Ubuntu-fr

ringostare

Re : Connexion VPN automatique (NetworkManager)

Quelqu'un sait-il comment faire réapparaître vpnautoconnect après la mise en place de "unity" suite à la maj vers ubuntu 11.04, car il n'y a plus de raccourcis dans la barre des tâches. Et donc aussitôt lancé, aussitôt disparut !

Ansuz

Re : Connexion VPN automatique (NetworkManager)

@ringostare
Tu peux essayer ça :
http://newguess.blogspot.com/2011/04/ub … ne-de.html
La manipulation décrite marche bien chez moi, mais je continue galérer avec vpnautoconnect 1.2.0-4.
L'installation (.deb) après suppression de l'ancienne version 1.1, s'est parfaitement déroulée. La mise en fonction fut immédiate, mais depuis, à chaque redémarrage le vpn ne se connecte plus automatiquement, et je doit effectuer la manœuvre en manuel ?

---

"Mieux vaut ne rien savoir que beaucoup savoir à moitié !"  Friedrich Nietzsche

Ansuz

Re : Connexion VPN automatique (NetworkManager)

Je viens de trouver la cause de mes désagréments :
Suite à la mise à jour 1.2.0-4, la connexion parente dans préférences de vpnautoconnect était passée en "auto eth1" au lieu de "auto eth0" par défaut...
Depuis, tout semble rentré dans l'ordre.
Cette mésaventure servira sans doute à d'autres membres de la communauté.

---

"Mieux vaut ne rien savoir que beaucoup savoir à moitié !"  Friedrich Nietzsche

ringostare

Re : Connexion VPN automatique (NetworkManager)

merci Ansuz, ça fonctionne !
ce qui est marrant, c'est que j'avais déjà fait ça il y a quelques jours, mais que ça n'avait pas fonctionné.

Ansuz

Re : Connexion VPN automatique (NetworkManager)

Autre bizarrerie, depuis la 11.04 unity, par moment, je suis contraint de lancer vpnautoconnect 1.2.0-4 manuellement, une fois arrivé sur le bureau. En effet, la connexion internet s'effectue normalement, mais sans vpn... donc en clair !
L'icône de vpnautoconnect n'est pas visible dans la zone de notification ?
Je le lance alors manuellement, accompagné d'une demande du mot de passe root ; alors il apparaît enfin, et je sélectionne le vpn choisi dans networkmanager. Ensuite ça fonctionne, jusqu'à la prochaine déconnexion de session, ou redémarrage. Parfois, il se lance tout seul au boot, comme il devrait le faire à chaque fois... ?

Quelqu'un a une idée ?

---

"Mieux vaut ne rien savoir que beaucoup savoir à moitié !"  Friedrich Nietzsche

ringostare

Re : Connexion VPN automatique (NetworkManager)

idem chez moi !
par contre avec la nouvelle version de l'autoconnect et d'ubuntu, qbittorrent se relance bien automatiquement après les coupures.

Dernière modification par ringostare (Le 09/05/2011, à 17:40)

lynn

Re : Connexion VPN automatique (NetworkManager)

Autre bizarrerie, depuis la 11.04 unity, par moment, je suis contraint de lancer vpnautoconnect 1.2.0-4 manuellement, une fois arrivé sur le bureau. En effet, la connexion internet s'effectue normalement, mais sans vpn... donc en clair !
L'icône de vpnautoconnect n'est pas visible dans la zone de notification ?
Je le lance alors manuellement, accompagné d'une demande du mot de passe root ; alors il apparaît enfin, et je sélectionne le vpn choisi dans networkmanager. Ensuite ça fonctionne, jusqu'à la prochaine déconnexion de session, ou redémarrage. Parfois, il se lance tout seul au boot, comme il devrait le faire à chaque fois... ?

Quelqu'un a une idée ?

Pareil pour moi

---

«C'est pas parce qu'ils sont nombreux à avoir tort qu'ils ont raison!»

Coluche

Ansuz

Re : Connexion VPN automatique (NetworkManager)

pourquoi tu ne bloque pas le flux avec un parefeu lorsque le vpn se déconnecte ?  (ou ne se connecte pas)

Pourquoi pas ?
Mais, dans ce cas, j'avoue qu'un mode d'emploi détaillé serait le bienvenu...

---

"Mieux vaut ne rien savoir que beaucoup savoir à moitié !"  Friedrich Nietzsche

lynn

Re : Connexion VPN automatique (NetworkManager)

pourquoi tu ne bloque pas le flux avec un parefeu lorsque le vpn se déconnecte ?  (ou ne se connecte pas)

Pourquoi pas ?
Mais, dans ce cas, j'avoue qu'un mode d'emploi détaillé serait le bienvenu...

