Meilleure solution pour couper toute connexion si le vpn tombe (2016)

Mintos · 2016-01-27 16:08:03

Salut à tous,

Gros noob sous Linux Mint, j'ai réussi grâce au tuto de votre site à paramétrer en PPTP ce formidable VPN que vous offrez et il fonctionne à merveille.

J'en suis à la seconde étape que j'estime nécessaire, à savoir couper toute connexion (ou du moins si possible l'appli qui utilise le vpn) si jamais le serveur vpn utilisé venait à planter, ou devait être arrêter temporairement pour cause de maintenance par exemple.

J'ai vu qu'il y avait un truc comme vpnautoconnect qui pouvait être utile, mais je n'arrive pas à l'installer. J'ai téléchargé l'archive via le site sourceforge. Le fichier est en tar.gz.
J'ai extrait l'archive mais ensuite je m'y prend mal car je n'arrive pas à l'installer.
J'ai tapé sudo apt-get install vpnautoconnect-2.0.5 mais ça me répond "impossible de trouver le paquet vpnautoconnect-2.0.5" et "Impossible de trouver de paquet correspondant à l'expression rationnelle « vpnautoconnect-2.0.5 »"
Donc au passage, j'aimerai savoir comment installer ce vpnautoconnect...

Mais plus généralement, d'où le titre de mon post, vu que la dernière MAJ de ce soft date du 24/04/2013 et que nous sommes en 2016, je voudrai savoir la solution que vous préconisez, actuellement (car il existe des solutions "datées" donc au jour d'aujourd'hui qu'est-ce qui fonctionne bien ?) sous Linux Mint, pour couper l'Internet si jamais la connexion avec le serveur vpn utilisé venait à être interrompue.

Merci bien.

JP

Dernière modification par Mintos (2016-01-27 16:10:22)

chico · 2016-01-27 16:17:57

Bonjour,

IPtables fait ça sans problème sous Linux et en plus pas besoin de télécharger un logiciel tiers devil

Cordialement, Chico

Mintos · 2016-01-27 16:37:26

Salut chico,

Merci pour ta réponse, mais en faisant des recherches sur le forum avec le mot clef iptable ça me renvoie 3 réponses, la première c'est pour une interface graphique pour openvpn (ça peut être intéressant, je verrai plus tard), la dernière réponse est un topic de présentation et la seconde il y a le pauvre Patrick1969 qui reste en galère...

Pourrais-tu donc être plus précis ?

Merci.

Cordialement,
JP

David · 2016-01-27 16:43:30

Mintos · 2016-01-27 16:56:56

Salut David,

Ah ça va mieux (enfin presque : plus de 30 réponses, dont beaucoup datées).
Je n'avais pas mis le "s" car je pensais que votre moteur de recherche ne serait pas restrictif. Mais à moi d'être précis donc (ce qui est plutôt rassurant en fait).
Je me plonge dans la lecture des posts avec optimisme car j'espère y trouver un tuto aussi clair que celui de @Nykau.

Merci bien.

Cordialement,
JP.

Patrick1969 · 2016-01-27 17:21:32

Dernière modification par Patrick1969 (2016-01-27 17:27:40)

Mintos · 2016-01-27 18:15:22

David · 2016-01-27 18:45:40

allow-hotplug eth0
iface eth0 inet static
        address 192.168.0.2
        netmask 255.255.255.0
        network 192.168.0.0
        broadcast 192.168.0.255
        dns-nameservers 192.168.0.1 ou 127.0.0.1 ou 8.8.8.8

chico · 2016-01-27 19:44:31

iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i eth0 -j DROP
iptables -A OUTPUT -o eth0 -j DROP
iptables -A INPUT -i eth0 $serveurs_FIP -j ACCEPT
iptables -A OUTPUT -o eth0 $serveurs_FIP -j ACCEPT
iptables -A INPUT -i tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o tun0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

Et voila, le traffic internet ( hors connexion au VPN ) ne peut passer qu'au travers de l'interface VPN wink
Il est possible de customiser ces règles en y ajoutant des ports et protocoles, l'autorisation ou non de la résolution DNS...par exemple et en configurant la chaîne FORWARD.

Chacun sa méthode devil

Cordialement, Chico

David · 2016-01-27 19:48:14

Re ...

