[Non résolu] Relier deux réseaux locaux de même plage d'adresses IP

droopy191 · Le 22/07/2016, à 13:45

Salut

maxire a écrit :

Salut,
En fait pourquoi utiliser un VPN?

ne pas faire passer les données en clair sur internet si j'ai bien compris le montage.

maxire a écrit :

Cette solution me semble lourde et impossible à mettre en œuvre dans la mesure où comme pointé dès le début de cette discussion les vpn comme Openvpn utilisent des sous-réseaux.

pas forcément, le but du vpn en mode bridge est de donner accès au clients vpn comme si ils étaient dans le réseau local ( sans routage, même zone de broadcast ).

maxire a écrit :

Je ne vois pas comment tu peux t'en sortir avec un ensemble de boîtiers avec adresses IP fixes répartis de manière discrète entre le réseau local de l'entreprise et le réseau distant.
Par exemple boîtiers 192.168.0.60, 61, 65, 67, 69 dans le réseau distant, boîtiers 192.168.0.68, 63, 66 dans le réseau de l'entreprise et boîtiers 192.168.0.62, 64, 70 non utilisés.

C'est sans doute un peu complexe à maintenir. Mais une fois le lien entre les 2 réseaux crée, c'est transparent ( hormis la latence pour l'antenne extérieure).

G4UT13R a deja réussi à intégrer le rpi dans le réseau local dans le tunnel vpn, il faut juste prolonger ce "fil" jusqu'a l'antenne extérieure.

PPdM · Le 22/07/2016, à 13:47

Cette antenne est reliée en 2G c'est ça ?

Dernière modification par PPdM (Le 22/07/2016, à 13:50)

droopy191 · Le 22/07/2016, à 13:48

G4UT13R a écrit :

[
En montant un bridge sur le serveur vpn entre tap et eth, j'ai un souci, le client est déconnecté et ne peux plus se reconnecter au serveur...

Expliquez nous comment vous avez fait dans les détails. Ce n'est pas du standard tout fait, il faut prendre la main sur la phase de démarrage du vpn et du réseau comme expliqué plus hat.

G4UT13R · Le 22/07/2016, à 13:58

droopy191 a écrit :

Expliquez nous comment vous avez fait dans les détails. Ce n'est pas du standard tout fait, il faut prendre la main sur la phase de démarrage du vpn et du réseau comme expliqué plus haut.

Eh bien j'ai ajouté dans le fichier /etc/network/interfaces les lignes suivantes

iface br0 inet static
bridge-ports enp2s0 tap0
address 192.168.0.71
netmask 255.255.255.0

Puis j'ai fais un

sudo ifup br0

Il apparait bien dans le ifconfig avec son adresse.
Enfin, quand je fais

brctl show

je vois bien les deux interfaces enp2s0 et tap0 ajouté au pont.
Je pense que si je perd la connexion, c'est parce que l'interface tap0, en étant ajouté au bridge, devient inaccessible

Pourquoi mon eth0 s'appelle enp2s0 sur mon serveur vpn ? Est-ce important ?

G4UT13R · Le 22/07/2016, à 14:27

PPdM a écrit :

Cette antenne est reliée en 2G c'est ça ?

Non, l'antenne est relié en ethernet au RPi qui lui est relié à internet en 2g

PPdM · Le 22/07/2016, à 14:31

alors relis cette antenne au même réseau ou a la place du RPY, je ne vois pas l’intérêt de la solution compliquée que tu veux mettre en place.

G4UT13R · Le 22/07/2016, à 14:39

L'antenne étant un équipement passif, je ne peux pas mettre un client vpn dessus et donc je ne peux pas la relier au réseau entreprise car il faut forcement un tunnel vpn pour sécuriser les données. C'est pourquoi, entre autres, je passe par le raspberry. Le RPi sert également à faire tourner en boucle un programme que je vais développer qui affichera à l'aide de led les différents états, des connexions par exemple : une led pour la connexion internet, une led pour la connexion vpn, et une led clignotant à chaque envoi de données, permettant ainsi de faciliter le dépannage si besoin.

droopy191 · Le 22/07/2016, à 14:41

G4UT13R a écrit :

droopy191 a écrit :
Expliquez nous comment vous avez fait dans les détails. Ce n'est pas du standard tout fait, il faut prendre la main sur la phase de démarrage du vpn et du réseau comme expliqué plus haut.
Eh bien j'ai ajouté dans le fichier /etc/network/interfaces les lignes suivantes
iface br0 inet static
bridge-ports enp2s0 tap0
address 192.168.0.71
netmask 255.255.255.0

Si c'était si simple, il n'y avait pas de sujet de stage

G4UT13R a écrit :

Pourquoi mon eth0 s'appelle enp2s0 sur mon serveur vpn ? Est-ce important ?

