Je vois pas pourquoi tu n'aurais pas accès à un shell une fois le dédié connecté à un VPN

Ben je ne sais pas !
Voila ce que j'ai :

openvpn client.ovpn
Sat Jul  8 21:38:45 2017 Unrecognized option or missing parameter(s) in client.ovpn:15: block-outside-dns (2.3.4)
Sat Jul  8 21:38:45 2017 OpenVPN 2.3.4 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Nov 12 2015
Sat Jul  8 21:38:45 2017 library versions: OpenSSL 1.0.1t  3 May 2016, LZO 2.08
Sat Jul  8 21:38:45 2017 Control Channel Authentication: tls-auth using INLINE static key file
Sat Jul  8 21:38:45 2017 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Sat Jul  8 21:38:45 2017 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
Sat Jul  8 21:38:45 2017 Socket Buffers: R=[212992->131072] S=[212992->131072]
Sat Jul  8 21:38:45 2017 UDPv4 link local: [undef]
Sat Jul  8 21:38:45 2017 UDPv4 link remote: [AF_INET]*****************
Sat Jul  8 21:38:45 2017 TLS: Initial packet from [AF_INET]**************, sid=e03692ce 54a16901
Sat Jul  8 21:38:46 2017 VERIFY OK: depth=1, CN=ChangeMe
Sat Jul  8 21:38:46 2017 Validating certificate key usage
Sat Jul  8 21:38:46 2017 ++ Certificate has key usage  00a0, expects 00a0
Sat Jul  8 21:38:46 2017 VERIFY KU OK
Sat Jul  8 21:38:46 2017 Validating certificate extended key usage
Sat Jul  8 21:38:46 2017 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Sat Jul  8 21:38:46 2017 VERIFY EKU OK
Sat Jul  8 21:38:46 2017 VERIFY OK: depth=0, CN=server
Sat Jul  8 21:38:47 2017 Data Channel Encrypt: Cipher 'CAMELLIA-128-CBC' initialized with 128 bit key
Sat Jul  8 21:38:47 2017 Data Channel Encrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Sat Jul  8 21:38:47 2017 Data Channel Decrypt: Cipher 'CAMELLIA-128-CBC' initialized with 128 bit key
Sat Jul  8 21:38:47 2017 Data Channel Decrypt: Using 256 bit message hash 'SHA256' for HMAC authentication
Sat Jul  8 21:38:47 2017 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES128-GCM-SHA256, 4096 bit RSA
Sat Jul  8 21:38:47 2017 [server] Peer Connection Initiated with [AF_INET]**************
Sat Jul  8 21:38:49 2017 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Sat Jul  8 21:38:49 2017 PUSH: Received control message: 'PUSH_REPLY,dhcp-option DNS 208.67.222.222,dhcp-option DNS 208.67.220.220,redirect-gateway def1 bypass-dhcp,route-gateway 10.8.0.1,topology subnet,ping 10,ping-restart 120,ifconfig 10.8.0.2 255.255.255.0'
Sat Jul  8 21:38:49 2017 OPTIONS IMPORT: timers and/or timeouts modified
Sat Jul  8 21:38:49 2017 OPTIONS IMPORT: --ifconfig/up options modified
Sat Jul  8 21:38:49 2017 OPTIONS IMPORT: route options modified
Sat Jul  8 21:38:49 2017 OPTIONS IMPORT: route-related options modified
Sat Jul  8 21:38:49 2017 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Sat Jul  8 21:38:49 2017 ROUTE_GATEWAY **********/255.255.255.0 IFACE=eth0 HWADDR=*************
Sat Jul  8 21:38:49 2017 TUN/TAP device tun1 opened
Sat Jul  8 21:38:49 2017 TUN/TAP TX queue length set to 100
Sat Jul  8 21:38:49 2017 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0

Et plus d'accés !!

Salut;

Impératif : kimsufi avec connexion ssh sur autre port que le vps

Sur ton vps rentrer cette ligne iptables en la modifiant (remplacer eth0 par l'interface réseau principale du vps dans cette ligne iptables):

 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport xxxx -j DNAT --to 10.8.yy.yy:xxxx 
  • xxxx = port ssh du kimsufi
  • 10.8.y.y:xxxx = ip vpn de ton kimsufi (ifconfig section tun0) suivie du port ssh du kimsufi

Pour te connecter:

 ssh root@ipduvps -pxxxx (port ssh du kimsufi)

Logiquement ça devrait marcher....

ps: root ou user ssh du kimsufi bien sur !!!!

    jean-luc
    Je pense que je comprend mal quelque chose.

    Je prend

    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport xxxx -j DNAT --to 10.8.yy.yy:xxxx

    je met l'interface principale de mon vps (c'elle qui a l'adresse publique) et je met de l'udp car mon serveur OpenVPN est en udp :

     iptables -t nat -A PREROUTING -i venet0:0 -p udp --dport xxxx -j DNAT --to 10.8.yy.yy:xxxx 

    Port SSH du kimsufi

     iptables -t nat -A PREROUTING -i venet0:0 -p udp --dport 2568-j DNAT --to 10.8.0.1:xxxx 

    Et la je c'est pas !

    10.8.y.y:xxxx = ip vpn de ton kimsufi (ifconfig section tun0) suivie du port ssh du kimsufi

    Mon probléme c'est que la connection tun du kimsufi n'est pas UP j'ai que :
    eth0 / lo

    Aprés la commande pour me connecter pas de probléme, de la console du kimsufi j'arrive à me loger sur mon VPS. Mais si je demande à kimsufi de se connecter au vps via openvpn, et bien je perd kimsufi !!!!! enfin il me suffit de coupé le serveur VPN du vps est tout reviens !

    Merci :d

      Alf
      Salut;
      Sous root :
      Sur ton vps tu installes openvpn avec le script suivant par exemple car il attribue une ip fixe à chaque client; et tu crées 2 comprtes clients (cli1 et cli2 par exemple).

      https://github.com/Angristan/OpenVPN-install

      Les fichiers de config (cli1.zip et cli2.zip) seront dans le dossier root

      Tu prends et met en place la config de cli1 pour te connecter de chez toi à ton vps, tu t'y connectes pour voir si tout est ok; si ok :
      Tu prends et met en place la config de cli2 pour te connecter du kimsufi à ton vps:
      tu désactives le lancement auto au démarrage d'openvpn
      tu t'y connectes même si tu te retrouves bloqué; en redémarrant depuis ton manager retourne dans le dossier /etc/openvpn et tu y trouveras un fichier "ipp.txt" contenant :

      cli1,10.8.0.2
      cli2,10.8.0.3
      

      Certainement possible de définir ce fichier manuellement, mais jamais testé !!!

      -Relève l'ip fixe attribuée à ton kim (cli2) et applique la règle iptables plus haut sur ton vps (garde tcp car ce protocole est utilisé pour le ssh, çà n'a rien à voir avec le protocole d'openvpn, même si ce dernier est en udp çà fonctionnera)
      -Réactive le démarrage auto d'openvpn

      Connectes toi avec la ligne précédemment citée sur ton vps, et tu devrais attérrir dans le shell de ton kim.

      • Alf a répondu à ça.

        Ce script est bien compatible avec un serveur déjà installé ? Notamment, je suppose, avec le script MDD ?

        Sinon la vrai question enfaite... l'utilité de tunnelé du torrent ?

        • Alf a répondu à ça.

          jean-luc
          Okay donc :

          j'ai appliqué ta commmande et oui je peux me connecter de mon VPS sur mon Kimsufi (avec le vpn up), mais j'ai plus d'accés direct au kimsufi. Que ce soit en SSH ou via un navigateur. Donc plus d'interface Rtorrent.

          Valounours
          Je vais tester sa, c'est ce que je veux :d mais c'est pas gagné !!

          arckosfr
          Et bien tout simplement pour pouvoir changer l'adresse de mon client Bittorent !

          Merci en tout cas ! :d

            Alf

            RE,

            Si tu ne désires couvrir que ton client torrent derrière un vpn la solution citée par valounours est la meilleure....mais au fait ou est l'intérêt de couvrir un dédié par un vpn ??? un serveur maison je comprendrais mieux !!!
            Sachant qu'un serveur chez un hébergeur même situé en Françe est hors de portée de la loi Hadopi.

            Sinon toutes les applications tu peux bien sur les passer une par une sur le principe de la règle iptable que j'ai cité pour le ssh; pour le web il te faut la même règle sur le 80, une autre sur le 443 (à condition de ne pas avoir un autre serveur web d'installé sur les mêmes ports 80 et 443 sur ton vps); et le serveur web ton kim sera joignable via l'ip de vps pour le web.

            Si d'autres applications utilisant d'autres ports, tu seras obligé de créer autant de règles que de ports.

            Naturellement ce principe ne fonctionne que si ton vpn est up côté kim donc sur le vps aussi.

            A++

            • aleg a répondu à ça.
              9 mois plus tard

              jean-luc
              Je me permet de faire une petite relance du sujet car j'ai besoin également d'un vpn pour ma seedbox.
              Pour répondre à ta question du pourquoi utilisé un vpn pour le traffic rtorrent d'un dédié, pour ma part c'est très simple, j'ai déjà eu des soucis avec un hébergeur qui n'est pas en france.
              En france jamais eu de soucis, mais 2 semaines chez un hébergeur en Allemagne et bim..
              Sauf que chez cet hébergeur les machines sont plus performante en tout point, plus gros CPU, plus de ram, même bande passante, et gros disque dur pour 10 voir 20€ de moins que les hébergeurs en france..
              Sauf que la loi allemande sur le téléchargement est très strict et hadopi ou similaire c'est un jouet pour enfant à coté..

              En bref tu prend ton serveur là-bas tu prend un VPS à 3€ en france, tu met un vpn et voilà tu utilise une seedbox Allemande avec ip française donc pas de soucis pour 20€ de moins qu'une machine francaise.

                aleg Si tu es sur des trackers publiques et que tu restes en seed évidement tu va te faire tapé dessus... Tu parles de Hetzner comme fournisseur ?

                aleg
                Salut,

                Pas certain que ça change quoi que ce soit ; ils risquent néanmoins de t'identifier avec un surcroit de traffic du au trackers publics ; en en cas de doute, ils ont toujours le visu sur le contenu de ton dédié.
                😉

                2 ans plus tard

                aleg J'ai la même problématique et le même besoin, chez le fournisseurs cité, je souhaite que le traffic du serveur passe par un VPN car malgré le coté traker privé, j'ai reçu un mail.

                Le problème c'est quand je lance la connexion vpn, forcément, je perd la connexion avec le serveur lui même 🙁.

                comment faire ?

                Répondre…