Re: OpenVPN DHCP Conflits. Huh ?!
Salut, On 16/01/2013 21:28, Yann Coleu wrote: ifconfig $eth 0.0.0.0 promisc up En voila un exemple d'utilisation anormale... a coup sur c'est pour ca que le switch te bloque. Le mode promicuous est utile pour faire de l'analyse reseau, du sniffing de paquet, dans le cas d'un serveur dedie avec une ip publique tu attrapes tous les paquets de ton network et tu as un masque en /24... Les switch peuvent detecter ce genre de chose par exemple si ton interface repond a des ping avec la bonne ip mais la mauvaise mac. Tu peux essayer de bloquer le traffic ICMP avec une regle iptables, mais je te conseil fortement de remettre ton interface en mode normal!
Re: OpenVPN DHCP Conflits. Huh ?!
Bzzz a écrit : Ensuite, pourquoi passer en mode routed plutôt que bridged? (bridged est plus facile à faire fonctionner et surtout amène le ping que routed ne permet pas) N'importe quoi. Le choix dépend des adresses IP et MAC qu'on peut utiliser. Si on dispose de plusieurs adresses MAC et IP associées à son serveur dans le réseau de l'hébergeur, alors on peut faire du pontage. Sinon, ce sera du routage. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/50f88bb8.5050...@plouf.fr.eu.org
Re: OpenVPN DHCP Conflits. Huh ?!
Ensuite, pourquoi passer en mode routed plutôt que bridged? (bridged est plus facile à faire fonctionner et surtout amène le ping que routed ne permet pas) Je réfléchissais à ça... ne vais-je pas avoir un souci avec le switch de ma Dedibox? Ne va t-il pas m'en vouloir que je mette d'autres adresses IP sur le pont? Je crois que j'ai du mal à comprendre le vrai fonctionnement du bridge avec OpenVPN (bridge tout court d'ailleurs). J'utilise du mode bridge sur mes VM avec virtualbox, et je sais que les IPs données aux VM sont sur le même réseau. Parce que j'arrête pas de rechercher des cas où des personnes se seraient vus couper leur dédié en faisant quelque chose de similaire. Mais je trouve pas vraiment. Mais moi je sens que je vais ouvrir un autre ticket chez online dès ce soir. Je vais faire une bêtise. Je me base sur un article très bien fait, qui propose toutes les recommandations qui m'ont été faites ici même (blowfish, dh2048, bridge) http://www.troublenow.org/362/howto-setup-openvpn-in-bridge-mode-on-debian/ J'aimerai juste savoir comment écrire cette ligne: server-bridge 192.168.255.3 255.255.255.0 192.168.255.200 192.168.255.210 Pouvez-vous me réconforter ou me flageller à coup de CD gravés Win*ws Millenium piratés en me disant que je fais une énorme bêtise?
Re: OpenVPN DHCP Conflits. Huh ?!
On Wed, 16 Jan 2013 19:39:11 +0100 Yann Coleu yann.co...@mailoo.org wrote: Je réfléchissais à ça... ne vais-je pas avoir un souci avec le switch de ma Dedibox? Ne va t-il pas m'en vouloir que je mette d'autres adresses IP sur le pont? Je crois que j'ai du mal à comprendre le vrai fonctionnement du bridge avec OpenVPN (bridge tout court d'ailleurs). Ça me marche pas comme ça, le fait de bridger les deux interfaces ne change rien à Tx/Rx qui sont toujours faites par l'I/F hardware. La séparation reste interne au svr, pas externe. J'utilise du mode bridge sur mes VM avec virtualbox, et je sais que les IPs données aux VM sont sur le même réseau. Oui, ici on est dans le même cas, ou dans un sous réseau proche (v. le parm de netmask de la ligne server-bridge) Parce que j'arrête pas de rechercher des cas où des personnes se seraient vus couper leur dédié en faisant quelque chose de similaire. Mais je trouve pas vraiment. Pourquoi veux-tu qu'ils te la coupe? Faut arrêter la parano, si qqun veut lire ton trafic, il se hook directement sur le svr et extrait les données décodées en remplaçant ton exécutable par un svr openvpn modifié pour ça. Mais si tu ne trouves rien, ça veut p'têt dire que les puissances au pouvoir ont supprimées toutes traces… et quand je dis toutes traces, ça veut dire aussi coupé le kiki du salopard de délinquant cachottier et maquillé ça en accident de rasoir ou en pétage de point noir qui aurait