C'est la nouvelle mode avec systemd. Ce dernier pourrait bien etre embetant.
Je n'ai pas d'ubuntu sous la main, les commandes suivantes sont surement a adapter.

Il faut prendre la main sur le démarrage
Empecher le serveur vpn de démarrer en automatique
Editez /etc/default/openvpn

#AUTOSTART="all"
AUTOSTART="none"

et aussi sur l'interface ethernet
/etc/network/interfaces

auto enp2s0 
iface enp2s0 inet manual

Au boot, vous n'aurez pas de serveur vpn, pas de réseau.

# on crée l'interface vpn tap0 ( interface tap en fonction du nom dans la config openvpn ).
openvpn --mktun --dev tap0
# on crée le bridge
brctl addbr br0
# on ajoute l'interface ethernet au bridge
brctl addif br0 enp2s0 
# on ajoute l'interface vpn au bridge
brctl addif br0 tap0
# on configure les interfaces en mode de proximité
ifconfig enp2s0  promisc up
ifconfig tap0 promisc up

#on démarre le vpn 
/etc/init.d/openvpn start fichier_de_conf_vpn

#on démarre le bridge
ifconfig br0 192.168.0.X netmask 255.255.255.0 up 
route add default gw 192.168.0.Y

essayez deja de configurer cela en manuel et voir si ca marche

PPdM · Le 22/07/2016, à 14:45

G4UT13R a écrit :

L'antenne étant un équipement passif, je ne peux pas mettre un client vpn dessus et donc je ne peux pas la relier au réseau entreprise car il faut forcement un tunnel vpn pour sécuriser les données. C'est pourquoi, entre autres, je passe par le raspberry. Le RPi sert également à faire tourner en boucle un programme que je vais développer qui affichera à l'aide de led les différents états, des connexions par exemple : une led pour la connexion internet, une led pour la connexion vpn, et une led clignotant à chaque envoi de données, permettant ainsi de faciliter le dépannage si besoin.

Non je ne crois pas, il te faut juste un switch programmable, lundi je vais poser ton problème, si possible, a un collègue qui fait ce genre de réseau, mais avec une dizaine d'antennes Cisco par site.

G4UT13R · Le 22/07/2016, à 15:02

@PPdM Ok merci, tenez moi au courant.

Dernière modification par G4UT13R (Le 22/07/2016, à 15:55)

G4UT13R · Le 22/07/2016, à 16:34

droopy191 a écrit :

Je n'ai pas d'ubuntu sous la main, les commandes suivantes sont surement a adapter.
Il faut prendre la main sur le démarrage
Empecher le serveur vpn de démarrer en automatique
Editez /etc/default/openvpn
#AUTOSTART="all"
AUTOSTART="none"
et aussi sur l'interface ethernet
/etc/network/interfaces
auto enp2s0 
iface enp2s0 inet manual
Au boot, vous n'aurez pas de serveur vpn, pas de réseau.
# on crée l'interface vpn tap0 ( interface tap en fonction du nom dans la config openvpn ).
openvpn --mktun --dev tap0
# on crée le bridge
brctl addbr br0
# on ajoute l'interface ethernet au bridge
brctl addif br0 enp2s0 
# on ajoute l'interface vpn au bridge
brctl addif br0 tap0
# on configure les interfaces en mode de proximité
ifconfig enp2s0  promisc up
ifconfig tap0 promisc up

#on démarre le vpn 
/etc/init.d/openvpn start fichier_de_conf_vpn

#on démarre le bridge
ifconfig br0 192.168.0.X netmask 255.255.255.0 up 
route add default gw 192.168.0.Y
essayez deja de configurer cela en manuel et voir si ca marche