Salut,

Tu as une explication ici, post #78 :
http://forum.ubuntu-fr.org/viewtopic.php?id=322750&p=2
et ça fonctionne très bien Quand le VPN est down et tant qu'il le reste, les communications internet sont interrompues.

---

«C'est pas parce qu'ils sont nombreux à avoir tort qu'ils ont raison!»

Coluche

mastergb

Re : Connexion VPN automatique (NetworkManager)

Hello tout le monde  je vois que ça a pas mal bougé depuis la sortie 11.04.
Actuellement mon serveur qui est une petite machine n'est upgradé en 11.04 pour tes raison de performances. J'ai cru lire que unity prenait pas mal de ressource et de proc et que ce n'était toujours pas résolu.

Autre bizarrerie, depuis la 11.04 unity, par moment, je suis contraint de lancer vpnautoconnect 1.2.0-4 manuellement, une fois arrivé sur le bureau. En effet, la connexion internet s'effectue normalement, mais sans vpn... donc en clair !
L'icône de vpnautoconnect n'est pas visible dans la zone de notification ?
Je le lance alors manuellement, accompagné d'une demande du mot de passe root ; alors il apparaît enfin, et je sélectionne le vpn choisi dans networkmanager. Ensuite ça fonctionne, jusqu'à la prochaine déconnexion de session, ou redémarrage. Parfois, il se lance tout seul au boot, comme il devrait le faire à chaque fois... ?

Quelqu'un a une idée ?

Peut -on m'envoyer les logs syslog quand ce problème se produit? il semblerait que ce soit un plantage mais une analyse de log peut m'en dire un peu plus.

cat /var/log/syslog | grep vpnautoconnect > ~/resultat.log

Et envoyer moi le resultat.log qui se trouve a la racine de votre compte utilisateur.

mastergb

Re : Connexion VPN automatique (NetworkManager)

pourquoi tu ne bloque pas le flux avec un parefeu lorsque le vpn se déconnecte ?  (ou ne se connecte pas)

Pourquoi pas ?
Mais, dans ce cas, j'avoue qu'un mode d'emploi détaillé serait le bienvenu...

Salut,

Tu as une explication ici, post #78 :
http://forum.ubuntu-fr.org/viewtopic.php?id=322750&p=2
et ça fonctionne très bien Quand le VPN est down et tant qu'il le reste, les communications internet sont interrompues.

+1
Le firewall que je propose en #78 te permet de bloquer tous les flux sur la connexion en clair excepté le flux VPN.

kara

Re : Connexion VPN automatique (NetworkManager)

Hello tout le monde  je vois que ça a pas mal bougé depuis la sortie 11.04.
Actuellement mon serveur qui est une petite machine n'est upgradé en 11.04 pour tes raison de performances. J'ai cru lire que unity prenait pas mal de ressource et de proc et que ce n'était toujours pas résolu.

Autre bizarrerie, depuis la 11.04 unity, par moment, je suis contraint de lancer vpnautoconnect 1.2.0-4 manuellement, une fois arrivé sur le bureau. En effet, la connexion internet s'effectue normalement, mais sans vpn... donc en clair !
L'icône de vpnautoconnect n'est pas visible dans la zone de notification ?
Je le lance alors manuellement, accompagné d'une demande du mot de passe root ; alors il apparaît enfin, et je sélectionne le vpn choisi dans networkmanager. Ensuite ça fonctionne, jusqu'à la prochaine déconnexion de session, ou redémarrage. Parfois, il se lance tout seul au boot, comme il devrait le faire à chaque fois... ?

Quelqu'un a une idée ?

Peut -on m'envoyer les logs syslog quand ce problème se produit? il semblerait que ce soit un plantage mais une analyse de log peut m'en dire un peu plus.

cat /var/log/syslog | grep vpnautoconnect > ~/resultat.log

Et envoyer moi le resultat.log qui se trouve a la racine de votre compte utilisateur.

je ferais de même ce soir car mon soucis que tu disais propre a lmde est identique a celui causé sous 11.04

mastergb

Re : Connexion VPN automatique (NetworkManager)

Hello tout le monde  je vois que ça a pas mal bougé depuis la sortie 11.04.
Actuellement mon serveur qui est une petite machine n'est upgradé en 11.04 pour tes raison de performances. J'ai cru lire que unity prenait pas mal de ressource et de proc et que ce n'était toujours pas résolu.

