kb:linux:generalites:apporter_une_ipv4_de_datacenter_sur_un_linux_via_un_vpn
Différences
Ci-dessous, les différences entre deux révisions de la page.
Prochaine révision | Révision précédente | ||
kb:linux:generalites:apporter_une_ipv4_de_datacenter_sur_un_linux_via_un_vpn [2019/10/10 09:17] – créée beu | kb:linux:generalites:apporter_une_ipv4_de_datacenter_sur_un_linux_via_un_vpn [2019/10/10 10:08] (Version actuelle) – beu | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ====== Apporter une IPv4 de datacenter sur un pfSense | + | ====== Apporter une IPv4 de datacenter sur un Linux via un VPN ====== |
- | L' | + | L' |
+ | |||
+ | Cette documentation existe aussi pour [[kb: | ||
Il vous sera nécessaire : | Il vous sera nécessaire : | ||
Ligne 39: | Ligne 41: | ||
script-security 2 | script-security 2 | ||
- | client-connect / | + | client-connect / |
- | client-disconnect / | + | |
</ | </ | ||
- | Vous noterez l' | + | Vous noterez l' |
< | < | ||
script-security 2 | script-security 2 | ||
client-connect / | client-connect / | ||
- | client-disconnect / | ||
</ | </ | ||
et d' | et d' | ||
- | < | + | < |
#!/bin/bash | #!/bin/bash | ||
echo ' | echo ' | ||
- | ifconfig tap0 up | + | ip link set up tap0 |
ip route add 172.32.0.1 dev tap0 | ip route add 172.32.0.1 dev tap0 | ||
</ | </ | ||
- | et | + | et pour finir de le rendre exécutable : |
- | <code file proxyarp_down.sh> | + | <code bash> |
+ | # chmod +x / | ||
+ | </ | ||
+ | |||
+ | ==== Configuration du client OpenVPN Linux ==== | ||
+ | |||
+ | On va créer un client OpenVPN sur le client Linux, si on suit l' | ||
+ | |||
+ | <code file proxyarp.conf> | ||
+ | tls-client | ||
+ | proto udp | ||
+ | proto udp6 | ||
+ | port 1194 | ||
+ | remote XXXXXX | ||
+ | dev tap0 | ||
+ | cipher AES-256-CBC | ||
+ | keepalive 10 30 | ||
+ | persist-key | ||
+ | persist-tun | ||
+ | verb 3 | ||
+ | status proxyarp_status.log | ||
+ | log-append / | ||
+ | |||
+ | ca / | ||
+ | cert / | ||
+ | key / | ||
+ | tls-crypt / | ||
+ | auth sha512 | ||
+ | keysize 256 | ||
+ | comp-lzo no | ||
+ | |||
+ | |||
+ | script-security 2 | ||
+ | up / | ||
+ | down / | ||
+ | |||
+ | </ | ||
+ | |||
+ | Avec pour même spécificité : l' | ||
+ | |||
+ | <code bash / | ||
#!/bin/bash | #!/bin/bash | ||
- | ip route del 172.32.0.1 dev tap0 | + | # Configuration de l' |
- | ifconfig | + | ip link set up tap0 |
+ | ip addr add 172.32.0.1/ | ||
+ | |||
+ | # Ajout des règles dans la table wan_vpn | ||
+ | ip rule add from 172.32.0.1 table wan_vpn | ||
+ | ip rule add fwmark 1 table wan_vpn | ||
+ | |||
+ | # Ajout la passerelle par défaut | ||
+ | ip route add 51.255.37.1 src 172.32.0.1 dev tap0 table wan_vpn | ||
+ | ip route add default via 51.255.37.1 src 172.32.0.1 dev tap0 table wan_vpn | ||
+ | |||
+ | # Ajout règles de firewall pour que le trafic entrant par le tunnel, soit re-routé dans le tunnel | ||
+ | iptables -t mangle -A PREROUTING -i tap0 -j CONNMARK --set-xmark 0x1 | ||
+ | iptables -t mangle -A PREROUTING -i eth0 -m connmark --mark 0x1 -j CONNMARK --restore-mark | ||
</ | </ | ||
- | et pour finir de les rendre exécutable : | + | <code bash / |
+ | #!/bin/bash | ||
- | <code bash> | + | # Suppression des règles dans la table wan_vpn |
- | # chmod +x proxyarp_up.sh proxyarp_down.sh | + | ip rule del from 172.32.0.1 table wan_vpn |
+ | ip rule del fwmark 1 table wan_vpn | ||
+ | |||
+ | # Suppresion des règles de firewall pour que le trafic entrant par le tunnel, soit re-routé dans le tunnel | ||
+ | iptables -t mangle -D PREROUTING -i tap0 -j CONNMARK --set-xmark 0x1 | ||
+ | iptables -t mangle -D PREROUTING -i eth0 -m connmark --mark 0x1 -j CONNMARK --restore-mark | ||
</ | </ | ||
- | ==== Configuration du client OpenVPN pfSense ==== | ||
- | On va créer un client OpenVPN sur pfSense, si on suit l' | ||
- | {{ :kb: | + | Puis il faudra les rendre exécutable |
- | Avec pour même spécificité : l' | + | <code bash> |
+ | # chmod +x / | ||
+ | </ | ||
- | Il faut ensuite assigner l' | + | et créer la table de routage **wan_vpn** |
- | {{ : | + | <code bash> |
+ | # echo "1 wan_vpn" | ||
+ | </ | ||
- | puis de créer un bridge avec UNIQUEMENT l' | + | Et maintenant, ça doit fonctionner ! |
- | {{ : | ||
- | puis assigner ce bridge a une interface, et lui assigner l'IP Fail-Over | + | ====Informations optionnelle ==== |
+ | Si vous souhaitez faire du NAT de port entrant, voici un exemple | ||
- | Si celle-ci n'est pas dans le même réseau, il vous faudra cocher la case **Use non-local gateway** dans la gateway. | + | <code bash> |
+ | # iptables | ||
+ | </ | ||
+ | |||
+ | Et si vous voulais faire du NAT sortant, il faut mettre les deux règles suivante : | ||
+ | <code bash> | ||
+ | # iptables | ||
+ | </ | ||
+ | # iptables -t nat -A POSTROUTING -s 192.168.1.10/ | ||
+ | </ |
kb/linux/generalites/apporter_une_ipv4_de_datacenter_sur_un_linux_via_un_vpn.1570699063.txt.gz · Dernière modification : 2019/10/10 09:17 de beu