Cette solution me fait le même problème qu'avant : je n'arrive pas à créer le tunnel vpn car le client ne trouve probablement pas l'interface tap0 du côté serveur (vu qu'elle est bridgée)

Dernière modification par G4UT13R (Le 22/07/2016, à 16:34)

Compte anonymisé · Le 22/07/2016, à 17:20

G4UT13R a écrit :

Cette solution me fait le même problème qu'avant : je n'arrive pas à créer le tunnel vpn car le client ne trouve probablement pas l'interface tap0 du côté serveur (vu qu'elle est bridgée)

en fait même bridgé, le serveur vpn doit resté joignable depuis l'internet puisqu' une adresse a été définie pour l'interface br0 qui garde la main.
attention si tu as changé son ip, il faut penser à refaire la redirection de port vers le serveur vpn dans les paramètres du routeur pour les connexions entrantes..

droopy191 · Le 22/07/2016, à 20:07

Localhost a écrit :

G4UT13R a écrit :
Cette solution me fait le même problème qu'avant : je n'arrive pas à créer le tunnel vpn car le client ne trouve probablement pas l'interface tap0 du côté serveur (vu qu'elle est bridgée)
en fait même bridgé, le serveur vpn doit resté joignable depuis l'internet puisqu' une adresse a été définie pour l'interface br0 qui garde la main.
attention si tu as changé son ip, il faut penser à refaire la redirection de port vers le serveur vpn dans les paramètres du routeur pour les connexions entrantes..

et
Vous avez configuré le vpn client en mode tap ?
Avez vous adapté votre firewall au bridge ?
Postez vos fichier de conf serveur et client.
les commandes données de démarrage du vpn sont peut etre à adapter à systemd ( à la place de /etc/init.d/openvpn start )

Dernière modification par droopy191 (Le 22/07/2016, à 20:09)

G4UT13R · Le 25/07/2016, à 08:36

Localhost a écrit :

il faut penser à refaire la redirection de port vers le serveur vpn dans les paramètres du routeur pour les connexions entrantes.

Exact ! J'avais oublié ce point, cependant cela ne fonctionne pas non plus, ai-je oublié autre chose ?

/etc/openvpn/server.conf

port 1194
proto udp

dev tap0

ca ca.crt
cert vpnserver.crt
key vpnserver.key

dh dh2048.pem

server 10.10.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

/etc/openvpn/client.conf

client
dev tap
proto udp
remote 185.xxx.xxx.xxx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert vpnclient.crt
key vpnclient.key
ns-cert-type server
comp-lzo
verb 3
pull

Compte anonymisé · Le 25/07/2016, à 09:21

ton serveur n'est pas configuré en mode bridge

https://www.debian-fr.org/t/install-ope … ridge/4458
(consulte depuis <<Configuration du serveur>> inutile de tout reprendre)

G4UT13R · Le 25/07/2016, à 09:25

Je ne comprend pas, quelle plage d'adresse dois-je mettre dans l'option server-bridge ?

Compte anonymisé · Le 25/07/2016, à 09:48

G4UT13R a écrit :

Je ne comprend pas, quelle plage d'adresse dois-je mettre dans l'option server-bridge ?

la plage d'adresse que le programme analyseur d'antennes utilise,

exemple
server-bridge 192.168.0.1 255.255.255.0 192.168.0.50 192.168.0.250

comme le routeur est intercalé entre le PC du programme et le serveur VPN, tu va être obligé d'utiliser un deuxième client vpn depuis le PC (à moins que ce routeur soit lui même configuré en client vpn mais dans ce cas cela risque de perturber d'autres postes de l'entreprise qui utiliseraient ce routeur comme passerelle vers l'internet)

d'ailleurs si le RPI est le seule poste extérieur, il aurait été plus simple d'installer le serveur vpn sur le RPI et le client sur le PC. (le tout est de savoir si l'entreprise projette d'autres antennes extérieures..)

Dernière modification par Compte anonymisé (Le 25/07/2016, à 10:02)

G4UT13R · Le 25/07/2016, à 09:49

J'y ai pensé, j'attend le retour de mon tuteur demain pour lui en parler.