mal tourné. Qui peut savoir par les temps qui courent si tu n'es pas déjà surveillé et qu'il n'y a vraiment personne en train de surveiller et enregistrer les caméras et micros discrètement installées chez toi… Mais moi je sens que je vais ouvrir un autre ticket chez online dès ce soir. Je vais faire une bêtise. Ben si tu le sais, la fais pô alors! J'aimerai juste savoir comment écrire cette ligne: server-bridge 192.168.255.3 255.255.255.0 192.168.255.200 192.168.255.210 server-bridge IP_svr Netmask(svr-clis) DHCP_Range_Start DHCP_Range_Stop Pouvez-vous me réconforter ou me flageller à coup de CD gravés Win*ws Millenium piratés en me disant que je fais une énorme bêtise? T'as pas besoin de faire de bêtises pour te faire flageller. Je ne vois pas trop pourquoi tu veux à toute force que ton svr fasse DHCP alors que ça peut être défini au niveau du client; d'autant qu'en Gal on a juste 2 machines externes à connecter, un fixe et un portable. J'ai trouvé ça sinon: http://forum.online.net/index.php?/topic/889-serveur-openvpn/ Et il me semble zarb qu'il ne soit pas possible d'ouvrir et paramétrer un port dédié VPN en UDP dans le firewall de la dédibox… -- Jenny dit : L'homme est un apprenti, la douleur est son maître. Alfred de Musset Kalibou dit : C'est beau =) Jenny dit : Tu aime ? c'est de moi =P Kalibou dit : Tu sais Alfred de Musset c'est pas un morceau de la citation... -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20130116203626.4d35e037@anubis.defcon1
Re: OpenVPN DHCP Conflits. Huh ?!
Le 16/01/2013 20:36, Bzzz a écrit : On Wed, 16 Jan 2013 19:39:11 +0100 Yann Coleuyann.co...@mailoo.org wrote: Je réfléchissais à ça... ne vais-je pas avoir un souci avec le switch de ma Dedibox? Ne va t-il pas m'en vouloir que je mette d'autres adresses IP sur le pont? Je crois que j'ai du mal à comprendre le vrai fonctionnement du bridge avec OpenVPN (bridge tout court d'ailleurs). Ça me marche pas comme ça, le fait de bridger les deux interfaces ne change rien à Tx/Rx qui sont toujours faites par l'I/F hardware. La séparation reste interne au svr, pas externe. Certes... Toujours est-il que je viens d'activer le bridge, et mon serveur ne répond plus. *Le port réseau de votre serveur est coupé* Si vous venez de demander un reboot du serveur ou son passage en rescue ou test, ce message ne s'affiche que quelques secondes. Sinon c'est que l'équipement réseau s'est surement mis en protection suite à un trafic réseau non autorisé. Contactez alors le support pour un déblocage de votre serveur. J'ai juste lancé le script que l'article du blog me fournissait. Je me doutais bien que ça n'allait pas coller. J'ai pourtant bien mis mes paramètres d'initialisation. source: http://www.troublenow.org/362/howto-setup-openvpn-in-bridge-mode-on-debian/ # Define Bridge Interface br=br0 # Define list of TAP interfaces to be bridged, # for example tap=tap0 tap1. tap=tap0 # Define physical ethernet interface to be bridged # with TAP interface(s) above. eth=eth0 eth_ip=mon ip publique eth_netmask=mon netmask publique en /24 eth_broadcast=trois_premiers_octets.255 gw=ma passerelle publique # # Set up Ethernet bridge on Linux # Requires: bridge-utils # start_bridge() { for tin $tap;do openvpn--mktun --dev $t done brctl addbr$br brctl addif$br $eth for tin $tap;do brctl addif$br $t done for tin $tap;do ifconfig $t 0.0.0.0 promisc up done ifconfig $eth 0.0.0.0 promisc up ifconfig $br $eth_ip netmask$eth_netmask broadcast$eth_broadcast up route add default gw$gw $br } Les switchs de online.net sont très... rudes (et ce n'est pas un mal). C'est pas un problème de garantie d'anonymat dont je voulais parler (Big brother et cie). Mais bien du fait que les règles de leurs switchs sont vraiment fait pour bloquer tout trafic anormal. Et un pont réseau ne me parait pas très clair dans la mise en place donc ça n'arrange pas les choses :/ Je vous assure que je tourne et je retourne la question pour mettre en place ce système. Mais il y a un concept que je ne saisis pas.
Re: OpenVPN DHCP Conflits. Huh ?!
On Wed, 16 Jan 2013 21:28:34 +0100 Yann Coleu yann.co...@mailoo.org wrote: ifconfig $br $eth_ip netmask$eth_netmask broadcast$eth_broadcast up Le script est correct mais sur ces lignes-là il y a un blem: les variables sont collées aux littéraux, il _faut_ un espace entre les 2. eg: tel quel: netmask255.255.255.0 au lieu de: netmask 255.255.255.0 route add default gw$gw $br Celle-là est aussi incorrecte: * même PB que ci-dessus * doit-être sortie de la boucle * PAS $br, mais l'adresse du gateway réel Et ajouter cette ligne avant la route: echo 1 /proc/sys/net/ipv4/ip_forward (ou vérifier si ce n'est pas déjà le cas) À noter, en fonction de l'ordre dans lequel les scripts d'init sont déclenchés, il est préférable de donner le path complet de toutes commandes. eg: /bin/echo 1 /proc/sys/net/ipv4/ip_forward Les switchs de online.net sont très... rudes (et ce n'est pas un mal). Reste à voir s'ils font autant chier les entrants que les sortants. C'est pas un problème de garantie d'anonymat dont je voulais parler (Big brother et cie). Mais bien du fait que les règles de leurs switchs sont vraiment fait pour bloquer tout trafic anormal. Et un pont réseau ne me parait pas très clair dans la mise en place donc ça n'arrange pas les choses :/ Il y a un howto avec une bonne explication dans les pkgs doc-linux-xx-text -- Dyn : à ce qui paraît t'es interdit de sortie ? Alex : ouais Alex : jai traité mon frere de fils de pute et ma mere a pas trop aimé Dyn : ...ouais, ça se tient -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20130116221055.4e339f42@anubis.defcon1
Re: OpenVPN DHCP Conflits. Huh ?!
ifconfig $br $eth_ip netmask$eth_netmask broadcast$eth_broadcast up Le script est correct mais sur ces lignes-là il y a un blem: les variables sont collées aux littéraux, il _faut_ un espace entre les 2. eg: tel quel: netmask255.255.255.0 au lieu de: netmask 255.255.255.0 route add default gw$gw $br Non les lignes sont bonnes. Il y a bien des espaces. Il y a peu être un petit problème dans le mail. Mais je vois bien les espaces, dans le mail et dans le billet du blog. Les switchs de online.net sont très... rudes (et ce n'est pas un mal). Reste à voir s'ils font autant chier les entrants que les sortants. Non en entrant c'est pas un problème. C'est vraiment sur le LAN du serveur, si il y a une trame avec des champs un peu bizarres, le port du switch se met down direct. C'est pas un problème de garantie d'anonymat dont je voulais parler (Big brother et cie). Mais bien du fait que les règles de leurs switchs sont vraiment fait pour bloquer tout trafic anormal. Et un pont réseau ne me parait pas très clair dans la mise en place donc ça n'arrange pas les choses :/ Il y a un howto avec une bonne explication dans les pkgs doc-linux-xx-text Bon je vais tenter de trouver un tuto qui explique bien la demarche sur un serveur dédié dans un environnement rigoureux au possible. Et surtout me renseigner un peu plus sur les bridges pour savoir dans quels cas je peux balancer des trames toutes pourrie ;) Merci pour ton aide, c'est sympa :) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/50f71b55.7040...@mailoo.org
Re: OpenVPN DHCP Conflits. Huh ?!
