Configuration réseau, le retour et des pistes !

Le
Nicolas FRANCOIS
--Sig_/wgjh3/0hWr9vPcBRZm8IQI0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Salut.

Pour ceux qui savent déjà tout ce que je vais dire, les question =
sont à
la fin du message (numérotées a) et b)). Pour le moment, je dis c=
e que
j'ai fait, ce qui n'a à mon avis rien d'original, c'est juste moi qui
suis long à la comprenette

Bon, suite à vos conseils et à d'innombrables lectures, je suis a=
rrivé
à ça :

1- Suppression de NetworkManager, remplac' par systemd.networkd. La
configuration du service :

--> /etc/systemd/network/10-static-enp3s0.network <--
[Match]
Name=enp3s0

[Network]
Address=192.168.10.8/24
Gateway=192.168.10.1
DNS=192.168.10.1

[Route]
Gateway=192.168.10.1
Destination=212.27.48.4/32

[Route]
Gateway=192.168.10.1
Destination=212.27.48.3/32
--> /etc/systemd/network/10-static-enp3s0.network <--

La connexion fonctionne bien, à travers un PC firewall IPFire en
192.168.10.1.

2- Copie de tous les fichiers de configuration d'openvpn fournis par
HMA (HydeMyAss) dans /etc/openvpn/client, et création d'un lien
HMA.conf vers Belgium.Brussels.UDP.ovpn.

3- Configuration du démon openvpn@.service avec ce fichier de
configuration :

--> /etc/systemd/system/openvpn@.service.d/override.conf <--
[Unit]
Description=OpenVPN connection to %i
After=network.target

[Service]
ExecStart=
ExecStart=/usr/sbin/openvpn --daemon ovpn-%i
--status /run/openvpn/%i.status 10
--config /etc/openvpn/client/%i.conf
--auth-user-pass /etc/openvpn/auth/hma.auth
WorkingDirectory=/etc/openvpn
--> /etc/systemd/system/openvpn@.service.d/override.conf <--

Les '' ne sont bien entendu pas dans le fichiers, c'est juste mon
mailer qui passe tout seul à la ligne. Le double 'ExecStart' me
vient de mes lectures : pour modifier l'exécutable fourni par le
fichier de configuration par défaut
(dans /lib/systemd/system/openvpn@.service), il faut d'abord vider
la commande fournie, puis la remplacer par une autre, sinon, on se
retrouve avec un message signalant des "ExecStart multiples". La
ligne WorkingDirectory est à mon avis inutile, mais je n'ai pas le
courage de la supprimer.

4- Lancement du serveur openvpn par 'sudo systemctl start openvpn@HMA'.
Joie et bonheur, tout fonctionne ou presque !

Maintenant, ce qui ne fonctionne pas :

a) comme vous l'avez pu constater, j'ai configuré une (deux, en fait)
routes statiques, parce que Free ne veut pas que j'accède au serveur
de récupération de mails depuis un vpn. Après lancement d=
'openvpn@,
je me retrouve avec ça dans ma table de routage :

nico@Gaston:/etc/systemd$ ip route
0.0.0.0/1 via 100.120.164.1 dev tun0
default via 192.168.10.1 dev enp3s0 proto static
5.62.38.15 via 192.168.10.1 dev enp3s0
100.120.164.0/22 dev tun0 proto kernel scope link src
100.120.164.245 128.0.0.0/1 via 100.120.164.1 dev tun0
192.168.10.0/24 dev enp3s0 proto kernel scope link src 192.168.10.8
212.27.48.3 via 192.168.10.1 dev enp3s0 proto static
212.27.48.4 via 192.168.10.1 dev enp3s0 proto static

Je ne sais pas pourquoi, mais la route par défaut n'est pas
sélectionnée lorsque j'accède au serveur pop (ou smtp, d'=
ailleurs) de
Free. J'arrive à m'y connecter, mais c'est extrêmement lent (de
l'ordre de la minute), et je ne suis pas sûr de récupérer=
quoi que
ce soit. Donc je pense ne pas passer par le bon chemin.

b) Mon firewall (un ordinateur juste derrière la box Free) est configu=

pour rediriger 4 ports, pour les applications de p2p. Mais lorsque je
passe par le tunnel, ces ports sont considérés comme ferm=
s. Je
pense que le fait d'ouvrir un tunnel par openvpn fait que le
firewall ne voit pas les ports concernés par le flux entrant. Je
dois donc, il me semble, configurer le firewall de MON ordinateur,
qui est le seul à savoir que ce flux vient de tun0. Mais je ne sais
pas faire ça

Si vous avez des lumières sur le sujet, je suis preneur. D'avance un
grand merci.

Et aussi, merci et bravo d'être arrivé jusque là !

bye

--

Nicolas FRANCOIS | /
http://nicolas.francois.free.fr | |__|
X--/\
We are the Micro$oft. __V
Resistance is futile.
You will be assimilated. darthvader penguin

--Sig_/wgjh3/0hWr9vPcBRZm8IQI0
Content-Type: application/pgp-signature
Content-Description: Signature digitale OpenPGP

--BEGIN PGP SIGNATURE--

iQEzBAEBCAAdFiEE7s3+BtBEQX/Kgdk7xYgnps2M/gEFAllmvjcACgkQxYgnps2M
/gEZWwgAo8YRH1u5vj1YHWctaFRcCeOUvshjSft0dlKt6bQMFLu2CCV8AOe3Ro0m
PFWYHu2elmiKApaQ/J/vVV+jabXf7sKBIc93J+OOd4lJu7vraPgtr164zuMA+L7N
lBW54f8FkR40Qx/25bg97CE/A74+2CSQ61VgDc9Z2oijDIYSsn4f3Nmgkkeoo6gM
iwuhuIKqNR3PLx6Qezni8rSPFeLmwhpFs8xHQGgAFr0ndAnEaukplJtn5ZTb9b4j
2yRbYBqKAMk490mQqgOHZzRBpwOD5eLNRMoEHkBKnxB7mOTJY1arMvXeVH+OzDaL
r1F+nWDyy9oAU1Wa6jh5t/MjXLQ/nA==
=4UBv
--END PGP SIGNATURE--

--Sig_/wgjh3/0hWr9vPcBRZm8IQI0--
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Nicolas FRANCOIS
Le #26438199
--Sig_/or2j/je77GWt0fO6phgRQ7O
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable
Le Thu, 13 Jul 2017 06:44:25 +0200,
"Pierre L."
Salut,
A mon avis, le fait que tu passes par un VPN obscurcit toutes les
connexions à ton firewall.
Il ne sait donc pas ce qu'il se passe dans le tuyau (tunnel), c'est un
des buts recherchés.
Si ton soft de p2p te dit que les ports ne sont pas "ouverts", c'est
que de l'autre coté du vpn (l'IP visible par les clients p2p), les
ports ne sont pas redirigés comme on le fait d'habitude dans sa box.
Imagines que tu passes par mon serveur VPN qui est chez moi,
l'internet verra donc mon IP quand tu iras surfer. Idem pour le
p2p... mais mon parefeu/routeur ne redirige par tes ports utilisés
pour laisser entrer les clients p2p, les clients qui voudraient
pomper tes fichiers ne peuvent donc pas entrer car ports bloqués par
mon parefeu/routeur. Il faudrait donc que ce soit moi qui fasse le
taf de ouverture/redirection de ports.
Enfin je vois ca comme ca ;)

Oui, c'est ce que j'ai fini par réaliser, dans mon lit, à 5h du m at, :-)
Merci.
bye
--
Nicolas FRANCOIS | /
http://nicolas.francois.free.fr | |__|
X--/\
We are the Micro$oft. __V
Resistance is futile.
You will be assimilated. darthvader penguin
--Sig_/or2j/je77GWt0fO6phgRQ7O
Content-Type: application/pgp-signature
Content-Description: Signature digitale OpenPGP
-----BEGIN PGP SIGNATURE-----
iQEzBAEBCAAdFiEE7s3+BtBEQX/Kgdk7xYgnps2M/gEFAllnOZwACgkQxYgnps2M
/gGAlAgAli/g8/W4cq4SZ17kfLHAp2B3Q1fcBSKBS2zDs/L3FnscJL56iV5tWdKg
Xi694Neov3Q+HHf096h/54GyrGGMzCEClfTn9hZKhydAp91GgMNDb8SYycJf2sBn
zjmBKsJ1OI+A+m5KXwVTL6FaFJiONl6fmGdTfKPOKslO+JLKo12B6/5OB6Zt2jux
9ac8ORbXqPmZCL/o3ySZb6YsQk7ktxMUhllZtCAkSd8I6p1eIBsPcQg29JWLCN9T
Q7flLZjfHgqfL0qUPKgjRhKxG486i3JHNRYRtnRe3AHqkiTD/vUTqdbT5rTmaHaw
fLPIXJD7KOEnM7AUZ9WXLsmuXOQR0w= =5rAq
-----END PGP SIGNATURE-----
--Sig_/or2j/je77GWt0fO6phgRQ7O--
Pierre L.
Le #26438229
This is an OpenPGP/MIME signed message (RFC 4880 and 3156)
--CBS5UrswAP9Bo1674qwXLcstn7TPlxsP7
Content-Type: multipart/mixed; boundary="vtaBDMTg2kK1sLL0R2twEorVDdJ0hATDV";
protected-headers="v1"
From: "Pierre L." To:
Message-ID: Subject: =?UTF-8?Q?Re:_Configuration_réseau,_le_retour_et_des_pistes_? =?UTF-8?Q?!? References: In-Reply-To: --vtaBDMTg2kK1sLL0R2twEorVDdJ0hATDV
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable
Content-Language: fr
Donc configuration du coté serveur VPN pour redirection des ports en
entrée vers ton IP du tunnel ? C'est bien ca ?
Le 13/07/2017 à 11:13, Nicolas FRANCOIS a écrit :
Oui, c'est ce que j'ai fini par réaliser, dans mon lit, à 5h du mat,


--vtaBDMTg2kK1sLL0R2twEorVDdJ0hATDV--
--CBS5UrswAP9Bo1674qwXLcstn7TPlxsP7
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2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=Knvi
-----END PGP SIGNATURE-----
--CBS5UrswAP9Bo1674qwXLcstn7TPlxsP7--
Nicolas FRANCOIS
Le #26438243
--Sig_/W7Ocg94NFHSdRZFQqzjLkmr
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable
Le Thu, 13 Jul 2017 15:46:46 +0200,
"Pierre L."
Donc configuration du coté serveur VPN pour redirection des ports en
entrée vers ton IP du tunnel ? C'est bien ca ?
Le 13/07/2017 à 11:13, Nicolas FRANCOIS a écrit :
Oui, c'est ce que j'ai fini par réaliser, dans mon lit, à 5h du
mat,



