#1 Le 12/03/2015, à 12:52
- Silenz
Quels ports ouvrir pour rediriger le trafic web avec un VPN ?
Bonjour,
J'ai un problème concernant les ouvertures de ports pour faire fonctionner correctement un VPN.
Voici ma situation :
- J'ai installé un VPN en mode serveur (openvpn) sur un serveur sous ubuntu 12.
- Le client est sur une machine windows 7 avec viscosity.
- La connexion client/serveur se passe sans aucun problème.
Le problème c'est que le trafic internet n'est redirigé qu'en partie ! Par exemple j'ai accès à l'ensemble des domaines google (recherche google, gmail, etc), mais pour tous les autres sites testés, je ne reçois rien (erreur: délai d'attente dépassé). Après quelques tests, j'ai pu corriger ce problème en ouvrant tous les ports en forwarding : sudo iptables -t filter -P FORWARD ACCEPT.
MAIS, je ne souhaite pas laisser tous les ports ouverts comme ça. Quelqu'un saurait quels ports faut-il ouvrir exactement pour faire fonctionner le relai d'internet ? Voici ma configuration iptables actuelle pour la partie forward, sachant que 666 est le port que j'ai défini pour les connexions VPN.
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:666
Merci d'avance pour votre aide !
PS : une autre question plus générale : les accès refusés à un port sont-ils répertoriés quelque part ? Dans le cas présent, je crois avoir compris qu'il y a à un moment donné une requête forward vers un port qui a été bloquée. Peut-on trouver l'ensemble de cette historique de blocages quelque part ? Ça me permettrait de pouvoir résoudre ce genre de problème moi même à l'avenir. Merci !
Dernière modification par Silenz (Le 12/03/2015, à 13:03)
Hors ligne
#2 Le 12/03/2015, à 13:11
- sauthess
Re : Quels ports ouvrir pour rediriger le trafic web avec un VPN ?
Bonjour,
Concernant la journalisation des erreurs, voici ce que j'utilise :
iptables -N LOG_FORWARD_DROP
iptables -A LOG_FORWARD_DROP -j log --log-prefix '[IPTABLES FORWARD DROP] : ' --log-level debug
iptables -A LOG_FORWARD_DROP -j DROP
Je créé les mêmes chaines pour chaque type (INPUT, OUTPUT, ...)
Quand je drop un paquet (que je souhaite loguer...), je fais :
iptables .... -j LOG_FORWARD_DROP
et cela permet d'en avoir une trace dans les logs syslog.
Pour ton problème, tu as définis le 666 dans ta box mais est-ce bien ce qu'openvpn utilise ? (recherche "port" dans ton fichier de conf openvpn, par défaut c'est 1194...)
Serveur : Debian openvz, Portable 1 : Arch linux, Portable 2 et 3 : Ubuntu
Hors ligne
#3 Le 12/03/2015, à 14:35
- Silenz
Re : Quels ports ouvrir pour rediriger le trafic web avec un VPN ?
Merci pour ta réponse. J'ai réussi à définir les règles, je vais maintenant essayer de comprendre comment accéder aux logs et surtout à quel fichier delog en particulier
Oui j'ai bien pensé à changer le port d'utilisation côté serveur et client, normalement il ne devrait pas y avoir de soucis de ce côté.
Hors ligne
#4 Le 12/03/2015, à 15:02
- sauthess
Re : Quels ports ouvrir pour rediriger le trafic web avec un VPN ?
Ouvres une console et fais :
tail -f /var/log/syslog
cela va surveiller la log (toute nouvelle ligne écrite dans le fichier sera affichée).
refais ton test, les DROP devraient apparaitrent.
Serveur : Debian openvz, Portable 1 : Arch linux, Portable 2 et 3 : Ubuntu
Hors ligne
#5 Le 12/03/2015, à 22:16
- Compte anonymisé
Re : Quels ports ouvrir pour rediriger le trafic web avec un VPN ?
slt
Normal que ça ne passe pas puisque le FORWARD est en DROP et je ne vois pas de port 53,80..443...autorisés, les connexion "dites déjà établies" doivent être elles aussi autorisées pour le FORWARD...
tu dois avoir au moins ces 3 règles à adapter: (dans le cas présent servant d'exemple, les interfaces sont eth0, tun0 et le réseau vpn est 10.8.0.0)
iptables -A FORWARD -i eth0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 10.8.0.0/24 -o eth0 -p tcp -m multiport --dports 80,443 -j ACCEPT
iptables -A FORWARD -s 10.8.0.0/24 -o eth0 -p udp -m multiport --dports 53 -j ACCEPT
Dernière modification par sirius007 (Le 12/03/2015, à 22:21)