Bonjour, Le mercredi 16 janvier 2013, Yann Coleu a écrit... Bon je vais tenter de trouver un tuto qui explique bien la demarche sur un serveur dédié dans un environnement rigoureux au possible. Et surtout me renseigner un peu plus sur les bridges pour savoir dans quels cas je peux balancer des trames toutes pourrie ;) Je ne sais pas si ce que je vais dire a vraiment un rapport, mais sait on jamais. J'ai créé des machines virtuelles Kvm sur une Dedibox. J'avais l'habitude d'utiliser le mode bridge pour ça, mais j'avais lu une doc de chez Online disant que c'était franchement déconseillé. Je ne me rappelle plus si j'ai essayé, pour voir (je crois, cependant), mais j'ai du utiliser le mode route pour les connexions de mes vm's. Alors, tu tombes peut-être dans le même cas de figure… -- jm -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20130116214042.GD17627@espinasse
Re: OpenVPN DHCP Conflits. Huh ?!
Je ne sais pas si ce que je vais dire a vraiment un rapport, mais sait on jamais. J'ai créé des machines virtuelles Kvm sur une Dedibox. J'avais l'habitude d'utiliser le mode bridge pour ça, mais j'avais lu une doc de chez Online disant que c'était franchement déconseillé. Je ne me rappelle plus si j'ai essayé, pour voir (je crois, cependant), mais j'ai du utiliser le mode route pour les connexions de mes vm's. Alors, tu tombes peut-être dans le même cas de figure… Et si j'utilisais mon pool énorme d'adresses IPV6 que j'ai en stock. Ça serait une bonne solution? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/50f71fb4.9010...@mailoo.org
OpenVPN DHCP Conflits. Huh ?!
Bonsoir à tous, Je suis en train de configurer un modeste serveur OpenVPN sur ma Dedibox de chez Online.net. Je suis plutôt content, je viens de le mettre en place, il marche correctement et je peux donc accéder au port IMAP et SMTP via ma connexion étudiante archi bridée. Mais voilà. Je télécharge un .iso d'ubuntu pour tester la bande passante (réflexe) et voilà que PAF ! Ma connexion s'arrête brutalement. Je ping (réflexe) et... rien. Mon serveur ne répond plus. Je vais sur la console d'administration de online.net pour voir si il n'y a pas une anomalie quelque par, et je vois un gros message en rouge: Le port réseau de votre serveur est coupé, car des flux réseaux non autorisés ont été détectés (en gros) Ni une, ni deux, je prend ma souris fermement et j'ouvre un ticket d'incident (depuis quand ubuntu ferait parti d'un flux non autorisé) et je demande ce qu'il se passe. Le technicien me répond (rapidement d'ailleurs, et très sympa) que le switch, sur lequel ma machine est reliée, a fermé le port automatiquement en laissant un post-it dans les logs. .Jan 15 10:02:27: %DHCP_SNOOPING-4-DHCP_SNOOPING_ERRDISABLE_WARNING: DHCP Snooping received 10 DHCP packets on interface Gi1/0/2 .Jan 15 10:02:27: %DHCP_SNOOPING-4-DHCP_SNOOPING_RATE_LIMIT_EXCEEDED: The interface Gi1/0/2 is receiving more than the threshold set .Jan 15 10:02:27: %PM-4-ERR_DISABLE: dhcp-rate-limit error detected on Gi1/0/2, putting Gi1/0/2 in err-disable state .Jan 15 10:02:27: %SPANTREE-6-PORT_STATE: Port Gi1/0/2 instance 158 moving from forwarding to disabled .Jan 15 10:02:27: %SPANTREE-6-PORT_STATE: Port Gi1/0/2 instance 658 moving from forwarding to disabled .Jan 15 10:02:28: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/2, changed state to down .Jan 15 10:02:29: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/2, changed state to down Quoi ?! J'ai jamais eu l'idée de mettre un serveur dhcp. Je sais bien que OpenVPN doit en intégrer un mais c'est pour le réseau local virtuel pour donner des adresses à mes clients pas pour mon réseau publique. Alors pourquoi tant de haine? Bon c'est aussi mon premier VPN mis en place, mais là je dois dire que je comprend pas ce qui lui arrive à ce petit serveur. Quelqu'un a une idée? Je vous mets la conf du serveur VPN en bonus en pièce jointe. Je suis ouvert à toutes critiques d'ailleurs sur ma conf. En vous remerciant d'avance pour vos réponses. Yann # Serveur TCP/443 mode server proto tcp port 443 dev tun # Cles et certificats ca ca_vpn_yanco.crt cert server.crt key server.key dh dh1024.pem tls-auth ta_vpn_yanco.key 0 cipher AES-128-CBC # Reseau server 10.8.0.0 255.255.255.0 push redirect-gateway def1 bypass-dhcp push dhcp-option DNS 88.191.254.60 push dhcp-option DNS 88.191.254.70 keepalive 10 120 # Securite user nobody group nogroup chroot /etc/openvpn/jail persist-key persist-tun comp-lzo # Log verb 3 mute 20 status openvpn-status.log log-append /var/log/openvpn.log
Re: OpenVPN DHCP Conflits. Huh ?!
