kb:linux:generalites:apporter_une_ipv4_de_datacenter_sur_un_linux_via_un_vpn
Différences
Ci-dessous, les différences entre deux révisions de la page.
Prochaine révisionLes deux révisions suivantes | |||
kb:linux:generalites:apporter_une_ipv4_de_datacenter_sur_un_linux_via_un_vpn [2019/10/10 09:17] – créée beu | kb:linux:generalites:apporter_une_ipv4_de_datacenter_sur_un_linux_via_un_vpn [2019/10/10 09:51] – beu | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ====== Apporter une IPv4 de datacenter sur un pfSense | + | ====== Apporter une IPv4 de datacenter sur un Linux via un VPN ====== |
- | L' | + | L' |
+ | |||
+ | Cette documentation existe aussi pour [[kb: | ||
Il vous sera nécessaire : | Il vous sera nécessaire : | ||
Ligne 76: | Ligne 78: | ||
</ | </ | ||
- | ==== Configuration du client OpenVPN | + | ==== Configuration du client OpenVPN |
- | On va créer un client OpenVPN sur pfSense, si on suit l' | + | On va créer un client OpenVPN sur le client Linux, si on suit l' |
- | {{ : | + | <code file proxyarp.conf> |
+ | tls-client | ||
+ | proto udp | ||
+ | proto udp6 | ||
+ | port 1194 | ||
+ | remote XXXXXX | ||
+ | dev tap0 | ||
+ | cipher AES-256-CBC | ||
+ | keepalive 10 30 | ||
+ | persist-key | ||
+ | persist-tun | ||
+ | verb 3 | ||
+ | status proxyarp_status.log | ||
+ | log-append / | ||
+ | |||
+ | ca / | ||
+ | cert / | ||
+ | key / | ||
+ | tls-crypt / | ||
+ | auth sha512 | ||
+ | keysize 256 | ||
+ | comp-lzo no | ||
+ | |||
+ | |||
+ | script-security 2 | ||
+ | up / | ||
+ | down / | ||
+ | |||
+ | </ | ||
Avec pour même spécificité : l' | Avec pour même spécificité : l' | ||
- | Il faut ensuite assigner l' | + | <code bash / |
+ | #!/bin/bash | ||
- | {{ : | + | # Configuration de l' |
+ | ip addr add 172.32.0.1/32 dev tap0 | ||
- | puis de créer un bridge avec UNIQUEMENT l' | + | # Ajout des règles dans la table wan_vpn |
+ | ip rule add from 87.98.190.83 table wan_vpn | ||
+ | ip rule add fwmark 1 table wan_vpn | ||
- | {{ : | + | # Ajout la passerelle par défaut |
+ | ip route add 51.255.37.1 src 87.98.190.83 dev tap0 table wan_vpn | ||
+ | ip route add default via 51.255.37.1 src 87.98.190.83 dev tap0 table wan_vpn | ||
- | puis assigner ce bridge a une interface, et lui assigner l'IP Fail-Over | + | # Ajout règles |
+ | iptables -t mangle -A PREROUTING -i tap0 -j CONNMARK --set-xmark 0x1 | ||
+ | iptables -t mangle -A PREROUTING -i eth0 -m connmark --mark 0x1 -j CONNMARK --restore-mark | ||
+ | </ | ||
- | Si celle-ci n'est pas dans le même réseau, il vous faudra | + | <code bash / |
+ | # | ||
+ | |||
+ | # Configuration de l'interface | ||
+ | ip addr del 172.32.0.1/ | ||
+ | |||
+ | # Suppression des règles | ||
+ | ip rule del from 87.98.190.83 table wan_vpn | ||
+ | ip rule del fwmark 1 table wan_vpn | ||
+ | |||
+ | # Suppression de la passerelle par défaut | ||
+ | ip route del 51.255.37.1 src 87.98.190.83 dev tap0 table wan_vpn | ||
+ | ip route del default via 51.255.37.1 src 87.98.190.83 dev tap0 table wan_vpn | ||
+ | |||
+ | # Suppresion des règles de firewall pour que le trafic entrant par le tunnel, soit re-routé dans le tunnel | ||
+ | iptables -t mangle -D PREROUTING -i tap0 -j CONNMARK --set-xmark 0x1 | ||
+ | iptables -t mangle -D PREROUTING -i eth0 -m connmark --mark 0x1 -j CONNMARK --restore-mark | ||
+ | </ | ||
+ | |||
+ | |||
+ | |||
+ | Puis il faudra | ||
+ | |||
+ | <code bash> | ||
+ | # chmod +x / | ||
+ | </ | ||
+ | |||
+ | et créer | ||
+ | |||
+ | <code bash> | ||
+ | # echo "1 wan_vpn" | ||
+ | </ | ||
+ | |||
+ | Et maintenant, ça doit fonctionner ! | ||
+ | |||
+ | |||
+ | ====Informations optionnelle ==== | ||
+ | Si vous souhaitez faire du NAT de port entrant, voici un exemple de règle : | ||
+ | |||
+ | <code bash> | ||
+ | # iptables -t nat -A PREROUTING -i tap0 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.1.10: | ||
+ | </ | ||
+ | |||
+ | Et si vous voulais faire du NAT sortant, il faut mettre les deux règles suivante : | ||
+ | <code bash> | ||
+ | # iptables -t mangle -A PREROUTING -s 192.168.1.10/ | ||
+ | </ | ||
+ | # iptables -t nat -A POSTROUTING -s 192.168.1.10/ | ||
+ | </ |
kb/linux/generalites/apporter_une_ipv4_de_datacenter_sur_un_linux_via_un_vpn.txt · Dernière modification : 2019/10/10 10:08 de beu