[FRnOG] [TECH] Proxy SOCKS5 et VPN
Bonjour à tous,
j'ai un problème que je n'arrive pas à résoudre. Je pense qu'il me manque
peut être un NAT mais malgré mes essais cela ne fonctionne pas.
voici mon objectif :
- j'ai un petit PC (raspberry sous raspbian pour me simplifier la vie) qui
se connecte à un VPN dans lequel je redirige tous mes flux dont voici la
configuration:
==
client
dev tun
proto udp
; Cert
ns-cert-type server
cipher BF-CBC
;Host
resolv-retry infinite
;auth
auth-user-pass
keepalive 10 30
sndbuf 0
rcvbuf 0
remote monhote 443
persist-key
persist-tun
nobind
comp-lzo
verb 2
-BEGIN CERTIFICATE-
blablabla
-END CERTIFICATE-
==
la connexion est bien établie et mon interface tun0 est bien monté et mes
flux sont bien redirigés dedans.
j'ai ensuite installé un proxy socks5 (dante 1.4.x) dans le but depuis mes
PCs de pouvoir choisir facilement de passer par le VPN ou non. la connexion
au proxy depuis mon PC fonctionne bien, mes flux sont bien encapsulés et
utilise le tunnel ensuite. Aucun firewall entre le PC de test et le Pi.
voici un extrait de la conf de dante:
client pass {
from: 192.168.0.0/0 port 1-65535 to: 0.0.0.0/0
log: connect disconnect error
}
pass {
from: 192.168.0.0/0 to: 0.0.0.0/0
protocol: tcp udp
log: connect error
}
la configuration est volontairement très permissive pour le moment
mon probleme est qu'il semble que mes paquets UDP ne passe pas ou pas bien
du moins et je ne sais pas bien comment débugger la chose. en effet pour
des problemes TCP c'est facile à tester mais pour de l'UDP je n'arrive pas
à trouver de moyen simple pour verifier si ça passe bien et si je reçois
bien les réponses.
En effet lorsque je passe par le proxy socks5 via firefox, j'ai bien l'IP
de sortie de mon VPN et une connexion stable.
ma question est : Avez vous un moyen "simple" pour tester si en effet mes
paquets UDP traversent bien le proxy ou s'ils sont bloqués ? si c'est la
requete et/ou le reponse qui cloche ?
J'ai d'autres serveurs distant disponible si besoin pour monter un mini
service.
j'ai essayé de rajouter un peu en désespoir de cause une règle iptables
suivante (les chaines sont toutes vides sinon):
iptables -t nat -A POSTROUTING -j MASQUERADE
mais aucun changement
avez vous des points particuliers à vérifier ?
Je suis embêté car j'ai installé ça chez un ami et ça ne fonctionne pas
bien ... chez moi je n'ai pas de soucis car je fais différemment et je n'ai
jamais eu ce genre de soucis.
Merci d'avance de votre aide ! et continuer comme ça tous ! j’apprécie
beaucoup lire cette mailing list ou j'en apprend tous les jours !
Cordialement,
--
Jocelyn Lagarenne
---
Liste de diffusion du FRnOG
http://www.frnog.org/
[FRnOG] [TECH] Proxy SOCKS5 et VPN
Bonjour à tous,
j'ai un problème que je n'arrive pas à résoudre. Je pense qu'il me manque
peut être un NAT mais malgré mes essais cela ne fonctionne pas.
voici mon objectif :
- j'ai un petit PC (raspberry sous raspbian pour me simplifier la vie) qui
se connecte à un VPN dans lequel je redirige tous mes flux dont voici la
configuration:
==
client
dev tun
proto udp
; Cert
ns-cert-type server
cipher BF-CBC
;Host
resolv-retry infinite
;auth
auth-user-pass
keepalive 10 30
sndbuf 0
rcvbuf 0
remote monhote 443
persist-key
persist-tun
nobind
comp-lzo
verb 2
-BEGIN CERTIFICATE-
blablabla
-END CERTIFICATE-
==
la connexion est bien établie et mon interface tun0 est bien monté et mes
flux sont bien redirigés dedans.
j'ai ensuite installé un proxy socks5 (dante 1.4.x) dans le but depuis mes
PCs de pouvoir choisir facilement de passer par le VPN ou non. la connexion
au proxy depuis mon PC fonctionne bien, mes flux sont bien encapsulés et
utilise le tunnel ensuite. Aucun firewall entre le PC de test et le Pi.
voici un extrait de la conf de dante:
client pass {
from: 192.168.0.0/0 port 1-65535 to: 0.0.0.0/0
log: connect disconnect error
}
pass {
from: 192.168.0.0/0 to: 0.0.0.0/0
protocol: tcp udp
log: connect error
}
la configuration est volontairement très permissive pour le moment
mon probleme est qu'il semble que mes paquets UDP ne passe pas ou pas bien
du moins et je ne sais pas bien comment débugger la chose. en effet pour
des problemes TCP c'est facile à tester mais pour de l'UDP je n'arrive pas
à trouver de moyen simple pour verifier si ça passe bien et si je reçois
bien les réponses.
En effet lorsque je passe par le proxy socks5 via firefox, j'ai bien l'IP
de sortie de mon VPN et une connexion stable.
ma question est : Avez vous un moyen "simple" pour tester si en effet mes
paquets UDP traversent bien le proxy ou s'ils sont bloqués ? si c'est la
requete et/ou le reponse qui cloche ?
J'ai d'autres serveurs distant disponible si besoin pour monter un mini
service.
j'ai essayé de rajouter un peu en désespoir de cause une règle iptables
suivante (les chaines sont toutes vides sinon):
iptables -t nat -A POSTROUTING -j MASQUERADE
mais aucun changement
avez vous des points particuliers à vérifier ?
Je suis embêté car j'ai installé ça chez un ami et ça ne fonctionne pas
bien ... chez moi je n'ai pas de soucis car je fais différemment et je n'ai
jamais eu ce genre de soucis.
Merci d'avance de votre aide ! et continuer comme ça tous ! j’apprécie
beaucoup lire cette mailing list ou j'en apprend tous les jours !
Cordialement,
--
Jocelyn Lagarenne
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Re: [FRnOG] [TECH] Proxy SOCKS5 et VPN
Bonjour Jocelyn, Pour tester la connectivité udp, tu peux utiliser netcat : (côté serveur) netcat -u -l -p 5004 (côté client) netcat -u $server 5004 Et tu verras ce que tu tapes d’un côté et de l’autre. Ici ce sont les options pour le netcat GNU, celui de BSD changer légèrement, mais tu devrais facilement trouver les options adéquates dans le man. Tu peux aussi utiliser tcpdump sur les différentes interfaces pour voir où les requêtes sont bloquées. -- Alarig Le Lay signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Proxy SOCKS5 et VPN
aah je n'avais pas pensé au couteau suisse ! concernant tcpdump j'ai essayé mais malheureusement j'ai trop de spam reseau sur les interfaces et j'ai vraiment du mal à voir ... je testerai ce soir, merci. sinon est ce que je fais une erreur ou est ce que cela devrait fonctionner à partir du moment ou ma gateway par défaut est bien sur tun0 sur le Pi qui est la gate qui heberge le proxy et le coté client du VPN (les reglages de routages sont poussé par le serveur VPN distant). merci de ton retour rapide 2015-10-07 13:06 GMT+02:00 Alarig Le Lay : > Bonjour Jocelyn, > > Pour tester la connectivité udp, tu peux utiliser netcat : > (côté serveur) netcat -u -l -p 5004 > (côté client) netcat -u $server 5004 > > Et tu verras ce que tu tapes d’un côté et de l’autre. > Ici ce sont les options pour le netcat GNU, celui de BSD changer > légèrement, mais tu devrais facilement trouver les options adéquates > dans le man. > > Tu peux aussi utiliser tcpdump sur les différentes interfaces pour voir > où les requêtes sont bloquées. > > -- > Alarig Le Lay > -- Jocelyn Lagarenne 06 28 78 30 50 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Proxy SOCKS5 et VPN
On Wed Oct 7 13:11:40 2015, Jocelyn Lagarenne wrote: > aah je n'avais pas pensé au couteau suisse ! > concernant tcpdump j'ai essayé mais malheureusement j'ai trop de spam > reseau sur les interfaces et j'ai vraiment du mal à voir ... Dans ce cas, applique des filtres à ton tcpdump, du genre "tcpdump port 5004" ou un truc du genre. > je testerai ce soir, merci. > > sinon est ce que je fais une erreur ou est ce que cela devrait fonctionner > à partir du moment ou ma gateway par défaut est bien sur tun0 sur le Pi qui > est la gate qui heberge le proxy et le coté client du VPN (les reglages de > routages sont poussé par le serveur VPN distant). Normalement le simple fait d’avoir la bonne gateway suffit avec SOCKS. -- Alarig Le Lay signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Proxy SOCKS5 et VPN
Bonjour, > Dans ce cas, applique des filtres à ton tcpdump, du genre "tcpdump > port 5004" ou un truc du genre. Yep, un truc du genre: ça aide bien : tcpdump udp and host XX and port YYY sinon, thark peut être intéressant à l'occase ou iptraf pour observer un bout du tuyau. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Proxy SOCKS5 et VPN
merci beaucoup pour vos conseils! Je vais essayer ce soir et je reviendrais vers vous pour vous dire si j'ai reussi à trouver la raison ou pas. 2015-10-07 14:04 GMT+02:00 Vincent : > Bonjour, > > Dans ce cas, applique des filtres à ton tcpdump, du genre "tcpdump > > port 5004" ou un truc du genre. > Yep, un truc du genre: ça aide bien : > tcpdump udp and host XX and port YYY > > sinon, thark peut être intéressant à l'occase ou iptraf pour observer un > bout du tuyau. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Jocelyn Lagarenne 06 28 78 30 50 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Proxy SOCKS5 et VPN
Hello à tous, j'ai fais mes tests hier soir avec netcat et socat. malheureusement après quelques recherches, je me suis rendu compte que ni l'un ni l'autre n’était compatible avec un proxy SOCKS5 pour l'UDP (aucun problème pour le TCP). Mais malgré cela j'ai quand même pu faire différents tests, et je suis pratiquement sure que les paquets passent sans soucis. après quelques benchmark et différents essais sur d'autres machines, j'en suis venu à la conclusion que cela doit être le Rpi qui doit être un peu raz la "guele" quand il y a trop de connexion via le proxy (p2p d'oeuvre libre de droits par exemple). En effet différents speedtests nous permettent d'avoir une connexion plus que correct au travers du proxy dante + vpn ( + de 10Mo/sec) mais en p2p nous plafonnons difficilement à 700ko/sec. En effet même sans le proxy mais en utilisant le pi directement en gateway, nous gagnons un peu en p2p mais pas plus de 1.5Mo/sec (contre les 10Mo/sec en direct download toujours au travers du proxy+vpn). Si vous avez des feedbacks sur ce genre d'architecture chez vous ou autre en utilisant des Rpi, je suis preneur. Merci de votre aide néanmoins qui m'a permis (presque) d’éliminer l’hypothèse UDP (histoire de DHT en p2p). Cordialement, 2015-10-07 14:23 GMT+02:00 Jocelyn Lagarenne : > merci beaucoup pour vos conseils! > > Je vais essayer ce soir et je reviendrais vers vous pour vous dire si j'ai > reussi à trouver la raison ou pas. > > 2015-10-07 14:04 GMT+02:00 Vincent : > >> Bonjour, >> > Dans ce cas, applique des filtres à ton tcpdump, du genre "tcpdump >> > port 5004" ou un truc du genre. >> Yep, un truc du genre: ça aide bien : >> tcpdump udp and host XX and port YYY >> >> sinon, thark peut être intéressant à l'occase ou iptraf pour observer un >> bout du tuyau. >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > > > -- > Jocelyn Lagarenne > 06 28 78 30 50 > -- Jocelyn Lagarenne 06 28 78 30 50 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Proxy SOCKS5 et VPN
Bonjour Jocelyn, Pour tester la connectivité udp, tu peux utiliser netcat : (côté serveur) netcat -u -l -p 5004 (côté client) netcat -u $server 5004 Et tu verras ce que tu tapes d’un côté et de l’autre. Ici ce sont les options pour le netcat GNU, celui de BSD changer légèrement, mais tu devrais facilement trouver les options adéquates dans le man. Tu peux aussi utiliser tcpdump sur les différentes interfaces pour voir où les requêtes sont bloquées. -- Alarig Le Lay signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Proxy SOCKS5 et VPN
aah je n'avais pas pensé au couteau suisse ! concernant tcpdump j'ai essayé mais malheureusement j'ai trop de spam reseau sur les interfaces et j'ai vraiment du mal à voir ... je testerai ce soir, merci. sinon est ce que je fais une erreur ou est ce que cela devrait fonctionner à partir du moment ou ma gateway par défaut est bien sur tun0 sur le Pi qui est la gate qui heberge le proxy et le coté client du VPN (les reglages de routages sont poussé par le serveur VPN distant). merci de ton retour rapide 2015-10-07 13:06 GMT+02:00 Alarig Le Lay : > Bonjour Jocelyn, > > Pour tester la connectivité udp, tu peux utiliser netcat : > (côté serveur) netcat -u -l -p 5004 > (côté client) netcat -u $server 5004 > > Et tu verras ce que tu tapes d’un côté et de l’autre. > Ici ce sont les options pour le netcat GNU, celui de BSD changer > légèrement, mais tu devrais facilement trouver les options adéquates > dans le man. > > Tu peux aussi utiliser tcpdump sur les différentes interfaces pour voir > où les requêtes sont bloquées. > > -- > Alarig Le Lay > -- Jocelyn Lagarenne 06 28 78 30 50 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Proxy SOCKS5 et VPN
On Wed Oct 7 13:11:40 2015, Jocelyn Lagarenne wrote: > aah je n'avais pas pensé au couteau suisse ! > concernant tcpdump j'ai essayé mais malheureusement j'ai trop de spam > reseau sur les interfaces et j'ai vraiment du mal à voir ... Dans ce cas, applique des filtres à ton tcpdump, du genre "tcpdump port 5004" ou un truc du genre. > je testerai ce soir, merci. > > sinon est ce que je fais une erreur ou est ce que cela devrait fonctionner > à partir du moment ou ma gateway par défaut est bien sur tun0 sur le Pi qui > est la gate qui heberge le proxy et le coté client du VPN (les reglages de > routages sont poussé par le serveur VPN distant). Normalement le simple fait d’avoir la bonne gateway suffit avec SOCKS. -- Alarig Le Lay signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Proxy SOCKS5 et VPN
Bonjour, > Dans ce cas, applique des filtres à ton tcpdump, du genre "tcpdump > port 5004" ou un truc du genre. Yep, un truc du genre: ça aide bien : tcpdump udp and host XX and port YYY sinon, thark peut être intéressant à l'occase ou iptraf pour observer un bout du tuyau. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Proxy SOCKS5 et VPN
merci beaucoup pour vos conseils! Je vais essayer ce soir et je reviendrais vers vous pour vous dire si j'ai reussi à trouver la raison ou pas. 2015-10-07 14:04 GMT+02:00 Vincent : > Bonjour, > > Dans ce cas, applique des filtres à ton tcpdump, du genre "tcpdump > > port 5004" ou un truc du genre. > Yep, un truc du genre: ça aide bien : > tcpdump udp and host XX and port YYY > > sinon, thark peut être intéressant à l'occase ou iptraf pour observer un > bout du tuyau. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Jocelyn Lagarenne 06 28 78 30 50 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Proxy SOCKS5 et VPN
Hello à tous, j'ai fais mes tests hier soir avec netcat et socat. malheureusement après quelques recherches, je me suis rendu compte que ni l'un ni l'autre n’était compatible avec un proxy SOCKS5 pour l'UDP (aucun problème pour le TCP). Mais malgré cela j'ai quand même pu faire différents tests, et je suis pratiquement sure que les paquets passent sans soucis. après quelques benchmark et différents essais sur d'autres machines, j'en suis venu à la conclusion que cela doit être le Rpi qui doit être un peu raz la "guele" quand il y a trop de connexion via le proxy (p2p d'oeuvre libre de droits par exemple). En effet différents speedtests nous permettent d'avoir une connexion plus que correct au travers du proxy dante + vpn ( + de 10Mo/sec) mais en p2p nous plafonnons difficilement à 700ko/sec. En effet même sans le proxy mais en utilisant le pi directement en gateway, nous gagnons un peu en p2p mais pas plus de 1.5Mo/sec (contre les 10Mo/sec en direct download toujours au travers du proxy+vpn). Si vous avez des feedbacks sur ce genre d'architecture chez vous ou autre en utilisant des Rpi, je suis preneur. Merci de votre aide néanmoins qui m'a permis (presque) d’éliminer l’hypothèse UDP (histoire de DHT en p2p). Cordialement, 2015-10-07 14:23 GMT+02:00 Jocelyn Lagarenne : > merci beaucoup pour vos conseils! > > Je vais essayer ce soir et je reviendrais vers vous pour vous dire si j'ai > reussi à trouver la raison ou pas. > > 2015-10-07 14:04 GMT+02:00 Vincent : > >> Bonjour, >> > Dans ce cas, applique des filtres à ton tcpdump, du genre "tcpdump >> > port 5004" ou un truc du genre. >> Yep, un truc du genre: ça aide bien : >> tcpdump udp and host XX and port YYY >> >> sinon, thark peut être intéressant à l'occase ou iptraf pour observer un >> bout du tuyau. >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > > > -- > Jocelyn Lagarenne > 06 28 78 30 50 > -- Jocelyn Lagarenne 06 28 78 30 50 --- Liste de diffusion du FRnOG http://www.frnog.org/
