Ubuntu-fr

noiseless

Besoin d'aide sur OpenVPN

Bonjour a tous

Apres avoir suivi de nombreux tuto, j'ai réussi a monter mon VPN entre ubuntu et pfsense (via openvpn)
Je dois mettre en oeuvre sur un serveur dedié (sous ubuntu serveur 12.04) un controller Wifi & LAMP
J'ai un petit soucis de configuration avec mon openvpn.

Je pense que mon soucis viens du fait que jusqu'à présent j'utilisais pfsense avec le package OpenVPN sur tous mes sites (serveur y compris)  et maintenant que je mets mes mains dans du dedié, certaines choses bloque ma compréhension.

Mes Aplis étaient donc derrière un pfsense sur des pc indépendants
Il me suffisait de rentrer le remote network coté client et serveur pour accéder aux machines derrière le vpn.

Mais sur un serveur dedié (je n'ai pas de machine derrière), un ifconfig me donne eth0 l'adresse du wan,
Je ne peu mettre l'adresse wan de mon serveur en remote sinon des que je taperais cette adresse coté client il passera par le VPN.
Je dois installer LAMP et un controller wifi sur ce serveur et en gros; seul le controller wifi passe par le vpn et communique avec toutes les antennes sur tout les chantiers (via OpenVpn, un gros reseau local).
Comment faire pour attaquer mon controller wifi via une adresse locale qui passerais par le VPN ?
l'adresse openvpn du serveur ne m'ouvre ni apache, ni mon controller (en specifiant son port).
Je cale.......
merci a vous

Blacksquid

Re : Besoin d'aide sur OpenVPN

Pas très clair tout ça...

Le site web de Pfsense www.pfsense.org dispose de nombreux tuto, quelques un sont en français. La communauté sur le forum est, elle aussi très réactive. il existe un support payant.

Mais sur un serveur dedié (je n'ai pas de machine derrière), un ifconfig me donne eth0 l'adresse du wan

Tu entends quoi par serveur dédié ? A la lecture de cette phrase je comprends que ton serveur est en frontal sur le net... si tel est le cas c'est moyen comme config réseau... il est quand même plus propre de mettre ton serveur derrière le  très bon  firewall Pfsense.

Quand on parle d'un serveur dédié, il s'agit d'un serveur appartenant à une seule entité, contrairement à un serveur mutualisé qui est un serveur "prété" à plusieurs entités... Généralement en cas d'utilisation des services d'un hebergeur.
C'est ton cas ? Ton serveur est hosté chez un hébergeur ?

Petite remarque personnelle, je n'installe plus LAMP, j'ai rencontré trop de soucis avec. J'installe mes packages individuellement, Apache, le serveur MySql, etc...

+

Dernière modification par Blacksquid (Le 25/11/2012, à 11:42)

noiseless

Re : Besoin d'aide sur OpenVPN

Bonjour et merci d'avoir répondu

Alors en fait mon controller wifi ainsi qu'apache etc... (j'ai raccourci mais j'installe également individuellement)
était une  installation locale derrière un pfsense jusque la aucun soucis.
Je migre le tout sur un serveur dédié ksr4g kimsufi (je test en fait) , d'ou mon pb.
J'ai vraiment du mal a paramétrais le tout, le fait de tout réunir sur la même bécane ne devrait en soit pas posé de soucis.
En solution je comptais sur iptables et openvpn pour jouer le role de mon pfsense et go .....mais non ....
et le fait d'avoir sur le serv  sur le eth0 un 5.39.x.x
J'ai du mal....
Simplement mon controller s'attaque sur le port y
si je passe par le wan, (https://5.39.x.x:y)
J'arrive sur l'interface web de mon controller (tout va bien)
mais les infos entre controller & antenne se font via un réseau locale (d'ou l'openvpn)
et là du coup j'ai pas d'adresse locale???
Je suis conscient que le soucis viens de moi, sans une mauvaise vision globale.
mais je sèche completement

merci

Blacksquid

Re : Besoin d'aide sur OpenVPN

Tes subnet sont routé dans OpenVpn ? tu ping tes antennes depuis l'interface LAN  de la machine ou est installé ton contrôleur Wifi ?

Ton contrôleur wifi, c'est un propriétaire ou un package installé ?

+

noiseless

Re : Besoin d'aide sur OpenVPN

Je n'ai pas encore installé iptables, donc l'imput, l'output, et le forwarding ne devraient avoir de restrictions.
Le serv n'etant op je suis pas allez jusqu'au ping des antennes, mais je ping du serv l'autre bout de mon vpn, mais (en principe) du moment que j'inscris dans les fichiers de conf le remote network il ne devraient y avoir de soucis pour ping ce qui se trouve derrière.
En fait, justement; dans mon fichier de conf serv le remote network (donc reseau coté client ex :10.0.0.0/24) ne me pose pas soucis vu que j'ai un réseau locale derrière mon pfsense (sur les chantier).
Mais dans le fichier client je n'ai sais pas quoi rentrer comme remote network vu que j'ai uniquement une @ en 5.39.x.x
c'est là je pense qu'il me manque un truc , ou quelques chose que je n'ai pas compris.
Le controller est un package créer par la marque des antennes pour ubuntu, j'ai ajouté les deb. dans sources.list,

merci a toi

edit: est-ce vraiment gênant du coup de mettre une remote 5.x.x.x?
peut etre n'y a -t il pas de pb en fait?
c'est que cette @ me perturbe...

Dernière modification par noiseless (Le 25/11/2012, à 14:12)

Blacksquid

Re : Besoin d'aide sur OpenVPN

tu n'aurais pas un schéma de ton infra ?

Le serv n'étant op je suis pas allez jusqu'au ping des antennes, mais je ping du serv l'autre bout de mon vpn, mais (en principe) du moment que j'inscris dans les fichiers de conf le remote network il ne devraient y avoir de soucis pour ping ce qui se trouve derrière.

mais je ping du serv l'autre bout de mon vpn

--> tu veus dire par là que tu ping l'interface "OpenVpn" de ton réseau distant ?

que j'inscris dans les fichiers de conf le remote network il ne devraient y avoir de soucis pour ping ce qui se trouve derrière

Ah si !!! si les subnet ne sont pas routés, si les gateway ne sont pas correctes, si le protocole ICMP, n'est pas autorisé sur l'interface ou est pluggée ton serveur distant...

mais un schéma nettoyé des adresses ip aiderai vraiment...

Dernière modification par Blacksquid (Le 28/11/2012, à 21:35)

noiseless

Re : Besoin d'aide sur OpenVPN

ok je vais remettre tout ça a zero et modifier mes tables et voir ce que ça donne.
j'essaierais de pondre un schéma et merci pour ton aide.

+

Blacksquid

Re : Besoin d'aide sur OpenVPN

juste un petit croquis a la main suffit scan le ensuite.

noiseless

Re : Besoin d'aide sur OpenVPN

Bonjour,
Voilà je galère toujours voici un petit schéma montrant le but de la manœuvre
a gauche l'existant et a droite le but.

J'ai recommencé plusieurs fois ce tuto
http://doc.ubuntu-fr.org/openvpn
en dev tun
mode server
alors le vpn se monte donc tout ce qui est clé etc doit etre bon
mais par contre impossible de voir le réseau derrière le vpn de serveur a client
De client a serveur j'ai un autre soucis quand j'indique le remote network dans mon pfsense donc un 5.39.x.x
Je n'ai acces qu'a mon controller et a rien d'autre (donc plus de net)
j'en deduit que le vpn marche car je file au serveur mais que par contre quelque chose doit etre mal config car je n'ai pas de net.
Autre chose qui me chagrine beaucoup,
Pourquoi tout mon flux passe par le vpn?
Le but de mettre une remote network est qu'openvpn connaisse le réseau en face et qu'uniquement le flux allant vers ce reseau passe par open vpn.
Alors sans doute pfsense gère ce genre de chose naturellement mais ne m’étant jamais servi d'openvpn ailleurs je sèche.
J'ai essayer de rentrer mon server.conf remote 10.1.x.x/24 (mon reseau locale), il n'accepte pas la ligne au chargement d'openvpn,
donc si j'ai bien compris
push "route 10.x.x.x 255.255.255.0"
et censé assurer cette fonction mais toujours pas ping...

