Bonjour,
N'arrivant pas à faire transiter le flux de certaines destinations dans le tunnel VPN, je me permets de faire appel à votre expertise.
Le contexte, sur l'USG mais valable aussi sur un ER, je désire que certains flux sur des adresses ou réseaux destinations (adresses publiques), le flux de ces destinations soit routé dans le tunnel VPN OpenVPN client définit dans le router.
Hélas aujourd'hui seul le VPN PPTP est intégré nativement dans l'USG. J'ai vu sur le forum officiel d'Ubiquiti qu'il y avait pas mal de demandes d'ajouter openvpn client, mais pas encore pris en compte par le constructeur.
Le client Openvpn est configuré et fonctionnel sur l'USG et l'interface vtun0 est bien up.
Il y a ici et sur le forum ubiquiti quelques tuto pour gérer en fonction de l'adresse source, mais rien avec les adresses destination. Ma question est est-ce un problème de compréhension ou alors mon besoin n'est pas faisable par adresses destination.
Voilà la configuration essayée, mais qui fonctionne partiellement.
Coté interface :
Interface IP Address S/L Description
--------- ---------- --- -----------
eth0 - u/u WAN
eth0.832 81.249.x.x/21 u/u WAN
eth1 192.168.0.254/24 u/u LAN
eth2 - A/D
lo 127.0.0.1/8 u/u
::1/128
vtun0 10.115.212.17/23 u/u
ta table de routage :
show ip route
Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF,
I - ISIS, B - BGP, > - selected route, * - FIB route
S>* 0.0.0.0/0 [1/0] via 81.249.208.1, eth0.832
C>* 10.115.212.0/23 is directly connected, vtun0
C>* 81.249.x.0/21 is directly connected, eth0.832
C>* 127.0.0.0/8 is directly connected, lo
C>* 192.168.0.0/24 is directly connected, eth1
Là aucune route pour faire transiter le flux vers une destination particulière dans le vpn.
ajout de la route :
set protocols static interface-route x.x.x.x/32 next-hop-interface vtun0
S>* X.X.X.X/32 [1/0] is directly connected, vtun0le traceroute à partir du router fait désormais passer le flux dans le VPN.
Maintenant il reste à gérer le routage depuis un poste client et là cela coince.
J'ai essayé la configuration suivante en me basant sur les tuto parlant de routage en fonction des adresses/réseaux sources en l'adaptant en destination :
et protocols static table 1 interface-route 0.0.0.0/0 next-hop-interface vtun0
set firewall modify DESTINATION_ROUTE rule 10 description "Route trafic to VPN from x.x.x"
set firewall modify DESTINATION_ROUTE rule 10 destination address x.x.x.x
et
set firewall modify DESTINATION_ROUTE rule 10 modify table 1
set protocols static table 1 interface-route x.x.x.x/32 next-hop-interface vtun0
set interfaces ethernet eth1 firewall out modify DESTINATION_ROUTE
set service nat rule 5004 description "masq to vpn vtun0"
set service nat rule 5004 destination address 0.0.0.0/0
set service nat rule 5004 outbound-interface vtun0
set service nat rule 5004 type masquerade
Je pense avoir mal compris le principe, car cela fonctionne sur la première IP destination, mais pour un groupe d'IP ou l'ajout d'une nouvelle IP dans la règle, le routage ne fonctionne pas.
Merci par avance pour les pistes et toutes explications pour mieux comprendre le fonctionnement de ce type de routage.
@zoc je ne sais pas si tu as ce type de compétence ou d'autres.
Routeur