soucis avec openvpn / android

Le
Bzzz
Salut liste,

Je cherche à tout passer à travers mon svr openvpn,
si je me connecte bien (avec feat vpn, donc en routed)
mon browser s/android arrête de fonctionner dès que la
connection est active et je n'arrive pas à trouver d'où
ça vient.

Le svr est dans le LAN et la boîboîte forward le trafic
vers le bon port. Les logs indiquent que la connexion
est effective (des 2 côtés).

Quelque chose me dit que ça risque d'être au niveau
d'iptables mais je ne l'ai pas touché depuis longtemps,
à moins que ça ne soit le mode routed que je n'ai jamais
utilisé, ou des règles oubliées ou bien Obiwan Kenobi.


RÈGLE IPTABLES AJOUTÉE
=
iptables -t nat -A POSTROUTING -s 10.9.8.0/24 -o eth0 -j MASQUERADE

==
==

SERVEUR
=
local 192.168.1.25

port 1194
proto udp
dev tun

ca /etc/openvpn/SSL/ca.crt
cert /etc/openvpn/SSL/server.crt
key /etc/openvpn/SSL/server.key
dh /etc/openvpn/SSL/dh2048.pem
tls-auth /etc/openvpn/SSL/ta.key 0

tls-server yes

server 10.9.8.0 255.255.255.0

script-security 3

push "route 192.168.1.0 255.255.255.0"
push "explicit-exit-notify 3"
push "redirect-gateway def1 bypass-dhcp"

ping 10
ping-restart 120
push "ping 10"
push "ping-restart 60"

cipher BF-CBC
comp-lzo yes
push "comp-lzo yes"

user nobody
group nogroup

persist-key yes
persist-tun yes

status /etc/openvpn/LOGS/openvpn-status.log

log /etc/openvpn/LOGS/openvpn.log
#log-append /etc/openvpn/LOGS/openvpn.log

verb 3

==
==

IFCONFIG
==
eth0 Link encap:Ethernet HWaddr 00:0e:a6:58:40:25
inet addr:192.168.1.25 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::20e:a6ff:fe58:4025/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1372279 errors:0 dropped:1942 overruns:0 frame:0
TX packets:1532693 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:745675754 (711.1 MiB) TX bytes:281378593 (268.3 MiB)
Interrupt:23 Base address:0xb000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:789475 errors:0 dropped:0 overruns:0 frame:0
TX packets:789475 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:182838280 (174.3 MiB) TX bytes:182838280 (174.3 MiB)

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-=
00-00-00
inet addr:10.9.8.1 P-t-P:10.9.8.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:52 errors:0 dropped:0 overruns:0 frame:0
TX packets:52 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:3508 (3.4 KiB) TX bytes:3508 (3.4 KiB)

==
==

CLIENT

client

dev tun
proto udp

remote monsitedyndns 1194
resolv-retry infinite
nobind

persist-key yes
persist-tun yes

ns-cert-type server
ca ca.crt
cert client1.crt
key client1.key
tls-auth ta.key 1
tls-client yes

comp-lzo yes
verb 3

# You can also add ‘redirect-gateway’ to the client configu=
ration
# to pass all traffic down the VPN tunnel (rather than just traffic
# intended for the VPN itself):
#redirect-gateway

==
==


--
<Rachou> ben la c'est "dans l'obscurité ta flemme ne s'éteint jam=
ais"
<sic> -e +a ?
<Rachou> oui oui
<Rachou> j'ecris trop bite

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20130318192249.0511f1a5@anubis.defcon1
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Bzzz
Le #25289682
On Mon, 18 Mar 2013 19:22:49 +0100
Bzzz
J'oubliais:

pas de résolution de noms: je tombe bien sur ma page
403 avec l'IP de mon svr http interne, mais page
indisponible avec son nom.

Et les routes:

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Ifa ce
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth0
10.9.8.0 10.9.8.2 255.255.255.0 UG 0 0 0 tun0
10.9.8.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

--
BOFH excuse #234:
Someone is broadcasting pygmy packets and the router doesn't know how
to deal with them.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Bzzz
Le #25290962
On Mon, 18 Mar 2013 19:22:49 +0100
Bzzz
Bon, j'ai un peu avancé mais guère.

Le PB de résolution de noms est réglé: ajout du réseau VPN
dans les réseaux autorisés à interroger bind.

J'ai bien google.com qui devient maintenant google.fr dans
mon browser android, mais ça reste dessus en pédalant
indéfiniment:(

Quand j'essaye d'atteindre mon svr http interne par son nom
(même machine que le svr vpn), ça me marche tjrs pas:(
(mais ça marche tjrs avec son adresse IP)

Les règles iptables ont été modifiées:

de:
iptables -t nat -A POSTROUTING -s 10.9.8.0/24 -o eth0 -j MASQUERADE



vers:
iptables -t nat -A POSTROUTING -s 10.28.28.0/24 -o eth0 -j MASQUERADE
iptables -t filter -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -A INPUT -i tun0 -j ACCEPT

Les routes sont inchangées.

Et je sèche.

--
<MILIEN777> L'heure est grave..
<MILIEN777> Au ciné où travaille mon beau frère, ils ont fai t passer un
entretien d'embauche à une fille.
<MILIEN777> Quand ils lui ont demandé son CV, elle a sorti sa carte vi tale...

