencontrez avec votre VPN.
Nous avons effectué une vérification sur votre compte et nous constatons que vous avez actuellement un serveur de type dédié.
Nous supposons donc que vous avez configurer un VPN de votre device à votre serveur pour sortir avec l'adresse ip public de votre serveur.
Par mesure de sécurité, nous effectuons une vérification des IP utilisé comme par exemple VPN pour ceux connecter à nos différentes interfaces de gestion client pour éviter tout problème.
En effectuant un ping sur le nom de domaine mondedie.fr , nous avons le retour ci-dessous:
ping mondedie.fr ~ 1
PING mondedie.fr (178.170.71.230): 56 data bytes
--- mondedie.fr ping statistics ---
6 packets transmitted, 0 packets received, 100% packet loss
Nous pouvons en déduire qu'un blocage a lieu sur la destination.
Etant donnée que l'adresse ip mondedie.fr ne vous ai pas attribué, nous ne pouvons pas vous donner d'informations confidentiel sur cette prestation.
Si vous connaissez la personne propriétaire, nous vous recommandons que celle-ci effectue une vérification des ports ouverts sur son serveur. Le meilleur moyen pour tester le bon fonctionnement et de mettre en place une règle ouverte pour toute les ips et sur un port comme une connexion sur le port ssh 22.
Nous vous indiquons aussi que même si des adresses ip appartiennent à un même / , celle-ci ne sont pas forcèment accessible car chaque client configure l'accès de sa propre manière ( nous n'imposons pas à nos clients l'utilisation de port obligatoire ou autre.)
Pourriez-vous nous indiquer le type de VPN ainsi que la configuration que vous avez mise en place sur celui-ci ?
Avez-vous effectué une vérification dans les logs du serveur de destination pour identifier si des paquets transiter par la ?
Vous avez indiqué sur votre forum que vous aviez mise en place un pfSense sur votre proxmox. Celui-ci servant de routeur/pare-feu dans votre infrastructure, avez-vous vérifier la configuration de celui-ci ?
En attente de votre retour avec les éléments que nous avons demandé ci-dessus, nous pourrons avancer dans la résolution de votre problème d'accès.
En vous souhaitant une bonne soirée.
- Modifié
tanguy
Pour dédouaner la configuration de ton Proxmox et pfSense, est ce que tu as la possibilité de démarrer ton serveur en mode Rescue.
Puis tu essaie d'établir un tunnel SSH jusqu'à ton serveur pour par la suite testé de contacter mondedie.fr et le site d'ikoula.
De cette manière, si ça ne fonctionne toujours pas, ta config ne pourra pas être remise en cause.
Par contre ils indiquent
Par mesure de sécurité, nous effectuons une vérification des IP utilisé comme par exemple VPN pour ceux connecter à nos différentes interfaces de gestion client pour éviter tout problème.
Ils n'ont pas détaillé comment s'effectué la vérification. On ne sait pas si c'est normal ou non que la connexion soit bloquée.
- Modifié
Ouais je t'avoue je suis pas trop chaud pour le mode rescue ^^
Je doit pouvoir le faire sans le mode rescue le tunelle ssh nop?
Mais vu que via une VM Ubuntu je peux pas joindre mondedie ça serais pareil nop ?
tanguy Le but du mode Rescue est de dédouaner ta conf Proxmox et pfSense.
Si tu éteint tout proprement, il n'y a pas de raison que tu ne puisse pas reprendre la main au redémarrage 
Le mode Rescue ne peut pas causer de problème à ton système actuel si tu ne monte pas les disques et que tu ne fais pas de modifications dessus.
C'est comme si tu bootais ton PC chez toi sur une clé USB Live en gros.
Une fois démarré tu obtiens des logins d'accès en SSH par la console de Ikoula, ou par mail (je ne connais pas leurs système).
Sous Windows, tu te connecte à ton serveur à l'aide de Putty avec les réglages suivants, dans putty : Connection > SSH > Tunnels.
Dans "source port" tu spécifie un port local sur ta machine non utilisé pour le tunnel, par exemple le port 1080.
Destination tu laisse vierge.
Ensuite selectionne Dynamic, et auto pour l'IPv4/IPv6.
Puis tu clique sur Add pour créer le port.
Ensuite tu établis ta connexion SSH sur ton serveur qui est rescue. Et des que tu es connecté, modifie les paramètres de proxy de ton navigateur internet.
Il faut indiquer sur la ligne Proxy Socks:
Adresse : localhost (ou 127.0.0.1) et le port 1080.
