Discussion :

[Dash2en1]

Bon voici mon cas de figure:

J'ai un serveur dédié sur Internet avec 2 services:
1) Openvpn
2) Serveur Web (Apache2)

Le tout fonctionne correctement:
Mes Clients via un fichier .ovpn se connectent normalement; Leur ip publique sur le web se font remplacer par celle sur Srv OpenVpn, en passant par l'interface tun0 via la passerelle 10.8.0.1 (Srv).
Le serveur web fonctionne aussi correctement.

Le seul petit soucis c'est lorsque je suis connecté via le Vpn et que j'accède au site web qui est sur ce même serveur. Ma connection change de route et ne passe plus par mon tunel tun0.
ça ne le fait que pour ce site.

J'ai fait un traceroute en tapant le nom de domaine, puis un autre avec l'ip du serveur web:
au lieu de passer par 10.8.0.1 (paserelle Vpn), il passe par ma passerelle locale (192.168.1.1).
les logs du serveur web me confirment aussi que j'utilise mon ip publique.

Le problème viens donc du fait que ces 2 services "partagent" la même ip je suppose.
Ya t il un moyen à mettre en place du coté serveur ou sur les fichiers .ovpn pour remédier à cela?

Mon serveur tourne sous debian 11


Merci à vous d'avance!

[becket]

Salut,

Si tu ne donnes pas :

- Configuration iptables du serveur
- Configuration openvpn du serveur
- Fichier de configuration sur le client

Cela va être compliqué de savoir ce qu'il se passe

[Dash2en1]

Salut Becket,

J'avais simplifié mon post pour que cela soit le plus clair possible.
En réalité mes deux services sont sur une même VM via KVM/Quemu. Le cas de figure est le même pour les accès aux autres services http présents sur une autre VM sur ce meme srv. (vérification via les logs: mon ip publique apparait)
mais cela n'a pas vraiment d'importance car j'ai testé cette config sur une autre machine (sans VM) et j'ai le même problème.

Pour l'IPtables du serveur (hyperviseur):
chaque service passe par une NAT pas de firewall sur mes VM car tout est bloqué en amont via celui de l'hyperviseur

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
4    DNAT       tcp  --  anywhere              tcp dpt:https to:192.168.122.15:443
5    DNAT       udp  --  anywhere             udp dpt:openvpn to:192.168.122.15:1194

Config du serveur:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
 
local 192.168.122.15
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
topology subnet
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 1.1.1.1"
push "dhcp-option DNS 1.0.0.1"
push "block-outside-dns"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
verb 3
crl-verify crl.pem
explicit-exit-notify

Config .ovpn du client (sans les certifs):

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
 
client
dev tun
proto udp
remote 212.32.XXX.XXX 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
auth SHA512
cipher AES-256-CBC
ignore-unknown-option block-outside-dns
verb 3
...
Certifs
...

iptables -L donne:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
 
Chain INPUT (policy DROP)
target     prot opt source               destination         
LIBVIRT_INP  all  --  anywhere             anywhere            
f2b-sshd   tcp  --  anywhere             anywhere             multiport dports ssh
ufw-before-logging-input  all  --  anywhere             anywhere            
ufw-before-input  all  --  anywhere             anywhere            
ufw-after-input  all  --  anywhere             anywhere            
ufw-after-logging-input  all  --  anywhere             anywhere            
ufw-reject-input  all  --  anywhere             anywhere            
ufw-track-input  all  --  anywhere             anywhere            
 
Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             192.168.122.0/24     state NEW,RELATED,ESTABLISHED
LIBVIRT_FWX  all  --  anywhere             anywhere            
LIBVIRT_FWI  all  --  anywhere             anywhere            
LIBVIRT_FWO  all  --  anywhere             anywhere            
ufw-before-logging-forward  all  --  anywhere             anywhere            
ufw-before-forward  all  --  anywhere             anywhere            
ufw-after-forward  all  --  anywhere             anywhere            
ufw-after-logging-forward  all  --  anywhere             anywhere            
ufw-reject-forward  all  --  anywhere             anywhere            
ufw-track-forward  all  --  anywhere             anywhere            
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
LIBVIRT_OUT  all  --  anywhere             anywhere            
ufw-before-logging-output  all  --  anywhere             anywhere            
ufw-before-output  all  --  anywhere             anywhere            
ufw-after-output  all  --  anywhere             anywhere            
ufw-after-logging-output  all  --  anywhere             anywhere            
ufw-reject-output  all  --  anywhere             anywhere            
ufw-track-output  all  --  anywhere             anywhere            
 
Chain LIBVIRT_FWI (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             192.168.122.0/24     ctstate RELATED,ESTABLISHED
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable
 
Chain LIBVIRT_FWO (1 references)
target     prot opt source               destination         
ACCEPT     all  --  192.168.122.0/24     anywhere            
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable
 
Chain LIBVIRT_FWX (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
 
Chain LIBVIRT_INP (1 references)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootps
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:67
 
Chain LIBVIRT_OUT (1 references)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootpc
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:68
 
Chain f2b-sshd (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            
 
Chain ufw-after-forward (1 references)
target     prot opt source               destination         
 
Chain ufw-after-input (1 references)
target     prot opt source               destination         
ufw-skip-to-policy-input  udp  --  anywhere             anywhere             udp dpt:netbios-ns
ufw-skip-to-policy-input  udp  --  anywhere             anywhere             udp dpt:netbios-dgm
ufw-skip-to-policy-input  tcp  --  anywhere             anywhere             tcp dpt:netbios-ssn
ufw-skip-to-policy-input  tcp  --  anywhere             anywhere             tcp dpt:microsoft-ds
ufw-skip-to-policy-input  udp  --  anywhere             anywhere             udp dpt:bootps
ufw-skip-to-policy-input  udp  --  anywhere             anywhere             udp dpt:bootpc
ufw-skip-to-policy-input  all  --  anywhere             anywhere             ADDRTYPE match dst-type BROADCAST
 
Chain ufw-after-logging-forward (1 references)
target     prot opt source               destination         
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
 
Chain ufw-after-logging-input (1 references)
target     prot opt source               destination         
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
 
Chain ufw-after-logging-output (1 references)
target     prot opt source               destination         
 
Chain ufw-after-output (1 references)
target     prot opt source               destination         
 
Chain ufw-before-forward (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere             icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere             icmp time-exceeded
ACCEPT     icmp --  anywhere             anywhere             icmp parameter-problem
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request
ufw-user-forward  all  --  anywhere             anywhere            
 
Chain ufw-before-input (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ufw-logging-deny  all  --  anywhere             anywhere             ctstate INVALID
DROP       all  --  anywhere             anywhere             ctstate INVALID
ACCEPT     icmp --  anywhere             anywhere             icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere             icmp time-exceeded
ACCEPT     icmp --  anywhere             anywhere             icmp parameter-problem
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request
ACCEPT     udp  --  anywhere             anywhere             udp spt:bootps dpt:bootpc
ufw-not-local  all  --  anywhere             anywhere            
ACCEPT     udp  --  anywhere             224.0.0.251          udp dpt:mdns
ACCEPT     udp  --  anywhere             239.255.255.250      udp dpt:1900
ufw-user-input  all  --  anywhere             anywhere            
 
Chain ufw-before-logging-forward (1 references)
target     prot opt source               destination         
 
Chain ufw-before-logging-input (1 references)
target     prot opt source               destination         
 
Chain ufw-before-logging-output (1 references)
target     prot opt source               destination         
 
Chain ufw-before-output (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ufw-user-output  all  --  anywhere             anywhere            
 
Chain ufw-logging-allow (0 references)
target     prot opt source               destination         
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
 
Chain ufw-logging-deny (2 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere             ctstate INVALID limit: avg 3/min burst 10
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
 
