Ubuntu-fr

SingingLarvae

[résolu] VPN freebox et accès SSH depuis l'extérieur

Bonjour à tous,

Je dispose d’une Freebox (freebox mini 4k, os 3.3) que je souhaiterai utiliser en serveur VPN. Le but est de pouvoir me connecter depuis l’extérieur en SSH aux différentes machines (debian ou ubuntu) qui sont sur mon réseau.

Si j’utilise le mode routé de la Freebox, j’ai coté client :

Thu Dec 29 12:34:14 2016 UDPv4 link remote: [AF_INET]XXX.XXX.XXX.XXX:YYYYY
Thu Dec 29 12:34:14 2016 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Thu Dec 29 12:34:15 2016 [Freebox OpenVPN server 5747450e46e2999b1693178288c88d74] Peer Connection Initiated with [AF_INET]XXX.XXX.XXX.XXX:YYYYY
Thu Dec 29 12:34:17 2016 TUN/TAP device tun0 opened
Thu Dec 29 12:34:17 2016 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Thu Dec 29 12:34:17 2016 /sbin/ip link set dev tun0 up mtu 1500
Thu Dec 29 12:34:17 2016 /sbin/ip addr add dev tun0 local 192.168.27.65 peer XXX.XXX.XXX.XXX
RTNETLINK answers: File exists
Thu Dec 29 12:34:17 2016 ERROR: Linux route add command failed: external program exited with error status: 2
Thu Dec 29 12:34:17 2016 Initialization Sequence Completed

Sur la Freebox, je suis bien connecté depuis l’extérieur, mais avec avec une IP de type 192.168.27.XX et du fait de cette IP, je ne suis pas autorisé à me connecter à mes machines (qui sont elles de type 192.168.1.XX). [Nb : l'erreur de "routing" est due au fait que j'ai relancé une connection VPN qui existait déjà...]

Maintenant, si j’utilise le mode bridgé :

Thu Dec 29 12:50:12 2016 UDPv4 link local: [undef]
Thu Dec 29 12:50:12 2016 UDPv4 link remote: [AF_INET]xx.xx.xx.xx:yyyy
Thu Dec 29 12:50:12 2016 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Thu Dec 29 12:50:13 2016 [Freebox OpenVPN server 5747450e46e2999b1693178288c88d74] Peer Connection Initiated with [AF_INET]xx.xx.xx.xx:yyyy
Thu Dec 29 12:50:15 2016 TUN/TAP device tap0 opened
Thu Dec 29 12:50:15 2016 Initialization Sequence Completed

Idem, j'apparais comme connecté sur la Freebox, mais avec une IP de type 0.0.0.0… et donc idem, impossible de joindre mes machines.

Bref, quelle serait la solution, sachant que je ne peux pas intervenir directement sur le serveur OpenVPN de la freebox, mais uniquement sur la configuration coté client

Merci d’avance pour toute proposition

Dernière modification par SingingLarvae (Le 01/01/2017, à 15:15)

Laurent85

Re : [résolu] VPN freebox et accès SSH depuis l'extérieur

Bonjour, tu devrais masquer dans ton message l'adresse ip de la freebox qui apparaît en mode bridgé.

SingingLarvae

Re : [résolu] VPN freebox et accès SSH depuis l'extérieur

Oupsss, merci ! Modifié (j'ai du poster le mauvais brouillon )

Laurent85

Re : [résolu] VPN freebox et accès SSH depuis l'extérieur

J'ai fait un test mode routé sur une Freebox v6 sans rencontrer de problème. Démarre la session client openvpn,

vérifie déjà la connectivité avec l'adresse ip 192.168.1.254 du routeur, celle du réseau lan interne :

ping -c3 192.168.1.254

ensuite fais la même chose ping l'adresse ip 192.168.1.x d'un ordi sur le réseau lan chez toi.

Dernière modification par Laurent85 (Le 29/12/2016, à 16:32)

SingingLarvae

Re : [résolu] VPN freebox et accès SSH depuis l'extérieur

Merci pour le retour ! De mon coté, ça n'est pas sans problème :

$ ping -c 5 192.168.1.254
PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data.
From 192.168.1.18 icmp_seq=1 Destination Host Unreachable
From 192.168.1.18 icmp_seq=2 Destination Host Unreachable
From 192.168.1.18 icmp_seq=3 Destination Host Unreachable
From 192.168.1.18 icmp_seq=4 Destination Host Unreachable
From 192.168.1.18 icmp_seq=5 Destination Host Unreachable

--- 192.168.1.254 ping statistics ---
5 packets transmitted, 0 received, +5 errors, 100% packet loss, time 4023ms
pipe 3

Idem pour des machines en réseau sur la plage 192.168.1.XX

Le retour de la commande openvpn :

