Article <svdid4$472$1@dont-email.me>

Deutsch English Français Italiano
<svdid4$472$1@dont-email.me>

View for Bookmarking (what is this?)
Look up another Usenet article
Path: ...!eternal-september.org!reader02.eternal-september.org!.POSTED!not-for-mail
From: =?UTF-8?Q?Fran=c3=a7ois_Patte?= <francois.patte@mi.parisdescartes.fr>
Newsgroups: fr.comp.os.linux.configuration
Subject: Re: connexion vpn et iptables
Date: Sat, 26 Feb 2022 16:53:06 +0100
Organization: A noiseless patient Spider
Lines: 47
Message-ID: <svdid4$472$1@dont-email.me>
References: <sv80e9$7i5$1@dont-email.me> <sva132$v5q$1@shakotay.alphanet.ch>
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
Injection-Date: Sat, 26 Feb 2022 15:53:08 -0000 (UTC)
Injection-Info: reader02.eternal-september.org; posting-host="41d79862aef08a61e2edf88bcb2f42b3";
	logging-data="4322"; mail-complaints-to="abuse@eternal-september.org";	posting-account="U2FsdGVkX1+/IFsWv/7fdjt9ntun/s8i"
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101
 Thunderbird/91.1.0
Cancel-Lock: sha1:eJlX7omhiinRdACJ7YNQMuIwjmc=
In-Reply-To: <sva132$v5q$1@shakotay.alphanet.ch>
Content-Language: fr-FR
Bytes: 3073

Le 25/02/2022 à 08:39, Marc SCHAEFER a écrit :
> François Patte <francois.patte@mi.parisdescartes.fr> wrote:
>> J'ai bien essayé d'autoriser le port 1194 (udp) dans les 2 sens et si je
>> ne mets que cette règle dans iptables, ça marche encore, mais l'ensemble
>> de règles en service par défaut bloque la connexion et je ne sais pas
>> pourquoi.
> 
> Je pense que la plupart des interventions du fil font sens: il faut
> d'abord déterminer quel protocole de VPN et/ou quel fournisseur de VPN
> sera imposé par votre institution, et si elle vous fournit des scripts
> automatisés ou non.
> 
> Toutefois, pour répondre un peu plus concrètement à votre questions
> intéressantes, il y a plusieurs aspects:
> 
<couic>

Merci pour ces explications... En les lisant et avec l'aide des fichiers 
de doc fournis par le paquet openvpn sur ma distribution, j'arrive à 
faire fonctionner un vpn tout en gardant iptables "vivant", j'ai ajouté 
au script iptables définissant les règles du parefeu les règles suivantes:

$IPTABLES -A INPUT -i tun0 -j LOG_ACCEPT
$IPTABLES -A FORWARD -i tun0 -j LOG_ACCEPT
$IPTABLES -A OUTPUT -o tun0 -j LOG_ACCEPT

$IPTABLES -A OUTPUT -m state --state NEW -o $IFACE_EXTERNE -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state NEW -o $IFACE_EXTERNE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Masquerade local subnet
$IPTABLES -t nat -A POSTROUTING -s $PRIVATE -o $IFACE_EXTERNE -j MASQUERADE

où
$IPTABLES  = /sbin/iptables
$IFACE_EXTERNE = $( ip route show | grep ^default | cut -d' ' -f5 )
$PRIVATE = 10.0.0.0/24

Je ne sais pas encore si ces règles sont "minimales"... à tester. Ni si 
ça fonctionne avec un autre vpn que j'utilise pour le test.

Merci

-- 
François Patte
Université Paris Descartes