Ubuntu-fr

Hadramos

OpenVPN / Shorewall (Problème de configuration)

Hello,

Je me casse la tête depuis quelques jours sur la configuration de Shorewall avec OpenVPN.
Shorewall tourne sans problème mais je n'arrive pas à le configurer correctement pour OpenVPN.

J'ai donc installé OpenVPN sur un Ubuntu Serveur.
J'utilise OpenVPN GUI pour le client Windows et je me connecte sans problème (Ping et connexion à un lecteur réseau ce font sans problème) sans Shorewall.
Le client Windows a comme IP 10.8.0.6.

Mon problème est donc Shorewall que je n'arrive pas a configurer correctement

Le serveur a deux cartes réseaux, une pour le net et une pour le réseau local en 192.168.56.x

IP externe : 1.2.3.4 (eth2)
IP interne (lan) : 192.168.56.154 (eth3)
VPN : 10.8.0.1 (tun0)

Fichier de configurations d'openVPN (serveur)

local 1.2.3.4
port 1194
proto tcp
dev tun
ca ca.crt
cert mon_domaine.com.crt
key mon_domaine.com.key
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.56.0 255.255.255.0"
client-to-client
keepalive 10 120
comp-lzo
user openvpn
group openvpn
persist-key
persist-tun
status openvpn-status.log
verb 3
mute 20

Fichier de configurations d'openVPN (client)

client
dev tun
proto tcp
remote 1.2.3.4 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert mon_fichier.crt
key mon_fichier.key
ns-cert-type server
comp-lzo
verb 3

Cofiguration de Shorewall

# /etc/shorewall/interfaces
net     eth2    detect  routefilter,dhcp,tcpflags,logmartians,nosmurfs
loc     eth3    detect  routefilter,dhcp,tcpflags,logmartians,nosmurfs
vpn     tun0    detect

# /etc/shorewall/masq
eth3    tun0

# /etc/shorewall/zones
fw      firewall
net     ipv4
loc     ipv4
vpn     ipv4

# /etc/shorewall/policy
$FW     net     ACCEPT
loc     net     ACCEPT
vpn     loc     REJECT  info
loc     vpn     REJECT  info
net     all     DROP    info
all     all     REJECT  info

# /etc/shorewall/rules
Ping/ACCEPT     net     $FW
Ping/ACCEPT     $FW     vpn
Ping/ACCEPT     vpn     loc

## .... ##

## OPENVPN
ACCEPT          net     $FW     tcp     1194
ACCEPT          net     $FW     udp     1194
ACCEPT          vpn     loc:ip_serveur_dns      tcp
ACCEPT          vpn     loc:ip_serveur_dns      udp

DROP    net     $FW     tcp     113

# /etc/shorewall/shorewall.conf
IP_FORWARDING=Yes

Si je ping client => serveur

C:\Users\xxx>ping 10.8.0.1

Envoi d'une requête 'Ping'  10.8.0.1 avec 32 octets de données :
Réponse de 10.8.0.1 : Impossible de joindre l'hôte de destination.
Réponse de 10.8.0.1 : Impossible de joindre l'hôte de destination.
Réponse de 10.8.0.1 : Impossible de joindre l'hôte de destination.
Réponse de 10.8.0.1 : Impossible de joindre l'hôte de destination.

Statistiques Ping pour 10.8.0.1:
    Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),

Si je ping serveur => client

xxx@xxx:~$ ping 10.8.0.6
PING 10.8.0.6 (10.8.0.6) 56(84) bytes of data.
64 bytes from 10.8.0.6: icmp_req=1 ttl=128 time=72.7 ms
64 bytes from 10.8.0.6: icmp_req=2 ttl=128 time=72.7 ms
64 bytes from 10.8.0.6: icmp_req=3 ttl=128 time=72.9 ms
64 bytes from 10.8.0.6: icmp_req=4 ttl=128 time=73.5 ms
64 bytes from 10.8.0.6: icmp_req=5 ttl=128 time=73.2 ms
64 bytes from 10.8.0.6: icmp_req=6 ttl=128 time=73.9 ms
^C
--- 10.8.0.6 ping statistics ---
6 packets transmitted, 6 received, 0% packet loss, time 5007ms
rtt min/avg/max/mdev = 72.716/73.208/73.999/0.496 ms

J'ai essayé d'être le plus clair possible dans cette description. Si il vous manque une information, n'hésitez pas a m'en faire part.
Si quelqu'un a une idée, je suis preneur

Merci par avance...

Dernière modification par Hadramos (Le 17/08/2014, à 16:37)