Auteur Sujet: OpenVPN sur ERL  (Lu 2205 fois)

0 Membres et 1 Invité sur ce sujet

boho

  • Client Orange Fibre
  • *
  • Messages: 33
OpenVPN sur ERL
« Réponse #12 le: 29 juin 2017 à 07:57:58 »
Bon,
J'ai fait le ménage dans la config mais j'ai toujours une "fuite" quand le VPN tombe.
Je vais reprendre à 0.

boho

  • Client Orange Fibre
  • *
  • Messages: 33
OpenVPN sur ERL
« Réponse #13 le: 29 juin 2017 à 09:45:45 »
Bon ça marche,
J'ai finalement remplacé

name WAN_OUT {
        default-action accept
        description "WAN OK except for VPN clients"
        rule 1 {
            action drop
            description "Drop VPN direct WAN access"
            log disable
            protocol all
            source {
                group {
                    address-group ADDRv4_eth2.55
                }
            }
        }

par
    name WAN_OUT {
        default-action accept
        description "WAN OK except for VPN clients"
        rule 1 {
            action drop
            description "Drop VPN direct WAN access"
            destination {
                group {
                }
            }
            log disable
            protocol all
            source {
                address 192.168.55.0/24
                group {
                }
            }
        }
    }

pour une syntaxe avec laquelle je suis plus à l'aise et ça fonctionne.
-> tout le trafic des clients du Vlan passe par le tunnel, y compris les requêtes DNS
-> si le tunnel tombe, les clients du Vlan perdent leur accès à internet, les requêtes DNS n'aboutissent pas.

Faut que je voit s'il y aurait d'autres tests à faire pour rechercher d'éventuelles fuites mais c'est OK pour ce que je peux en juger.






 

Ipatch

  • Client Orange adsl
  • *
  • Messages: 7
  • Fréjus + 83
OpenVPN sur ERL
« Réponse #14 le: 12 juillet 2017 à 16:22:33 »
Bonjour a tous,

J'utilise un ERL et en parallèle un accès VPN typé "privacy" à partir d'un poste client.
Voulant élargir l'usage à plus de postes, je me dis que ce serait plus malin de gérer la connexion à partir du routeur.

Le prestataire que j'utilise est BlackVPN et ils proposent aussi bien OpenVPN que IPSEC.

J'ai fait un essai via OpenVPN en m’inspirant de la config "selective routing" de http://lg.io/2015/01/11/the-ubiquiti-edgerouter-configuring-this-meilleur-vpn-extremely-lowcost-enterprisegrade-router-for-home-use.html.

Par rapport au fichier de conf proposé par le prestataire, j'ai dû ajouter -route-nopull et enlever -pull sans quoi tous les clients conectés au routeur passent par le VPN. Je ne suis d'ailleurs pas fan de l'instruction pull dans ce contexte  :o, ça fait un peu chéque en blanc. Le résultat est mitigé car ça marche ... mais le client qui pointe vers le VPN utilise toujours les DNS Orange  :( .

Bref, quelle serait la bonne façon de pousser sélectivement tout le trafic d'un groupe de clients vers le VPN en évitant les fuites DNS? Je préfère ne pas avoir de configuration à réaliser sur les clients. La version d'OpenVPN sur le FW 1.9 est déjà un peu ancienne  ce qui est aussi est à considérer.

Merci

Hi,
Je pense que la configuration est nécessaire sinon ça risque de ne pas tenir. J'ai même par le passé essayé un encodage openvpn via des roots sécurisés mais ça n'a pas bien marché. Le mieux est de passer via des requêtes DNS de ton FAI. :)
« Modifié: 13 juillet 2017 à 12:51:05 par Ipatch »

 

Mobile View