Auteur Sujet: Fuite dns Openvpn sur VM debian depuis la Freebox Delta (Lu 6550 fois)

aka80 · « **le:** 05 mai 2021 à 12:45:18 »

Bonjour,

depuis deux semaines, je galère avec la configuration de Openvpn, installé sur une VM debian, sur ma Freebox Delta.
J'ai réussi à tout mettre en place grâce au Tuto YouTube accessible avec le lien ci-dessous:

Tout a parfaitement fonctionné, et le vpn fonctionne. Mais j'ai un gros problème de fuite DNS et IPV6

Pour corriger ça, j'ai essayé de pousser les DNS google depuis le serveur DNS du vpn, sur les clients qui vont s'y connecter.
J'ai modifier le fichier ".client.conf, avec:

push "redirect-gateway def1 bypass-dhcp", avec l'installation au préalable de "openvpn-systemd-resolved"

push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
script-security 2
up /etc/openvpn/update-systemd-resolved
down /etc/openvpn/update-systemd-resolved
down-pre
dhcp-option DOMAIN-ROUTE .

J'ai aussi essayé de désactiver l'IPV6 dans /etc/sysctl.conf, mais ça n'a pas l'air de marcher
le "Push DNS ne fonctionne pas non plus. impossible d'avoir les DNS gobée sur les clients

Sur mon pc c'est le DNS fd0f:ee:b0::1 de la freebox, et l'ipv6 actif, au lieu des DNS du VPN.

Comment faire pour que le Push DNS fonctionne, et pouvoir empêcher les fuite DNS et ipv6?
Merci à vous

kgersen · « **Réponse #1 le:** 05 mai 2021 à 14:49:39 »

Je n'ai pas 20 minutes a perdre pour regarder la vidéo du coup comment le serveur VPN est déclaré dans les postes client ?

Si le but est d'éviter d'installer un client VPN sur chaque poste du LAN , il faut remplacer la Freebox au niveau passerelle par défaut et serveur DNS.

Si y'a besoin d'un client VPN sur chaque poste, y'a pas trop besoin d'un serveur VPN dans la box...

aka80 · « **Réponse #2 le:** 05 mai 2021 à 17:00:00 »

Citation de: kgersen le 05 mai 2021 à 14:49:39

Je n'ai pas 20 minutes a perdre pour regarder la vidéo du coup comment le serveur VPN est déclaré dans les postes client ?

Si le but est d'éviter d'installer un client VPN sur chaque poste du LAN , il faut remplacer la Freebox au niveau passerelle par défaut et serveur DNS.

Si y'a besoin d'un client VPN sur chaque poste, y'a pas trop besoin d'un serveur VPN dans la box...

Bonjour @kgersen

En fait j'ai créé une VM sous debian depuis la Freebox Delta, et j'y est installé Openvpn.
Ensuite dans Openvpn, j'ai connecté un client à mon vpn provider PrivateVpn, avec le fichier .ovpn
Ensuite j'ai copié le fichier en client.conf avec le contenu suivant:

remote fr-par.pvdata.host 443 tcp-client
nobind
dev tun

# Options
remote-cert-tls server
client
comp-lzo
persist-key
auth-nocache
keepalive 10 120
persist-tun
verb 3

# Crypto
cipher AES-128-GCM
auth SHA256
auth-user-pass /etc/openvpn/.authvpn

push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
script-security 2
up /etc/openvpn/update-systemd-resolved
down /etc/openvpn/update-systemd-resolved
down-pre
dhcp-option DOMAIN-ROUTE .

# Cert
<ca>
-----BEGIN CERTIFICATE-----

L'ip de la VM sert comme routeur sur les postes que je veux connecter au VPN.
Cela fonctionne très bien, mais problème c'est les fuites DNS et l'ipv6 que je n'arrive pas à résoudre. J'ai essayé avec "Push dns" mais ça ne fonctionne pas. Le VPN n'arrive pas à pousser les dns reseignés (ici ceux de google), et à chaque fois, c'est celui de la Freebox qui est déployé, ainsi que l"ipv6 qui n'est pas bloqué. Pourtant je l'ai demandé dans /etc/sysctl.conf

kgersen · « **Réponse #3 le:** 05 mai 2021 à 18:17:25 »

Citation de: aka80 le 05 mai 2021 à 17:00:00

L'ip de la VM sert comme routeur sur les postes que je veux connecter au VPN.

c'est fait comment ca ?

