subject:"\[FRnOG\] \[TECH\] question réseau route\/VPN"

[FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Dang Herve

Bonjour

J'ai une petite question reseau vpn/route

J'accède à un réseau privé par VPN(internet) la communication avec les
machines de ce réseau(A) passe bien mais l'une de ces machines a accès à un
autre réseau(B) j'ai configurer les ordinateurs pour accéder à B depuis A
pas de problème mais quand je passe par le vpn cela ne marche pas.

Une idée de ce que je fais par correctement ou j'oublie de faire?

j'ai fais un petit schéma au besoin


S'il manque des informations ou des question n'hesitez pas

Merci

Herve

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Dang Herve

Bonjour

J'ai une petite question reseau vpn/route

J'accède à un réseau privé par VPN(internet) la communication avec les
machines de ce réseau(A) passe bien mais l'une de ces machines a accès à un
autre réseau(B) j'ai configurer les ordinateurs pour accéder à B depuis A
pas de problème mais quand je passe par le vpn cela ne marche pas.

Une idée de ce que je fais par correctement ou j'oublie de faire?

j'ai fais un petit schéma au besoin


S'il manque des informations ou des question n'hesitez pas

Merci

Herve

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Daniel via frnog


Bonjour

Le 26/09/2022 à 15:40, Dang Herve a écrit :

Bonjour

J'ai une petite question reseau vpn/route

J'accède à un réseau privé par VPN(internet) la communication avec les
machines de ce réseau(A) passe bien mais l'une de ces machines a accès à un
autre réseau(B) j'ai configurer les ordinateurs pour accéder à B depuis A
pas de problème mais quand je passe par le vpn cela ne marche pas.

Une idée de ce que je fais par correctement ou j'oublie de faire?


Si on savait quels logiciels sont utilisés et l'OS/la techno/...

Je fais cela avec wireguard (1er accès) puis accès aux autres site 
OpenVPN/TAP ou wireguard, pas de soucis.


Cela peut aussi être Problème pare-feu si ton IP de connexion au site 
n'est pas autorisée.


--
Daniel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread SIMANCAS Hugo

regarde tes routes avec et sans vpn

linux + win netstat -r

linux ip route

ça sent la route qui recouvre le reste avec un agent vpn

On 26/09/2022 15:40, Dang Herve wrote:
> Bonjour
>
> J'ai une petite question reseau vpn/route
>
> J'accède à un réseau privé par VPN(internet) la communication avec les
> machines de ce réseau(A) passe bien mais l'une de ces machines a accès à un
> autre réseau(B) j'ai configurer les ordinateurs pour accéder à B depuis A
> pas de problème mais quand je passe par le vpn cela ne marche pas.
>
> Une idée de ce que je fais par correctement ou j'oublie de faire?
>
> j'ai fais un petit schéma au besoin
> 
>
> S'il manque des informations ou des question n'hesitez pas
>
> Merci
>
> Herve
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

-- 

/ ::1  Hugo SIMANCAS
Directeur Technique Associé
https://www.data-expertise.com [https://www.data-expertise.com/]
Support technique : 09 78 23 20 29
Standard : 05 34 26 02 46 | Ligne directe : 05 34 25 50 57
Mobile : 06 95 44 29 64
!Utilisez notre plateforme visio libre & gratuite : 
https://conf.data-expertise.com/ [https://conf.data-expertise.com/]
!Pad collaboratif libre & gratuit sécurisé https://pad.data-expertise.com/ 
[https://pad.data-expertise.com/]

Les informations contenues dans ce courrier électronique sont confidentielles 
et protégées par le secret professionnel. En tout état de cause, elles ne sont 
destinées qu'à la personne ou entreprise dont le nom est mentionné ci-dessus. 
Veuillez aviser l'expéditeur de toute difficulté ou de toute erreur dans la 
transmission de ce document. Si vous n'êtes pas le destinataire du présent 
courrier, vous n'êtes pas autorisé, sous peine de poursuites à en prendre des 
copies, le divulguer ou le diffuser. La présence de cette note prouve également 
que ce message électronique a été vérifié par un logiciel anti-virus.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Dang Herve

désolé j'oublie le principal: openvpn pour le vpn, ubuntu pour les OS
serveurs  iptable pour le routing  avec maquerade et forward

Pour les clients je fais mes test sur debian mais j'aimerai que cela marche
avec windows aussi

aucune restriction de pare feu pour les IP

On Mon, Sep 26, 2022 at 9:50 AM Daniel via frnog  wrote:

> Bonjour
>
> Le 26/09/2022 à 15:40, Dang Herve a écrit :
> > Bonjour
> >
> > J'ai une petite question reseau vpn/route
> >
> > J'accède à un réseau privé par VPN(internet) la communication avec les
> > machines de ce réseau(A) passe bien mais l'une de ces machines a accès à
> un
> > autre réseau(B) j'ai configurer les ordinateurs pour accéder à B depuis A
> > pas de problème mais quand je passe par le vpn cela ne marche pas.
> >
> > Une idée de ce que je fais par correctement ou j'oublie de faire?
>
> Si on savait quels logiciels sont utilisés et l'OS/la techno/...
>
> Je fais cela avec wireguard (1er accès) puis accès aux autres site
> OpenVPN/TAP ou wireguard, pas de soucis.
>
> Cela peut aussi être Problème pare-feu si ton IP de connexion au site
> n'est pas autorisée.
>
> --
> Daniel
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Daniel via frnog




Le 26/09/2022 à 15:54, Dang Herve a écrit :

désolé j'oublie le principal: openvpn pour le vpn,

tun ou tap ?

  ubuntu pour les OS
serveurs  iptable pour le routing  avec maquerade et forward

Pour les clients je fais mes test sur debian mais j'aimerai que cela marche
avec windows aussi
Ca marche avec Windows. Tu peux faire un tcpdump su le réseau b (si tu 
as accès) afin de vérifier que tes requêtes arrivent

On Mon, Sep 26, 2022 at 9:50 AM Daniel via frnog  wrote:


Bonjour

Le 26/09/2022 à 15:40, Dang Herve a écrit :

Bonjour

J'ai une petite question reseau vpn/route

J'accède à un réseau privé par VPN(internet) la communication avec les
machines de ce réseau(A) passe bien mais l'une de ces machines a accès à

un

autre réseau(B) j'ai configurer les ordinateurs pour accéder à B depuis A
pas de problème mais quand je passe par le vpn cela ne marche pas.

Une idée de ce que je fais par correctement ou j'oublie de faire?

Si on savait quels logiciels sont utilisés et l'OS/la techno/...

Je fais cela avec wireguard (1er accès) puis accès aux autres site
OpenVPN/TAP ou wireguard, pas de soucis.

Cela peut aussi être Problème pare-feu si ton IP de connexion au site
n'est pas autorisée.


--
Danie


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Dang Herve

les routes sont bonne quand je test du réseau A vers B pas de problème
c'est quand je veux faire VPN vers B en passant par A que cela ne marche pas


On Mon, Sep 26, 2022 at 9:54 AM SIMANCAS Hugo <
hugo.siman...@data-expertise.com> wrote:

> regarde tes routes avec et sans vpn
>
> linux + win netstat -r
>
> linux ip route
>
> ça sent la route qui recouvre le reste avec un agent vpn
>
> On 26/09/2022 15:40, Dang Herve wrote:
> > Bonjour
> >
> > J'ai une petite question reseau vpn/route
> >
> > J'accède à un réseau privé par VPN(internet) la communication avec les
> > machines de ce réseau(A) passe bien mais l'une de ces machines a accès à
> un
> > autre réseau(B) j'ai configurer les ordinateurs pour accéder à B depuis A
> > pas de problème mais quand je passe par le vpn cela ne marche pas.
> >
> > Une idée de ce que je fais par correctement ou j'oublie de faire?
> >
> > j'ai fais un petit schéma au besoin
> > <
> https://viewer.diagrams.net/?tags=%7B%7D&highlight=ff&edit=_blank&layers=1&nav=1&title=route.drawio#Uhttps%3A%2F%2Fdrive.google.com%2Fuc%3Fid%3D1plJCkAyHWOCRziQLDZNYoyuO4pQGtjtD%26export%3Ddownload
> >
> >
> > S'il manque des informations ou des question n'hesitez pas
> >
> > Merci
> >
> > Herve
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
> --
>
>
> / ::1  Hugo SIMANCAS
> Directeur Technique Associé
> https://www.data-expertise.com [https://www.data-expertise.com/]
> Support technique : 09 78 23 20 29
> Standard : 05 34 26 02 46 | Ligne directe : 05 34 25 50 57
> Mobile : 06 95 44 29 64
> !Utilisez notre plateforme visio libre & gratuite :
> https://conf.data-expertise.com/ [https://conf.data-expertise.com/]
> !Pad collaboratif libre & gratuit sécurisé https://pad.data-expertise.com/
> [https://pad.data-expertise.com/]
>
> Les informations contenues dans ce courrier électronique sont
> confidentielles et protégées par le secret professionnel. En tout état de
> cause, elles ne sont destinées qu'à la personne ou entreprise dont le nom
> est mentionné ci-dessus. Veuillez aviser l'expéditeur de toute difficulté
> ou de toute erreur dans la transmission de ce document. Si vous n'êtes pas
> le destinataire du présent courrier, vous n'êtes pas autorisé, sous peine
> de poursuites à en prendre des copies, le divulguer ou le diffuser. La
> présence de cette note prouve également que ce message électronique a été
> vérifié par un logiciel anti-virus.
>
>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread David Ponzone

C’est à 95% le grand classique:

Le subnet sur lequel tu es pour te connecter à Internet (box perso, etc….) est 
en 192.168.X.0 (généralement 192.168.1.0/24) comme le subnet B.
Donc tu pourras jamais l’atteindre.

Le plus propre c’est de renuméroter ton subnet B, et de bannir l’usage en 
interne au moins de 192.168.0.0/24, 192.168.1.0/24 et 192.168.254.0/24.

> Le 26 sept. 2022 à 15:40, Dang Herve  a écrit :
> 
> Bonjour
> 
> J'ai une petite question reseau vpn/route
> 
> J'accède à un réseau privé par VPN(internet) la communication avec les
> machines de ce réseau(A) passe bien mais l'une de ces machines a accès à un
> autre réseau(B) j'ai configurer les ordinateurs pour accéder à B depuis A
> pas de problème mais quand je passe par le vpn cela ne marche pas.
> 
> Une idée de ce que je fais par correctement ou j'oublie de faire?
> 
> j'ai fais un petit schéma au besoin
> 
> 
> S'il manque des informations ou des question n'hesitez pas
> 
> Merci
> 
> Herve
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Dang Herve

tun


On Mon, Sep 26, 2022 at 9:58 AM Daniel via frnog  wrote:

>
> Le 26/09/2022 à 15:54, Dang Herve a écrit :
> > désolé j'oublie le principal: openvpn pour le vpn,
> tun ou tap ?
> >   ubuntu pour les OS
> > serveurs  iptable pour le routing  avec maquerade et forward
> >
> > Pour les clients je fais mes test sur debian mais j'aimerai que cela
> marche
> > avec windows aussi
> Ca marche avec Windows. Tu peux faire un tcpdump su le réseau b (si tu
> as accès) afin de vérifier que tes requêtes arrivent
> > On Mon, Sep 26, 2022 at 9:50 AM Daniel via frnog 
> wrote:
> >
> >> Bonjour
> >>
> >> Le 26/09/2022 à 15:40, Dang Herve a écrit :
> >>> Bonjour
> >>>
> >>> J'ai une petite question reseau vpn/route
> >>>
> >>> J'accède à un réseau privé par VPN(internet) la communication avec les
> >>> machines de ce réseau(A) passe bien mais l'une de ces machines a accès
> à
> >> un
> >>> autre réseau(B) j'ai configurer les ordinateurs pour accéder à B
> depuis A
> >>> pas de problème mais quand je passe par le vpn cela ne marche pas.
> >>>
> >>> Une idée de ce que je fais par correctement ou j'oublie de faire?
> >> Si on savait quels logiciels sont utilisés et l'OS/la techno/...
> >>
> >> Je fais cela avec wireguard (1er accès) puis accès aux autres site
> >> OpenVPN/TAP ou wireguard, pas de soucis.
> >>
> >> Cela peut aussi être Problème pare-feu si ton IP de connexion au site
> >> n'est pas autorisée.
> >>
> --
> Danie
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Dang Herve

ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé
subnet en 192.168.42

On Mon, Sep 26, 2022 at 10:05 AM David Ponzone 
wrote:

> C’est à 95% le grand classique:
>
> Le subnet sur lequel tu es pour te connecter à Internet (box perso, etc….)
> est en 192.168.X.0 (généralement 192.168.1.0/24) comme le subnet B.
> Donc tu pourras jamais l’atteindre.
>
> Le plus propre c’est de renuméroter ton subnet B, et de bannir l’usage en
> interne au moins de 192.168.0.0/24, 192.168.1.0/24 et 192.168.254.0/24.
>
> > Le 26 sept. 2022 à 15:40, Dang Herve  a écrit :
> >
> > Bonjour
> >
> > J'ai une petite question reseau vpn/route
> >
> > J'accède à un réseau privé par VPN(internet) la communication avec les
> > machines de ce réseau(A) passe bien mais l'une de ces machines a accès à
> un
> > autre réseau(B) j'ai configurer les ordinateurs pour accéder à B depuis A
> > pas de problème mais quand je passe par le vpn cela ne marche pas.
> >
> > Une idée de ce que je fais par correctement ou j'oublie de faire?
> >
> > j'ai fais un petit schéma au besoin
> > <
> https://viewer.diagrams.net/?tags=%7B%7D&highlight=ff&edit=_blank&layers=1&nav=1&title=route.drawio#Uhttps%3A%2F%2Fdrive.google.com%2Fuc%3Fid%3D1plJCkAyHWOCRziQLDZNYoyuO4pQGtjtD%26export%3Ddownload
> >
> >
> > S'il manque des informations ou des question n'hesitez pas
> >
> > Merci
> >
> > Herve
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread David Ponzone

Ah chouette, un cas rigolo :)

Et les PC du subnet B, ils ont bien une route vers les IP que tu attribues à 
tes utilisateurs VPN (ou une route par défaut) vers le PC qui sert de routeur 
entre les 2 ?


> Le 26 sept. 2022 à 16:07, Dang Herve  a écrit :
> 
> ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé  subnet 
> en 192.168.42 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Dang Herve

route par défaut sur la machine par B je fais du NAT/Masquerade

On Mon, Sep 26, 2022 at 10:15 AM David Ponzone 
wrote:

> Ah chouette, un cas rigolo :)
>
> Et les PC du subnet B, ils ont bien une route vers les IP que tu attribues
> à tes utilisateurs VPN (ou une route par défaut) vers le PC qui sert de
> routeur entre les 2 ?
>
>
> > Le 26 sept. 2022 à 16:07, Dang Herve  a écrit :
> >
> > ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé
> subnet en 192.168.42
> >
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread David Ponzone

Le PC fait du NAT sur les IP de B ou c’est le routeur principal qui fait du NAT 
pour tout le monde ?

Si c’est le PC, c’est dans tous les cas ou seulement quand ça part vers default 
?

Pour aller plus loin, faut juste prendre des traces un peu partout (sur les 2 
eth, du PC qui est sur A et B, ça devrait déjà t’en dire pas mal) pour 
comprendre:

-fais un ping depuis le VPN
-prends une trace sur le PC/eth A, vérifie que l’ICMP entre (tshark -i eth0 -f 
‘icmp')
-prends une trace sur le PC/ethB, vérifie que l’ICMP sort avec IP source/dest 
inchangées, auquel cas tu dois voir le reply aussi
-vérifie à nouveau sur PC/eth A si tu vois ce reply avec son IP src qui aurait 
été natée par exemple. Ou peut-être que tu dois pas du tout le reply (auquel 
cas le PC filtre ou son kernel n’a pas l’IP forwarding activé, ou etc…)

> Le 26 sept. 2022 à 16:17, Dang Herve  a écrit :
> 
> route par défaut sur la machine par B je fais du NAT/Masquerade 
> 
> On Mon, Sep 26, 2022 at 10:15 AM David Ponzone  > wrote:
> Ah chouette, un cas rigolo :)
> 
> Et les PC du subnet B, ils ont bien une route vers les IP que tu attribues à 
> tes utilisateurs VPN (ou une route par défaut) vers le PC qui sert de routeur 
> entre les 2 ?
> 
> 
> > Le 26 sept. 2022 à 16:07, Dang Herve  > > a écrit :
> > 
> > ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé  
> > subnet en 192.168.42 
> > 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread David Ponzone

Euh, je viens de remarquer que ta réponse ne veut rien dire :)

De notre point de vue (d’après les infos que tu as données), B n’a pas d’autre 
exit que par A.
Si B a une autre sortie, je vois pas comment tu peux imaginer que ça puisse 
marcher, puisque les réponses vont partir par là…

On est au stade où va falloir envoyer un schéma plus détaillé avec les confs 
(pas complètes, juste les trucs de base).

> Le 26 sept. 2022 à 16:17, Dang Herve  a écrit :
> 
> route par défaut sur la machine par B je fais du NAT/Masquerade 
> 
> On Mon, Sep 26, 2022 at 10:15 AM David Ponzone  > wrote:
> Ah chouette, un cas rigolo :)
> 
> Et les PC du subnet B, ils ont bien une route vers les IP que tu attribues à 
> tes utilisateurs VPN (ou une route par défaut) vers le PC qui sert de routeur 
> entre les 2 ?
> 
> 
> > Le 26 sept. 2022 à 16:07, Dang Herve  > > a écrit :
> > 
> > ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé  
> > subnet en 192.168.42 
> > 
> 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Dang Herve

les 2 nat pour le VPN pour accéder au réseau A et nat sur la machine qui
est sur le 2 réseaux

Merci je vais regarder les traces voir ci cela m'aide à comprendre ce qui
ne vas pas


On Mon, Sep 26, 2022 at 10:27 AM David Ponzone 
wrote:

> Le PC fait du NAT sur les IP de B ou c’est le routeur principal qui fait
> du NAT pour tout le monde ?
>
> Si c’est le PC, c’est dans tous les cas ou seulement quand ça part vers
> default ?
>
> Pour aller plus loin, faut juste prendre des traces un peu partout (sur
> les 2 eth, du PC qui est sur A et B, ça devrait déjà t’en dire pas mal)
> pour comprendre:
>
> -fais un ping depuis le VPN
> -prends une trace sur le PC/eth A, vérifie que l’ICMP entre (tshark -i
> eth0 -f ‘icmp')
> -prends une trace sur le PC/ethB, vérifie que l’ICMP sort avec IP
> source/dest inchangées, auquel cas tu dois voir le reply aussi
> -vérifie à nouveau sur PC/eth A si tu vois ce reply avec son IP src qui
> aurait été natée par exemple. Ou peut-être que tu dois pas du tout le reply
> (auquel cas le PC filtre ou son kernel n’a pas l’IP forwarding activé, ou
> etc…)
>
> Le 26 sept. 2022 à 16:17, Dang Herve  a écrit :
>
> route par défaut sur la machine par B je fais du NAT/Masquerade
>
> On Mon, Sep 26, 2022 at 10:15 AM David Ponzone 
> wrote:
>
>> Ah chouette, un cas rigolo :)
>>
>> Et les PC du subnet B, ils ont bien une route vers les IP que tu
>> attribues à tes utilisateurs VPN (ou une route par défaut) vers le PC qui
>> sert de routeur entre les 2 ?
>>
>>
>> > Le 26 sept. 2022 à 16:07, Dang Herve  a écrit :
>> >
>> > ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé
>> subnet en 192.168.42
>> >
>>
>>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Dang Herve

ok je regarde ce que je peux rajouter sur le schémas et rajouter les conf

On Mon, Sep 26, 2022 at 10:29 AM David Ponzone 
wrote:

> Euh, je viens de remarquer que ta réponse ne veut rien dire :)
>
> De notre point de vue (d’après les infos que tu as données), B n’a pas
> d’autre exit que par A.
> Si B a une autre sortie, je vois pas comment tu peux imaginer que ça
> puisse marcher, puisque les réponses vont partir par là…
>
> On est au stade où va falloir envoyer un schéma plus détaillé avec les
> confs (pas complètes, juste les trucs de base).
>
> Le 26 sept. 2022 à 16:17, Dang Herve  a écrit :
>
> route par défaut sur la machine par B je fais du NAT/Masquerade
>
> On Mon, Sep 26, 2022 at 10:15 AM David Ponzone 
> wrote:
>
>> Ah chouette, un cas rigolo :)
>>
>> Et les PC du subnet B, ils ont bien une route vers les IP que tu
>> attribues à tes utilisateurs VPN (ou une route par défaut) vers le PC qui
>> sert de routeur entre les 2 ?
>>
>>
>> > Le 26 sept. 2022 à 16:07, Dang Herve  a écrit :
>> >
>> > ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé
>> subnet en 192.168.42
>> >
>>
>>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread David Ponzone

A la vue de cette nouvelle réponse, je pense qu’il est temps que tu donnes plus 
d’info :)

Généralement, on fait un accès VPN, entre autres, pour limiter les NAT à 
traverser pour atteindre la cible, donc avoir une connectivité IP directe vers 
le machine cible.
Là, tu sous-entends que tu utilises le NAT pour permettre au VPN d’accéder à 
A...

> Le 26 sept. 2022 à 16:31, Dang Herve  a écrit :
> 
> les 2 nat pour le VPN pour accéder au réseau A et nat sur la machine qui est 
> sur le 2 réseaux
> 
> Merci je vais regarder les traces voir ci cela m'aide à comprendre ce qui ne 
> vas pas
> 
> 
> On Mon, Sep 26, 2022 at 10:27 AM David Ponzone  > wrote:
> Le PC fait du NAT sur les IP de B ou c’est le routeur principal qui fait du 
> NAT pour tout le monde ?
> 
> Si c’est le PC, c’est dans tous les cas ou seulement quand ça part vers 
> default ?
> 
> Pour aller plus loin, faut juste prendre des traces un peu partout (sur les 2 
> eth, du PC qui est sur A et B, ça devrait déjà t’en dire pas mal) pour 
> comprendre:
> 
> -fais un ping depuis le VPN
> -prends une trace sur le PC/eth A, vérifie que l’ICMP entre (tshark -i eth0 
> -f ‘icmp')
> -prends une trace sur le PC/ethB, vérifie que l’ICMP sort avec IP source/dest 
> inchangées, auquel cas tu dois voir le reply aussi
> -vérifie à nouveau sur PC/eth A si tu vois ce reply avec son IP src qui 
> aurait été natée par exemple. Ou peut-être que tu dois pas du tout le reply 
> (auquel cas le PC filtre ou son kernel n’a pas l’IP forwarding activé, ou 
> etc…)
> 
>> Le 26 sept. 2022 à 16:17, Dang Herve > > a écrit :
>> 
>> route par défaut sur la machine par B je fais du NAT/Masquerade 
>> 
>> On Mon, Sep 26, 2022 at 10:15 AM David Ponzone > > wrote:
>> Ah chouette, un cas rigolo :)
>> 
>> Et les PC du subnet B, ils ont bien une route vers les IP que tu attribues à 
>> tes utilisateurs VPN (ou une route par défaut) vers le PC qui sert de 
>> routeur entre les 2 ?
>> 
>> 
>> > Le 26 sept. 2022 à 16:07, Dang Herve > > > a écrit :
>> > 
>> > ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé  
>> > subnet en 192.168.42 
>> > 
>> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Dang Herve

réseau A en 10.0.0.0/16 une machine dedans avec un openvpn pour un nat pour
accéder au autres machine de A
réseau B en 192.168.42/24 avec une machine qui est sur A et B qui fait du
nat pour que les machines de A qui connaissent la route puisse accéder à B

Donc cela marche depuis A quand je configure la route ( 192.168.42.0/24 vi
la machine au 2 interface)

Sur le vpn la route pour 10.0.0.0/16 est poussé par la configuration du
serveur je rajoute la route 192.168.42/24 comme je le fais précedement sur
une machine de A mais cela ne marche pas


point de vue configuration des routes:
machine client: ip r a192.168.42.0/24 via 10.0.0.33

sur la machine au 2 interface:
forward par iptable sur les 2 interfaces
iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j
ACCEPT
nat sur le réseau A
iptables -t nat -A  POSTROUTING  -s 10.0.0.1/15 -o eth0 -j MASQUERADE

Et je fais la meme chose sur la machine du vpn pour que le nat marche

est-ce que je fais bien le tout correctement ? ou est ce qu'il y a une
meilleure façon de faire?

En espérant cette fois avoir donner tout les informations nécessaires

Merci pour ton temps David dans tous les cas

Herve





On Mon, Sep 26, 2022 at 11:12 AM David Ponzone 
wrote:

> A la vue de cette nouvelle réponse, je pense qu’il est temps que tu donnes
> plus d’info :)
>
> Généralement, on fait un accès VPN, entre autres, pour limiter les NAT à
> traverser pour atteindre la cible, donc avoir une connectivité IP directe
> vers le machine cible.
> Là, tu sous-entends que tu utilises le NAT pour permettre au VPN d’accéder
> à A...
>
> Le 26 sept. 2022 à 16:31, Dang Herve  a écrit :
>
> les 2 nat pour le VPN pour accéder au réseau A et nat sur la machine qui
> est sur le 2 réseaux
>
> Merci je vais regarder les traces voir ci cela m'aide à comprendre ce qui
> ne vas pas
>
>
> On Mon, Sep 26, 2022 at 10:27 AM David Ponzone 
> wrote:
>
>> Le PC fait du NAT sur les IP de B ou c’est le routeur principal qui fait
>> du NAT pour tout le monde ?
>>
>> Si c’est le PC, c’est dans tous les cas ou seulement quand ça part vers
>> default ?
>>
>> Pour aller plus loin, faut juste prendre des traces un peu partout (sur
>> les 2 eth, du PC qui est sur A et B, ça devrait déjà t’en dire pas mal)
>> pour comprendre:
>>
>> -fais un ping depuis le VPN
>> -prends une trace sur le PC/eth A, vérifie que l’ICMP entre (tshark -i
>> eth0 -f ‘icmp')
>> -prends une trace sur le PC/ethB, vérifie que l’ICMP sort avec IP
>> source/dest inchangées, auquel cas tu dois voir le reply aussi
>> -vérifie à nouveau sur PC/eth A si tu vois ce reply avec son IP src qui
>> aurait été natée par exemple. Ou peut-être que tu dois pas du tout le reply
>> (auquel cas le PC filtre ou son kernel n’a pas l’IP forwarding activé, ou
>> etc…)
>>
>> Le 26 sept. 2022 à 16:17, Dang Herve  a écrit :
>>
>> route par défaut sur la machine par B je fais du NAT/Masquerade
>>
>> On Mon, Sep 26, 2022 at 10:15 AM David Ponzone 
>> wrote:
>>
>>> Ah chouette, un cas rigolo :)
>>>
>>> Et les PC du subnet B, ils ont bien une route vers les IP que tu
>>> attribues à tes utilisateurs VPN (ou une route par défaut) vers le PC qui
>>> sert de routeur entre les 2 ?
>>>
>>>
>>> > Le 26 sept. 2022 à 16:07, Dang Herve  a écrit :
>>> >
>>> > ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé
>>> subnet en 192.168.42
>>> >
>>>
>>>
>>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Daniel via frnog

eth0 et eth1 ne sont pas des interfaces tun ou tap openvpn. Tu utilises 
tap je suppose...


Le 26/09/2022 à 17:33, Dang Herve a écrit :

réseau A en 10.0.0.0/16 une machine dedans avec un openvpn pour un nat pour
accéder au autres machine de A
réseau B en 192.168.42/24 avec une machine qui est sur A et B qui fait du
nat pour que les machines de A qui connaissent la route puisse accéder à B

Donc cela marche depuis A quand je configure la route ( 192.168.42.0/24 vi
la machine au 2 interface)

Sur le vpn la route pour 10.0.0.0/16 est poussé par la configuration du
serveur je rajoute la route 192.168.42/24 comme je le fais précedement sur
une machine de A mais cela ne marche pas


point de vue configuration des routes:
machine client: ip r a192.168.42.0/24 via 10.0.0.33

sur la machine au 2 interface:
forward par iptable sur les 2 interfaces
iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j
ACCEPT
nat sur le réseau A
iptables -t nat -A  POSTROUTING  -s 10.0.0.1/15 -o eth0 -j MASQUERADE

Et je fais la meme chose sur la machine du vpn pour que le nat marche

est-ce que je fais bien le tout correctement ? ou est ce qu'il y a une
meilleure façon de faire?

En espérant cette fois avoir donner tout les informations nécessaires

Merci pour ton temps David dans tous les cas

Herve





On Mon, Sep 26, 2022 at 11:12 AM David Ponzone 
wrote:


A la vue de cette nouvelle réponse, je pense qu’il est temps que tu donnes
plus d’info :)

Généralement, on fait un accès VPN, entre autres, pour limiter les NAT à
traverser pour atteindre la cible, donc avoir une connectivité IP directe
vers le machine cible.
Là, tu sous-entends que tu utilises le NAT pour permettre au VPN d’accéder
à A...

Le 26 sept. 2022 à 16:31, Dang Herve  a écrit :

les 2 nat pour le VPN pour accéder au réseau A et nat sur la machine qui
est sur le 2 réseaux

Merci je vais regarder les traces voir ci cela m'aide à comprendre ce qui
ne vas pas


On Mon, Sep 26, 2022 at 10:27 AM David Ponzone 
wrote:


Le PC fait du NAT sur les IP de B ou c’est le routeur principal qui fait
du NAT pour tout le monde ?

Si c’est le PC, c’est dans tous les cas ou seulement quand ça part vers
default ?

Pour aller plus loin, faut juste prendre des traces un peu partout (sur
les 2 eth, du PC qui est sur A et B, ça devrait déjà t’en dire pas mal)
pour comprendre:

-fais un ping depuis le VPN
-prends une trace sur le PC/eth A, vérifie que l’ICMP entre (tshark -i
eth0 -f ‘icmp')
-prends une trace sur le PC/ethB, vérifie que l’ICMP sort avec IP
source/dest inchangées, auquel cas tu dois voir le reply aussi
-vérifie à nouveau sur PC/eth A si tu vois ce reply avec son IP src qui
aurait été natée par exemple. Ou peut-être que tu dois pas du tout le reply
(auquel cas le PC filtre ou son kernel n’a pas l’IP forwarding activé, ou
etc…)

Le 26 sept. 2022 à 16:17, Dang Herve  a écrit :

route par défaut sur la machine par B je fais du NAT/Masquerade

On Mon, Sep 26, 2022 at 10:15 AM David Ponzone 
wrote:


Ah chouette, un cas rigolo :)

Et les PC du subnet B, ils ont bien une route vers les IP que tu
attribues à tes utilisateurs VPN (ou une route par défaut) vers le PC qui
sert de routeur entre les 2 ?



Le 26 sept. 2022 à 16:07, Dang Herve  a écrit :

ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé

subnet en 192.168.42


--
Daniel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Daniel via frnog


Oublie le tap, je n'avais pas vu ta réponse

Le 26/09/2022 à 17:54, Daniel a écrit :
eth0 et eth1 ne sont pas des interfaces tun ou tap openvpn. Tu utilises 
tap je suppose...


Le 26/09/2022 à 17:33, Dang Herve a écrit :
réseau A en 10.0.0.0/16 une machine dedans avec un openvpn pour un nat 
pour

accéder au autres machine de A
réseau B en 192.168.42/24 avec une machine qui est sur A et B qui fait du
nat pour que les machines de A qui connaissent la route puisse accéder 
à B


Donc cela marche depuis A quand je configure la route ( 
192.168.42.0/24 vi

la machine au 2 interface)

Sur le vpn la route pour 10.0.0.0/16 est poussé par la configuration du
serveur je rajoute la route 192.168.42/24 comme je le fais précedement 
sur

une machine de A mais cela ne marche pas


point de vue configuration des routes:
machine client: ip r a192.168.42.0/24 via 10.0.0.33

sur la machine au 2 interface:
forward par iptable sur les 2 interfaces
iptables -A FORWARD -i eth1 -o eth0 -m state --state 
RELATED,ESTABLISHED -j

ACCEPT
nat sur le réseau A
iptables -t nat -A  POSTROUTING  -s 10.0.0.1/15 -o eth0 -j MASQUERADE

Et je fais la meme chose sur la machine du vpn pour que le nat marche

est-ce que je fais bien le tout correctement ? ou est ce qu'il y a une
meilleure façon de faire?

En espérant cette fois avoir donner tout les informations nécessaires

Merci pour ton temps David dans tous les cas

Herve





On Mon, Sep 26, 2022 at 11:12 AM David Ponzone 
wrote:

A la vue de cette nouvelle réponse, je pense qu’il est temps que tu 
donnes

plus d’info :)

Généralement, on fait un accès VPN, entre autres, pour limiter les NAT à
traverser pour atteindre la cible, donc avoir une connectivité IP 
directe

vers le machine cible.
Là, tu sous-entends que tu utilises le NAT pour permettre au VPN 
d’accéder

à A...

Le 26 sept. 2022 à 16:31, Dang Herve  a écrit :

les 2 nat pour le VPN pour accéder au réseau A et nat sur la machine qui
est sur le 2 réseaux

Merci je vais regarder les traces voir ci cela m'aide à comprendre ce 
qui

ne vas pas


On Mon, Sep 26, 2022 at 10:27 AM David Ponzone 
wrote:

Le PC fait du NAT sur les IP de B ou c’est le routeur principal qui 
fait

du NAT pour tout le monde ?

Si c’est le PC, c’est dans tous les cas ou seulement quand ça part vers
default ?

Pour aller plus loin, faut juste prendre des traces un peu partout (sur
les 2 eth, du PC qui est sur A et B, ça devrait déjà t’en dire pas mal)
pour comprendre:

-fais un ping depuis le VPN
-prends une trace sur le PC/eth A, vérifie que l’ICMP entre (tshark -i
eth0 -f ‘icmp')
-prends une trace sur le PC/ethB, vérifie que l’ICMP sort avec IP
source/dest inchangées, auquel cas tu dois voir le reply aussi
-vérifie à nouveau sur PC/eth A si tu vois ce reply avec son IP src qui
aurait été natée par exemple. Ou peut-être que tu dois pas du tout 
le reply
(auquel cas le PC filtre ou son kernel n’a pas l’IP forwarding 
activé, ou

etc…)

Le 26 sept. 2022 à 16:17, Dang Herve  a écrit :

route par défaut sur la machine par B je fais du NAT/Masquerade

On Mon, Sep 26, 2022 at 10:15 AM David Ponzone 


wrote:


Ah chouette, un cas rigolo :)

Et les PC du subnet B, ils ont bien une route vers les IP que tu
attribues à tes utilisateurs VPN (ou une route par défaut) vers le 
PC qui

sert de routeur entre les 2 ?



Le 26 sept. 2022 à 16:07, Dang Herve  a écrit :

ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé

subnet en 192.168.42



--
Daniel Huhardeaux
+33.368460...@tootai.net  sip:8...@sip.tootai.net
+41.445532...@swiss-itech.chtootaiNET


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Adrien Rivas

Bonjour,

Donc tu nattes ton VPN quand tu sors de la machine A c'est bien ça ?

Ensuite quand tu dis "Sur le vpn la route pour 10.0.0.0/16 est poussé par
la configuration du
serveur je rajoute la route 192.168.42/24 comme je le fais précedement sur
une machine de A mais cela ne marche pas" tu pousses la deuxième route via
le serveur openVPN ou en manuel sur ton poste client vpn ?

Si c'est le deuxième cas ya des chances que ça marche pas à cause des
réseaux autorisés au sein du vpn (je suppose que tu fais du split tunneling
si tu déclares tes routes).

Le lun. 26 sept. 2022 à 17:34, Dang Herve  a écrit :

> réseau A en 10.0.0.0/16 une machine dedans avec un openvpn pour un nat
> pour
> accéder au autres machine de A
> réseau B en 192.168.42/24 avec une machine qui est sur A et B qui fait du
> nat pour que les machines de A qui connaissent la route puisse accéder à B
>
> Donc cela marche depuis A quand je configure la route ( 192.168.42.0/24 vi
> la machine au 2 interface)
>
> Sur le vpn la route pour 10.0.0.0/16 est poussé par la configuration du
> serveur je rajoute la route 192.168.42/24 comme je le fais précedement sur
> une machine de A mais cela ne marche pas
>
>
> point de vue configuration des routes:
> machine client: ip r a192.168.42.0/24 via 10.0.0.33
>
> sur la machine au 2 interface:
> forward par iptable sur les 2 interfaces
> iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j
> ACCEPT
> nat sur le réseau A
> iptables -t nat -A  POSTROUTING  -s 10.0.0.1/15 -o eth0 -j MASQUERADE
>
> Et je fais la meme chose sur la machine du vpn pour que le nat marche
>
> est-ce que je fais bien le tout correctement ? ou est ce qu'il y a une
> meilleure façon de faire?
>
> En espérant cette fois avoir donner tout les informations nécessaires
>
> Merci pour ton temps David dans tous les cas
>
> Herve
>
>
>
>
>
> On Mon, Sep 26, 2022 at 11:12 AM David Ponzone 
> wrote:
>
> > A la vue de cette nouvelle réponse, je pense qu’il est temps que tu
> donnes
> > plus d’info :)
> >
> > Généralement, on fait un accès VPN, entre autres, pour limiter les NAT à
> > traverser pour atteindre la cible, donc avoir une connectivité IP directe
> > vers le machine cible.
> > Là, tu sous-entends que tu utilises le NAT pour permettre au VPN
> d’accéder
> > à A...
> >
> > Le 26 sept. 2022 à 16:31, Dang Herve  a écrit :
> >
> > les 2 nat pour le VPN pour accéder au réseau A et nat sur la machine qui
> > est sur le 2 réseaux
> >
> > Merci je vais regarder les traces voir ci cela m'aide à comprendre ce qui
> > ne vas pas
> >
> >
> > On Mon, Sep 26, 2022 at 10:27 AM David Ponzone 
> > wrote:
> >
> >> Le PC fait du NAT sur les IP de B ou c’est le routeur principal qui fait
> >> du NAT pour tout le monde ?
> >>
> >> Si c’est le PC, c’est dans tous les cas ou seulement quand ça part vers
> >> default ?
> >>
> >> Pour aller plus loin, faut juste prendre des traces un peu partout (sur
> >> les 2 eth, du PC qui est sur A et B, ça devrait déjà t’en dire pas mal)
> >> pour comprendre:
> >>
> >> -fais un ping depuis le VPN
> >> -prends une trace sur le PC/eth A, vérifie que l’ICMP entre (tshark -i
> >> eth0 -f ‘icmp')
> >> -prends une trace sur le PC/ethB, vérifie que l’ICMP sort avec IP
> >> source/dest inchangées, auquel cas tu dois voir le reply aussi
> >> -vérifie à nouveau sur PC/eth A si tu vois ce reply avec son IP src qui
> >> aurait été natée par exemple. Ou peut-être que tu dois pas du tout le
> reply
> >> (auquel cas le PC filtre ou son kernel n’a pas l’IP forwarding activé,
> ou
> >> etc…)
> >>
> >> Le 26 sept. 2022 à 16:17, Dang Herve  a écrit :
> >>
> >> route par défaut sur la machine par B je fais du NAT/Masquerade
> >>
> >> On Mon, Sep 26, 2022 at 10:15 AM David Ponzone  >
> >> wrote:
> >>
> >>> Ah chouette, un cas rigolo :)
> >>>
> >>> Et les PC du subnet B, ils ont bien une route vers les IP que tu
> >>> attribues à tes utilisateurs VPN (ou une route par défaut) vers le PC
> qui
> >>> sert de routeur entre les 2 ?
> >>>
> >>>
> >>> > Le 26 sept. 2022 à 16:07, Dang Herve  a écrit :
> >>> >
> >>> > ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé
> >>> subnet en 192.168.42
> >>> >
> >>>
> >>>
> >>
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Dang Herve

parametre par defaut (net30) actuellement

On Mon, Sep 26, 2022 at 11:53 AM Pavel Polyakov 
wrote:

> Dang Herve  wrote:
>
> > tun
>
> topology mode? net30/subnet?
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Dang Herve

effectivement ce n'est que pour la machine sur les 2 réseaux pour celle sur
le vpn je fais par ip

On Mon, Sep 26, 2022 at 11:55 AM Daniel via frnog  wrote:

> eth0 et eth1 ne sont pas des interfaces tun ou tap openvpn. Tu utilises
> tap je suppose...
>
> Le 26/09/2022 à 17:33, Dang Herve a écrit :
> > réseau A en 10.0.0.0/16 une machine dedans avec un openvpn pour un nat
> pour
> > accéder au autres machine de A
> > réseau B en 192.168.42/24 avec une machine qui est sur A et B qui fait du
> > nat pour que les machines de A qui connaissent la route puisse accéder à
> B
> >
> > Donc cela marche depuis A quand je configure la route ( 192.168.42.0/24
> vi
> > la machine au 2 interface)
> >
> > Sur le vpn la route pour 10.0.0.0/16 est poussé par la configuration du
> > serveur je rajoute la route 192.168.42/24 comme je le fais précedement
> sur
> > une machine de A mais cela ne marche pas
> >
> >
> > point de vue configuration des routes:
> > machine client: ip r a192.168.42.0/24 via 10.0.0.33
> >
> > sur la machine au 2 interface:
> > forward par iptable sur les 2 interfaces
> > iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED
> -j
> > ACCEPT
> > nat sur le réseau A
> > iptables -t nat -A  POSTROUTING  -s 10.0.0.1/15 -o eth0 -j MASQUERADE
> >
> > Et je fais la meme chose sur la machine du vpn pour que le nat marche
> >
> > est-ce que je fais bien le tout correctement ? ou est ce qu'il y a une
> > meilleure façon de faire?
> >
> > En espérant cette fois avoir donner tout les informations nécessaires
> >
> > Merci pour ton temps David dans tous les cas
> >
> > Herve
> >
> >
> >
> >
> >
> > On Mon, Sep 26, 2022 at 11:12 AM David Ponzone 
> > wrote:
> >
> >> A la vue de cette nouvelle réponse, je pense qu’il est temps que tu
> donnes
> >> plus d’info :)
> >>
> >> Généralement, on fait un accès VPN, entre autres, pour limiter les NAT à
> >> traverser pour atteindre la cible, donc avoir une connectivité IP
> directe
> >> vers le machine cible.
> >> Là, tu sous-entends que tu utilises le NAT pour permettre au VPN
> d’accéder
> >> à A...
> >>
> >> Le 26 sept. 2022 à 16:31, Dang Herve  a écrit :
> >>
> >> les 2 nat pour le VPN pour accéder au réseau A et nat sur la machine qui
> >> est sur le 2 réseaux
> >>
> >> Merci je vais regarder les traces voir ci cela m'aide à comprendre ce
> qui
> >> ne vas pas
> >>
> >>
> >> On Mon, Sep 26, 2022 at 10:27 AM David Ponzone  >
> >> wrote:
> >>
> >>> Le PC fait du NAT sur les IP de B ou c’est le routeur principal qui
> fait
> >>> du NAT pour tout le monde ?
> >>>
> >>> Si c’est le PC, c’est dans tous les cas ou seulement quand ça part vers
> >>> default ?
> >>>
> >>> Pour aller plus loin, faut juste prendre des traces un peu partout (sur
> >>> les 2 eth, du PC qui est sur A et B, ça devrait déjà t’en dire pas mal)
> >>> pour comprendre:
> >>>
> >>> -fais un ping depuis le VPN
> >>> -prends une trace sur le PC/eth A, vérifie que l’ICMP entre (tshark -i
> >>> eth0 -f ‘icmp')
> >>> -prends une trace sur le PC/ethB, vérifie que l’ICMP sort avec IP
> >>> source/dest inchangées, auquel cas tu dois voir le reply aussi
> >>> -vérifie à nouveau sur PC/eth A si tu vois ce reply avec son IP src qui
> >>> aurait été natée par exemple. Ou peut-être que tu dois pas du tout le
> reply
> >>> (auquel cas le PC filtre ou son kernel n’a pas l’IP forwarding activé,
> ou
> >>> etc…)
> >>>
> >>> Le 26 sept. 2022 à 16:17, Dang Herve  a écrit :
> >>>
> >>> route par défaut sur la machine par B je fais du NAT/Masquerade
> >>>
> >>> On Mon, Sep 26, 2022 at 10:15 AM David Ponzone <
> david.ponz...@gmail.com>
> >>> wrote:
> >>>
>  Ah chouette, un cas rigolo :)
> 
>  Et les PC du subnet B, ils ont bien une route vers les IP que tu
>  attribues à tes utilisateurs VPN (ou une route par défaut) vers le PC
> qui
>  sert de routeur entre les 2 ?
> 
> 
> > Le 26 sept. 2022 à 16:07, Dang Herve  a écrit :
> >
> > ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé
>  subnet en 192.168.42
> 
> --
> Daniel
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Pavel Polyakov

Pavel Polyakov  wrote:

> Sur la machine qui fait serveur, tu fais proxy arp :
> 
>  ip neigh add proxy 10.0.0.100 dev eth0

Et j'avais oublié :

Tu routes 10.0.0.100/32 au client :

 ip route add 10.0.0.100/32 dev tun0


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Dang Herve

oui le 10.0.0.0/16 est poussé par le vpn le 192.168.42.0 est manuel sur la
machine client donc ce serait le vpn qui bloquerait le traffic
 de ce que je comprends

On Mon, Sep 26, 2022 at 12:01 PM Adrien Rivas  wrote:

> Bonjour,
>
> Donc tu nattes ton VPN quand tu sors de la machine A c'est bien ça ?
>
> Ensuite quand tu dis "Sur le vpn la route pour 10.0.0.0/16 est poussé par
> la configuration du
> serveur je rajoute la route 192.168.42/24 comme je le fais précedement sur
> une machine de A mais cela ne marche pas" tu pousses la deuxième route via
> le serveur openVPN ou en manuel sur ton poste client vpn ?
>
> Si c'est le deuxième cas ya des chances que ça marche pas à cause des
> réseaux autorisés au sein du vpn (je suppose que tu fais du split tunneling
> si tu déclares tes routes).
>
> Le lun. 26 sept. 2022 à 17:34, Dang Herve  a écrit :
>
>> réseau A en 10.0.0.0/16 une machine dedans avec un openvpn pour un nat
>> pour
>> accéder au autres machine de A
>> réseau B en 192.168.42/24 avec une machine qui est sur A et B qui fait du
>> nat pour que les machines de A qui connaissent la route puisse accéder à B
>>
>> Donc cela marche depuis A quand je configure la route ( 192.168.42.0/24
>> vi
>> la machine au 2 interface)
>>
>> Sur le vpn la route pour 10.0.0.0/16 est poussé par la configuration du
>> serveur je rajoute la route 192.168.42/24 comme je le fais précedement sur
>> une machine de A mais cela ne marche pas
>>
>>
>> point de vue configuration des routes:
>> machine client: ip r a192.168.42.0/24 via 10.0.0.33
>>
>> sur la machine au 2 interface:
>> forward par iptable sur les 2 interfaces
>> iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED
>> -j
>> ACCEPT
>> nat sur le réseau A
>> iptables -t nat -A  POSTROUTING  -s 10.0.0.1/15 -o eth0 -j MASQUERADE
>>
>> Et je fais la meme chose sur la machine du vpn pour que le nat marche
>>
>> est-ce que je fais bien le tout correctement ? ou est ce qu'il y a une
>> meilleure façon de faire?
>>
>> En espérant cette fois avoir donner tout les informations nécessaires
>>
>> Merci pour ton temps David dans tous les cas
>>
>> Herve
>>
>>
>>
>>
>>
>> On Mon, Sep 26, 2022 at 11:12 AM David Ponzone 
>> wrote:
>>
>> > A la vue de cette nouvelle réponse, je pense qu’il est temps que tu
>> donnes
>> > plus d’info :)
>> >
>> > Généralement, on fait un accès VPN, entre autres, pour limiter les NAT à
>> > traverser pour atteindre la cible, donc avoir une connectivité IP
>> directe
>> > vers le machine cible.
>> > Là, tu sous-entends que tu utilises le NAT pour permettre au VPN
>> d’accéder
>> > à A...
>> >
>> > Le 26 sept. 2022 à 16:31, Dang Herve  a écrit :
>> >
>> > les 2 nat pour le VPN pour accéder au réseau A et nat sur la machine qui
>> > est sur le 2 réseaux
>> >
>> > Merci je vais regarder les traces voir ci cela m'aide à comprendre ce
>> qui
>> > ne vas pas
>> >
>> >
>> > On Mon, Sep 26, 2022 at 10:27 AM David Ponzone > >
>> > wrote:
>> >
>> >> Le PC fait du NAT sur les IP de B ou c’est le routeur principal qui
>> fait
>> >> du NAT pour tout le monde ?
>> >>
>> >> Si c’est le PC, c’est dans tous les cas ou seulement quand ça part vers
>> >> default ?
>> >>
>> >> Pour aller plus loin, faut juste prendre des traces un peu partout (sur
>> >> les 2 eth, du PC qui est sur A et B, ça devrait déjà t’en dire pas mal)
>> >> pour comprendre:
>> >>
>> >> -fais un ping depuis le VPN
>> >> -prends une trace sur le PC/eth A, vérifie que l’ICMP entre (tshark -i
>> >> eth0 -f ‘icmp')
>> >> -prends une trace sur le PC/ethB, vérifie que l’ICMP sort avec IP
>> >> source/dest inchangées, auquel cas tu dois voir le reply aussi
>> >> -vérifie à nouveau sur PC/eth A si tu vois ce reply avec son IP src qui
>> >> aurait été natée par exemple. Ou peut-être que tu dois pas du tout le
>> reply
>> >> (auquel cas le PC filtre ou son kernel n’a pas l’IP forwarding activé,
>> ou
>> >> etc…)
>> >>
>> >> Le 26 sept. 2022 à 16:17, Dang Herve  a écrit :
>> >>
>> >> route par défaut sur la machine par B je fais du NAT/Masquerade
>> >>
>> >> On Mon, Sep 26, 2022 at 10:15 AM David Ponzone <
>> david.ponz...@gmail.com>
>> >> wrote:
>> >>
>> >>> Ah chouette, un cas rigolo :)
>> >>>
>> >>> Et les PC du subnet B, ils ont bien une route vers les IP que tu
>> >>> attribues à tes utilisateurs VPN (ou une route par défaut) vers le PC
>> qui
>> >>> sert de routeur entre les 2 ?
>> >>>
>> >>>
>> >>> > Le 26 sept. 2022 à 16:07, Dang Herve  a écrit
>> :
>> >>> >
>> >>> > ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le
>> passé
>> >>> subnet en 192.168.42
>> >>> >
>> >>>
>> >>>
>> >>
>> >
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Dang Herve

ok je vais essayé

merci du tuyaux

Herve


On Mon, Sep 26, 2022 at 12:22 PM Pavel Polyakov 
wrote:

> Dang Herve  wrote:
>
> > est-ce que je fais bien le tout correctement ? ou est ce qu'il y a une
> > meilleure façon de faire?
>
> Non.
>
> Mets ton tunnel en topology subnet.
>
> Ensuite, pousse au client une adresse libre de 10.0.0.0/16. Par
> exemple, 10.0.0.100.
>
> Dans le client-config :
>
>  ifconfig-push 10.0.0.100 255.255.255.255
>
> Sur la machine qui fait serveur, tu fais proxy arp :
>
>  ip neigh add proxy 10.0.0.100 dev eth0
>
> Il faut `net.ipv4.ip_forward = 1` pour que ça fonctionne.
>
> Sur la machine cliente OpenVPN, il suffit de rajouter les routes:
>
>   ip route add 10.0.0.0/16 dev tun0
>   ip route add 192.168.42.0/24 via 10.0.0.33
>
> Et voilà. Tu peux enlever ton NAT crade.
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread David Ponzone

Je rejoins Pavel, il y a clairement moyen de faire plus simple.

Personnellement, j’irai même jusqu’à utiliser un préfixe à part pour les 
utilisateurs VPN, pour ne pas avoir à utiliser cette saloperie de proxy-arp.
Je sais que ça marche mais j’ai perdu assez de temps dans ma vie avec ce truc 
pour ne plus vouloir en entendre parler :)
Ca améliorera la lecture de l’archi aussi, je pense.

> Le 26 sept. 2022 à 18:28, Dang Herve  a écrit :
> 
> ok je vais essayé
> 
> merci du tuyaux
> 
> Herve
> 
> 
> On Mon, Sep 26, 2022 at 12:22 PM Pavel Polyakov 
> wrote:
> 
>> Dang Herve  wrote:
>> 
>>> est-ce que je fais bien le tout correctement ? ou est ce qu'il y a une
>>> meilleure façon de faire?
>> 
>> Non.
>> 
>> Mets ton tunnel en topology subnet.
>> 
>> Ensuite, pousse au client une adresse libre de 10.0.0.0/16. Par
>> exemple, 10.0.0.100.
>> 
>> Dans le client-config :
>> 
>> ifconfig-push 10.0.0.100 255.255.255.255
>> 
>> Sur la machine qui fait serveur, tu fais proxy arp :
>> 
>> ip neigh add proxy 10.0.0.100 dev eth0
>> 
>> Il faut `net.ipv4.ip_forward = 1` pour que ça fonctionne.
>> 
>> Sur la machine cliente OpenVPN, il suffit de rajouter les routes:
>> 
>>  ip route add 10.0.0.0/16 dev tun0
>>  ip route add 192.168.42.0/24 via 10.0.0.33
>> 
>> Et voilà. Tu peux enlever ton NAT crade.
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Dang Herve

Pas de problème s'il y a une manière plus propre de le faire

On Mon, Sep 26, 2022 at 1:21 PM David Ponzone 
wrote:

> Je rejoins Pavel, il y a clairement moyen de faire plus simple.
>
> Personnellement, j’irai même jusqu’à utiliser un préfixe à part pour les
> utilisateurs VPN, pour ne pas avoir à utiliser cette saloperie de proxy-arp.
> Je sais que ça marche mais j’ai perdu assez de temps dans ma vie avec ce
> truc pour ne plus vouloir en entendre parler :)
> Ca améliorera la lecture de l’archi aussi, je pense.
>
> > Le 26 sept. 2022 à 18:28, Dang Herve  a écrit :
> >
> > ok je vais essayé
> >
> > merci du tuyaux
> >
> > Herve
> >
> >
> > On Mon, Sep 26, 2022 at 12:22 PM Pavel Polyakov 
> > wrote:
> >
> >> Dang Herve  wrote:
> >>
> >>> est-ce que je fais bien le tout correctement ? ou est ce qu'il y a une
> >>> meilleure façon de faire?
> >>
> >> Non.
> >>
> >> Mets ton tunnel en topology subnet.
> >>
> >> Ensuite, pousse au client une adresse libre de 10.0.0.0/16. Par
> >> exemple, 10.0.0.100.
> >>
> >> Dans le client-config :
> >>
> >> ifconfig-push 10.0.0.100 255.255.255.255
> >>
> >> Sur la machine qui fait serveur, tu fais proxy arp :
> >>
> >> ip neigh add proxy 10.0.0.100 dev eth0
> >>
> >> Il faut `net.ipv4.ip_forward = 1` pour que ça fonctionne.
> >>
> >> Sur la machine cliente OpenVPN, il suffit de rajouter les routes:
> >>
> >>  ip route add 10.0.0.0/16 dev tun0
> >>  ip route add 192.168.42.0/24 via 10.0.0.33
> >>
> >> Et voilà. Tu peux enlever ton NAT crade.
> >>
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Raphael Mazelier




On 26/09/2022 19:21, David Ponzone wrote:

Je rejoins Pavel, il y a clairement moyen de faire plus simple.

Personnellement, j’irai même jusqu’à utiliser un préfixe à part pour les 
utilisateurs VPN, pour ne pas avoir à utiliser cette saloperie de proxy-arp.
Je sais que ça marche mais j’ai perdu assez de temps dans ma vie avec ce truc 
pour ne plus vouloir en entendre parler :)
Ca améliorera la lecture de l’archi aussi, je pense.


C'est clairement la bonne pratique. Un subnet dédié pour tes 
roadwarriors en net/30 (terminologie openvpn). Et ensuite c'est 
simplement du routing classique. Pour plus de simplicité tu peux source 
natter ton subnet des roadwarriors en sortie de ton serveur vpn. Simple 
basique et approuvé.


--
Raphael Mazelier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Daniel via frnog




Le 26/09/2022 à 19:26, Dang Herve a écrit :

Pas de problème s'il y a une manière plus propre de le faire

Perso, si déjà tu fais un nouveau VPN, passe à wireguard.


On Mon, Sep 26, 2022 at 1:21 PM David Ponzone 
wrote:


Je rejoins Pavel, il y a clairement moyen de faire plus simple.

Personnellement, j’irai même jusqu’à utiliser un préfixe à part pour les
utilisateurs VPN, pour ne pas avoir à utiliser cette saloperie de proxy-arp.
Je sais que ça marche mais j’ai perdu assez de temps dans ma vie avec ce
truc pour ne plus vouloir en entendre parler :)
Ca améliorera la lecture de l’archi aussi, je pense.


Le 26 sept. 2022 à 18:28, Dang Herve  a écrit :

ok je vais essayé

merci du tuyaux

Herve


On Mon, Sep 26, 2022 at 12:22 PM Pavel Polyakov 
wrote:


Dang Herve  wrote:


est-ce que je fais bien le tout correctement ? ou est ce qu'il y a une
meilleure façon de faire?

Non.

Mets ton tunnel en topology subnet.

Ensuite, pousse au client une adresse libre de 10.0.0.0/16. Par
exemple, 10.0.0.100.

Dans le client-config :

ifconfig-push 10.0.0.100 255.255.255.255

Sur la machine qui fait serveur, tu fais proxy arp :

ip neigh add proxy 10.0.0.100 dev eth0

Il faut `net.ipv4.ip_forward = 1` pour que ça fonctionne.

Sur la machine cliente OpenVPN, il suffit de rajouter les routes:

  ip route add 10.0.0.0/16 dev tun0
  ip route add 192.168.42.0/24 via 10.0.0.33

Et voilà. Tu peux enlever ton NAT crade.


--
Daniel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Dang Herve

c'est noté pour wireguard que je connais peu mais je garde cela sous la main

On Mon, Sep 26, 2022 at 1:47 PM Daniel via frnog  wrote:

>
> Le 26/09/2022 à 19:26, Dang Herve a écrit :
> > Pas de problème s'il y a une manière plus propre de le faire
> Perso, si déjà tu fais un nouveau VPN, passe à wireguard.
> >
> > On Mon, Sep 26, 2022 at 1:21 PM David Ponzone 
> > wrote:
> >
> >> Je rejoins Pavel, il y a clairement moyen de faire plus simple.
> >>
> >> Personnellement, j’irai même jusqu’à utiliser un préfixe à part pour les
> >> utilisateurs VPN, pour ne pas avoir à utiliser cette saloperie de
> proxy-arp.
> >> Je sais que ça marche mais j’ai perdu assez de temps dans ma vie avec ce
> >> truc pour ne plus vouloir en entendre parler :)
> >> Ca améliorera la lecture de l’archi aussi, je pense.
> >>
> >>> Le 26 sept. 2022 à 18:28, Dang Herve  a écrit :
> >>>
> >>> ok je vais essayé
> >>>
> >>> merci du tuyaux
> >>>
> >>> Herve
> >>>
> >>>
> >>> On Mon, Sep 26, 2022 at 12:22 PM Pavel Polyakov <
> pbdfrno...@urdn.com.ua>
> >>> wrote:
> >>>
>  Dang Herve  wrote:
> 
> > est-ce que je fais bien le tout correctement ? ou est ce qu'il y a
> une
> > meilleure façon de faire?
>  Non.
> 
>  Mets ton tunnel en topology subnet.
> 
>  Ensuite, pousse au client une adresse libre de 10.0.0.0/16. Par
>  exemple, 10.0.0.100.
> 
>  Dans le client-config :
> 
>  ifconfig-push 10.0.0.100 255.255.255.255
> 
>  Sur la machine qui fait serveur, tu fais proxy arp :
> 
>  ip neigh add proxy 10.0.0.100 dev eth0
> 
>  Il faut `net.ipv4.ip_forward = 1` pour que ça fonctionne.
> 
>  Sur la machine cliente OpenVPN, il suffit de rajouter les routes:
> 
>    ip route add 10.0.0.0/16 dev tun0
>    ip route add 192.168.42.0/24 via 10.0.0.33
> 
>  Et voilà. Tu peux enlever ton NAT crade.
>
> --
> Daniel
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Daniel via frnog


Bonjour

Le 26/09/2022 à 15:40, Dang Herve a écrit :

Bonjour

J'ai une petite question reseau vpn/route

J'accède à un réseau privé par VPN(internet) la communication avec les
machines de ce réseau(A) passe bien mais l'une de ces machines a accès à un
autre réseau(B) j'ai configurer les ordinateurs pour accéder à B depuis A
pas de problème mais quand je passe par le vpn cela ne marche pas.

Une idée de ce que je fais par correctement ou j'oublie de faire?


Si on savait quels logiciels sont utilisés et l'OS/la techno/...

Je fais cela avec wireguard (1er accès) puis accès aux autres site 
OpenVPN/TAP ou wireguard, pas de soucis.


Cela peut aussi être Problème pare-feu si ton IP de connexion au site 
n'est pas autorisée.


--
Daniel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread SIMANCAS Hugo

regarde tes routes avec et sans vpn

linux + win netstat -r

linux ip route

ça sent la route qui recouvre le reste avec un agent vpn

On 26/09/2022 15:40, Dang Herve wrote:
> Bonjour
>
> J'ai une petite question reseau vpn/route
>
> J'accède à un réseau privé par VPN(internet) la communication avec les
> machines de ce réseau(A) passe bien mais l'une de ces machines a accès à un
> autre réseau(B) j'ai configurer les ordinateurs pour accéder à B depuis A
> pas de problème mais quand je passe par le vpn cela ne marche pas.
>
> Une idée de ce que je fais par correctement ou j'oublie de faire?
>
> j'ai fais un petit schéma au besoin
> 
>
> S'il manque des informations ou des question n'hesitez pas
>
> Merci
>
> Herve
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

-- 

/ ::1  Hugo SIMANCAS
Directeur Technique Associé
https://www.data-expertise.com [https://www.data-expertise.com/]
Support technique : 09 78 23 20 29
Standard : 05 34 26 02 46 | Ligne directe : 05 34 25 50 57
Mobile : 06 95 44 29 64
!Utilisez notre plateforme visio libre & gratuite : 
https://conf.data-expertise.com/ [https://conf.data-expertise.com/]
!Pad collaboratif libre & gratuit sécurisé https://pad.data-expertise.com/ 
[https://pad.data-expertise.com/]

Les informations contenues dans ce courrier électronique sont confidentielles 
et protégées par le secret professionnel. En tout état de cause, elles ne sont 
destinées qu'à la personne ou entreprise dont le nom est mentionné ci-dessus. 
Veuillez aviser l'expéditeur de toute difficulté ou de toute erreur dans la 
transmission de ce document. Si vous n'êtes pas le destinataire du présent 
courrier, vous n'êtes pas autorisé, sous peine de poursuites à en prendre des 
copies, le divulguer ou le diffuser. La présence de cette note prouve également 
que ce message électronique a été vérifié par un logiciel anti-virus.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Dang Herve

désolé j'oublie le principal: openvpn pour le vpn, ubuntu pour les OS
serveurs  iptable pour le routing  avec maquerade et forward

Pour les clients je fais mes test sur debian mais j'aimerai que cela marche
avec windows aussi

aucune restriction de pare feu pour les IP

On Mon, Sep 26, 2022 at 9:50 AM Daniel via frnog  wrote:

> Bonjour
>
> Le 26/09/2022 à 15:40, Dang Herve a écrit :
> > Bonjour
> >
> > J'ai une petite question reseau vpn/route
> >
> > J'accède à un réseau privé par VPN(internet) la communication avec les
> > machines de ce réseau(A) passe bien mais l'une de ces machines a accès à
> un
> > autre réseau(B) j'ai configurer les ordinateurs pour accéder à B depuis A
> > pas de problème mais quand je passe par le vpn cela ne marche pas.
> >
> > Une idée de ce que je fais par correctement ou j'oublie de faire?
>
> Si on savait quels logiciels sont utilisés et l'OS/la techno/...
>
> Je fais cela avec wireguard (1er accès) puis accès aux autres site
> OpenVPN/TAP ou wireguard, pas de soucis.
>
> Cela peut aussi être Problème pare-feu si ton IP de connexion au site
> n'est pas autorisée.
>
> --
> Daniel
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Daniel via frnog




Le 26/09/2022 à 15:54, Dang Herve a écrit :

désolé j'oublie le principal: openvpn pour le vpn,

tun ou tap ?

  ubuntu pour les OS
serveurs  iptable pour le routing  avec maquerade et forward

Pour les clients je fais mes test sur debian mais j'aimerai que cela marche
avec windows aussi
Ca marche avec Windows. Tu peux faire un tcpdump su le réseau b (si tu 
as accès) afin de vérifier que tes requêtes arrivent

On Mon, Sep 26, 2022 at 9:50 AM Daniel via frnog  wrote:


Bonjour

Le 26/09/2022 à 15:40, Dang Herve a écrit :

Bonjour

J'ai une petite question reseau vpn/route

J'accède à un réseau privé par VPN(internet) la communication avec les
machines de ce réseau(A) passe bien mais l'une de ces machines a accès à

un

autre réseau(B) j'ai configurer les ordinateurs pour accéder à B depuis A
pas de problème mais quand je passe par le vpn cela ne marche pas.

Une idée de ce que je fais par correctement ou j'oublie de faire?

Si on savait quels logiciels sont utilisés et l'OS/la techno/...

Je fais cela avec wireguard (1er accès) puis accès aux autres site
OpenVPN/TAP ou wireguard, pas de soucis.

Cela peut aussi être Problème pare-feu si ton IP de connexion au site
n'est pas autorisée.


--
Danie


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Dang Herve

les routes sont bonne quand je test du réseau A vers B pas de problème
c'est quand je veux faire VPN vers B en passant par A que cela ne marche pas


On Mon, Sep 26, 2022 at 9:54 AM SIMANCAS Hugo <
hugo.siman...@data-expertise.com> wrote:

> regarde tes routes avec et sans vpn
>
> linux + win netstat -r
>
> linux ip route
>
> ça sent la route qui recouvre le reste avec un agent vpn
>
> On 26/09/2022 15:40, Dang Herve wrote:
> > Bonjour
> >
> > J'ai une petite question reseau vpn/route
> >
> > J'accède à un réseau privé par VPN(internet) la communication avec les
> > machines de ce réseau(A) passe bien mais l'une de ces machines a accès à
> un
> > autre réseau(B) j'ai configurer les ordinateurs pour accéder à B depuis A
> > pas de problème mais quand je passe par le vpn cela ne marche pas.
> >
> > Une idée de ce que je fais par correctement ou j'oublie de faire?
> >
> > j'ai fais un petit schéma au besoin
> > <
> https://viewer.diagrams.net/?tags=%7B%7D&highlight=ff&edit=_blank&layers=1&nav=1&title=route.drawio#Uhttps%3A%2F%2Fdrive.google.com%2Fuc%3Fid%3D1plJCkAyHWOCRziQLDZNYoyuO4pQGtjtD%26export%3Ddownload
> >
> >
> > S'il manque des informations ou des question n'hesitez pas
> >
> > Merci
> >
> > Herve
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
> --
>
>
> / ::1  Hugo SIMANCAS
> Directeur Technique Associé
> https://www.data-expertise.com [https://www.data-expertise.com/]
> Support technique : 09 78 23 20 29
> Standard : 05 34 26 02 46 | Ligne directe : 05 34 25 50 57
> Mobile : 06 95 44 29 64
> !Utilisez notre plateforme visio libre & gratuite :
> https://conf.data-expertise.com/ [https://conf.data-expertise.com/]
> !Pad collaboratif libre & gratuit sécurisé https://pad.data-expertise.com/
> [https://pad.data-expertise.com/]
>
> Les informations contenues dans ce courrier électronique sont
> confidentielles et protégées par le secret professionnel. En tout état de
> cause, elles ne sont destinées qu'à la personne ou entreprise dont le nom
> est mentionné ci-dessus. Veuillez aviser l'expéditeur de toute difficulté
> ou de toute erreur dans la transmission de ce document. Si vous n'êtes pas
> le destinataire du présent courrier, vous n'êtes pas autorisé, sous peine
> de poursuites à en prendre des copies, le divulguer ou le diffuser. La
> présence de cette note prouve également que ce message électronique a été
> vérifié par un logiciel anti-virus.
>
>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread David Ponzone

C’est à 95% le grand classique:

Le subnet sur lequel tu es pour te connecter à Internet (box perso, etc….) est 
en 192.168.X.0 (généralement 192.168.1.0/24) comme le subnet B.
Donc tu pourras jamais l’atteindre.

Le plus propre c’est de renuméroter ton subnet B, et de bannir l’usage en 
interne au moins de 192.168.0.0/24, 192.168.1.0/24 et 192.168.254.0/24.

> Le 26 sept. 2022 à 15:40, Dang Herve  a écrit :
> 
> Bonjour
> 
> J'ai une petite question reseau vpn/route
> 
> J'accède à un réseau privé par VPN(internet) la communication avec les
> machines de ce réseau(A) passe bien mais l'une de ces machines a accès à un
> autre réseau(B) j'ai configurer les ordinateurs pour accéder à B depuis A
> pas de problème mais quand je passe par le vpn cela ne marche pas.
> 
> Une idée de ce que je fais par correctement ou j'oublie de faire?
> 
> j'ai fais un petit schéma au besoin
> 
> 
> S'il manque des informations ou des question n'hesitez pas
> 
> Merci
> 
> Herve
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Dang Herve

tun


On Mon, Sep 26, 2022 at 9:58 AM Daniel via frnog  wrote:

>
> Le 26/09/2022 à 15:54, Dang Herve a écrit :
> > désolé j'oublie le principal: openvpn pour le vpn,
> tun ou tap ?
> >   ubuntu pour les OS
> > serveurs  iptable pour le routing  avec maquerade et forward
> >
> > Pour les clients je fais mes test sur debian mais j'aimerai que cela
> marche
> > avec windows aussi
> Ca marche avec Windows. Tu peux faire un tcpdump su le réseau b (si tu
> as accès) afin de vérifier que tes requêtes arrivent
> > On Mon, Sep 26, 2022 at 9:50 AM Daniel via frnog 
> wrote:
> >
> >> Bonjour
> >>
> >> Le 26/09/2022 à 15:40, Dang Herve a écrit :
> >>> Bonjour
> >>>
> >>> J'ai une petite question reseau vpn/route
> >>>
> >>> J'accède à un réseau privé par VPN(internet) la communication avec les
> >>> machines de ce réseau(A) passe bien mais l'une de ces machines a accès
> à
> >> un
> >>> autre réseau(B) j'ai configurer les ordinateurs pour accéder à B
> depuis A
> >>> pas de problème mais quand je passe par le vpn cela ne marche pas.
> >>>
> >>> Une idée de ce que je fais par correctement ou j'oublie de faire?
> >> Si on savait quels logiciels sont utilisés et l'OS/la techno/...
> >>
> >> Je fais cela avec wireguard (1er accès) puis accès aux autres site
> >> OpenVPN/TAP ou wireguard, pas de soucis.
> >>
> >> Cela peut aussi être Problème pare-feu si ton IP de connexion au site
> >> n'est pas autorisée.
> >>
> --
> Danie
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Dang Herve

ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé
subnet en 192.168.42

On Mon, Sep 26, 2022 at 10:05 AM David Ponzone 
wrote:

> C’est à 95% le grand classique:
>
> Le subnet sur lequel tu es pour te connecter à Internet (box perso, etc….)
> est en 192.168.X.0 (généralement 192.168.1.0/24) comme le subnet B.
> Donc tu pourras jamais l’atteindre.
>
> Le plus propre c’est de renuméroter ton subnet B, et de bannir l’usage en
> interne au moins de 192.168.0.0/24, 192.168.1.0/24 et 192.168.254.0/24.
>
> > Le 26 sept. 2022 à 15:40, Dang Herve  a écrit :
> >
> > Bonjour
> >
> > J'ai une petite question reseau vpn/route
> >
> > J'accède à un réseau privé par VPN(internet) la communication avec les
> > machines de ce réseau(A) passe bien mais l'une de ces machines a accès à
> un
> > autre réseau(B) j'ai configurer les ordinateurs pour accéder à B depuis A
> > pas de problème mais quand je passe par le vpn cela ne marche pas.
> >
> > Une idée de ce que je fais par correctement ou j'oublie de faire?
> >
> > j'ai fais un petit schéma au besoin
> > <
> https://viewer.diagrams.net/?tags=%7B%7D&highlight=ff&edit=_blank&layers=1&nav=1&title=route.drawio#Uhttps%3A%2F%2Fdrive.google.com%2Fuc%3Fid%3D1plJCkAyHWOCRziQLDZNYoyuO4pQGtjtD%26export%3Ddownload
> >
> >
> > S'il manque des informations ou des question n'hesitez pas
> >
> > Merci
> >
> > Herve
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread David Ponzone

Ah chouette, un cas rigolo :)

Et les PC du subnet B, ils ont bien une route vers les IP que tu attribues à 
tes utilisateurs VPN (ou une route par défaut) vers le PC qui sert de routeur 
entre les 2 ?


> Le 26 sept. 2022 à 16:07, Dang Herve  a écrit :
> 
> ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé  subnet 
> en 192.168.42 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Dang Herve

route par défaut sur la machine par B je fais du NAT/Masquerade

On Mon, Sep 26, 2022 at 10:15 AM David Ponzone 
wrote:

> Ah chouette, un cas rigolo :)
>
> Et les PC du subnet B, ils ont bien une route vers les IP que tu attribues
> à tes utilisateurs VPN (ou une route par défaut) vers le PC qui sert de
> routeur entre les 2 ?
>
>
> > Le 26 sept. 2022 à 16:07, Dang Herve  a écrit :
> >
> > ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé
> subnet en 192.168.42
> >
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread David Ponzone

Le PC fait du NAT sur les IP de B ou c’est le routeur principal qui fait du NAT 
pour tout le monde ?

Si c’est le PC, c’est dans tous les cas ou seulement quand ça part vers default 
?

Pour aller plus loin, faut juste prendre des traces un peu partout (sur les 2 
eth, du PC qui est sur A et B, ça devrait déjà t’en dire pas mal) pour 
comprendre:

-fais un ping depuis le VPN
-prends une trace sur le PC/eth A, vérifie que l’ICMP entre (tshark -i eth0 -f 
‘icmp')
-prends une trace sur le PC/ethB, vérifie que l’ICMP sort avec IP source/dest 
inchangées, auquel cas tu dois voir le reply aussi
-vérifie à nouveau sur PC/eth A si tu vois ce reply avec son IP src qui aurait 
été natée par exemple. Ou peut-être que tu dois pas du tout le reply (auquel 
cas le PC filtre ou son kernel n’a pas l’IP forwarding activé, ou etc…)

> Le 26 sept. 2022 à 16:17, Dang Herve  a écrit :
> 
> route par défaut sur la machine par B je fais du NAT/Masquerade 
> 
> On Mon, Sep 26, 2022 at 10:15 AM David Ponzone  > wrote:
> Ah chouette, un cas rigolo :)
> 
> Et les PC du subnet B, ils ont bien une route vers les IP que tu attribues à 
> tes utilisateurs VPN (ou une route par défaut) vers le PC qui sert de routeur 
> entre les 2 ?
> 
> 
> > Le 26 sept. 2022 à 16:07, Dang Herve  > > a écrit :
> > 
> > ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé  
> > subnet en 192.168.42 
> > 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread David Ponzone

Euh, je viens de remarquer que ta réponse ne veut rien dire :)

De notre point de vue (d’après les infos que tu as données), B n’a pas d’autre 
exit que par A.
Si B a une autre sortie, je vois pas comment tu peux imaginer que ça puisse 
marcher, puisque les réponses vont partir par là…

On est au stade où va falloir envoyer un schéma plus détaillé avec les confs 
(pas complètes, juste les trucs de base).

> Le 26 sept. 2022 à 16:17, Dang Herve  a écrit :
> 
> route par défaut sur la machine par B je fais du NAT/Masquerade 
> 
> On Mon, Sep 26, 2022 at 10:15 AM David Ponzone  > wrote:
> Ah chouette, un cas rigolo :)
> 
> Et les PC du subnet B, ils ont bien une route vers les IP que tu attribues à 
> tes utilisateurs VPN (ou une route par défaut) vers le PC qui sert de routeur 
> entre les 2 ?
> 
> 
> > Le 26 sept. 2022 à 16:07, Dang Herve  > > a écrit :
> > 
> > ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé  
> > subnet en 192.168.42 
> > 
> 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Dang Herve

les 2 nat pour le VPN pour accéder au réseau A et nat sur la machine qui
est sur le 2 réseaux

Merci je vais regarder les traces voir ci cela m'aide à comprendre ce qui
ne vas pas


On Mon, Sep 26, 2022 at 10:27 AM David Ponzone 
wrote:

> Le PC fait du NAT sur les IP de B ou c’est le routeur principal qui fait
> du NAT pour tout le monde ?
>
> Si c’est le PC, c’est dans tous les cas ou seulement quand ça part vers
> default ?
>
> Pour aller plus loin, faut juste prendre des traces un peu partout (sur
> les 2 eth, du PC qui est sur A et B, ça devrait déjà t’en dire pas mal)
> pour comprendre:
>
> -fais un ping depuis le VPN
> -prends une trace sur le PC/eth A, vérifie que l’ICMP entre (tshark -i
> eth0 -f ‘icmp')
> -prends une trace sur le PC/ethB, vérifie que l’ICMP sort avec IP
> source/dest inchangées, auquel cas tu dois voir le reply aussi
> -vérifie à nouveau sur PC/eth A si tu vois ce reply avec son IP src qui
> aurait été natée par exemple. Ou peut-être que tu dois pas du tout le reply
> (auquel cas le PC filtre ou son kernel n’a pas l’IP forwarding activé, ou
> etc…)
>
> Le 26 sept. 2022 à 16:17, Dang Herve  a écrit :
>
> route par défaut sur la machine par B je fais du NAT/Masquerade
>
> On Mon, Sep 26, 2022 at 10:15 AM David Ponzone 
> wrote:
>
>> Ah chouette, un cas rigolo :)
>>
>> Et les PC du subnet B, ils ont bien une route vers les IP que tu
>> attribues à tes utilisateurs VPN (ou une route par défaut) vers le PC qui
>> sert de routeur entre les 2 ?
>>
>>
>> > Le 26 sept. 2022 à 16:07, Dang Herve  a écrit :
>> >
>> > ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé
>> subnet en 192.168.42
>> >
>>
>>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Dang Herve

ok je regarde ce que je peux rajouter sur le schémas et rajouter les conf

On Mon, Sep 26, 2022 at 10:29 AM David Ponzone 
wrote:

> Euh, je viens de remarquer que ta réponse ne veut rien dire :)
>
> De notre point de vue (d’après les infos que tu as données), B n’a pas
> d’autre exit que par A.
> Si B a une autre sortie, je vois pas comment tu peux imaginer que ça
> puisse marcher, puisque les réponses vont partir par là…
>
> On est au stade où va falloir envoyer un schéma plus détaillé avec les
> confs (pas complètes, juste les trucs de base).
>
> Le 26 sept. 2022 à 16:17, Dang Herve  a écrit :
>
> route par défaut sur la machine par B je fais du NAT/Masquerade
>
> On Mon, Sep 26, 2022 at 10:15 AM David Ponzone 
> wrote:
>
>> Ah chouette, un cas rigolo :)
>>
>> Et les PC du subnet B, ils ont bien une route vers les IP que tu
>> attribues à tes utilisateurs VPN (ou une route par défaut) vers le PC qui
>> sert de routeur entre les 2 ?
>>
>>
>> > Le 26 sept. 2022 à 16:07, Dang Herve  a écrit :
>> >
>> > ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé
>> subnet en 192.168.42
>> >
>>
>>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread David Ponzone

A la vue de cette nouvelle réponse, je pense qu’il est temps que tu donnes plus 
d’info :)

Généralement, on fait un accès VPN, entre autres, pour limiter les NAT à 
traverser pour atteindre la cible, donc avoir une connectivité IP directe vers 
le machine cible.
Là, tu sous-entends que tu utilises le NAT pour permettre au VPN d’accéder à 
A...

> Le 26 sept. 2022 à 16:31, Dang Herve  a écrit :
> 
> les 2 nat pour le VPN pour accéder au réseau A et nat sur la machine qui est 
> sur le 2 réseaux
> 
> Merci je vais regarder les traces voir ci cela m'aide à comprendre ce qui ne 
> vas pas
> 
> 
> On Mon, Sep 26, 2022 at 10:27 AM David Ponzone  > wrote:
> Le PC fait du NAT sur les IP de B ou c’est le routeur principal qui fait du 
> NAT pour tout le monde ?
> 
> Si c’est le PC, c’est dans tous les cas ou seulement quand ça part vers 
> default ?
> 
> Pour aller plus loin, faut juste prendre des traces un peu partout (sur les 2 
> eth, du PC qui est sur A et B, ça devrait déjà t’en dire pas mal) pour 
> comprendre:
> 
> -fais un ping depuis le VPN
> -prends une trace sur le PC/eth A, vérifie que l’ICMP entre (tshark -i eth0 
> -f ‘icmp')
> -prends une trace sur le PC/ethB, vérifie que l’ICMP sort avec IP source/dest 
> inchangées, auquel cas tu dois voir le reply aussi
> -vérifie à nouveau sur PC/eth A si tu vois ce reply avec son IP src qui 
> aurait été natée par exemple. Ou peut-être que tu dois pas du tout le reply 
> (auquel cas le PC filtre ou son kernel n’a pas l’IP forwarding activé, ou 
> etc…)
> 
>> Le 26 sept. 2022 à 16:17, Dang Herve > > a écrit :
>> 
>> route par défaut sur la machine par B je fais du NAT/Masquerade 
>> 
>> On Mon, Sep 26, 2022 at 10:15 AM David Ponzone > > wrote:
>> Ah chouette, un cas rigolo :)
>> 
>> Et les PC du subnet B, ils ont bien une route vers les IP que tu attribues à 
>> tes utilisateurs VPN (ou une route par défaut) vers le PC qui sert de 
>> routeur entre les 2 ?
>> 
>> 
>> > Le 26 sept. 2022 à 16:07, Dang Herve > > > a écrit :
>> > 
>> > ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé  
>> > subnet en 192.168.42 
>> > 
>> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Dang Herve

réseau A en 10.0.0.0/16 une machine dedans avec un openvpn pour un nat pour
accéder au autres machine de A
réseau B en 192.168.42/24 avec une machine qui est sur A et B qui fait du
nat pour que les machines de A qui connaissent la route puisse accéder à B

Donc cela marche depuis A quand je configure la route ( 192.168.42.0/24 vi
la machine au 2 interface)

Sur le vpn la route pour 10.0.0.0/16 est poussé par la configuration du
serveur je rajoute la route 192.168.42/24 comme je le fais précedement sur
une machine de A mais cela ne marche pas


point de vue configuration des routes:
machine client: ip r a192.168.42.0/24 via 10.0.0.33

sur la machine au 2 interface:
forward par iptable sur les 2 interfaces
iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j
ACCEPT
nat sur le réseau A
iptables -t nat -A  POSTROUTING  -s 10.0.0.1/15 -o eth0 -j MASQUERADE

Et je fais la meme chose sur la machine du vpn pour que le nat marche

est-ce que je fais bien le tout correctement ? ou est ce qu'il y a une
meilleure façon de faire?

En espérant cette fois avoir donner tout les informations nécessaires

Merci pour ton temps David dans tous les cas

Herve





On Mon, Sep 26, 2022 at 11:12 AM David Ponzone 
wrote:

> A la vue de cette nouvelle réponse, je pense qu’il est temps que tu donnes
> plus d’info :)
>
> Généralement, on fait un accès VPN, entre autres, pour limiter les NAT à
> traverser pour atteindre la cible, donc avoir une connectivité IP directe
> vers le machine cible.
> Là, tu sous-entends que tu utilises le NAT pour permettre au VPN d’accéder
> à A...
>
> Le 26 sept. 2022 à 16:31, Dang Herve  a écrit :
>
> les 2 nat pour le VPN pour accéder au réseau A et nat sur la machine qui
> est sur le 2 réseaux
>
> Merci je vais regarder les traces voir ci cela m'aide à comprendre ce qui
> ne vas pas
>
>
> On Mon, Sep 26, 2022 at 10:27 AM David Ponzone 
> wrote:
>
>> Le PC fait du NAT sur les IP de B ou c’est le routeur principal qui fait
>> du NAT pour tout le monde ?
>>
>> Si c’est le PC, c’est dans tous les cas ou seulement quand ça part vers
>> default ?
>>
>> Pour aller plus loin, faut juste prendre des traces un peu partout (sur
>> les 2 eth, du PC qui est sur A et B, ça devrait déjà t’en dire pas mal)
>> pour comprendre:
>>
>> -fais un ping depuis le VPN
>> -prends une trace sur le PC/eth A, vérifie que l’ICMP entre (tshark -i
>> eth0 -f ‘icmp')
>> -prends une trace sur le PC/ethB, vérifie que l’ICMP sort avec IP
>> source/dest inchangées, auquel cas tu dois voir le reply aussi
>> -vérifie à nouveau sur PC/eth A si tu vois ce reply avec son IP src qui
>> aurait été natée par exemple. Ou peut-être que tu dois pas du tout le reply
>> (auquel cas le PC filtre ou son kernel n’a pas l’IP forwarding activé, ou
>> etc…)
>>
>> Le 26 sept. 2022 à 16:17, Dang Herve  a écrit :
>>
>> route par défaut sur la machine par B je fais du NAT/Masquerade
>>
>> On Mon, Sep 26, 2022 at 10:15 AM David Ponzone 
>> wrote:
>>
>>> Ah chouette, un cas rigolo :)
>>>
>>> Et les PC du subnet B, ils ont bien une route vers les IP que tu
>>> attribues à tes utilisateurs VPN (ou une route par défaut) vers le PC qui
>>> sert de routeur entre les 2 ?
>>>
>>>
>>> > Le 26 sept. 2022 à 16:07, Dang Herve  a écrit :
>>> >
>>> > ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé
>>> subnet en 192.168.42
>>> >
>>>
>>>
>>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Daniel via frnog

eth0 et eth1 ne sont pas des interfaces tun ou tap openvpn. Tu utilises 
tap je suppose...


Le 26/09/2022 à 17:33, Dang Herve a écrit :

réseau A en 10.0.0.0/16 une machine dedans avec un openvpn pour un nat pour
accéder au autres machine de A
réseau B en 192.168.42/24 avec une machine qui est sur A et B qui fait du
nat pour que les machines de A qui connaissent la route puisse accéder à B

Donc cela marche depuis A quand je configure la route ( 192.168.42.0/24 vi
la machine au 2 interface)

Sur le vpn la route pour 10.0.0.0/16 est poussé par la configuration du
serveur je rajoute la route 192.168.42/24 comme je le fais précedement sur
une machine de A mais cela ne marche pas


point de vue configuration des routes:
machine client: ip r a192.168.42.0/24 via 10.0.0.33

sur la machine au 2 interface:
forward par iptable sur les 2 interfaces
iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j
ACCEPT
nat sur le réseau A
iptables -t nat -A  POSTROUTING  -s 10.0.0.1/15 -o eth0 -j MASQUERADE

Et je fais la meme chose sur la machine du vpn pour que le nat marche

est-ce que je fais bien le tout correctement ? ou est ce qu'il y a une
meilleure façon de faire?

En espérant cette fois avoir donner tout les informations nécessaires

Merci pour ton temps David dans tous les cas

Herve





On Mon, Sep 26, 2022 at 11:12 AM David Ponzone 
wrote:


A la vue de cette nouvelle réponse, je pense qu’il est temps que tu donnes
plus d’info :)

Généralement, on fait un accès VPN, entre autres, pour limiter les NAT à
traverser pour atteindre la cible, donc avoir une connectivité IP directe
vers le machine cible.
Là, tu sous-entends que tu utilises le NAT pour permettre au VPN d’accéder
à A...

Le 26 sept. 2022 à 16:31, Dang Herve  a écrit :

les 2 nat pour le VPN pour accéder au réseau A et nat sur la machine qui
est sur le 2 réseaux

Merci je vais regarder les traces voir ci cela m'aide à comprendre ce qui
ne vas pas


On Mon, Sep 26, 2022 at 10:27 AM David Ponzone 
wrote:


Le PC fait du NAT sur les IP de B ou c’est le routeur principal qui fait
du NAT pour tout le monde ?

Si c’est le PC, c’est dans tous les cas ou seulement quand ça part vers
default ?

Pour aller plus loin, faut juste prendre des traces un peu partout (sur
les 2 eth, du PC qui est sur A et B, ça devrait déjà t’en dire pas mal)
pour comprendre:

-fais un ping depuis le VPN
-prends une trace sur le PC/eth A, vérifie que l’ICMP entre (tshark -i
eth0 -f ‘icmp')
-prends une trace sur le PC/ethB, vérifie que l’ICMP sort avec IP
source/dest inchangées, auquel cas tu dois voir le reply aussi
-vérifie à nouveau sur PC/eth A si tu vois ce reply avec son IP src qui
aurait été natée par exemple. Ou peut-être que tu dois pas du tout le reply
(auquel cas le PC filtre ou son kernel n’a pas l’IP forwarding activé, ou
etc…)

Le 26 sept. 2022 à 16:17, Dang Herve  a écrit :

route par défaut sur la machine par B je fais du NAT/Masquerade

On Mon, Sep 26, 2022 at 10:15 AM David Ponzone 
wrote:


Ah chouette, un cas rigolo :)

Et les PC du subnet B, ils ont bien une route vers les IP que tu
attribues à tes utilisateurs VPN (ou une route par défaut) vers le PC qui
sert de routeur entre les 2 ?