Chain ufw-not-local (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere             ADDRTYPE match dst-type LOCAL
RETURN     all  --  anywhere             anywhere             ADDRTYPE match dst-type MULTICAST
RETURN     all  --  anywhere             anywhere             ADDRTYPE match dst-type BROADCAST
ufw-logging-deny  all  --  anywhere             anywhere             limit: avg 3/min burst 10
DROP       all  --  anywhere             anywhere            
 
Chain ufw-reject-forward (1 references)
target     prot opt source               destination         
 
Chain ufw-reject-input (1 references)
target     prot opt source               destination         
 
Chain ufw-reject-output (1 references)
target     prot opt source               destination         
 
Chain ufw-skip-to-policy-forward (0 references)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere            
 
Chain ufw-skip-to-policy-input (7 references)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere            
 
Chain ufw-skip-to-policy-output (0 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
 
Chain ufw-track-forward (1 references)
target     prot opt source               destination         
 
Chain ufw-track-input (1 references)
target     prot opt source               destination         
 
Chain ufw-track-output (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             ctstate NEW
ACCEPT     udp  --  anywhere             anywhere             ctstate NEW
 
Chain ufw-user-forward (1 references)
target     prot opt source               destination         
 
Chain ufw-user-input (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:1854
 
Chain ufw-user-limit (0 references)
target     prot opt source               destination         
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable
 
Chain ufw-user-limit-accept (0 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
 
Chain ufw-user-logging-forward (0 references)
target     prot opt source               destination         
 
Chain ufw-user-logging-input (0 references)
target     prot opt source               destination         
 
Chain ufw-user-logging-output (0 references)
target     prot opt source               destination         
 
Chain ufw-user-output (1 references)
target     prot opt source               destination

Voilà voilà!

[becket]

Il manque la configuration iptables du serveur

[Dash2en1]

Ok je l'ai rajouté.
Je ne l'avais pas mis car je pense que ce n'est pas lié au firewall, car pas de bloquage. Juste une mauvaise route.
J'ai pensé à une solution qui consiterai à demander à mon provider d'avoir une ip supplémentaire afin de séparer les services.
Mais bon ça entrainerai un surcout et surtout une reconfiguration de pas mal de choses. (à éviter)

Je cherche donc la commande magique qui dit:
une fois connecté au srv Vpn, passe par le tunel pour acceder au site web...

[becket]

Et la table NAT ?

Ok je l'ai rajouté.
Je ne l'avais pas mis car je pense que ce n'est pas lié au firewall, car pas de bloquage. Juste une mauvaise route.

iptables ne fait pas que du filtrage. La partie NAT est cruciale pour comprendre ce qu'il se passe
Même si c'est il est fort possible que ce soit la configuration du serveur WEB qui soit à l'origine du problème.

Je cherche donc la commande magique qui dit:
une fois connecté au srv Vpn, passe par le tunel pour acceder au site web...

Il n'y a pas de commande magique ...

[Dash2en1]

Bon voici j'ai masqué quelques infos ne concernant pas le reste avec des "--------"

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
 
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination         
1    DNAT       tcp  --  anywhere             -------------  tcp dpt:---- to:192.168.122.11:----
2    DNAT       tcp  --  anywhere             -------------  tcp dpt:---- to:192.168.122.11:----
3    DNAT       tcp  --  anywhere             -------------  tcp dpt:---- to:192.168.122.11:----
4    DNAT       tcp  --  anywhere             -------------  tcp dpt:https to:192.168.122.15:443
5    DNAT       udp  --  anywhere            ------------- udp dpt:openvpn to:192.168.122.15:1194
 
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
 
Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         
 
Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination         
1    LIBVIRT_PRT  all  --  anywhere             anywhere            
 
Chain LIBVIRT_PRT (1 references)
num  target     prot opt source               destination         
1    RETURN     all  --  192.168.122.0/24     base-address.mcast.net/24 
2    RETURN     all  --  192.168.122.0/24     255.255.255.255     
3    MASQUERADE  tcp  --  192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
4    MASQUERADE  udp  --  192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
5    MASQUERADE  all  --  192.168.122.0/24    !192.168.122.0/24

[binarygirl]

C'est normal, si vous jetez un coup d'oeil à votre table de routage vous constaterez ce que vous venez de décrire.
eg: route print sous Windows ou route -n sous Linux
Si vous testez avant et après avoir lancé le VPN vous verrez que la table de routage change.
Et effectivement cette règle de routage a un scope limité au VPN gateway.

Une façon de contourner ce "problème" serait de passer par une adresse dans le range privé (10.8.0.0, puisque votre VPN est configuré pour utiliser ce range), plutôt que l'adresse IP WAN (212.32.x.x semble-t-il).

Ce que j'essaierais:

• s'assurer que le service VPN démarre avant le service HTTP (facile à faire avec systemd)
• s'assurer que le service HTTP soit à l'écoute de toutes les interfaces, au moins l'interface tun0 en plus de l'interface ordinaire dont je ne connais pas le nom...
• et éventuellement ajouter une ligne dans votre fichier hosts sur votre PC, pour aliaser le nom de domaine de votre site avec cette adresse privée (10.8.0.1), et donc bypasser la résolution DNS normale

Alors, les requêtes HTTP vers 10.8.0.1 passeront automatiquement par le tunnel du fait des règles de routage. Évidemment, ces adresses dans le range 10.8.0.0 ne vous seront accessibles que tant que le VPN est activé côté client. A vous de voir si c'est une contrainte ou non.

[Dash2en1]

Merci BinaryGirl,

Cette solution fonctionne effectivement. Je vais m'en contenter car dans mon cas ça ira très bien.

Petites précisions: sur ta démarche:

S'assurer que le service HTTP soit à l'écoute de toutes les interfaces, au moins l'interface tun0 en plus de l'interface ordinaire dont je ne connais pas le nom...

On parle bien du ficher NomDeDomaine.conf (virtualhost) dans /etc/apache2/sites-enabled/ ?
<VirtualHost *:443>
dans mon cas c'est comme ci dessus. L'étoile signifie n'importe quel interface puis le port 443 (ssl) ?



Je vais tout de même continuer à chercher une solution autre, quand le temps me le permettra.
Je me demande si la piste du fichier host existe coté serveur. oubien un genre de "push" à mettre dans le fichier /etc/openvpn/server/server.conf
ou dans le fichier .ovpn pour le client.
Si quelqu'un à une idée je suis preneur

Merci encore dans tous les cas

[becket]

Merci BinaryGirl,

Cette solution fonctionne effectivement. Je vais m'en contenter car dans mon cas ça ira très bien.

Ce qui contredit ton message initial ...

On parle bien du ficher NomDeDomaine.conf (virtualhost) dans /etc/apache2/sites-enabled/ ?
<VirtualHost *:443>

dans mon cas c'est comme ci dessus. L'étoile signifie n'importe quel interface puis le port 443 (ssl) ?

Non, on parle de la directive LISTEN qui se trouve dans ports.conf
et on vérifie avec netstat

[Dash2en1]

Ce qui contredit ton message initial ...

En fait pas vraiment car je n'avais pas pensé à accèder via l'ip 10.8.0.1 au service web.
cela m'oblige à éditer le fichier hosts si je veux taper le nom de domaine par contre.

En ce qui concerne le fichier /etc/apache2/ports.conf j'y suis allé jeter un coup d'oeil car je ne l'ai jamais fait jusqu'à présent. Il contient ceci chez moi:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
Listen 80
 
<IfModule ssl_module>
        Listen 443
</IfModule>
 
<IfModule mod_gnutls.c>
        Listen 443
</IfModule>

Je n'ai pas eu besoin de le modifier pour que cela fonctionne. Normal ou pas je ne sais pas.
Dans tous les cas ça m'a permis d'en aprendre un peu plus.
Merci à toi aussi Becket. j'aimerai tant en savoir autant que vous.. ça viendra j'espère