Voui. Maintenant, je ne sais pas comment faire, faut que je demande à
HMA !
bye
PS : ça m'apprendra : quand on pose deux questions sur une liste de
diffusion, on ne reçoit jamais que la réponse à une seule... alors que
l'autre question m'enquiquine pas mal :-( Je vais faire un autre fil !
--
Nicolas FRANCOIS | /
http://nicolas.francois.free.fr | |__|
X--/\
We are the Micro$oft. __V
Resistance is futile.
You will be assimilated. darthvader penguin
--Sig_/W7Ocg94NFHSdRZFQqzjLkmr
Content-Type: application/pgp-signature
Content-Description: Signature digitale OpenPGP
-----BEGIN PGP SIGNATURE-----
iQEzBAEBCAAdFiEE7s3+BtBEQX/Kgdk7xYgnps2M/gEFAllnht4ACgkQxYgnps2M
/gECmQf/RHT+9pEzzhlGlWZRkWDOXzdxxI49E63K4fgzgEeIt2+wHxLBdYtsPazU
Iqe9bWcQuVLP/ljfJkAJN+D1wH8MPVAqswzZgCOYLs/+P2/k0cOqyxy/n+Em/u0f
CUbpEG3CMgfOy9mDd4cLtEyuM7opTrw5X5lKaEX/6WestP4BHUXZaDoqYEzGEjXY
OufNUIstM3+gYUoTsd1Jghm/qmVkpghqm8lGY9bS6ETo53BSPzSHWRIq/8W9WBmh
zOtX3PxdR2iuuNig4oy6pEy2OvhWfcEn8kBvcYaOuI7QTP3DbzmBiH1JdwXzI2kI
fpdgAbJI9LoOGiTbVLxNaspXwZpSrQ= cC
-----END PGP SIGNATURE-----
--Sig_/W7Ocg94NFHSdRZFQqzjLkmr--
Pascal Hambourg
Le #26438298
Le 13/07/2017 à 02:26, Nicolas FRANCOIS a écrit :
a) comme vous l'avez pu constater, j'ai configuré une (deux, en fait)
routes statiques, parce que Free ne veut pas que j'accède au serveur
de récupération de mails depuis un vpn. Après lancement d'openvpn@,
je me retrouve avec ça dans ma table de routage :
:/etc/systemd$ ip route
0.0.0.0/1 via 100.120.164.1 dev tun0
default via 192.168.10.1 dev enp3s0 proto static
5.62.38.15 via 192.168.10.1 dev enp3s0
100.120.164.0/22 dev tun0 proto kernel scope link src 100.120.164.245
128.0.0.0/1 via 100.120.164.1 dev tun0
192.168.10.0/24 dev enp3s0 proto kernel scope link src 192.168.10.8
212.27.48.3 via 192.168.10.1 dev enp3s0 proto static
212.27.48.4 via 192.168.10.1 dev enp3s0 proto static

Normal.
Je ne sais pas pourquoi, mais la route par défaut n'est pas
sélectionnée lorsque j'accède au serveur pop (ou smtp, d'ailleurs) de
Free. J'arrive à m'y connecter, mais c'est extrêmement lent (de
l'ordre de la minute), et je ne suis pas sûr de récupérer quoi que
ce soit. Donc je pense ne pas passer par le bon chemin.