Le 15/01/2013 18:05, Yann Coleu a écrit : Bonsoir à tous, Je suis en train de configurer un modeste serveur OpenVPN sur ma Dedibox de chez Online.net. Je suis plutôt content, je viens de le mettre en place, il marche correctement et je peux donc accéder au port IMAP et SMTP via ma connexion étudiante archi bridée. Mais voilà. Je télécharge un .iso d'ubuntu pour tester la bande passante (réflexe) et voilà que PAF ! Ma connexion s'arrête brutalement. Je ping (réflexe) et... rien. Mon serveur ne répond plus. Je vais sur la console d'administration de online.net pour voir si il n'y a pas une anomalie quelque par, et je vois un gros message en rouge: Le port réseau de votre serveur est coupé, car des flux réseaux non autorisés ont été détectés (en gros) Ni une, ni deux, je prend ma souris fermement et j'ouvre un ticket d'incident (depuis quand ubuntu ferait parti d'un flux non autorisé) et je demande ce qu'il se passe. Le technicien me répond (rapidement d'ailleurs, et très sympa) que le switch, sur lequel ma machine est reliée, a fermé le port automatiquement en laissant un post-it dans les logs. .Jan 15 10:02:27: %DHCP_SNOOPING-4-DHCP_SNOOPING_ERRDISABLE_WARNING: DHCP Snooping received 10 DHCP packets on interface Gi1/0/2 .Jan 15 10:02:27: %DHCP_SNOOPING-4-DHCP_SNOOPING_RATE_LIMIT_EXCEEDED: The interface Gi1/0/2 is receiving more than the threshold set .Jan 15 10:02:27: %PM-4-ERR_DISABLE: dhcp-rate-limit error detected on Gi1/0/2, putting Gi1/0/2 in err-disable state .Jan 15 10:02:27: %SPANTREE-6-PORT_STATE: Port Gi1/0/2 instance 158 moving from forwarding to disabled .Jan 15 10:02:27: %SPANTREE-6-PORT_STATE: Port Gi1/0/2 instance 658 moving from forwarding to disabled .Jan 15 10:02:28: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/2, changed state to down .Jan 15 10:02:29: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/2, changed state to down Quoi ?! J'ai jamais eu l'idée de mettre un serveur dhcp. Je sais bien que OpenVPN doit en intégrer un mais c'est pour le réseau local virtuel pour donner des adresses à mes clients pas pour mon réseau publique. Alors pourquoi tant de haine? Bon c'est aussi mon premier VPN mis en place, mais là je dois dire que je comprend pas ce qui lui arrive à ce petit serveur. Quelqu'un a une idée? Je vous mets la conf du serveur VPN en bonus en pièce jointe. Je suis ouvert à toutes critiques d'ailleurs sur ma conf. En vous remerciant d'avance pour vos réponses. Yann Bonjour, Vérifie dhcpd n'est pas installé sur le serveur. Personnellement j'ai 4 vpn (openvpn) chez online.net et aucun soucis. -- Guillaume
Re: OpenVPN DHCP Conflits. Huh ?!