Autre bizarrerie, depuis la 11.04 unity, par moment, je suis contraint de lancer vpnautoconnect 1.2.0-4 manuellement, une fois arrivé sur le bureau. En effet, la connexion internet s'effectue normalement, mais sans vpn... donc en clair !
L'icône de vpnautoconnect n'est pas visible dans la zone de notification ?
Je le lance alors manuellement, accompagné d'une demande du mot de passe root ; alors il apparaît enfin, et je sélectionne le vpn choisi dans networkmanager. Ensuite ça fonctionne, jusqu'à la prochaine déconnexion de session, ou redémarrage. Parfois, il se lance tout seul au boot, comme il devrait le faire à chaque fois... ?

Quelqu'un a une idée ?

Peut -on m'envoyer les logs syslog quand ce problème se produit? il semblerait que ce soit un plantage mais une analyse de log peut m'en dire un peu plus.

cat /var/log/syslog | grep vpnautoconnect > ~/resultat.log

Et envoyer moi le resultat.log qui se trouve a la racine de votre compte utilisateur.

je ferais de même ce soir car mon soucis que tu disais propre a lmde est identique a celui causé sous 11.04

+1000 il y a  de forte chance que le problème soit le même ^^
Donc la il faut que je m'installe une 11.04

mastergb

Re : Connexion VPN automatique (NetworkManager)

mastergb,

si tu installes une 11.04 , fais le sur une autre partition et gardes la 10.10 pour l instant,
je sors du sujet, mais a tu une idée de la possibilité de  recompiler gnome-panel afin d'anticiper  le jour qu ' il va disparaitre des dépôts,
j aimerais conserver mon tableau de bord actuel avec toutes ses fonctionnalités.

est ce possible ?

Alors mieux pour tester j'utilise une image virtuelle pour le moment. Je sais qu'au niveau de unity , il y a des développement spécifique.

En ce qui concerne le tableau de bord je ne pense pas qu'il va disparaître des dépôts pour la simple raison que ubuntu passe a unity mais debian n'est pas prêt de le faire ^^!

Pour le bug de mon coté je viens de vérifier et aucun rapport avec le bug de karadine en lmde. Sur une image de test vpnautoconnect se lance parfaitement aussi bien en mode connexion gdm et en mode connexion automatique.

Juste quand même pour bien m'assurer que nous mettons TOUS la dernière version:
Utilisez vous la dernière version compilé sur le ppa??
Assurez vous d'avoir la dernière version soit la 1.2.0.4ubuntu5.

PS: Si vous ne savez pas installer un ppa vous pouvez directement en telechargeant le .deb a l'adresse:
https://launchpad.net/~barraudmanuel/+a … tate=built

Ansuz

Re : Connexion VPN automatique (NetworkManager)

Pour le bug de mon coté je viens de vérifier et aucun rapport avec le bug de karadine en lmde. Sur une image de test vpnautoconnect se lance parfaitement aussi bien en mode connexion gdm et en mode connexion automatique.

Juste quand même pour bien m'assurer que nous mettons TOUS la dernière version:
Utilisez vous la dernière version compilé sur le ppa??
Assurez vous d'avoir la dernière version soit la 1.2.0.4ubuntu5.

PS: Si vous ne savez pas installer un ppa vous pouvez directement en telechargeant le .deb a l'adresse:
https://launchpad.net/~barraudmanuel/+a … tate=built

Effectivement, J'avais installé la version 1.2.0-4.deb. Je viens de procéder à sa suppression via synatic, et installé à la place la 1.2.0-4ubuntu5 préconisée par mastergb.
Après un reboot, connexion impeccable du premier coup ! Idem, après une reconnexion.
J'invite donc ceux qui auraient ce souci avec la 11.04 et "unity", d'installer la dernière mouture du programme.

---

"Mieux vaut ne rien savoir que beaucoup savoir à moitié !"  Friedrich Nietzsche

lynn

Re : Connexion VPN automatique (NetworkManager)

Effectivement, J'avais installé la version 1.2.0-4.deb. Je viens de procéder à sa suppression via synatic, et installé à la place la 1.2.0-4ubuntu5 préconisée par mastergb.
Après un reboot, connexion impeccable du premier coup ! Idem, après une reconnexion.
J'invite donc ceux qui auraient ce souci avec la 11.04 et "unity", d'installer la dernière mouture du programme.

Ca fonctionne bien avec cette version :  1.2.0-4ubuntu5

Tout est rentré dans l'ordre

Merci pour ton travail  mastergb.

---

«C'est pas parce qu'ils sont nombreux à avoir tort qu'ils ont raison!»

