je dois mettre en place un vpn sur un serveur debian pour une connexion =C3=
=A0
distance sur des postes Windows XP Pro.
J'ai test=C3=A9 toute la journ=C3=A9e des configs de PPTP (poptop), sans su=
cc=C3=A8s,
apparemment le protocole GRE est mal g=C3=A9r=C3=A9 par le nat de mon route=
ur.
Quelle solution me proposez vous?
Le client se connectera =C3=A0 la demande via son Windows.
La config est :=20
Client Windows XP Pro -> Routeur provider (gene livebox) -> Internet ->
Routeur entreprise -> Debian noyau 2.6.20 -> lan
A moins que vous n'ayez une id=C3=A9e pour le pptp.
merci pour vos r=C3=A9ponses
--=20
View this message in context: http://www.nabble.com/VPN-client-Windows--%3E=
-Serveur-Debian-tf4738184.html#a13549936
Sent from the debian-user-french mailing list archive at Nabble.com.
Donc elle est bien créée mais pas activée. On peut se demander pourquoi.
(sans ip, mais ça je pense que c'est normal)
Si cette interface est prévue pour être pontée, c'est bien possible.
[...]
lorsque je veux monter mon interface bridge
#brctl addbr br0
il me retourne rien, mais en faisant un ifconfig -a, j'ai bien mon interface (comme le tap0 ci-dessus)
Il faut ajouter les interfaces à ponter avec 'brctl addif', activer tout ce bazar (à la fois le pont br0 que ses interfaces), et configurer le pont br0 avec une adresse IP+masque si celui-ci doit faire office d'interface locale et non juste de pont. Voir les divers howto sur l'utilisation du pontage. Note que si tu veux ponter l'interface tap avec l'interface ethernet de la machine, il ne faut pas lui donner d'adresse IP, seul le pont doit en avoir une.
Bref, tout ça pour dire qu'avant de faire du pontage, dans un premier temps il serait peut-être plus simple de vérifier que le VPN fonctionne juste en configurant les interfaces tap directement, dans un sous-réseau distinct du LAN (sinon conflit de routage). Ensuite tu pourras le cas échéant créer et configurer un pont. Je ne sais si OpenVPN a des options pour automatiser tout ça.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Tekpi a écrit :
un ifconfig -a me retourne bien l'interface tap0
Donc elle est bien créée mais pas activée. On peut se demander pourquoi.
(sans ip, mais ça je pense que c'est normal)
Si cette interface est prévue pour être pontée, c'est bien possible.
[...]
lorsque je veux monter mon interface bridge
#brctl addbr br0
il me retourne rien, mais en faisant un ifconfig -a, j'ai bien mon interface
(comme le tap0 ci-dessus)
Il faut ajouter les interfaces à ponter avec 'brctl addif', activer tout
ce bazar (à la fois le pont br0 que ses interfaces), et configurer le
pont br0 avec une adresse IP+masque si celui-ci doit faire office
d'interface locale et non juste de pont. Voir les divers howto sur
l'utilisation du pontage. Note que si tu veux ponter l'interface tap
avec l'interface ethernet de la machine, il ne faut pas lui donner
d'adresse IP, seul le pont doit en avoir une.
Bref, tout ça pour dire qu'avant de faire du pontage, dans un premier
temps il serait peut-être plus simple de vérifier que le VPN fonctionne
juste en configurant les interfaces tap directement, dans un sous-réseau
distinct du LAN (sinon conflit de routage). Ensuite tu pourras le cas
échéant créer et configurer un pont. Je ne sais si OpenVPN a des options
pour automatiser tout ça.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Donc elle est bien créée mais pas activée. On peut se demander pourquoi.
(sans ip, mais ça je pense que c'est normal)
Si cette interface est prévue pour être pontée, c'est bien possible.
[...]
lorsque je veux monter mon interface bridge
#brctl addbr br0
il me retourne rien, mais en faisant un ifconfig -a, j'ai bien mon interface (comme le tap0 ci-dessus)
Il faut ajouter les interfaces à ponter avec 'brctl addif', activer tout ce bazar (à la fois le pont br0 que ses interfaces), et configurer le pont br0 avec une adresse IP+masque si celui-ci doit faire office d'interface locale et non juste de pont. Voir les divers howto sur l'utilisation du pontage. Note que si tu veux ponter l'interface tap avec l'interface ethernet de la machine, il ne faut pas lui donner d'adresse IP, seul le pont doit en avoir une.
Bref, tout ça pour dire qu'avant de faire du pontage, dans un premier temps il serait peut-être plus simple de vérifier que le VPN fonctionne juste en configurant les interfaces tap directement, dans un sous-réseau distinct du LAN (sinon conflit de routage). Ensuite tu pourras le cas échéant créer et configurer un pont. Je ne sais si OpenVPN a des options pour automatiser tout ça.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
-- View this message in context: http://www.nabble.com/VPN-client-Windows--%3E -Serveur-Debian-tf4738184.html#a13610285 Sent from the debian-user-french mailing list archive at Nabble.com.
--
View this message in context: http://www.nabble.com/VPN-client-Windows--%3E -Serveur-Debian-tf4738184.html#a13610285
Sent from the debian-user-french mailing list archive at Nabble.com.
-- View this message in context: http://www.nabble.com/VPN-client-Windows--%3E -Serveur-Debian-tf4738184.html#a13610285 Sent from the debian-user-french mailing list archive at Nabble.com.
Pascal Hambourg
Tekpi a écrit :
J'ai finalement créé l'interface tap0 (mknod /dev/tap0 c 36 16) + mon interface bridgée.
Euh, je ne vois pas trop l'intérêt de créer /dev/tap0. Si je ne m'abuse, ça servait avec l'ancien module ethertap qui est obsolète depuis que le module tun, qu'utilise OpenVPN, permet de créer aussi des interface TAP.
En modge bridge, cela me permet de prendre la main sur le réseau derrière le linux.
Qu'entends-tu par "prendre la main" ? Tu n'as probablement pas besoin de pontage pour communiquer avec les autres machines du LAN, du routage IP doit suffire (sauf protocole non IP, ou pas très routable, ou à base de broadcast comme Netbios/SMB).
l'interface eth0 et eth1 de mon serveur linux doivent-elles impérativement être sur le même réseau?
Car actuellement, j'ai configuré mon eth0 en 192.168.5.0/24 et eth1 192.168.1.0/24.
En gros, le schéma :
Client winxp <------> VPN <-----------> eth0 linux eth1 <------------> Lan
eth0, c'est quoi ? L'interface WAN vers internet ?
Si pontage : l'interface LAN, eth1, doit être pontée avec l'interface VPN, tapX. Elles sont de fait sur le même réseau, comme les ports d'un switch. Elles deviennent les ports d'un switch virtuel constitué par le pont. D'autre part dans la configuration de la machine l'interface pont (br0) doit remplacer eth1. Ce n'est plus eth1 mais br0 qui a la configuration IP, les routes associées, qui est utilisée par le serveur DHCP le cas échéant, etc. Au niveau réseau, eth1 et tapX seront aussi invisibles que les ports d'un switch.
Si routage : chaque réseau (VPN, LAN, WAN) doit avoir un sous-réseau différent. Le serveur OpenVPN doit "pousser" (option push) sur le client une route vers le sous-réseau du LAN afin que ce dernier sache comment l'atteindre. Il faut aussi que les machines du LAN sachent comment atteindre le sous-réseau du VPN pour pouvoir répondre. Pas de problème si le serveur VPN est aussi la passerelle par défaut pour le LAN.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Tekpi a écrit :
J'ai finalement créé l'interface tap0 (mknod /dev/tap0 c 36 16) + mon
interface bridgée.
Euh, je ne vois pas trop l'intérêt de créer /dev/tap0. Si je ne m'abuse,
ça servait avec l'ancien module ethertap qui est obsolète depuis que le
module tun, qu'utilise OpenVPN, permet de créer aussi des interface TAP.