Compte anonymisé · Le 25/07/2016, à 10:08

G4UT13R a écrit :

J'y ai pensé, j'attend le retour de mon tuteur demain pour lui en parler.

alors les questions suivantes sont à lui poser:
-est t'il possible d'installer directement le programme aussi sur le RPI ? (et utiliser ssh)
-est ce qu'il envisage d'autres antennes extérieures ?

G4UT13R · Le 25/07/2016, à 10:10

Localhost a écrit :

-est ce qu'il envisage d'autres antennes extérieures ?

Il est fort possible en effet, mais je ne suis pas certain

maxire · Le 25/07/2016, à 10:38

Salut,

Il me semble que le bridge est une solution, mais tu dois tout de même utiliser des plages d'adresses comme par exemple
192.168.0.60 à 192.168.0.64 dans le réseau entreprise et 192.168.0.65 à 192.168.0.70 dans le réseau distant.

Une question, également à poser, les adresses IP des boîtiers sont-elles facilement paramétrables?
Je pense à la maintenance de ces boîtiers, en cas de défaillance de l'un d'eux et de son remplacement par un nouveau boîtier sera-t-il possible de conserver la même adresse IP pour le nouveau boîtier?
Si non, cela risque de briser le paramétrage par plage d'adresses du pont au cas où la nouvelle adresse IP du boîtier est en dehors de celle-ci.

Je crois que c'est un facteur à prendre en compte.

Rien ne vaut les documentations originales:
FAQ Openvpn ethernet brige
Ceci en complément de celle qu'a donné localhost.

G4UT13R · Le 25/07/2016, à 11:10

Je n'arrive toujours pas à connecter le RPi (client vpn) au serveur vpn en mode bridge,
Est-ce normal que l'interface tap n'ai pas d'adresse ip ?

Dans le routeur, je redirige ce qui arrive sur le port 1194 vers l'adresse du bridge, c'est bien ça ?

droopy191 · Le 25/07/2016, à 11:45

G4UT13R a écrit :

Je n'arrive toujours pas à connecter le RPi (client vpn) au serveur vpn en mode bridge,
Est-ce normal que l'interface tap n'ai pas d'adresse ip ?

Sur le serveur c'est normal, c'est le bridge qui prends l'interface.
Sur le client, pour le moment, tap doit obtenir une adresse ip ( fournie par le serveur vpn ) et ne configurez pas pas d'adresse ip sur eth0 du rpi ( ca va mettre le boxon )

Vous voulez une adresse ip fixe pour le rpi 192.168.0.60. Il faut le configurer sur le serveur.
ajoutez /etc/openvpn/server.conf

ifconfig-pool-persist ipp.txt

et créez /etc/openvpn/ipp.txt
contenant

rpi,192.168.0.60

ou rpi est le hostname de votre rpi.

Le tuto proposé par localhost est très bien fait.
Repostez vos fichiers avec les modifs apportées
/etc/openvpn/server.conf
/etc/network/interfaces
pour que l'on puisse voir ce qui cloche

Avez vous desactivé le démarrage automatique de openvpn sur le serveur ?

update-rc.d -f openvpn remove

ou modif de /etc/default/openvpn

#AUTOSTART="all"
AUTOSTART="none"

G4UT13R · Le 25/07/2016, à 11:57

droopy191 a écrit :

Sur le client, pour le moment, tap doit obtenir une adresse ip ( fournie par le serveur vpn )

Le client ne se connecte pas au serveur, j'ai l'erreur

TLS Error: TLS key negociation failed to occur within 60 seconds (check your network connectivity)
TLS Error: TLS handshake failed

droopy191 a écrit :

Repostez vos fichiers avec les modifs apportées
/etc/openvpn/server.conf
/etc/network/interfaces
pour que l'on puisse voir ce qui cloche

/etc/openvpn/server.conf

port 1194
proto udp
dev tap0
ca ca.crt
cert vpnserver.crt
key vpnserver.key
dh dh2048.pem
ifconfig-pool-persist ipp.txt
server-bridge 192.168.0.71 255.255.255.0 192.168.0.60 192.168.0.120
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
log-append  openvpn.log
verb 3