$ sudo openvpn config_openvpn_routed_marc.ovpn
[sudo] Mot de passe de marc : 
Thu Dec 29 16:08:49 2016 OpenVPN 2.3.10 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Feb  2 2016
Thu Dec 29 16:08:49 2016 library versions: OpenSSL 1.0.2g  1 Mar 2016, LZO 2.08
Enter Auth Username: ****
Enter Auth Password: *******************
Thu Dec 29 16:08:54 2016 UDPv4 link local: [undef]
Thu Dec 29 16:08:54 2016 UDPv4 link remote: [AF_INET]XX.XX.XX.XX:YYYY
Thu Dec 29 16:08:54 2016 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Thu Dec 29 16:08:55 2016 [Freebox OpenVPN server 5747450e46e2999b1693178288c88d74] Peer Connection Initiated with [AF_INET]XX.XX.XX.XX:YYYY
Thu Dec 29 16:08:57 2016 TUN/TAP device tun0 opened
Thu Dec 29 16:08:57 2016 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Thu Dec 29 16:08:57 2016 /sbin/ip link set dev tun0 up mtu 1500
Thu Dec 29 16:08:57 2016 /sbin/ip addr add dev tun0 local 192.168.27.65 peer XX.XX.XX.XX
RTNETLINK answers: File exists
Thu Dec 29 16:08:57 2016 ERROR: Linux route add command failed: external program exited with error status: 2
Thu Dec 29 16:08:57 2016 Initialization Sequence Completed

J'ai toujours cette IP en 192.168.27.XX, malgré la relance de la Freebox. Ma configuration marchait avant une mise à jour de la Freebox il y a de cela quelques mois.

Je me demande si ça n'est pas du, au final, à cette erreur de route ?

Laurent85

Re : [résolu] VPN freebox et accès SSH depuis l'extérieur

Thu Dec 29 16:08:57 2016 /sbin/ip addr add dev tun0 local 192.168.27.65 peer XX.XX.XX.XX
RTNETLINK answers: File exists
Thu Dec 29 16:08:57 2016 ERROR: Linux route add command failed: external program exited with error status: 2

J'ai toujours cette IP en 192.168.27.XX, malgré la relance de la Freebox. Ma configuration marchait avant une mise à jour de la Freebox il y a de cela quelques mois.

Je me demande si ça n'est pas du, au final, à cette erreur de route ?

Redémarre la machine cliente, il y a des erreurs l'état de la table de routage pose problème.

SingingLarvae

Re : [résolu] VPN freebox et accès SSH depuis l'extérieur

Malgré le redémarrage, ça ne change rien...

$ sudo route -n
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
0.0.0.0         XX.XX.XX.XX   0.0.0.0         UG    0      0        0 tun0
YY.YY.YY.YY   192.168.1.1     255.255.255.255 UGH   0      0        0 wlp4s0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 wlp4s0
192.168.27.64   XX.XX.XX.XX   255.255.255.224 UG    0      0        0 tun0
XX.XX.XX.XX   0.0.0.0         255.255.255.255 UH    0      0        0 tun0

Avec XX.XX.XX.XX l'adresse de la Freebox et YY.YY.YY.YY mon adresse IP distante "publique".

Laurent85

Re : [résolu] VPN freebox et accès SSH depuis l'extérieur

Le problème vient du fait que le réseau interne de la machine cliente (le LAN) 192.168.1.0/24 est le même que le LAN de la freebox. Et donc lors de la configuration du routage pour accéder aux machines du LAN de la freebox il y a ce message d'erreur qui indique que la route de ce réseau existe déjà.

Tu peux le voir avec cette route :

192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 wlp4s0

Elle indique que l'interface réseau utilisée est wlp4s0, c'est le réseau local de la machine cliente. Alors que pour accéder au LAN de la freebox il faut configurer cette route via l'interface tun0, celle du VPN, il y a conflit donc ça marche pas.

Une solution consisterait à changer la plage d'adresse du LAN de la freebox pour un réseau moins commun, par exemple 192.168.2.0/24, de cette façon quel que soit l'endroit d'où tu te connectes le problème de conflit aura peu de chances de se présenter.

Dernière modification par Laurent85 (Le 30/12/2016, à 14:45)

SingingLarvae

Re : [résolu] VPN freebox et accès SSH depuis l'extérieur

Une solution consisterait à changer la plage d'adresse du LAN de la Freebox pour un réseau moins commun, par exemple 192.168.2.0/24

J'avais déjà essayé cette solution, vue en parcourant les différents tutos, mais... sans effet :

$ sudo openvpn config_openvpn_routed_marc.ovpn
Fri Dec 30 15:48:40 2016 OpenVPN 2.3.10 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Feb  2 2016
Fri Dec 30 15:48:40 2016 library versions: OpenSSL 1.0.2g  1 Mar 2016, LZO 2.08
Enter Auth Username: ****
Enter Auth Password: *******************
Fri Dec 30 15:48:52 2016 UDPv4 link local: [undef]
Fri Dec 30 15:48:52 2016 UDPv4 link remote: [AF_INET]XX.XX.XX.XX:YYYY
Fri Dec 30 15:48:53 2016 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Fri Dec 30 15:48:53 2016 [Freebox OpenVPN server 5747450e46e2999b1693178288c88d74] Peer Connection Initiated with [AF_INET]XX.XX.XX.XX:YYYY
Fri Dec 30 15:48:56 2016 TUN/TAP device tun0 opened
Fri Dec 30 15:48:56 2016 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Fri Dec 30 15:48:56 2016 /sbin/ip link set dev tun0 up mtu 1500
Fri Dec 30 15:48:56 2016 /sbin/ip addr add dev tun0 local 192.168.27.65 peer ZZ.ZZ.ZZ.ZZ
Fri Dec 30 15:48:56 2016 Initialization Sequence Completed

La Freebox donne une IP qui est encore sur un autre "range" (192.168.27.XX) :

$ sudo route -n
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
0.0.0.0         ZZ.ZZ.ZZ.ZZ   0.0.0.0         UG    0      0        0 tun0
XX.XX.XX.XX   192.168.1.1     255.255.255.255 UGH   0      0        0 wlp4s0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 wlp4s0
192.168.2.0     ZZ.ZZ.ZZ.ZZ   255.255.255.0   UG    0      0        0 tun0
192.168.27.64   ZZ.ZZ.ZZ.ZZ   255.255.255.224 UG    0      0        0 tun0
ZZ.ZZ.ZZ.ZZ   0.0.0.0         255.255.255.255 UH    0      0        0 tun0

J'ai essayé de changer par 2 fois, et rien à faire, on est pas sur la même plage !

Qui plus est (et là, je pense qu'il y a un vrai bug de la part de la Freebox), si on change le range de l'IP par défaut du DHCP (c'est à dire 192.168.1.XX), la Freebox n'assigne aucune IP aux différentes machines... Cette fonctionnalité ne marche que si on est sur 192.168.1.XX !!

La Mini 4K, ça n'est pas vraiment cela :-/

Laurent85

Re : [résolu] VPN freebox et accès SSH depuis l'extérieur

$ sudo route -n
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 wlp4s0
192.168.2.0     ZZ.ZZ.ZZ.ZZ   255.255.255.0   UG    0      0        0 tun0

La configuration a marché là, tu devrais pouvoir faire un ping sur l'ip lan du routeur, 192.168.2.254 je suppose :

ping -c3 192.168.2.254

Qui plus est (et là, je pense qu'il y a un vrai bug de la part de la Freebox), si on change le range de l'IP par défaut du DHCP (c'est à dire 192.168.1.XX), la Freebox n'assigne aucune IP aux différentes machines... Cette fonctionnalité ne marche que si on est sur 192.168.1.XX !!

La Mini 4K, ça n'est pas vraiment cela :-/

Tu as mis quoi dans paramètres DHCP ? je n'ai pas de 4K mais à mon avis ils ont repris le même code.

SingingLarvae

Re : [résolu] VPN freebox et accès SSH depuis l'extérieur

OK, j'ai réussi a joindre le routeur en ping

Pour le DHCP, je n'ai rien mis d'extraordinaire :

Mais les machines ne prennent que des adresses IPV6 et pas d'adresses IP...

Etant à l'extérieur, je ne peux pas les relancer manuellement (et comme je n'ai pas d'accès SSH...). J'ai essayé de démarrer certaines d'entre elles via WOL, mais je n'ai pas eu de succès :-/

Laurent85

Re : [résolu] VPN freebox et accès SSH depuis l'extérieur

DHCP c'est correct. Il faudrait redémarrer tout, freebox et ordis. Tu as essayé un ping sur l'adresse lan du routeur ?

SingingLarvae

Re : [résolu] VPN freebox et accès SSH depuis l'extérieur

Retour à la maison où j'ai pu relancer déconnecter/reconnecter manuellement la Freebox et les différentes machines. Elles ont bien cette fois toutes une IPV4 en 192.168.2.XX...

Il ne reste plus qu'à re-tester le VPN depuis l'extérieur, mais ça devrait marcher !

Laurent85

Re : [résolu] VPN freebox et accès SSH depuis l'extérieur

Elles ont bien cette fois toutes une IPV4 en 192.168.2.XX...

Il ne reste plus qu'à re-tester le VPN depuis l'extérieur, mais ça devrait marcher !

Bonne nouvelle

SingingLarvae

Re : [résolu] VPN freebox et accès SSH depuis l'extérieur

Et merci pour tout en cette nouvelle année ;-)