Le 26 sept. 2022 à 16:07, Dang Herve  a écrit :

ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé

subnet en 192.168.42


--
Daniel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Daniel via frnog


Oublie le tap, je n'avais pas vu ta réponse

Le 26/09/2022 à 17:54, Daniel a écrit :
eth0 et eth1 ne sont pas des interfaces tun ou tap openvpn. Tu utilises 
tap je suppose...


Le 26/09/2022 à 17:33, Dang Herve a écrit :
réseau A en 10.0.0.0/16 une machine dedans avec un openvpn pour un nat 
pour

accéder au autres machine de A
réseau B en 192.168.42/24 avec une machine qui est sur A et B qui fait du
nat pour que les machines de A qui connaissent la route puisse accéder 
à B


Donc cela marche depuis A quand je configure la route ( 
192.168.42.0/24 vi

la machine au 2 interface)

Sur le vpn la route pour 10.0.0.0/16 est poussé par la configuration du
serveur je rajoute la route 192.168.42/24 comme je le fais précedement 
sur

une machine de A mais cela ne marche pas


point de vue configuration des routes:
machine client: ip r a192.168.42.0/24 via 10.0.0.33

sur la machine au 2 interface:
forward par iptable sur les 2 interfaces
iptables -A FORWARD -i eth1 -o eth0 -m state --state 
RELATED,ESTABLISHED -j

ACCEPT
nat sur le réseau A
iptables -t nat -A  POSTROUTING  -s 10.0.0.1/15 -o eth0 -j MASQUERADE

Et je fais la meme chose sur la machine du vpn pour que le nat marche

est-ce que je fais bien le tout correctement ? ou est ce qu'il y a une
meilleure façon de faire?

En espérant cette fois avoir donner tout les informations nécessaires

Merci pour ton temps David dans tous les cas

Herve





On Mon, Sep 26, 2022 at 11:12 AM David Ponzone 
wrote:

A la vue de cette nouvelle réponse, je pense qu’il est temps que tu 
donnes

plus d’info :)

Généralement, on fait un accès VPN, entre autres, pour limiter les NAT à
traverser pour atteindre la cible, donc avoir une connectivité IP 
directe

vers le machine cible.
Là, tu sous-entends que tu utilises le NAT pour permettre au VPN 
d’accéder

à A...

Le 26 sept. 2022 à 16:31, Dang Herve  a écrit :

les 2 nat pour le VPN pour accéder au réseau A et nat sur la machine qui
est sur le 2 réseaux

Merci je vais regarder les traces voir ci cela m'aide à comprendre ce 
qui

ne vas pas


On Mon, Sep 26, 2022 at 10:27 AM David Ponzone 
wrote:

Le PC fait du NAT sur les IP de B ou c’est le routeur principal qui 
fait

du NAT pour tout le monde ?

Si c’est le PC, c’est dans tous les cas ou seulement quand ça part vers
default ?

Pour aller plus loin, faut juste prendre des traces un peu partout (sur
les 2 eth, du PC qui est sur A et B, ça devrait déjà t’en dire pas mal)
pour comprendre:

-fais un ping depuis le VPN
-prends une trace sur le PC/eth A, vérifie que l’ICMP entre (tshark -i
eth0 -f ‘icmp')
-prends une trace sur le PC/ethB, vérifie que l’ICMP sort avec IP
source/dest inchangées, auquel cas tu dois voir le reply aussi
-vérifie à nouveau sur PC/eth A si tu vois ce reply avec son IP src qui
aurait été natée par exemple. Ou peut-être que tu dois pas du tout 
le reply
(auquel cas le PC filtre ou son kernel n’a pas l’IP forwarding 
activé, ou

etc…)

Le 26 sept. 2022 à 16:17, Dang Herve  a écrit :

route par défaut sur la machine par B je fais du NAT/Masquerade

On Mon, Sep 26, 2022 at 10:15 AM David Ponzone 


wrote:


Ah chouette, un cas rigolo :)

Et les PC du subnet B, ils ont bien une route vers les IP que tu
attribues à tes utilisateurs VPN (ou une route par défaut) vers le 
PC qui

sert de routeur entre les 2 ?



Le 26 sept. 2022 à 16:07, Dang Herve  a écrit :

ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé

subnet en 192.168.42



--
Daniel Huhardeaux
+33.368460...@tootai.net  sip:8...@sip.tootai.net
+41.445532...@swiss-itech.chtootaiNET


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Adrien Rivas

Bonjour,

Donc tu nattes ton VPN quand tu sors de la machine A c'est bien ça ?

Ensuite quand tu dis "Sur le vpn la route pour 10.0.0.0/16 est poussé par
la configuration du
serveur je rajoute la route 192.168.42/24 comme je le fais précedement sur
une machine de A mais cela ne marche pas" tu pousses la deuxième route via
le serveur openVPN ou en manuel sur ton poste client vpn ?

Si c'est le deuxième cas ya des chances que ça marche pas à cause des
réseaux autorisés au sein du vpn (je suppose que tu fais du split tunneling
si tu déclares tes routes).

Le lun. 26 sept. 2022 à 17:34, Dang Herve  a écrit :

> réseau A en 10.0.0.0/16 une machine dedans avec un openvpn pour un nat
> pour
> accéder au autres machine de A
> réseau B en 192.168.42/24 avec une machine qui est sur A et B qui fait du
> nat pour que les machines de A qui connaissent la route puisse accéder à B
>
> Donc cela marche depuis A quand je configure la route ( 192.168.42.0/24 vi
> la machine au 2 interface)
>
> Sur le vpn la route pour 10.0.0.0/16 est poussé par la configuration du
> serveur je rajoute la route 192.168.42/24 comme je le fais précedement sur
> une machine de A mais cela ne marche pas
>
>
> point de vue configuration des routes:
> machine client: ip r a192.168.42.0/24 via 10.0.0.33
>
> sur la machine au 2 interface:
> forward par iptable sur les 2 interfaces
> iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j
> ACCEPT
> nat sur le réseau A
> iptables -t nat -A  POSTROUTING  -s 10.0.0.1/15 -o eth0 -j MASQUERADE
>
> Et je fais la meme chose sur la machine du vpn pour que le nat marche
>
> est-ce que je fais bien le tout correctement ? ou est ce qu'il y a une
> meilleure façon de faire?
>
> En espérant cette fois avoir donner tout les informations nécessaires
>
> Merci pour ton temps David dans tous les cas
>
> Herve
>
>
>
>
>
> On Mon, Sep 26, 2022 at 11:12 AM David Ponzone 
> wrote:
>
> > A la vue de cette nouvelle réponse, je pense qu’il est temps que tu
> donnes
> > plus d’info :)
> >
> > Généralement, on fait un accès VPN, entre autres, pour limiter les NAT à
> > traverser pour atteindre la cible, donc avoir une connectivité IP directe
> > vers le machine cible.
> > Là, tu sous-entends que tu utilises le NAT pour permettre au VPN
> d’accéder
> > à A...
> >
> > Le 26 sept. 2022 à 16:31, Dang Herve  a écrit :
> >
> > les 2 nat pour le VPN pour accéder au réseau A et nat sur la machine qui
> > est sur le 2 réseaux
> >
> > Merci je vais regarder les traces voir ci cela m'aide à comprendre ce qui
> > ne vas pas
> >
> >
> > On Mon, Sep 26, 2022 at 10:27 AM David Ponzone 
> > wrote:
> >
> >> Le PC fait du NAT sur les IP de B ou c’est le routeur principal qui fait
> >> du NAT pour tout le monde ?
> >>
> >> Si c’est le PC, c’est dans tous les cas ou seulement quand ça part vers
> >> default ?
> >>
> >> Pour aller plus loin, faut juste prendre des traces un peu partout (sur
> >> les 2 eth, du PC qui est sur A et B, ça devrait déjà t’en dire pas mal)
> >> pour comprendre:
> >>
> >> -fais un ping depuis le VPN
> >> -prends une trace sur le PC/eth A, vérifie que l’ICMP entre (tshark -i
> >> eth0 -f ‘icmp')
> >> -prends une trace sur le PC/ethB, vérifie que l’ICMP sort avec IP
> >> source/dest inchangées, auquel cas tu dois voir le reply aussi
> >> -vérifie à nouveau sur PC/eth A si tu vois ce reply avec son IP src qui
> >> aurait été natée par exemple. Ou peut-être que tu dois pas du tout le
> reply
> >> (auquel cas le PC filtre ou son kernel n’a pas l’IP forwarding activé,
> ou
> >> etc…)
> >>
> >> Le 26 sept. 2022 à 16:17, Dang Herve  a écrit :
> >>
> >> route par défaut sur la machine par B je fais du NAT/Masquerade
> >>
> >> On Mon, Sep 26, 2022 at 10:15 AM David Ponzone  >
> >> wrote:
> >>
> >>> Ah chouette, un cas rigolo :)
> >>>
> >>> Et les PC du subnet B, ils ont bien une route vers les IP que tu
> >>> attribues à tes utilisateurs VPN (ou une route par défaut) vers le PC
> qui
> >>> sert de routeur entre les 2 ?
> >>>
> >>>
> >>> > Le 26 sept. 2022 à 16:07, Dang Herve  a écrit :
> >>> >
> >>> > ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé
> >>> subnet en 192.168.42
> >>> >
> >>>
> >>>
> >>
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Dang Herve

parametre par defaut (net30) actuellement

On Mon, Sep 26, 2022 at 11:53 AM Pavel Polyakov 
wrote:

> Dang Herve  wrote:
>
> > tun
>
> topology mode? net30/subnet?
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Dang Herve

effectivement ce n'est que pour la machine sur les 2 réseaux pour celle sur
le vpn je fais par ip

On Mon, Sep 26, 2022 at 11:55 AM Daniel via frnog  wrote:

> eth0 et eth1 ne sont pas des interfaces tun ou tap openvpn. Tu utilises
> tap je suppose...
>
> Le 26/09/2022 à 17:33, Dang Herve a écrit :
> > réseau A en 10.0.0.0/16 une machine dedans avec un openvpn pour un nat
> pour
> > accéder au autres machine de A
> > réseau B en 192.168.42/24 avec une machine qui est sur A et B qui fait du
> > nat pour que les machines de A qui connaissent la route puisse accéder à
> B
> >
> > Donc cela marche depuis A quand je configure la route ( 192.168.42.0/24
> vi
> > la machine au 2 interface)
> >
> > Sur le vpn la route pour 10.0.0.0/16 est poussé par la configuration du
> > serveur je rajoute la route 192.168.42/24 comme je le fais précedement
> sur
> > une machine de A mais cela ne marche pas
> >
> >
> > point de vue configuration des routes:
> > machine client: ip r a192.168.42.0/24 via 10.0.0.33
> >
> > sur la machine au 2 interface:
> > forward par iptable sur les 2 interfaces
> > iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED
> -j
> > ACCEPT
> > nat sur le réseau A
> > iptables -t nat -A  POSTROUTING  -s 10.0.0.1/15 -o eth0 -j MASQUERADE
> >
> > Et je fais la meme chose sur la machine du vpn pour que le nat marche
> >
> > est-ce que je fais bien le tout correctement ? ou est ce qu'il y a une
> > meilleure façon de faire?
> >
> > En espérant cette fois avoir donner tout les informations nécessaires
> >
> > Merci pour ton temps David dans tous les cas
> >
> > Herve
> >
> >
> >
> >
> >
> > On Mon, Sep 26, 2022 at 11:12 AM David Ponzone 
> > wrote:
> >
> >> A la vue de cette nouvelle réponse, je pense qu’il est temps que tu
> donnes
> >> plus d’info :)
> >>
> >> Généralement, on fait un accès VPN, entre autres, pour limiter les NAT à
> >> traverser pour atteindre la cible, donc avoir une connectivité IP
> directe
> >> vers le machine cible.
> >> Là, tu sous-entends que tu utilises le NAT pour permettre au VPN
> d’accéder
> >> à A...
> >>
> >> Le 26 sept. 2022 à 16:31, Dang Herve  a écrit :
> >>
> >> les 2 nat pour le VPN pour accéder au réseau A et nat sur la machine qui
> >> est sur le 2 réseaux
> >>
> >> Merci je vais regarder les traces voir ci cela m'aide à comprendre ce
> qui
> >> ne vas pas
> >>
> >>
> >> On Mon, Sep 26, 2022 at 10:27 AM David Ponzone  >
> >> wrote:
> >>
> >>> Le PC fait du NAT sur les IP de B ou c’est le routeur principal qui
> fait
> >>> du NAT pour tout le monde ?
> >>>
> >>> Si c’est le PC, c’est dans tous les cas ou seulement quand ça part vers
> >>> default ?
> >>>
> >>> Pour aller plus loin, faut juste prendre des traces un peu partout (sur
> >>> les 2 eth, du PC qui est sur A et B, ça devrait déjà t’en dire pas mal)
> >>> pour comprendre:
> >>>
> >>> -fais un ping depuis le VPN
> >>> -prends une trace sur le PC/eth A, vérifie que l’ICMP entre (tshark -i
> >>> eth0 -f ‘icmp')
> >>> -prends une trace sur le PC/ethB, vérifie que l’ICMP sort avec IP
> >>> source/dest inchangées, auquel cas tu dois voir le reply aussi
> >>> -vérifie à nouveau sur PC/eth A si tu vois ce reply avec son IP src qui
> >>> aurait été natée par exemple. Ou peut-être que tu dois pas du tout le
> reply
> >>> (auquel cas le PC filtre ou son kernel n’a pas l’IP forwarding activé,
> ou
> >>> etc…)
> >>>
> >>> Le 26 sept. 2022 à 16:17, Dang Herve  a écrit :
> >>>
> >>> route par défaut sur la machine par B je fais du NAT/Masquerade
> >>>
> >>> On Mon, Sep 26, 2022 at 10:15 AM David Ponzone <
> david.ponz...@gmail.com>
> >>> wrote:
> >>>
>  Ah chouette, un cas rigolo :)
> 
>  Et les PC du subnet B, ils ont bien une route vers les IP que tu
>  attribues à tes utilisateurs VPN (ou une route par défaut) vers le PC
> qui
>  sert de routeur entre les 2 ?
> 
> 
> > Le 26 sept. 2022 à 16:07, Dang Herve  a écrit :
> >
> > ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé
>  subnet en 192.168.42
> 
> --
> Daniel
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Pavel Polyakov

Pavel Polyakov  wrote:

> Sur la machine qui fait serveur, tu fais proxy arp :
> 
>  ip neigh add proxy 10.0.0.100 dev eth0

Et j'avais oublié :

Tu routes 10.0.0.100/32 au client :

 ip route add 10.0.0.100/32 dev tun0


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Dang Herve

oui le 10.0.0.0/16 est poussé par le vpn le 192.168.42.0 est manuel sur la
machine client donc ce serait le vpn qui bloquerait le traffic
 de ce que je comprends

On Mon, Sep 26, 2022 at 12:01 PM Adrien Rivas  wrote:

> Bonjour,
>
> Donc tu nattes ton VPN quand tu sors de la machine A c'est bien ça ?
>
> Ensuite quand tu dis "Sur le vpn la route pour 10.0.0.0/16 est poussé par
> la configuration du
> serveur je rajoute la route 192.168.42/24 comme je le fais précedement sur
> une machine de A mais cela ne marche pas" tu pousses la deuxième route via
> le serveur openVPN ou en manuel sur ton poste client vpn ?
>
> Si c'est le deuxième cas ya des chances que ça marche pas à cause des
> réseaux autorisés au sein du vpn (je suppose que tu fais du split tunneling
> si tu déclares tes routes).
>
> Le lun. 26 sept. 2022 à 17:34, Dang Herve  a écrit :
>
>> réseau A en 10.0.0.0/16 une machine dedans avec un openvpn pour un nat
>> pour
>> accéder au autres machine de A
>> réseau B en 192.168.42/24 avec une machine qui est sur A et B qui fait du
>> nat pour que les machines de A qui connaissent la route puisse accéder à B
>>
>> Donc cela marche depuis A quand je configure la route ( 192.168.42.0/24
>> vi
>> la machine au 2 interface)
>>
>> Sur le vpn la route pour 10.0.0.0/16 est poussé par la configuration du
>> serveur je rajoute la route 192.168.42/24 comme je le fais précedement sur
>> une machine de A mais cela ne marche pas
>>
>>
>> point de vue configuration des routes:
>> machine client: ip r a192.168.42.0/24 via 10.0.0.33
>>
>> sur la machine au 2 interface:
>> forward par iptable sur les 2 interfaces
>> iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED
>> -j
>> ACCEPT
>> nat sur le réseau A
>> iptables -t nat -A  POSTROUTING  -s 10.0.0.1/15 -o eth0 -j MASQUERADE
>>
>> Et je fais la meme chose sur la machine du vpn pour que le nat marche
>>
>> est-ce que je fais bien le tout correctement ? ou est ce qu'il y a une
>> meilleure façon de faire?
>>
>> En espérant cette fois avoir donner tout les informations nécessaires
>>
>> Merci pour ton temps David dans tous les cas
>>
>> Herve
>>
>>
>>
>>
>>
>> On Mon, Sep 26, 2022 at 11:12 AM David Ponzone 
>> wrote:
>>
>> > A la vue de cette nouvelle réponse, je pense qu’il est temps que tu
>> donnes
>> > plus d’info :)
>> >
>> > Généralement, on fait un accès VPN, entre autres, pour limiter les NAT à
>> > traverser pour atteindre la cible, donc avoir une connectivité IP
>> directe
>> > vers le machine cible.
>> > Là, tu sous-entends que tu utilises le NAT pour permettre au VPN
>> d’accéder
>> > à A...
>> >
>> > Le 26 sept. 2022 à 16:31, Dang Herve  a écrit :
>> >
>> > les 2 nat pour le VPN pour accéder au réseau A et nat sur la machine qui
>> > est sur le 2 réseaux
>> >
>> > Merci je vais regarder les traces voir ci cela m'aide à comprendre ce
>> qui
>> > ne vas pas
>> >
>> >
>> > On Mon, Sep 26, 2022 at 10:27 AM David Ponzone > >
>> > wrote:
>> >
>> >> Le PC fait du NAT sur les IP de B ou c’est le routeur principal qui
>> fait
>> >> du NAT pour tout le monde ?
>> >>
>> >> Si c’est le PC, c’est dans tous les cas ou seulement quand ça part vers
>> >> default ?
>> >>
>> >> Pour aller plus loin, faut juste prendre des traces un peu partout (sur
>> >> les 2 eth, du PC qui est sur A et B, ça devrait déjà t’en dire pas mal)
>> >> pour comprendre:
>> >>
>> >> -fais un ping depuis le VPN
>> >> -prends une trace sur le PC/eth A, vérifie que l’ICMP entre (tshark -i
>> >> eth0 -f ‘icmp')
>> >> -prends une trace sur le PC/ethB, vérifie que l’ICMP sort avec IP
>> >> source/dest inchangées, auquel cas tu dois voir le reply aussi
>> >> -vérifie à nouveau sur PC/eth A si tu vois ce reply avec son IP src qui
>> >> aurait été natée par exemple. Ou peut-être que tu dois pas du tout le
>> reply
>> >> (auquel cas le PC filtre ou son kernel n’a pas l’IP forwarding activé,
>> ou
>> >> etc…)
>> >>
>> >> Le 26 sept. 2022 à 16:17, Dang Herve  a écrit :
>> >>
>> >> route par défaut sur la machine par B je fais du NAT/Masquerade
>> >>
>> >> On Mon, Sep 26, 2022 at 10:15 AM David Ponzone <
>> david.ponz...@gmail.com>
>> >> wrote:
>> >>
>> >>> Ah chouette, un cas rigolo :)
>> >>>
>> >>> Et les PC du subnet B, ils ont bien une route vers les IP que tu
>> >>> attribues à tes utilisateurs VPN (ou une route par défaut) vers le PC
>> qui
>> >>> sert de routeur entre les 2 ?
>> >>>
>> >>>
>> >>> > Le 26 sept. 2022 à 16:07, Dang Herve  a écrit
>> :
>> >>> >
>> >>> > ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le
>> passé
>> >>> subnet en 192.168.42
>> >>> >
>> >>>
>> >>>
>> >>
>> >
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Dang Herve

ok je vais essayé

merci du tuyaux

Herve


On Mon, Sep 26, 2022 at 12:22 PM Pavel Polyakov 
wrote:

> Dang Herve  wrote:
>
> > est-ce que je fais bien le tout correctement ? ou est ce qu'il y a une
> > meilleure façon de faire?
>
> Non.
>
> Mets ton tunnel en topology subnet.
>
> Ensuite, pousse au client une adresse libre de 10.0.0.0/16. Par
> exemple, 10.0.0.100.
>
> Dans le client-config :
>
>  ifconfig-push 10.0.0.100 255.255.255.255
>
> Sur la machine qui fait serveur, tu fais proxy arp :
>
>  ip neigh add proxy 10.0.0.100 dev eth0
>
> Il faut `net.ipv4.ip_forward = 1` pour que ça fonctionne.
>
> Sur la machine cliente OpenVPN, il suffit de rajouter les routes:
>
>   ip route add 10.0.0.0/16 dev tun0
>   ip route add 192.168.42.0/24 via 10.0.0.33
>
> Et voilà. Tu peux enlever ton NAT crade.
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread David Ponzone

Je rejoins Pavel, il y a clairement moyen de faire plus simple.

Personnellement, j’irai même jusqu’à utiliser un préfixe à part pour les 
utilisateurs VPN, pour ne pas avoir à utiliser cette saloperie de proxy-arp.
Je sais que ça marche mais j’ai perdu assez de temps dans ma vie avec ce truc 
pour ne plus vouloir en entendre parler :)
Ca améliorera la lecture de l’archi aussi, je pense.

> Le 26 sept. 2022 à 18:28, Dang Herve  a écrit :
> 
> ok je vais essayé
> 
> merci du tuyaux
> 
> Herve
> 
> 
> On Mon, Sep 26, 2022 at 12:22 PM Pavel Polyakov 
> wrote:
> 
>> Dang Herve  wrote:
>> 
>>> est-ce que je fais bien le tout correctement ? ou est ce qu'il y a une
>>> meilleure façon de faire?
>> 
>> Non.
>> 
>> Mets ton tunnel en topology subnet.
>> 
>> Ensuite, pousse au client une adresse libre de 10.0.0.0/16. Par
>> exemple, 10.0.0.100.
>> 
>> Dans le client-config :
>> 
>> ifconfig-push 10.0.0.100 255.255.255.255
>> 
>> Sur la machine qui fait serveur, tu fais proxy arp :
>> 
>> ip neigh add proxy 10.0.0.100 dev eth0
>> 
>> Il faut `net.ipv4.ip_forward = 1` pour que ça fonctionne.
>> 
>> Sur la machine cliente OpenVPN, il suffit de rajouter les routes:
>> 
>>  ip route add 10.0.0.0/16 dev tun0
>>  ip route add 192.168.42.0/24 via 10.0.0.33
>> 
>> Et voilà. Tu peux enlever ton NAT crade.
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Dang Herve

Pas de problème s'il y a une manière plus propre de le faire

On Mon, Sep 26, 2022 at 1:21 PM David Ponzone 
wrote:

> Je rejoins Pavel, il y a clairement moyen de faire plus simple.
>
> Personnellement, j’irai même jusqu’à utiliser un préfixe à part pour les
> utilisateurs VPN, pour ne pas avoir à utiliser cette saloperie de proxy-arp.
> Je sais que ça marche mais j’ai perdu assez de temps dans ma vie avec ce
> truc pour ne plus vouloir en entendre parler :)
> Ca améliorera la lecture de l’archi aussi, je pense.
>
> > Le 26 sept. 2022 à 18:28, Dang Herve  a écrit :
> >
> > ok je vais essayé
> >
> > merci du tuyaux
> >
> > Herve
> >
> >
> > On Mon, Sep 26, 2022 at 12:22 PM Pavel Polyakov 
> > wrote:
> >
> >> Dang Herve  wrote:
> >>
> >>> est-ce que je fais bien le tout correctement ? ou est ce qu'il y a une
> >>> meilleure façon de faire?
> >>
> >> Non.
> >>
> >> Mets ton tunnel en topology subnet.
> >>
> >> Ensuite, pousse au client une adresse libre de 10.0.0.0/16. Par
> >> exemple, 10.0.0.100.
> >>
> >> Dans le client-config :
> >>
> >> ifconfig-push 10.0.0.100 255.255.255.255
> >>
> >> Sur la machine qui fait serveur, tu fais proxy arp :
> >>
> >> ip neigh add proxy 10.0.0.100 dev eth0
> >>
> >> Il faut `net.ipv4.ip_forward = 1` pour que ça fonctionne.
> >>
> >> Sur la machine cliente OpenVPN, il suffit de rajouter les routes:
> >>
> >>  ip route add 10.0.0.0/16 dev tun0
> >>  ip route add 192.168.42.0/24 via 10.0.0.33
> >>
> >> Et voilà. Tu peux enlever ton NAT crade.
> >>
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Raphael Mazelier




On 26/09/2022 19:21, David Ponzone wrote:

Je rejoins Pavel, il y a clairement moyen de faire plus simple.

Personnellement, j’irai même jusqu’à utiliser un préfixe à part pour les 
utilisateurs VPN, pour ne pas avoir à utiliser cette saloperie de proxy-arp.
Je sais que ça marche mais j’ai perdu assez de temps dans ma vie avec ce truc 
pour ne plus vouloir en entendre parler :)
Ca améliorera la lecture de l’archi aussi, je pense.


C'est clairement la bonne pratique. Un subnet dédié pour tes 
roadwarriors en net/30 (terminologie openvpn). Et ensuite c'est 
simplement du routing classique. Pour plus de simplicité tu peux source 
natter ton subnet des roadwarriors en sortie de ton serveur vpn. Simple 
basique et approuvé.


--
Raphael Mazelier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Daniel via frnog




Le 26/09/2022 à 19:26, Dang Herve a écrit :

Pas de problème s'il y a une manière plus propre de le faire

Perso, si déjà tu fais un nouveau VPN, passe à wireguard.


On Mon, Sep 26, 2022 at 1:21 PM David Ponzone 
wrote:


Je rejoins Pavel, il y a clairement moyen de faire plus simple.

Personnellement, j’irai même jusqu’à utiliser un préfixe à part pour les
utilisateurs VPN, pour ne pas avoir à utiliser cette saloperie de proxy-arp.
Je sais que ça marche mais j’ai perdu assez de temps dans ma vie avec ce
truc pour ne plus vouloir en entendre parler :)
Ca améliorera la lecture de l’archi aussi, je pense.


Le 26 sept. 2022 à 18:28, Dang Herve  a écrit :

ok je vais essayé

merci du tuyaux

Herve


On Mon, Sep 26, 2022 at 12:22 PM Pavel Polyakov 
wrote:


Dang Herve  wrote:


est-ce que je fais bien le tout correctement ? ou est ce qu'il y a une
meilleure façon de faire?

Non.

Mets ton tunnel en topology subnet.

Ensuite, pousse au client une adresse libre de 10.0.0.0/16. Par
exemple, 10.0.0.100.

Dans le client-config :

ifconfig-push 10.0.0.100 255.255.255.255

Sur la machine qui fait serveur, tu fais proxy arp :

ip neigh add proxy 10.0.0.100 dev eth0

Il faut `net.ipv4.ip_forward = 1` pour que ça fonctionne.

Sur la machine cliente OpenVPN, il suffit de rajouter les routes:

  ip route add 10.0.0.0/16 dev tun0
  ip route add 192.168.42.0/24 via 10.0.0.33

Et voilà. Tu peux enlever ton NAT crade.


--
Daniel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Thread Dang Herve

c'est noté pour wireguard que je connais peu mais je garde cela sous la main

On Mon, Sep 26, 2022 at 1:47 PM Daniel via frnog  wrote:

>
> Le 26/09/2022 à 19:26, Dang Herve a écrit :
> > Pas de problème s'il y a une manière plus propre de le faire
> Perso, si déjà tu fais un nouveau VPN, passe à wireguard.
> >
> > On Mon, Sep 26, 2022 at 1:21 PM David Ponzone 
> > wrote:
> >
> >> Je rejoins Pavel, il y a clairement moyen de faire plus simple.
> >>
> >> Personnellement, j’irai même jusqu’à utiliser un préfixe à part pour les
> >> utilisateurs VPN, pour ne pas avoir à utiliser cette saloperie de
> proxy-arp.
> >> Je sais que ça marche mais j’ai perdu assez de temps dans ma vie avec ce
> >> truc pour ne plus vouloir en entendre parler :)
> >> Ca améliorera la lecture de l’archi aussi, je pense.
> >>
> >>> Le 26 sept. 2022 à 18:28, Dang Herve  a écrit :
> >>>
> >>> ok je vais essayé
> >>>
> >>> merci du tuyaux
> >>>
> >>> Herve
> >>>
> >>>
> >>> On Mon, Sep 26, 2022 at 12:22 PM Pavel Polyakov <
> pbdfrno...@urdn.com.ua>
> >>> wrote:
> >>>
>  Dang Herve  wrote:
> 
> > est-ce que je fais bien le tout correctement ? ou est ce qu'il y a
> une
> > meilleure façon de faire?
>  Non.
> 
>  Mets ton tunnel en topology subnet.
> 
>  Ensuite, pousse au client une adresse libre de 10.0.0.0/16. Par
>  exemple, 10.0.0.100.
> 
>  Dans le client-config :
> 
>  ifconfig-push 10.0.0.100 255.255.255.255
> 
>  Sur la machine qui fait serveur, tu fais proxy arp :
> 
>  ip neigh add proxy 10.0.0.100 dev eth0
> 
>  Il faut `net.ipv4.ip_forward = 1` pour que ça fonctionne.
> 
>  Sur la machine cliente OpenVPN, il suffit de rajouter les routes:
> 
>    ip route add 10.0.0.0/16 dev tun0
>    ip route add 192.168.42.0/24 via 10.0.0.33
> 
>  Et voilà. Tu peux enlever ton NAT crade.
>
> --
> Daniel
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

60 matches

Mail list logo