Openvpn et connexions entrantes

Openvpn et connexions entrantes - Sécurité - Réseaux grand public / SoHo

Marsh Posté le 06-03-2016 à 22:31:28    

Salut à tous,
j'essaie en ce moment de modifier la config de mon raspberry pi sous raspbian pour pouvoir utiliser en même temps une connexion vpn vers un fournisseur type goldenfrog/vyprvpn tout en maintenant une connectivité des services qui tournent sur le pi: serveur openvpn, http, etc... (les services sont accessibles depuis l’extérieur via des portforwarding configurés dans ma freebox)

 

En lançant la connexion client vers le serveur vyprvpn, du fait de la modification de la table de routage par cette connexion je perds l'acces à tous les services qui tournent sur le pi (qui ecoutent  sur eth0) alors je me suis tourné vers un mix de routage et d'iptables pour contourner le problème et faire en sorte que tout le trafic sortant passe bien toujours par le vpn et que les connexions entrantes depuis internet permettent bien d’accéder aux différents services installés sur le pi.

 

J'ai donc regardé sur le net divers topics ayant trait à des problemes similaires et j'en ai retiré ça au final.

 

Par exemple pour le serveur apache:
#utilisation de la table mangle pour marquer les paquets selon le protocole et le port de destination
sudo iptables -t mangle -A PREROUTING -p tcp --dport 80 -j MARK --set-mark 2

 

#on ajoute une regle indiquant que ce qui a la marque 2 doit etre assigné à la table de routage 2
sudo ip rule add fwmark 2 table 2

 

#on ajoute une règle indiquant que la gateway par défaut pour ce qui transite par la table 2 sur eth0 est la freebox
sudo ip route add default table 2 via 192.168.10.254 dev eth0 proto static

 

#on active le forward des paquets marqués
sysctl -w net.ipv4.tcp_fwmark_accept=1

 

Avec ces règles je retrouve bien un accès aux services qui tournent sur le pi via mon ip public même avec une connexion active vers vyprvpn et un "curl ifconfig.me" depuis le pi me renvoie bien l'adresse ip donnée par vyprvpn mais j'ai l'impression que la config est pas top et que j'ai peut etre zappé quelquechose question securité.

 

Si quelqu'un a le temps de s'interesser à ce cas de figure, j’apprécierais beaucoup. :jap:


Message édité par william72 le 06-03-2016 à 22:32:06

---------------
All bleed art must extend to solid line | Feed : http://forum.hardware.fr/forum2.ph [...] w=0&nojs=0
Reply

Marsh Posté le 06-03-2016 à 22:31:28   

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed