Forum d'entraide de la communauté Freedom-IP VPN
Vous n'êtes pas identifié(e).
Pages : 1
Bonjour,
J'ai cru comprendre, que pour plus de sécurité, il était intéressant de définir manuellement les routes, mais je ne sais pas en quoi cela consiste.
Quelqu'un peut-il m'éclairer.
Je suis sous Xbuntu 11.10.
Merci d'avance.
Sengle.
Hors ligne
Personnellement je ne vois pas trop non plus ou tu veux en venir... Une route est le chemin que ta connexion emprunte pour accéder à un endroit (grosso-modo).
Par exemple pour accéder à google.fr, tu dois établir une connexion avec les serveurs de Google, situés quelque part dans le monde. Et pour cela, tu passes a travers différents équipements réseau, dont des routeurs, qui t'indiquent le chemin (la route) que tu dois prendre pour atteindre le service désiré.
Du coup, je ne vois pas trop ce que tu souhaites faire...
Hors ligne
Dans la discussion intitulée Script(s) par Scratch du forum Aide-Linux, David le modérateur écrit dans le message du 2012-08-01 07:49:08
3. Blocage du réseau en cas de panne d'un serveur.
Avec une définition manuelle des routes, internet ne sera pas accessible à la machine ... seul l'intranet le sera.
Voilà ce que je cherche à comprendre.
Merci d'avance.
Hors ligne
Ah, j'avoue que là... J'ai aussi du mal à comprendre. David ?
Hors ligne
Bonjour ...
Prenons le cas simple d'un seul Ordinateur et d'une Box dans votre intranet. Habituellement sur votre ordinateur, pour accéder à toutes autre machine ne se trouvant pas dans votre intranet, celui-ci connait la passerelle par défaut (porte de sortie sur les réseaux extérieurs ...) qui est votre Box.
Si vous ne définissez pas de passerelle par défaut (ou route par défaut), logiquement rien ne sortira puisque votre ordinateur ne saura pas par où passer.
Lorsque la connexion VPN est établie, une route par défaut est définie et elle passe par le périphérique tunX, donc par le VPN, donc tout ce qui n'est pas destiné à votre intranet passera par le VPN.
Dans le cas présent, puisque vous n'avez pas défini de route par défaut, votre ordinateur sera incapable de se connecter au VPN. C'est là qu'il faut définir une route statique pour une machine unique (l'adresse ip du serveur vpn défini dans le fichier de configuration). Pour le serveur "vpn2.Freedom-IP.com" l'adresse ip est "94.23.145.51", il suffit donc d'ajouter une route statique vers l'adresse ip "94.23.145.51" en passant par la passerelle "192.168.1.1" (ou l'adresse ip de votre box). Actuellement les routes sont :
# route -n
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
Pour le moment, on peut voir que nous pouvons nous promenez sur notre intranet mais rien d'autre.
Ajoutons notre route statique pour accéder au serveur VPN :
# route add 94.23.145.51 gw 192.168.1.1
Donc maintenant, les routes sont :
# route -n
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
94.23.145.51 192.168.1.1 255.255.255.255 UGH 0 0 0 eth0
Maintenant votre ordinateur a accès à votre intranet et sait comment accéder à l'adresse ip "94.23.145.51" ... en passant par la passerelle "192.168.1.1".
Si vous utilisez le DNS de la box, il n'y a pas de souci ... car n'oubliez pas que votre DNS local ne fonctionnera pas simplement parce qu'il lui est impossible de joindre les serveurs tiers pour enrichir son cache (sauf si vous ajoutez manuellement / statiquement les routes à prendre pour accéder aux serveurs requis) ... ... et si la résolution ne fonctionne pas, remplacer les "vpn2.Freedom-IP.com" par l'adresse IP (94.23.145.51) ... avec cette configuration, tous les programmes utilisant le réseau, n'ayant pas d'accès à internet hors VPN et n'ayant pas de résolution de nom hors VPN vous êtes pour ainsi dire certain à 95% que rien ne sortira (je dis 95% car il existe toujours des programmes ou systèmes d'exploitation qui feront tout pour trouver un chemin vers l'extérieur ... si c'est le système d'exploitation, tout lui est permis ... et si c'est un programme qui a des droits administrateurs, tout ou presque tout lui est permis).