Mais là, aucun accès aux autres périphériques de l'intranet ... même pas la Box ... ni de DNS tongue

Cordialement, David.

chico · 2016-01-27 19:51:16

@David,

Bah si, en ajoutant une règle autorisant tout sur le réseau local ( 192.168.1.0/24 ) wink tongue

David · 2016-01-27 20:08:43

chico · 2016-01-27 20:18:04

Les règles qui drop tout vers/depuis eth0 sont inutiles puisque la police est déjà sur drop, ce ne sont pas des règles à utiliser telles qu'elles, mais cela donne une très grande indication quant à la marche à suivre wink

J'vais quand même pas rédiger un script complet devil

Patrick1969 · 2016-01-27 20:34:39

Mintos · 2016-01-27 20:58:24

David · 2016-01-27 21:03:32

# On Supprime la route par défaut par précaution (et on peut commenter "gateway" d'eth0 du fichier /etc/network.interfaces)
/sbin/route del default

# On ajoute la route vers le DNS Google (voir /etc/resolv.conf)
/sbin/route add 8.8.8.8 gw 192.168.0.1

# Liste des sites accessiblent même si le VPN n'est pas connecté (Ex : serveur NL, FR et site FIP)
URL="freedom-ip.com nl.freedom-ip.com fr.freedom-ip.com"

for NAM in ${URL}; do
  ADR=$(/usr/bin/dig +short ${NAM})
  if [ -n "${ADR}" ]; then
    /sbin/route add ${ADR} gw 192.168.0.1
  fi
done

Mintos · 2016-01-28 10:58:56

iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i eth0 -j DROP
iptables -A OUTPUT -o eth0 -j DROP
iptables -A INPUT -i eth0 $serveurs_FIP -j ACCEPT
iptables -A OUTPUT -o eth0 $serveurs_FIP -j ACCEPT
iptables -A INPUT -i tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o tun0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

Dernière modification par Mintos (2016-01-28 11:39:43)

chico · 2016-01-28 12:25:19

Bonjour,

#!/bin/bash

iptables -F
iptables -X

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT -i tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o tun0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -i VotreInterfaceRéseau -s AdresseIPLocaleDeVotreRouteur -p udp -m multiport --sports 67,68 -j ACCEPT
iptables -A OUTPUT -o VotreInterfaceRéseau -d AdresseIPLocaleDeVotreRouteur -p udp -m multiport --dports 67,68 -j ACCEPT

iptables -A INPUT -i VotreInterfaceRéseau -s 8.8.8.8 -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -o VotreInterfaceRéseau -d 8.8.8.8 -p udp --dport 53 -j ACCEPT

servers=$'fr.freedom-ip.com be.freedom-ip.com etc....'

for FIP in ${servers[@]};do
iptables -A INPUT -i VotreInterfaceRéseau -s $FIP -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o VotreInterfaceRéseau -d $FIP -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
done

Avec ça, tout sort par l'interface VPN, si le VPN coupe plus rien ne sort wink

On appel ça: mâcher le travail devil

ptit_poulet · 2016-01-28 13:05:40

Bonjour,

Si ça c'est pas du service professionnel, hautement qualifié, avec suivi personnalisé, ba je vois pas alors big_smile

Mintos · 2016-01-28 13:54:00

#!/bin/bash

iptables -F
iptables -X

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT -i tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o tun0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -i 127.0.0.1 -s 192.168.1.254 -p udp -m multiport --sports 67,68 -j ACCEPT
iptables -A OUTPUT -o 127.0.0.1 -d 192.168.1.254 -p udp -m multiport --sports 67,68 -j ACCEPT

iptables -A INPUT -i 127.0.0.1 -s 8.8.8.8 -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -o 127.0.0.1 -d 8.8.8.8 -p udp --dport 53 -j ACCEPT

servers=$'nl.freedom-ip.com'

for FIP in ${servers[@]};do
iptables -A INPUT -i 127.0.0.1 -s $FIP -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o 127.0.0.1 -d $FIP -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
done

David · 2016-01-28 16:36:55

Patrick1969 · 2016-01-28 16:50:43

Mintos · 2016-01-28 18:32:56

Bonsoir David, Patrick,

Allez je testerai demain voici donc les dernières remarques avant de tester en PPTP :

Je ne souhaite utiliser que le serveur NL, suis-je obligé de mettre tous les serveurs vpn de freedom-ip à la ligne servers=$ ?
Afin de comprendre un peu ce que je fais, que signifie le code $ports 67,68 ?

Le chico's script je le crée comment au mieux ? Peu importe le nom, peu importe l'emplacement (je découvre linux, je ne sais même pas où sont les applis... ops ) ?

