Debian stretch de nouveau des problèmes avec le VPN et APPER

Tags: #<Tag:0x00007fc9df6ed1f0> #<Tag:0x00007fc9df6ed100>

DEBIAN 9 STRECHT

  • Lorsque j’active le VPN (freebox) impossible de me connecter en ssh depuis le réseau local et aucun ping sur mon IP local? Lorsque celui-ci est désactivé cela fonctionne de nouveau?!

  • APPER ne fonctionne pas lorsque l’on clique sur un fichier DEB?!

Par avance merci.

Alors d’abord, c’est pas STRECHT, c’est STRETCH. :smiley:

Quelle freebox ?
Ta freebox est branchée comment à ton ordi, rj45 sur un port de la box ou usb ?
Ta freebox est elle en mode routé (le defaut sur lequel tu as pu configurer des redirections de port) ou bridge ?

Vers où ?

Depuis où ?

APPER est une merde qui fout parfois le bordel dans apt, et installer des .deb est à éviter si on peut, ce n’est pas une méthode d’install normale.

Bonjour,

Freebox V6 en WIFI routé.
Oui aucun ping
Avant STRETCH, j’étais sur JESSIE et aucun problème de VPN! Je me demande si c’est pas un problème de droit de l’utilisateur? APPER semble poser le même problème uniquement lorsque l’on clique sur un fichier DEB sinon le programme APPER fonctionne?

J’ai bien itun0 sur mon interface mais rien sur le KDE?

enp15s0: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        ether 7c:05:07:a0:ee:1b  txqueuelen 1000  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1  (Boucle locale)
        RX packets 111453  bytes 68429087 (65.2 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 111453  bytes 68429087 (65.2 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1500
        inet xxx.xxx.xxx.xx  netmask 255.255.255.255  destination xx.xxx.xx.xx
        inet6 xxxx::xxxx:xxxx:xxxx:xxxx  prefixlen 124  scopeid 0x0<global>
        inet6 xxxx::xxxx:xxxx:xxxx:xxxx  prefixlen 64  scopeid 0x20<link>
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 100  (UNSPEC)
        RX packets 422675  bytes 53977355 (51.4 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 540883  bytes 639820708 (610.1 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

wlp14s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet xxx.xxx.0.12  netmask 255.255.255.0  broadcast xxx.xxx.0.255
        inet6 xxxx::xxxx:xxxx:xxxx:xxxx  prefixlen 64  scopeid 0x0<global>
        inet6 xxxx::xxxx:xxxx:xxxx:xxxx  prefixlen 64  scopeid 0x20<link>
        inet6 xxxx::xxxx:xxxx:xxxx:xxxx  prefixlen 64  scopeid 0x0<global>
        ether xxxx::xxxx:xxxx:xxxx:xxxx  txqueuelen 1000  (Ethernet)
        RX packets 785394  bytes 252649956 (240.9 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 910361  bytes 1096743756 (1.0 GiB)

Cependant lorsque je désactive le VPN tout fonctionne (PING, SSH etc…)

Peu probable, les fonctionnalités réseau ne sont normalement pas liées aux utilisateurs.

C’est rare de devoir installer quelque chose en téléchargeant le .deb, c’est que le soft n’est pas distribué par debian, ce qui indique en général que le soft n’a pas pu être intégré à la distrib sans probléme ou que le soft est trop jeune pour avoir été bugtesté par debian.
Conséquence: il vaut mieux passer en ligne de commande avec dpkg -i ou mieux, debi/gdebi pour ne rien manquer des messages d’erreur éventuels à l’install lorsque tu es obligé d’installer ce genre de soft “hors distrib”.

Là, je n’y comprends plus rien.
Ton vpn n’est donc pas installé sur la freebox ?
Dans ce cas, c’est quel soft de vpn ? openvpn ?
Configuré comment, routé ou bridgé ?
As tu repris la même config de jessie à stretch ?
Quelles routes sont définies dans ta config ?

Tu n’as rien répondu à mes autres questions.

Quel rapport avec KDE ?

Bonjour,

Le VPN serveur est sur la freebox, je n’ai pas dis le contraire!
Oui c’est openvpn en tant que client, aucune configuration nécessaire à par le fichier ovpn
J’ai déjà dit : routé
tun0 est sur mon interface root en konsole (ip -a) mais pas sur mon interface KDE! Alors qu’il devrait l’être!

Non, mais ce que tu as indiqué est ambigu et incomplet:
au départ j’avais compris que ta freebox était cliente pour un service de vpn sur le net, et que quand tu activais le vpn, plus rien ne marchait sur ta machine située derrière ta freebox sur ton réseau local.

Même maintenant, ce n’est pas clair quant à l’endroit d’où tu fais tes tests, alors je résume la situation, et tu me dis si c’est bien ça:
ta freebox est configurée comme serveur d’accès
tu actives le client vpn sur une machine à l’extérieur pour accéder à ton réseau local,
quand c’est actif:

  • tu ne peux plus te connecter en ssh depuis une machine de ton réseau local
    (mais tu ne dis pas si c’est du ssh vers une adresse locale, celle publique de ton client extérieur, celle sur le vpn de ton client extérieur, ou une une autre adresse quelconque extérieure au réseau),
  • tu ne peux plus pinguer une adresse de ton réseau interne
    (là aussi il manque une info, on ne sait pas si c’est depuis la machine à l’intérieur ou si c’est depuis ta machine cliente vpn).

OK, j’avais pas vu.
La, c’est la référence au wifi dont je ne vois pas trop la fonction.

Bon, on avance pas, faudrait regarder les routes partout, testons au feeling, au moins en ipv4.

Déja, sur ton client en root, avec le vpn levé, essaye
ip r add 192.168.X.0/24 dev tun0 dev eth0 proto kernel scope link src 192.168.X.254
192.168.X.0 est le préfixe de ton réseau interne, ça doit être dessus qu’il t’attribue l’adresse de tun0, si je ne me trompe pas.
192.168.X.254 est l’adresse de la freebox sur ton réseau local.
Pingue 192.168.X.254 depuis ton client vpn.
Pingue une machine interne.
Si ça marche, on rendra ça automatique.

Si ça ne marche pas, un hack freebox un peu bourrin à tester, que j’ai trouvé en creusant:
édite ta config cliente .ovpn
dedans, juste aprés dev tun0, tu ajoutes:

#----------MODIF----------------------------------------
topology subnet
ifconfig 192.168.X.Y 255.255.255.224
pull-filter ignore "ifconfig"
route-gateway 192.168.X.254
#----------/MODIF---------------------------------------

192.168.X.Y est l’adresse que t’attribue actuellement ton vpn sur tun0 (là tu la rends fixe)
Le pull filter empêche le client d’utiliser la config du serveur.
Au final tu lui dit de faire passer le flux du vpn par ta freebox, ça ralenti le surf sur le net, parceque tout passe par la freebox avant d’aller sur les serveurs en ligne.
Un peu bourrin, mais si ça marche, déjà.

Bonjour,

Merci pour ta réponse, mais aujourd’hui je n’aurais pas de temps pour continuer, je commence tôt et finirais tard au travail. J’essayerai de te recontacter lundi, car le week-end nous partons. Je te souhaite un bon week-end et à lundi si tu veux toujours. Merci encore.

NP.
Bon weekend.

Bonjour,

Merci. Bon week-end à toi aussi.

Je reviendrais sur ce problème lundi.

Bonjour,

j’espère que tu as passé un bon week-end?

Voici la suite:

# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: enp15s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether xx:xx:xx:xx:xx:xx brd ff:ff:ff:ff:ff:ff
3: wlp14s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether xx:xx:xx:xx:xx:xx brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.12/24 brd 192.168.0.255 scope global dynamic wlp14s0
       valid_lft 40668sec preferred_lft 40668sec

# ip r add 192.168.27.64/24 dev tun0 dev enp15s0 proto kernel scope link src 192.168.0.254
        RTNETLINK answers: Invalid argument --> Je ne suis pas dans le même réseau local

# ip r
default via 212.xx.xx.xxx (url de ma freebox) dev tun0 
default via 192.168.0.254 (IP Local de freebox) dev wlp14s0 (interface wifi) proto static metric 600 
82.xx.xx.xxx (Mon IP Fixe de FREE) via 192.168.0.254 (IP Local de freebox) dev wlp14s0 (interface wifi)
169.254.0.0/16 dev tun0 scope link metric 1000 
192.168.0.0/24 via 212.xx.xx.xxx (url de ma freebox) dev tun0 
192.168.0.0/24 dev wlp14s0 proto kernel scope link src 192.168.0.12 (IP local de mon PC)) metric 600 
192.168.27.64/27 (IP VPN attribué à IP local de mon PC) via 212.xx.xx.xxx (url de ma freebox) dev tun0 
212.xx.xx.xxx (url de ma freebox) dev tun0 proto kernel scope link src 192.168.27.68 (IP VPN attribué à IP local de mon PC)

*** RÉSOLU ***

COMMENT CONFIGURER UN VPN AVEC OPENVPN SUR DEBIAN 9 STRETCH AVEC UNE FREEBOX V6

Configurer un accès VPN sur une Freebox Révolution (V6) via OpenVPN. L’objectif et de pouvoir accéder depuis l’extèrieur à votre réseau statique à SSH depuis le NAS de votre Freevox V6 sur le réseau dynamique. Ce petit tuto suppose que la configuration de la freebox est correctement effectué, ici en mode routé et ou bridgé.

Une étude montre que la plupart des services de VPN ouverts au public oublient de verrouiller le routage IPv6 sur les machines supportant ce protocole en plus d’IPv4. De quoi laisser fuite du trafic sans protection.

Remarque: l’option tun-ipv6 est ignorée car les systèmes d’exploitation modernes ne nécessitent plus de traitement spécial du tuner IPv6.

Voir: https://test-ipv6.com/ et pour la détection du WebRTC https://ipleak.net/

I/ Configuration additionnelle pour que toutes les interfaces réseau fonctionnent correctement.

1/ IPV4 & IPV6

a/ Dans le VPN de la FREEBOX OpenVPN routé cochez la case: protocoles supportés IPV4.

b/ Vérifier vos DNS dans /etc/resolv.conf (qui sont normalement automatiquement configurés avec la FREEBOX)

L’IP forwarding permet à un système d’exploitation Linux de faire suivre des paquets comme le fait un routeur ou plus généralement de les router au travers d’autres réseaux. L’activation de l’IP forwarding est souvent utilisée lorsque l’on fait de l’écoute réseau (attaque Man in the middle notamment) mais aussi plus simplement lorsque l’on cherche à faire d’une machine Linux un routeur entre plusieurs réseaux.

Le fichier de préchargement / configuration sysctl peut être créé à /etc/sysctl.d/99-sysctl.conf. Les paramètre de 99-sysctl.conf seront remplacer par ceux de sysctl.conf au redémarrage du PC.

c/ Trouvez les lignes suivante, activer L’IP forwarding de IPV4 et d’écommanter et et désactivez celle de IPV6 et commenter:

#nano /etc/sysctl.conf
net.ipv4.ip_forward=1
#net.ipv6.conf.all.forwarding=0

d/ Enfin, appliquez vos modifications:

d1/ Pour charger tous les fichiers de configuration manuellement, exécutez:

#sysctl --system
* Applying /etc/sysctl.d/99-sysctl.conf …
* Applying /etc/sysctl.conf …
net.ipv4.ip_forward = 1
fs.inotify.max_user_watches = 1048576

d2/ Un seul fichier de paramètres permanent peut également être chargé explicitement avec:

#sysctl -p
net.ipv4.ip_forward = 1
fs.inotify.max_user_watches = 1048576

e/ Rédémarrer les serveurs

#systemctl start openvpn.service
#service network-manager restart

f/ Vérification:

#sysctl -a | grep net.ipv4.icmp_echo_ignore_all
net.ipv4.icmp_echo_ignore_all = 0
sysctl: reading key “net.ipv6.conf.all.stable_secret”
sysctl: reading key “net.ipv6.conf.default.stable_secret”
sysctl: reading key “net.ipv6.conf.enp15s0.stable_secret”
sysctl: reading key “net.ipv6.conf.lo.stable_secret”
sysctl: reading key “net.ipv6.conf.wlp14s0.stable_secret”

Ma sortie est:
net.ipv4.icmp_echo_ignore_all = 0

#sysctl -a | grep net.ipv4.ip_forward
net.ipv4.ip_forward = 1
net.ipv4.ip_forward_use_pmtu = 0
sysctl: reading key “net.ipv6.conf.all.stable_secret”
sysctl: reading key “net.ipv6.conf.default.stable_secret”
sysctl: reading key “net.ipv6.conf.enp15s0.stable_secret”
sysctl: reading key “net.ipv6.conf.lo.stable_secret”
sysctl: reading key “net.ipv6.conf.wlp14s0.stable_secret”

Ma sortie est:
net.ipv4.ip_forward = 1

II/ Modification du fichier.ovpn

Voici les deux lignes à ajouter en dessous de « dev tun » :

route-gateway 192.168.0.254
redirect-gateway def1

Effectuer une petite modification du fichier.ovpn télécharger depuis la freebox puis copiè dans le reprtoire de /etc/openvpn/

#cd /etc/openvpn/
#nano fichier.ovpn

[...]
dev tun0
route-gateway 192.168.0.254
redirect-gateway def1
[...]

Redémarrer votre client openvpn de votre PC

III/ Conclusion

Le PC répond aux requêtes ping, et agit comme un routeur ou une passerelle en IPV4 en transférant des paquets IP.
Voir: https://test-ipv6.com/ et pour la détection du WebRTC https://ipleak.net/

1 J'aime