j'espère avoir était plus clair mais c'est pas évident d'expliquer un pb que l'on ne comprend pas

Merci

Dernière modification par noiseless (Le 29/11/2012, à 10:13)

Blacksquid

Re : Besoin d'aide sur OpenVPN

Bonsoir,
Je ne vois pas la capture ! pas de lien...

noiseless

Re : Besoin d'aide sur OpenVPN

Bonjour,
La capture c'est bon (changement de site d’hébergement)
J'en profite aussi pour une autre question.e
N'ayant de firewall'OS (pfsense, clearOS etc...) en amont sur le dedié,
Je comptais utiliser iptables, mais j'avoue que tout avoir sur la même bécane me perturbe, est-ce comme cela que font les proprio de serveur dedié, ou il y a une règle de l'art que je ne connais pas?

edit: Bon je pense avoir compris pourquoi remote ne fonctionne pas,

Ceci vient du client VPN

Ceci vient du serveur VPN

Le remote network ne correspond pas du tout a remote dans le fichier de conf de pfsense.

###########server openvpn via pfsense ##########
dev ovpns1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-128-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 192.168.1.250
ifconfig 172.16.250.1 172.16.250.2
lport 1194
management /var/etc/openvpn/server1.sock unix
route 10.83.1.0 255.255.255.0
secret /var/etc/openvpn/server1.secret
comp-lzo

##################client openvpn via pfsense################
dev ovpnc1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_client1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-128-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local 192.168.1.250
lport 0
management /var/etc/openvpn/client1.sock unix
remote x.x.x.x 1194   ######adresse wan de mon serveur openvpn
ifconfig 172.16.250.2 172.16.250.1
route 10.83.250.0 255.255.255.0
secret /var/etc/openvpn/client1.secret
comp-lzo

Ceci est un exemple de fichier qui fonctionne a l'heure actuelle.
Et je m’aperçois que remote dans le fichier client ne cible pas du tout le réseau distant mais son wan et que le server n'a pas de remote.....
Donc déjà première erreur de ma part d'avoir associé remote network de l'interface web a remote du fichier de conf.
Ensuite je vois qu'il n'y a pas de trace (sur le fichier client) du remote network du webUI
donc j'en déduis que pfsense avec cette info doit modifier autre chose (tables routage je suppose)
Enfin je continue....
Et je partage ma galère 

Bye

Dernière modification par noiseless (Le 29/11/2012, à 12:29)

Blacksquid

Re : Besoin d'aide sur OpenVPN

Bonjour,

Bien le schéma sauf que je n'ai peut être pas été très clair, mais il faudrait quand même les adresses ip privée dessus.

Je suis persuadé que ton problème viens du routage et de tes gateway (invisible sans schéma complet)

Autre chose, tu essaies bien de mettre en place des vpn S2S ? et non des Road Warrior ? 

En gros, une de tes Pfsense (en générale, celle d'ou tu travailles) doit être le serveur les autres, sont clientes. chaque vpn S2S dispose d'un N° de port différents qui seront incrémentés à chaque nouveau tunnel ajouté ex: 1194 vpn_01 S2S site 1 vers site 2 ; 1195 vpn_02 S2S site 1 vers site 3; 1196 vpn_03 S2S site 1 vers site 4; etc...
En utilisant le wizard pour créér les Vpn, les régles de firewalling sont ajoutées automatiquement. Ensuite, contrôler les règles concernant les autre protocoles notament Icmp si tu veux pinger les sites distants. En fin, contrôler la table de routage, les gateway...

C'est bien cette infrastructure que tu cherche à mettre en place ? un serveur vpn S2S depuis lequel tu peux te connecter sur plusieurs sites ?

Ce que tu cherche à mettre en place n'est pas compliqué, mais le réseau demande avant toutes choses, un schéma clair et un scénario écrit de la situation à mettre en place.

http://www.osnet.eu/sites/www.osnet.eu/ … e_OVPN.pdf

bon courage.