Merci bien.
cordialement,
JP

Patrick1969 · 2016-01-29 15:34:15

Bonjour à tous .
Bon j'espère ne pas raconter de bêtises ops
Je ne pense pas qu'il faille mettre tous les serveurs vpn . Le seul problème
est que si par la suite vous optez pour une reconnexion automatique , le seul serveur qui
sera autorisé à passé au travers de votre pare_feu sera le serveur NL . Donc tant que le serveur NL ne sera
pas fonctionnel vous n'aurez plus accès à internet à moins , d'arrêter votre script . Dans ce cas vous aurez accès à internet
mais sans protection VPN .
Pour le script , créer par exemple un dossier "script" dans votre home . Dans ce même dossier , créer un fichier vide où vous y collez le script à chico . Donnez lui un nom , par exemple script_a_chico.sh , enregistrez puis fermer le fichier . dans ce même dossier , lancez une fenêtre Terminal et tapez bash nom_du fichier.sh , votre script est lancé .
Pour le stopper , faite un contrôle + c dans la fenêtre Terminal d'où vous avez lancé votre script .
Voilà , j'espère juste ne pas avoir raconté trop de choses inexactes .
Cordialement , Patrick1969 .

Dernière modification par Patrick1969 (2016-01-29 15:37:02)

David · 2016-01-29 17:57:44

Bonjour ...

Dans un premier temps, la commande IpTables impose d'être Administrateur pour fonctionner, puis elle n'est pas bloquante donc le script se terminera et rendra la main au shell une fois que toutes les commandes auront été traitées, donc <CTRL> + "C" n'aura aucun effet. Pour avoir de nouveau accès à internet, lorsque le VPN est arrêté, impose la purge de toutes les règles IpTables (comme pour Route avec la route par défaut) ... C'est la raison pour laquelle j'ai placé le Site Freedom-IP (comme déjà expliqué), sans VPN vous avez tout de même accès au site pour vérifier votre Compte mais aussi ouvrir un ticket après avoir fait un tour sur le Forum pour voir les Maintenances.

Cordialement, David.

Forum Freedom-IP VPN

Annonce

#1 2016-01-27 16:08:03

Meilleure solution pour couper toute connexion si le vpn tombe (2016)

#2 2016-01-27 16:17:57

Re : Meilleure solution pour couper toute connexion si le vpn tombe (2016)

#3 2016-01-27 16:37:26

Re : Meilleure solution pour couper toute connexion si le vpn tombe (2016)

#4 2016-01-27 16:43:30

Re : Meilleure solution pour couper toute connexion si le vpn tombe (2016)

#5 2016-01-27 16:56:56

Re : Meilleure solution pour couper toute connexion si le vpn tombe (2016)

#6 2016-01-27 17:21:32

Re : Meilleure solution pour couper toute connexion si le vpn tombe (2016)

#7 2016-01-27 18:15:22

Re : Meilleure solution pour couper toute connexion si le vpn tombe (2016)

#8 2016-01-27 18:45:40

Re : Meilleure solution pour couper toute connexion si le vpn tombe (2016)

#9 2016-01-27 19:44:31

Re : Meilleure solution pour couper toute connexion si le vpn tombe (2016)

#10 2016-01-27 19:48:14

Re : Meilleure solution pour couper toute connexion si le vpn tombe (2016)

#11 2016-01-27 19:51:16

Re : Meilleure solution pour couper toute connexion si le vpn tombe (2016)

#12 2016-01-27 20:08:43

Re : Meilleure solution pour couper toute connexion si le vpn tombe (2016)

#13 2016-01-27 20:18:04

Re : Meilleure solution pour couper toute connexion si le vpn tombe (2016)

#14 2016-01-27 20:34:39

Re : Meilleure solution pour couper toute connexion si le vpn tombe (2016)

#15 2016-01-27 20:58:24

Re : Meilleure solution pour couper toute connexion si le vpn tombe (2016)

#16 2016-01-27 21:03:32

Re : Meilleure solution pour couper toute connexion si le vpn tombe (2016)

#17 2016-01-28 10:58:56

Re : Meilleure solution pour couper toute connexion si le vpn tombe (2016)

#18 2016-01-28 12:25:19

Re : Meilleure solution pour couper toute connexion si le vpn tombe (2016)

#19 2016-01-28 13:05:40

Re : Meilleure solution pour couper toute connexion si le vpn tombe (2016)

#20 2016-01-28 13:54:00

Re : Meilleure solution pour couper toute connexion si le vpn tombe (2016)

#21 2016-01-28 16:36:55

Re : Meilleure solution pour couper toute connexion si le vpn tombe (2016)

#22 2016-01-28 16:50:43

Re : Meilleure solution pour couper toute connexion si le vpn tombe (2016)

#23 2016-01-28 18:32:56

Re : Meilleure solution pour couper toute connexion si le vpn tombe (2016)

#24 2016-01-29 15:34:15

Re : Meilleure solution pour couper toute connexion si le vpn tombe (2016)

#25 2016-01-29 17:57:44

Re : Meilleure solution pour couper toute connexion si le vpn tombe (2016)

Pied de page des forums