On Tue, 15 Jan 2013 18:05:34 +0100 Yann Coleu yann.co...@mailoo.org wrote: Je suis en train de configurer un modeste serveur OpenVPN sur ma Dedibox de chez Online.net. Je suis plutôt content, je viens de le mettre en place, il marche correctement et je peux donc accéder au port IMAP et SMTP via ma connexion étudiante archi bridée. Mais voilà. Je télécharge un .iso d'ubuntu pour tester la bande passante (réflexe) et voilà que PAF ! Ma connexion s'arrête brutalement. Je ping (réflexe) et... rien. Mon serveur ne répond plus. Je vais sur la console d'administration de online.net pour voir si il n'y a pas une anomalie quelque par, et je vois un gros message en rouge: Le port réseau de votre serveur est coupé, car des flux réseaux non autorisés ont été détectés (en gros) Ni une, ni deux, je prend ma souris fermement et j'ouvre un ticket d'incident (depuis quand ubuntu ferait parti d'un flux non autorisé) et je demande ce qu'il se passe. Le technicien me répond (rapidement d'ailleurs, et très sympa) que le switch, sur lequel ma machine est reliée, a fermé le port automatiquement en laissant un post-it dans les logs. Ça ferait un bon début de roman mi-noir mi-informatique! ... Et le détective Coleu sauta sur son Solex bi-turbo propulsé au shashlick mercerisé à la solexine; merde pensa-t-il très fort, Al-Qaida vient de me saboter le tuyau d'admission de la solexine, sale temps pour les serveurs Israëliens ainsi que pour les connexions Chinoises ... .Jan 15 10:02:27: %DHCP_SNOOPING-4-DHCP_SNOOPING_ERRDISABLE_WARNING: DHCP Snooping received 10 DHCP packets on interface Gi1/0/2 .Jan 15 10:02:27: %DHCP_SNOOPING-4-DHCP_SNOOPING_RATE_LIMIT_EXCEEDED: The interface Gi1/0/2 is receiving more than the threshold set .Jan 15 10:02:27: %PM-4-ERR_DISABLE: dhcp-rate-limit error detected on Gi1/0/2, putting Gi1/0/2 in err-disable state .Jan 15 10:02:27: %SPANTREE-6-PORT_STATE: Port Gi1/0/2 instance 158 moving from forwarding to disabled .Jan 15 10:02:27: %SPANTREE-6-PORT_STATE: Port Gi1/0/2 instance 658 moving from forwarding to disabled .Jan 15 10:02:28: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/2, changed state to down .Jan 15 10:02:29: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/2, changed state to down Quoi ?! J'ai jamais eu l'idée de mettre un serveur dhcp. Je sais bien que OpenVPN doit en intégrer un mais c'est pour le réseau local virtuel pour donner des adresses à mes clients pas pour mon réseau publique. Alors pourquoi tant de haine? Bon c'est aussi mon premier VPN mis en place, mais là je dois dire que je comprend pas ce qui lui arrive à ce petit serveur. Quelqu'un a une idée? Je vous mets la conf du serveur VPN en bonus en pièce jointe. D'abord, à moins que ça ne soit une obligation, on évite TCP et on passe en UDP (moins d'overhead, etc) Ensuite, pourquoi passer en mode routed plutôt que bridged? (bridged est plus facile à faire fonctionner et surtout amène le ping que routed ne permet pas) Le DH devrait aussi être de préférence en 2048 bits, ainsi que les autres clés et CA. Le chiffrage bouffe moins de ressources en BlowFish, et la sécurité est supérieure à AES. push redirect-gateway def1 bypass-dhcp Que tu veuilles rediriger 100% du trafic IP du client vers le svr passe encore, mais créer une route directe du client vers le DHCP, y'a de bonnes chances que ça soit là que le switch n'aime pas. Dans tous les cas, il est préférable d'indiquer le path absolu des diverses clés (et attention aux permissions, notamment pour la clé privée). À lire d'urgence: http://openvpn.net/index.php/open-source/documentation/howto.html -- Poisson : Nan mais cette semaine, je l'ai prise tous les jours, partout et dans tous les sens, j'en pouvais plus... Papillon : Rassure-moi, tu parles toujours de la ligne 4? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20130115185408.35f43c7d@anubis.defcon1
Re: OpenVPN DHCP Conflits. Huh ?!
