reseau openvpn reseau local

Salut,

Je viens de réussir une connection openvpn

ConneXion, sacrebleu !

Mon but est de me connecter de chez moi au reseau de l'entreprise ou je
bosse.
Pour cela j'y ai installé une machine unbuntu connectée au reseau local
192.168.1.x
le reseau openvpn est en 10.8.0.x
Mais tout ce que j'arrive à faire c'est un ping du serveur openvpn à
partir de chez moi.

La question est : Ya t-il moyen d'atteindre le reseau local via la
connection openvpn

Oui, en activant la fonction routeur IP (ip_forward=1) de la machine
serveur et en ajoutant sur ta machine client une route vers le réseau
distant via le VPN, route qui peut être "poussée" par le serveur lors de
l'établissement du VPN pour automatiser le processus. Mais l'ennui est
que si les machines du réseau distant n'ont pas de route de retour
appropriée vers l'adresse de ta machine (ce qui est probablement le
cas), elles ne pourront pas répondre. Une solution est de faire NATer
l'adresse source des paquets routés du VPN vers le réseau local par la
machine serveur avec une règles iptables afin qu'ils apparaissent comme
provenant de la machine serveur. Mais attention, tous les protocoles et
applications ne supportent pas forcément très bien le NAT. Une autre
solution serait de configurer la machine serveur en pont plutôt qu'en
routeur afin que la machine client apparaisse comme faisant partie du
réseau distant. Il faudrait alors lui attribuer une adresse libre dans
le même sous-réseau 192.168.1.x plutôt que 10.8.0.x.

Salut,

Je viens de réussir une connection openvpn

ConneXion, sacrebleu !
Désolé!

Mon but est de me connecter de chez moi au reseau de l'entreprise ou
je bosse.
Pour cela j'y ai installé une machine unbuntu connectée au reseau
local 192.168.1.x
le reseau openvpn est en 10.8.0.x
Mais tout ce que j'arrive à faire c'est un ping du serveur openvpn à
partir de chez moi.

La question est : Ya t-il moyen d'atteindre le reseau local via la
connection openvpn

Oui, en activant la fonction routeur IP (ip_forward=1) de la machine
serveur et en ajoutant sur ta machine client une route vers le réseau
distant via le VPN, route qui peut être "poussée" par le serveur lors de
l'établissement du VPN pour automatiser le processus. Mais l'ennui est
que si les machines du réseau distant n'ont pas de route de retour
appropriée vers l'adresse de ta machine (ce qui est probablement le
cas), elles ne pourront pas répondre. Une solution est de faire NATer
l'adresse source des paquets routés du VPN vers le réseau local par la
machine serveur avec une règles iptables afin qu'ils apparaissent comme
provenant de la machine serveur. Mais attention, tous les protocoles et
applications ne supportent pas forcément très bien le NAT. Une autre
solution serait de configurer la machine serveur en pont plutôt qu'en
routeur afin que la machine client apparaisse comme faisant partie du
réseau distant. Il faudrait alors lui attribuer une adresse libre dans
le même sous-réseau 192.168.1.x plutôt que 10.8.0.x.

En fait j'ai l'impression que la réponse est dans le tutorial cité
:route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.1.x ( si le
serveur est 192.168.1.x )

Est-ce que ce serais cela que je doit taper sur le serveur?

mon but serais de me connecter comme si j'étais au boulot.

Configs du réseau local au boulot ( si çà peut aider ): des PC sous
vista, win98, un "serveur" ubuntu, et la machine qui me sert de test
sous ubuntu. le tout ayant une connexion via un modem/routeur (une daube
mais suffisante: comtrend ct562)

PS : Je suis pas un pro du réseau (en relativisant je suis pas nul non plus)

La question est : Ya t-il moyen d'atteindre le reseau local via la
connection openvpn

Oui, en activant la fonction routeur IP (ip_forward=1) de la machine
serveur et en ajoutant sur ta machine client une route vers le réseau
distant via le VPN, route qui peut être "poussée" par le serveur lors
de l'établissement du VPN pour automatiser le processus. Mais l'ennui
est que si les machines du réseau distant n'ont pas de route de retour
appropriée vers l'adresse de ta machine (ce qui est probablement le
cas), elles ne pourront pas répondre. [...]

En fait j'ai l'impression que la réponse est dans le tutorial cité
:route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.1.x ( si le
serveur est 192.168.1.x )

Est-ce que ce serais cela que je doit taper sur le serveur?

Sur toute machine du LAN avec laquelle tu veux communiquer, oui. C'est
la route de retour dont je parlais parmi les conditions nécessaires. La
machine qui joue le rôle de serveur OpenVPN n'en a pas besoin, étant
directement connectée à la fois au LAN et au VPN elle a déjà toutes les
routes nécessaires. Il faut bien sûr adapter la syntaxe de la commande
aux spécificités de l'OS (légèrement différente sous Windows par exemple).