Coluche

kara

Re : Connexion VPN automatique (NetworkManager)

perso, j'utilise le SVN et j'ai la 1.2.0.4 depuis qu'elle est dispo mais le soucis reste entier

je ne peux pas RElancer l'outils en mode graphique avec gksudo ( présent sur ma machine ), je dois faire la même commende mais dans un terminal avec sudo

Dernière modification par karadine (Le 11/05/2011, à 13:07)

mastergb

Re : Connexion VPN automatique (NetworkManager)

Karadine>J'arrive pas resoudre ce problème.
La seule solution que j'ai trouve sur lmde est de faire un gconf-editor
Puis aller à la clé
/apps/gksu/ et cocher sudo-mode

Pour le moment j'ai que cette solution

Dernière modification par mastergb (Le 11/05/2011, à 16:10)

Ansuz

Re : Connexion VPN automatique (NetworkManager)

Tu as une explication ici, post #78 :
http://forum.ubuntu-fr.org/viewtopic.php?id=322750&p=2
et ça fonctionne très bien Quand le VPN est down et tant qu'il le reste, les communications internet sont interrompues.

J'ai lu, et relu avec grant intérêt ce post #78, et essaie de comprendre...
J'envisage de mettre en place ce script, mais c'est loin d'être évident, quand on est novice en connaissances réseau !
Aussi, j'en appelle à vos lumières, dans le but d'éclairer ma lanterne.

Pour commencer, deux petites commandes utiles, afin de mieux comprendre :

marc@ubuntu:~$ route -n
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
178.73.212.230  192.168.0.1     255.255.255.255 UGH   0      0        0 eth0
178.73.192.192  0.0.0.0         255.255.255.192 U     0      0        0 tun0
192.168.0.0     0.0.0.0         255.255.255.0   U     1      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0
0.0.0.0         178.73.192.193  0.0.0.0         UG    0      0        0 tun0

marc@ubuntu:~$ ifconfig
eth0      Link encap:Ethernet  HWaddr 00:1a:92:20:58:21  
          inet adr:192.168.0.11  Bcast:192.168.0.255  Masque:255.255.255.0
          adr inet6: fe80::21a:92ff:fe20:5821/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Packets reçus:29696 erreurs:0 :0 overruns:0 frame:0
          TX packets:24092 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000 
          Octets reçus:25215858 (25.2 MB) Octets transmis:4948756 (4.9 MB)
          Interruption:17 

eth1      Link encap:Ethernet  HWaddr 00:1a:92:20:50:4d  
          adr inet6: fe80::21a:92ff:fe20:504d/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Packets reçus:0 erreurs:0 :0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000 
          Octets reçus:0 (0.0 B) Octets transmis:0 (0.0 B)
          Interruption:19 

lo        Link encap:Boucle locale  
          inet adr:127.0.0.1  Masque:255.0.0.0
          adr inet6: ::1/128 Scope:Hôte
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          Packets reçus:1506 erreurs:0 :0 overruns:0 frame:0
          TX packets:1506 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0 
          Octets reçus:262093 (262.0 KB) Octets transmis:262093 (262.0 KB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet adr:178.73.192.246  P-t-P:178.73.192.246  Masque:255.255.255.192
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          Packets reçus:29231 erreurs:0 :0 overruns:0 frame:0
          TX packets:23575 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:100 
          Octets reçus:23451101 (23.4 MB) Octets transmis:3073645 (3.0 MB)

Voici ce que j'en déduis :

Intertface Web "en clair"= "eth0"
intertface VPN = "tun0" (à la place de "ppp0" dans l'exemple, je suis en openVPN)
Adresse IP locale "192.168.0.11"
Adresse de passerelle "192.168.0.1"
network = "192.168.1.0/24" de l'exemple, doit-il se modifier en network="192.168.0.0/24" ??? 
192.168.1.0/24 signifie-t-il la même chose que : 192.168.0.1 : 255.255.255.0 ??? (Donc à laisser tel quel ?)

-J’imagine que les lignes suivantes ne sont adaptées qu'à l'exemple, et au cas par cas, donc à ignorer ?

#on ouvre le port 1250 sur la connexion VPN
iptables -A INPUT -p TCP --dport 1250 -m state --state NEW -i $interfaceVPN -j ACCEPT

#on accepte tout les debit sur le port 80 venant d'internet (serveur APACHE) et le port 22 venant d'internet (serveur SSH)
iptables -A INPUT -p TCP -m multiport --dports 80,22 -m state --state NEW  -i $interfaceWWW -j ACCEPT

Merci par avance pour vos conseils avisés.

---

"Mieux vaut ne rien savoir que beaucoup savoir à moitié !"  Friedrich Nietzsche

kara

Re : Connexion VPN automatique (NetworkManager)

Karadine>J'arrive pas resoudre ce problème.
La seule solution que j'ai trouve sur lmde est de faire un gconf-editor
Puis aller à la clé
/apps/gksu/ et cocher sudo-mode

Pour le moment j'ai que cette solution

Pas grave, ta solution fonctionne c'est déjà super, ce n'est qu'une case à cocher

mastergb

Re : Connexion VPN automatique (NetworkManager)

Tu as une explication ici, post #78 :
http://forum.ubuntu-fr.org/viewtopic.php?id=322750&p=2
et ça fonctionne très bien Quand le VPN est down et tant qu'il le reste, les communications internet sont interrompues.

