[Toulibre] VPN et connexion internet

Eric Noulard eric.noulard at gmail.com
Jeu 22 Jan 14:35:38 CET 2009


Le 22 janvier 2009 13:32, Le Mouton Vert <lemoutonvert at gmail.com> a écrit :
>
> ifconfig
> wlan0     Link encap:Ethernet  HWaddr 00:08:d3:28:a8:13
>           inet adr:192.168.37.98  Bcast:192.168.37.255  Masque:255.255.255.0
>
> netstat -rn
> Table de routage IP du noyau
> Destination     Passerelle      Genmask         Indic   MSS Fenêtre irtt
> Iface
> 192.168.37.0    0.0.0.0         255.255.255.0   U         0 0          0
> wlan0
> 0.0.0.0         192.168.37.1    0.0.0.0         UG        0 0          0
> wlan0
>
> Si j'ai bien lu sur les liens que tu m'as fourni, je comprends les choses
> suivantes:
>
> Les paquets à destination du réseau 192.168.37.XXX sont adressés comme vers
> n'importe quelle destination (0.0.0.0)
> Toutes les autres adresses (0.0.0.0) sont à diriger vers la passerelle
> 192.168.37.1
>
> 192.168.37.1 est bien l'adresse du routeur de mon fournisseur d'accès, qui
> est configuré pour me distribuer des adresses en 192.168.37.XXX,

Ici c'est que du classique.

>  à travers
> mon propre routeur IP fixe 192.168.37.100, qui ne me sert que de point
> d'accès wifi, et n'apparait jamais nulle part. Mais ce n'est pas le sujet.


Néanmoins je ne connais pas ce point là si quelqu'un peut nous éclairer.

> Après connexion au VPN, en plus des autres interfaces, qui n'ont pas bougé,
> j'ai une interface tun0 (pour tunnel, je suppose):

Oui c'est le principe d'un VPN d'ouvrir un tunnel chiffré entre 2 réseaux "sûr"
tout en traversant une zone "non sûre". C'est le même principe
que "https" les données sont chiffrées de bout en bout, depuis le navigateur
jusqu'au serveur Web destinataire (idem dans l'autre sens).

> ifconfig
> wlan0     Link encap:Ethernet  HWaddr 00:08:d3:28:a8:13
>           inet adr:192.168.37.98  Bcast:192.168.37.255  Masque:255.255.255.0
>              (…)
>
> tun0      Link encap:UNSPEC  HWaddr
> 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
>           inet adr:10.31.30.22  P-t-P:10.31.30.22  Masque:255.255.255.0
>              (…)
>
> netstat -rn
> Table de routage IP du noyau
> Destination     Passerelle      Genmask         Indic   MSS Fenêtre irtt
> Iface
> 195.83.11.254   192.168.37.1    255.255.255.255 UGH       0 0          0
> wlan0
> 192.168.37.0    0.0.0.0         255.255.255.0   U         0 0          0
> wlan0
> 10.31.30.0      0.0.0.0         255.255.255.0   U         0 0          0
> tun0
> 0.0.0.0         0.0.0.0         0.0.0.0         U         0 0          0
> tun0
>
> Si j'ai bien lu sur les liens que tu m'as fourni, je comprends les choses
> suivantes:
>
> La seule adresse que j'ai maintenant le droit de réclamer à ma passerelle
> est 195.83.11.254 (flag UGH).

Oui.

> Tout le reste du trafic, comprenant ce qui est adressé à mon réseau local
> (192.168.37.XXX) et au réseau de l'employeur de ma copine (10.31.30.XXX) est
> adressé… à 0.0.0.0 dans le tunnel.

Non ce qui est adressé à ton réseau local 192.168.37.XXX partira par
ton interface wlan0 grace à la deuxième ligne de routage:

192.168.37.0    0.0.0.0         255.255.255.0   U         0 0          0 wlan0

ici il n'y a pas de "ROUTAGE" via une passerelle car tu as une adresse
(après activation du vpn ta machine possède 2 adresses IP)
sur ce réseau. Tu dois donc pouvoir contacter (essayer avec ping)
n'importe quelle
adresse dans ce sous réseau, en particulier si tu avais un proxy web qui
fonctionne sur une autre machine (qui voit donc l'extérieur comme toi avant
l'activation du VPN) tu pourrais passer par lui sans pb. (a vérifier).

> (je me doute, mais je ne sais pas ce que
> signifie cette dernière ligne de 0).

Sur la ligne de zéro je suis sec, c'est la première fois que je vois
ça, faudrait que
je cherche.

Ensuite pour le fonctionnement d'un tunnel IPSec je sais qu'il y a plein
de solutions différentes, je pense que tu dois pouvoir voir plus de chose
que les infos de routage, en utilisant des outils IPSec (ipsec-tools)

Mes souvenirs (et mes compétences) sont trop peu clair(e)s pour te donner
des infos utiles sur ce thème, je pense que tu trouveras des infos
adéquates là:
http://www.linux-france.org/prj/inetdoc/guides/lartc/

> J'ai bon, là?

Vu de ma fenêtre tu avais presque tout bon.
Vu ce que tu indiques, tu dois pouvoir touiller ce routage, mais je ne
te le conseilles pas.
Si tu veux continuer de surfer je pense qu'utiliser un proxy Web [par
exemple squid]
tournant sur une seconde machine de ton réseau 192.168.37.XXX devrait
fonctionner, sans touiller le routage.


-- 
Erk



Plus d'informations sur la liste de diffusion Toulouse-ll