Cela s'appelle du routage, iproute2 installé d'office, fait cela en
faisant du marquage. Sinon wireguard permet également de router via sa
configuration
Le 09/07/2023 à 14:11, roger.tar...@free.fr a écrit :
Bonjour,
Je peux me connecter à un serveur openvpn en CLI (sudo openvpn
truc.conf) ou par le GUI (gnome VPN settings : clic).
Je vois cette connexion client sur le serveur (10.0.0.x).
$ ip addr
2: enp0s25: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc
pfifo_fast master br0 state UP group default qlen 1000
link/ether 78:e7:d1:85:f0:79 brd ff:ff:ff:ff:ff:ff
3: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state
UP group default qlen 1000
link/ether 92:fc:e6:5d:91:eb brd ff:ff:ff:ff:ff:ff
inet 192.168.1.153/24 brd 192.168.1.255 scope global noprefixroute br0
valid_lft forever preferred_lft forever
inet6 2a02:.................................... /64 scope global
dynamic noprefixroute
valid_lft 604402sec preferred_lft 604402sec
inet6 fe80::.................../64 scope link noprefixroute
valid_lft forever preferred_lft forever
...
21: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc
pfifo_fast state UNKNOWN group default qlen 500
link/none
inet 10.0.0.2 peer 10.0.0.5/32 scope global tun0
valid_lft forever preferred_lft forever
inet6 fe80::................................./64 scope link
stable-privacy
valid_lft forever preferred_lft forever
Oui, il y a un bridge car j'avais du utiliser ce mécanisme pour me
tirer d'un problème de connexion. Avec nmcli.
Ça fonctionne bien ainsi depuis des années.
Malgré le tunnel, depuis un autre terminal ou depuis un navigateur ma
machine a toujours la même adresse IP (celle publique fournie par mon
opérateur), bien que je sois connecté au vpn.
Je suis autonome en réseau pour des choses ordinaires.
Là c'est plus compliqué...
Voici le fichier .ovpn (freebox) qui bascule toutes les cnx de la
machine dans le VPN (sans les certificats)
client
remote $REMOTE_IP 6504
proto udp
nobind
dev-type tun
pull
dev tun0
redirect-gateway
auth-user-pass login.txt
auth-retry interact
fragment 1452
mssfix 1452
explicit-exit-notify 3
remote-cert-tls server
verify-x509-name "C=FR, O=Freebox SA, CN=Freebox OpenVPN server
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
cipher AES-256-CBC
Et celui qui ne fait pas ce que j'attends :
dev tun
tls-client
remote $REMOTE_IP 1195
pull
proto udp
script-security 2
comp-lzo
reneg-sec 0
cipher AES-256-CBC
auth SHA512
auth-user-pass
Le fichier .opvpn m'est fourni par le détenteur du serveur openvpn.
Je ne suis pas expert en openvpn bien qu'autonome pour l'utiliser.
Je me dis que le problème vient de ce fichier de configuration openvpn.
Je fouille donc du côté d'openvpn "Comment router tout le trafic d'une
machine dans un tunnel openvpn"...
Résultat :
Il se pourrait que ce soit la directive suivante qui permette de
router tout le trafic dans le tunnel vpn :
redirect-gateway
ou
redirect-gateway def1
Ou
push "redirect-gateway"
push "redirect-gateway def1"
Qu'en pensez-vous ?
Quelle est la manière de faire ça proprement ?
- sans modifier le fichier .opvpn fourni
- en le modifiant a minima (ex : ajouter la directive redirect-gateway)
Je vais plus loin :
J'ai souvent besoin de me connecter à diverses machines en CLI ou avec
un navigateur via un tunnel.
Je sais faire ça successivement mais pas simultanément.
Je veux éviter de devoir gérer successivement chaque tunnel unique.
J'ai aussi des connexions RDP actives qui doivent rester hors des tunnels.
Comment puis-je router SIMULTANEMENT le trafic de tel terminal, ou
telle fenêtre de navigateur dans le tunnel ssh/vpn qui LUI correspond,
sans toucher au trafic des autres connexions (RDP, etc.) ?
Ça c'est du vrai réseau, pas ordinaire (pour moi)...!
Merci.
