Topic: Open VPN pour SME7

[nilz]

Bonjour @ tous

Je suis un newb dans le monde de Linux et viens de découvrir la distrib SME7 qui me parrait bien sympa.
Mais voila (et oui il y a toujours un mais  ) j'ai trouvé pas mal de contrib sympa (comme panel-admin, Qos, Client DynDNS, ...etc) sauf celle qui me serai la plus utile à savoir celle qui ajoute au server-maneger le panneau client VPN.


En fait dans un premier temps j'aimerai me connecté via un portable (sous XP) a mon serveuur SME et dans un deuxième temps relier deux réseaux distant grace à deux serveurs SME7 + openvpn.

Je l'avoue, j'ai bien trouvé des How-to pour aider à param OpenVPN mais je n'y arrive pas  

Quelqu'un peut-il m'aider ?

Merci d'avance

@+
Nilz

[gerd]

Salut,

je te conseille le lien suivant:

http://www.hanscees.com/sme7/smecontribs.html

T'en trouveras également qqs astuces dans le forum allemand (eh oui, la langue de Goethe) et dans le forum anglais.

Bonne chance

gerd

[nilz]

Salut,
merci pour le lien, j'ai bien réussi à monter un le VPN entre les deux sites mais mon problème est que les réseaux ne se ping pas
en clair les deux SME se ping mais quand j'essai de pinguer une station derrière le SME ça marche pas
quelqu'un a-t-il une idée ?

Précision :

SME1  
LAN :  192.168.0.254              
WAN : 213.10.10.10


SME2
LAN : 192.168.1.254
WAN : 213.10.10.11                  
                               
donc dans mon cas : du réseau 192.168.0.0 je ping bien 192.168.1.254 mais rien d'autre
et du réseau 192.168.1.0 je ping bien 192.168.0.254 mais rien d'autre

comment faire pour que les réseaux se voient entre eux ????

merci
++

[gerd]

Nilz,

ne serait-il pas possible que tu aies "bouché" tes stations derriere chaque SME7 serveur par un firewall ? Peut-etre as tu une imprimante ayant une adresse IP - sans mur de feu. Peut tu envoyer un ping???

salut

gerd

[nilz]

Merci de ton aide Gerd mais le problème venait du firewall du SME, des règles iptables.
En fait dans le fichier openvpn.up il fallait dans un premier temp mettre les règles avec l'option -I et non -A ce qui donne :

iptables -I INPUT -i tun+ -j ACCEPT
iptables -I FORWARD -i tun+ -j ACCEPT
iptables -I OUTPUT -o tun+ -j ACCEPT
iptables -I FORWARD -o tun+ -j ACCEPT

et là tout fonctionne impec

Voila encore merci pour ton aide.

Nilz

[gerd]

Je suis bein content pour toi. Mais dis-moi, comment tu as trouve cet astuce des iptables??? On en parle dans les contributions, mais en faite - je n'ai pas encore trouvé une explication. Si on "route" l'adresse du reseau interne, tel que 192.168.1.0  255.255.255.0 10.0.0.4 ce n'est pas apparament pas suffisant.... Mais pourquoi?? Je n'aime faire des choses sans les comprendre - parce que en cas d'une panne ---- rideau.

salut

gerd

[nilz]

salut,
en fait c'est logique (enfin si je ne me trompe pas   ) les règle du firewall sont appliquée sur les règles de route.
Donc sans les règles iptables cités ci-dessus le tunnel fonctionne car les deux sme se voient et se pinguent (coté LAN comme coté WAN) !
Par contre c'est le réseau derrière  les SME qui n'est pas accessible, c'est donc bien le firewall (les règles iptables) qui coincent.
Dans ce cas l'explication est que dans un premier temps j'ai mis les règles iptables avec l'option -A (append) alors qu'il faut commencer par les mettre en -I (insert) pour forcer l'insertion puis les passer ensuite en -A.

Voila je pense que la logique est celle-ci tout du moins c'est ce que je comprend, maintenant il est possible que je me trompe  

@+
Nilz

[gerd]

En fait, j'ai etablie un VPN entre notre bureau (SME7) et le bureau de ma maison. Donc aucun probleme pour avoir access aux fichiers SAMBA
(le plus important) mais pas de ping possible pour l'imprimante au bureau. Ce que tu as dit est vraiement logique (la preuve - ca marche nickel), seulement p.e. Swerts Knudsen (celui qui a lancé le VPN pour le SME7 n'en a pas parlé du tout, si je me trompe.