Bonjour,

Bon en fait ,j'arrive à faire un ping du serveur openvpn (se trouvant au
boulot) de chez moi et voir ses dossiers partages dans mon explorateur
windows xp ( \10.8.0.1 )

Mais j'ai toujours pas trouvé ni compris comment accéder à tous le
reseau local du boulot qui lui n'est pas sous openvpn mais quand meme
relié au serveur openvpn.

La question est : Ya t-il moyen d'atteindre le reseau local via la
connection openvpn

Oui, en activant la fonction routeur IP (ip_forward=1) de la machine
serveur et en ajoutant sur ta machine client une route vers le réseau
distant via le VPN, route qui peut être "poussée" par le serveur lors
de l'établissement du VPN pour automatiser le processus. Mais l'ennui
est que si les machines du réseau distant n'ont pas de route de
retour appropriée vers l'adresse de ta machine (ce qui est
probablement le cas), elles ne pourront pas répondre. [...]

En fait j'ai l'impression que la réponse est dans le tutorial cité
:route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.1.x ( si le
serveur est 192.168.1.x )

Est-ce que ce serais cela que je doit taper sur le serveur?

Sur toute machine du LAN avec laquelle tu veux communiquer, oui. C'est
la route de retour dont je parlais parmi les conditions nécessaires. La
machine qui joue le rôle de serveur OpenVPN n'en a pas besoin, étant
directement connectée à la fois au LAN et au VPN elle a déjà toutes les
routes nécessaires. Il faut bien sûr adapter la syntaxe de la commande
aux spécificités de l'OS (légèrement différente sous Windows par exemple).

Bonjour,

Bon en fait ,j'arrive à faire un ping du serveur openvpn (se trouvant au
boulot) de chez moi et voir ses dossiers partages dans mon explorateur
windows xp ( \10.8.0.1 )

Mais j'ai toujours pas trouvé ni compris comment accéder à tous le
reseau local du boulot qui lui n'est pas sous openvpn mais quand meme
relié au serveur openvpn.

Ce qui est normal. Dans ton cas, ta machine cliente (chez toi) est en
mesure de voir ton serveur Ubuntu, car ton serveur et ta machine son sur
le même réseau (via le VPN).

Mais tu as déjà énoncé le problème et sa réponse en faisant \10.8.0.1
En effet, les paquets de "broadcast" ne passent pas les routeurs IP.
Donc tu n'es pas en mesure d'interroger les machines par leur nom netbios.

Si ta machine 10.8.0.1 a le nom netbios Ubuntu, \Ubuntu ne marchera
probablement pas.

Le plus élégant, serait que ta machine Ubuntu fasse la passerelle par
défaut de ton LAN (mais cela dépend de la volonté de l'admin réseau de
ta boîte).
Je m'explique, au boulot ta machine Ubuntu sera la passerelle par défaut
de ton LAN. Sur cette machine, il y aura une interface réseau physique
dédiée à ton modem/routeur. Donc ta machine Ubuntu connaîtra de fait les
routes pour le VPN, le LAN et le WAN. Donc quand une machine du LAN
voudra aller sur le net, elle le fera via ta Ubuntu qui reroutera alors
le paquet vers le modem/routeur. Mais Ubuntu renverra vers le VPN les
paquets de retour de ta machine cliente sans intervention sur les
machines du LAN.
Ensuite, il faut que tes réseaux VPN et LAN appartiennent au même sous
réseau. Le services WINS fera alors le reste.

Cordialement,

Elekaj

Bonjour,( et merci pour les réponses)

Oups j'ai oublié de dire que dans la boite nous étions .......deux
employés et que joues le rôle de support techniques.
Donc la machine ubuntu, j'en est mis deux:
_une ubuntu sur laquelle j'y est installé un lamp un partage de données,
et qui si je ne suis me suis pas trompé sert aussi de serveur wins
_la deuxième machine ubuntu que je viens d'installer pour test
d'installation openvpn: j'en ai profité pour me mettre un accès distant
via webmin pour configurer à distance.
Effectivement je peut voir la machine avec \10.8.0.1 mais pas en tapant
\ubuntutest (le nom de la machine test)

En fait si je comprends : il faudrais que les pc du réseau passe par la
machine ubuntu et non par le modem/routeur physique ?

Bonjour,

Bon en fait ,j'arrive à faire un ping du serveur openvpn (se trouvant
au boulot) de chez moi et voir ses dossiers partages dans mon
explorateur windows xp ( \10.8.0.1 )

Mais j'ai toujours pas trouvé ni compris comment accéder à tous le
reseau local du boulot qui lui n'est pas sous openvpn mais quand meme
relié au serveur openvpn.

