Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Par sujet Dang Herve 
c'est noté pour wireguard que je connais peu mais je garde cela sous la main

On Mon, Sep 26, 2022 at 1:47 PM Daniel via frnog  wrote:

>
> Le 26/09/2022 à 19:26, Dang Herve a écrit :
> > Pas de problème s'il y a une manière plus propre de le faire
> Perso, si déjà tu fais un nouveau VPN, passe à wireguard.
> >
> > On Mon, Sep 26, 2022 at 1:21 PM David Ponzone 
> > wrote:
> >
> >> Je rejoins Pavel, il y a clairement moyen de faire plus simple.
> >>
> >> Personnellement, j’irai même jusqu’à utiliser un préfixe à part pour les
> >> utilisateurs VPN, pour ne pas avoir à utiliser cette saloperie de
> proxy-arp.
> >> Je sais que ça marche mais j’ai perdu assez de temps dans ma vie avec ce
> >> truc pour ne plus vouloir en entendre parler :)
> >> Ca améliorera la lecture de l’archi aussi, je pense.
> >>
> >>> Le 26 sept. 2022 à 18:28, Dang Herve  a écrit :
> >>>
> >>> ok je vais essayé
> >>>
> >>> merci du tuyaux
> >>>
> >>> Herve
> >>>
> >>>
> >>> On Mon, Sep 26, 2022 at 12:22 PM Pavel Polyakov <
> pbdfrno...@urdn.com.ua>
> >>> wrote:
> >>>
>  Dang Herve  wrote:
> 
> > est-ce que je fais bien le tout correctement ? ou est ce qu'il y a
> une
> > meilleure façon de faire?
>  Non.
> 
>  Mets ton tunnel en topology subnet.
> 
>  Ensuite, pousse au client une adresse libre de 10.0.0.0/16. Par
>  exemple, 10.0.0.100.
> 
>  Dans le client-config :
> 
>  ifconfig-push 10.0.0.100 255.255.255.255
> 
>  Sur la machine qui fait serveur, tu fais proxy arp :
> 
>  ip neigh add proxy 10.0.0.100 dev eth0
> 
>  Il faut `net.ipv4.ip_forward = 1` pour que ça fonctionne.
> 
>  Sur la machine cliente OpenVPN, il suffit de rajouter les routes:
> 
>    ip route add 10.0.0.0/16 dev tun0
>    ip route add 192.168.42.0/24 via 10.0.0.33
> 
>  Et voilà. Tu peux enlever ton NAT crade.
>
> --
> Daniel
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Par sujet Daniel via frnog 



Le 26/09/2022 à 19:26, Dang Herve a écrit :

Pas de problème s'il y a une manière plus propre de le faire

Perso, si déjà tu fais un nouveau VPN, passe à wireguard.


On Mon, Sep 26, 2022 at 1:21 PM David Ponzone 
wrote:


Je rejoins Pavel, il y a clairement moyen de faire plus simple.

Personnellement, j’irai même jusqu’à utiliser un préfixe à part pour les
utilisateurs VPN, pour ne pas avoir à utiliser cette saloperie de proxy-arp.
Je sais que ça marche mais j’ai perdu assez de temps dans ma vie avec ce
truc pour ne plus vouloir en entendre parler :)
Ca améliorera la lecture de l’archi aussi, je pense.


Le 26 sept. 2022 à 18:28, Dang Herve  a écrit :

ok je vais essayé

merci du tuyaux

Herve


On Mon, Sep 26, 2022 at 12:22 PM Pavel Polyakov 
wrote:


Dang Herve  wrote:


est-ce que je fais bien le tout correctement ? ou est ce qu'il y a une
meilleure façon de faire?

Non.

Mets ton tunnel en topology subnet.

Ensuite, pousse au client une adresse libre de 10.0.0.0/16. Par
exemple, 10.0.0.100.

Dans le client-config :

ifconfig-push 10.0.0.100 255.255.255.255

Sur la machine qui fait serveur, tu fais proxy arp :

ip neigh add proxy 10.0.0.100 dev eth0

Il faut `net.ipv4.ip_forward = 1` pour que ça fonctionne.

Sur la machine cliente OpenVPN, il suffit de rajouter les routes:

  ip route add 10.0.0.0/16 dev tun0
  ip route add 192.168.42.0/24 via 10.0.0.33

Et voilà. Tu peux enlever ton NAT crade.


--
Daniel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Par sujet Raphael Mazelier 



On 26/09/2022 19:21, David Ponzone wrote:

Je rejoins Pavel, il y a clairement moyen de faire plus simple.

Personnellement, j’irai même jusqu’à utiliser un préfixe à part pour les 
utilisateurs VPN, pour ne pas avoir à utiliser cette saloperie de proxy-arp.
Je sais que ça marche mais j’ai perdu assez de temps dans ma vie avec ce truc 
pour ne plus vouloir en entendre parler :)
Ca améliorera la lecture de l’archi aussi, je pense.


C'est clairement la bonne pratique. Un subnet dédié pour tes 
roadwarriors en net/30 (terminologie openvpn). Et ensuite c'est 
simplement du routing classique. Pour plus de simplicité tu peux source 
natter ton subnet des roadwarriors en sortie de ton serveur vpn. Simple 
basique et approuvé.


--
Raphael Mazelier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Par sujet Dang Herve 
Pas de problème s'il y a une manière plus propre de le faire

On Mon, Sep 26, 2022 at 1:21 PM David Ponzone 
wrote:

> Je rejoins Pavel, il y a clairement moyen de faire plus simple.
>
> Personnellement, j’irai même jusqu’à utiliser un préfixe à part pour les
> utilisateurs VPN, pour ne pas avoir à utiliser cette saloperie de proxy-arp.
> Je sais que ça marche mais j’ai perdu assez de temps dans ma vie avec ce
> truc pour ne plus vouloir en entendre parler :)
> Ca améliorera la lecture de l’archi aussi, je pense.
>
> > Le 26 sept. 2022 à 18:28, Dang Herve  a écrit :
> >
> > ok je vais essayé
> >
> > merci du tuyaux
> >
> > Herve
> >
> >
> > On Mon, Sep 26, 2022 at 12:22 PM Pavel Polyakov 
> > wrote:
> >
> >> Dang Herve  wrote:
> >>
> >>> est-ce que je fais bien le tout correctement ? ou est ce qu'il y a une
> >>> meilleure façon de faire?
> >>
> >> Non.
> >>
> >> Mets ton tunnel en topology subnet.
> >>
> >> Ensuite, pousse au client une adresse libre de 10.0.0.0/16. Par
> >> exemple, 10.0.0.100.
> >>
> >> Dans le client-config :
> >>
> >> ifconfig-push 10.0.0.100 255.255.255.255
> >>
> >> Sur la machine qui fait serveur, tu fais proxy arp :
> >>
> >> ip neigh add proxy 10.0.0.100 dev eth0
> >>
> >> Il faut `net.ipv4.ip_forward = 1` pour que ça fonctionne.
> >>
> >> Sur la machine cliente OpenVPN, il suffit de rajouter les routes:
> >>
> >>  ip route add 10.0.0.0/16 dev tun0
> >>  ip route add 192.168.42.0/24 via 10.0.0.33
> >>
> >> Et voilà. Tu peux enlever ton NAT crade.
> >>
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Par sujet David Ponzone 
Je rejoins Pavel, il y a clairement moyen de faire plus simple.

Personnellement, j’irai même jusqu’à utiliser un préfixe à part pour les 
utilisateurs VPN, pour ne pas avoir à utiliser cette saloperie de proxy-arp.
Je sais que ça marche mais j’ai perdu assez de temps dans ma vie avec ce truc 
pour ne plus vouloir en entendre parler :)
Ca améliorera la lecture de l’archi aussi, je pense.

> Le 26 sept. 2022 à 18:28, Dang Herve  a écrit :
> 
> ok je vais essayé
> 
> merci du tuyaux
> 
> Herve
> 
> 
> On Mon, Sep 26, 2022 at 12:22 PM Pavel Polyakov 
> wrote:
> 
>> Dang Herve  wrote:
>> 
>>> est-ce que je fais bien le tout correctement ? ou est ce qu'il y a une
>>> meilleure façon de faire?
>> 
>> Non.
>> 
>> Mets ton tunnel en topology subnet.
>> 
>> Ensuite, pousse au client une adresse libre de 10.0.0.0/16. Par
>> exemple, 10.0.0.100.
>> 
>> Dans le client-config :
>> 
>> ifconfig-push 10.0.0.100 255.255.255.255
>> 
>> Sur la machine qui fait serveur, tu fais proxy arp :
>> 
>> ip neigh add proxy 10.0.0.100 dev eth0
>> 
>> Il faut `net.ipv4.ip_forward = 1` pour que ça fonctionne.
>> 
>> Sur la machine cliente OpenVPN, il suffit de rajouter les routes:
>> 
>>  ip route add 10.0.0.0/16 dev tun0
>>  ip route add 192.168.42.0/24 via 10.0.0.33
>> 
>> Et voilà. Tu peux enlever ton NAT crade.
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Par sujet Dang Herve 
ok je vais essayé

merci du tuyaux

Herve


On Mon, Sep 26, 2022 at 12:22 PM Pavel Polyakov 
wrote:

> Dang Herve  wrote:
>
> > est-ce que je fais bien le tout correctement ? ou est ce qu'il y a une
> > meilleure façon de faire?
>
> Non.
>
> Mets ton tunnel en topology subnet.
>
> Ensuite, pousse au client une adresse libre de 10.0.0.0/16. Par
> exemple, 10.0.0.100.
>
> Dans le client-config :
>
>  ifconfig-push 10.0.0.100 255.255.255.255
>
> Sur la machine qui fait serveur, tu fais proxy arp :
>
>  ip neigh add proxy 10.0.0.100 dev eth0
>
> Il faut `net.ipv4.ip_forward = 1` pour que ça fonctionne.
>
> Sur la machine cliente OpenVPN, il suffit de rajouter les routes:
>
>   ip route add 10.0.0.0/16 dev tun0
>   ip route add 192.168.42.0/24 via 10.0.0.33
>
> Et voilà. Tu peux enlever ton NAT crade.
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Par sujet Dang Herve 
oui le 10.0.0.0/16 est poussé par le vpn le 192.168.42.0 est manuel sur la
machine client donc ce serait le vpn qui bloquerait le traffic
 de ce que je comprends

On Mon, Sep 26, 2022 at 12:01 PM Adrien Rivas  wrote:

> Bonjour,
>
> Donc tu nattes ton VPN quand tu sors de la machine A c'est bien ça ?
>
> Ensuite quand tu dis "Sur le vpn la route pour 10.0.0.0/16 est poussé par
> la configuration du
> serveur je rajoute la route 192.168.42/24 comme je le fais précedement sur
> une machine de A mais cela ne marche pas" tu pousses la deuxième route via
> le serveur openVPN ou en manuel sur ton poste client vpn ?
>
> Si c'est le deuxième cas ya des chances que ça marche pas à cause des
> réseaux autorisés au sein du vpn (je suppose que tu fais du split tunneling
> si tu déclares tes routes).
>
> Le lun. 26 sept. 2022 à 17:34, Dang Herve  a écrit :
>
>> réseau A en 10.0.0.0/16 une machine dedans avec un openvpn pour un nat
>> pour
>> accéder au autres machine de A
>> réseau B en 192.168.42/24 avec une machine qui est sur A et B qui fait du
>> nat pour que les machines de A qui connaissent la route puisse accéder à B
>>
>> Donc cela marche depuis A quand je configure la route ( 192.168.42.0/24
>> vi
>> la machine au 2 interface)
>>
>> Sur le vpn la route pour 10.0.0.0/16 est poussé par la configuration du
>> serveur je rajoute la route 192.168.42/24 comme je le fais précedement sur
>> une machine de A mais cela ne marche pas
>>
>>
>> point de vue configuration des routes:
>> machine client: ip r a192.168.42.0/24 via 10.0.0.33
>>
>> sur la machine au 2 interface:
>> forward par iptable sur les 2 interfaces
>> iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED
>> -j
>> ACCEPT
>> nat sur le réseau A
>> iptables -t nat -A  POSTROUTING  -s 10.0.0.1/15 -o eth0 -j MASQUERADE
>>
>> Et je fais la meme chose sur la machine du vpn pour que le nat marche
>>
>> est-ce que je fais bien le tout correctement ? ou est ce qu'il y a une
>> meilleure façon de faire?
>>
>> En espérant cette fois avoir donner tout les informations nécessaires
>>
>> Merci pour ton temps David dans tous les cas
>>
>> Herve
>>
>>
>>
>>
>>
>> On Mon, Sep 26, 2022 at 11:12 AM David Ponzone 
>> wrote:
>>
>> > A la vue de cette nouvelle réponse, je pense qu’il est temps que tu
>> donnes
>> > plus d’info :)
>> >
>> > Généralement, on fait un accès VPN, entre autres, pour limiter les NAT à
>> > traverser pour atteindre la cible, donc avoir une connectivité IP
>> directe
>> > vers le machine cible.
>> > Là, tu sous-entends que tu utilises le NAT pour permettre au VPN
>> d’accéder
>> > à A...
>> >
>> > Le 26 sept. 2022 à 16:31, Dang Herve  a écrit :
>> >
>> > les 2 nat pour le VPN pour accéder au réseau A et nat sur la machine qui
>> > est sur le 2 réseaux
>> >
>> > Merci je vais regarder les traces voir ci cela m'aide à comprendre ce
>> qui
>> > ne vas pas
>> >
>> >
>> > On Mon, Sep 26, 2022 at 10:27 AM David Ponzone > >
>> > wrote:
>> >
>> >> Le PC fait du NAT sur les IP de B ou c’est le routeur principal qui
>> fait
>> >> du NAT pour tout le monde ?
>> >>
>> >> Si c’est le PC, c’est dans tous les cas ou seulement quand ça part vers
>> >> default ?
>> >>
>> >> Pour aller plus loin, faut juste prendre des traces un peu partout (sur
>> >> les 2 eth, du PC qui est sur A et B, ça devrait déjà t’en dire pas mal)
>> >> pour comprendre:
>> >>
>> >> -fais un ping depuis le VPN
>> >> -prends une trace sur le PC/eth A, vérifie que l’ICMP entre (tshark -i
>> >> eth0 -f ‘icmp')
>> >> -prends une trace sur le PC/ethB, vérifie que l’ICMP sort avec IP
>> >> source/dest inchangées, auquel cas tu dois voir le reply aussi
>> >> -vérifie à nouveau sur PC/eth A si tu vois ce reply avec son IP src qui
>> >> aurait été natée par exemple. Ou peut-être que tu dois pas du tout le
>> reply
>> >> (auquel cas le PC filtre ou son kernel n’a pas l’IP forwarding activé,
>> ou
>> >> etc…)
>> >>
>> >> Le 26 sept. 2022 à 16:17, Dang Herve  a écrit :
>> >>
>> >> route par défaut sur la machine par B je fais du NAT/Masquerade
>> >>
>> >> On Mon, Sep 26, 2022 at 10:15 AM David Ponzone <
>> david.ponz...@gmail.com>
>> >> wrote:
>> >>
>> >>> Ah chouette, un cas rigolo :)
>> >>>
>> >>> Et les PC du subnet B, ils ont bien une route vers les IP que tu
>> >>> attribues à tes utilisateurs VPN (ou une route par défaut) vers le PC
>> qui
>> >>> sert de routeur entre les 2 ?
>> >>>
>> >>>
>> >>> > Le 26 sept. 2022 à 16:07, Dang Herve  a écrit
>> :
>> >>> >
>> >>> > ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le
>> passé
>> >>> subnet en 192.168.42
>> >>> >
>> >>>
>> >>>
>> >>
>> >
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Par sujet Pavel Polyakov 
Pavel Polyakov  wrote:

> Sur la machine qui fait serveur, tu fais proxy arp :
> 
>  ip neigh add proxy 10.0.0.100 dev eth0

Et j'avais oublié :

Tu routes 10.0.0.100/32 au client :

 ip route add 10.0.0.100/32 dev tun0


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Par sujet Dang Herve 
effectivement ce n'est que pour la machine sur les 2 réseaux pour celle sur
le vpn je fais par ip

On Mon, Sep 26, 2022 at 11:55 AM Daniel via frnog  wrote:

> eth0 et eth1 ne sont pas des interfaces tun ou tap openvpn. Tu utilises
> tap je suppose...
>
> Le 26/09/2022 à 17:33, Dang Herve a écrit :
> > réseau A en 10.0.0.0/16 une machine dedans avec un openvpn pour un nat
> pour
> > accéder au autres machine de A
> > réseau B en 192.168.42/24 avec une machine qui est sur A et B qui fait du
> > nat pour que les machines de A qui connaissent la route puisse accéder à
> B
> >
> > Donc cela marche depuis A quand je configure la route ( 192.168.42.0/24
> vi
> > la machine au 2 interface)
> >
> > Sur le vpn la route pour 10.0.0.0/16 est poussé par la configuration du
> > serveur je rajoute la route 192.168.42/24 comme je le fais précedement
> sur
> > une machine de A mais cela ne marche pas
> >
> >
> > point de vue configuration des routes:
> > machine client: ip r a192.168.42.0/24 via 10.0.0.33
> >
> > sur la machine au 2 interface:
> > forward par iptable sur les 2 interfaces
> > iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED
> -j
> > ACCEPT
> > nat sur le réseau A
> > iptables -t nat -A  POSTROUTING  -s 10.0.0.1/15 -o eth0 -j MASQUERADE
> >
> > Et je fais la meme chose sur la machine du vpn pour que le nat marche
> >
> > est-ce que je fais bien le tout correctement ? ou est ce qu'il y a une
> > meilleure façon de faire?
> >
> > En espérant cette fois avoir donner tout les informations nécessaires
> >
> > Merci pour ton temps David dans tous les cas
> >
> > Herve
> >
> >
> >
> >
> >
> > On Mon, Sep 26, 2022 at 11:12 AM David Ponzone 
> > wrote:
> >
> >> A la vue de cette nouvelle réponse, je pense qu’il est temps que tu
> donnes
> >> plus d’info :)
> >>
> >> Généralement, on fait un accès VPN, entre autres, pour limiter les NAT à
> >> traverser pour atteindre la cible, donc avoir une connectivité IP
> directe
> >> vers le machine cible.
> >> Là, tu sous-entends que tu utilises le NAT pour permettre au VPN
> d’accéder
> >> à A...
> >>
> >> Le 26 sept. 2022 à 16:31, Dang Herve  a écrit :
> >>
> >> les 2 nat pour le VPN pour accéder au réseau A et nat sur la machine qui
> >> est sur le 2 réseaux
> >>
> >> Merci je vais regarder les traces voir ci cela m'aide à comprendre ce
> qui
> >> ne vas pas
> >>
> >>
> >> On Mon, Sep 26, 2022 at 10:27 AM David Ponzone  >
> >> wrote:
> >>
> >>> Le PC fait du NAT sur les IP de B ou c’est le routeur principal qui
> fait
> >>> du NAT pour tout le monde ?
> >>>
> >>> Si c’est le PC, c’est dans tous les cas ou seulement quand ça part vers
> >>> default ?
> >>>
> >>> Pour aller plus loin, faut juste prendre des traces un peu partout (sur
> >>> les 2 eth, du PC qui est sur A et B, ça devrait déjà t’en dire pas mal)
> >>> pour comprendre:
> >>>
> >>> -fais un ping depuis le VPN
> >>> -prends une trace sur le PC/eth A, vérifie que l’ICMP entre (tshark -i
> >>> eth0 -f ‘icmp')
> >>> -prends une trace sur le PC/ethB, vérifie que l’ICMP sort avec IP
> >>> source/dest inchangées, auquel cas tu dois voir le reply aussi
> >>> -vérifie à nouveau sur PC/eth A si tu vois ce reply avec son IP src qui
> >>> aurait été natée par exemple. Ou peut-être que tu dois pas du tout le
> reply
> >>> (auquel cas le PC filtre ou son kernel n’a pas l’IP forwarding activé,
> ou
> >>> etc…)
> >>>
> >>> Le 26 sept. 2022 à 16:17, Dang Herve  a écrit :
> >>>
> >>> route par défaut sur la machine par B je fais du NAT/Masquerade
> >>>
> >>> On Mon, Sep 26, 2022 at 10:15 AM David Ponzone <
> david.ponz...@gmail.com>
> >>> wrote:
> >>>
>  Ah chouette, un cas rigolo :)
> 
>  Et les PC du subnet B, ils ont bien une route vers les IP que tu
>  attribues à tes utilisateurs VPN (ou une route par défaut) vers le PC
> qui
>  sert de routeur entre les 2 ?
> 
> 
> > Le 26 sept. 2022 à 16:07, Dang Herve  a écrit :
> >
> > ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé
>  subnet en 192.168.42
> 
> --
> Daniel
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Par sujet Dang Herve 
parametre par defaut (net30) actuellement

On Mon, Sep 26, 2022 at 11:53 AM Pavel Polyakov 
wrote:

> Dang Herve  wrote:
>
> > tun
>
> topology mode? net30/subnet?
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Par sujet Adrien Rivas 
Bonjour,

Donc tu nattes ton VPN quand tu sors de la machine A c'est bien ça ?

Ensuite quand tu dis "Sur le vpn la route pour 10.0.0.0/16 est poussé par
la configuration du
serveur je rajoute la route 192.168.42/24 comme je le fais précedement sur
une machine de A mais cela ne marche pas" tu pousses la deuxième route via
le serveur openVPN ou en manuel sur ton poste client vpn ?

Si c'est le deuxième cas ya des chances que ça marche pas à cause des
réseaux autorisés au sein du vpn (je suppose que tu fais du split tunneling
si tu déclares tes routes).

Le lun. 26 sept. 2022 à 17:34, Dang Herve  a écrit :

> réseau A en 10.0.0.0/16 une machine dedans avec un openvpn pour un nat
> pour
> accéder au autres machine de A
> réseau B en 192.168.42/24 avec une machine qui est sur A et B qui fait du
> nat pour que les machines de A qui connaissent la route puisse accéder à B
>
> Donc cela marche depuis A quand je configure la route ( 192.168.42.0/24 vi
> la machine au 2 interface)
>
> Sur le vpn la route pour 10.0.0.0/16 est poussé par la configuration du
> serveur je rajoute la route 192.168.42/24 comme je le fais précedement sur
> une machine de A mais cela ne marche pas
>
>
> point de vue configuration des routes:
> machine client: ip r a192.168.42.0/24 via 10.0.0.33
>
> sur la machine au 2 interface:
> forward par iptable sur les 2 interfaces
> iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j
> ACCEPT
> nat sur le réseau A
> iptables -t nat -A  POSTROUTING  -s 10.0.0.1/15 -o eth0 -j MASQUERADE
>
> Et je fais la meme chose sur la machine du vpn pour que le nat marche
>
> est-ce que je fais bien le tout correctement ? ou est ce qu'il y a une
> meilleure façon de faire?
>
> En espérant cette fois avoir donner tout les informations nécessaires
>
> Merci pour ton temps David dans tous les cas
>
> Herve
>
>
>
>
>
> On Mon, Sep 26, 2022 at 11:12 AM David Ponzone 
> wrote:
>
> > A la vue de cette nouvelle réponse, je pense qu’il est temps que tu
> donnes
> > plus d’info :)
> >
> > Généralement, on fait un accès VPN, entre autres, pour limiter les NAT à
> > traverser pour atteindre la cible, donc avoir une connectivité IP directe
> > vers le machine cible.
> > Là, tu sous-entends que tu utilises le NAT pour permettre au VPN
> d’accéder
> > à A...
> >
> > Le 26 sept. 2022 à 16:31, Dang Herve  a écrit :
> >
> > les 2 nat pour le VPN pour accéder au réseau A et nat sur la machine qui
> > est sur le 2 réseaux
> >
> > Merci je vais regarder les traces voir ci cela m'aide à comprendre ce qui
> > ne vas pas
> >
> >
> > On Mon, Sep 26, 2022 at 10:27 AM David Ponzone 
> > wrote:
> >
> >> Le PC fait du NAT sur les IP de B ou c’est le routeur principal qui fait
> >> du NAT pour tout le monde ?
> >>
> >> Si c’est le PC, c’est dans tous les cas ou seulement quand ça part vers
> >> default ?
> >>
> >> Pour aller plus loin, faut juste prendre des traces un peu partout (sur
> >> les 2 eth, du PC qui est sur A et B, ça devrait déjà t’en dire pas mal)
> >> pour comprendre:
> >>
> >> -fais un ping depuis le VPN
> >> -prends une trace sur le PC/eth A, vérifie que l’ICMP entre (tshark -i
> >> eth0 -f ‘icmp')
> >> -prends une trace sur le PC/ethB, vérifie que l’ICMP sort avec IP
> >> source/dest inchangées, auquel cas tu dois voir le reply aussi
> >> -vérifie à nouveau sur PC/eth A si tu vois ce reply avec son IP src qui
> >> aurait été natée par exemple. Ou peut-être que tu dois pas du tout le
> reply
> >> (auquel cas le PC filtre ou son kernel n’a pas l’IP forwarding activé,
> ou
> >> etc…)
> >>
> >> Le 26 sept. 2022 à 16:17, Dang Herve  a écrit :
> >>
> >> route par défaut sur la machine par B je fais du NAT/Masquerade
> >>
> >> On Mon, Sep 26, 2022 at 10:15 AM David Ponzone  >
> >> wrote:
> >>
> >>> Ah chouette, un cas rigolo :)
> >>>
> >>> Et les PC du subnet B, ils ont bien une route vers les IP que tu
> >>> attribues à tes utilisateurs VPN (ou une route par défaut) vers le PC
> qui
> >>> sert de routeur entre les 2 ?
> >>>
> >>>
> >>> > Le 26 sept. 2022 à 16:07, Dang Herve  a écrit :
> >>> >
> >>> > ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé
> >>> subnet en 192.168.42
> >>> >
> >>>
> >>>
> >>
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Par sujet Daniel via frnog 

Oublie le tap, je n'avais pas vu ta réponse

Le 26/09/2022 à 17:54, Daniel a écrit :
eth0 et eth1 ne sont pas des interfaces tun ou tap openvpn. Tu utilises 
tap je suppose...


Le 26/09/2022 à 17:33, Dang Herve a écrit :
réseau A en 10.0.0.0/16 une machine dedans avec un openvpn pour un nat 
pour

accéder au autres machine de A
réseau B en 192.168.42/24 avec une machine qui est sur A et B qui fait du
nat pour que les machines de A qui connaissent la route puisse accéder 
à B


Donc cela marche depuis A quand je configure la route ( 
192.168.42.0/24 vi

la machine au 2 interface)

Sur le vpn la route pour 10.0.0.0/16 est poussé par la configuration du
serveur je rajoute la route 192.168.42/24 comme je le fais précedement 
sur

une machine de A mais cela ne marche pas


point de vue configuration des routes:
machine client: ip r a192.168.42.0/24 via 10.0.0.33

sur la machine au 2 interface:
forward par iptable sur les 2 interfaces
iptables -A FORWARD -i eth1 -o eth0 -m state --state 
RELATED,ESTABLISHED -j

ACCEPT
nat sur le réseau A
iptables -t nat -A  POSTROUTING  -s 10.0.0.1/15 -o eth0 -j MASQUERADE

Et je fais la meme chose sur la machine du vpn pour que le nat marche

est-ce que je fais bien le tout correctement ? ou est ce qu'il y a une
meilleure façon de faire?

En espérant cette fois avoir donner tout les informations nécessaires

Merci pour ton temps David dans tous les cas

Herve





On Mon, Sep 26, 2022 at 11:12 AM David Ponzone 
wrote:

A la vue de cette nouvelle réponse, je pense qu’il est temps que tu 
donnes

plus d’info :)

Généralement, on fait un accès VPN, entre autres, pour limiter les NAT à
traverser pour atteindre la cible, donc avoir une connectivité IP 
directe

vers le machine cible.
Là, tu sous-entends que tu utilises le NAT pour permettre au VPN 
d’accéder

à A...

Le 26 sept. 2022 à 16:31, Dang Herve  a écrit :

les 2 nat pour le VPN pour accéder au réseau A et nat sur la machine qui
est sur le 2 réseaux

Merci je vais regarder les traces voir ci cela m'aide à comprendre ce 
qui

ne vas pas


On Mon, Sep 26, 2022 at 10:27 AM David Ponzone 
wrote:

Le PC fait du NAT sur les IP de B ou c’est le routeur principal qui 
fait

du NAT pour tout le monde ?

Si c’est le PC, c’est dans tous les cas ou seulement quand ça part vers
default ?

Pour aller plus loin, faut juste prendre des traces un peu partout (sur
les 2 eth, du PC qui est sur A et B, ça devrait déjà t’en dire pas mal)
pour comprendre:

-fais un ping depuis le VPN
-prends une trace sur le PC/eth A, vérifie que l’ICMP entre (tshark -i
eth0 -f ‘icmp')
-prends une trace sur le PC/ethB, vérifie que l’ICMP sort avec IP
source/dest inchangées, auquel cas tu dois voir le reply aussi
-vérifie à nouveau sur PC/eth A si tu vois ce reply avec son IP src qui
aurait été natée par exemple. Ou peut-être que tu dois pas du tout 
le reply
(auquel cas le PC filtre ou son kernel n’a pas l’IP forwarding 
activé, ou

etc…)

Le 26 sept. 2022 à 16:17, Dang Herve  a écrit :

route par défaut sur la machine par B je fais du NAT/Masquerade

On Mon, Sep 26, 2022 at 10:15 AM David Ponzone 


wrote:


Ah chouette, un cas rigolo :)

Et les PC du subnet B, ils ont bien une route vers les IP que tu
attribues à tes utilisateurs VPN (ou une route par défaut) vers le 
PC qui

sert de routeur entre les 2 ?



Le 26 sept. 2022 à 16:07, Dang Herve  a écrit :

ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé

subnet en 192.168.42



--
Daniel Huhardeaux
+33.368460...@tootai.net  sip:8...@sip.tootai.net
+41.445532...@swiss-itech.chtootaiNET


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Par sujet Daniel via frnog 
eth0 et eth1 ne sont pas des interfaces tun ou tap openvpn. Tu utilises 
tap je suppose...


Le 26/09/2022 à 17:33, Dang Herve a écrit :

réseau A en 10.0.0.0/16 une machine dedans avec un openvpn pour un nat pour
accéder au autres machine de A
réseau B en 192.168.42/24 avec une machine qui est sur A et B qui fait du
nat pour que les machines de A qui connaissent la route puisse accéder à B

Donc cela marche depuis A quand je configure la route ( 192.168.42.0/24 vi
la machine au 2 interface)

Sur le vpn la route pour 10.0.0.0/16 est poussé par la configuration du
serveur je rajoute la route 192.168.42/24 comme je le fais précedement sur
une machine de A mais cela ne marche pas


point de vue configuration des routes:
machine client: ip r a192.168.42.0/24 via 10.0.0.33

sur la machine au 2 interface:
forward par iptable sur les 2 interfaces
iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j
ACCEPT
nat sur le réseau A
iptables -t nat -A  POSTROUTING  -s 10.0.0.1/15 -o eth0 -j MASQUERADE

Et je fais la meme chose sur la machine du vpn pour que le nat marche

est-ce que je fais bien le tout correctement ? ou est ce qu'il y a une
meilleure façon de faire?

En espérant cette fois avoir donner tout les informations nécessaires

Merci pour ton temps David dans tous les cas

Herve





On Mon, Sep 26, 2022 at 11:12 AM David Ponzone 
wrote:


A la vue de cette nouvelle réponse, je pense qu’il est temps que tu donnes
plus d’info :)

Généralement, on fait un accès VPN, entre autres, pour limiter les NAT à
traverser pour atteindre la cible, donc avoir une connectivité IP directe
vers le machine cible.
Là, tu sous-entends que tu utilises le NAT pour permettre au VPN d’accéder
à A...

Le 26 sept. 2022 à 16:31, Dang Herve  a écrit :

les 2 nat pour le VPN pour accéder au réseau A et nat sur la machine qui
est sur le 2 réseaux

Merci je vais regarder les traces voir ci cela m'aide à comprendre ce qui
ne vas pas


On Mon, Sep 26, 2022 at 10:27 AM David Ponzone 
wrote:


Le PC fait du NAT sur les IP de B ou c’est le routeur principal qui fait
du NAT pour tout le monde ?

Si c’est le PC, c’est dans tous les cas ou seulement quand ça part vers
default ?

Pour aller plus loin, faut juste prendre des traces un peu partout (sur
les 2 eth, du PC qui est sur A et B, ça devrait déjà t’en dire pas mal)
pour comprendre:

-fais un ping depuis le VPN
-prends une trace sur le PC/eth A, vérifie que l’ICMP entre (tshark -i
eth0 -f ‘icmp')
-prends une trace sur le PC/ethB, vérifie que l’ICMP sort avec IP
source/dest inchangées, auquel cas tu dois voir le reply aussi
-vérifie à nouveau sur PC/eth A si tu vois ce reply avec son IP src qui
aurait été natée par exemple. Ou peut-être que tu dois pas du tout le reply
(auquel cas le PC filtre ou son kernel n’a pas l’IP forwarding activé, ou
etc…)

Le 26 sept. 2022 à 16:17, Dang Herve  a écrit :

route par défaut sur la machine par B je fais du NAT/Masquerade

On Mon, Sep 26, 2022 at 10:15 AM David Ponzone 
wrote:


Ah chouette, un cas rigolo :)

Et les PC du subnet B, ils ont bien une route vers les IP que tu
attribues à tes utilisateurs VPN (ou une route par défaut) vers le PC qui
sert de routeur entre les 2 ?



Le 26 sept. 2022 à 16:07, Dang Herve  a écrit :

ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé

subnet en 192.168.42


--
Daniel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Par sujet Dang Herve 
réseau A en 10.0.0.0/16 une machine dedans avec un openvpn pour un nat pour
accéder au autres machine de A
réseau B en 192.168.42/24 avec une machine qui est sur A et B qui fait du
nat pour que les machines de A qui connaissent la route puisse accéder à B

Donc cela marche depuis A quand je configure la route ( 192.168.42.0/24 vi
la machine au 2 interface)

Sur le vpn la route pour 10.0.0.0/16 est poussé par la configuration du
serveur je rajoute la route 192.168.42/24 comme je le fais précedement sur
une machine de A mais cela ne marche pas


point de vue configuration des routes:
machine client: ip r a192.168.42.0/24 via 10.0.0.33

sur la machine au 2 interface:
forward par iptable sur les 2 interfaces
iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j
ACCEPT
nat sur le réseau A
iptables -t nat -A  POSTROUTING  -s 10.0.0.1/15 -o eth0 -j MASQUERADE

Et je fais la meme chose sur la machine du vpn pour que le nat marche

est-ce que je fais bien le tout correctement ? ou est ce qu'il y a une
meilleure façon de faire?

En espérant cette fois avoir donner tout les informations nécessaires

Merci pour ton temps David dans tous les cas

Herve





On Mon, Sep 26, 2022 at 11:12 AM David Ponzone 
wrote:

> A la vue de cette nouvelle réponse, je pense qu’il est temps que tu donnes
> plus d’info :)
>
> Généralement, on fait un accès VPN, entre autres, pour limiter les NAT à
> traverser pour atteindre la cible, donc avoir une connectivité IP directe
> vers le machine cible.
> Là, tu sous-entends que tu utilises le NAT pour permettre au VPN d’accéder
> à A...
>
> Le 26 sept. 2022 à 16:31, Dang Herve  a écrit :
>
> les 2 nat pour le VPN pour accéder au réseau A et nat sur la machine qui
> est sur le 2 réseaux
>
> Merci je vais regarder les traces voir ci cela m'aide à comprendre ce qui
> ne vas pas
>
>
> On Mon, Sep 26, 2022 at 10:27 AM David Ponzone 
> wrote:
>
>> Le PC fait du NAT sur les IP de B ou c’est le routeur principal qui fait
>> du NAT pour tout le monde ?
>>
>> Si c’est le PC, c’est dans tous les cas ou seulement quand ça part vers
>> default ?
>>
>> Pour aller plus loin, faut juste prendre des traces un peu partout (sur
>> les 2 eth, du PC qui est sur A et B, ça devrait déjà t’en dire pas mal)
>> pour comprendre:
>>
>> -fais un ping depuis le VPN
>> -prends une trace sur le PC/eth A, vérifie que l’ICMP entre (tshark -i
>> eth0 -f ‘icmp')
>> -prends une trace sur le PC/ethB, vérifie que l’ICMP sort avec IP
>> source/dest inchangées, auquel cas tu dois voir le reply aussi
>> -vérifie à nouveau sur PC/eth A si tu vois ce reply avec son IP src qui
>> aurait été natée par exemple. Ou peut-être que tu dois pas du tout le reply
>> (auquel cas le PC filtre ou son kernel n’a pas l’IP forwarding activé, ou
>> etc…)
>>
>> Le 26 sept. 2022 à 16:17, Dang Herve  a écrit :
>>
>> route par défaut sur la machine par B je fais du NAT/Masquerade
>>
>> On Mon, Sep 26, 2022 at 10:15 AM David Ponzone 
>> wrote:
>>
>>> Ah chouette, un cas rigolo :)
>>>
>>> Et les PC du subnet B, ils ont bien une route vers les IP que tu
>>> attribues à tes utilisateurs VPN (ou une route par défaut) vers le PC qui
>>> sert de routeur entre les 2 ?
>>>
>>>
>>> > Le 26 sept. 2022 à 16:07, Dang Herve  a écrit :
>>> >
>>> > ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé
>>> subnet en 192.168.42
>>> >
>>>
>>>
>>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Par sujet David Ponzone 
A la vue de cette nouvelle réponse, je pense qu’il est temps que tu donnes plus 
d’info :)

Généralement, on fait un accès VPN, entre autres, pour limiter les NAT à 
traverser pour atteindre la cible, donc avoir une connectivité IP directe vers 
le machine cible.
Là, tu sous-entends que tu utilises le NAT pour permettre au VPN d’accéder à 
A...

> Le 26 sept. 2022 à 16:31, Dang Herve  a écrit :
> 
> les 2 nat pour le VPN pour accéder au réseau A et nat sur la machine qui est 
> sur le 2 réseaux
> 
> Merci je vais regarder les traces voir ci cela m'aide à comprendre ce qui ne 
> vas pas
> 
> 
> On Mon, Sep 26, 2022 at 10:27 AM David Ponzone  > wrote:
> Le PC fait du NAT sur les IP de B ou c’est le routeur principal qui fait du 
> NAT pour tout le monde ?
> 
> Si c’est le PC, c’est dans tous les cas ou seulement quand ça part vers 
> default ?
> 
> Pour aller plus loin, faut juste prendre des traces un peu partout (sur les 2 
> eth, du PC qui est sur A et B, ça devrait déjà t’en dire pas mal) pour 
> comprendre:
> 
> -fais un ping depuis le VPN
> -prends une trace sur le PC/eth A, vérifie que l’ICMP entre (tshark -i eth0 
> -f ‘icmp')
> -prends une trace sur le PC/ethB, vérifie que l’ICMP sort avec IP source/dest 
> inchangées, auquel cas tu dois voir le reply aussi
> -vérifie à nouveau sur PC/eth A si tu vois ce reply avec son IP src qui 
> aurait été natée par exemple. Ou peut-être que tu dois pas du tout le reply 
> (auquel cas le PC filtre ou son kernel n’a pas l’IP forwarding activé, ou 
> etc…)
> 
>> Le 26 sept. 2022 à 16:17, Dang Herve > > a écrit :
>> 
>> route par défaut sur la machine par B je fais du NAT/Masquerade 
>> 
>> On Mon, Sep 26, 2022 at 10:15 AM David Ponzone > > wrote:
>> Ah chouette, un cas rigolo :)
>> 
>> Et les PC du subnet B, ils ont bien une route vers les IP que tu attribues à 
>> tes utilisateurs VPN (ou une route par défaut) vers le PC qui sert de 
>> routeur entre les 2 ?
>> 
>> 
>> > Le 26 sept. 2022 à 16:07, Dang Herve > > > a écrit :
>> > 
>> > ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé  
>> > subnet en 192.168.42 
>> > 
>> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Par sujet Dang Herve 
ok je regarde ce que je peux rajouter sur le schémas et rajouter les conf

On Mon, Sep 26, 2022 at 10:29 AM David Ponzone 
wrote:

> Euh, je viens de remarquer que ta réponse ne veut rien dire :)
>
> De notre point de vue (d’après les infos que tu as données), B n’a pas
> d’autre exit que par A.
> Si B a une autre sortie, je vois pas comment tu peux imaginer que ça
> puisse marcher, puisque les réponses vont partir par là…
>
> On est au stade où va falloir envoyer un schéma plus détaillé avec les
> confs (pas complètes, juste les trucs de base).
>
> Le 26 sept. 2022 à 16:17, Dang Herve  a écrit :
>
> route par défaut sur la machine par B je fais du NAT/Masquerade
>
> On Mon, Sep 26, 2022 at 10:15 AM David Ponzone 
> wrote:
>
>> Ah chouette, un cas rigolo :)
>>
>> Et les PC du subnet B, ils ont bien une route vers les IP que tu
>> attribues à tes utilisateurs VPN (ou une route par défaut) vers le PC qui
>> sert de routeur entre les 2 ?
>>
>>
>> > Le 26 sept. 2022 à 16:07, Dang Herve  a écrit :
>> >
>> > ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé
>> subnet en 192.168.42
>> >
>>
>>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Par sujet Dang Herve 
les 2 nat pour le VPN pour accéder au réseau A et nat sur la machine qui
est sur le 2 réseaux

Merci je vais regarder les traces voir ci cela m'aide à comprendre ce qui
ne vas pas


On Mon, Sep 26, 2022 at 10:27 AM David Ponzone 
wrote:

> Le PC fait du NAT sur les IP de B ou c’est le routeur principal qui fait
> du NAT pour tout le monde ?
>
> Si c’est le PC, c’est dans tous les cas ou seulement quand ça part vers
> default ?
>
> Pour aller plus loin, faut juste prendre des traces un peu partout (sur
> les 2 eth, du PC qui est sur A et B, ça devrait déjà t’en dire pas mal)
> pour comprendre:
>
> -fais un ping depuis le VPN
> -prends une trace sur le PC/eth A, vérifie que l’ICMP entre (tshark -i
> eth0 -f ‘icmp')
> -prends une trace sur le PC/ethB, vérifie que l’ICMP sort avec IP
> source/dest inchangées, auquel cas tu dois voir le reply aussi
> -vérifie à nouveau sur PC/eth A si tu vois ce reply avec son IP src qui
> aurait été natée par exemple. Ou peut-être que tu dois pas du tout le reply
> (auquel cas le PC filtre ou son kernel n’a pas l’IP forwarding activé, ou
> etc…)
>
> Le 26 sept. 2022 à 16:17, Dang Herve  a écrit :
>
> route par défaut sur la machine par B je fais du NAT/Masquerade
>
> On Mon, Sep 26, 2022 at 10:15 AM David Ponzone 
> wrote:
>
>> Ah chouette, un cas rigolo :)
>>
>> Et les PC du subnet B, ils ont bien une route vers les IP que tu
>> attribues à tes utilisateurs VPN (ou une route par défaut) vers le PC qui
>> sert de routeur entre les 2 ?
>>
>>
>> > Le 26 sept. 2022 à 16:07, Dang Herve  a écrit :
>> >
>> > ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé
>> subnet en 192.168.42
>> >
>>
>>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Par sujet David Ponzone 
Euh, je viens de remarquer que ta réponse ne veut rien dire :)

De notre point de vue (d’après les infos que tu as données), B n’a pas d’autre 
exit que par A.
Si B a une autre sortie, je vois pas comment tu peux imaginer que ça puisse 
marcher, puisque les réponses vont partir par là…

On est au stade où va falloir envoyer un schéma plus détaillé avec les confs 
(pas complètes, juste les trucs de base).

> Le 26 sept. 2022 à 16:17, Dang Herve  a écrit :
> 
> route par défaut sur la machine par B je fais du NAT/Masquerade 
> 
> On Mon, Sep 26, 2022 at 10:15 AM David Ponzone  > wrote:
> Ah chouette, un cas rigolo :)
> 
> Et les PC du subnet B, ils ont bien une route vers les IP que tu attribues à 
> tes utilisateurs VPN (ou une route par défaut) vers le PC qui sert de routeur 
> entre les 2 ?
> 
> 
> > Le 26 sept. 2022 à 16:07, Dang Herve  > > a écrit :
> > 
> > ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé  
> > subnet en 192.168.42 
> > 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Par sujet David Ponzone 
Le PC fait du NAT sur les IP de B ou c’est le routeur principal qui fait du NAT 
pour tout le monde ?

Si c’est le PC, c’est dans tous les cas ou seulement quand ça part vers default 
?

Pour aller plus loin, faut juste prendre des traces un peu partout (sur les 2 
eth, du PC qui est sur A et B, ça devrait déjà t’en dire pas mal) pour 
comprendre:

-fais un ping depuis le VPN
-prends une trace sur le PC/eth A, vérifie que l’ICMP entre (tshark -i eth0 -f 
‘icmp')
-prends une trace sur le PC/ethB, vérifie que l’ICMP sort avec IP source/dest 
inchangées, auquel cas tu dois voir le reply aussi
-vérifie à nouveau sur PC/eth A si tu vois ce reply avec son IP src qui aurait 
été natée par exemple. Ou peut-être que tu dois pas du tout le reply (auquel 
cas le PC filtre ou son kernel n’a pas l’IP forwarding activé, ou etc…)

> Le 26 sept. 2022 à 16:17, Dang Herve  a écrit :
> 
> route par défaut sur la machine par B je fais du NAT/Masquerade 
> 
> On Mon, Sep 26, 2022 at 10:15 AM David Ponzone  > wrote:
> Ah chouette, un cas rigolo :)
> 
> Et les PC du subnet B, ils ont bien une route vers les IP que tu attribues à 
> tes utilisateurs VPN (ou une route par défaut) vers le PC qui sert de routeur 
> entre les 2 ?
> 
> 
> > Le 26 sept. 2022 à 16:07, Dang Herve  > > a écrit :
> > 
> > ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé  
> > subnet en 192.168.42 
> > 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Par sujet Dang Herve 
route par défaut sur la machine par B je fais du NAT/Masquerade

On Mon, Sep 26, 2022 at 10:15 AM David Ponzone 
wrote:

> Ah chouette, un cas rigolo :)
>
> Et les PC du subnet B, ils ont bien une route vers les IP que tu attribues
> à tes utilisateurs VPN (ou une route par défaut) vers le PC qui sert de
> routeur entre les 2 ?
>
>
> > Le 26 sept. 2022 à 16:07, Dang Herve  a écrit :
> >
> > ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé
> subnet en 192.168.42
> >
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Par sujet David Ponzone 
Ah chouette, un cas rigolo :)

Et les PC du subnet B, ils ont bien une route vers les IP que tu attribues à 
tes utilisateurs VPN (ou une route par défaut) vers le PC qui sert de routeur 
entre les 2 ?


> Le 26 sept. 2022 à 16:07, Dang Herve  a écrit :
> 
> ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé  subnet 
> en 192.168.42 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Par sujet Dang Herve 
ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé
subnet en 192.168.42

On Mon, Sep 26, 2022 at 10:05 AM David Ponzone 
wrote:

> C’est à 95% le grand classique:
>
> Le subnet sur lequel tu es pour te connecter à Internet (box perso, etc….)
> est en 192.168.X.0 (généralement 192.168.1.0/24) comme le subnet B.
> Donc tu pourras jamais l’atteindre.
>
> Le plus propre c’est de renuméroter ton subnet B, et de bannir l’usage en
> interne au moins de 192.168.0.0/24, 192.168.1.0/24 et 192.168.254.0/24.
>
> > Le 26 sept. 2022 à 15:40, Dang Herve  a écrit :
> >
> > Bonjour
> >
> > J'ai une petite question reseau vpn/route
> >
> > J'accède à un réseau privé par VPN(internet) la communication avec les
> > machines de ce réseau(A) passe bien mais l'une de ces machines a accès à
> un
> > autre réseau(B) j'ai configurer les ordinateurs pour accéder à B depuis A
> > pas de problème mais quand je passe par le vpn cela ne marche pas.
> >
> > Une idée de ce que je fais par correctement ou j'oublie de faire?
> >
> > j'ai fais un petit schéma au besoin
> > <
> https://viewer.diagrams.net/?tags=%7B%7D=ff=_blank=1=1=route.drawio#Uhttps%3A%2F%2Fdrive.google.com%2Fuc%3Fid%3D1plJCkAyHWOCRziQLDZNYoyuO4pQGtjtD%26export%3Ddownload
> >
> >
> > S'il manque des informations ou des question n'hesitez pas
> >
> > Merci
> >
> > Herve
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] RE: [TECH] Routeur 4G

2022-09-26 Par sujet Matic Vari 
C'est vrai qu'il n'y a pas tellement de choix :

https://www.sfr.fr/offre-mobile/forfait-illimite-5g mais il y a un
engagement de 24 mois

Après un forfait 210Go chez free c'est 20€/mois. Ca à l'air d'être
sans engagement. Juste avant que le forfait soit épuisé, il doit être
possible d'en souscrire un autre.

https://mobile.free.fr/fiche-forfait-free

Le 26/09/2022, Oliver varenne a écrit :
> Bonjour
>
> Au prix d'une antenne 4G directive Mikrotik, est ce que ça vaut le cout ?
> Le probleme est de trouver le forfait adapté pour l'usage: si beaucoup de
> data, les prix explosent
>
> Orange faisait un forfait 4g illimité à 90€, mais je ne le vois plus ☹
>
>
>
> Cordialement,
>
>
>
> Olivier Varenne
> Président, R et développement
> T +33 (0)4 27 04 40 00 | ipconnect.fr
>
> Suivez-nous !
>
>
>
>> -Message d'origine-
>> De : frnog-requ...@frnog.org  De la part de
>> DONNET, Sylvain
>> Envoyé : lundi 26 septembre 2022 13:32
>> À : FRNOG 
>> Objet : [FRnOG] [TECH] Routeur 4G
>>
>> Bonjour,
>>
>> On devait faire déployer, avant mi-novembre, une FTTO sur un site,
>> (d’ailleurs pas éligible au FTTH).
>> Et l’opérateur nous annonce un glissement de 5 à 6 semaines. Le client
>> sera alors post-déménagement (120 personnes).
>> Damned…
>> Comme plan B, on envisage de mettre temporairement un routeur 4G
>> avec un gros forfait 4G. On fera avec, de l’Internet et du VPN.
>> En googlelisant, je suis tombé sur des solutions de ce type, en mode
>> locatif en plus. Par exemple Airmob.net.
>>
>> Est-ce envisageable techniquement ? Avez-vous des retours
>> intéressants sur ce genre de solution ?
>>
>> Sylvain Donnet
>> DDO Organisation
>>
>> 
>>
>> Ce message électronique et tous les fichiers attachés peuvent contenir
>> des informations confidentielles et destinées exclusivement à l’usage
>> de la personne dont le nom est mentionné ci-dessus. Si vous n'êtes pas
>> destinataire de ce message, vous n'êtes pas autorisés à le lire,
>> l'imprimer, le garder, le copier, le divulguer, le distribuer, l'utiliser,
>> ni
>> dans son ensemble, ni en partie, sans autorisation préalable. Si vous
>> recevez ce message par erreur, merci de le détruire et d’en avertir sans
>> délai l’expéditeur.
>>
>> Le contenu de ce message ne pourrait engager la responsabilité de
>> DDO Organisation que s’il a été émis par une personne dûment
>> habilitée agissant dans le strict cadre des fonctions auxquelles elle est
>> employée et à des fins non étrangères à ses attributions. Tout message
>> électronique étant susceptible d’altération au cours de son
>> acheminement sur Internet, DDO Organisation et le Groupe Cogeser ne
>> peuvent être tenus responsables de son contenu. En outre, les idées et
>> opinions présentées dans ce message sont celles de son auteur et ne
>> représentent pas nécessairement celles de DDO Organisation ni du
>> Groupe Cogeser.
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Par sujet Dang Herve 
tun


On Mon, Sep 26, 2022 at 9:58 AM Daniel via frnog  wrote:

>
> Le 26/09/2022 à 15:54, Dang Herve a écrit :
> > désolé j'oublie le principal: openvpn pour le vpn,
> tun ou tap ?
> >   ubuntu pour les OS
> > serveurs  iptable pour le routing  avec maquerade et forward
> >
> > Pour les clients je fais mes test sur debian mais j'aimerai que cela
> marche
> > avec windows aussi
> Ca marche avec Windows. Tu peux faire un tcpdump su le réseau b (si tu
> as accès) afin de vérifier que tes requêtes arrivent
> > On Mon, Sep 26, 2022 at 9:50 AM Daniel via frnog 
> wrote:
> >
> >> Bonjour
> >>
> >> Le 26/09/2022 à 15:40, Dang Herve a écrit :
> >>> Bonjour
> >>>
> >>> J'ai une petite question reseau vpn/route
> >>>
> >>> J'accède à un réseau privé par VPN(internet) la communication avec les
> >>> machines de ce réseau(A) passe bien mais l'une de ces machines a accès
> à
> >> un
> >>> autre réseau(B) j'ai configurer les ordinateurs pour accéder à B
> depuis A
> >>> pas de problème mais quand je passe par le vpn cela ne marche pas.
> >>>
> >>> Une idée de ce que je fais par correctement ou j'oublie de faire?
> >> Si on savait quels logiciels sont utilisés et l'OS/la techno/...
> >>
> >> Je fais cela avec wireguard (1er accès) puis accès aux autres site
> >> OpenVPN/TAP ou wireguard, pas de soucis.
> >>
> >> Cela peut aussi être Problème pare-feu si ton IP de connexion au site
> >> n'est pas autorisée.
> >>
> --
> Danie
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Par sujet David Ponzone 
C’est à 95% le grand classique:

Le subnet sur lequel tu es pour te connecter à Internet (box perso, etc….) est 
en 192.168.X.0 (généralement 192.168.1.0/24) comme le subnet B.
Donc tu pourras jamais l’atteindre.

Le plus propre c’est de renuméroter ton subnet B, et de bannir l’usage en 
interne au moins de 192.168.0.0/24, 192.168.1.0/24 et 192.168.254.0/24.

> Le 26 sept. 2022 à 15:40, Dang Herve  a écrit :
> 
> Bonjour
> 
> J'ai une petite question reseau vpn/route
> 
> J'accède à un réseau privé par VPN(internet) la communication avec les
> machines de ce réseau(A) passe bien mais l'une de ces machines a accès à un
> autre réseau(B) j'ai configurer les ordinateurs pour accéder à B depuis A
> pas de problème mais quand je passe par le vpn cela ne marche pas.
> 
> Une idée de ce que je fais par correctement ou j'oublie de faire?
> 
> j'ai fais un petit schéma au besoin
> 
> 
> S'il manque des informations ou des question n'hesitez pas
> 
> Merci
> 
> Herve
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Par sujet Dang Herve 
les routes sont bonne quand je test du réseau A vers B pas de problème
c'est quand je veux faire VPN vers B en passant par A que cela ne marche pas


On Mon, Sep 26, 2022 at 9:54 AM SIMANCAS Hugo <
hugo.siman...@data-expertise.com> wrote:

> regarde tes routes avec et sans vpn
>
> linux + win netstat -r
>
> linux ip route
>
> ça sent la route qui recouvre le reste avec un agent vpn
>
> On 26/09/2022 15:40, Dang Herve wrote:
> > Bonjour
> >
> > J'ai une petite question reseau vpn/route
> >
> > J'accède à un réseau privé par VPN(internet) la communication avec les
> > machines de ce réseau(A) passe bien mais l'une de ces machines a accès à
> un
> > autre réseau(B) j'ai configurer les ordinateurs pour accéder à B depuis A
> > pas de problème mais quand je passe par le vpn cela ne marche pas.
> >
> > Une idée de ce que je fais par correctement ou j'oublie de faire?
> >
> > j'ai fais un petit schéma au besoin
> > <
> https://viewer.diagrams.net/?tags=%7B%7D=ff=_blank=1=1=route.drawio#Uhttps%3A%2F%2Fdrive.google.com%2Fuc%3Fid%3D1plJCkAyHWOCRziQLDZNYoyuO4pQGtjtD%26export%3Ddownload
> >
> >
> > S'il manque des informations ou des question n'hesitez pas
> >
> > Merci
> >
> > Herve
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
> --
>
>
> / ::1  Hugo SIMANCAS
> Directeur Technique Associé
> https://www.data-expertise.com [https://www.data-expertise.com/]
> Support technique : 09 78 23 20 29
> Standard : 05 34 26 02 46 | Ligne directe : 05 34 25 50 57
> Mobile : 06 95 44 29 64
> !Utilisez notre plateforme visio libre & gratuite :
> https://conf.data-expertise.com/ [https://conf.data-expertise.com/]
> !Pad collaboratif libre & gratuit sécurisé https://pad.data-expertise.com/
> [https://pad.data-expertise.com/]
>
> Les informations contenues dans ce courrier électronique sont
> confidentielles et protégées par le secret professionnel. En tout état de
> cause, elles ne sont destinées qu'à la personne ou entreprise dont le nom
> est mentionné ci-dessus. Veuillez aviser l'expéditeur de toute difficulté
> ou de toute erreur dans la transmission de ce document. Si vous n'êtes pas
> le destinataire du présent courrier, vous n'êtes pas autorisé, sous peine
> de poursuites à en prendre des copies, le divulguer ou le diffuser. La
> présence de cette note prouve également que ce message électronique a été
> vérifié par un logiciel anti-virus.
>
>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Par sujet Daniel via frnog 



Le 26/09/2022 à 15:54, Dang Herve a écrit :

désolé j'oublie le principal: openvpn pour le vpn,

tun ou tap ?

  ubuntu pour les OS
serveurs  iptable pour le routing  avec maquerade et forward

Pour les clients je fais mes test sur debian mais j'aimerai que cela marche
avec windows aussi
Ca marche avec Windows. Tu peux faire un tcpdump su le réseau b (si tu 
as accès) afin de vérifier que tes requêtes arrivent

On Mon, Sep 26, 2022 at 9:50 AM Daniel via frnog  wrote:


Bonjour

Le 26/09/2022 à 15:40, Dang Herve a écrit :

Bonjour

J'ai une petite question reseau vpn/route

J'accède à un réseau privé par VPN(internet) la communication avec les
machines de ce réseau(A) passe bien mais l'une de ces machines a accès à

un

autre réseau(B) j'ai configurer les ordinateurs pour accéder à B depuis A
pas de problème mais quand je passe par le vpn cela ne marche pas.

Une idée de ce que je fais par correctement ou j'oublie de faire?

Si on savait quels logiciels sont utilisés et l'OS/la techno/...

Je fais cela avec wireguard (1er accès) puis accès aux autres site
OpenVPN/TAP ou wireguard, pas de soucis.

Cela peut aussi être Problème pare-feu si ton IP de connexion au site
n'est pas autorisée.


--
Danie


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Par sujet Dang Herve 
désolé j'oublie le principal: openvpn pour le vpn, ubuntu pour les OS
serveurs  iptable pour le routing  avec maquerade et forward

Pour les clients je fais mes test sur debian mais j'aimerai que cela marche
avec windows aussi

aucune restriction de pare feu pour les IP

On Mon, Sep 26, 2022 at 9:50 AM Daniel via frnog  wrote:

> Bonjour
>
> Le 26/09/2022 à 15:40, Dang Herve a écrit :
> > Bonjour
> >
> > J'ai une petite question reseau vpn/route
> >
> > J'accède à un réseau privé par VPN(internet) la communication avec les
> > machines de ce réseau(A) passe bien mais l'une de ces machines a accès à
> un
> > autre réseau(B) j'ai configurer les ordinateurs pour accéder à B depuis A
> > pas de problème mais quand je passe par le vpn cela ne marche pas.
> >
> > Une idée de ce que je fais par correctement ou j'oublie de faire?
>
> Si on savait quels logiciels sont utilisés et l'OS/la techno/...
>
> Je fais cela avec wireguard (1er accès) puis accès aux autres site
> OpenVPN/TAP ou wireguard, pas de soucis.
>
> Cela peut aussi être Problème pare-feu si ton IP de connexion au site
> n'est pas autorisée.
>
> --
> Daniel
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Par sujet SIMANCAS Hugo 
regarde tes routes avec et sans vpn

linux + win netstat -r

linux ip route

ça sent la route qui recouvre le reste avec un agent vpn

On 26/09/2022 15:40, Dang Herve wrote:
> Bonjour
>
> J'ai une petite question reseau vpn/route
>
> J'accède à un réseau privé par VPN(internet) la communication avec les
> machines de ce réseau(A) passe bien mais l'une de ces machines a accès à un
> autre réseau(B) j'ai configurer les ordinateurs pour accéder à B depuis A
> pas de problème mais quand je passe par le vpn cela ne marche pas.
>
> Une idée de ce que je fais par correctement ou j'oublie de faire?
>
> j'ai fais un petit schéma au besoin
> 
>
> S'il manque des informations ou des question n'hesitez pas
>
> Merci
>
> Herve
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

-- 


/ ::1  Hugo SIMANCAS
Directeur Technique Associé
https://www.data-expertise.com [https://www.data-expertise.com/]
Support technique : 09 78 23 20 29
Standard : 05 34 26 02 46 | Ligne directe : 05 34 25 50 57
Mobile : 06 95 44 29 64
!Utilisez notre plateforme visio libre & gratuite : 
https://conf.data-expertise.com/ [https://conf.data-expertise.com/]
!Pad collaboratif libre & gratuit sécurisé https://pad.data-expertise.com/ 
[https://pad.data-expertise.com/]

Les informations contenues dans ce courrier électronique sont confidentielles 
et protégées par le secret professionnel. En tout état de cause, elles ne sont 
destinées qu'à la personne ou entreprise dont le nom est mentionné ci-dessus. 
Veuillez aviser l'expéditeur de toute difficulté ou de toute erreur dans la 
transmission de ce document. Si vous n'êtes pas le destinataire du présent 
courrier, vous n'êtes pas autorisé, sous peine de poursuites à en prendre des 
copies, le divulguer ou le diffuser. La présence de cette note prouve également 
que ce message électronique a été vérifié par un logiciel anti-virus.




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] question réseau route/VPN

2022-09-26 Par sujet Daniel via frnog 

Bonjour

Le 26/09/2022 à 15:40, Dang Herve a écrit :

Bonjour

J'ai une petite question reseau vpn/route

J'accède à un réseau privé par VPN(internet) la communication avec les
machines de ce réseau(A) passe bien mais l'une de ces machines a accès à un
autre réseau(B) j'ai configurer les ordinateurs pour accéder à B depuis A
pas de problème mais quand je passe par le vpn cela ne marche pas.

Une idée de ce que je fais par correctement ou j'oublie de faire?


Si on savait quels logiciels sont utilisés et l'OS/la techno/...

Je fais cela avec wireguard (1er accès) puis accès aux autres site 
OpenVPN/TAP ou wireguard, pas de soucis.


Cela peut aussi être Problème pare-feu si ton IP de connexion au site 
n'est pas autorisée.


--
Daniel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] question réseau route/VPN

2022-09-26 Par sujet Dang Herve 
Bonjour

J'ai une petite question reseau vpn/route

J'accède à un réseau privé par VPN(internet) la communication avec les
machines de ce réseau(A) passe bien mais l'une de ces machines a accès à un
autre réseau(B) j'ai configurer les ordinateurs pour accéder à B depuis A
pas de problème mais quand je passe par le vpn cela ne marche pas.

Une idée de ce que je fais par correctement ou j'oublie de faire?

j'ai fais un petit schéma au besoin


S'il manque des informations ou des question n'hesitez pas

Merci

Herve

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] RE: [TECH] Routeur 4G

2022-09-26 Par sujet Oliver varenne 
Bonjour

Au prix d'une antenne 4G directive Mikrotik, est ce que ça vaut le cout ?
Le probleme est de trouver le forfait adapté pour l'usage: si beaucoup de data, 
les prix explosent

Orange faisait un forfait 4g illimité à 90€, mais je ne le vois plus ☹



Cordialement,
 


Olivier Varenne
Président, R et développement
T +33 (0)4 27 04 40 00 | ipconnect.fr

Suivez-nous ! 



> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> DONNET, Sylvain
> Envoyé : lundi 26 septembre 2022 13:32
> À : FRNOG 
> Objet : [FRnOG] [TECH] Routeur 4G
> 
> Bonjour,
> 
> On devait faire déployer, avant mi-novembre, une FTTO sur un site,
> (d’ailleurs pas éligible au FTTH).
> Et l’opérateur nous annonce un glissement de 5 à 6 semaines. Le client
> sera alors post-déménagement (120 personnes).
> Damned…
> Comme plan B, on envisage de mettre temporairement un routeur 4G
> avec un gros forfait 4G. On fera avec, de l’Internet et du VPN.
> En googlelisant, je suis tombé sur des solutions de ce type, en mode
> locatif en plus. Par exemple Airmob.net.
> 
> Est-ce envisageable techniquement ? Avez-vous des retours
> intéressants sur ce genre de solution ?
> 
> Sylvain Donnet
> DDO Organisation
> 
> 
> 
> Ce message électronique et tous les fichiers attachés peuvent contenir
> des informations confidentielles et destinées exclusivement à l’usage
> de la personne dont le nom est mentionné ci-dessus. Si vous n'êtes pas
> destinataire de ce message, vous n'êtes pas autorisés à le lire,
> l'imprimer, le garder, le copier, le divulguer, le distribuer, l'utiliser, ni
> dans son ensemble, ni en partie, sans autorisation préalable. Si vous
> recevez ce message par erreur, merci de le détruire et d’en avertir sans
> délai l’expéditeur.
> 
> Le contenu de ce message ne pourrait engager la responsabilité de
> DDO Organisation que s’il a été émis par une personne dûment
> habilitée agissant dans le strict cadre des fonctions auxquelles elle est
> employée et à des fins non étrangères à ses attributions. Tout message
> électronique étant susceptible d’altération au cours de son
> acheminement sur Internet, DDO Organisation et le Groupe Cogeser ne
> peuvent être tenus responsables de son contenu. En outre, les idées et
> opinions présentées dans ce message sont celles de son auteur et ne
> représentent pas nécessairement celles de DDO Organisation ni du
> Groupe Cogeser.
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Recherche box ADSL et FTTH

2022-09-26 Par sujet David Ponzone 


> Le 26 sept. 2022 à 14:52, Xavier Beaudouin via frnog  a 
> écrit :
> 
> Non le pékin qui installe son routeur chez lui, surtout avec les 

Xav,

Ah non :)

Péquin!

"De l'argot militaire, sans doute issu de l’occitan pequin (« petit, menu ») 
équivalent de l'espagnol pequeño (« petit »), pequeno en portugais »

Ou alors tu as voulu faire un jeu de mot (à la Michel Leeb, respect!) et j’ai 
l’air con :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Recherche box ADSL et FTTH

2022-09-26 Par sujet Xavier Beaudouin via frnog 
Salut,

>> Je sais que je fais partie du 1% qui aime avoir la main sur son matériel
>> et "faire confiance" à l'opérateur sous des pretextes à la noix.
>> D'ailleurs ces bidules pas maintenus vont un jour nous pêter à la
>> tronche un jour ou l'autre... quand ils seront tous plus ou moins zombies
>> dans un beau botnet...
> De mémoire (mais je peux me tromper), l'interface LAN de config des ONT
> n'est plus accessible après config initiale.
> Les ONT n'ayant pas, à ma connaissance, d'interfaces IP publique, la
> surface d'attaque et le risque de "zombification" me semble bien limité.

Je te garantie que mon ONT Huawei a son interface d'admin accessible.
Que les mdp (marqués dessus) ont étt ceux par défaut. Et pourtant installé en
2022...

Je suis certain que je ne suis pas le seul dans cette liste qui a changé
le mdp de cet engin une fois installé par l'opérateur (ou son sous-sous-sous
traitant)...

/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Recherche box ADSL et FTTH

2022-09-26 Par sujet Xavier Beaudouin via frnog 
Hello,

> Le 26/09/2022 à 13:37, Xavier Beaudouin via frnog a écrit :
>> D'ailleurs ces bidules pas maintenus
> 
> Ils ont maintenus, il y a des mises à jour régulières, par exemple chez
> Free. Ce n'est pas forcément le cas de routeurs personnels avec mot de

Chez Free c'est autre chose. Il y a un suivit de bout en bout de leur 
infra. 

> passe par défaut, failles béantes non corrigées parce que l'utilisateur
> ne le fait jamais. Beaucoup de routeurs perso dans le monde ont été
> piratés et servent à des attaques DDOS.

Et T-online qui s'est fait transformé en botnet avec les trucs d'auto
configuration de leur box ... ? Pourtant proprio de l'opérateur...

Non le pékin qui installe son routeur chez lui, surtout avec les 
routeur SOHO qui obligent a changer le mot de passe n'as plus tellement
ce problème.
Je ne dis pas que certains mdp ne sont pas facile a trouver... mais...
bon...

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Routeur 4G

2022-09-26 Par sujet Matic Vari 
Bonjour,

Nous avons essayés (gratuit sur quelques jours) airmob pour leur IP
publique fixe, ca marche bien.

Après dans ton cas, je prendrais deux opérateurs sur deux antennes
relais avec l'un de ces deux modèle (en LTE6, important), 1 par carte
sim :
https://mikrotik.com/product/lhg_lte6_kit
https://mikrotik.com/product/sxt_lte6_kit

L'antenne fait beaucoup pour la qualité du service rendu...

Le prix du matos est peu élevé, et ca peut rester en secours quand la
liaison terrestre sera active. Vu le prix (environ 150€/pièce) ca
devrait aller.

Une bonne étude des antennes relais à proximité est aussi importante
(si en france, cartoradio.fr). Cela permet de savoir quelles antennes
proposent les opérateurs choisis et sur quels bandes de fréquences,
afin comparer avec ce qui est supporté par le mikrotik (ou autre).

J'en ai 4 déployés en indoor devant des fenêtre pour des liaisons de
secours. Quand la liaison primaire coupe, ca juste marche, sans donner
mal à la tête.

Cdlt,





Le 26/09/2022, DONNET, Sylvain a écrit :
> Bonjour,
>
> On devait faire déployer, avant mi-novembre, une FTTO sur un site,
> (d’ailleurs pas éligible au FTTH).
> Et l’opérateur nous annonce un glissement de 5 à 6 semaines. Le client sera
> alors post-déménagement (120 personnes).
> Damned…
> Comme plan B, on envisage de mettre temporairement un routeur 4G avec un
> gros forfait 4G. On fera avec, de l’Internet et du VPN.
> En googlelisant, je suis tombé sur des solutions de ce type, en mode locatif
> en plus. Par exemple Airmob.net.
>
> Est-ce envisageable techniquement ? Avez-vous des retours intéressants sur
> ce genre de solution ?
>
> Sylvain Donnet
> DDO Organisation
>
> 
>
> Ce message électronique et tous les fichiers attachés peuvent contenir des
> informations confidentielles et destinées exclusivement à l’usage de la
> personne dont le nom est mentionné ci-dessus. Si vous n'êtes pas
> destinataire de ce message, vous n'êtes pas autorisés à le lire, l'imprimer,
> le garder, le copier, le divulguer, le distribuer, l'utiliser, ni dans son
> ensemble, ni en partie, sans autorisation préalable. Si vous recevez ce
> message par erreur, merci de le détruire et d’en avertir sans délai
> l’expéditeur.
>
> Le contenu de ce message ne pourrait engager la responsabilité de DDO
> Organisation que s’il a été émis par une personne dûment habilitée agissant
> dans le strict cadre des fonctions auxquelles elle est employée et à des
> fins non étrangères à ses attributions. Tout message électronique étant
> susceptible d’altération au cours de son acheminement sur Internet, DDO
> Organisation et le Groupe Cogeser ne peuvent être tenus responsables de son
> contenu. En outre, les idées et opinions présentées dans ce message sont
> celles de son auteur et ne représentent pas nécessairement celles de DDO
> Organisation ni du Groupe Cogeser.
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Recherche box ADSL et FTTH

2022-09-26 Par sujet Alain Péan 

Le 26/09/2022 à 13:37, Xavier Beaudouin via frnog a écrit :

D'ailleurs ces bidules pas maintenus


Ils ont maintenus, il y a des mises à jour régulières, par exemple chez 
Free. Ce n'est pas forcément le cas de routeurs personnels avec mot de 
passe par défaut, failles béantes non corrigées parce que l'utilisateur 
ne le fait jamais. Beaucoup de routeurs perso dans le monde ont été 
piratés et servent à des attaques DDOS.


Alain

--
Administrateur Système/Réseau
C2N Centre de Nanosciences et Nanotechnologies (UMR 9001)
Boulevard Thomas Gobert (ex Avenue de La Vauve), 91120 Palaiseau
Tel : 01-70-27-06-88 Bureau A255


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Recherche box ADSL et FTTH

2022-09-26 Par sujet yoshi 

Re,

Le 26/09/2022 à 13:37, Xavier Beaudouin via frnog a écrit :

...
Mais c'est quand même hallucinant qu'on nous fournisse un machin made in
China avec un login par défaut, pas mis a jour et qu'on ne puisse pas
mettre un ONT SFP pour éviter d'alimenter encore un truc de plus...


Ben tu peux, mais c'est parfois un peu funky, voir forum.


Je sais que je fais partie du 1% qui aime avoir la main sur son matériel
et "faire confiance" à l'opérateur sous des pretextes à la noix.
D'ailleurs ces bidules pas maintenus vont un jour nous pêter à la
tronche un jour ou l'autre... quand ils seront tous plus ou moins zombies
dans un beau botnet...
De mémoire (mais je peux me tromper), l'interface LAN de config des ONT 
n'est plus accessible après config initiale.
Les ONT n'ayant pas, à ma connaissance, d'interfaces IP publique, la 
surface d'attaque et le risque de "zombification" me semble bien limité.


Mathias.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Recherche box ADSL et FTTH

2022-09-26 Par sujet Xavier Beaudouin via frnog 
Hello,

> en FTTLA comme en FTTH, le "modem" est authentifié et configuré par le
> réseau, ce n'est pas le cas en xDSL.

Je sais.
 
> Des soucis d'interopérabilité ont été rencontrés par les bidouilleurs en
> FTTH (voir forum).
> Au mieux ça marche pas, au pire l'arbre PON peut être perturbé et
> l'opérateur pas ravi de la situation.

Oui je sais aussi.
Mais c'est quand même hallucinant qu'on nous fournisse un machin made in
China avec un login par défaut, pas mis a jour et qu'on ne puisse pas
mettre un ONT SFP pour éviter d'alimenter encore un truc de plus... 

Je sais que je fais partie du 1% qui aime avoir la main sur son matériel
et "faire confiance" à l'opérateur sous des pretextes à la noix.
D'ailleurs ces bidules pas maintenus vont un jour nous pêter à la 
tronche un jour ou l'autre... quand ils seront tous plus ou moins zombies
dans un beau botnet...

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Routeur 4G

2022-09-26 Par sujet DONNET, Sylvain 
Bonjour,

On devait faire déployer, avant mi-novembre, une FTTO sur un site, (d’ailleurs 
pas éligible au FTTH).
Et l’opérateur nous annonce un glissement de 5 à 6 semaines. Le client sera 
alors post-déménagement (120 personnes).
Damned…
Comme plan B, on envisage de mettre temporairement un routeur 4G avec un gros 
forfait 4G. On fera avec, de l’Internet et du VPN.
En googlelisant, je suis tombé sur des solutions de ce type, en mode locatif en 
plus. Par exemple Airmob.net.

Est-ce envisageable techniquement ? Avez-vous des retours intéressants sur ce 
genre de solution ?

Sylvain Donnet
DDO Organisation



Ce message électronique et tous les fichiers attachés peuvent contenir des 
informations confidentielles et destinées exclusivement à l’usage de la 
personne dont le nom est mentionné ci-dessus. Si vous n'êtes pas destinataire 
de ce message, vous n'êtes pas autorisés à le lire, l'imprimer, le garder, le 
copier, le divulguer, le distribuer, l'utiliser, ni dans son ensemble, ni en 
partie, sans autorisation préalable. Si vous recevez ce message par erreur, 
merci de le détruire et d’en avertir sans délai l’expéditeur.

Le contenu de ce message ne pourrait engager la responsabilité de DDO 
Organisation que s’il a été émis par une personne dûment habilitée agissant 
dans le strict cadre des fonctions auxquelles elle est employée et à des fins 
non étrangères à ses attributions. Tout message électronique étant susceptible 
d’altération au cours de son acheminement sur Internet, DDO Organisation et le 
Groupe Cogeser ne peuvent être tenus responsables de son contenu. En outre, les 
idées et opinions présentées dans ce message sont celles de son auteur et ne 
représentent pas nécessairement celles de DDO Organisation ni du Groupe Cogeser.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Recherche box ADSL et FTTH

2022-09-26 Par sujet yoshi 

Bonjour,

en FTTLA comme en FTTH, le "modem" est authentifié et configuré par le 
réseau, ce n'est pas le cas en xDSL.


Des soucis d'interopérabilité ont été rencontrés par les bidouilleurs en 
FTTH (voir forum).
Au mieux ça marche pas, au pire l'arbre PON peut être perturbé et 
l'opérateur pas ravi de la situation.


Mathias.

Le 26/09/2022 à 13:23, Xavier Beaudouin via frnog a écrit :

...
Sur cette partie, l'obligation d'alimenter un ONT de l’opérateur ou
la box en mousse, un moment il faudrait que la législation force la possibilité
d'accepter du matériel compatible (limite, l'opérateur liste le matériel
compatible que le client devra se procurer ainsi que la méthode pour l'autoriser
au sein l'arbre) afin qu'on puisse :

- avoir son propre setup (client "pro" ou "semi pro")
- avoir du spare (parce que ces machins crament)
- permettre de virer les box a la con qui consomment des watts pour rien

Après les gens calés peuvent se permettre de faire leur propres bidouilles
en faisant du reverse engineering des ONT (voir certains forums), mais si
l'ADSL (et SDSL) permettais d'avoir un matos tier correct, la FTTH constitue
un sacré retour en arrière dans ce domaine hélas.

/Xavier



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Recherche box ADSL et FTTH

2022-09-26 Par sujet Xavier Beaudouin via frnog 
Hello,

> Et M. Ponzone a raison, il est bien souvent impossible de faire sans
> l'ONU de l'opérateur. Et quand il est intégré à la box développée avec
> les pieds et dont la peinture n'arrive pas à sécher, il faut aimer
> souffrir. Le forum de lafibre.info donne de bons exemples...

Sur cette partie, l'obligation d'alimenter un ONT de l’opérateur ou 
la box en mousse, un moment il faudrait que la législation force la possibilité
d'accepter du matériel compatible (limite, l'opérateur liste le matériel
compatible que le client devra se procurer ainsi que la méthode pour l'autoriser
au sein l'arbre) afin qu'on puisse :

- avoir son propre setup (client "pro" ou "semi pro")
- avoir du spare (parce que ces machins crament)
- permettre de virer les box a la con qui consomment des watts pour rien

Après les gens calés peuvent se permettre de faire leur propres bidouilles
en faisant du reverse engineering des ONT (voir certains forums), mais si
l'ADSL (et SDSL) permettais d'avoir un matos tier correct, la FTTH constitue
un sacré retour en arrière dans ce domaine hélas.

/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Recherche box ADSL et FTTH

2022-09-26 Par sujet Matic Vari 
De rien.

Et M. Ponzone a raison, il est bien souvent impossible de faire sans
l'ONU de l'opérateur. Et quand il est intégré à la box développée avec
les pieds et dont la peinture n'arrive pas à sécher, il faut aimer
souffrir. Le forum de lafibre.info donne de bons exemples...

Pour le VDSL ce n'est pas forcement facile non-plus.

Cordialement,

Le 26/09/2022, Dylan BROCHET a écrit :
> Bonjour,
>
> Très intéressant, merci pour le retour
>
> Le lun. 26 sept. 2022 à 10:41, Matic Vari  a écrit :
>
>> Bonjour,
>>
>> C'est modulaire (donc plutôt couteau suisse), ca fait pas la
>> FTTH/VDSL/4G directement, il faut ajouter des add-on : Turris MOX
>> https://www.turris.com/en/mox/overview/
>>
>> C'est sous OpenWRT saveur Turris (proche de l'arbre du projet OpenWRT,
>> mais pas dedans).
>>
>> Pour la 4G, l'add-on MOX B ou G, une carte 4G mini pcie.
>>
>> Avec l'add-on MOX D, un module SFP VDSL (Proscend 180-T VDSL2 SFP ) ou
>> un module SFP ONU kivabien, ça pourrait correspondre ?
>>
>> => Je n'ai pas testé, mais s'il y en a qui utilise ou ont testés, je
>> cherches des retours.
>>
>> Cordialement,
>>
>>
>>
>>
>>
>> [1] : Et c'est pas plus mal, car suivant les opérateurs, voir les
>> zones (opérateur Z sur le RIP du Cantal), ca sera pas le même ONU.
>>
>> Le 26/09/2022, Dylan BROCHET a écrit :
>> > Bonjour,
>> >
>> > Qu'utilisez-vous en terme de routeur/box ADSL, plutôt grand public avec
>> > port analogique pour la voix ?
>> >
>> > Et sur de la FTTH ? (voir FTTH/4G), donc avec port 1G (cuivre) et
>> > emplacement SIM ? Des ref en Mikrotik ?
>> >
>> > Je recherche des modèles "couteau suisse" du même type que le Huawei
>> > AR617VW-LTE4A
>> >
>> > Si vous avez des retours et des modèles à conseiller je suis preneur
>> >
>> > Dylan
>> >
>> > ---
>> > Liste de diffusion du FRnOG
>> > http://www.frnog.org/
>> >
>>
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Recherche box ADSL et FTTH

2022-09-26 Par sujet Piery GAROT [VERIXI] 
Bonjour,

Pour ceux qui sont intéressés par le sujet SFP cuivre, à l'époque où j'en 
cherchais, j'avais trouvé ceci (en plus de Proscend) :
https://metanoia-comm.com/products/xdsl/mt-v5311/

Je m'étais même demandé si Proscend ne se sourcait pas chez Metanoia.

J'ai encore le pdf avec le product brief.

cordialement,
Piery Garot,
VERIXI S.A.S.

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de David 
Ponzone
Envoyé : lundi 26 septembre 2022 12:18
À : Matic Vari 
Cc : Dylan BROCHET ; frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Recherche box ADSL et FTTH

C’est pas un peu relou à sourcer ce SFP Proscend VDSL ?
Et si Proscend l’arrête demain, ça se passe comment ?

Au passage, le SFP ne sait pas gérer le VC 8/50 PREMIUM de l’offre BIVC 
d’Orange.

Et attention avec les SFP ONU, on fait pas forcément ce qu’on veut en France 
pour se passer de l’ONT fourni.
C’est même globalement mission impossible.

> Le 26 sept. 2022 à 10:41, Matic Vari  a écrit :
> 
> Bonjour,
> 
> C'est modulaire (donc plutôt couteau suisse), ca fait pas la 
> FTTH/VDSL/4G directement, il faut ajouter des add-on : Turris MOX 
> https://www.turris.com/en/mox/overview/
> 
> C'est sous OpenWRT saveur Turris (proche de l'arbre du projet OpenWRT, 
> mais pas dedans).
> 
> Pour la 4G, l'add-on MOX B ou G, une carte 4G mini pcie.
> 
> Avec l'add-on MOX D, un module SFP VDSL (Proscend 180-T VDSL2 SFP ) ou 
> un module SFP ONU kivabien, ça pourrait correspondre ?
> 
> => Je n'ai pas testé, mais s'il y en a qui utilise ou ont testés, je 
> cherches des retours.
> 
> Cordialement,
> 
> 
> 
> 
> 
> [1] : Et c'est pas plus mal, car suivant les opérateurs, voir les 
> zones (opérateur Z sur le RIP du Cantal), ca sera pas le même ONU.
> 
> Le 26/09/2022, Dylan BROCHET a écrit :
>> Bonjour,
>> 
>> Qu'utilisez-vous en terme de routeur/box ADSL, plutôt grand public 
>> avec port analogique pour la voix ?
>> 
>> Et sur de la FTTH ? (voir FTTH/4G), donc avec port 1G (cuivre) et 
>> emplacement SIM ? Des ref en Mikrotik ?
>> 
>> Je recherche des modèles "couteau suisse" du même type que le Huawei 
>> AR617VW-LTE4A
>> 
>> Si vous avez des retours et des modèles à conseiller je suis preneur
>> 
>> Dylan
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Recherche box ADSL et FTTH

2022-09-26 Par sujet David Ponzone 
C’est pas un peu relou à sourcer ce SFP Proscend VDSL ?
Et si Proscend l’arrête demain, ça se passe comment ?

Au passage, le SFP ne sait pas gérer le VC 8/50 PREMIUM de l’offre BIVC 
d’Orange.

Et attention avec les SFP ONU, on fait pas forcément ce qu’on veut en France 
pour se passer de l’ONT fourni.
C’est même globalement mission impossible.

> Le 26 sept. 2022 à 10:41, Matic Vari  a écrit :
> 
> Bonjour,
> 
> C'est modulaire (donc plutôt couteau suisse), ca fait pas la
> FTTH/VDSL/4G directement, il faut ajouter des add-on : Turris MOX
> https://www.turris.com/en/mox/overview/
> 
> C'est sous OpenWRT saveur Turris (proche de l'arbre du projet OpenWRT,
> mais pas dedans).
> 
> Pour la 4G, l'add-on MOX B ou G, une carte 4G mini pcie.
> 
> Avec l'add-on MOX D, un module SFP VDSL (Proscend 180-T VDSL2 SFP ) ou
> un module SFP ONU kivabien, ça pourrait correspondre ?
> 
> => Je n'ai pas testé, mais s'il y en a qui utilise ou ont testés, je
> cherches des retours.
> 
> Cordialement,
> 
> 
> 
> 
> 
> [1] : Et c'est pas plus mal, car suivant les opérateurs, voir les
> zones (opérateur Z sur le RIP du Cantal), ca sera pas le même ONU.
> 
> Le 26/09/2022, Dylan BROCHET a écrit :
>> Bonjour,
>> 
>> Qu'utilisez-vous en terme de routeur/box ADSL, plutôt grand public avec
>> port analogique pour la voix ?
>> 
>> Et sur de la FTTH ? (voir FTTH/4G), donc avec port 1G (cuivre) et
>> emplacement SIM ? Des ref en Mikrotik ?
>> 
>> Je recherche des modèles "couteau suisse" du même type que le Huawei
>> AR617VW-LTE4A
>> 
>> Si vous avez des retours et des modèles à conseiller je suis preneur
>> 
>> Dylan
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Recherche box ADSL et FTTH

2022-09-26 Par sujet Matic Vari 
Bonjour,

C'est modulaire (donc plutôt couteau suisse), ca fait pas la
FTTH/VDSL/4G directement, il faut ajouter des add-on : Turris MOX
https://www.turris.com/en/mox/overview/

C'est sous OpenWRT saveur Turris (proche de l'arbre du projet OpenWRT,
mais pas dedans).

Pour la 4G, l'add-on MOX B ou G, une carte 4G mini pcie.

Avec l'add-on MOX D, un module SFP VDSL (Proscend 180-T VDSL2 SFP ) ou
un module SFP ONU kivabien, ça pourrait correspondre ?

=> Je n'ai pas testé, mais s'il y en a qui utilise ou ont testés, je
cherches des retours.

Cordialement,





[1] : Et c'est pas plus mal, car suivant les opérateurs, voir les
zones (opérateur Z sur le RIP du Cantal), ca sera pas le même ONU.

Le 26/09/2022, Dylan BROCHET a écrit :
> Bonjour,
>
> Qu'utilisez-vous en terme de routeur/box ADSL, plutôt grand public avec
> port analogique pour la voix ?
>
> Et sur de la FTTH ? (voir FTTH/4G), donc avec port 1G (cuivre) et
> emplacement SIM ? Des ref en Mikrotik ?
>
> Je recherche des modèles "couteau suisse" du même type que le Huawei
> AR617VW-LTE4A
>
> Si vous avez des retours et des modèles à conseiller je suis preneur
>
> Dylan
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Recherche box ADSL et FTTH

2022-09-26 Par sujet Dylan BROCHET 
Bonjour,

Qu'utilisez-vous en terme de routeur/box ADSL, plutôt grand public avec
port analogique pour la voix ?

Et sur de la FTTH ? (voir FTTH/4G), donc avec port 1G (cuivre) et
emplacement SIM ? Des ref en Mikrotik ?

Je recherche des modèles "couteau suisse" du même type que le Huawei
AR617VW-LTE4A

Si vous avez des retours et des modèles à conseiller je suis preneur

Dylan

---
Liste de diffusion du FRnOG
http://www.frnog.org/