Alors d'abord tu as fais l'insert (pour input & output) et par la suite tu as utilisé l'append? Va falloir que je me reseigne / que je me mette au courant en ce qui concerne les IPTABLES t le firewall du SME...

Merci pour tes reseignements

gerd

[nilz]

Oui effectivement, si dans ton cas l'essentiel est de voir les partages Samba les règles d'iptables ne sont pas fondamentales et l'accés au serveur SME te suffis.
Le problème pour moi est que le SME n'est que le mode d'accés à mon réseau distant et plus précisément au serveur 2003 derrière qui fait du TSE, le ping du serveur 2003 est donc indispensable.

En ce qui concerne l'install de Swerts Knudsen elle fonctionne en mode tap et pas en mode tun donc pour un client vers un réseau et pas un réseau vers un réseau et en plus le pré requis est que le client distant atteigne le SME (et pas le réseau derrière le SME donc le but est bien atteint voila pourquoi il ne parle pas des règles iptables  

voili voilou

@+
Nilz

PS : je suis en train de faire un pdf regroupant toute la config que j'ai mise place (VPN entre site 1 et site 2 + VPN entre site1 et client mobile), si ça te branche je te le ferai passer une fois terminé.

[gerd]

Nilz,
ta description me branche, me branche meme très. En plus, je pense qu'il y a bien d'autres qui sont interessés. Je songe meme à une traduction allemande....voyons voir....dépendant te ton accord bien sur....

En fin de compte j'ai beaucoup de problème á croire que tu es un noveau dans le domaine de linux, je pense plutot que c'est le contraire.
Entretemps j'ai débuté avec mes recherches concernant le Iptables. En effet Hanns Cees a bien décrit le mode tun, y compris les Iptables. Il reste a comprendre le nomenclature...

merci de ton aide

gerd

[RvLardin]

Un petit ajout tardif (je viens de découvrir ce thread), pour indiquer que nous utilisons OpenVPN depuis longtemps et que notre dernière mise à jour de la contrib contient tout ce qui devrait vous être nécessaire. Voir sur :
http://sme.firewall-services.com

A+,
RV.

[gerd]

Je m'occupe depuis qqs semaines du sujet OPENVPN, et j'en ai trouvé qqs contributions en englais, francais et allemand... Ce que NILZ a réussi à faire est pour moi important: voir les PC et les imprimantes "derriere" chaque SME server. Nilz a donc modifie les IP tables, un suject ou je peine un peu pour trouver tts les infos. Eventuellement Nilz va faire un petit fichier .pdf ....
Je pense que dans votre contrib (je vais l'essayer pendant les vacances de noel) on réussi encore plus facilement à faire le bridge entre deux SME, mais d'aprés ce que j'ai pu lire: voir tous les PC comme dans un
"workgroup", c'est le ou est un problème. Je me trompe??

salut

gerd

[gerd]

@ Nilz

Nilz, à l'epoque tu avais parlé d'un fichier .pdf qui est en train de se faire:
Quote:

Posted: 06 Nov 2006 16:41    Post subject:    

Oui effectivement, si dans ton cas l'essentiel est de voir les partages Samba les règles d'iptables ne sont pas fondamentales et l'accés au serveur SME te suffis.
Le problème pour moi est que le SME n'est que le mode d'accés à mon réseau distant et plus précisément au serveur 2003 derrière qui fait du TSE, le ping du serveur 2003 est donc indispensable.

En ce qui concerne l'install de Swerts Knudsen elle fonctionne en mode tap et pas en mode tun donc pour un client vers un réseau et pas un réseau vers un réseau et en plus le pré requis est que le client distant atteigne le SME (et pas le réseau derrière le SME donc le but est bien atteint voila pourquoi il ne parle pas des règles iptables  

voili voilou

@+
Nilz

PS : je suis en train de faire un pdf regroupant toute la config que j'ai mise place (VPN entre site 1 et site 2 + VPN entre site1 et client mobile), si ça te branche je te le ferai passer une fois terminé.

Unquote

Est-ce que je peux te demander ou tu en es???

salut  

gerd

[nilz]

Désolé mais une chose l'autre j'ai complètement oublié de te poster la doc.
Tu peux trouver le how to que j'ai fait sur cette page, il date du mois dernier, des mises à jour sont sorties depuis donc récupère les derniers packages et pas ceux cités dans mon tuto.

En espérant que cette doc puisse t'aider !

@+
Nilz

[gerd]

En grand merci vers Aix (les bains/en Provence?). Je vais m'en occuper
pendant les vacances de noel et je vais te tenir au courant.

salut

gerd