- Accueil
- » Forum
- » Serveurs
- » Openvpn Bridgé
Pages : 1
#1 Le 13/04/2022, à 10:58
- Jiib
Openvpn Bridgé
Bonjour,
J'ai monté un serveur Openvpn bridgé.
BR0: 10.4.0.19/24
serveur bridge : 10.4.100.19 mask 255.255.0.0 10.4.100.100 10.4.100.200
station sous windows ip: 10.4.100.101
la connexion au serveur vpn fonctionne bien
J'arrive à me connecter sur le serveur en 10.4.0.19 mais impossible d'accéder au sous-réseaux 10.4.0.xxx
J'ai testé des routes mais rien y fait
Quelqu'un a une idée ?
Merci d'avance.
Hors ligne
#2 Le 13/04/2022, à 13:18
- NicoApi73
Re : Openvpn Bridgé
Bonjour,
En préalable, j'utilise openVPN (j'ai un serveur chez moi, et j'ai mis en place des clients), mais je n'utilise pas le mode bridge. Il me faudra du temps si j'arrive à te dépanner.
Sauf erreur de ma part, Il me semble que le problème vienne des netmasks de BR0 et de ce que tu appelles serveur bridge. Je suppose que ta station sous windows est un client. Ton bridge ne va prendre en charge que les paquets du sous réseau 10.4.0.0/24 soit un netmask 255.255.255.0 et donc les paquets du réseau 10.4.100.0/24 ne seront pas gérés par ce bridge.
EDIT : Une chose que je ne comprends pas non plus, confortée par les recherches que je viens de faire. Pourquoi l'adresse de BR0 et celle de ton serveur-bridge diffèrent-elles? Ton bridge est normalement composé de l'interface physique de ta machine et de toutes les interfaces virtuelles de tes clients (TAP)
Dernière modification par NicoApi73 (Le 13/04/2022, à 13:51)
Hors ligne
#3 Le 13/04/2022, à 17:03
- Jiib
Re : Openvpn Bridgé
Salut et merci pour la réponse
je lance un script lors de lancement du serveur openvpn voici les lignes :
#!/bin/bash
openvpn --mktun --dev tap0
brctl addbr br0
brctl addif br0 tap0
brctl addif br0 ens160
ifconfig ens160 0.0.0.0 promisc up
ifconfig tap0 0.0.0.0 promisc up
ifconfig br0 10.4.0.19 netmask 255.255.0.0
route add default gw 10.4.0.254 br0
le sous réseaux interne est : 10.4.0.0
le sous réseaux client vpn est: 10.4.100.0
Sur la machine client (windows)
route print :
10.4.0.0 255.255.0.0 On-link 10.4.100.101 281
10.4.0.0 255.255.0.0 10.4.0.19 10.4.100.101 281
Je pense que le problème viens d'une route ou d'un masque
J'espère avoir été un peu plus claire.
Merci d'avance
Hors ligne
#4 Le 13/04/2022, à 18:31
- NicoApi73
Re : Openvpn Bridgé
Il me faudrait tes fichiers de conf server et client (attention, il y a dedans des informations personnelles, en particulier l'adresse IP externe ou le nom de domaine, assure toi de les modifier)
EDIT : Pour configurer mon VPN, j'ai utilisé principalement cette documentation : https://openvpn.net/community-resources/how-to/
En ce qui te concerne, il y a également ceci : https://openvpn.net/community-resources … -bridging/
The OpenVPN bridge can now be started and stopped using this sequence::
run bridge-start
run openvpn
stop openvpn
run bridge-stop
Ton script ne respecte pas cette séquence, tu démarres openVPN avant de démarrer ton bridge...
Dernière modification par NicoApi73 (Le 13/04/2022, à 18:53)
Hors ligne
#5 Le 13/04/2022, à 18:59
- Jiib
Re : Openvpn Bridgé
Le pb pourrait donc venir du fait que je démarre le br dans le fichier de conf ?
Fichier de conf serveur
mode server
tls-server
local 10.4.0.19
port 1197
proto udp4
dev tap0
ca keys/.../ca.crt
cert keys/.../server.crt
key keys/.../server.key
dh keys/.../dh2048.pem
tls-auth keys/.../ta.key
remote-cert-tls client
cipher AES-256-GCM
auth SHA512
server-bridge 10.4.100.19 255.255.0.0 10.4.100.100 10.4.100.200
user nobody
group nogroup
max-clients 10
plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth/auth-ldap.conf
client-config-dir /etc/openvpn/servers/.../ccd
ccd-exclusive
client-to-client
comp-lzo
persist-key
script-security 2
up /etc/openvpn/bridge-start
push "route 10.4.0.0 255.255.0.0 10.4.0.254"
client
client
proto udp4
dev tap
ca ca.crt
cert c.crt
key c.key
remote xxx.xxx.xxx.xxx xxxx
tls-auth ta.key
cipher AES-256-GCM
auth SHA512
auth-user-pass
auth-retry interact
verb 2
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
float
resolv-retry infinite
nobind
Ps : ce n'est pas mon premier vpn à mettre en place mais dans cette config oui
Dernière modification par Jiib (Le 13/04/2022, à 19:06)
Hors ligne
#6 Le 13/04/2022, à 19:15
- NicoApi73
Re : Openvpn Bridgé
Pour moi, l'erreur semble être là :
ton bridge br0 est défini avec l'adresse 10.4.0.19 et dans le fichier de conf du serveur VPN : server-bridge 10.4.100.19
Les deux adresses devraient être les mêmes.
J'attire ton attention sur le fait que tu pousses l'adresse d'un gateway (10.4.0.254). Je ne sais pas si c'est volontaire de ta part. (surtout si ce gateway ne sait pas router vers les clients bridgés).
Hors ligne
#7 Le 13/04/2022, à 19:17
- Jiib
Re : Openvpn Bridgé
J'y ai pensé justement je me suis calé sur 10.4.0.19 idem même pb je ping bien 10.4.0.19 mais impossible de pinger 10.4.0.254 (routeur)
Hors ligne
#8 Le 13/04/2022, à 20:42
- NicoApi73
Re : Openvpn Bridgé
Que donne (sur le serveur VPN)
ifconfig -a
route -n
Donne aussi :
lsb_release -a
EDIT : As tu configuré iptables avec les commandes suivantes :
iptables -A INPUT -i tap0 -j ACCEPT
iptables -A INPUT -i br0 -j ACCEPT
iptables -A FORWARD -i br0 -j ACCEPT
Source : https://community.openvpn.net/openvpn/w … ngOverview
Dernière modification par NicoApi73 (Le 14/04/2022, à 08:44)
Hors ligne
#9 Le 14/04/2022, à 13:39
- Jiib
Re : Openvpn Bridgé
Salut,
pour l''iptables c'est bon.
ifconfig -a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
2: ens160: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc mq master br0 state UP group default qlen 1000
link/ether 00:50:56:97:a2:cb brd ff:ff:ff:ff:ff:ff
3: tap0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc fq_codel master br0 state UNKNOWN group default qlen 100
link/ether 62:fa:7e:79:af:49 brd ff:ff:ff:ff:ff:ff
4: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 00:50:56:97:a2:cb brd ff:ff:ff:ff:ff:ff
inet 10.4.0.19/16 brd 10.4.0.255 scope global br0
valid_lft forever preferred_lft forever
route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 10.4.0.254 0.0.0.0 UG 0 0 0 br0
10.4.0.0 0.0.0.0 255.255.0.0 U 0 0 0 br0
10.4.0.0 0.0.0.0 255.255.0.0 U 0 0 0 br0
et pour finir lsb_release
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 20.04.4 LTS
Release: 20.04
Codename: focal
Hors ligne
#10 Le 14/04/2022, à 13:53
- NicoApi73
Re : Openvpn Bridgé
Je sèche.
Il faut que je monte des machines virtuelles pour essayer.
Hors ligne
#11 Le 14/04/2022, à 14:23
- Jiib
Re : Openvpn Bridgé
moi aussi pour ca que je suis venue ici xD
petite précision je suis sur une VM sous VMWare (vSphere) officiel je précise
Hors ligne
#12 Le 14/04/2022, à 14:38
- bruno
Re : Openvpn Bridgé
Bonjour,
Il manque la vérification des règles iptables demandée en #8 et aussi vérifier si le noyau est autorisé à transmettre les paquets d'un interface à l'autre :
iptables -n -L
cat /proc/sys/net/ipv4/ip_forward
#13 Le 14/04/2022, à 17:19
- Jiib
Re : Openvpn Bridgé
Salut,
donc Iptables me donne :
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
et l'ip forward = 1
Hors ligne
#14 Le 14/04/2022, à 18:00
- bruno
Re : Openvpn Bridgé
Si tu as bien changé la conf comme indiqué en #6 par @NicoApi73 (adresse du serveur correcte), cela devrait a priori fonctionner.
J'aurais tendance à penser que le problème vient de la configuration du client.
le sous réseaux interne est : 10.4.0.0
le sous réseaux client vpn est: 10.4.100.0
Vu que tu as défini un /16, c'est le même sous-réseau : 10.4.0.0/16 ou noté autrement 10.4.0.0-10.4.255.255
#15 Le 14/04/2022, à 18:10
- Jiib
Re : Openvpn Bridgé
oui mais j'avais déjà testé cette conf avant de venir ici.
Ce qui m'étonne c'est que depuis ma machine windows j'arrive à faire un ping vers 10.4.0.19 et je vois bien que je passe par 10.4.100.101 (ip tap de windows).
Mais si je ping une adresse du sous réseau 10.4.0.10 par exemple ca n'abouti pas comme ci j'étais bloqué à l'intérieur du serveur VPN
Hors ligne
#16 Le 14/04/2022, à 18:58
- bruno
Re : Openvpn Bridgé
Essaie avec juste :
server-bridge 10.4.0.19 255.255.0.0
#17 Le 14/04/2022, à 19:36
- Zakhar
Re : Openvpn Bridgé
Jiib a écrit :le sous réseaux interne est : 10.4.0.0
le sous réseaux client vpn est: 10.4.100.0Vu que tu as défini un /16, c'est le même sous-réseau : 10.4.0.0/16 ou noté autrement 10.4.0.0-10.4.255.255
Exactement !
Pour comprendre ce qu'il se passe, ce qui ne va pas et où, un bon petit coup de Wireshark sur le serveur VPN.
"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)
Hors ligne
#18 Le 06/05/2022, à 10:19
- Jiib
Re : Openvpn Bridgé
Hello désoler pour la réponse tardive, merci de l'astuce de Wireshark je n'y avais pas pensé xD
Problème résolue ! J'ai rajouté une route sur le routeur .254 ca communique mieux
Merci à vous
Hors ligne
Pages : 1