J'ai lu, et relu avec grant intérêt ce post #78, et essaie de comprendre...
J'envisage de mettre en place ce script, mais c'est loin d'être évident, quand on est novice en connaissances réseau !
Aussi, j'en appelle à vos lumières, dans le but d'éclairer ma lanterne.

Pour commencer, deux petites commandes utiles, afin de mieux comprendre :

marc@ubuntu:~$ route -n
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
178.73.212.230  192.168.0.1     255.255.255.255 UGH   0      0        0 eth0
178.73.192.192  0.0.0.0         255.255.255.192 U     0      0        0 tun0
192.168.0.0     0.0.0.0         255.255.255.0   U     1      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0
0.0.0.0         178.73.192.193  0.0.0.0         UG    0      0        0 tun0

marc@ubuntu:~$ ifconfig
eth0      Link encap:Ethernet  HWaddr 00:1a:92:20:58:21  
          inet adr:192.168.0.11  Bcast:192.168.0.255  Masque:255.255.255.0
          adr inet6: fe80::21a:92ff:fe20:5821/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Packets reçus:29696 erreurs:0 :0 overruns:0 frame:0
          TX packets:24092 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000 
          Octets reçus:25215858 (25.2 MB) Octets transmis:4948756 (4.9 MB)
          Interruption:17 

eth1      Link encap:Ethernet  HWaddr 00:1a:92:20:50:4d  
          adr inet6: fe80::21a:92ff:fe20:504d/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Packets reçus:0 erreurs:0 :0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000 
          Octets reçus:0 (0.0 B) Octets transmis:0 (0.0 B)
          Interruption:19 

lo        Link encap:Boucle locale  
          inet adr:127.0.0.1  Masque:255.0.0.0
          adr inet6: ::1/128 Scope:Hôte
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          Packets reçus:1506 erreurs:0 :0 overruns:0 frame:0
          TX packets:1506 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0 
          Octets reçus:262093 (262.0 KB) Octets transmis:262093 (262.0 KB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet adr:178.73.192.246  P-t-P:178.73.192.246  Masque:255.255.255.192
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          Packets reçus:29231 erreurs:0 :0 overruns:0 frame:0
          TX packets:23575 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:100 
          Octets reçus:23451101 (23.4 MB) Octets transmis:3073645 (3.0 MB)

Voici ce que j'en déduis :

Intertface Web "en clair"= "eth0"
intertface VPN = "tun0" (à la place de "ppp0" dans l'exemple, je suis en openVPN)
Adresse IP locale "192.168.0.11"
Adresse de passerelle "192.168.0.1"
network = "192.168.1.0/24" de l'exemple, doit-il se modifier en network="192.168.0.0/24" ??? 
192.168.1.0/24 signifie-t-il la même chose que : 192.168.0.1 : 255.255.255.0 ??? (Donc à laisser tel quel ?)

-J’imagine que les lignes suivantes ne sont adaptées qu'à l'exemple, et au cas par cas, donc à ignorer ?

#on ouvre le port 1250 sur la connexion VPN
iptables -A INPUT -p TCP --dport 1250 -m state --state NEW -i $interfaceVPN -j ACCEPT

#on accepte tout les debit sur le port 80 venant d'internet (serveur APACHE) et le port 22 venant d'internet (serveur SSH)
iptables -A INPUT -p TCP -m multiport --dports 80,22 -m state --state NEW  -i $interfaceWWW -j ACCEPT

Merci par avance pour vos conseils avisés.

Alors oui met  network="192.168.0.0/24"
Par contre tu n'as pas besoin de

#on autorise les connecion sortante vers le 1723 sur interfaceWWW pour initialiser les connexion VPN
iptables -A OUTPUT -p TCP --dport 1723 -m state --state NEW -o $interfaceWWW -j ACCEPT

et de

iptables -A INPUT -p gre -i $interfaceWWW -j ACCEPT
iptables -A OUTPUT -p gre -o $interfaceWWW -j ACCEPT

car c'est spécifique aux vpn PPTP

A la place il faut ouvrir le port adequate de ton VPN. il ya plusieurs type de VPN openVPN. certain fonctionne en UDP ou TCP et sur un port précis ou par default
Example si le lien s'etablie en UDP sur le port 1194 (par default d'après ce que j'ai lu) alors

iptables -A OUTPUT -p UDP --dport 1194 -m state --state NEW -o $interfaceWWW -j ACCEPT

devrait suffire

Dernière modification par mastergb (Le 12/05/2011, à 08:23)

mastergb

Re : Connexion VPN automatique (NetworkManager)

Allez un petit complément a ce petit firewall:
Voici les commandes a effecter pour bannir une IP ou un lot d'IP et de logguer chaque tentative d'accès de ces IP dans un fichier de log.

ajouter dans à la fin de la fonction start

iptables -N LOG_BANNED
iptables -A LOG_BANNED -j LOG --log-prefix '** BANNED **' --log-level info
iptables -A LOG_BANNED -j DROP

Puis pour chaque IP à bannir

iptables -I INPUT -s XX.YY.ZZ.WW -j LOG_BANNED
iptables -I OUTPUT -d XX.YY.ZZ.WW -j LOG_BANNED

où XX.YY.ZZ.WW est une IP ou une plage d'IP.

Ensuite rediriger les lignes '* BANNED **' du syslog dans un fichier a part
Editer le fichier /etc/rsyslog.d/50-default.conf

et ajouter

:msg, contains,"** BANNED **"   ~

Juste en dessous de

daemon.*                        -/var/log/daemon.log

Creer le fichier /etc/rsyslog.d/20-iptables.conf
Et ajouter

:msg, contains, "** BANNED **" -/var/log/ipbanned.log
& ~

Redemarrer le service syslog

sudo /etc/init.d/rsyslog restart

Chaque fois que les IP essaierons d'acceder a votre machine elle ne pourra pas mais en plus elle seront loggué dans le fichier avec l'heure exacte.
Cela peut être assez pratique pour savoir si un service est "infecté" par des IP non autorisés

Ansuz

Re : Connexion VPN automatique (NetworkManager)

La galère !!!
J'ai suivi le tuto à la lettre, (enfin, je crois...) résultat, je suis contrains de vous répondre via le système de bill ! (plus aucune connection web, ni mail)
Voici les fichiers qui ne me permettent plus de me connecter via openVPN:

#!/bin/sh
#
# Script de démarrage qui lance l'interface réseau internet
interfaceWWW="eth0"
interfaceVPN="tun0"
localIP="192.168.0.11"
network="192.168.0.0/24"

# Rappel IPTables .
#
#           /----------\         /-------\         /-----------\
# IN--->---< PREROUTING >--->---< FORWARD >--->---< POSTROUTING >--->--OUT
#           \----------/         \-------/         \-----------/
#              \                                            /
#               \                                          /
#             /-----\         /-------------\         /------\
#            < INPUT >--->---< LOCAL PROCESS >--->---< OUTPUT >
#             \-----/         \-------------/         \------/

 start() {

# Dans cette partie, on met en place le firewall
#vidage des chaines
iptables -F
#destruction des chaines personnelles
#stratégies par défaut
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP


iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT 


#on accepte tout le réseau local :)
iptables -A INPUT -s $network -j ACCEPT
iptables -A OUTPUT -d $network -j ACCEPT
iptables -A FORWARD -s $network -j ACCEPT 

#on autorise toutes les connexions déja etablis

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#on accepte tout les débits sur le port 80 venant d'internet (serveur APACHE) et le port 22 #venant d'internet (serveur SSH)
iptables -A INPUT -p TCP -m multiport --dports 80,22 -m state --state NEW  -i $interfaceWWW -j ACCEPT

#on autorise les connexions sortantes vers le 1723 sur interfaceWWW pour initialiser les #connexions VPN en "PPTP"
#iptables -A OUTPUT -p TCP --dport 1723 -m state --state NEW -o $interfaceWWW -j ACCEPT

#on autorise les connexions sortantes vers le 1194 sur interfaceWWW pour initialiser les #connexions VPN en "OpenVPN"
iptables -A OUTPUT -p TCP --dport 1194 -m state --state NEW -o $interfaceWWW -j ACCEPT
iptables -A OUTPUT -p UDP --dport 1194 -m state --state NEW -o $interfaceWWW -j ACCEPT

#on accepte le protocol GRE sur le port interfaceWWW "PPTP"
#iptables -A INPUT -p gre -i $interfaceWWW -j ACCEPT
#iptables -A OUTPUT -p gre -o $interfaceWWW -j ACCEPT

#on autorise les connexions sortantes sur le VPN
iptables -A OUTPUT -m state --state NEW -o $interfaceVPN -j ACCEPT

#on ouvre le port 1250 sur la connexion VPN pour accepter torrent que j'ai mis sur 1250
#iptables -A INPUT -p TCP --dport 1250 -m state --state NEW -i $interfaceVPN -j ACCEPT