Si c'est manuellement dans chaque poste il faut aussi changer les DNS des postes et pas permettre au DNS IPv6 de se configurer.

exemple en laissant vide:

si on laisse 'obtenir les adresses des serveurs DNS automatiquement' alors les postes prendront l'IPv6 de la freebox comme serveur DNS (fd0f:ee:b0::1) et c'est ca qui coince.

tes "push ..." ne servent pas pour les postes car le serveur vpn n'est pas serveur DHCP (IPv4) ni serveur de RA (IPv6). C'est toujours la Freebox qui a ces 2 rôles.

aka80 · « **Réponse #4 le:** 06 mai 2021 à 15:10:59 »

non avec le serveur DNS de Openvpn, il est possible de choisir des DNS perso à pousser sur les postes qui vont se connecter au Vpn.

kgersen · « **Réponse #5 le:** 06 mai 2021 à 15:26:13 »

Citation de: aka80 le 06 mai 2021 à 15:10:59

non avec le serveur DNS de Openvpn, il est possible de choisir des DNS perso à pousser sur les postes qui vont se connecter au Vpn.

y'a pas 'poussage' sur les postes car les postes n'ont pas de client OpenVPN. Ils ne se 'connectent pas ' (au sens OpenVPN) au serveur VPN. C'est juste la passerelle par défaut qui est changée.

Pour pousser une configuration DNS sur un poste cela se fait par DHCP en IPv4 et RA/SLAAC en IPv6 (ou DHCPv6).Dans les 2 cas c'est fait par la Freebox.

« **Réponse #6 le:** 06 mai 2021 à 15:49:09 »

Citation de: kgersen le 06 mai 2021 à 15:26:13

y'a pas 'poussage' sur les postes car les postes n'ont pas de client OpenVPN. Ils ne se 'connectent pas ' (au sens OpenVPN) au serveur VPN. C'est juste la passerelle par défaut qui est changée.

Oui mais là c'est subtil, il faut avoir mis le nez dedans pour comprendre en réalité ce que tu veux dire et entends par là.

renaud07 · « **Réponse #7 le:** 06 mai 2021 à 17:07:04 »

Son explication me parait pourtant tout à fait claire.

Enfin, j'imagine que mon interprétation est biaisée puisque je fais (presque) la même chose.

kgersen · « **Réponse #8 le:** 06 mai 2021 à 17:43:00 »

Citation de: Anonyme le 06 mai 2021 à 15:49:09

Oui mais là c'est subtil, il faut avoir mis le nez dedans pour comprendre en réalité ce que tu veux dire et entends par là.

C'est plutôt le tuto qui est foireux car ne fonctionne pas avec IPv6 alors que c'est pour Freebox qui ont toutes IPv6 activées...

Apres comme indiqué au début je n'ai pas 20 minutes a perdre a regarder le tuto du coup c'est peut-être expliqué dedans qu'il faut couper IPv6 sur les postes.

vivien · « **Réponse #9 le:** 06 mai 2021 à 17:49:45 »

J'aime bien le tutoriel qui fait un SpeedTest en IPv6 (le serveur d'Orange Paris est répond en IPv6, donc le test est fait en IPv6 si le client a de l'IPv6) pour montrer les performances du VPN

Si j'ai bien compris, seul le trafic IPv4 passe par le VPN.

aka80 · « **Réponse #10 le:** 06 mai 2021 à 17:50:27 »

Citation de: kgersen le 06 mai 2021 à 15:26:13

y'a pas 'poussage' sur les postes car les postes n'ont pas de client OpenVPN. Ils ne se 'connectent pas ' (au sens OpenVPN) au serveur VPN. C'est juste la passerelle par défaut qui est changée.

Pour pousser une configuration DNS sur un poste cela se fait par DHCP en IPv4 et RA/SLAAC en IPv6 (ou DHCPv6).Dans les 2 cas c'est fait par la Freebox.

Oui exact, vous avez tout à fait raison. Effectivement je me sers de l'ip de la VM comme passerelle, et ainsi profiter du vpn.
Ce à quoi j'ai penser, pour arriver à ce que je veux faire, c'est installer un Serveur DHCP sur la VM debian, et m'en servir pour mon réseau. Ce qui aura comme conséquence, de couper le DHCP de la Freebox. Qu'en pensez-vous?

aka80 · « **Réponse #11 le:** 06 mai 2021 à 17:56:31 »

Citation de: kgersen le 06 mai 2021 à 17:43:00

C'est plutôt le tuto qui est foireux car ne fonctionne pas avec IPv6 alors que c'est pour Freebox qui ont toutes IPv6 activées...

Apres comme indiqué au début je n'ai pas 20 minutes a perdre a regarder le tuto du coup c'est peut-être expliqué dedans qu'il faut couper IPv6 sur les postes.

Non il n'a pas du tout évoqué le cas de l'IPV6 sur la Freebox. Ce qu'il il a bien préciser qu'il faut remplacer les DNS manuellement par ceux de notre vpn provider.
Et tu as parfaitement raison de le préciser le cas de l'IPV6 de la Freebox.