M
machicot

  • 12 nov. 2015
  • Inscrit 10 juin 2015
  • Salut, je viens de suivre ce ptit tuto après être passé sur jessie.

    Le VPN fonctionne, le client s'y connecte mais impossible de sortir sur le net une fois connecté au vpn pour ma part

    la règle iptables est bien ok ainsi que l'ip forward

    EDIT : Voici ce que je trouve dans mon syslog :
    <User>/<Mon_IP_WAN>:50804 IP packet with unknown IP version=15 seen
  • Salut, petit problème pour moi.

    J'utilise Debian 7 sur tous mes serveurs (5), j'ai un openvpn sur presque tous mais voilà en installant le ptit nouveau j'ai un couac.
    Aucun problème lors de l'install / conf, les clients se connectent bien au serveur mais le transfert d'adresse ne semble pas fonctionner, impossible de sortir sur une adresse publique une fois connecté.
    cat /proc/sys/net/ipv4/ip_forward
    1
    
    cat /etc/rc.local | grep -v "#"
    
    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
    
    exit 0
    
    iptables -L -n | grep FORWARD -A2
    Chain FORWARD (policy ACCEPT)
    target     prot opt source               destination
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            /* ACC-OVPN */
    Conf client
    dev tun
    client
    proto udp
    remote <mon_ip> 4343
    resolv-retry infinite
    nobind
    persist-key
    persist-tun
    ca ca.crt
    cert JFF.crt
    key JFF.key
    tls-auth ta.key 1 # modif
    cipher AES-256-CBC # modif
    comp-lzo
    verb 3
    
    openvpn.conf
    dev tun
    proto udp
    port 4343
    
    ca /etc/openvpn/easy-rsa/keys/ca.crt
    cert /etc/openvpn/easy-rsa/keys/ger1.hsfactory.net.crt
    key /etc/openvpn/easy-rsa/keys/ger1.hsfactory.net.key
    dh /etc/openvpn/easy-rsa/keys/dh1024.pem
    tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0      # ajout pour multiple client
    #crl-verify /etc/openvpn/crl.pem                            # ajout pour révocation
    cipher AES-256-CBC                                             # ajout pour un meilleur cryptage
    
    user nobody
    group nogroup
    server 10.8.0.0 255.255.255.0
    
    persist-key
    persist-tun
    
    push "redirect-gateway def1"
    push "dhcp-option DNS 8.8.8.8"
    push "dhcp-option DNS 8.8.4.4"
    
    status /var/log/openvpn-status.log
    verb 3
    client-to-client
  • Ecoute c'est passé tout seul j'étais pas là 2 3 jours et j'ai plus le bug je matterai si jamais. Merci
  • Salut, petit soucis pour moi depuis aujourd'hui suite à l'utilisation du proxy :
    [15.06.2015 15:20:22] Bad response from server: (502 [error,list]) <!DOCTYPE html> <html> <head> <title>Error</title> <style> body { width: 35em; margin: 0 auto; font-family: Tahoma, Verdana, Arial, sans-serif; } </style> </head> <body> <h1>An error occurred.</h1> <p>Sorry, the page you are looking for is currently unavailable.<br/> Please try again later.</p> <p>If you are the system administrator of this resource then you should check the <a href="http://nginx.org/r/error_log">error log</a> for details.</p> <p><em>Faithfully yours, nginx.</em></p> </body> </html>
    J'ai tenté de virer les fichiers .lock et relancer rtorrent mais c'est toujours pareil.

    J'ai ça dans mon error.log
    2015/06/15 14:50:55 [error] 2123#0: *40718 recv() failed (104: Connection reset by peer) while reading response header from upstream, client: 194.199.x.x, server: _, request: "POST /<USER> HTTP/1.1", upstream: "scgi://127.0.0.1:5001", host: "<host>", referrer: "https://<host>/rutorrent/"
  • Salut à tous, je viens tout juste de m'inscrire dans l'espoir de trouver quelqu'un pouvant me filer un petit coup de main concernant une conf (avancée) d'iptables.


    Concrètement, j'ai un dédié qui sert seulement de VPN. La conf du VPN route seulement quelques IP et pools d'IP. Le truc c'est que j'aimerai configurer mon itpables pour qu'il autorise le VPN à sortir seulement sur ces adresses. La théorie est très simple, la pratique est une autre histoire.

    Est-ce que je dois autoriser ces IP à sortir sur tun0 ou eth0 ? Ou les 2 ? Et surtout comment ?

    J'ai récupéré un script iptables (simple) que j'ai fait il y a quelques années mais n'y ayant pas touché depuis je nage un peu ...

    Voici mon script actuel (certainement pas le plus propre ...)
    ## VAR
    set -x
    IFACE="eth0"
    VPN="tun0"
    
    ##IP List
    allowed_ip=`cat allowed_ip_list`
    allowed_ip2="144.44.144.1-144.44.144.254"   (pool random pour l'exemple)
    
    
    ## On reinitialise la conf
    iptables -F
    iptables -X
    
    # Modifier la politique par defaut pour DROP
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    
    # Autoriser l'interface locale
    iptables -I INPUT -i lo -j ACCEPT
    
    
    # On autorise le PC a faire des pings sur des IP externes et àéndre aux requês "ping"
    iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    
    # Autoriser le trafic entrant d'une connexion deja etablie
    iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    # Allow allowed_ip
    for allowed_ip_server in ${allowed_ip};do
            iptables -A OUTPUT -s ${allowed_ip_server} -j ACCEPT -m comment --comment "${allowed_ip_server}"
    done
    # Allow allowed_ip2
    iptables -I OUTPUT -m iprange --src-range ${allowed_ip2} -j ACCEPT -m comment --comment "allowed_ip2"
    
    
    # Permettre le trafic entrant sur un port specifique
    iptables -A OUTPUT -p tcp --dport 2222 -j ACCEPT -m comment --comment "SSH-OUT"
    iptables -A INPUT -p tcp -i $IFACE --dport 2222 -j ACCEPT -m comment --comment "SSH-IN"
    #iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT -m comment --comment "ACC-HTTP"
    iptables -A INPUT -p tcp -i $IFACE --dport 80 -j ACCEPT -m comment --comment "ACC-HTTP"
    #iptables -A OUTPUT -p tcp  --dport 443 -j ACCEPT -m comment --comment "ACC-HTTPS"
    iptables -A INPUT -p tcp -i $IFACE --dport 443 -j ACCEPT -m comment --comment "ACC-HTTPS"
    iptables -A INPUT -p udp -i $IFACE --dport 4343 -j ACCEPT #OpenVPN
    
    iptables -A INPUT -p tcp -i $IFACE --dport 4949 -j ACCEPT -m comment --comment "Munin"
    
    ## ALLOW ALL TRAFFIC IN VPN
    #iptables -A INPUT -i $VPN -m state --state NEW -j ACCEPT
    
    ## OPENVPN SERVER
    iptables -I FORWARD -i tun0 -j ACCEPT -m comment --comment "ACC-OVPN"
    iptables -I FORWARD -o tun0 -j ACCEPT -m comment --comment "ACC-OVPN"
    iptables -I OUTPUT -o tun0 -j ACCEPT -m comment --comment "ACC-OVPN"
    iptables -A FORWARD -i tun0 -o $IFACE -j ACCEPT -m comment --comment "ACC-OVPN"
    iptables -t nat -A POSTROUTING -o $IFACE -j MASQUERADE -m comment --comment "ACC-OVPN"
    iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o $IFACE -j MASQUERADE -m comment --comment "ACC-OVPN"
    
    # Backup de la conf pour le boot
    iptables-save > /etc/iptables.up.rules
    iptables-save > /etc/iptables.rules
    
    echo "[OK] Iptables Successfully Updated"