#on autorise les connexions sortantes vers le 25 sur interfaceWWW "Mails"
iptables -A OUTPUT -p TCP --dport 25 -m state --state NEW -o $interfaceWWW -j ACCEPT



echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/$interfaceWWW/rp_filter
ip rule add fwmark 0x1 table connection

#on fait passer les connections SMTP sur la connection internet standard
iptables -t mangle -A OUTPUT -p tcp -m multiport --dports 25 -j MARK --set-mark 0x1
iptables -t nat -A POSTROUTING -o $interfaceWWW -p tcp -m multiport --dports 25 -j SNAT --to $localIP


}
  
 stop() {

     iptables -P INPUT ACCEPT
     iptables -P FORWARD ACCEPT
     iptables -P OUTPUT ACCEPT
     iptables -F
 }
  
 case "$1" in
  start)
         start
         ;;
  
 stop)
         stop
         ;;
 restart)
         stop && start
         ;;
 *)
         echo "Usage $0 {start|stop|restart}"
         exit 1
 esac
  
 exit 0

#rend le executable

parefeu if up

set -e
if [ "$IFACE" = eth0 ]; then

/sbin/ip route del 192.168.0.0/24 dev eth0 src 192.168.0.11 table connection
/sbin/ip route del default via 192.168.0.1 table connection
/sbin/ip rule del from 192.168.0.11 table connection

fi

parefeu if down

set -e
if [ "$IFACE" = eth0 ]; then

/sbin/ip route add 192.168.0.0/24 dev eth0 src 192.168.0.11 table connection
/sbin/ip route add default via 192.168.0.1 table connection
/sbin/ip rule add from 192.168.0.11 table connection

fi

Qu'en pensez-vous ?
P.S : Concernant les "parefeu if up or down", j'ai été contrains de les enregistrer en "sudo", sinon validation imposssible.

---

"Mieux vaut ne rien savoir que beaucoup savoir à moitié !"  Friedrich Nietzsche

Ansuz

Re : Connexion VPN automatique (NetworkManager)

Merci whoies pour ton aide.
Voici où j'en suis :
J'ai modifié network="192.168.0.0/24"     --------------------------> il faut mettre lp de la box 192.168.0.1  pas du réseau
192.168.0.1 semble mieux fonctionner, seulement, au boot, ça n'accroche pas.
Il faut que je lance la console, et "/etc/init.d/parefeu stop" afin que le VPN daigne se connecter enfin.
Lors d'un boot normal, l’icône vpnautoconnect passe bien au vert, mais reste sur l'interface eth0.

---

"Mieux vaut ne rien savoir que beaucoup savoir à moitié !"  Friedrich Nietzsche

Ansuz

Re : Connexion VPN automatique (NetworkManager)

Bien le bonjour à la communauté,

http://forum.ubuntu-fr.org/viewtopic.ph … 3#p3494363

tu as une  ligne à rajouter:    iptables -A OUTPUT -p UDP --dport 53 -m state --state NEW -o $interfaceWWW -j ACCEPT

ou indiquer dans le fichier  /etc/hosts         le numéro ip de ton serveur vpn

Concernant

/etc/hosts

ne sachant trop quoi y écrire, j'ai pas tenté. (tout ce que j'ai, c'est une adresse IP de passerelle pour le VPN, est-ce ceci qui est nécessaire ici ?)

Pour le reste, c'est chose faite, l'ajout du port 53 ainsi que la suppression du /24 dans

/etc/network/if-up.d/parefeu

set -e
if [ "$IFACE" = eth0 ]; then

/sbin/ip route add 192.168.0.0 dev eth0 src 192.168.0.11 table connection
/sbin/ip route add default via 192.168.0.1 table connection
/sbin/ip rule add from 192.168.0.11 table connection

fi

et

/etc/network/if-down.d/parefeu

set -e
if [ "$IFACE" = eth0 ]; then

/sbin/ip route del 192.168.0.0 dev eth0 src 192.168.0.11 table connection
/sbin/ip route del default via 192.168.0.1 table connection
/sbin/ip rule del from 192.168.0.11 table connection

fi

chez moi   192.168.0.0/24  ne convenait pas,  et j ai enlevé le ............/24      -----> 192.168.0.0.
n oublis pas de les rendre exécutable

Actuellement, ça ne fonctionne toujours pas...
Lors du boot, arrivé sur le bureau, l’icône de vpnautoconnect reste en jaune et bleu, et networkmanager balaye comme un malade, mais n'accroche rien. Ensuite, message "limite de temps dépassée pour la connexion VPN".
Je suis contraint pour le moment d'écrire ces lignes après un

sudo /etc/init.d/parefeu stop

afin de retrouver une connexion viable.

Arrivé à ce stade, l'avis d'un expert en la matière serait bienvenu pour démêler cet imbroglio... pour novice que je suis en matière de réseau.
Voici donc l'intégralité des modifications apportées a

/etc/init.d/parefeu

:

#!/bin/sh
#
# Script de démarrage qui lance l'interface réseau internet
interfaceWWW="eth0"
interfaceVPN="tun0"
localIP="192.168.0.11"
network="192.168.0.1"

# Rappel IPTables .
#
#           /----------\         /-------\         /-----------\
# IN--->---< PREROUTING >--->---< FORWARD >--->---< POSTROUTING >--->--OUT
#           \----------/         \-------/         \-----------/
#              \                                            /
#               \                                          /
#             /-----\         /-------------\         /------\
#            < INPUT >--->---< LOCAL PROCESS >--->---< OUTPUT >
#             \-----/         \-------------/         \------/

 start() {

# Dans cette partie, on met en place le firewall
#vidage des chaines
iptables -F
#destruction des chaines personnelles
#stratégies par défaut
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP


iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT 


#on accepte tout le réseau local :)
iptables -A INPUT -s $network -j ACCEPT
iptables -A OUTPUT -d $network -j ACCEPT
iptables -A FORWARD -s $network -j ACCEPT 

#on autorise toutes les connexions déja etablis

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#on accepte tout les débits sur le port 80 venant d'internet (serveur APACHE) et le port 22 #venant d'internet (serveur SSH)
iptables -A INPUT -p TCP -m multiport --dports 80,22 -m state --state NEW  -i $interfaceWWW -j ACCEPT

#on autorise les connexions sortantes vers le 1723 sur interfaceWWW pour initialiser les #connexions VPN en "PPTP"
#iptables -A OUTPUT -p TCP --dport 1723 -m state --state NEW -o $interfaceWWW -j ACCEPT

#on autorise les connexions sortantes vers le 1194 sur interfaceWWW pour initialiser les #connexions VPN en "OpenVPN"
iptables -A OUTPUT -p TCP --dport 1194 -m state --state NEW -o $interfaceWWW -j ACCEPT
iptables -A OUTPUT -p UDP --dport 1194 -m state --state NEW -o $interfaceWWW -j ACCEPT

#on accepte le protocol GRE sur le port interfaceWWW "PPTP"
#iptables -A INPUT -p gre -i $interfaceWWW -j ACCEPT
#iptables -A OUTPUT -p gre -o $interfaceWWW -j ACCEPT

#on autorise les connexions sortantes sur le VPN
iptables -A OUTPUT -m state --state NEW -o $interfaceVPN -j ACCEPT

#on ouvre le port 1250 sur la connexion VPN pour accepter torrent que j'ai mis sur 1250
#iptables -A INPUT -p TCP --dport 1250 -m state --state NEW -i $interfaceVPN -j ACCEPT
iptables -A INPUT -p TCP --dport 20004 -m state --state NEW -i $interfaceVPN -j ACCEPT


#on autorise les connexions sortantes vers le 25 sur interfaceWWW "Mails"et entrantes 53 "DNS"
iptables -A OUTPUT -p UDP --dport 53 -m state --state NEW -o $interfaceWWW -j ACCEPT 
iptables -A OUTPUT -p TCP --dport 25 -m state --state NEW -o $interfaceWWW -j ACCEPT



echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/$interfaceWWW/rp_filter
ip rule add fwmark 0x1 table connection

#on fait passer les connections SMTP sur la connection internet standard
iptables -t mangle -A OUTPUT -p tcp -m multiport --dports 25 -j MARK --set-mark 0x1
iptables -t nat -A POSTROUTING -o $interfaceWWW -p tcp -m multiport --dports 25 -j SNAT --to $localIP


}
  
 stop() {

     iptables -P INPUT ACCEPT
     iptables -P FORWARD ACCEPT
     iptables -P OUTPUT ACCEPT
     iptables -F
 }
  
 case "$1" in
  start)
         start
         ;;
  
 stop)
         stop
         ;;
 restart)
         stop && start
         ;;
 *)
         echo "Usage $0 {start|stop|restart}"
         exit 1
 esac
  
 exit 0

#rend le executable

Qu'en pensez-vous, c'est grave docteur ? (je précise que tous ces fichiers sont enregistrés et rendus exécutables)
J'espère que ma longue prose ne vous importune pas trop !
N'hésitez pas à me corriger au besoin, après tout, c'est en forgeant que l'on devient forgeron, paraît-il !

---

"Mieux vaut ne rien savoir que beaucoup savoir à moitié !"  Friedrich Nietzsche