Auteur Sujet: Double routeur (ISP Orange et Asus) / VPN Serveur / Accès au LAN (Lu 2216 fois)

adhara · « **le:** 27 janvier 2020 à 15:41:53 »

Bonjour à tous

J'ai installé un VPN sur mon routeur Asus mais depuis mon, mobile android je n'arrive pas à joindre mes périphériques dans mon LAN Asus.
Exemple sur mon smartphone ou openvpn fonctionne, je n'arrive pas à lancer certaines applications comme asus routeur ou pour gérer mes caméras de surveillance.

Mon infra est de type:
ISP router (livebox4 192.168.0.1 / wifi off) ---> Asus Router (192.168.0.2 / 192.168.1.1) --> LAN devices (192.168.1.0/24)

Coté smartphone: (android connecté au GSM / Wifi off):

Coté port forwarding (asus):

IFCONFIG shows:

=> Asus LAN network
br0 Link encap:Ethernet HWaddr 04:D4:C4:46:15:A8
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING ALLMULTI MULTICAST MTU:1500 Metric:1
RX packets:1924667 errors:0 dropped:500 overruns:0 frame:0
TX packets:7074642 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:274554439 (261.8 MiB) TX bytes:9136506930 (8.5 GiB)

=> ISP LAN
eth0 Link encap:Ethernet HWaddr 04:D4:C4:46:15:A8
inet addr:192.168.0.2 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING ALLMULTI MULTICAST MTU:1500 Metric:1
RX packets:7038830 errors:0 dropped:3464 overruns:0 frame:0
TX packets:1732704 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:9134578510 (8.5 GiB) TX bytes:262497817 (250.3 MiB)

=> VPN VLAN
tun21 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 -00
inet addr:10.8.0.1 P-t-P:10.8.0.1 Mask:255.255.255.0
UP POINTOPOINT RUNNING NOARP PROMISC MULTICAST MTU:1500 Metric:1
RX packets:431 errors:0 dropped:0 overruns:0 frame:0
TX packets:477 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:71519 (69.8 KiB) TX bytes:127536 (124.5 KiB)

ROUTE (Asus):
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 192.168.0.1 0.0.0.0 UG 0 0 0 eth0
10.8.0.0 * 255.255.255.0 U 0 0 0 tun21
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
192.168.0.1 * 255.255.255.255 UH 0 0 0 eth0
192.168.1.0 * 255.255.255.0 U 0 0 0 br0

IPTABLE (ce que j'ai fait sur l'Asus)):
iptables -I INPUT 2 -p udp --dport 1194 -j ACCEPT
iptables -I FORWARD -i br0 -o tun21 -j ACCEPT
iptables -I FORWARD -i tun21 -o br0 -j ACCEPT

OPENVPN config file (Asus side) :
# Automatically generated configuration
daemon ovpn-server1
topology subnet
server 10.8.0.0 255.255.255.0
proto udp
port 1194
dev tun21
txqueuelen 1000
ncp-ciphers AES-256-GCM:AES-128-GCM:AES-256-CBC:AES-128-CBC
cipher AES-128-CBC
keepalive 15 60
verb 3
push "route 192.168.1.0 255.255.255.0 vpn_gateway 500"
client-config-dir ccd
client-to-client
duplicate-cn
push "redirect-gateway def1"
plugin /usr/lib/openvpn-plugin-auth-pam.so openvpn
ca ca.crt
dh dh.pem
cert server.crt
key server.key
script-security 2
up updown.sh
down updown.sh
status-version 2
status status 5

adhara · « **Réponse #1 le:** 28 janvier 2020 à 10:21:15 »

Bonjour,

Personne pour m’aiguiller ? Merci

Steph · « **Réponse #2 le:** 28 janvier 2020 à 10:46:17 »

Pour l'accès distant par GSM, le port 1194 est bien redirigé par la livebox sur l'asus?
livebox Wan:1194 -> 192.168.0.2:1194

Je ne vois pas à quoi sert la redirection 1194 sur l'asus?

adhara · « **Réponse #3 le:** 28 janvier 2020 à 11:27:02 »

Citation de: Steph le 28 janvier 2020 à 10:46:17

Pour l'accès distant par GSM, le port 1194 est bien redirigé par la livebox sur l'asus?
livebox Wan:1194 -> 192.168.0.2:1194

Je ne vois pas à quoi sert la redirection 1194 sur l'asus?

Bonjour,

Merci pour ce retour.
Oui j'ai fais du port forwarding depuis ma livebox 4 (ISP) vers mon routeur Asus.
D'ailleurs la connexion VPN depuis mon smartphone (en 4G) vers le serveur VPN (installé sur l'asus) fonctionne.

Le problème est que je suis en 10.8.0.0/24 sur ma connexion VPN (Vlan dédié) alors que mon LAN Asus est sur le réseau 192.168.1.0/24.

J'ai désactivé le firewall sur l'Asus pour éliminer cette piste ,ce n'est pas cela.
Je suspecte donc une configuration manquante au niveau des routes statiques entre les réseaux VPN (tun21) et LAN (br0)...

Si j'avais configuré mon VPN en mode TAP (au lieu de TUN), tout aurais été sur le même subnet mais les smartphone ne supportent pas le TAP.
Idem si la livebox 4 pouvait être configurée en mode bridge, je n'aurais pas eu je pense de problème...

Steph · « **Réponse #4 le:** 28 janvier 2020 à 11:42:42 »

Dans le fichier de config d'openVPN, l'instruction route pour ajouter la route qui va bien, non?

route 192.168.1.0 255.255.255.0

adhara · « **Réponse #5 le:** 28 janvier 2020 à 11:44:12 »

Oui j'ai:

push "route 192.168.1.0 255.255.255.0 vpn_gateway 500"

en fait depuis le smartphone en VPN, quand je fais un traceroute 192.168.1.1: j'ai un résultat (ok)

quand je fais un traceroute sur le 10.8.0.1: j'ai un résultat : j'ai un résultat (ok)

Steph · « **Réponse #6 le:** 28 janvier 2020 à 14:52:20 »

Les ping et tracert sont tous ok mais les applications ne marchent pas?