Ce qui est normal. Dans ton cas, ta machine cliente (chez toi) est en
mesure de voir ton serveur Ubuntu, car ton serveur et ta machine son sur
le même réseau (via le VPN).

Mais tu as déjà énoncé le problème et sa réponse en faisant \10.8.0.1
En effet, les paquets de "broadcast" ne passent pas les routeurs IP.
Donc tu n'es pas en mesure d'interroger les machines par leur nom netbios.

Si ta machine 10.8.0.1 a le nom netbios Ubuntu, \Ubuntu ne marchera
probablement pas.

Le plus élégant, serait que ta machine Ubuntu fasse la passerelle par
défaut de ton LAN (mais cela dépend de la volonté de l'admin réseau de
ta boîte).
Je m'explique, au boulot ta machine Ubuntu sera la passerelle par défaut
de ton LAN. Sur cette machine, il y aura une interface réseau physique
dédiée à ton modem/routeur. Donc ta machine Ubuntu connaîtra de fait les
routes pour le VPN, le LAN et le WAN. Donc quand une machine du LAN
voudra aller sur le net, elle le fera via ta Ubuntu qui reroutera alors
le paquet vers le modem/routeur. Mais Ubuntu renverra vers le VPN les
paquets de retour de ta machine cliente sans intervention sur les
machines du LAN.
Ensuite, il faut que tes réseaux VPN et LAN appartiennent au même sous
réseau. Le services WINS fera alors le reste.

Cordialement,

Elekaj

Bon en fait ,j'arrive à faire un ping du serveur openvpn (se trouvant
au boulot)

On sait, tu l'avais déjà dit.

Mais j'ai toujours pas trouvé ni compris comment accéder à tous le
reseau local du boulot qui lui n'est pas sous openvpn mais quand meme
relié au serveur openvpn.

Je pensais pourtant avoir expliqué les deux approches possibles. Y
a-t-il quelque chose que tu n'as pas compris dans les principes, ou bien
es-tu bloqué dans la mise en oeuvre pratique de ces principes ?

[...]

Mais tu as déjà énoncé le problème et sa réponse en faisant \10.8.0.1
En effet, les paquets de "broadcast" ne passent pas les routeurs IP.

Heu, quel rapport avec les broadcasts ? Pour le moment il s'agit au
moins d'avoir une connectivité IP. Pour NBNS on verra plus tard.

[...]

Le plus élégant, serait que ta machine Ubuntu fasse la passerelle par
défaut de ton LAN (mais cela dépend de la volonté de l'admin réseau de
ta boîte).

Mouais, éventuellement, mais c'est un peu lourd pour ce que c'est. Sinon
une simple route kivabien sur la passerelle par défaut du LAN de la
boîte devrait faire l'affaire.

Ensuite, il faut que tes réseaux VPN et LAN appartiennent au même sous
réseau.

Surtout pas ! Si le serveur VPN fonctionne en routeur, il faut des
sous-réseaux IP distincts sur le VPN et le LAN, sinon les machines du
LAN chercheront le client VPN sur le réseau local (où il n'est pas) et
le serveur VPN risque de perdre sa connectivité soit avec le LAN soit
avec le client à cause des routes contradictoires. On utilise le même
sous-réseau IP seulement si le serveur VPN fonctionne en pont ethernet.

Bon en fait ,j'arrive à faire un ping du serveur openvpn (se trouvant
au boulot)

On sait, tu l'avais déjà dit.

Mais j'ai toujours pas trouvé ni compris comment accéder à tous le
reseau local du boulot qui lui n'est pas sous openvpn mais quand meme
relié au serveur openvpn.

Je pensais pourtant avoir expliqué les deux approches possibles. Y
a-t-il quelque chose que tu n'as pas compris dans les principes, ou bien
es-tu bloqué dans la mise en oeuvre pratique de ces principes ?

Et bien, j'ai l'impression de comprendre le principe, le problème est la
pratique

[...]

Mais tu as déjà énoncé le problème et sa réponse en faisant \10.8.0.1
En effet, les paquets de "broadcast" ne passent pas les routeurs IP.

Heu, quel rapport avec les broadcasts ? Pour le moment il s'agit au
moins d'avoir une connectivité IP. Pour NBNS on verra plus tard.

[...]

Le plus élégant, serait que ta machine Ubuntu fasse la passerelle par
défaut de ton LAN (mais cela dépend de la volonté de l'admin réseau de
ta boîte).

Mouais, éventuellement, mais c'est un peu lourd pour ce que c'est. Sinon
une simple route kivabien sur la passerelle par défaut du LAN de la
boîte devrait faire l'affaire.

Ensuite, il faut que tes réseaux VPN et LAN appartiennent au même sous
réseau.