Le 15/01/2013 18:54, Bzzz a écrit : On Tue, 15 Jan 2013 18:05:34 +0100 Yann Coleu yann.co...@mailoo.org wrote: Je suis en train de configurer un modeste serveur OpenVPN sur ma Dedibox de chez Online.net. Je suis plutôt content, je viens de le mettre en place, il marche correctement et je peux donc accéder au port IMAP et SMTP via ma connexion étudiante archi bridée. Mais voilà. Je télécharge un .iso d'ubuntu pour tester la bande passante (réflexe) et voilà que PAF ! Ma connexion s'arrête brutalement. Je ping (réflexe) et... rien. Mon serveur ne répond plus. Je vais sur la console d'administration de online.net pour voir si il n'y a pas une anomalie quelque par, et je vois un gros message en rouge: Le port réseau de votre serveur est coupé, car des flux réseaux non autorisés ont été détectés (en gros) Ni une, ni deux, je prend ma souris fermement et j'ouvre un ticket d'incident (depuis quand ubuntu ferait parti d'un flux non autorisé) et je demande ce qu'il se passe. Le technicien me répond (rapidement d'ailleurs, et très sympa) que le switch, sur lequel ma machine est reliée, a fermé le port automatiquement en laissant un post-it dans les logs. Ça ferait un bon début de roman mi-noir mi-informatique! ... Et le détective Coleu sauta sur son Solex bi-turbo propulsé au shashlick mercerisé à la solexine; merde pensa-t-il très fort, Al-Qaida vient de me saboter le tuyau d'admission de la solexine, sale temps pour les serveurs Israëliens ainsi que pour les connexions Chinoises ... Ahah ! .Jan 15 10:02:27: %DHCP_SNOOPING-4-DHCP_SNOOPING_ERRDISABLE_WARNING: DHCP Snooping received 10 DHCP packets on interface Gi1/0/2 .Jan 15 10:02:27: %DHCP_SNOOPING-4-DHCP_SNOOPING_RATE_LIMIT_EXCEEDED: The interface Gi1/0/2 is receiving more than the threshold set .Jan 15 10:02:27: %PM-4-ERR_DISABLE: dhcp-rate-limit error detected on Gi1/0/2, putting Gi1/0/2 in err-disable state .Jan 15 10:02:27: %SPANTREE-6-PORT_STATE: Port Gi1/0/2 instance 158 moving from forwarding to disabled .Jan 15 10:02:27: %SPANTREE-6-PORT_STATE: Port Gi1/0/2 instance 658 moving from forwarding to disabled .Jan 15 10:02:28: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/2, changed state to down .Jan 15 10:02:29: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/2, changed state to down Quoi ?! J'ai jamais eu l'idée de mettre un serveur dhcp. Je sais bien que OpenVPN doit en intégrer un mais c'est pour le réseau local virtuel pour donner des adresses à mes clients pas pour mon réseau publique. Alors pourquoi tant de haine? Bon c'est aussi mon premier VPN mis en place, mais là je dois dire que je comprend pas ce qui lui arrive à ce petit serveur. Quelqu'un a une idée? Je vous mets la conf du serveur VPN en bonus en pièce jointe. D'abord, à moins que ça ne soit une obligation, on évite TCP et on passe en UDP (moins d'overhead, etc) Yep, pour moi c'est une obligation. Je suis derrière un portail captif où les seuls ports ouverts sont 80 et443, donc pas le choix. C'est clair que j'aime pas, mais j'ai pas le choix. Ensuite, pourquoi passer en mode routed plutôt que bridged? (bridged est plus facile à faire fonctionner et surtout amène le ping que routed ne permet pas) Je vais voir ça. Le DH devrait aussi être de préférence en 2048 bits, ainsi que les autres clés et CA. Le chiffrage bouffe moins de ressources en BlowFish, et la sécurité est supérieure à AES. Compris ! Je vais faire ça. push redirect-gateway def1 bypass-dhcp Que tu veuilles rediriger 100% du trafic IP du client vers le svr passe encore, mais créer une route directe du client vers le DHCP, y'a de bonnes chances que ça soit là que le switch n'aime pas. Ahh ouais d'accord. Donc j'enlève le bypass-dhcp. C'est vrai que c'est la ligne que j'avais du mal à comprendre. Je l'ai vue dans le blog de nicolargo, il doit bien y avoir une raison de mettre cette option mais j'avoue que elle ne m’était pas très claire. Dans tous les cas, il est préférable d'indiquer le path absolu des diverses clés (et attention aux permissions, notamment pour la clé privée). Ça marche ! À lire d'urgence: http://openvpn.net/index.php/open-source/documentation/howto.html Vraiment un immense merci ! J'adore cette liste de diffusion, j'ai appris beaucoup beaucoup de choses encore une fois. Bonne soirée à tous. PS: Non Gwilhom, pas de Dhcpd qui tourne. C'est la première chose que j'ai vérifié. Je m'en serai vraiment voulu si c'était le cas. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/50f5a506.5040...@mailoo.org