OPENVPN depuis mon kimsufi

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

OPENVPN depuis mon kimsufi

jean-luc

Bonjour;

Sur mon dédié (kimsufi ou j'ai rutorrent debian whezzy), j'avais installé openvpn, en m'étant inspiré de ce tuto :

http://blog.nicolargo.com/2010/10/installation-dun-serveur-openvpn-sous-debianubuntu.html

Pas de problèmes depuis des mois, je peux m'y connecter du domicile, surfer..etc..mon ip est bien celle de mon kimsufi
La seule chose de modifié, c'est le port du vpn 51926 au lieu de 443 du tuto.
côté serveur, j'ai les bonnes règles iptables tel que sur le tuto, et rajouté net.ipv4.ip_forward = 1 dans /etc/sysctl.conf

# règles obligatoires pour ouvrir déverrouiller l’accès :

    sudo iptables -I FORWARD -i tun0 -j ACCEPT

    sudo iptables -I FORWARD -o tun0 -j ACCEPT

    sudo iptables -I OUTPUT -o tun0 -j ACCEPT

    # autres règles : Translation d'adresses

    sudo iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT

    sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

    sudo iptables -t nat -A POSTROUTING -s 10.8.0.2/24 -o eth0 -j MASQUERADE

Au domicile, je suis sur xubuntu, et l'autre jour j'ai voulu passer par transmission installé sur mon xbuntu pour seeder du domicile un torrent en manque de seed, et ça m'emmerdait de le ramener sur ma seedbox kimsufi.

Si je me connecte à transmission, sans vpn (no problem)...test de port :

port ouvert..transmission ok

Par contre si je connecte mon vpn (qui fonctionne bien pour le web); là le test de port apparaît négatif:

Pourtant les ports 58567 et 51926 sont biens ouverts côté client comme côté serveur.

Quelqu'un aurait il une idée !!!
Je ne suis pas top au niveau forwarding iptables, tout ce qui touche au postrouting, prerouting, mangle etc...je patauge..je sais juste ajouter les règles input et output.

Merci d'avance.

AlexUser

Yop,

Moi j'ai ça a rajouter à chaque redémarrage (me connecte jamais en même temps...)

iptables -A INPUT -i eth0 -m state --state NEW -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -o tun+ -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Ça serait une règle "NEW" à rajouter car pour le firewall ça ne vient pas de ton réseau (ETH0) mais du réseau OpenVPN (Tun0) nan ??

jean-luc

AlexUser wrote:Yop,

Moi j'ai ça a rajouter à chaque redémarrage (me connecte jamais en même temps...)
iptables -A INPUT -i eth0 -m state --state NEW -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -o tun+ -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
Ça serait une règle "NEW" à rajouter car pour le firewall ça ne vient pas de ton réseau (ETH0) mais du réseau OpenVPN (Tun0) nan ??

Merci pour ta réponse;

C'est côté serveur que t'as ça ??

le port 8080 correspond à quoi chez toi ??

merci.

AlexUser

Ça correspond à mon port d'entrée sur mon serveur pour mon client OpenVPN 8080 -- 8080 des 2 côtés..
Sur iptable tu as surement ouvert le port 58567 pour ton interface eth0 (genre @IP serveur)

Alors que quand tu passes par ton VPN tu n'es plus sur l'interface ETH (ouais je sais c bizarre) mais tu es sur l'interface Tun0
--> Ce qui veut dire qu'il faut ouvrir ce port sur les interfaces Tun...

Je connais pas la commande exact mais faut juste adapter par rapport à ton interface / sous réseau 10.0.0

jean-luc

Bonjour;
Voici mes règles actuelles côté serveur :

#!/bin/bash
iptables -F
iptables -X
####ports
sshport="29561"
torrentport="5100,5200,5300,53951,53791,53821"
vpnport="51926"
tcpport="20,21,25,53,80,111,123,443,953,2049,8443,56291,40100:40140"
tcpport1="600,633,3306,1900,58567"
udpport="53,111,953,2049,51926,40100:40140,58567"
#####base
###parefeu clean
iptables -F
iptables -X
ip6tables -A OUTPUT -j DROP
ip6tables -A INPUT -j DROP
ip6tables -A FORWARD -j DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT 
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
####règles
iptables -A INPUT -p tcp  -m multiport --dports $sshport -j ACCEPT
iptables -A OUTPUT -p tcp  -m multiport --dports $sshport -j ACCEPT
iptables -A INPUT -p tcp  -m multiport --dports $tcpport -j ACCEPT
iptables -A OUTPUT -p tcp  -m multiport --dports $tcpport -j ACCEPT
iptables -A INPUT -p tcp  -m multiport --dports $tcpport1 -j ACCEPT
iptables -A OUTPUT -p tcp  -m multiport --dports $tcpport1 -j ACCEPT
iptables -A INPUT -p tcp  -m multiport --dports $torrentport -j ACCEPT
iptables -A OUTPUT -p tcp  -m multiport --dports $torrentport -j ACCEPT
iptables -A INPUT -p udp  -m multiport --dports $torrentport -j ACCEPT
iptables -A OUTPUT -p udp  -m multiport --dports $torrentport -j ACCEPT
iptables -A INPUT -p udp -m multiport --dports $udpport -j ACCEPT
iptables -A OUTPUT -p udp -m multiport --dports $udpport -j ACCEPT
####vpn
iptables -A INPUT -p tcp --dport $vpnport -j ACCEPT
iptables -A OUTPUT -p tcp --dport $vpnport -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.8.0.2/24 -o eth0 -j MASQUERADE

Merci.