Forums Linux Autres OS Linux Debian

[un peu HS]OpenVpn pas si opaque sur les ports

Le vendredi 25 Avril 2014 à 11:00

C. Mourad Jaber

Bonjour,

J'observe un comportement qui me parait illogique pour un VPN avec openvpn.

J'ai un serveur qui héberge un openvpn en TCP (pour permettre un fonctionnement dans un
maximum de réseaux)

Quand je suis sur le wifi de mon ADSL "domestique", pas de problème, tout le trafic réseau
est redirigé vers le VPN sans restriction

Quand je me connecte sur certain wifi "partagés" (SFR_WIFI_Public par exemple), j'ai
certains serveurs sur des ports "exotiques" (par exemple le 8443) sur lesquels je ne peux
pas me connecter !
J'ai vérifié sur le wifi en question, il est également impossible de se connecter en
direct (Sans openVpn) !

Ce comportement me parait illogique, pour moi un tunnel vpn est sensé rendre opaque toutes
les informations de la connexion via le VPN y compris les ports de communication, mais
cela ne parait pas être le cas

Comment opacifier les numéros de port pour avoir un "vrai tunnel" ?

++

Mourad

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/535A21D5.3050808@nativobject.net

Partager ce contenu :

Vos réponses

Trier par : date / pertinence

Guillaume

Le 25/04/2014 à 13:40 #26101362

Le 25/04/2014 10:50, C. Mourad Jaber a écrit :

Bonjour,

J'observe un comportement qui me parait illogique pour un VPN avec
openvpn.

J'ai un serveur qui héberge un openvpn en TCP (pour permettre un
fonctionnement dans un maximum de réseaux)...

Quand je suis sur le wifi de mon ADSL "domestique", pas de problème,
tout le trafic réseau est redirigé vers le VPN sans restriction...

Quand je me connecte sur certain wifi "partagés" (SFR_WIFI_Public par
exemple), j'ai certains serveurs sur des ports "exotiques" (par
exemple le 8443) sur lesquels je ne peux pas me connecter !
J'ai vérifié sur le wifi en question, il est également impossible de
se connecter en direct (Sans openVpn) !

Ce comportement me parait illogique, pour moi un tunnel vpn est sensé
rendre opaque toutes les informations de la connexion via le VPN y
compris les ports de communication, mais cela ne parait pas être le
cas...

Comment opacifier les numéros de port pour avoir un "vrai tunnel" ?

++

Mourad

Bonjour,

un mtr/traceroute te montre bien que tu passe par ton serveur vpn une
fois connecté à celui-ci ?

--
Guillaume

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/

-1 Répondre en citant

C. Mourad Jaber

Le 25/04/2014 à 15:10 #26101482

Le 25/04/2014 13:38, Guillaume a écrit :

Le 25/04/2014 10:50, C. Mourad Jaber a écrit :

Bonjour,

J'observe un comportement qui me parait illogique pour un VPN avec openvpn.

J'ai un serveur qui héberge un openvpn en TCP (pour permettre un fonctionnement dans un
maximum de réseaux)...

Quand je suis sur le wifi de mon ADSL "domestique", pas de problème, tout le trafic
réseau est redirigé vers le VPN sans restriction...

Quand je me connecte sur certain wifi "partagés" (SFR_WIFI_Public par exemple), j'ai
certains serveurs sur des ports "exotiques" (par exemple le 8443) sur lesquels je ne
peux pas me connecter !
J'ai vérifié sur le wifi en question, il est également impossible de se connecter en
direct (Sans openVpn) !

Ce comportement me parait illogique, pour moi un tunnel vpn est sensé rendre opaque
toutes les informations de la connexion via le VPN y compris les ports de
communication, mais cela ne parait pas être le cas...

Comment opacifier les numéros de port pour avoir un "vrai tunnel" ?

++

Mourad

Bonjour,

un mtr/traceroute te montre bien que tu passe par ton serveur vpn une fois connecté à
celui-ci ?

WhatIsMyIP me donne l'ip de sortie du vpn mais le traceroute ou mtr me donne aucune info
pertinente...

++

Mourad

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/

-1 Répondre en citant

C. Mourad Jaber

Le 25/04/2014 à 17:00 #26101652

Le 25/04/2014 15:05, C. Mourad Jaber a écrit :

Le 25/04/2014 13:38, Guillaume a écrit :

Le 25/04/2014 10:50, C. Mourad Jaber a écrit :

Bonjour,

J'observe un comportement qui me parait illogique pour un VPN avec openvpn.

J'ai un serveur qui héberge un openvpn en TCP (pour permettre un fonctionnement dans
un maximum de réseaux)...

Quand je suis sur le wifi de mon ADSL "domestique", pas de problème, tout le trafic
réseau est redirigé vers le VPN sans restriction...

Quand je me connecte sur certain wifi "partagés" (SFR_WIFI_Public par exemple), j'ai
certains serveurs sur des ports "exotiques" (par exemple le 8443) sur lesquels je ne
peux pas me connecter !
J'ai vérifié sur le wifi en question, il est également impossible de se connecter en
direct (Sans openVpn) !

Ce comportement me parait illogique, pour moi un tunnel vpn est sensé rendre opaque
toutes les informations de la connexion via le VPN y compris les ports de
communication, mais cela ne parait pas être le cas...

Comment opacifier les numéros de port pour avoir un "vrai tunnel" ?

++

Mourad

Bonjour,

un mtr/traceroute te montre bien que tu passe par ton serveur vpn une fois connecté à
celui-ci ?

WhatIsMyIP me donne l'ip de sortie du vpn mais le traceroute ou mtr me donne aucune info
pertinente...

++

Mourad

En complément, sur le même réseau WIFI, j'ai un smartphone sous android avec openvpn et
les sites où je n'arrive pas à me connecter sont accessible, donc ça me parait être un
problème de configuration mais via NetworkManager, les choix sont très restreints !

++

Mourad

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/

-1 Répondre en citant

Gaël

Le 25/04/2014 à 17:30 #26101712

Hello !

Si le serveur openvpn est sur la même IP que le service auquel tu
souhaites te connecter, la connexion ne passera pas par le VPN.

Regarde ta table de routage !

En gros, tout le trafic vers 0.0.0.0/1 est envoyé dans tun0 à ton
serveur VPN, sauf le trafic à destination de l'ip du serveur VPN, qui
lui passe par l'interface habituelle, la passerelle habituelle.

Bon courage !

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/CAGKqBrnMo9UysoCT5p+oCVd8tXq+

-1 Répondre en citant

Bzzz

Le 25/04/2014 à 20:10 #26101902

On Fri, 25 Apr 2014 19:48:48 +0200
Johnny B

Dans ton client : redirect-gateway def1
Dans tes routes : 0.0.0.0/1 via 10.x.x.x dev tap0

sanzoublier de "pousser" le DNS local vers le lcient,
histoire que vraiment tout y passe:
# My LAN DNS
push "dhcp-option DNS 192.168.1.254"
# My LAN domain suffix
push "dhcp-option DOMAIN monresokilebo"

--
KaM> j'ai le rhume
KaM> Ã§a me fait chier
graf2ix_-away-_> moi sa me fait eternuer
graf2ix_-away-_> chacun ses symptomes

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/

-1 Répondre en citant

C. Mourad Jaber

Le 28/04/2014 à 14:50 #26105482

Le 25/04/2014 20:00, Bzzz a écrit :

On Fri, 25 Apr 2014 19:48:48 +0200
Johnny B

Dans ton client : redirect-gateway def1
Dans tes routes : 0.0.0.0/1 via 10.x.x.x dev tap0

sanzoublier de "pousser" le DNS local vers le lcient,
histoire que vraiment tout y passe:
# My LAN DNS
push "dhcp-option DNS 192.168.1.254"
# My LAN domain suffix
push "dhcp-option DOMAIN monresokilebo"

Bonjour,

Les routes me semblent correctent :

Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
default IP_passerelle_vpn 0.0.0.0 UG 0 0 0 tun0
10.10.0.0 IP_passerelle_vpn 255.255.255.0 UG 0 0 0 tun0
IP_passerelle_vpn * 255.255.255.255 UH 0 0 0 tun0
mon_domaine 192.168.49.253 255.255.255.255 UGH 0 0 0 wlan0
link-local * 255.255.0.0 U 1000 0 0 wlan0
192.168.49.0 * 255.255.255.0 U 9 0 0 wlan0

A moins que le la dernière route pose problème...

Sinon, mon VPN pousse les dns de google :
push "dhcp-option DNS 8.8.4.4"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DOMAIN mon_domaine"

Une autre idée ?

++

Mourad

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/

-1 Répondre en citant

Gaël

Le 30/04/2014 à 14:20 #26107692

Hello,

Les routes me semblent correctes

Tu n'as pas la première route, 0.0.0.0/1

Peux-tu nous poster la config de ton serveur openvpn, ainsi qu'un
exemple de config client ?

Gaël

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/CAGKqBrnUTR0V-P=tPqARoWfohS4QZ6CweVv+

-1 Répondre en citant

Poster une réponse