openVPN sur debian openVZ

Support Debian
#1

Bonjour à tous

Bon ben voila, je devais être en vacances vendredi dernier et me voilà au boulot

crash d’un serveur et donc en urgence je dois remonter le vpn (ce que je n’ai jamais fait)

j’ai donc monté une VM debian 7 sous OpenVz, et en m’inspirant de ce tuto

blog.emilienkenler.com/2011/07/ … pn-openvz/
et de celui ci
ludovicbouguerra.fr/2012/11/ … ur-openvz/

j’ai fait la preconfig de la vm pour installer ensuite openvpn

deja le soucis c’est que quand je met en place le routage sur la machine hote voila ce que j’ai:

iptables -A POSTROUTING -o venet0 -j SNAT --to 172.16.0.101
iptables: No chain/target/match by that name.

172.16.0.101 étant l’ip de la VM Openvpn et 172.16.0.1 le serveur hote

je suis donc allé la:

serverfault.com/questions/636339 … -error-cou

modifié le fichier /etc/vz/vz.conf comme indiqué

et ensuite j’ai fais:

vzctl set 101 --netfilter full --save
vzctl: unrecognized option '--netfilter'

101 etant l’id de la vm et je rencontre a nouveau une erreur :088

J’ai donc passé outre pour le moemnt, reinjecté dans la nouvelle vm la config openvpn de l’ancien serveur et je n’ai pas de crash et d’erreur au lancement de openvpn qui se fini par “Mon Aug 10 14:58:28 2015 Initialization Sequence Completed”…

Ca fait au moins une bonne nouvelle dans cette journée de fou

Par contre piouvez vous m’aider svp pour la partie netfilter qui ne veut pas passer et iptable qui ne passe pas non plus?

voila les infos que je peux vous donner pour le moment

sur la machine hote:

lsmod | grep ip
ip6t_REJECT             4743  0 
ip6table_mangle         3669  0 
ip6table_filter         3033  0 
ip6_tables             19746  2 ip6table_filter,ip6table_mangle
ipt_REDIRECT            1888  0 
iptable_nat             6302  0 
nf_nat                 23213  5 iptable_nat,nf_nat_ftp,nf_nat_irc,ipt_REDIRECT,vzrst
nf_conntrack_ipv4       9978  3 nf_nat,iptable_nat
nf_defrag_ipv4          1531  1 nf_conntrack_ipv4
nf_conntrack           80620  12 nf_conntrack_ipv4,nf_conntrack_ftp,nf_conntrack_irc,xt_conntrack,xt_state,xt_helper,nf_nat,iptable_nat,nf_nat_ftp,nf_nat_irc,vzcpt,vzrst
ipt_LOG                 6405  0 
ipt_REJECT              2399  0 
xt_multiport            2812  0 
iptable_mangle          3493  0 
iptable_filter          2937  0 
ip_tables              18183  3 iptable_filter,iptable_mangle,iptable_nat
ipv6                  326757  197 ip6table_mangle,ip6t_REJECT,vzrst

sur la vm

lsmod | grep ip
root@VPN:/var/log# ip6t_REJECT             4743  0 
-bash: ip6t_REJECT: command not found
root@VPN:/var/log# ip6table_mangle         3669  0 
-bash: ip6table_mangle: command not found
root@VPN:/var/log# ip6table_filter         3033  0 
-bash: ip6table_filter: command not found
root@VPN:/var/log# ip6_tables             19746  2 ip6table_filter,ip6table_mangle
-bash: ip6_tables: command not found
root@VPN:/var/log# ipt_REDIRECT            1888  0 
-bash: ipt_REDIRECT: command not found
root@VPN:/var/log# iptable_nat             6302  0 
-bash: iptable_nat: command not found
root@VPN:/var/log# nf_nat                 23213  5 iptable_nat,nf_nat_ftp,nf_nat_irc,ipt_REDIRECT,vzrst
-bash: nf_nat: command not found
root@VPN:/var/log# nf_conntrack_ipv4       9978  3 nf_nat,iptable_nat
-bash: nf_conntrack_ipv4: command not found
root@VPN:/var/log# nf_defrag_ipv4          1531  1 nf_conntrack_ipv4
-bash: nf_defrag_ipv4: command not found
root@VPN:/var/log# nf_conntrack           80620  12 nf_conntrack_ipv4,nf_conntrack_ftp,nf_conntrack_irc,xt_conntrack,xt_state,xt_helper,nf_nat,iptable_nat,nf_nat_ftp,nf_nat_irc,vzcpt,vzrst
-bash: nf_conntrack: command not found
root@VPN:/var/log# ipt_LOG                 6405  0 
-bash: ipt_LOG: command not found
root@VPN:/var/log# ipt_REJECT              2399  0 
-bash: ipt_REJECT: command not found
root@VPN:/var/log# xt_multiport            2812  0 
-bash: xt_multiport: command not found
root@VPN:/var/log# iptable_mangle          3493  0 
-bash: iptable_mangle: command not found
root@VPN:/var/log# iptable_filter          2937  0 
-bash: iptable_filter: command not found
root@VPN:/var/log# ip_tables              18183  3 iptable_filter,iptable_mangle,iptable_nat
-bash: ip_tables: command not found
root@VPN:/var/log# ipv6                  326757  197 ip6table_mangle,ip6t_REJECT,vzrst
-bash: ipv6: command not found

voila le fichier de config de ma vm

/etc/vz/conf # vi 101.conf 
#  Copyright (C) 2000-2011, Parallels, Inc. All rights reserved.
#
#  This program is free software; you can redistribute it and/or modify
#  it under the terms of the GNU General Public License as published by
#  the Free Software Foundation; either version 2 of the License, or
#  (at your option) any later version.
#
#  This program is distributed in the hope that it will be useful,
#  but WITHOUT ANY WARRANTY; without even the implied warranty of
#  MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
#  GNU General Public License for more details.
#
#  You should have received a copy of the GNU General Public License
#  along with this program; if not, write to the Free Software
#  Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA  02111-1307  USA
#

# This config is only valid for decent VSwap-enabled kernel
# (version 042stab042 or later).

# RAM
PHYSPAGES="0:131072"

# Swap
SWAPPAGES="0:262144"

# Disk quota parameters (in form of softlimit:hardlimit)
DISKSPACE="4096000:4096000"
DISKINODES="200000:220000"
QUOTATIME="0"

# CPU fair scheduler parameter
CPUUNITS="1000"
VE_ROOT="/var/lib/vz/root/$VEID"
VE_PRIVATE="/var/lib/vz/private/$VEID"
OSTEMPLATE="debian-7.0-x86_64-minimal"
ORIGIN_SAMPLE="vswap-512m"
HOSTNAME="VPN"
NAMESERVER="172.16.0.1"
IP_ADDRESS="172.16.0.101"
DEVICES="c:10:200:rw "
CAPABILITY="NET_ADMIN:on "
IPTABLES="ip_tables iptable_filter iptable_mangle ipt_limit ipt_multiport ipt_tos ipt_TOS ipt_REJECT ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_LOG ipt_length ip_conntrack ip_conntrack_ftp ipt_state iptable_nat ip_nat_ftp "

Vous comprendrez que c’est assez urgent :confused:

merci par avance

#2

voila ce que j’obtient sur ma vm

iptables -L -v -n
Chain INPUT (policy ACCEPT 786 packets, 80552 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 638 packets, 76400 bytes)
 pkts bytes target     prot opt in     out     source               destination

donc il y a bien des trucs qui passent mais toujours par de VPN actif

et

lsmod | grep tables
lsmod | grep ip

ne me retourne aucune reponse

edit:

bon voila le contenu de openvpn.log aprés un restart de la vm

less openvpn.log 
Mon Aug 10 17:07:51 2015 event_wait : Interrupted system call (code=4)
Mon Aug 10 17:07:51 2015 TCP/UDP: Closing socket
Mon Aug 10 17:07:51 2015 /sbin/route del -net 10.66.0.0 netmask 255.255.255.0
SIOCDELRT: Operation not permitted
Mon Aug 10 17:07:51 2015 ERROR: Linux route delete command failed: external program exited with error status: 7
Mon Aug 10 17:07:51 2015 /sbin/route del -net 10.2.0.0 netmask 255.255.255.0
SIOCDELRT: Operation not permitted
Mon Aug 10 17:07:51 2015 ERROR: Linux route delete command failed: external program exited with error status: 7
Mon Aug 10 17:07:51 2015 /sbin/route del -net 10.1.0.0 netmask 255.255.255.0
SIOCDELRT: Operation not permitted
Mon Aug 10 17:07:51 2015 ERROR: Linux route delete command failed: external program exited with error status: 7
Mon Aug 10 17:07:51 2015 Closing TUN/TAP interface
Mon Aug 10 17:07:51 2015 /sbin/ifconfig tun0 0.0.0.0
SIOCSIFADDR: Permission denied
SIOCSIFFLAGS: Permission denied
Mon Aug 10 17:07:51 2015 Linux ip addr del failed: external program exited with error status: 255
Mon Aug 10 17:07:51 2015 PLUGIN_CLOSE: /usr/lib/openvpn/openvpn-auth-pam.so
Mon Aug 10 17:07:51 2015 SIGTERM[hard,] received, process exiting
Mon Aug 10 17:07:52 2015 OpenVPN 2.2.1 x86_64-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Dec  1 2014
Mon Aug 10 17:07:52 2015 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Aug 10 17:07:52 2015 PLUGIN_INIT: POST /usr/lib/openvpn/openvpn-auth-pam.so '[/usr/lib/openvpn/openvpn-auth-pam.so] [common-auth]' intercepted=PLUGIN_AUTH_USER_PASS_VERIFY 
Mon Aug 10 17:07:52 2015 Diffie-Hellman initialized with 1024 bit key
Mon Aug 10 17:07:52 2015 WARNING: file 'vpn.key' is group or others accessible
Mon Aug 10 17:07:52 2015 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Aug 10 17:07:52 2015 Socket Buffers: R=[245760->131072] S=[245760->131072]
Mon Aug 10 17:07:52 2015 ROUTE: default_gateway=UNDEF
Mon Aug 10 17:07:52 2015 TUN/TAP device tun0 opened
Mon Aug 10 17:07:52 2015 TUN/TAP TX queue length set to 100
Mon Aug 10 17:07:52 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Mon Aug 10 17:07:52 2015 /sbin/ifconfig tun0 10.66.0.1 pointopoint 10.66.0.2 mtu 1500
Mon Aug 10 17:07:52 2015 /sbin/route add -net 10.1.0.0 netmask 255.255.255.0 gw 10.66.0.2
Mon Aug 10 17:07:52 2015 /sbin/route add -net 10.2.0.0 netmask 255.255.255.0 gw 10.66.0.2
Mon Aug 10 17:07:52 2015 /sbin/route add -net 10.66.0.0 netmask 255.255.255.0 gw 10.66.0.2
Mon Aug 10 17:07:52 2015 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Aug 10 17:07:52 2015 GID set to nogroup
Mon Aug 10 17:07:52 2015 UID set to nobody
Mon Aug 10 17:07:52 2015 UDPv4 link local (bound): [undef]
Mon Aug 10 17:07:52 2015 UDPv4 link remote: [undef]
Mon Aug 10 17:07:52 2015 MULTI: multi_init called, r=256 v=256
Mon Aug 10 17:07:52 2015 IFCONFIG POOL: base=10.66.0.4 size=62, ipv6=0
Mon Aug 10 17:07:52 2015 ifconfig_pool_read(), in='xxx,10.66.0.4', TODO: IPv6
Mon Aug 10 17:07:52 2015 succeeded -> ifconfig_pool_set()
Mon Aug 10 17:07:52 2015 ifconfig_pool_read(), in='xxx,10.66.0.8', TODO: IPv6
Mon Aug 10 17:07:52 2015 succeeded -> ifconfig_pool_set()
Mon Aug 10 17:07:52 2015 ifconfig_pool_read(), in='xxx,10.66.0.12', TODO: IPv6
Mon Aug 10 17:07:52 2015 succeeded -> ifconfig_pool_set()
Mon Aug 10 17:07:52 2015 ifconfig_pool_read(), in='xxx,10.66.0.16', TODO: IPv6
Mon Aug 10 17:07:52 2015 succeeded -> ifconfig_pool_set()
Mon Aug 10 17:07:52 2015 ifconfig_pool_read(), in='xxx,10.66.0.20', TODO: IPv6
Mon Aug 10 17:07:52 2015 succeeded -> ifconfig_pool_set()
Mon Aug 10 17:07:52 2015 ifconfig_pool_read(), in='xxx,10.66.0.24', TODO: IPv6
Mon Aug 10 17:07:52 2015 succeeded -> ifconfig_pool_set()
Mon Aug 10 17:07:52 2015 ifconfig_pool_read(), in='xxx,10.66.0.28', TODO: IPv6
Mon Aug 10 17:07:52 2015 succeeded -> ifconfig_pool_set()
Mon Aug 10 17:07:52 2015 ifconfig_pool_read(), in='xxx,10.66.0.32', TODO: IPv6
Mon Aug 10 17:07:52 2015 succeeded -> ifconfig_pool_set()
Mon Aug 10 17:07:52 2015 ifconfig_pool_read(), in='xxx,10.66.0.36', TODO: IPv6
Mon Aug 10 17:07:52 2015 succeeded -> ifconfig_pool_set()
Mon Aug 10 17:07:52 2015 ifconfig_pool_read(), in='xxx,10.66.0.40', TODO: IPv6
Mon Aug 10 17:07:52 2015 succeeded -> ifconfig_pool_set()
Mon Aug 10 17:07:52 2015 ifconfig_pool_read(), in='xxx,10.66.0.44', TODO: IPv6
Mon Aug 10 17:07:52 2015 succeeded -> ifconfig_pool_set()
Mon Aug 10 17:07:52 2015 ifconfig_pool_read(), in='xxx,10.66.0.48', TODO: IPv6
Mon Aug 10 17:07:52 2015 succeeded -> ifconfig_pool_set()
Mon Aug 10 17:07:52 2015 ifconfig_pool_read(), in='xxx,10.66.0.52', TODO: IPv6
Mon Aug 10 17:07:52 2015 succeeded -> ifconfig_pool_set()
Mon Aug 10 17:07:52 2015 ifconfig_pool_read(), in='xxx,10.66.0.56', TODO: IPv6
Mon Aug 10 17:07:52 2015 succeeded -> ifconfig_pool_set()
Mon Aug 10 17:07:52 2015 ifconfig_pool_read(), in='xxx,10.66.0.60', TODO: IPv6
Mon Aug 10 17:07:52 2015 succeeded -> ifconfig_pool_set()
Mon Aug 10 17:07:52 2015 ifconfig_pool_read(), in='xxx,10.66.0.64', TODO: IPv6
Mon Aug 10 17:07:52 2015 succeeded -> ifconfig_pool_set()
Mon Aug 10 17:07:52 2015 ifconfig_pool_read(), in='xxx,10.66.0.68', TODO: IPv6
Mon Aug 10 17:07:52 2015 succeeded -> ifconfig_pool_set()
Mon Aug 10 17:07:52 2015 ifconfig_pool_read(), in='xxx,10.66.0.72', TODO: IPv6
Mon Aug 10 17:07:52 2015 succeeded -> ifconfig_pool_set()
Mon Aug 10 17:07:52 2015 ifconfig_pool_read(), in='xxx,10.66.0.76', TODO: IPv6
Mon Aug 10 17:07:52 2015 succeeded -> ifconfig_pool_set()
Mon Aug 10 17:07:52 2015 ifconfig_pool_read(), in='xxx,10.66.0.80', TODO: IPv6
Mon Aug 10 17:07:52 2015 succeeded -> ifconfig_pool_set()
Mon Aug 10 17:07:52 2015 ifconfig_pool_read(), in='xxx,10.66.0.84', TODO: IPv6
Mon Aug 10 17:07:52 2015 succeeded -> ifconfig_pool_set()
Mon Aug 10 17:07:52 2015 ifconfig_pool_read(), in='xxx,10.66.0.88', TODO: IPv6
Mon Aug 10 17:07:52 2015 succeeded -> ifconfig_pool_set()
Mon Aug 10 17:07:52 2015 ifconfig_pool_read(), in='xxx,10.66.0.92', TODO: IPv6
Mon Aug 10 17:07:52 2015 succeeded -> ifconfig_pool_set()
Mon Aug 10 17:07:52 2015 ifconfig_pool_read(), in='xxx,10.66.0.96', TODO: IPv6
Mon Aug 10 17:07:52 2015 succeeded -> ifconfig_pool_set()
Mon Aug 10 17:07:52 2015 IFCONFIG POOL LIST
Mon Aug 10 17:07:52 2015 xxx,10.66.0.4
Mon Aug 10 17:07:52 2015 xxx,10.66.0.8
Mon Aug 10 17:07:52 2015 xxx,10.66.0.12
Mon Aug 10 17:07:52 2015 xxx,10.66.0.16
Mon Aug 10 17:07:52 2015 xxx,10.66.0.20
Mon Aug 10 17:07:52 2015 xxx,10.66.0.24
Mon Aug 10 17:07:52 2015 xxx,10.66.0.28
Mon Aug 10 17:07:52 2015 xxx,10.66.0.32
Mon Aug 10 17:07:52 2015 xxx,10.66.0.36
Mon Aug 10 17:07:52 2015 xxx,10.66.0.40
Mon Aug 10 17:07:52 2015 xxx,10.66.0.44
Mon Aug 10 17:07:52 2015 xxx,10.66.0.48
Mon Aug 10 17:07:52 2015 xxx,10.66.0.52
Mon Aug 10 17:07:52 2015 xxx,10.66.0.56
Mon Aug 10 17:07:52 2015 xxx,10.66.0.60
Mon Aug 10 17:07:52 2015 xxx,10.66.0.64
Mon Aug 10 17:07:52 2015 xxx,10.66.0.68
Mon Aug 10 17:07:52 2015 xxx,10.66.0.72
Mon Aug 10 17:07:52 2015 xxx,10.66.0.76
Mon Aug 10 17:07:52 2015 xxx,10.66.0.80
Mon Aug 10 17:07:52 2015 xxx,10.66.0.84
Mon Aug 10 17:07:52 2015 xxx,10.66.0.88
Mon Aug 10 17:07:52 2015 xxx,10.66.0.92
Mon Aug 10 17:07:52 2015 xxx,10.66.0.96
Mon Aug 10 17:07:52 2015 Initialization Sequence Completed