/etc/network/interfaces

source /etc/network/interfaces.d/*

auto lo
iface lo inet loopback

auto br0
iface br0 inet static
        address 192.168.0.71
        netmask 255.255.255.0
        broadcast 192.168.0.255
        bridge-ports enp2s0
        post-up sudo /etc/openvpn/scripts/ovup && sudo service openvpn@server start
        pre-down sudo service openvpn@server stop
        post-down sudo /etc/openvpn/scripts/ovdown

droopy191 a écrit :

Avez vous desactivé le démarrage automatique de openvpn sur le serveur ?
update-rc.d -f openvpn remove
ou modif de /etc/default/openvpn
#AUTOSTART="all"
AUTOSTART="none"

Oui oui, j'ai même fait les deux

droopy191 · Le 25/07/2016, à 12:19

après un redémarrage du serveur
donnez les sorties de ifconfig
dmesg
openvpn.log

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#76 Le 22/07/2016, à 13:45

Re : [Non résolu] Relier deux réseaux locaux de même plage d'adresses IP

#77 Le 22/07/2016, à 13:47

Re : [Non résolu] Relier deux réseaux locaux de même plage d'adresses IP

#78 Le 22/07/2016, à 13:48

Re : [Non résolu] Relier deux réseaux locaux de même plage d'adresses IP

#79 Le 22/07/2016, à 13:58

Re : [Non résolu] Relier deux réseaux locaux de même plage d'adresses IP

#80 Le 22/07/2016, à 14:27

Re : [Non résolu] Relier deux réseaux locaux de même plage d'adresses IP

#81 Le 22/07/2016, à 14:31

Re : [Non résolu] Relier deux réseaux locaux de même plage d'adresses IP

#82 Le 22/07/2016, à 14:39

Re : [Non résolu] Relier deux réseaux locaux de même plage d'adresses IP

#83 Le 22/07/2016, à 14:41

Re : [Non résolu] Relier deux réseaux locaux de même plage d'adresses IP

#84 Le 22/07/2016, à 14:45

Re : [Non résolu] Relier deux réseaux locaux de même plage d'adresses IP

#85 Le 22/07/2016, à 15:02

Re : [Non résolu] Relier deux réseaux locaux de même plage d'adresses IP

#86 Le 22/07/2016, à 16:34

Re : [Non résolu] Relier deux réseaux locaux de même plage d'adresses IP

#87 Le 22/07/2016, à 17:20

Re : [Non résolu] Relier deux réseaux locaux de même plage d'adresses IP

#88 Le 22/07/2016, à 20:07

Re : [Non résolu] Relier deux réseaux locaux de même plage d'adresses IP

#89 Le 25/07/2016, à 08:36

Re : [Non résolu] Relier deux réseaux locaux de même plage d'adresses IP

#90 Le 25/07/2016, à 09:21

Re : [Non résolu] Relier deux réseaux locaux de même plage d'adresses IP

#91 Le 25/07/2016, à 09:25

Re : [Non résolu] Relier deux réseaux locaux de même plage d'adresses IP

#92 Le 25/07/2016, à 09:48

Re : [Non résolu] Relier deux réseaux locaux de même plage d'adresses IP

#93 Le 25/07/2016, à 09:49

Re : [Non résolu] Relier deux réseaux locaux de même plage d'adresses IP

#94 Le 25/07/2016, à 10:08

Re : [Non résolu] Relier deux réseaux locaux de même plage d'adresses IP

#95 Le 25/07/2016, à 10:10

Re : [Non résolu] Relier deux réseaux locaux de même plage d'adresses IP

#96 Le 25/07/2016, à 10:38

Re : [Non résolu] Relier deux réseaux locaux de même plage d'adresses IP

#97 Le 25/07/2016, à 11:10

Re : [Non résolu] Relier deux réseaux locaux de même plage d'adresses IP

#98 Le 25/07/2016, à 11:45

Re : [Non résolu] Relier deux réseaux locaux de même plage d'adresses IP

#99 Le 25/07/2016, à 11:57

Re : [Non résolu] Relier deux réseaux locaux de même plage d'adresses IP

#100 Le 25/07/2016, à 12:19

Re : [Non résolu] Relier deux réseaux locaux de même plage d'adresses IP

Pied de page des forums