Tu valides, et tu peux ensuite vérifier que ça fonctionne en allant sur https://adresseip.com/
Tu devras retrouver l'adresse IP Publique de ton serveur.
Enfin vérifie l'accès à mondedie.fr et le site d'ikoula pour voir.
Tu peux également refaire un tests de pings et traceroutes.
Si ça fonctionne, c'est que le problème vient de ta configuration Proxmox et pfSense. Si c'est le cas, post ici t'es règles firewall sur les interfaces LAN, WAN et Openvpn de ton pfSense.
A+
- Modifié
Bon ça à l'air de marché avec le tunnel je comprend pas c'est le seul endroit ou ça coince
Pour la config elle viens essentiellement d'ici: https://blog.zwindler.fr/2020/03/09/proxmox-ve-6-pfsense-sur-un-serveur-dedie-2-3/
Mon iptables actif:
Chain INPUT (policy DROP 68 packets, 2072 bytes)
pkts bytes target prot opt in out source destination
0 0 UDP udp -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW
1 52 TCP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 ctstate NEW 16 1400 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
104 11655 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
413 290K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
18 952 ACCEPT tcp -- vmbr0 vmbr1 0.0.0.0/0 10.0.0.2
0 0 ACCEPT udp -- vmbr0 vmbr1 0.0.0.0/0 10.0.0.2
26 1677 ACCEPT all -- vmbr1 * 10.0.0.0/30 0.0.0.0/0
Chain OUTPUT (policy DROP 83 packets, 5008 bytes)
pkts bytes target prot opt in out source destination
16 1400 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
5 360 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * vmbr0 10.0.0.2 178.170.39.162
0 0 ACCEPT tcp -- * vmbr0 178.170.39.162 0.0.0.0/0 tcp dpt:22
54 3938 ACCEPT udp -- * vmbr0 178.170.39.162 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- * vmbr0 178.170.39.162 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT tcp -- * vmbr0 178.170.39.162 0.0.0.0/0 tcp dpt:443
47 6381 ACCEPT tcp -- * vmbr0 178.170.39.162 0.0.0.0/0 tcp spt:22
0 0 ACCEPT tcp -- * vmbr1 10.0.0.1 0.0.0.0/0 tcp spt:22
0 0 ACCEPT tcp -- * vmbr1 10.0.0.1 0.0.0.0/0 tcp spt:8006
Chain TCP (1 references)
pkts bytes target prot opt in out source destination
1 52 ACCEPT tcp -- vmbr0 * 0.0.0.0/0 178.170.39.162 tcp dpt:22
0 0 ACCEPT tcp -- vmbr1 * 0.0.0.0/0 10.0.0.1 tcp dpt:8006
0 0 ACCEPT tcp -- vmbr1 * 0.0.0.0/0 10.0.0.1 tcp dpt:22
Chain UDP (1 references)
pkts bytes target prot opt in out source destinationMa route:
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 178.170.39.1 0.0.0.0 UG 0 0 0 vmbr0
10.0.0.0 0.0.0.0 255.255.255.252 U 0 0 0 vmbr1
10.2.2.0 10.0.0.2 255.255.255.0 UG 0 0 0 vmbr1
178.170.0.0 0.0.0.0 255.255.0.0 U 0 0 0 vmbr0
192.168.10.0 10.0.0.2 255.255.255.0 UG 0 0 0 vmbr1Après le reste ce passe sur pfsense comme expliquer sur le lien du dessus.
La conf du VPN
dev tun
persist-tun
persist-key
cipher AES-128-CBC
ncp-disable
auth SHA256
tls-client
client
resolv-retry infinite
remote IP 18328 udp4
lport 0
verify-x509-name "IP" name
auth-user-pass
remote-cert-tls server
compress
En dessous les clésJe te remercie.
- Modifié
tanguy Je suis pas un expert en Proxmox, mais en survolant je vois rien qui me choque. Si quelqu'un d'autres peut vérifier aussi 
.
Par contre en pfSense j'ai pas mal debug. Tu peux envoyer un screen dès règles firewalls dès interfaces LAN, Wan et Openvpn stp? + la configuration des interfaces même WAN LAN et OPENVPN.
Merci à toi, on avance 
Edit : a mon sens cette route fait doublons avec la première, elle n'est pas utile :
178.170.0.0 0.0.0.0 255.255.0.0
Edit2 : Je viens de lire le tutoriel que tu as suivis. Et je ne vois pas le moment où on te demande de désactiver "Block Private Network" et "Block Bogon Network" dans ton interface WAN tout en bas de la page.
En effet ces deux règles sont utiles pour bloquer les IPs privés qui pourraient être routé en amont de ta connexion WAN. En théorie ça ne devrait pas arriver. Sauf QUE en amont, tu as ton Proxmox en 10.0.0.1 dans ton /30.
Est ce que tu peux décocher ces deux règles, valider. Et confirmer la validation tout en haut de la page. Puis restester l'accès à mondedie.fr et ikoula ?
Salut je te remercie par avance pour ton support
Voilà différente choses si il manque un truc n'hésite pas.
Déjà mon script pour les routes (si jamais y a un truc qui te choque)
#!/bin/sh
## IP forwarding activation
echo 1 > /proc/sys/net/ipv4/ip_forward
## Rediriger les paquets destinés au LAN pour l'interface WAN de la PFSense
ip route change 192.168.10.0/24 via 10.0.0.2 dev vmbr1
ip route add 10.2.2.0/24 via 10.0.0.2 dev vmbr1- Par contre en pfSense j'ai pas mal debug. Tu peux envoyer un screen dès règles firewalls dès interfaces LAN, Wan et Openvpn stp? + la configuration des interfaces même WAN LAN et OPENVPN.
Alors je voie pas trop ce que tu me demande du coup je t'envoie ce qu'il me semble logique ^^
Rules Wan :
https://prnt.sc/sa55qw
Rules LAN:
https://prnt.sc/sa55y7
Rules OPENVPN:
https://prnt.sc/sa564l
Config VPN:
https://prnt.sc/sa56bo
Interface WAN:
https://prnt.sc/sa51av
https://prnt.sc/sa51mo
Interface LAN:
https://prnt.sc/sa51uo
https://prnt.sc/sa51yd
PS: j'ai désactiver le bogon dans l'interface WAN ça na rien changer du coup j'ai activer les deux (pour test) ça ne marche pas non plus (par contre je peux me connecter sur mon compte ikoula) mais mondedie me reste inaccessible.
tanguy
Donc je récapitule :
Tu n'arrives pas à joindre mondedie.fr et la console ikoula depuis ton serveur quand tu es connecté en VPN.
Tu arrives correctement à joindre ces mêmes sites via un tunnel SSH lorsque tu as reboot ton serveur en mode rescue.
Décocher "Block private networks and loopback addresses" et "Block bogon networks" sur ton interface WAN, et valider la conf. Ne te permet toujours pas, en VPN de contacter ces sites là.
Est-ce que depuis ton hôte Proxmox tu arrives à les pings ?
Est-ce que tu peux ouvrir un port SSH sur ton proxmox via IPTABLES et non via pfsense. pour essayer d'accéder au net via un tunnel SSH sur ton proxmox. Et ensuite essayer de te connecter à mondedie et la console ikoula ?
Dans tous les cas, si ça a correctement fonctionné en mode rescue, le problème vient de la config, soit du IPTABLES sur Proxmox, soit du pfSense.
- Modifié
Re salut
- Tu n'arrives pas à joindre mondedie.fr et la console ikoula depuis ton serveur quand tu es connecté en VPN.
Tu arrives correctement à joindre ces mêmes sites via un tunnel SSH lorsque tu as reboot ton serveur en mode rescue.
Exacte
- Décocher "Block private networks and loopback addresses" et "Block bogon networks" sur ton interface WAN, et valider la conf. Ne te permet toujours pas, en VPN de contacter ces sites là.
Exacte j'ai tout tester cocher décocher mais rien n'a changer
- Est-ce que depuis ton hôte Proxmox tu arrives à les pings ?
Nop il ping pas
- Est-ce que tu peux ouvrir un port SSH sur ton proxmox via IPTABLES et non via pfsense. pour essayer d'accéder au net via un tunnel SSH sur ton proxmox. Et ensuite essayer de te connecter à mondedie et la console ikoula ?
Bah j'ai déjà un port ouvert ssh via iptables et non sur pfsense
- Dans tous les cas, si ça a correctement fonctionné en mode rescue, le problème vient de la config, soit du IPTABLES sur Proxmox, soit du pfSense.
Ouais je me doute bien mais bon ... vu que sais les seuls site qui passe pas :-/
bref t'embête pas plus je vais couper le serveur d'ici la fin du mois et voir ailleurs
Merci beaucoup pour ton coup de main dans tout les cas et avoir bien voulu te casser la tête pour mon soucie ^^