Pas d'accès à internet suite configuration d'un VPN

Support Debian
#1

J’ai une config d’un VPN entre 2 réseaux distants qui fonctionnait il y a environ 2 ans mais qui ne fonctionne plus aujourd’hui et je n’arrive pas à trouver ce qui a changé.

Sur mon serveur

  • openvpn runs
  • port 1194 est transféré sur la box en udp et tcp
  • interface ; inet 10.9.8.1 peer 10.9.8.2/32 scope global tun0

Sur mon client

  • interface : inet 10.9.8.10 peer 10.9.8.9/32 scope global tun0
  • routes (ip r)
default via 10.9.8.9 dev tun0
10.0.3.0/24 dev lxcbr0 proto kernel scope link src 10.0.3.1 linkdown
10.9.8.0/24 via 10.9.8.9 dev tun0
10.9.8.9 dev tun0 proto kernel scope link src 10.9.8.10
aaa.bbb.ccc.ddd via 192.168.1.254 dev wlp3s0 proto static
169.254.0.0/16 dev tun0 scope link metric 1000
192.168.1.0/24 dev wlp3s0 proto kernel scope link src 192.168.1.156 metric 600

aaa.bbb.ccc.ddd = adresse wan de mon serveur.

Je peux accéder à mon serveur via l’interface tun0 (ssh 10.9.8.1 → mon serveur)

Mais je n’accède pas à internet depuis mon client (ping 1.1.1.1 ne fonctionne pas)

`J’ai du changer qqc, en particulier de
version de debian, mais jà part reprendre la config (la doc) depuis le début je ne vois pas quoi faire.

Merci d’avance pour tout conseil.

#2

Mais attends, la configuration IP n’est pas bonne, il faut faire correspondre les adresses entre le client et le serveur.
Du coup, il faut soit mettre inet 10.9.8.2 peer 10.9.8.1/32 scope global tun0 sur le client, soit mettre inet 10.9.8.9 peer 10.9.8.10/24 scope global tun 0 sur le serveur.

1 J'aime
#3

Merci @Almtesh pour ta réponse, ma config vient d’un script qui a fonctionné (je crois …) … je revois ça et te tiens au courant.

#4

Non, je crois que c’est openvpn qui marche comme ça. Si le serveur est joignable par SSH via le tunnel, ça veut dire que les routes sont bonnes.

@PmGs on est bien d’accord, tu veux accéder à internet depuis le client via le VPN ? Dans ce cas, est-ce que le forwarding IP et le masquerading sont configurés sur le serveur ?

1 J'aime
#5

Banco @PascalHambourg as usual :slight_smile:

J’ai cherché mais n’ai pas trouvé l’« appairage » de la config IP tq proposé par @Almtesh et je confimre ton écrit

Mon script n’était manifestement pas complet, il fallait effectivement compléter le forwarding IP et le masquerading. Pour les lecteurs futurs de ce post

echo 1 > /proc/sys/net/ipv4/ip_forward

et, à adapter avec la config de chacun (interface, ip)

iptables -A FORWARD -i wlo1 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 10.9.8.0/24 -o wlo1 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.9.8.0/24 -o wlo1 -j MASQUERADE