Je commençais juste à me mettre au marquage de paquet avec iptables Je vais aussi tester ce wireguard.
Merci pour ton aide. Ça me fait gagner un temps précieux. De: "NoSpam" <no-s...@tootai.net> À: "Liste Debian" <debian-user-french@lists.debian.org> Envoyé: Dimanche 9 Juillet 2023 18:08:15 Objet: Re: Tunnel openvpn - comment router tout le trafic dedans ou bien router simultanément le trafic d'un terminal/d'une fenêtre de navigateur/d'un process dans SON propre tunnel? Il te faut du marquage aussi via nftables ou iptables. Wireguard est effectivement alternatif à openvpn, mais plus rapide, plus facile à configurer, technologie récente proche du noyau. Le 09/07/2023 à 17:23, [ mailto:roger.tar...@free.fr | roger.tar...@free.fr ] a écrit : Merci. Je vais d'abord plancher sur iproute2 puisque c'est la norme. wireguard : je croyais que c'était juste un vpn alternatif à openpvn ou autre. A creuser pour moi. De: "NoSpam" [ mailto:no-s...@tootai.net | <no-s...@tootai.net> ] À: "Liste Debian" [ mailto:debian-user-french@lists.debian.org | <debian-user-french@lists.debian.org> ] Envoyé: Dimanche 9 Juillet 2023 17:00:14 Objet: Re: Tunnel openvpn - comment router tout le trafic dedans ou bien router simultanément le trafic d'un terminal/d'une fenêtre de navigateur/d'un process dans SON propre tunnel? Cela s'appelle du routage, iproute2 installé d'office, fait cela en faisant du marquage. Sinon wireguard permet également de router via sa configuration Le 09/07/2023 à 14:11, [ mailto:roger.tar...@free.fr | roger.tar...@free.fr ] a écrit : BQ_BEGIN Bonjour, Je peux me connecter à un serveur openvpn en CLI (sudo openvpn truc.conf) ou par le GUI (gnome VPN settings : clic). Je vois cette connexion client sur le serveur (10.0.0.x). $ ip addr 2: enp0s25: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master br0 state UP group default qlen 1000 link/ether 78:e7:d1:85:f0:79 brd ff:ff:ff:ff:ff:ff 3: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000 link/ether 92:fc:e6:5d:91:eb brd ff:ff:ff:ff:ff:ff inet 192.168.1.153/24 brd 192.168.1.255 scope global noprefixroute br0 valid_lft forever preferred_lft forever inet6 2a02:.................................... /64 scope global dynamic noprefixroute valid_lft 604402sec preferred_lft 604402sec inet6 fe80::.................../64 scope link noprefixroute valid_lft forever preferred_lft forever ... 21: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 500 link/none inet 10.0.0.2 peer 10.0.0.5/32 scope global tun0 valid_lft forever preferred_lft forever inet6 fe80::................................./64 scope link stable-privacy valid_lft forever preferred_lft forever Oui, il y a un bridge car j'avais du utiliser ce mécanisme pour me tirer d'un problème de connexion. Avec nmcli. Ça fonctionne bien ainsi depuis des années. Malgré le tunnel, depuis un autre terminal ou depuis un navigateur ma machine a toujours la même adresse IP (celle publique fournie par mon opérateur), bien que je sois connecté au vpn. Je suis autonome en réseau pour des choses ordinaires . Là c'est plus compliqué... Voici le fichier .ovpn (freebox) qui bascule toutes les cnx de la machine dans le VPN (sans les certificats) client remote $REMOTE_IP 6504 proto udp nobind dev-type tun pull dev tun0 redirect-gateway auth-user-pass login.txt auth-retry interact fragment 1452 mssfix 1452 explicit-exit-notify 3 remote-cert-tls server verify-x509-name "C=FR, O=Freebox SA, CN=Freebox OpenVPN server xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx" cipher AES-256-CBC Et celui qui ne fait pas ce que j'attends : dev tun tls-client remote $REMOTE_IP 1195 pull proto udp script-security 2 comp-lzo reneg-sec 0 cipher AES-256-CBC auth SHA512 auth-user-pass Le fichier .opvpn m'est fourni par le détenteur du serveur openvpn. Je ne suis pas expert en openvpn bien qu'autonome pour l'utiliser. Je me dis que le problème vient de ce fichier de configuration openvpn. Je fouille donc du côté d'openvpn "Comment router tout le trafic d'une machine dans un tunnel openvpn"... Résultat : Il se pourrait que ce soit la directive suivante qui permette de router tout le trafic dans le tunnel vpn : redirect-gateway ou redirect-gateway def1 Ou push "redirect-gateway" push "redirect-gateway def1" Qu'en pensez-vous ? Quelle est la manière de faire ça proprement ? - sans modifier le fichier .opvpn fourni - en le modifiant a minima (ex : ajouter la directive redirect-gateway ) Je vais plus loin : J'ai souvent besoin de me connecter à diverses machines en CLI ou avec un navigateur via un tunnel. Je sais faire ça successivement mais pas simultanément. Je veux éviter de devoir gérer successivement chaque tunnel unique. J'ai aussi des connexions RDP actives qui doivent rester hors des tunnels. Comment puis-je router SIMULTANEMENT le trafic de tel terminal, ou telle fenêtre de navigateur dans le tunnel ssh/vpn qui LUI correspond, sans toucher au trafic des autres connexions (RDP, etc.) ? Ça c'est du vrai réseau, pas ordinaire (pour moi)...! Merci. BQ_END
