Ubuntu-fr

Silenz

Quels ports ouvrir pour rediriger le trafic web avec un VPN ?

Bonjour,

J'ai un problème concernant les ouvertures de ports pour faire fonctionner correctement un VPN.

Voici ma situation :
- J'ai installé un VPN en mode serveur (openvpn) sur un serveur sous ubuntu 12.
- Le client est sur une machine windows 7 avec viscosity.
- La connexion client/serveur se passe sans aucun problème.

Le problème c'est que le trafic internet n'est redirigé qu'en partie ! Par exemple j'ai accès à l'ensemble des domaines google (recherche google, gmail, etc), mais pour tous les autres sites testés, je ne reçois rien (erreur: délai d'attente dépassé). Après quelques tests, j'ai pu corriger ce problème en ouvrant tous les ports en forwarding : sudo iptables -t filter -P FORWARD  ACCEPT.

MAIS, je ne souhaite pas laisser tous les ports ouverts comme ça. Quelqu'un saurait quels ports faut-il ouvrir exactement pour faire fonctionner le relai d'internet ? Voici ma configuration iptables actuelle pour la partie forward, sachant que 666 est le port que j'ai défini pour les connexions VPN.

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:666

Merci d'avance pour votre aide !

PS : une autre question plus générale : les accès refusés à un port sont-ils répertoriés quelque part ? Dans le cas présent, je crois avoir compris qu'il y a à un moment donné une requête forward vers un port qui a été bloquée. Peut-on trouver l'ensemble de cette historique de blocages quelque part ? Ça me permettrait de pouvoir résoudre ce genre de problème moi même à l'avenir. Merci !

Dernière modification par Silenz (Le 12/03/2015, à 13:03)

sauthess

Re : Quels ports ouvrir pour rediriger le trafic web avec un VPN ?

Bonjour,

Concernant la journalisation des erreurs, voici ce que j'utilise :

iptables -N LOG_FORWARD_DROP
iptables -A LOG_FORWARD_DROP -j log --log-prefix '[IPTABLES FORWARD DROP] : ' --log-level debug
iptables -A LOG_FORWARD_DROP -j DROP

Je créé les mêmes chaines pour chaque type (INPUT, OUTPUT, ...)

Quand je drop un paquet (que je souhaite loguer...), je fais :

iptables .... -j LOG_FORWARD_DROP

et cela permet d'en avoir une trace dans les logs syslog.

Pour ton problème, tu as définis le 666 dans ta box mais est-ce bien ce qu'openvpn utilise ? (recherche "port" dans ton fichier de conf openvpn, par défaut c'est 1194...)

---

Serveur : Debian openvz, Portable 1 : Arch linux, Portable 2 et 3 : Ubuntu

Silenz

Re : Quels ports ouvrir pour rediriger le trafic web avec un VPN ?

Merci pour ta réponse. J'ai réussi à définir les règles, je vais maintenant essayer de comprendre comment accéder aux logs et surtout à quel fichier delog en particulier

Oui j'ai bien pensé à changer le port d'utilisation côté serveur et client, normalement il ne devrait pas y avoir de soucis de ce côté.

sauthess

Re : Quels ports ouvrir pour rediriger le trafic web avec un VPN ?

Ouvres une console et fais :

tail -f /var/log/syslog

cela va surveiller la log (toute nouvelle ligne écrite dans le fichier sera affichée).

refais ton test, les DROP devraient apparaitrent.

---

Serveur : Debian openvz, Portable 1 : Arch linux, Portable 2 et 3 : Ubuntu

Compte anonymisé

Re : Quels ports ouvrir pour rediriger le trafic web avec un VPN ?

slt

Normal que ça ne passe pas puisque le FORWARD est en DROP et  je ne vois pas de port 53,80..443...autorisés, les connexion "dites déjà établies" doivent être elles aussi autorisées pour le FORWARD...

tu dois avoir au moins ces 3 règles à adapter: (dans le cas présent servant d'exemple, les interfaces sont eth0, tun0 et le réseau vpn est 10.8.0.0)

iptables -A FORWARD -i eth0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 10.8.0.0/24 -o eth0 -p tcp -m multiport --dports 80,443 -j ACCEPT
iptables -A FORWARD -s 10.8.0.0/24 -o eth0 -p udp -m multiport --dports 53 -j ACCEPT

Dernière modification par sirius007 (Le 12/03/2015, à 22:21)