Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
1990 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  OpenVPN: Accès au serveur sur port 443 derrière un proxy HTTP

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

OpenVPN: Accès au serveur sur port 443 derrière un proxy HTTP

n°1407226
Deadlock
Feck off, cup !
Posté le 28-08-2017 à 10:17:07  profilanswer
 

Bonjour,
 
J’héberge un serveur OpenVPN@home sur une Debian 8. Les clients sont soit des terminaux mobile Android, soit des laptops W10/Debian et une VM (Virtualbox en mode NAT) derrière un Proxy HTTP, c'est elle qui pose maintenant problème.
 
Jusqu'à dernièrement, le serveur était configuré sur le port 1194 en proto TCP. Tout fonctionnait sans soucis, le client de la VM étant configuré comme suit:

client  
dev tun  
proto tcp  
remote xxx.yyy.org 1194  
http-proxy 10.11.12.13 8080
resolv-retry infinite  
[...]


J'ai changé la configuration sur le serveur pour écouter sur le port 443  toujours en proto TCP et cette fois derrière un sslh (ssh/https/openvpn). Une fois sslh et les différents services correctement configurés, tout fonctionne correctement en changeant la config des clients OpenVPN (1194 -> 443). Sauf pour la VM:

client  
dev tun  
proto tcp  
remote xxx.yyy.org 443
http-proxy 10.11.12.13 8080
resolv-retry infinite  
[...]


J'ai le message suivant en me connectant:

Mon Aug 28 08:54:18 2017 Control Channel Authentication: tls-auth using INLINE static key file
Mon Aug 28 08:54:18 2017 Attempting to establish TCP connection with [AF_INET]10.11.12.13:8080 [nonblock]
Mon Aug 28 08:54:19 2017 TCP connection established with [AF_INET]10.11.12.13:8080
Mon Aug 28 08:54:21 2017 TCPv4_CLIENT link local: [undef]
Mon Aug 28 08:54:21 2017 TCPv4_CLIENT link remote: [AF_INET]10.11.12.13:8080
Mon Aug 28 08:54:21 2017 WARNING: Bad encapsulated packet length from peer (21331), which must be > 0 and <= 1560 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]
Mon Aug 28 08:54:21 2017 Connection reset, restarting [0]
Mon Aug 28 08:54:21 2017 SIGUSR1[soft,connection-reset] received, process restarting
^CMon Aug 28 08:54:24 2017 SIGINT[hard,init_instance] received, process exiting


Ce n'est pas la config côté serveur qui pose problème car les mobiles/laptops se connectent normalement au VPN sur le port 443, donc c'est bien la VM (et probablement le Proxy) qui pose soucis.
 
D'un autre côté je peux me connecter en SSH au même serveur sur le port 443 depuis la VM via:

Host vmaccess
 HostName xxx.yyy.org
 User myuser
 Port 443
 ProxyCommand /usr/bin/corkscrew 10.11.12.13 8080 %h %p


 
Une idée ? Merci :jap:


---------------
"Les Doigts sont nos dieux!" - Année 100.000.667, 23ème, rebelle déiste.
mood
Publicité
Posté le 28-08-2017 à 10:17:07  profilanswer
 

n°1407230
Deadlock
Feck off, cup !
Posté le 28-08-2017 à 13:11:13  profilanswer
 

En fouillant les logs côté serveur sslh identifie du ssh et non de l'openvpn quand la VM se connecte à travers le proxy ... L'encapsulation n'est donc pas transparente :'(

 

Je vais essayer de trouver un moyen de corriger ça. En gros pour résumer:

 

OpenVPN Client(443) -> NAT(VirtualBox) -> HTTP Proxy -> Internet -> NAT(Livebox) -> SSLH -> OpenVPN Server(443)


Message édité par Deadlock le 28-08-2017 à 13:13:02

---------------
"Les Doigts sont nos dieux!" - Année 100.000.667, 23ème, rebelle déiste.

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  OpenVPN: Accès au serveur sur port 443 derrière un proxy HTTP

 

Sujets relatifs
Monter un serveur Apache, Python 2.7, FTP - Quels logiciels utiliser?Connexion Openvpn ok mais pas d'accès à internet
Problème d'upload sur serveur web debianZimbra serveur
Problème pour un client nomade de openvpn d'acceder aux postes du LANServeur Mail (Postfix.admin)
DBUS : impossible de démarrer le serveur JACK.Authentification linux/windows + serveur de fichiers?
Attaque sur serveur web. w00tw00t, Propfind... Site hors-ligne... 
Plus de sujets relatifs à : OpenVPN: Accès au serveur sur port 443 derrière un proxy HTTP



Copyright © 1997-2016 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR