Re: Liens inter-sites avec OpenVPN

Top Page

Reply to this message
Author: Raphaël Jacquot
Date:  
To: guilde
Subject: Re: Liens inter-sites avec OpenVPN
On 28.06.2013 16:19, Bruno Cudini wrote:
> On Wed, Jun 26, 2013 at 10:24:40AM +0200, Bruno Cudini wrote:
>> Du coup j'en viens à me demander si c'est vraiment une bonne idée de
>> faire comme ça, vu qu'OpenVPN ne semble pas super adapté pour gérer
>> plusieurs routes vers les divers clients (sauf si j'ai juste raté un
>> truc). Et sinon, peut-être faire un serveur sur chaque site distant,
>> et
>> aller m'y connecter avec plusieurs clients, mais dans l'idée je
>> voudrais
>> avoir une config ultra générique pour les sites distants (changer
>> que le
>> certificat), pour pouvoir ajouter la cinquantaine existante et
>> l'autre
>> cinquantaine pour laquelle on a encore rien de prêt.
>
> Bon après un bon moment d'acharnement, ça me semble compliqué : j'ai
> pensé ajouter la route spécifique au client à la main, en me
> connectant
> par SSH sur le pfSense :
>
>> # route add -net 172.18.129.0/24 172.18.128.6
>
> 172.18.128.6 étant l'adresse IP attribuée au routeur Linux distant,
> et
> 172.18.129.0/24 la plage que je veux lui attribuer
>
> Comme il refusait catégoriquement de le faire, j'ai soupçonné ma
> méconnaissance de BSD, et j'ai tenté une config OpenVPN toute fraîche
> sur une Wheezy installée pour l'occasion. Une fois que ce fut fait,
> avec
> un VPN qui se connecte bien, je refais le routage :
>
>> # ip route add 172.18.129.0/24 via 172.18.128.6 dev tun0
>
> Est-ce que j'ai rien compris, pour penser qu'un truc comme ça
> pourrait
> marcher ? J'aurais tendance à croire que quelque part dans OpenVPN,
> il y
> a un truc incompatible avec ce fonctionnement, mais peut-être que
> j'ai
> raté un truc.
>
>
> Bref, on en est arrivés à la conclusion que c'était pas possible de
> le
> faire avec OpenVPN. Mais comme je suis encore un grand naïf, j'ai du
> mal
> à concevoir que ce soit réellement impossible. Quelqu'un saurait dire
> ce
> qui cloche, si c'est moi ou l'OpenVPN ?


bonjour,
tu tiens le bon bout, laches pas.
en fait il faut mettre des ip en /32 de chaque coté...

sur le serveur :

local x.x.x.x
port 1194
proto udp
dev-type tun
tun-ipv6
persist-tun
dev client1
float
ifconfig y.y.y.y z.z.z.z
secret /etc/openvpn/client1.key

sur le client :

remote x.x.x.x aaaaa
dev-type tun
tun-ipv6
persist-tun
dev client1
ifconfig z.z.z.z y.y.y.y
secret /etc/openvpn/client1.key
keepalive 10 59

avec toujours les memes x.x.x.x et y.y.y.y . seul z.z.z.z et aaaaa
changent...