#226 Le 06/11/2010, à 18:45
- claudiux
Re : Connexion VPN automatique (NetworkManager)
OK, j'y suis parvenu avec apparmor.
C'était le
#include <abstractions/nameservice>
qui faisait tout foirer.
Je posterai bientôt mon fichier de conf (que je peaufine) et un nouveau script...
Dernière modification par claudiux (Le 06/11/2010, à 18:48)
Hors ligne
#227 Le 06/11/2010, à 20:41
- DBParquet
Re : Connexion VPN automatique (NetworkManager)
Bonsoir,
Je suis en train d'installer Vpnautoconnect 1.0.8 sur ubuntu 10.04 64.
Mis à part que je dois lancer sous un terminal et connecter manuellement le VPN (open), ça fonctionne très bien.
Par contre, j'essaie de mettre le parefeu en place, et maintenant la connection internet est très lente (<10ko/sec).
Rien ne passe sans le VPN de connecté (ce qui est recherché) mais ça passe très lentement une fois conecté.
L'envoi de mail n'est pas possible avec le VPN alors qu'il devrait l'être.
Mis à part que ce soit iproute d'origine d'installé et non iproute2 (paquet introuvable), je pense avoir bien suivi la procédure, rajouté les lignes pour openVPN...
Je ne sais plus trop ou regarder pour trouver ce qui coince...
Salutations.
Hors ligne
#228 Le 08/11/2010, à 00:09
- claudiux
Re : Connexion VPN automatique (NetworkManager)
J'ai essayé de peaufiner un fichier de conf apparmor pour qbittorrent, mais y'a toujours qqchose qui coince, sur les droits des fichiers, etc.
Finalement, je reste dans le bourrin et pas trop sécure, pour cet exemple ; mais au moins ça fonctionne.
Vérifiez tout dabord que vous avez installé apparmor et apparmor-utils.
Créez le fichier /etc/apparmor.d/usr.bin.qbittorrent contenant :
#include <tunables/global>
/usr/bin/qbittorrent {
#include <abstractions/base>
#include <abstractions/fonts>
#include <abstractions/gnome>
network inet dgram,
network inet stream,
network inet6 stream,
/** mixwrk,
}
Créez le script /usr/local/bin/vpnac_on_events.sh contenant :
#!/bin/bash
## Script /usr/local/bin/vpnac_on_events.sh
## v2.0
## Auteur : claudiux
##
## A utiliser avec VPNAutoConnect et apparmor.
## Dans /etc/vpnautoconnect.cfg, renseigner la ligne :
## scriptEvenement=/usr/local/bin/vpnac_on_events.sh
##
## Ce script permet d'autoriser ou d'empêcher l'accès au réseau de qbittorrent selon l'état de la liaison VPN.
## Le script prend en argument deux paramètres:
## Le premier ($1) le nom de la connexion et le deuxieme ($2) l'etat de la connexion:
## Pour les etats et leurs correspondances:
## 2: le vpn est en train de s'authentifier
## 3: le vpn est authentifié
## 4: le vpn est en train d'obtenir une IP
## 5: le vpn est actif
## 6: la connexion du vpn est interrompue
## 7: le vpn est déconnecté
# Identifiant de l'utilisateur (celui du compte Ubuntu) :
user=claudiux
# Nom de la connexion VPN (tel que dans le Network Manager) à surveiller :
vpn="vpntoto"
# Faut-il enregistrer les messages de debugging ? (false : non ; true : oui)
export debug=true # états vpnautoconnect
# Où enregistrer ces messages :
debug_file=/home/$user/vpnac_events.txt
now=`date +"%d/%m/%Y %T"`
function reload_apparmor {
aa-enforce /usr/bin/qbittorrent
/etc/init.d/apparmor reload
}
if ${debug} ; then echo -n "$now - " >> ${debug_file} ; fi
if [[ "$1" == "$vpn" ]] ; then {
case "$2" in
7)
if ${debug} ; then {
echo "VPN $1 : déconnecté. (Etat=$2)" >> ${debug_file}
echo " Blocage de la liaison réseau de qbittorrent" >> ${debug_file}
}; fi
sed -i 's/ network / #network /g' /etc/apparmor.d/usr.bin.qbittorrent
reload_apparmor
;;
5)
if ${debug} ; then {
echo "VPN $1 : connecté et actif. (Etat=$2)" >> ${debug_file}
echo " Autorisation d'accès au réseau pour qbittorrent" >> ${debug_file}
}; fi
sed -i 's/ #network / network /g' /etc/apparmor.d/usr.bin.qbittorrent
reload_apparmor
;;
2)
if ${debug} ; then {
echo "VPN $1 : en cours d'authentification... (Etat=$2)" >> ${debug_file}
}; fi
;;
3)
if ${debug} ; then {
echo "VPN $1 : authentification réussie. (Etat=$2)" >> ${debug_file}
}; fi
;;
4)
if ${debug} ; then {
echo "VPN $1 : en attente d'une IP... (Etat=$2)" >> ${debug_file}
}; fi
;;
6)
if ${debug} ; then {
echo "VPN $1 : connexion interrompue... (Etat=$2)" >> ${debug_file}
}; fi
;;
*)
if ${debug} ; then echo "VPN $1 : Etat=$2" >> ${debug_file}; fi
;;
esac
};
fi
exit 0
Faites du copier-coller, les espaces ont leur importance !
