[ routage ] router au traver d'un tunel vpn (en cour)

[00001000]

Bonsoir,
Ces c** d'opérateurs mobile nous obligeront vraiment à faire n'importe quoi pour pouvoir vraiment profiter de notre abonnement.
Voila l'histoire, je dispose d'un abonnement internet 3G illimité , et j'utilise mon téléphone comme modem, mais voila pour mes mails je ne peut télécharger que 10 Mo ... c'est ridicule ! Et j'ai pas envie d'aller consulter à chaque fois sur le webmin.
Voila donc mon idée pour contourné le problème :
Je dispose d'une serveur vpn qui fait déjà office de passerelle pour une petit sous réseau que j'ai chez moi (avec des règles de suivi de connexion déjà présentes ) .
Je voudrais juste faire passer les connexions en direction de imap.gmail.com et smtp.gmail.com par mon serveur chez moi en les routant vers celui ci au travers de mon tunnel vpn. Ainsi elle ne seront pas décompté par mon fai en je pourrai utiliser mon client courriel en toutes tranquillité.
J'ai donc pensé à un tous bête :

Code : Tout sélectionner

route add imap.gmail.com gw 192.168.25.1 #L'adresse de mon réseau locale au travers du tunel vpn

Mai voila mes connexion en direction imap.gmail.com ne prennent pas la route ci dessus, elles ce contentes de passer par la gw par default.

J'ai beau chercher je n'en trouve pas la cause, l'un d’entre vous serais m'aider ou m'orienter un peut affin de pouvoir venir à bout de mon problème.

[benjarobin]

En quoi cela change quelque chose de passer par un vpn ou autre. Ta connexion depuis ton téléphone sera toujours compté.
En gros pour l'instant tu as : portable -> téléphone (modem) -> FAI (sfr, orange...) -> imap.gmail.com
Et toi tu veux faire ceci ? : portable -> téléphone (modem) -> FAI (sfr, orange...) -> vpn -> imap.gmail.com
Je ne vois pas comment cela résoudrai le problème

[00001000]

Si ça change quelque chose ( enfin je crois ), je m'explique en fait j'ai supposé que ce qui étais décompter par mon fai étais les connexion vers les port imap et smtp donc mon idée est de les faire passer par un autre port, ne pouvant pas directement le faire j’encapsule donc la connexion dans mon vpn qui passe part le port 20 ( il passe par le port 20 affin de contourner le parfeu de la connexion internet du dortoir de l'afpa) puis la fait transiter par ma connexion internet de chez moi. Ainsi je contourne la limitation ( en théorie ), en gros ça donne ça :
Portable => vpn => téléphone => connexion 3G => chez moi serveur vpn => on repart avec ma connexion internet adsl => imap.gmail.com
Désoler si je m'exprime mal, je suis un peut crevé et j'ai impression que mon cerveau doit ressembler à un bocal de tripe.

[benjarobin]

Donc ta solution repose sur l'hypothèse que le FAI décompte différemment le volume en fonction du port... Je ne pense pas que cela soit le cas
En quoi le port 20 ou autre serait différent du port 993 (port imap de google si je ne me trompe pas).

[00001000]

Donc ta solution repose sur l'hypothèse que le FAI décompte différemment le volume en fonction du port...

Ba ui ... Ça semble logique si non dit moi quelle est ton hypothèse.

En quoi le port 20 ou autre serait différent du port 993 (port imap de google si je ne me trompe pas).

En fait ça c'est pour contourné le par-feu à la con du dortoir de l'afpa qui bloque les connéxion sortante sur le port 993, j'aurais aussi pu faire tourné mon vpn sur le port 53. A ce titre mon vpn sera utile aussi ici.

J'ai pas eu beaucoup le temps d’avancé dessus voila mes nouveau éssai :
voiçi ma tables de routage :

Code : Tout sélectionner

# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.1     192.168.25.1    255.255.255.255 UGH   0      0        0 tun0
10.64.64.64     *               255.255.255.255 UH    0      0        0 ppp0
192.168.25.1    *               255.255.255.255 UH    0      0        0 tun0
default         *               0.0.0.0         U     0      0        0 ppp0

Pour simplifier le test j'ai d'abord voulu contacter ma box à 192.168.1.1.
de mon poste un ping sur 192.168.1.1, qui bien évidément ne répond pas... et voila le résultat d'un snif réseau sur tun0 :

Code : Tout sélectionner

# tcpdump -i tun0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
21:01:43.572580 IP 192.168.25.2 > 192.168.1.1: ICMP echo request, id 8438, seq 1, length 64
21:01:44.581258 IP 192.168.25.2 > 192.168.1.1: ICMP echo request, id 8438, seq 2, length 64
21:01:45.581148 IP 192.168.25.2 > 192.168.1.1: ICMP echo request, id 8438, seq 3, length 64
21:01:46.581148 IP 192.168.25.2 > 192.168.1.1: ICMP echo request, id 8438, seq 4, length 64

Ca part bien de l'adresse 192.168.25.2 en diréction de 192.168.1.1 en passant par tun0.
Mais voila le même snif a l'autre bout du tunel ne donne rien ...
Je précise tous de même que j'accéde au serveur :

Code : Tout sélectionner

# ping -c 3 192.168.25.1
PING 192.168.25.1 (192.168.25.1) 56(84) bytes of data.
64 bytes from 192.168.25.1: icmp_seq=1 ttl=64 time=1625 ms
64 bytes from 192.168.25.1: icmp_seq=2 ttl=64 time=616 ms
64 bytes from 192.168.25.1: icmp_seq=3 ttl=64 time=175 ms

--- 192.168.25.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2009ms
rtt min/avg/max/mdev = 175.393/805.768/1625.150/606.762 ms, pipe 2

J'ai vérifier le par-feu du serveur il n'a rien dropé.

Je reste perplexe, comme je manque de temps j’étudiais le problème ainsi que le fonctionnement du routage sous linux en détaille ce week-end.

[Refuznik]

Ce serais pas mieux avec la même classe d'adresse ip non ?
192.168.1.2 par exemple ?

[benjarobin]

Donc ta solution repose sur l'hypothèse que le FAI décompte différemment le volume en fonction du port...

Ba ui ... Ça semble logique si non dit moi quelle est ton hypothèse.

Je pense que tu devrai vérifier ton hypothèse avant de partir dans de partir dans des trucs assez délirant...
Il suffit de téléchargé un fichier en utilisant le port 80, 8080, puis part ftp 21, puis par ssh 22 et de comparer... Tu verras vite si tu as une limitation...

[00001000]

Ce serais pas mieux avec la même classe d'adresse ip non ?
192.168.1.2 par exemple ?

En fait non car le tunnel vpn sert à relier deux sous réseau différent au travers de l'internet, mais de toutes façon mon serveur est une passerelle. Et quand bien même même si pour une erreur de configuration quelle conque elle ce trouvais incapable de router une connexion ceci n'explique pas pourquoi je ne reçois rien à l'autre bout du tunnel, on devrais quand même y voir les ping arrivé.

Je pense que tu devrai vérifier ton hypothèse avant de partir dans de partir dans des trucs assez délirant...
Il suffit de téléchargé un fichier en utilisant le port 80, 8080, puis part ftp 21, puis par ssh 22 et de comparer... Tu verras vite si tu as une limitation...

Je crois que ta pas compris ce que je voilais dire, ou c'est moi qui ne t'ai pas bien compris ( ou c'est moi qui me suis mal expliquer ect ....). En fait bien entendu toutes mes connéxions sont déconté, j'ai droit à 500 Mo de donné par moi, au-delà ma connexion ce vois bridé mais je m'en contente comme ça. Le problème est que pour reçevoir mes mail ( ou en envoyé ) je n'ai droit qu'a 10 Mo par moi. C'est cette limite que je veut contourné. Vu la manière dont il décompte ce type de connexion j'ai donc supposé qu'il ce basais sur le trafic en direction du port imap et smtp. D'ou mon idée de faire passer ces connexion dans mon tunel vpn. Ce n'est pas pour cette raison que mon tunel ce trouve sur le port 20 en fait j'aurais pu le mêtre sur n'importe quelle port qui ne soit pas spécialement filtré par mon FAI (comme le port NNTP car mon FAI interdit l'usage de usenet et yen a d'autres comme ça), mon tunnel ce trouve sur le port 20 affin de passer au travers du filtrage sortant du par-feu de l'afpa (règles mise en place affin d'évité les conneries comme le ptp par exxemples) j'aurais très le faire écouter sur le port 53 par exemple.

Mais bon ceci n'est que ma motivation, ça ne règle en rien mon problème qui est, premièrement de me servir de mon tunnel pour joindre mon réseau local au travers de mon serveur faisant office de passerelle. Puis deuxièmement pouvoir y faire circuler tous et n'importe quoi affin de faire transiter tous cela par la connexion ADSL de ma maison et ceci affin de pouvoir contourné tout les filtrage sortant ou assimilé que je pourais rencontré sur n'importe quelle connexion que ce soit celle de mon téléphone ou pas.

Après quelques recherches et d'après ce que j'ai vu c'est faisable, c'est donc moi qui m'y prend mal, je encore manquer d’expérience dans ce domaine et j’arrive pas à déterminer ou j'ai pu faire le con. Je vais travailler sur le problème une bonne partie du weekend, pourtant en théorie ça parais vraiment tous bête.

[00001000]

J'ai trouvé ou étais mon problème, il provient de la configuration d'openvpn en fait il faut lui préciser qu'il doit router les connexion et comment il doit le faire, bref je reviendrais poster une réponde détailler quand j'aurais mis tous ça ne place.
Et ui c'est ça quand on a pas trop de temps et qu'ont veut tous faire tous de suite sans prendre le temps de bien lire le doc.

[benjarobin]

En fait bien entendu toutes mes connexions sont décompté, j'ai droit à 500 Mo de donné par moi, au-delà ma connexion ce vois bridé... Le problème est que pour recevoir mes mail je n'ai droit qu'a 10 Mo par mois... Vu la manière dont il décompte ce type de connexion j'ai donc supposé qu'il ce basais sur le trafic en direction du port imap et smtp...

Ok, j'ai compris C'est très clair Je suis très lent à comprendre des fois C'est sidérant cette limitation

[00001000]

A yé j'ai réussi ... mai pas avec le téléphone !
En réseau local chez moi j'ai bien réussi à redirigé toutes ma connexion au travers du tunnel vpn d'un sous réseau à l’autre en passant par le serveur sur la passerelle . De plus pour ça on à l'option
--redirect-gateway qui crée la route automatiquement. Oui mais c'est pas top au sens ou je l'entant, premier problème de cette technique ( supposition car pas pus testé en wan ) c'est le bridage de la bande passante le maximum à ce que me fourni mon fai en upload pour ma connexion adsl qui est pas énorme chez moi. Il doit bien y avoir un moyen de rediriger au cas par cas les adresse que je veut rediriger comme avec la commande route que j'avais mise au début mais pour moi le problème est autre.
En effet quand j'utilise le téléphone comme modem il n'y a plus rien qui passe au travers du tunel, le client n'envoie pas ce qui n'est pas destine a l'adresse de l'interface tun du serveur même si un route est crée ( test snif trame réseau sur l’interface tun et l'interface d'entrée et log log du serveur ne donne rien ). Tous comme le fait que --redirect-gateway ne s’exécute plus, ce qui s explique simplement par le fait qu'en connexion ppp je n'ai bien évidement plus de gateway. Je ne comprend toujours pas pourquoi il ne veut pas contacter le réseau local même si je lui ajoute le route manuellement alors que je peut le faire lorsque ce n'est pas une connexion ppp.
J'ai donc pensés à autres chose qui pourrais contourner mon problème pour ce que je veux faire, vu que je peut contacter le serveur et accéder au services dessus par l'adresse de sont interface tun, je vais tenter m'en servir comme serveur mandataire pour les connexion imap et smtp. Je ne sait pas encore si c'est possible ni quoi utiliser pour ça mais je vien poster dès que j'ai une solution.

Ps : Pour ce que ça intéresse voici un man de openvpn en français, il n'est pas à jour mais il dépanne bien.
http://lehmann.free.fr/openvpn/OpenVPNM ... r.1.0.html