Ubuntu-fr

alefriedx

configurer ufw pour laisser passer openVPN

Bonjour,

Grâce à votre tuto, j'ai pu mettre en place mon petit serveur openVPN. Mon idée est de tout faire passer par ce vpn, et de verrouiller le reste.

Les tests sans pare-feu fonctionnent très bien sur le LAN (je fais des tests sur place avant d'ouvrir la porte ...)

J'active ufw, je me créée une règle pour que je (104) puisse être le seul à y accéder en ssh au serveur (112)

sudo ufw allow from 192.168.2.104 to 192.168.2.112 port 22

j'ai bon là ?

J'ai bien l'interface tun0 :

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet adr:10.8.0.1  P-t-P:10.8.0.2  Masque:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          Packets reçus:5406 erreurs:0 :0 overruns:0 frame:0
          TX packets:7315 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:100 
          Octets reçus:530880 (530.8 KB) Octets transmis:6612209 (6.6 MB)

Je n'ai pas très bien compris, ni trouvé comment configurer ufw pour, cette fois autoriser les flux par le vpn.
Pourriez vous m'aiguiller là dessus s'il vous pait ?

survietamine

Re : configurer ufw pour laisser passer openVPN

salut, je n'ai pas compris pourquoi t'as tun0 si t'as pas autorisé OpenVPN.
Sinon, pour la règle, ça dépend si t'as laissé les paramètres par défaut (port 1194 ou 2194 en tcp ou udp...).

---

Ðɸ Ƴơц ℕεєđ Şø₥€ √іêŤąɱίɳƸʂ ?

alefriedx

Re : configurer ufw pour laisser passer openVPN

hello,

ben mon serveur vpn tourne, donc l'interface tun0 est bien là quand je fais ifconfig : Ca ne m'avait pas choqué (je devrais ?).

Dans mon /etc/openvpn/server.conf, j'ai laissé les params par défaut oui (sans les commentaires) :

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key 
dh dh1024.pem
server 10.8.0.0 255.255.255.0
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

donc, pour résumer la situation : la connexion directe fonctionne avec et sans pare-feu, et la connexion via le vpn ne fonctionne pas avec :

arnaud@arnaud-desktop:~$ ssh rhessadmin@192.168.2.112
Last login: Tue Aug 16 17:21:42 2011 from 10.8.0.6
rhessadmin@RHESS:~$ logout
Connection to 192.168.2.112 closed.
arnaud@arnaud-desktop:~$ ssh rhessadmin@10.8.0.1
ssh: connect to host 10.8.0.1 port 22: Connection timed out

merci !

Dernière modification par alefriedx (Le 16/08/2011, à 17:28)

alefriedx

Re : configurer ufw pour laisser passer openVPN

QQ infos encore :
Quand je vais voir le /var/log/messages, j'ai :

Aug 16 17:41:07 RHESS kernel: [90450.595709] [UFW BLOCK] IN=tun0 OUT= MAC= SRC=10.8.0.6 DST=10.8.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=24858 DF PROTO=TCP SPT=46633 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0

survietamine

Re : configurer ufw pour laisser passer openVPN

D'accord, j'avais mal compris, je croyais que t'avais collé le tun0 du client vpn, pas du serveur.

Par contre, je ne comprends pas, tu dis que c'est OpenVPN qui ne fonctionne pas.
Mais colles les échecs de connexion SSH.

---

Ðɸ Ƴơц ℕεєđ Şø₥€ √іêŤąɱίɳƸʂ ?

alefriedx

Re : configurer ufw pour laisser passer openVPN

Bon, après recherches, j'ai trouvé un truc pas mal, que j'ai suivi sans trop tout comprendre:
http://stella.laurenzo.org/2011/04/open … -goodness/

Je conçois qu'il faille ajouter ça :

sudo ufw allow 1194/udp
sudo ufw allow 1194/tcp

mais ça ne marchait toujours pas, alors j'ai ajouté, sans comprendre trop, mais en l'adaptant quand même :

sudo ufw allow from 10.8.0.0/16

Et ça marche, soit au final :

     Vers                       Action      Depuis
     ----                       ------      ------
[ 1] 192.168.2.112 22           ALLOW IN    192.168.2.104
[ 2] 1194/udp                   ALLOW IN    Anywhere
[ 3] 1194/tcp                   ALLOW IN    Anywhere
[ 4] Anywhere                   ALLOW IN    10.8.0.0/16

Ducoup je me suis renseigné sur "10.8.0.0/16", pour comprendre que ca correspondait à un masque, mais qu'est ce que cela implique en termes de brêche dans le firewall ?

Est ce que ça veut dire que n'importe qui, avec l'adresse 10.8.0.XXX va pouvoir passer ?

C'est compliqué ces choses là, est ce qu'une bonne âme voudrait m'expliquer de quoi il retourne ?

alefriedx

Re : configurer ufw pour laisser passer openVPN

merci survietamine : les tentatives de connexion me renvoyaient :
En "direct sur l'ip locale du serveur"

arnaud@arnaud-desktop:~$ ssh rhessadmin@192.168.2.112
Last login: Tue Aug 16 16:16:12 2011 from arnaud-desktop.local
rhessadmin@RHESS:~$ logout
Connection to 192.168.2.112 closed.

et via le vpn :

arnaud@arnaud-desktop:~$ ssh rhessadmin@10.8.0.1
ssh: connect to host 10.8.0.1 port 22: Connection timed out

survietamine

Re : configurer ufw pour laisser passer openVPN

salut, non, ce n'est pas très compliqué.
Le réseau 10.8.0.0/16 correspond au sous-réseau spécifique créé par OpenVPN.
C'est comme ça dans la configuration par défaut (ligne server...)
Donc, oui, n'importe qui avec comme IP 10.8.x.x passera ton pare-feu.
Mais ce n'est pas très grave car ça fait partie des réseaux réservés à l'usage privé (RFC1918).
Donc, à moins de s'authentifier avec succès sur ton OpenVPN, la personne n'obtiendra pas d'IP en 10.8.x.x sur ton réseau.
Après, effectivement, un masque /16 c'est large.
Je ne connais pas ton usage et combien de machines sont censées être connectées dans ce VPN.
Si tu sais cela, tu peux donner des IP fixes à tes clients (en créant des fichiers ccd) et limiter au niveau du pare-feu.

---

Ðɸ Ƴơц ℕεєđ Şø₥€ √іêŤąɱίɳƸʂ ?

alefriedx

Re : configurer ufw pour laisser passer openVPN

Merci pour ces explications, je vais continuer à reflechir à tout ça .