N'oubliez pas de rendre ce script exécutable :
sudo chmod +x /usr/local/bin/vpnac_on_events.sh
Et comme il est dit en début du script : dans /etc/vpnautoconnect.cfg, renseigner la ligne :
scriptEvenement=/usr/local/bin/vpnac_on_events.sh
Ça roule, un vrai bonheur !
Pour info, afin de bloquer le droit de connexion au réseau de qbittorrent, le script place un # devant les mots network du fichier de conf apparmor /etc/apparmor.d/usr.bin.qbittorrent (sed -i 's/ network / #network /g' /etc/apparmor.d/usr.bin.qbittorrent) ; il enlève ces # pour restaurer ce droit de connexion (sed -i 's/ #network / network /g' /etc/apparmor.d/usr.bin.qbittorrent).
Dernière modification par claudiux (Le 08/11/2010, à 00:18)
Hors ligne
#229 Le 08/11/2010, à 00:30
- claudiux
Re : Connexion VPN automatique (NetworkManager)
Mis à part que je dois lancer sous un terminal et connecter manuellement le VPN (open), ça fonctionne très bien.
Tu dois certainement pouvoir passer par le Network Manager, c'est même nécessaire pour pouvoir utiliser VPNAutoConnect.
Mais pour certains VPN, il faut un peut batailler, comme je l'ai décrit ici : http://doc.ubuntu-fr.org/utilisateurs/c … nectionvpn
Essaye déjà cela, nous verrons ensuite pour le pare-feu (la question m'intéresse !)
Dernière modification par claudiux (Le 08/11/2010, à 00:41)
Hors ligne
#230 Le 08/11/2010, à 15:15
- mastergb
Re : Connexion VPN automatique (NetworkManager)
N'oubliez pas de rendre ce script exécutable :
sudo chmod +x /usr/local/bin/vpnac_on_events.sh
Et comme il est dit en début du script : dans /etc/vpnautoconnect.cfg, renseigner la ligne :
scriptEvenement=/usr/local/bin/vpnac_on_events.shÇa roule, un vrai bonheur !
Pour info, afin de bloquer le droit de connexion au réseau de qbittorrent, le script place un # devant les mots network du fichier de conf apparmor /etc/apparmor.d/usr.bin.qbittorrent (sed -i 's/ network / #network /g' /etc/apparmor.d/usr.bin.qbittorrent) ; il enlève ces # pour restaurer ce droit de connexion (sed -i 's/ #network / network /g' /etc/apparmor.d/usr.bin.qbittorrent).
Tu as du rencontrer quelques erreurs non? En fait le scriptEvenement est "lancé" en tant que l'utilisateur en cours.....
Donc pas de droit root donc surement des limitations concernant apparmor! Donc n'oubli pas de mettre sudo et de remplir le sudousers comme il faut pour ne pas a mettre un mot de passe pour la commande
Dernière modification par mastergb (Le 08/11/2010, à 15:17)
Hors ligne
#231 Le 08/11/2010, à 15:41
- DBParquet
Re : Connexion VPN automatique (NetworkManager)
Le vpn a été mis en place il y a 6 mois uniquement en mode graphique par modification des connections => VPN après install d'openvpn et network manger openvpn et à toujours bien fonctionné en se connectant par l'applet du NWManager.
Les mails n'ont jamais pu être envoyés avec le VPN connecté (déco le temps de l'envoi)
Je devrais recréer la connection VPN en suivant le tuto ?
Sur la box, j'ai le port 1194 UDP de naté ainsi qu'un port BT. Je dois rajouter le 443 ou c'est spécifique à connectionvpn ?
VPNAutoconnect installé par le paquet deb amd64 V1.0.8
VPN et port ethernet détectés à l'install.
Ect-ce que ça simplifierait de rajouter deux cartes ethernet et de les dédier, une pour le trafic local, une pour le trafic via le tunnel vpn et une pour le traffic internet en clair ?
VPNautoconnect est lancé par le menu applications/internet, ensuite je connecte le vpn par l'applet connection réseau.
Hors ligne
#232 Le 08/11/2010, à 17:41
- DBParquet
Re : Connexion VPN automatique (NetworkManager)
A force d'essais, la connection auto fonctionne au démarrage.
reste le problème d'envoi des mails.
avec tcpdump - eth0 port 25, du traffic sur les ports 56280 et 56483 lors de l'envoi d'un mail ressort.
Un truc genre FTP qui initialise un port et passe sur un autre ?
Hors ligne
#233 Le 08/11/2010, à 17:49
- claudiux
Re : Connexion VPN automatique (NetworkManager)
Tu as du rencontrer quelques erreurs non? En fait le scriptEvenement est "lancé" en tant que l'utilisateur en cours.....
Donc pas de droit root donc surement des limitations concernant apparmor! Donc n'oubli pas de mettre sudo et de remplir le sudousers comme il faut pour ne pas a mettre un mot de passe pour la commande
Ben, non, pas de problème de ce côté là. J'ai créé le script /usr/local/bin/vpnac_on_events.sh à l'aide de la commande
sudo gedit /usr/local/bin/vpnac_on_events.sh
c'est tout ! Le script est donc la propriété de root :
$ ls -l /usr/local/bin/vpnac_on_events.sh
-rwxr-xr-x 1 root root 2451 2010-11-08 00:04 /usr/local/bin/vpnac_on_events.sh
Quant à mon fichier /etc/sudoers, c'est celui d'origine !
Hors ligne
#234 Le 08/11/2010, à 18:28
- claudiux
Re : Connexion VPN automatique (NetworkManager)
A force d'essais, la connection auto fonctionne au démarrage.
reste le problème d'envoi des mails.
avec tcpdump - eth0 port 25, du traffic sur les ports 56280 et 56483 lors de l'envoi d'un mail ressort.
Un truc genre FTP qui initialise un port et passe sur un autre ?
Si tu utilise le serveur d'envoi de mails (SMTP) de ton fournisseur d'accès, sâche que souvent ces serveurs n'autorisent l'envoi uniquement en provenance de leur réseau (ce qui n'est pas le cas lorsque tu es connecté au VPN).
Parfois, il suffit d'activer l'authentification SMTP dans les paramètres de ton logiciel de messagerie (en utilisant ton adresse mail et ton mot de passe habituels).
Sinon, tu peux simplement créer un compte chez un service e-mail gratuit qui fournit un serveur SMTP (par ex: gmail.com ; gmx.fr), et l'utiliser seulement pour l'envoi de mails.
Ou encore, utiliser une route particulière vers le serveur SMTP de ton fournisseur d'accès (pour connaître son ou ses IP, un :
host smtp
devrait suffire).
Pour utiliser ta connexion non-VPN pour un hôte particulier :
sudo route add -host 213.186.33.2 gw 192.168.0.1
où 213.186.33.2 est l'IP du serveur à atteindre sans VPN (il s'agit de hostip.fr, qui va du coup te retourner l'IP qui t'a été attribuée par ton FAI, contrairement à whatismyip.com), et 192.168.0.1 est l'IP de ta box (passerelle).
Ou bien essayer ceci : http://forum.ubuntu-fr.org/viewtopic.php?id=389700
Dernière modification par claudiux (Le 08/11/2010, à 20:44)
Hors ligne
#235 Le 08/11/2010, à 18:30
- DBParquet
Re : Connexion VPN automatique (NetworkManager)
Autre chose, certains sites comme http://france.meteofrance.com ne passent pas lorsque le vpn est connecté (même sans parefeu).
Ce sont des sites inaccessibles depuis l'étranger ou il y a autre chose ?
Hors ligne
#236 Le 08/11/2010, à 19:15
- lynn
Re : Connexion VPN automatique (NetworkManager)
Salut,
le site http://france.meteofrance.com fonctionne parfaitement avec un VPN ( ip suédoise ) et en plus avec des règles iptables strictes Ton problème doit venir d'ailleurs.
«C'est pas parce qu'ils sont nombreux à avoir tort qu'ils ont raison!»
Coluche
Hors ligne
#237 Le 08/11/2010, à 20:37
- claudiux
Re : Connexion VPN automatique (NetworkManager)
Autre chose, certains sites comme http://france.meteofrance.com ne passent pas lorsque le vpn est connecté (même sans parefeu).
