Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 13/04/2022, à 10:58

Jiib

Openvpn Bridgé

Bonjour,
J'ai monté un serveur Openvpn bridgé.
BR0: 10.4.0.19/24
serveur bridge : 10.4.100.19 mask 255.255.0.0 10.4.100.100 10.4.100.200

station sous windows ip: 10.4.100.101
la connexion au serveur vpn fonctionne bien
J'arrive à me connecter sur le serveur en 10.4.0.19 mais impossible d'accéder au sous-réseaux 10.4.0.xxx

J'ai testé des routes mais rien y fait

Quelqu'un a une idée ?

Merci d'avance.

Hors ligne

#2 Le 13/04/2022, à 13:18

NicoApi73

Re : Openvpn Bridgé

Bonjour,

En préalable, j'utilise openVPN (j'ai un serveur chez moi, et j'ai mis en place des clients), mais je n'utilise pas le mode bridge. Il me faudra du temps si j'arrive à te dépanner.

Sauf erreur de ma part, Il me semble que le problème vienne des netmasks de BR0 et de ce que tu appelles serveur bridge. Je suppose que ta station sous windows est un client. Ton bridge ne va prendre en charge que les paquets du sous réseau 10.4.0.0/24 soit un netmask 255.255.255.0 et donc les paquets du réseau 10.4.100.0/24 ne seront pas gérés par ce bridge.

EDIT : Une chose que je ne comprends pas non plus, confortée par les recherches que je viens de faire. Pourquoi l'adresse de BR0 et celle de ton serveur-bridge diffèrent-elles? Ton bridge est normalement composé de l'interface physique de ta machine et de toutes les interfaces virtuelles de tes clients (TAP)

Dernière modification par NicoApi73 (Le 13/04/2022, à 13:51)

Hors ligne

#3 Le 13/04/2022, à 17:03

Jiib

Re : Openvpn Bridgé

Salut et merci pour la réponse
je lance un script lors de lancement du serveur openvpn voici les lignes :

#!/bin/bash
openvpn --mktun --dev tap0
brctl addbr br0
brctl addif br0 tap0
brctl addif br0 ens160

ifconfig ens160 0.0.0.0 promisc up
ifconfig tap0 0.0.0.0 promisc up

ifconfig br0 10.4.0.19 netmask 255.255.0.0 
route add default gw 10.4.0.254 br0

le sous réseaux interne est : 10.4.0.0
le sous réseaux client vpn est: 10.4.100.0

Sur la machine client (windows)
route print :

10.4.0.0      255.255.0.0         On-link   10.4.100.101    281
10.4.0.0      255.255.0.0      10.4.0.19  10.4.100.101    281

Je pense que le problème viens d'une route ou d'un masque

J'espère avoir été un peu plus claire.

Merci d'avance wink

Hors ligne

#4 Le 13/04/2022, à 18:31

NicoApi73

Re : Openvpn Bridgé

Il me faudrait tes fichiers de conf server et client (attention, il y a dedans des informations personnelles, en particulier l'adresse IP externe ou le nom de domaine, assure toi de les modifier)

EDIT : Pour configurer mon VPN, j'ai utilisé principalement cette documentation : https://openvpn.net/community-resources/how-to/
En ce qui te concerne, il y a également ceci : https://openvpn.net/community-resources … -bridging/

openVPN documentation a écrit :

The OpenVPN bridge can now be started and stopped using this sequence::

    run bridge-start
    run openvpn
    stop openvpn
    run bridge-stop

Ton script ne respecte pas cette séquence, tu démarres openVPN avant de démarrer ton bridge...

Dernière modification par NicoApi73 (Le 13/04/2022, à 18:53)

Hors ligne

#5 Le 13/04/2022, à 18:59

Jiib

Re : Openvpn Bridgé

Le pb pourrait donc venir du fait que je démarre le br dans le fichier de conf ?

Fichier de conf serveur

mode server
tls-server
local 10.4.0.19

port 1197
proto udp4
dev tap0

ca keys/.../ca.crt
cert keys/.../server.crt
key keys/.../server.key
dh keys/.../dh2048.pem
tls-auth keys/.../ta.key

remote-cert-tls client
cipher AES-256-GCM
auth SHA512

server-bridge 10.4.100.19 255.255.0.0 10.4.100.100 10.4.100.200

user nobody
group nogroup

max-clients 10
plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth/auth-ldap.conf

client-config-dir /etc/openvpn/servers/.../ccd
ccd-exclusive
client-to-client
comp-lzo
persist-key

script-security 2
up /etc/openvpn/bridge-start

push "route 10.4.0.0 255.255.0.0 10.4.0.254"

client

client
proto udp4
dev tap
ca ca.crt
cert c.crt
key c.key
remote xxx.xxx.xxx.xxx xxxx
tls-auth ta.key
cipher AES-256-GCM
auth SHA512
auth-user-pass
auth-retry interact
verb 2
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
float
resolv-retry infinite
nobind

Ps : ce n'est pas mon premier vpn à mettre en place mais dans cette config oui

Dernière modification par Jiib (Le 13/04/2022, à 19:06)

Hors ligne

#6 Le 13/04/2022, à 19:15

NicoApi73

Re : Openvpn Bridgé

Pour moi, l'erreur semble être là :
ton bridge br0 est défini avec l'adresse 10.4.0.19 et dans le fichier de conf du serveur VPN : server-bridge 10.4.100.19

Les deux adresses devraient être les mêmes.