Surtout pas ! Si le serveur VPN fonctionne en routeur, il faut des
sous-réseaux IP distincts sur le VPN et le LAN, sinon les machines du
LAN chercheront le client VPN sur le réseau local (où il n'est pas) et
le serveur VPN risque de perdre sa connectivité soit avec le LAN soit
avec le client à cause des routes contradictoires. On utilise le même
sous-réseau IP seulement si le serveur VPN fonctionne en pont ethernet.

Bon en fait ,j'arrive à faire un ping du serveur openvpn (se trouvant
au boulot)

On sait, tu l'avais déjà dit.

Mais j'ai toujours pas trouvé ni compris comment accéder à tous le
reseau local du boulot qui lui n'est pas sous openvpn mais quand meme
relié au serveur openvpn.

Je pensais pourtant avoir expliqué les deux approches possibles. Y
a-t-il quelque chose que tu n'as pas compris dans les principes, ou bien
es-tu bloqué dans la mise en oeuvre pratique de ces principes ?

[...]

Mais tu as déjà énoncé le problème et sa réponse en faisant \10.8.0.1
En effet, les paquets de "broadcast" ne passent pas les routeurs IP.

Heu, quel rapport avec les broadcasts ? Pour le moment il s'agit au
moins d'avoir une connectivité IP. Pour NBNS on verra plus tard.

[...]

Le plus élégant, serait que ta machine Ubuntu fasse la passerelle par
défaut de ton LAN (mais cela dépend de la volonté de l'admin réseau de
ta boîte).

Mouais, éventuellement, mais c'est un peu lourd pour ce que c'est. Sinon
une simple route kivabien sur la passerelle par défaut du LAN de la
boîte devrait faire l'affaire.

Oui, c'est vrai mais encore faut il que se soit paramétrable (c'est le
cas pour la majorité des routeurs mais certains ésotériques comme le
sien dont je connais ni la marque ni le modèle c'est pas forcément le
cas, cela m'est déjà arrivé).

Ensuite, il faut que tes réseaux VPN et LAN appartiennent au même sous
réseau.

Surtout pas ! Si le serveur VPN fonctionne en routeur, il faut des
sous-réseaux IP distincts sur le VPN et le LAN, sinon les machines du
LAN chercheront le client VPN sur le réseau local (où il n'est pas) et
le serveur VPN risque de perdre sa connectivité soit avec le LAN soit
avec le client à cause des routes contradictoires. On utilise le même
sous-réseau IP seulement si le serveur VPN fonctionne en pont ethernet.

J'avoue que la façon dont je l'ai dit, c'est une grosse connerie.
En l'écrivant, je pensais (comme tu l'avais déjà suggéré dans ta
première réponse) à une configuration du serveur en mode pont (et non
routeur).

ELekaj

Le plus élégant, serait que ta machine Ubuntu fasse la passerelle par
défaut de ton LAN (mais cela dépend de la volonté de l'admin réseau
de ta boîte).

Mouais, éventuellement, mais c'est un peu lourd pour ce que c'est.
Sinon une simple route kivabien sur la passerelle par défaut du LAN de
la boîte devrait faire l'affaire.

Oui, c'est vrai mais encore faut il que se soit paramétrable (c'est le
cas pour la majorité des routeurs mais certains ésotériques comme le
sien dont je connais ni la marque ni le modèle c'est pas forcément le
cas, cela m'est déjà arrivé).

Comtrend est une marque assez connue, non ? Il me semble que certains
FAI distribuent des "box" ADSL qui sont des modems-routeurs Comtrend
repackagés.

Ensuite, il faut que tes réseaux VPN et LAN appartiennent au même
sous réseau.

Surtout pas ! Si le serveur VPN fonctionne en routeur, il faut des
sous-réseaux IP distincts sur le VPN et le LAN, sinon les machines du
LAN chercheront le client VPN sur le réseau local (où il n'est pas) et
le serveur VPN risque de perdre sa connectivité soit avec le LAN soit
avec le client à cause des routes contradictoires. On utilise le même
sous-réseau IP seulement si le serveur VPN fonctionne en pont ethernet.

J'avoue que la façon dont je l'ai dit, c'est une grosse connerie.
En l'écrivant, je pensais (comme tu l'avais déjà suggéré dans ta
première réponse) à une configuration du serveur en mode pont (et non
routeur).

En plus c'était contradictoire avec la proposition de faire du serveur
VPN la passerelle par défaut du LAN. Si ledit serveur est configuré en
pont, ce n'est plus utile puisque le client sera dans le même sous-réseau.

Ceci dit le pontage aurait quelques avantages concernant la
configuration IP (un seul sous-réseau) et la transmission des broadcasts
(et notamment ceux pour la résolution de noms Netbios si Eve^Wloloferari
en a l'utilité). Mais à mon avis c'est un peu plus délicat à configurer
sur le serveur que du bête routage (+NAT éventuellement pour ne pas
s'embêter avec la route de retour côté LAN).