Ce sont des sites inaccessibles depuis l'étranger ou il y a autre chose ?
Mais c'est qui, ton fournisseur de VPN ??? 8) Changes-en vite ! Un conseil, jette un coup d'oeil sur le top3 de http://doc.ubuntu-fr.org/vpn#service_vpn
Hors ligne
#238 Le 08/11/2010, à 21:10
- mastergb
Re : Connexion VPN automatique (NetworkManager)
Ou encore, utiliser une route particulière vers le serveur SMTP de ton fournisseur d'accès (pour connaître son ou ses IP, un :
host smtp
devrait suffire).
Pour utiliser ta connexion non-VPN pour un hôte particulier :sudo route add -host 213.186.33.2 gw 192.168.0.1
où 213.186.33.2 est l'IP du serveur à atteindre sans VPN (il s'agit de hostip.fr, qui va du coup te retourner l'IP qui t'a été attribuée par ton FAI, contrairement à whatismyip.com), et 192.168.0.1 est l'IP de ta box (passerelle).
Ou bien essayer ceci : http://forum.ubuntu-fr.org/viewtopic.php?id=389700
Comme le dis claudius l'envoi de courrier n'est pas autorise sur la plupart des vpn pour eviter que leur ip sois utilise a des fins de spam.
Par contre router une IP pour simplement un protocol c'est un peu "bourrin" (c'est pas contre toi claudius ^^)
Comme il s'agit simplement d'un filtrage des paquets a destination du port 25 je te conseille de marquer les paquets pour ensuite les rerouter.
Dans le firewall que j'ai donné dans les pages précédentes:
ip rule add fwmark 0x1 table connection
#on fait passer les connections SMTP sur la connection internet standard
iptables -t mangle -A OUTPUT -p tcp -m multiport --dports 25 -j MARK --set-mark 0x1
iptables -t nat -A POSTROUTING -o $interfaceWWW -p tcp -m multiport --dports 25 -j SNAT --to $localIP
Comme claudius j'aimerais bien connaitre le nom de ton fournisseur de VPN car il a pas l'air de bonne qualité. A moins que tes DNS soit en cause!
Au pire pour etre sur que c'est pas les DNS:
install bind9
sudo apt-get install bind9
edite le fichier /etc/resolv.conf
sudo gedit /etc/resolv.conf
Efface le contenu et met
nameserver 127.0.0.1
Ensuite sauvegarde et ... étape très importante locke le fichier pour pas que cet abruti de dhcpclient recrive dedans!
chattr -i /etc/resolv.conf
Hors ligne
#239 Le 08/11/2010, à 21:52
- DBParquet
Re : Connexion VPN automatique (NetworkManager)
Le couple mangle/nat est déjà dans le parefeu.
Je vais vérifier au niveau de dns.
Je tourne avec BlackVPN sur SFR.
bizzarerie météofrance:
PC avec parefeu et vpn : délai d'attente dépassé,
Outils réseau=>traceroute : impossible de trouver l'adresse
PC portable sans parefeu ni vpn : affichage correct.
Outils réseau=>traceroute : impossible de trouver l'adresse
Demain je tente avec Bind9
Je vous tiens au courant.
Merci et bonne soirée.
Hors ligne
#240 Le 08/11/2010, à 22:08
- claudiux
Re : Connexion VPN automatique (NetworkManager)
Je tourne avec BlackVPN sur SFR.
J'ai déjà essayé BlackVPN, et n'ai jamais constaté ces bizarreries. Par contre, je ne connais pas SFR.
Si tu veux savoir comment configurer BlackVPN dans le Network Manager (notamment les options avancées), fais-moi signe...
Hors ligne
#241 Le 08/11/2010, à 23:06
- claudiux
Re : Connexion VPN automatique (NetworkManager)
Hello claudiux! Ca te derangerais pas de me faire parvenir un extrait de ton syslog quand le bug se produit? ce bug la est censé etre corrigé dans la 1.08
Ben, finalement, le bug ne s'est plus jamais produit ; l'ai-je déjà vu sous 1.0.8 ? Je commence à douter !
Du solide et bien fait, merci mastergb !
Hors ligne
#242 Le 09/11/2010, à 11:18
- DBParquet
Re : Connexion VPN automatique (NetworkManager)
J'ai essayé bind9, pas mieux.
Apparemment, un whois ou traceroute passe pas avec http:// devant.
sur le portable, whois donne un site non enregistré, un traceroute atterit sur 160.92.161.169.