J'attire ton attention sur le fait que tu pousses l'adresse d'un gateway (10.4.0.254). Je ne sais pas si c'est volontaire de ta part. (surtout si ce gateway ne sait pas router vers les clients bridgés).

Hors ligne

#7 Le 13/04/2022, à 19:17

Jiib

Re : Openvpn Bridgé

J'y ai pensé justement je me suis calé sur 10.4.0.19 idem même pb je ping bien 10.4.0.19 mais impossible de pinger 10.4.0.254 (routeur)

Hors ligne

#8 Le 13/04/2022, à 20:42

NicoApi73

Re : Openvpn Bridgé

Que donne (sur le serveur VPN)

ifconfig -a
route -n

Donne aussi :

lsb_release -a

EDIT : As tu configuré iptables avec les commandes suivantes :

iptables -A INPUT -i tap0 -j ACCEPT
iptables -A INPUT -i br0 -j ACCEPT
iptables -A FORWARD -i br0 -j ACCEPT

Source : https://community.openvpn.net/openvpn/w … ngOverview

Dernière modification par NicoApi73 (Le 14/04/2022, à 08:44)

Hors ligne

#9 Le 14/04/2022, à 13:39

Jiib

Re : Openvpn Bridgé

Salut,
pour l''iptables c'est bon.
ifconfig -a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: ens160: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc mq master br0 state UP group default qlen 1000
    link/ether 00:50:56:97:a2:cb brd ff:ff:ff:ff:ff:ff
3: tap0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc fq_codel master br0 state UNKNOWN group default qlen 100
    link/ether 62:fa:7e:79:af:49 brd ff:ff:ff:ff:ff:ff
4: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 00:50:56:97:a2:cb brd ff:ff:ff:ff:ff:ff
    inet 10.4.0.19/16 brd 10.4.0.255 scope global br0
       valid_lft forever preferred_lft forever

route -n

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.4.0.254   0.0.0.0         UG    0      0        0 br0
10.4.0.0     0.0.0.0         255.255.0.0     U     0      0        0 br0
10.4.0.0     0.0.0.0         255.255.0.0     U     0      0        0 br0

et pour finir lsb_release

No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 20.04.4 LTS
Release:        20.04
Codename:       focal

Hors ligne

#10 Le 14/04/2022, à 13:53

NicoApi73

Re : Openvpn Bridgé

Je sèche.

Il faut que je monte des machines virtuelles pour essayer.

Hors ligne

#11 Le 14/04/2022, à 14:23

Jiib

Re : Openvpn Bridgé

moi aussi pour ca que je suis venue ici xD
petite précision je suis sur une VM sous VMWare (vSphere) officiel je précise wink

Hors ligne

#12 Le 14/04/2022, à 14:38

bruno

Re : Openvpn Bridgé

Bonjour,
Il manque la vérification des règles iptables demandée en #8 et aussi vérifier si le noyau est autorisé à transmettre les paquets d'un interface à l'autre :

iptables -n -L
cat /proc/sys/net/ipv4/ip_forward

#13 Le 14/04/2022, à 17:19

Jiib

Re : Openvpn Bridgé

Salut,
donc Iptables me donne :

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination    

et l'ip forward = 1

Hors ligne

#14 Le 14/04/2022, à 18:00

bruno

Re : Openvpn Bridgé

Si tu as bien changé la conf comme indiqué en #6 par @NicoApi73 (adresse du serveur correcte), cela devrait a priori fonctionner.
J'aurais tendance à penser que le problème vient de la configuration du client.

Jiib a écrit :

le sous réseaux interne est : 10.4.0.0
le sous réseaux client vpn est: 10.4.100.0

Vu que tu as défini un /16, c'est le même sous-réseau : 10.4.0.0/16 ou noté autrement 10.4.0.0-10.4.255.255

#15 Le 14/04/2022, à 18:10

Jiib

Re : Openvpn Bridgé

oui mais j'avais déjà testé cette conf avant de venir ici.
Ce qui m'étonne c'est que depuis ma machine windows j'arrive à faire un ping vers 10.4.0.19 et je vois bien que je passe par 10.4.100.101 (ip tap de windows).
Mais si je ping une adresse du sous réseau 10.4.0.10 par exemple ca n'abouti pas comme ci j'étais bloqué à l'intérieur du serveur VPN

Hors ligne

#16 Le 14/04/2022, à 18:58

bruno

Re : Openvpn Bridgé

Essaie avec juste :

server-bridge 10.4.0.19 255.255.0.0

#17 Le 14/04/2022, à 19:36

Zakhar

Re : Openvpn Bridgé

bruno a écrit :
Jiib a écrit :

le sous réseaux interne est : 10.4.0.0
le sous réseaux client vpn est: 10.4.100.0

Vu que tu as défini un /16, c'est le même sous-réseau : 10.4.0.0/16 ou noté autrement 10.4.0.0-10.4.255.255

Exactement !

Pour comprendre ce qu'il se passe, ce qui ne va pas et où, un bon petit coup de Wireshark sur le serveur VPN. smile


"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)

Hors ligne

#18 Le 06/05/2022, à 10:19

Jiib

Re : Openvpn Bridgé

Hello désoler pour la réponse tardive, merci de l'astuce de Wireshark je n'y avais pas pensé xD

Problème résolue ! J'ai rajouté une route sur le routeur .254 ca communique mieux

Merci à vous

Hors ligne