Cordialement, David.
Hors ligne
Hors ligne
0.0.0.0 192.168.0.254 0.0.0.0 UG 0 0 0 eth0
Hors ligne
Hors ligne
Bonjour ...
Tout est dans la dernière capture d'écran. Les 2 cases à cocher peuvent l'être ("Ignore automatically obtained routes" => "Igorer les routes obtenues automatiquement" et "Use this connection only for resources on its network" => ""Utiliser cette connexion uniquement pour les ressources de son réseau" ... c'est la case à cocher à laquelle je pensais en écrivant "sans oublier de désactiver l'accès à internet ... généralement une case à cocher").
En cliquant sur "Add", une nouvelle ligne devrait apparaître dans la liste (pour le moment vide) et :
- dans la colonne "Adress" (Adresse) vous devez mettre l'adresse du réseau destination ou de la machine ... pour vous ce sera l'adresse IP de "vpn2.freedom-ip.com" (ou "94.23.145.51").
- dans la colonne "Netmask", c'est le masque réseau qui dans votre cas est "255.255.255.255" car c'est une machine (Host) et non pas un groupe de machine.
- dans la colonne "Gateway" (passerelle) vous devez mettre l'adresse ip de votre porte de sortie (adresse ip de votre box) ou "192.168.0.254.
- dans la colonne "Metric" vous pouvez laisser ce champ vide ou mettre "0" (zéro).
Ensuite vous valider les modifications pour cette fenêtre "Routes" mais aussi pour les fenêtres parentes ("Save" puis "Close" ... de mémoire).
J'attends un retour de cette configuration
Cordialement, David.
Hors ligne
Hors ligne
Bonsoir ...
En comparant le résultat avec votre message #8, on voit que lors de la connexion au VPN la route par défaut (0.0.0.0 ou la première ligne de la seconde capture) n'apparait plus, alors qu'elle devrait être présente ! Et vous devriez voir quelque chose du type (avec comme source votre capture d'écran) :
#route -n
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
0.0.0.0 10.8.10.225 0.0.0.0 UG 0 0 0 tun0
10.8.0.1 10.8.10.225 255.255.255.255 UGH 0 0 0 tun0
10.8.10.225 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
94.23.145.51 192.168.0.254 255.255.255.255 UGH 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
Dans la configuration des routes du VPN, avez-vous fait une quelconque modification (comme désactiver l'accès à internet) !?
Pour l'IPv6, il vaut mieux pour le moment le désactiver pour éviter de devoir jongler avec 2 tables de routage ... et actuellement Freedom-IP fonctionne en IPv4
Cordialement, David.
Hors ligne
Hors ligne
Bonjour ...
Pourriez-vous vérifier, pour un simple test, si en mettant comme méthode "Automatic (VPN)" et non "Automatic (VPN) adresses only" si la route par défaut est bien insérée /définie !?
Et si elle l'est, quel serveur dns est utilisé en premier (celui de votre intranet ou celui du VPN) !?
Pour mémoire :
# nslookup freedom-ip.com
Server: 127.0.0.1
Address: 127.0.0.1#53
Non-authoritative answer:
Name: freedom-ip.com
Address: 94.23.14.130
Sinon, si la route par défaut n'est toujours pas défini, il va falloir voir si le problème vient du network-manager ou d'openvpn ... donc en étant isolé d'internet et sans VPN, placez-vous dans le répertoire où se trouve le fichier (comme celui de votre exemple) "NL4_freedomip.ovpn" (en prenant soin de bien avoir modifié la ligne "remote vpn2.freedom-ip.com" avec l'adresse ip pour ne pas solliciter le DNS : "remote 94.23.145.51" ... puis de lancer manuellement la connexion au VPN :
sudo openvpn --config NL4_freedomip
Puis laisser la connexion s'établir ... une fois que vous voyez le message "Initialization Sequence Completed", cela veut dire que vous êtes connecté au VPN. Maintenant, il ne reste plus qu'à voir quelles sont les routes avec la commande que vous devez commencer à connaître (mais dans un autre terminal ... car celui où fonctionne OpenVPN n'est plus disponible pour le moment). Une fois les routes vérifiées, vous pouvez retourner sur le terminal d'OpenVPN et de stopper la connexion (Ctrl + C) ... quelques lignes devraient s'afficher pour vous décrire la procédure de déconnexion puis vous retrouverez votre "invite de commande" donc pouvez de nouveau utiliser ce terminal.
J'attends de savoir si la premier solution définie la route par défaut et si ce n'est pas le cas, si le second test est concluant (si là la route par défaut est définie, le problème vient du network-manager) ou non (problème lié à OpenVPN).
Désolé pour ces tests, mais c'est pour cibler l'origine du problème et trouver un moyen pour le résoudre.
Cordialement, David.
Hors ligne
Hors ligne
Re ...
Pour votre première capture, en comparaison avec celle ou le network-manager n'intervenait pas (pas de route défini avec son interface) la route par défaut était convenablement définie (votre réponse #8).
Pour la seconde, bien que vous voyez apparaître 2 route par défaut n'est pas un problème car un "traceroute" vous montrera que vous passez bien par le vpn :
# route -n
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
0.0.0.0 10.9.9.129 128.0.0.0 UG 0 0 0 tun0
0.0.0.0 127.0.0.1 0.0.0.0 UG 0 0 0 eth0
...
# traceroute -m 1 Freedom-IP.com
traceroute to Freedom-IP.com (94.23.14.130), 1 hops max, 60 byte packets
1 10.9.0.1 (10.9.0.1) 1648.291 ms 1648.309 ms 1648.316 ms
On voit bien qu'il y a 2 routes par defaut (destination = 0.0.0.0) mais que mes données passent par le VPN (par 10.9.0.1 dans mon exemple) ... j'avoue ne jamais avoir approfondi la réflexion (position dans la table ou valeur du "genmask" ... !?).
Je n'ai pas le temps de répondre plus longuement mais je repasserai plus tard.
Cordialement, David.
Hors ligne
Hors ligne
Bonsoir ...
Bien que je n'ai pas eut trop de temps ce Week-End, j'ai installé rapidement le network-manager sur une machine et j'arrive aux même conclusion que vous.
Comme les 2 jours à venir ne seront pas mieux, je reprendrai mon investigation dès Mercredi.
Cordialement, David.
Hors ligne
Bonjour et bonne année 2013 !
Merci beaucoup pour toute votre aide à élucider ce mystère... Vous avez tout votre temps pour reprendre ces investigations. Je suis en vacances, loin de ma machine et ne serai de retour qu'à partir de la fin de la semaine.
Très cordialement,
Sengle.
Hors ligne
Bonsoir,
Me voilà de retour à proximité de mon ordinateur avec une grande envie d’élucider ce problème de connexion.
Avez-vous quelques indices qui pourraient m'être utiles ?
Cordialement,
Sengle.
Hors ligne
Bonjour ...
Je n'ai pas été très présent chez moi cette dernière semaine (boulot, vie privée, engagements extérieurs divers, ...), et je n'ai pas eut (pris) le temps de m'y replonger.
Je prends sur ma petite demi-heure du midi pour répondre du domicile, mais n'ai pas trop le temps de faire plus que manger et répondre rapidement.
Si je ne rentre pas trop tard ce soir, je ferai quelques nouveaux tests pour trouver un moyen obligant le Network-Manager (et OpenVPN) à définir la route par défaut que le serveur VPN fournit au client.
Cordialement, David.
Hors ligne
Bonjour,
Je comprends très bien. Dès que vous aurez un peu plus de temps contactez-moi. Si j'avance de mon côté je vous tiens, bien sûr au courant.
Cordialement,
Sengle
Hors ligne
Bonjour,
Quelqu'un a-t-il une idée concernant sur ce petit souci avec une Route par Défaut, OpenVPN et Network Manager.
Les conseils sont les bienvenues...
Merci d'avance.
Cordialement,
Sengle.
Hors ligne
Pages : 1