je viens de terminer l'installation d'un openvpn, tout se passe bien.
Voici le sch=C3=A9ma de mon installation
Client lambda <-----> Internet <------> Routeur adsl <--------> Eth1
<-------------> Br0 <-----------> Lan
j'arrive bien =C3=A0 pinger le routeur adsl, eth1 et Br0.
Cependant quand j'essaie d'acc=C3=A9der derri=C3=A8re Br0 (machine du Lan),=
=C3=A7a ne
fonctionne pas. J'ai mont=C3=A9 un script sous iptables.
Si j'ouvre tout dans mon script cela fonctionne.
Si j'applique mon script, voil=C3=A0 le retour pour un ping sur une machine=
du
lan =C3=A0 partir du client lambda :=20
J'ai appliqu=C3=A9 cette r=C3=A8gle, sans succ=C3=A8s :
iptables -A FORWARD -i br0 -o br0 -m physdev --physdev-in eth0 --physdev-ou=
t
tap0 -j ACCEPT
et
iptables -A FORWARD -i br0 -o br0 -m physdev --physdev-in tap0 -j ACCEPT
Avez vous une id=C3=A9e de la r=C3=A8gle a appliquer?
merci pour votre aide.
--=20
View this message in context: http://www.nabble.com/iptables-et-openvpn-tf4=
895724.html#a14021257
Sent from the debian-user-french mailing list archive at Nabble.com.
-- View this message in context: http://www.nabble.com/iptables-et-openvpn-tf4 895724.html#a14051191 Sent from the debian-user-french mailing list archive at Nabble.com.
--
View this message in context: http://www.nabble.com/iptables-et-openvpn-tf4 895724.html#a14051191
Sent from the debian-user-french mailing list archive at Nabble.com.
-- View this message in context: http://www.nabble.com/iptables-et-openvpn-tf4 895724.html#a14051191 Sent from the debian-user-french mailing list archive at Nabble.com.
Pascal Hambourg
Tekpi a écrit :
Grâce à tes conseils, j'avance. j'ai donc modifié l'interface du réseau, voici donc le nouveau schéma
Client Lambda <--> Internet - VPN <--> Routeur <--> Eth1 <--> Linux Openvpn iptables <--> Br0
local 192.168.4.2 dev tap0 port 500 proto udp #local 192.168.5.33 server-bridge 192.168.3.254 255.255.255.0 192.168.3.50 192.168.3.51 mode server tls-server tls-exit push "route-gateway 192.168.3.254" push "route 192.168.3.0 255.255.255.0"
[...]
Je ne connais pas beaucoup OpenVPN en pratique, mais je pense que les options 'push' ne sont pas nécessaires, elles font doublon avec l'option 'server-bridge'.
Maintenant, je ne peux plus pinger ni le routeur, ni eth1, ni br0 ni le serveur dans le lan...
On ne peut pas dire que mes conseils te font avancer... :-( Il y a des messages d'erreur, quelque chose de particulier dans les tables ARP, les logs iptables ?
Une idée?
Pas vraiment, non. Et sans les règles iptables ? Si ça remarche sans, il faudrait qu'on puisse les regarder.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Tekpi a écrit :
Grâce à tes conseils, j'avance.
j'ai donc modifié l'interface du réseau, voici donc le nouveau schéma
Client Lambda <--> Internet - VPN <--> Routeur <--> Eth1 <--> Linux Openvpn
iptables <--> Br0
local 192.168.4.2
dev tap0
port 500
proto udp
#local 192.168.5.33
server-bridge 192.168.3.254 255.255.255.0 192.168.3.50 192.168.3.51
mode server
tls-server
tls-exit
push "route-gateway 192.168.3.254"
push "route 192.168.3.0 255.255.255.0"
[...]
Je ne connais pas beaucoup OpenVPN en pratique, mais je pense que les
options 'push' ne sont pas nécessaires, elles font doublon avec l'option
'server-bridge'.
Maintenant, je ne peux plus pinger ni le routeur, ni eth1, ni br0 ni le
serveur dans le lan...
On ne peut pas dire que mes conseils te font avancer... :-(
Il y a des messages d'erreur, quelque chose de particulier dans les
tables ARP, les logs iptables ?
Une idée?
Pas vraiment, non. Et sans les règles iptables ? Si ça remarche sans, il
faudrait qu'on puisse les regarder.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
local 192.168.4.2 dev tap0 port 500 proto udp #local 192.168.5.33 server-bridge 192.168.3.254 255.255.255.0 192.168.3.50 192.168.3.51 mode server tls-server tls-exit push "route-gateway 192.168.3.254" push "route 192.168.3.0 255.255.255.0"
[...]
Je ne connais pas beaucoup OpenVPN en pratique, mais je pense que les options 'push' ne sont pas nécessaires, elles font doublon avec l'option 'server-bridge'.
Maintenant, je ne peux plus pinger ni le routeur, ni eth1, ni br0 ni le serveur dans le lan...
On ne peut pas dire que mes conseils te font avancer... :-( Il y a des messages d'erreur, quelque chose de particulier dans les tables ARP, les logs iptables ?
Une idée?
Pas vraiment, non. Et sans les règles iptables ? Si ça remarche sans, il faudrait qu'on puisse les regarder.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
$IPTABLES -A INPUT -i [Interface Wan du linux] -p udp --dport [Port du vpn] -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A OUTPUT -o [Interface Wan du linux] -p udp --sport [Port du vpn ] -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i tap0 -j ACCEPT iptables -A FORWARD -o tap0 -j ACCEPT iptables -A FORWARD -i br0 -j ACCEPT
-- View this message in context: http://www.nabble.com/iptables-et-openvpn-tf4 895724.html#a14111230 Sent from the debian-user-french mailing list archive at Nabble.com.
$IPTABLES -A INPUT -i [Interface Wan du linux] -p udp --dport [Port du vpn]
-m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o [Interface Wan du linux] -p udp --sport [Port du vpn ]
-m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i tap0 -j ACCEPT
iptables -A FORWARD -o tap0 -j ACCEPT
iptables -A FORWARD -i br0 -j ACCEPT
--
View this message in context: http://www.nabble.com/iptables-et-openvpn-tf4 895724.html#a14111230
Sent from the debian-user-french mailing list archive at Nabble.com.
$IPTABLES -A INPUT -i [Interface Wan du linux] -p udp --dport [Port du vpn] -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A OUTPUT -o [Interface Wan du linux] -p udp --sport [Port du vpn ] -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i tap0 -j ACCEPT iptables -A FORWARD -o tap0 -j ACCEPT iptables -A FORWARD -i br0 -j ACCEPT
-- View this message in context: http://www.nabble.com/iptables-et-openvpn-tf4 895724.html#a14111230 Sent from the debian-user-french mailing list archive at Nabble.com.