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Bzzz
Le #25290992
On Tue, 19 Mar 2013 10:02:20 +0100
Bzzz
Bon, j'ai un peu avancé mais guère.



Un cran de plus: dans les logs d'un autre svr http du LAN,
je vois bien le passage de l'android (avec l'IP du svr ovpn)
donc, c'est le retour des infos qui merde, si kékun a une
idée…

--
<@Metatounet> au pire, je saute les scènes avec des gens nus.
<@Nouyoju> ah bon ?
<@Nouyoju> moi je saute les gens nu, et ils en font toute une scène...

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Bzzz
Le #25293452
On Tue, 19 Mar 2013 10:30:15 +0100
Bzzz
Bon, j'ai fini par trouver: PB de MTU (n'ayant pas d'accès
root, je ne sais pas ce qui est utilisé par FreeMobile,
mais le souvenir d'un article me soufflait que celui de la
3g était < à celui de la 2g, confirmé).

Donc pour ceux que ça intéresse, voilà la conf kivabien
et qui fonctionne nickel avec Feat VPN (mode routed
et tun0 obligatoire puisque tél non-rooté).

NB: Si on ne fait qu'accéder à un/des svr http dans le LAN,
supprimer la compression lzo et laisser le svr http le
faire (plus efficace)

LAN............: 192.168.1.0/24
DNS du LAN.....: 192.168.1.25
LAN domain.....: mydomain (suffixe du domaine du LAN)
Clients Android: 172.16.0.0/24
Nom DynDNS web : myinternetdydnsname

==================== SVR

# listen on? (optional)
local 192.168.1.25
port 1194
proto udp
# Routed mode only use tun devices
dev tun0

ca /etc/openvpn/SSL/ca.crt
cert /etc/openvpn/SSL/server.crt
key /etc/openvpn/SSL/server.key
dh /etc/openvpn/SSL/dh2048.pem
# Get rid of MiM attacks
tls-auth /etc/openvpn/SSL/ta.key 0
tls-server yes

# IP class A : 10.0.0.0 to 10.255.255.255 => /8
# IP class B : 172.16.0.0 to 172.31.255.255 => /12
# IP class C : 192.168.0.0 to 192.168.255.255 => /16
server 172.16.0.0 255.255.255.0

# Keep clients IP addresses to reuse the same next time
ifconfig-pool-persist ipp.txt

# 1350 IS MANDATORY FOR FreeMobile 3G (WCDMA)
# NB: 1450 fits for FreeMobile 2g ONLY
tun-mtu 1350

# For the whole LAN to be reachable by clients
push "route 192.168.1.0 255.255.255.0"

# Tell clients to redirect any network activity into the tunnel
push "redirect-gateway def1 bypass-dhcp"

# My LAN DNS
push "dhcp-option DNS 192.168.1.25"

# My LAN domain suffix
push "dhcp-option DOMAIN mydomain"

# For clients to "talk" to others
;client-to-client yes
# DEPENDS ON (!):
mode server

# Keep connection alive (divide svr time by 2 for clients))
keepalive 10 120
push "keepalive 10 60"

# Ciphers
;cipher BF-CBC # Blowfish (default)
;cipher AES-128-CBC # AES
;cipher DES-EDE3-CBC # Triple-DES
cipher BF-CBC

# Compression
comp-lzo yes
push "comp-lzo yes"

# Jettison root privileges when started
user nobody
group nogroup

# Restart faster (but what about security???)
persist-key yes
persist-tun yes

# Avoids reconnection errors
# (requires client to sign off, non-existing otherwise)
push "explicit-exit-notify 3"

# Logs: log:recreate log file each time
# log-append: append to log file
status-version 2
status /etc/openvpn/LOGS/openvpn-status.log 5
;log /etc/openvpn/LOGS/openvpn.log
log-append /etc/openvpn/LOGS/openvpn.log
# Log verbosity (0-9)
verb 3

# Iptables scripts: on/off
# MUST BE ≥ 2 to execute external scripts
script-security 3
up /etc/openvpn/IPTABLES.sh
# CAUTION: STOP SCRIPT IS *NEVER* EXECUTES IN DAEMON MODE,
# *ONLY* IF OVPN IS RUN THROUGH INETD!
down /etc/openvpn/WIPE_IPTABLES.sh

==================== CLIENT

client

dev tun
proto udp
remote myinternetdydnsname 1194
resolv-retry infinite
nobind

persist-key
persist-tun

ca ca.crt
cert client1.crt
key client1.key

ns-cert-type server

tls-auth ta.key 1
tls-client yes

comp-lzo yes
verb 3

==================== /etc/openvpn/I PTABLES.sh

#!/bin/sh

#-------------

# Cleansing
iptables -F -v
iptables -F -v -t nat

#-------------

# VPN traffic in/out LAN/Anywhere
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -t nat -A POSTROUTING -s 172.17.17.0/24 -o eth0 -j MASQUERADE
iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -o tun0 -j MASQUERADE

==================== /etc/openvpn/W IPE_IPTABLES.sh

#!/bin/sh

#------------

iptables -F -v
iptables -F -v -t nat

--
<s3th> je sens un manque de sexe la
<flo> non aucun rapport
<s3th> c'est ce que je dis

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme