Hello, Heuh, d’après ton diagramme, je ne comprends pas pourquoi tu « ajoutes ton serveur de monitoring au VPN ». Je comprends par là que ton serveur de monitoring est lui-même client de ton serveur VPN ? J’ai faux ?
Si ton diagramme est juste, et que ton serveur de monitoring est simplement « derrière » ton serveur OpenVPN (mais pas client VPN), il te suffit de pousser une route sur tous tes clients VPN pour qu’ils sachent qu’ils doivent passer par le VPN pour le trafic à destination du serveur de monitoring. Et pas besoin de client-to-client du coup. Ou alors j’ai rien compris au setup, ce qui n’est pas exclus non plus :D Joel De : FRsAG [mailto:[email protected]] De la part de SERRUT Arnaud Envoyé : mercredi 4 mars 2020 12:38 À : Baptiste Chappe Cc : French SysAdmin Group Objet : Re: [FRsAG] openvpn monitoring de client du VPN et contrôle d'accès client-to-client Salut La configuration client-to-client me semble n'être qu'une configuration spécifique de l'iptable. Compare tes tables iptables (dont -t nat) entre les 2 modes. Repère l'entrée qui autorise tes clients à communiquer entre eux. Enlève l'option client-to-client Adapte l'entrée pour que seule l'ip de ton serveur (mise en statique) ait l'autorisation et ajoute la Cdt Le mer. 4 mars 2020 à 12:04, Baptiste Chappe <[email protected]<mailto:[email protected]>> a écrit : Hello, Avec le terme iroutes et route du serveur de chaque client tu peux décider de voir uniquement ton réseaux client. J'ai un fichier de conf par client par site Je fais comme toi avec un 20ene de tunnel combo openvpn/mikrotik. Seul le réseaux monitoring est connu de chaque client. Baptiste Le mer. 4 mars 2020 à 11:46, Sylvain Viart <[email protected]<mailto:[email protected]>> a écrit : Bonjour, Je ne suis pas expert en vpn et réseau du coup je patauge un peu. J'ai remonté un serveur openVPN qui sert des clients sur TCP via le port 443 pour de l'évasion NAT. Ça fonctionne, et en me connectant au serveur VPN je peux administrer les clients, cette connexion ne sert qu'à ça et à fournir un ntp sur le VPN aussi avec l'IP privée du serveur VPN. Les clients n'ayant pas de route pour sortir par le VPN, ils sortent par leur connexion local en NAT. Aujourd'hui, je veux modifier la config pour monitorer les nœuds client du VPN en pull avec prometheus. J'ajoute donc le serveur prometheus au VPN et je voudrais que lui seul puisse voir d'autres clients du VPN et pas les autres clients entre eux. Parce que l'ajout de la directive client-to-client fonctionne sur le serveur VPN, mais du coup tous les clients se voient entre eux. Je n'ai pas encore trouvé la config réseau qui va bien. Je pense que je dois ajouter une config spécifique sur le serveur VPN : * client monitor se connecte au VPN et avoir un sous-réseau pour lui. 10.22.1.0/24<http://10.22.1.0/24> * Les autres machines clients dans un autre sous-réseau : 10.22.0.0/24<http://10.22.0.0/24> Ensuite il doit falloir autoriser le sous réseau de monitoring et router le trafic sur le serveur VPN vers le réseau des clients C'est là que je coince, je ne sais pas comment router convenablement depuis le serveur VPN les paquets de 10.22.1.1 vers 10.22.0.10/24<http://10.22.0.10/24> Avez vous des pistes à me fournir ? J'ai trouvé une piste qui à l'air un peut obscure sur du packet filter à l'intérieur de openvpn http://prog3.com/sbdm/blog/mhpmii/article/details/47780243 Et je pense que la bonne façon s'inspire de https://openvpn.net/community-resources/how-to/#expanding-the-scope-of-the-vpn-to-include-additional-machines-on-either-the-client-or-server-subnet + https://openvpn.net/community-resources/configuring-client-specific-rules-and-access-policies/<http://b> Mais je nage encore dans les routes est les config iptables Je n'ai pas de services à exposer sur le réseau pour les clients VPN Erreur ! Nom du fichier non spécifié. Cordialement, Sylvain. -- Sylvain Viart - GNU/Linux Sysadmin/Developer/DevOps - France _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/ _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
