Re: Aide sur configuration d'IPtables dans un contexte OpenV…

Top Page

Reply to this message
Author: Jerome Kieffer
Date:  
To: guilde
Subject: Re: Aide sur configuration d'IPtables dans un contexte OpenVPN
On Wed, 4 Nov 2009 20:42:33 +0100
frederic ollivier <frederic@???> wrote:

> Bonjour à tous,
>
>
> Je me prends la tête avec la mise en place d'openvpn.
>
> Cf le shéma
>
> http://dl.getdropbox.com/u/166479/openvpn.jpeg
>
>  Ma connexion fonctionne. De la machine sur internet j'arrive à pinger
> la machine du réseau local 192.168.0.10.
>
> Par contre impossible de faire autre chose.
>
> Je n'arrive pas à prendre la main avec tsclient ou en partage windows.
>
> Je pense que le problème viens de la conf de mes régles iptable.
>
> Est-ce-qu'une âme charitable peut jeter un coup d'oeil, d'avance merci ?


tu fais du NAT de NAT (un sur ta livebox, un sur ton serveur) ??? c'est
moiyen propre non ?

tu as bien sur ton client openvpn une regle de routage:
#route add -net 192.168.0.0/24 gw 10.8.0.4


Sinon dans mon firewall j'ai cette regle pour les VPN qui sont agrégés
avec le flux de la patte interne de mon serveur. C'est assez proche de
ta config.


Pour la compréhention:
islay = serveur chez toi
lan = 192.168.0.0/24 sur eth1
ext = 192.168.1.0/24

vpn() {
#tester l'existance de l'interface,
#si oui ajouter au chaines VPN
#le VPN a les mêmes droite que le LAN 
for IF in $IFACE_VPN;
do
    $IFCONFIG $IF 2>&1 >/dev/null
    if [ $? ] ;
    then
        $IPTABLES -A OUTPUT  -o $IF -j islay-lan
        $IPTABLES -A INPUT   -i $IF -j lan-islay
        $IPTABLES -A FORWARD -i $IF -j lan-ext
        $IPTABLES -A FORWARD -o $IF -j lan-ext
    fi
done
}


peux tu utiliser les en fin de firewall log ? (j'utilise ulog pour
séparer du kernel)


echo -n "On loggue des autres paquets"
$IPTABLES -A ext -p tcp -j uLOG --ulog-prefix 'tcp DROP '
$IPTABLES -A ext -p tcp -j DROP
echo -n .
$IPTABLES -A ext -p udp -j ULOG --ulog-prefix 'udp DROP '
$IPTABLES -A ext -p udp -j DROP


Hope this helps (c'est pas sur)
--
Jérôme KIEFFER
http://www.terre-adelie.org