et les info vpn dans syslog

grep VPN /var/log/syslog 
Aug 10 16:06:56 VPN ntpd[1616]: ntpd exiting on signal 15
Aug 10 16:06:59 VPN kernel: imklog 5.8.11, log source = /proc/kmsg started.
Aug 10 16:06:59 VPN rsyslogd: [origin software="rsyslogd" swVersion="5.8.11" x-pid="1501" x-info="http://www.rsyslog.com"] start
Aug 10 16:06:59 VPN ntpd[1620]: ntpd 4.2.6p5@1.2349-o Fri Apr 10 18:48:35 UTC 2015 (1)
Aug 10 16:06:59 VPN ntpd[1621]: proto: precision = 0.109 usec
Aug 10 16:06:59 VPN ntpd[1621]: Listen and drop on 0 v4wildcard 0.0.0.0 UDP 123
Aug 10 16:06:59 VPN ntpd[1621]: Listen and drop on 1 v6wildcard :: UDP 123
Aug 10 16:06:59 VPN ntpd[1621]: Listen normally on 2 lo 127.0.0.1 UDP 123
Aug 10 16:06:59 VPN ntpd[1621]: Listen normally on 3 venet0 127.0.0.2 UDP 123
Aug 10 16:06:59 VPN ntpd[1621]: Listen normally on 4 venet0:0 172.16.0.101 UDP 123
Aug 10 16:06:59 VPN ntpd[1621]: Listen normally on 5 tun0 10.66.0.1 UDP 123
Aug 10 16:06:59 VPN ntpd[1621]: Listen normally on 6 lo ::1 UDP 123
Aug 10 16:06:59 VPN ntpd[1621]: peers refreshed
Aug 10 16:06:59 VPN ntpd[1621]: Listening on routing socket on fd #23 for interface updates
Aug 10 16:15:35 VPN ntpd[1621]: ntpd exiting on signal 15
Aug 10 16:15:39 VPN kernel: imklog 5.8.11, log source = /proc/kmsg started.
Aug 10 16:15:39 VPN rsyslogd: [origin software="rsyslogd" swVersion="5.8.11" x-pid="1500" x-info="http://www.rsyslog.com"] start
Aug 10 16:15:39 VPN ntpd[1619]: ntpd 4.2.6p5@1.2349-o Fri Apr 10 18:48:35 UTC 2015 (1)
Aug 10 16:15:39 VPN ntpd[1620]: proto: precision = 0.109 usec
Aug 10 16:15:39 VPN ntpd[1620]: Listen and drop on 0 v4wildcard 0.0.0.0 UDP 123
Aug 10 16:15:39 VPN ntpd[1620]: Listen and drop on 1 v6wildcard :: UDP 123
Aug 10 16:15:39 VPN ntpd[1620]: Listen normally on 2 lo 127.0.0.1 UDP 123
Aug 10 16:15:39 VPN ntpd[1620]: Listen normally on 3 venet0 127.0.0.2 UDP 123
Aug 10 16:15:39 VPN ntpd[1620]: Listen normally on 4 venet0:0 172.16.0.101 UDP 123
Aug 10 16:15:39 VPN ntpd[1620]: Listen normally on 5 tun0 10.66.0.1 UDP 123
Aug 10 16:15:39 VPN ntpd[1620]: Listen normally on 6 lo ::1 UDP 123
Aug 10 16:15:39 VPN ntpd[1620]: peers refreshed
Aug 10 16:15:39 VPN ntpd[1620]: Listening on routing socket on fd #23 for interface updates
Aug 10 16:17:32 VPN ntpd[1620]: ntpd exiting on signal 15
Aug 10 16:18:59 VPN kernel: imklog 5.8.11, log source = /proc/kmsg started.
Aug 10 16:18:59 VPN rsyslogd: [origin software="rsyslogd" swVersion="5.8.11" x-pid="1502" x-info="http://www.rsyslog.com"] start
Aug 10 16:18:59 VPN ntpd[1621]: ntpd 4.2.6p5@1.2349-o Fri Apr 10 18:48:35 UTC 2015 (1)
Aug 10 16:18:59 VPN ntpd[1622]: proto: precision = 0.112 usec
Aug 10 16:18:59 VPN ntpd[1622]: Listen and drop on 0 v4wildcard 0.0.0.0 UDP 123
Aug 10 16:18:59 VPN ntpd[1622]: Listen and drop on 1 v6wildcard :: UDP 123
Aug 10 16:18:59 VPN ntpd[1622]: Listen normally on 2 lo 127.0.0.1 UDP 123
Aug 10 16:18:59 VPN ntpd[1622]: Listen normally on 3 venet0 127.0.0.2 UDP 123
Aug 10 16:18:59 VPN ntpd[1622]: Listen normally on 4 venet0:0 172.16.0.101 UDP 123
Aug 10 16:18:59 VPN ntpd[1622]: Listen normally on 5 tun0 10.66.0.1 UDP 123
Aug 10 16:18:59 VPN ntpd[1622]: Listen normally on 6 lo ::1 UDP 123
Aug 10 16:18:59 VPN ntpd[1622]: peers refreshed
Aug 10 16:18:59 VPN ntpd[1622]: Listening on routing socket on fd #23 for interface updates