En mettant 160.92.161.169 dans Firefox, j'arrive bien sur le site (logique).
Par contre, sur le PC, nada avec le parefeu et le vpn, nada juste le vpn, ok sans vpn ni parefeu.
J'ai essayé de passer dans les param ipv4 de la connection vpn adresses auto uniquement en mettant 127.0.0.1 aussi en dns.
Pareil.
Hors ligne
#243 Le 09/11/2010, à 11:41
- mastergb
Re : Connexion VPN automatique (NetworkManager)
Un whois n'a jamais marché avec le http:// Le prefix indique le protocole et ne fait pas parti de tout ce qui touche DNS. Il est tout a fait normal que ca ne fonctionne pas.
Donc il faut essayer sans
Dernière modification par mastergb (Le 09/11/2010, à 11:42)
Hors ligne
#244 Le 09/11/2010, à 13:18
- DBParquet
Re : Connexion VPN automatique (NetworkManager)
ce que j'ai fait, no match for france.meteofrance.com
Un traceroute se terminant par du no reply
A tout hasard, j'ai essayé un autre navigateur, idem.
impossible d'accéder à certains sites par le vpn.
99% des sites passent, VPN en cause ou DNS ou SFR ?
Personne pour tester avec blackvpn ?
Hors ligne
#245 Le 09/11/2010, à 22:10
- claudiux
Re : Connexion VPN automatique (NetworkManager)
J'ai déjà testé avec BlackVPN, mais je n'ai plus de compte chez eux.
Pourrais-tu nous dire ce que te retourne la commande :
route
exécutée une fois avec VPN, et une fois sans ?
Hors ligne
#246 Le 10/11/2010, à 08:56
- DBParquet
Re : Connexion VPN automatique (NetworkManager)
Avec VPN :
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
172.16.31.249 * 255.255.255.255 UH 0 0 0 tun0
172.16.31.1 172.16.31.249 255.255.255.255 UGH 0 0 0 tun0
94.75.216.21 192.168.1.1 255.255.255.255 UGH 0 0 0 eth0
192.168.1.0 * 255.255.255.0 U 1 0 0 eth0
link-local * 255.255.0.0 U 1000 0 0 eth0
default 172.16.31.249 0.0.0.0 UG 0 0 0 tun0
Sans VPN :
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
192.168.1.0 * 255.255.255.0 U 1 0 0 eth0
link-local * 255.255.0.0 U 1000 0 0 eth0
default 192.168.1.1 0.0.0.0 UG 0 0 0 eth0
Je préfèrere les pannes franches que des truc tordus.
Hors ligne
#247 Le 10/11/2010, à 09:16
- mastergb
Re : Connexion VPN automatique (NetworkManager)
Avec VPN :
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
172.16.31.249 * 255.255.255.255 UH 0 0 0 tun0
172.16.31.1 172.16.31.249 255.255.255.255 UGH 0 0 0 tun0
94.75.216.21 192.168.1.1 255.255.255.255 UGH 0 0 0 eth0
192.168.1.0 * 255.255.255.0 U 1 0 0 eth0
link-local * 255.255.0.0 U 1000 0 0 eth0
default 172.16.31.249 0.0.0.0 UG 0 0 0 tun0Sans VPN :
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
192.168.1.0 * 255.255.255.0 U 1 0 0 eth0
link-local * 255.255.0.0 U 1000 0 0 eth0
default 192.168.1.1 0.0.0.0 UG 0 0 0 eth0Je préfèrere les pannes franches que des truc tordus.
Erf pas d'ip dedié.. T'es sur un reseau lan avec des ip partagé. C'est clairement pas un bon VPN...
Hors ligne
#248 Le 10/11/2010, à 23:49
- claudiux
Re : Connexion VPN automatique (NetworkManager)
En plus, BlackVPN n'ouvre aucun port vers ta box. Ça peut être rassurant au point de vue sécurité, mais c'est carrément em...nuyeux quand tu as vraiment besoin d'ouvrir des ports.
Hors ligne
#249 Le 11/11/2010, à 19:14
- DBParquet
Re : Connexion VPN automatique (NetworkManager)
J'ai quand même fait une demande au support blackvpn, voir s'il sont au courant et s'il vont corriger.
Hors ligne
#250 Le 11/11/2010, à 21:45
- mastergb
Re : Connexion VPN automatique (NetworkManager)
Pour information j'ai regardé avec DBParquet et il semblerait que blackvpn bloque certain bloc IP
Je ne le conseille pas du tout...
Hors ligne