Forum Freedom-IP VPN

Forum d'entraide de la communauté Freedom-IP VPN

Vous n'êtes pas identifié(e).

#1 2012-06-22 12:45:07

pfultra
Membre
Inscription : 2012-03-31
Messages : 3

Serveur DNS et Linux

Bonjour,

Je suis en train de me mettre en place une petite machine de test avec CentOS et OpenVPN.
J'arrive à me connecter au service, mais j'ai une paire de questions qui me taraudent l'esprit:

Lors de surf prive, la résolution DNS passe t-elle toujours par la paserelle par défaut et donc directement par le FAI, ou est-elle encapsulée par le VPN ?
En fait la vraie question derrière, comment être sur de passer par le VPN et non par la passerelle par défaut ? (la commande route donnant par default et l'adresse du VPN et l'adresse de la passerelle par défaut du routeur)
Egalement, y-a t-il une commande simple pour tester l'état du VPN ? (plus simple qu'un ifconfig tun0 | grep "UP")

Merci de quelques eclaircissements.

Hors ligne

#2 2012-06-22 14:22:45

David
Bof !!!
Inscription : 2012-01-30
Messages : 6 132

Re : Serveur DNS et Linux

# traceroute -m 1 www.google.fr
traceroute to www.google.fr (173.194.34.31), 30 hops max, 60 byte packets
 1  10.8.X.X (10.8.X.X)  86.515 ms  86.507 ms  86.508 ms

Hors ligne

#3 2012-06-23 16:51:41

pfultra
Membre
Inscription : 2012-03-31
Messages : 3

Re : Serveur DNS et Linux

Merci de votre réponse.
Pour le DNS, je me suis mal exprimé.

Immaginons ceci:

[== Indéfini ==]
# cat /etc/resolv.conf

nameserver 208.67.222.222
nameserver 208.67.222.222
nameserver 8.8.8.8

Avant de lancer le VPN, une requete DNS est transmise via la paserelle définie pour l'interface réseau (donc directement via le FAI) pour aller vers les serveurs dns.
Une fois le VPN lancé, toute requete devant sortir du sous réseau doit passer par la paserelle de l'interface vpn, soit encapsulée et transmise par le FAI vers le serveur VPN, et de là vers les serveurs dns.

Ma question, lors de l'activation du vpn, y-a-t-il un temps de latence pendant lequel les requetes passent encore par la passerelle de l'interface réseau plûtot que par celle du vpn (par exemple du au fait d'un cache arp) ?

Question subsidiare, si mon but était d'interdire toute forme de communication exeptée par le VPN, ces règles iptables suffiraient ?
- autoriser uniquement le protocole TCP de tout port vers le port de destination 4444
- autoriser uniquement le protocole TCP de tout port vers le port de destination 53 (pour la résolution de l'IP du serveur VPN)

?

J'ai fait quelques tests, ça ressemblerait à ceci:

[== Indéfini ==]
# cat /etc/sysconfig/iptables

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -o tun0 -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -p tcp --dport 4444 -j ACCEPT
-A OUTPUT -p tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp --dport 53 -j ACCEPT
-A OUTPUT -p tcp --sport 22 -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -j REJECT
COMMIT

Pour moi ça a l'air de marcher, je peux obtenir des DNS sans VPN pour resoudre l'adresse du serveur VPN, je peux me connecter au VPN via le port 4444, je peux faire des pings (pour les tests), mais je peux rien faire d'autre à moins de passer par le VPN.

C'est ça ou j'ai fait une horrible coui**e ?

Dernière modification par pfultra (2012-06-23 18:00:56)

Hors ligne

#4 2012-06-23 17:11:36

pfultra
Membre
Inscription : 2012-03-31
Messages : 3

Re : Serveur DNS et Linux

Ahh oui j'allais oublier, du coup un script de vérification et de relancement du VPN par rapport à votre solution serait peut être:

[== Indéfini ==]
#!/bin/bash

VPNOK = $(ip addr show tun0 | grep inet | wc -l)

if [ $VPNOK -ne 1]
then
 service openvpn restart
fi

A lancer en tache cron pour être sur de relancer le VPN.
C'est dans ce gout ou je me fais ch**** et y a un truc plus simple déjà integré comme démon ?

Merci.

Hors ligne

Pied de page des forums