Pour vérifier le routage d'une destination, tu peux utiliser la commande
"ip route get $DEST". Sauf si tu as mis en place du routage avancé (ip
rule) mais tu l'aurais dit.
Les deux adresses pour lesquelles tu as créé des routes spécifiques
correspondent à smtp.free.fr et pop.free.fr. Ton client mail fait-il
bien la relève du courrier depuis le serveur POP et non depuis le
serveur IMAP imap.free.fr pour l'adresse duquel tu n'as pas créé de route ?
D'autre part, ces serveurs ont aussi une adresse IPv6. Si ton logiciel
client de messagerie supporte IPv6, si le serveur est défini par son nom
et non son adresse IP, si la machine a ou croit avoir une connectivité
IPv6 et si le serveur DNS interrogé supporte les enregistrements
d'adresse IPv6, alors par défaut le client essaiera de se connecter au
serveur en IPv6 en premier. Si la connexion échoue par dépassement du
délai de réponse, il réessaiera en IPv4.
Il me semble avoir vu dans un de tes précédents messages que le VPN
poussait sur tun0 une route vers 2000::/3 (préfixe IPv6 global unicast
actuel) et une adresse et un préfixe IPv6 de la plage 2001.db8::/32. Or
cette plage d'adresses est réservée aux exemples et à la documentation,
donc je me demande si le VPN fournit vraiment une connectivité IPv6.
Tu peux vérifier la configuration IPv6 avec "ip -6 addr" et "ip -6
route", et tester la connectivité avec des commandes comme ping6 et
traceroute6. Un de mes serveurs de test favoris est nic.fr qui répond
aussi bien en IPv4 qu'en IPv6.
Même si c'est le cas à travers du NAT66 (quel gâchis, l'IPv6 était censé
éviter le NAT), il se peut que la plage IPv6 publique du VPN soit
blacklistée par les serveurs de Free au même titre que sa plage IPv4.
Si tu as activé l'IPv6 sur ta Freebox et l'a laissé passer à travers ton
firewall, tu peux ajouter des routes IPv6 statiques pour les adresses
IPv6 des serveurs de courrier de Free.
smtp.free.fr has IPv6 address 2a01:e0c:1::25
pop.free.fr has IPv6 address 2a01:e0c:1::110
imap.free.fr has IPv6 address 2a01:e0c:1::143
Pascal Hambourg
Le #26438335
Le 13/07/2017 à 06:44, Pierre L. a écrit :
Si ton soft de p2p te dit que les ports ne sont pas "ouverts", c'est que
de l'autre coté du vpn (l'IP visible par les clients p2p), les ports ne
sont pas redirigés comme on le fait d'habitude dans sa box.

C'est surtout que le fournisseur de VPN ne fournit pas une connectivité
internet complète avec une adresse IP publique propre mais juste une
adresse IP privée avec du NAT, donc une demi-connectivité internet.
Imagines que tu passes par mon serveur VPN qui est chez moi, l'internet
verra donc mon IP quand tu iras surfer. Idem pour le p2p... mais mon
parefeu/routeur ne redirige par tes ports utilisés pour laisser entrer
les clients p2p

Ce n'est pas une généralité. Avec mon serveur VPN, il aurait une adresse
IP publique propre et une connectivité internet complète sans NAT ni
redirection de ports.
Bref, bien choisir son fournisseur de VPN pour ses besoins.
Pascal Hambourg
Le #26438336
Le 14/07/2017 à 10:21, Pierre L. a écrit :
Je pensais qu'un accès VPN nous créait seulement un tuyau pour arriver
bêtement dans un autre LAN, qui se trouve protégé derrière un
modem/routeur type box de FAI...

Non, pas forcément. Ça peut être un vrai routeur comme les routeurs
d'agrégation des FAI.
En gros il doit y avoir des règles de routage qui disent que tout le
trafic est automatiquement envoyé vers l'IP du client VPN ?

Si le client a une adresse IP publique propre, pas besoin de règles de
routage ; les routes normales suffisent.
Le 14/07/2017 à 10:11, Pascal Hambourg a écrit :
Le 13/07/2017 à 06:44, Pierre L. a écrit :
Si ton soft de p2p te dit que les ports ne sont pas "ouverts", c'est que
de l'autre coté du vpn (l'IP visible par les clients p2p), les ports ne
sont pas redirigés comme on le fait d'habitude dans sa box.

C'est surtout que le fournisseur de VPN ne fournit pas une
connectivité internet complète avec une adresse IP publique propre
mais juste une adresse IP privée avec du NAT, donc une
demi-connectivité internet.
Imagines que tu passes par mon serveur VPN qui est chez moi, l'internet
verra donc mon IP quand tu iras surfer. Idem pour le p2p... mais mon
parefeu/routeur ne redirige par tes ports utilisés pour laisser entrer
les clients p2p

Ce n'est pas une généralité. Avec mon serveur VPN, il aurait une
adresse IP publique propre et une connectivité internet complète sans
NAT ni redirection de ports.
Bref, bien choisir son fournisseur de VPN pour ses besoins.


Publicité
Poster une réponse
Anonyme