En modge bridge, cela me permet de prendre la main sur le réseau derrière le
linux.
Qu'entends-tu par "prendre la main" ? Tu n'as probablement pas besoin de
pontage pour communiquer avec les autres machines du LAN, du routage IP
doit suffire (sauf protocole non IP, ou pas très routable, ou à base de
broadcast comme Netbios/SMB).
l'interface eth0 et eth1 de mon serveur linux doivent-elles impérativement
être sur le même réseau?
Car actuellement, j'ai configuré mon eth0 en 192.168.5.0/24 et eth1
192.168.1.0/24.
En gros, le schéma :
Client winxp <------> VPN <-----------> eth0 linux eth1 <------------> Lan
eth0, c'est quoi ? L'interface WAN vers internet ?
Si pontage : l'interface LAN, eth1, doit être pontée avec l'interface
VPN, tapX. Elles sont de fait sur le même réseau, comme les ports d'un
switch. Elles deviennent les ports d'un switch virtuel constitué par le
pont. D'autre part dans la configuration de la machine l'interface pont
(br0) doit remplacer eth1. Ce n'est plus eth1 mais br0 qui a la
configuration IP, les routes associées, qui est utilisée par le serveur
DHCP le cas échéant, etc. Au niveau réseau, eth1 et tapX seront aussi
invisibles que les ports d'un switch.
Si routage : chaque réseau (VPN, LAN, WAN) doit avoir un sous-réseau
différent. Le serveur OpenVPN doit "pousser" (option push) sur le client
une route vers le sous-réseau du LAN afin que ce dernier sache comment
l'atteindre. Il faut aussi que les machines du LAN sachent comment
atteindre le sous-réseau du VPN pour pouvoir répondre. Pas de problème
si le serveur VPN est aussi la passerelle par défaut pour le LAN.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
J'ai finalement créé l'interface tap0 (mknod /dev/tap0 c 36 16) + mon interface bridgée.
Euh, je ne vois pas trop l'intérêt de créer /dev/tap0. Si je ne m'abuse, ça servait avec l'ancien module ethertap qui est obsolète depuis que le module tun, qu'utilise OpenVPN, permet de créer aussi des interface TAP.
En modge bridge, cela me permet de prendre la main sur le réseau derrière le linux.
Qu'entends-tu par "prendre la main" ? Tu n'as probablement pas besoin de pontage pour communiquer avec les autres machines du LAN, du routage IP doit suffire (sauf protocole non IP, ou pas très routable, ou à base de broadcast comme Netbios/SMB).
l'interface eth0 et eth1 de mon serveur linux doivent-elles impérativement être sur le même réseau?
Car actuellement, j'ai configuré mon eth0 en 192.168.5.0/24 et eth1 192.168.1.0/24.
En gros, le schéma :
Client winxp <------> VPN <-----------> eth0 linux eth1 <------------> Lan
eth0, c'est quoi ? L'interface WAN vers internet ?
Si pontage : l'interface LAN, eth1, doit être pontée avec l'interface VPN, tapX. Elles sont de fait sur le même réseau, comme les ports d'un switch. Elles deviennent les ports d'un switch virtuel constitué par le pont. D'autre part dans la configuration de la machine l'interface pont (br0) doit remplacer eth1. Ce n'est plus eth1 mais br0 qui a la configuration IP, les routes associées, qui est utilisée par le serveur DHCP le cas échéant, etc. Au niveau réseau, eth1 et tapX seront aussi invisibles que les ports d'un switch.
Si routage : chaque réseau (VPN, LAN, WAN) doit avoir un sous-réseau différent. Le serveur OpenVPN doit "pousser" (option push) sur le client une route vers le sous-réseau du LAN afin que ce dernier sache comment l'atteindre. Il faut aussi que les machines du LAN sachent comment atteindre le sous-réseau du VPN pour pouvoir répondre. Pas de problème si le serveur VPN est aussi la passerelle par défaut pour le LAN.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
