Re: connexion vpn et iptables

Le 25/02/2022 à 08:39, Marc SCHAEFER a écrit :

François Patte <francois.patte@mi.parisdescartes.fr> wrote:

J'ai bien essayé d'autoriser le port 1194 (udp) dans les 2 sens et si je
ne mets que cette règle dans iptables, ça marche encore, mais l'ensemble
de règles en service par défaut bloque la connexion et je ne sais pas
pourquoi.

 Je pense que la plupart des interventions du fil font sens: il faut
d'abord déterminer quel protocole de VPN et/ou quel fournisseur de VPN
sera imposé par votre institution, et si elle vous fournit des scripts
automatisés ou non.
 Toutefois, pour répondre un peu plus concrètement à votre questions
intéressantes, il y a plusieurs aspects:
 

<couic>
Merci pour ces explications... En les lisant et avec l'aide des fichiers de doc fournis par le paquet openvpn sur ma distribution, j'arrive à faire fonctionner un vpn tout en gardant iptables "vivant", j'ai ajouté au script iptables définissant les règles du parefeu les règles suivantes:
$IPTABLES -A INPUT -i tun0 -j LOG_ACCEPT
$IPTABLES -A FORWARD -i tun0 -j LOG_ACCEPT
$IPTABLES -A OUTPUT -o tun0 -j LOG_ACCEPT
$IPTABLES -A OUTPUT -m state --state NEW -o $IFACE_EXTERNE -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state NEW -o $IFACE_EXTERNE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# Masquerade local subnet
$IPTABLES -t nat -A POSTROUTING -s $PRIVATE -o $IFACE_EXTERNE -j MASQUERADE
où
$IPTABLES  = /sbin/iptables
$IFACE_EXTERNE = $( ip route show | grep ^default | cut -d' ' -f5 )
$PRIVATE = 10.0.0.0/24
Je ne sais pas encore si ces règles sont "minimales"... à tester. Ni si ça fonctionne avec un autre vpn que j'utilise pour le test.
Merci
--
François Patte
Université Paris Descartes