la config reseau du serveur physique qui heberge la vm VPN

ifconfig -a
br0       Link encap:Ethernet  HWaddr 00:19:b9:b9:a2:0b  
          inet adr:172.16.0.1  Bcast:172.16.0.255  Masque:255.255.255.0
          adr inet6: fe80::219:b9ff:feb9:a20b/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:348905444 errors:0 dropped:0 overruns:0 frame:0
          TX packets:246696100 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0 
          RX bytes:495750443743 (461.7 GiB)  TX bytes:193110956631 (179.8 GiB)

eth0      Link encap:Ethernet  HWaddr 00:19:b9:b9:a2:0b  
          adr inet6: fe80::219:b9ff:feb9:a20b/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:437757775 errors:0 dropped:0 overruns:0 frame:0
          TX packets:347422954 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000 
          RX bytes:511526026305 (476.3 GiB)  TX bytes:202035561026 (188.1 GiB)

eth1      Link encap:Ethernet  HWaddr 00:19:b9:b9:a2:0d  
          BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

lo        Link encap:Boucle locale  
          inet adr:127.0.0.1  Masque:255.0.0.0
          adr inet6: ::1/128 Scope:Hôte
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:31162248 errors:0 dropped:0 overruns:0 frame:0
          TX packets:31162248 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0 
          RX bytes:7072181201 (6.5 GiB)  TX bytes:7072181201 (6.5 GiB)

venet0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          adr inet6: fe80::1/128 Scope:Lien
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
          RX packets:9795 errors:0 dropped:0 overruns:0 frame:0
          TX packets:9152 errors:0 dropped:3 overruns:0 carrier:0
          collisions:0 lg file transmission:0 
          RX bytes:2763171 (2.6 MiB)  TX bytes:2425699 (2.3 MiB)

vnet1     Link encap:Ethernet  HWaddr fe:04:76:9f:02:54  
          adr inet6: fe80::fc04:76ff:fe9f:254/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4340697 errors:0 dropped:0 overruns:0 frame:0
          TX packets:20802324 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:500 
          RX bytes:1084615650 (1.0 GiB)  TX bytes:5089492643 (4.7 GiB)

la config reseau de la vm VPN

ifconfig -a
lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.66.0.1  P-t-P:10.66.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

venet0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:127.0.0.2  P-t-P:127.0.0.2  Bcast:0.0.0.0  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
          RX packets:4340 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3907 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:465976 (455.0 KiB)  TX bytes:606712 (592.4 KiB)

venet0:0  Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:172.16.0.101  P-t-P:172.16.0.101  Bcast:172.16.0.101  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
#3

Hum, pourquoi fais-tu des modifications sur la machine hôte ? J’ai installé un VPN sur une machine virtuelle, mais n’ai à aucun moment touché la machine hôte…

J’essaie de retrouver toutes les étapes que j’ai utilisées, et je reviens poster ici.

#4

Bonjour

ben dans les 2 tuto ils disent bien de modifier sur l’hote il y a même des modification a faire sur l’hote avec la vm arrêtée.

merci pour ton aide

pour info

la vm:

uname -r
2.6.32-openvz-042stab081.5-amd64

l’hote

uname -r
2.6.32-openvz-042stab081.5-amd64
#5

iptables -A POSTROUTING -o venet0 -j SNAT --to 172.16.0.101 iptables: No chain/target/match by that name.
Commence par ajouter [mono]-t nat[/mono], la cible SNAT n’étant disponible que dans cette table.

#6

donc

iptables -A POSTROUTING -o venet0 -t -NAT --to 172.16.0.101 sur l’hote

au lieu de

?

#7

Je recommande vivement la lecture de la page de manuel d’une commande avant de poser des questions évidentes dont la réponse se trouve dans les premières lignes. Ça va plus vite que d’attendre ma réponse.

Au passage, il me semble que cette règle doit être mise en place sur le serveur VPN lui-même donc la VM, pas l’hôte. L’adresse de la cible SNAT appartient d’ailleurs à l’interface venet0 de la VM.

#8

oui promis je me collerai à l’apprentissage de iptable

Là je me suis pris la tête avec cette vm toute la journée et j’avoue être dans le pâté; donc excuse moi si je demande juste une validation.

Je mettrais cette règle demain matin et donnera le retour

Merci

#9

Bonjour

bon voila les résultats de la manip sur la VM:

iptables -A POSTROUTING -o venet0 -t -NAT --to 172.16.0.101
iptables v1.4.14: unknown option "--to"
Try `iptables -h' or 'iptables --help' for more information.

donc j’ai parcouru le help pour ecrire ça

iptables -A POSTROUTING -o venet0 -t -NAT --destination 172.16.0.101
iptables v1.4.14: can't initialize iptables table `-NAT': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

euh la je suis dans la :013

#10

Salut,
Faire un firewall dans une VM OpenVZ est un peu risqué à cause de la conception du truc.
Il faut charger les modules sur l’hôte, il doit t’en manquer un pour le NAT.
Au hasard : iptable_nat ?
Et :

(au lieu de -t -nat) ?

#11

Bonjour

Ce systeme de vpn est transitoire car je suis en train de le faire transferer vers des boitiers utm, mais cela va prendre quelques semaines.

pour tes manips:

modinfo iptable_nat
libkmod: ERROR ../libkmod/libkmod.c:554 kmod_search_moddep: could not open moddep file '/lib/modules/2.6.32-openvz-042stab081.5-amd64/modules.dep.bin'
ERROR: Module alias iptable_nat not found.

je ne sais pas comment on peut installer ça

j’ai essayé ce tuto pour l’installer

linuxworldweb.blogspot.fr/2012/0 … penvz.html

ca ne fonctionne pas

déja la commande “lsmod|grep ipt_MASQUERADE” sur l’hote me retourne aucun resultat

#12

Je crois qu’il est impossible d’ajouter un module au noyau d’un système invité quand on utilise OpenVZ. D’où, peut-être, l’intérêt de bidouiller le système hôte.

Le tuto que j’avais suivi avec succès : blog.nicolargo.com/2010/10/insta … buntu.html
Il suffit d’adapter tous les eth0 en venet0 dans la gestion du NAT.

EDIT : Le seul moment où tu pourrais avoir à toucher à la machine hôte est pour charger un module noyau. Mais à part ip_tables, je ne crois pas que tu aies besoin d’autre chose.

#13

Il n’y a pas que la page de manuel qu’il faut lire attentivement (bien que la réponse s’y trouve aussi). J’avais écrit “Commence par ajouter [mono]-t nat[/mono]” et non “ajouter [mono]-t -NAT[/mono]” ni “remplacer [mono]-j SNAT[/mono] par [mono]-t -NAT[/mono]” ou je ne sais quelle absurdité.

C’est quand même pas bien compliqué ?

#14

Bonjour

désolé de ne pas avoir compris ton message :confused:

bon je repars d’un iptable vierge sur ma vm

iptables -nvL
Chain INPUT (policy ACCEPT 19 packets, 1800 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 13 packets, 1224 bytes)
 pkts bytes target     prot opt in     out     source               destination

voila donc la suite

iptables -t nat -A POSTROUTING -o venet0 -j SNAT --to 172.16.0.101
root@VPN:~# iptables -nvL
Chain INPUT (policy ACCEPT 44 packets, 3856 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 36 packets, 3600 bytes)
 pkts bytes target     prot opt in     out     source               destination

donc suivant le tuto j’ai entré les données mais la sur le masquerade il me jete

root@VPN:~# iptables -I FORWARD -i tun0 -j ACCEPT
root@VPN:~# iptables -I FORWARD -o tun0 -j ACCEPT
root@VPN:~# iptables -I OUTPUT -o tun0 -j ACCEPT
root@VPN:~# iptables -A FORWARD -i tun0 -o venet0 -j ACCEPT
root@VPN:~# iptables -t nat -A POSTROUTING -o venet0 -j MASQUERADE
iptables: No chain/target/match by that name.
iptables -nvL
Chain INPUT (policy ACCEPT 53 packets, 5176 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      tun0    0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  tun0   *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  tun0   venet0  0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 43 packets, 4360 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      tun0    0.0.0.0/0            0.0.0.0/0
#15

  1. Pas d’erreur, donc la règle de SNAT a été acceptée.

  2. Tu apprendras lorsque tu liras complètement la page de manuel d’iptables que par défaut iptables n’agit que sur la table “filter”. C’est pour cela qu’il fallait spécifier [mono]-t nat[/mono] pour créer la règle dans la table “nat” (seule table ou la cible SNAT est utilisable). Pour lister le contenu de cette table avec [mono]iptables -L[/mono] il faut donc aussi ajouter [mono]-t nat[/mono].

En fait non, il ne faut pas. Le format de sortie d’[mono]iptables -L[/mono] est pourri. Utilise plutôt [mono]iptables-save[/mono] dont le format de sortie est plus proche de la syntaxe de création des règles et qui a le bon goût de lister par défaut le contenu de toutes les tables actives.

  1. La cible MASQUERADE repose sur le module noyau ipt_MASQUERADE, qui ne semble pas faire partie des modules chargés ni listés dans le fichier de conf openvz. De toute façon tu n’en a pas besoin puisque tu utilises déjà la cible SNAT qui fait la même chose avec une adresse IP fixe.
#16

merci beaucoup pour la syntaxe iptable -save que je ne connaissait pas du tout

donc voila ce que cela donne

iptables-save
# Generated by iptables-save v1.4.14 on Tue Aug 11 11:23:23 2015
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o venet0 -j SNAT --to-source 172.16.0.101
COMMIT
# Completed on Tue Aug 11 11:23:23 2015
# Generated by iptables-save v1.4.14 on Tue Aug 11 11:23:23 2015
*mangle
:PREROUTING ACCEPT [192:17744]
:INPUT ACCEPT [192:17744]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [162:16352]
:POSTROUTING ACCEPT [162:16352]
COMMIT
# Completed on Tue Aug 11 11:23:23 2015
# Generated by iptables-save v1.4.14 on Tue Aug 11 11:23:23 2015
*filter
:INPUT ACCEPT [71:6568]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [61:6488]
-A FORWARD -o tun0 -j ACCEPT
-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -i tun0 -o venet0 -j ACCEPT
-A OUTPUT -o tun0 -j ACCEPT
COMMIT
# Completed on Tue Aug 11 11:23:23 2015
#17

Bon les masquerades ne rentrant pas, j’ai laissé comme tel et je viens de faire quelques tests.

Malheureusement toujours pas de vpn :confused:

#18

Sortie d’iptables-save (et pas “iptables -save”) : très bien. Je répète : pas besoin de MASQUERADE avec une adresse IP fixe.
Les règles ACCEPT dans les chaînes de la table “filter” ne servent à rien puisque la politique par défaut des chaînes concernées est déjà ACCEPT, mais elles ne gênent pas.

Mais encore ?

#19

Alors pour la remise en place de mon vpn:

J’ai une sauvegarde du etc de l’ancien serveur, j’ai donc installé openvpn sur ce nouveau serveur et reinjecté le contenu de l’ancien /etc/openvpn dans le nouveau /etc/openvpn.

Il me semble que c’est la meilleure façon de procéder si on ne veut pas être obligé de re générer les certificats et les clés, non?

sur le firewall le port 1194 est bien ouvert

bref le serveur à l’autre bout du vpn ne repond toujours pas aux ping

#20

Ton ifconfig montre une interface tun0, donc le VPN est monté, non ?
On peut avoir la sortie d’[mono]ip addr[/mono] et [mono]ip route[/mono] sur le client et le serveur VPN ?