Bonjour,
 
voici mon probleme, je pensais le resoudre tout seul en 5 min, mais ca ne marche pas... donc je demande de l'aide.
J'ai un serveur (S1) openvpn sur une machine a paris avec une adresse publique dont je controle le firewall.
J'ai un serveur (S2) openvpn sur un portable avec adresse publique et firewall controlle par moi
J'ai un client (C) openvpn avec adresse prive, et un firewall, nat que je ne maitrise. Le client vpn se connecte aux deux serveurs site plus haut. chaque vpn est sur un bloc prive d'adresse distinct.
 
(S1)-10.8.0.1-----------10.8.0.10-(C)-10.9.0.6-------------10.9.0.1-(S2)
 
toutes les adresses sont celle sur vpn....
 
maintenant je veux a partir de (S1) contacter (S2) en passant par les deux vpn (bien sur les deux serveurs peuvent se voir sur internet et je pourrais creer un autre vpn entre les deux, mais le lien via les 2 vpn est tres rapide et je veux passer par la machine client pour faire communiquer les deux serveur, je ne  peux pas mettre un serveur vpn sur C car il n'est pas joignable ni de S1 ni de S2)
 
ca doit etre du simple routage me suis je dis,
 
sur S1
route add 10.9.0.1 gw 10.8.0.10
 
sur S2
route add 10.8.0.1 gw 10.9.0.6
 
sur C
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o tun1 -j MASQUERADE
et activation du ip forward.
 
ca devrait marcher?
merci de m'eclairer si j'ai loupe une marche
 
 
bonne journe
 

Je n'ai sans doute pas bien compris mais comment tu veux pouvoir monter un tunnel entre S1 et C et S2 et C si  
C n'est pas joignable ni de S1 ni de S2 ?

Le VPN (si c'est le tunnel dont tu parle) est deja en place...
donc tout le monde se voit au travers du VPN.
Sinon pour info, C n'est pas joignable de S1 ou S2, mais il peut les joindre lui, c'est pour cela que j'ai un mis deux serveur vpn et non client aux deux bout...
Pour le routages des idees?  

il manque pas des règles sur C ??
 
et ce ne serait pas le VPN en lui même qui interdise de joindre le réseau de S2 dans le VPN S1 et inversement ?

non, le vpn a ce niveau on  ne s en preocupe plus...  
pour ce qui est des regles sur C, tu fais allusions a quelles regles routage, masquerade?

Avec un traceroute depuis S1, C ou S2, tu dois pouvoir voir où ca bloque, non ?
Sinon est-ce qu'il existe bien une route statique pour joindre 10.8.0.10 que tu met comme GW sur S1 ? Sinon il faut faire pointer la route sur l'entrée du tunnel (@IP 10.8.0.1 ou l'interface tunnel).
 
Note : j'utilise le mot tunnel plutôt que VPN car VPN est un terme très générique qui peut s'appliquer à pleins de choses et que dans ton cas le VPN est créé via des tunnels IP.

tu es sûr que depuis un pc de S1 qui veut parler à un pc de S2 (donc à destination d'un réseau différent de celui de C, celui définit dans le VPN), les règles du VPN ne vont pas interdire ce trafic ?
 
oui, je pensais à des règles de routage/masquerade

sinon, si tu ne dois utiliser que certains ports, tu peut peut être faire du forward de port
je m'explique
 
depuis S1 tu parles à 10.8.0.10 sur un port qui sera forwardé dans S2, et vice-versa

merci pour vos reponses en tout cas.
Loninol: j'ai effectivement fais abstraction des adresses entree-sortie des tunnels.
Pour etre exaustif voici les infos:
S1: tun0 :10.8.0.1  P-t-P :10.8.0.2 (10.8.0.2 n'est pingeable de nulle part...)
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
a priori 10.8.0.2 sert de gw pour le reseau 10.8.0.0  
 
sur C:  inet adr:10.8.0.10  P-t-P:10.8.0.9 (encore une fois 10.8.0.9 n'est pas pingeable)
10.8.0.1        10.8.0.9        255.255.255.255 UGH   0      0        0 tun0
10.8.0.9        *                 255.255.255.255 UH    0      0        0 tun0
10.9.0.5        *                 255.255.255.255 UH    0      0        0 tun1
10.9.0.1        10.9.0.5        255.255.255.255 UGH   0      0        0 tun1
 
sur S2: (c'est du windows alors la bizarement j'ai pas le systeme entree-sortie du tunnel affiche... )
       Adresse IP. . . . . . . . . . . . : 10.9.0.1
       Masque de sous-réseau . . . . . . : 255.255.255.0
       Passerelle par défaut . . . . . . : 10.9.0.1
        10.9.0.0    255.255.255.0         10.9.0.1        10.9.0.1       30
        10.9.0.0    255.255.255.0         10.9.0.2        10.9.0.1       1
        10.9.0.1  255.255.255.255        127.0.0.1       127.0.0.1       30
(la on voit que la sortie doit etre 10.9.0.2)
 
voila tout avant modif, ca marche au niveau des communnication serveur client et vice versas.
maintenant pour les modifs. j'ai bien rajoute une route statique vers 10.8.0.10 sur S1 qui pointe vers tun0 et pareil pour S2,
puis tjrs sur S1 une route vers 10.9.0.1 avec gw 10.8.0.10
puis comme indique dans le premier post...
 
Je vais maintenant essaye plutot une route statique pour 10.8.0.10 qui pointe vers 10.8.0.2 et pareil sur S2 (enfin quand je dis pareil on se comprends.... la symetrie...)
 
Sinon je vois aussi dans la conf de openvpn cote server qu'on peut rajouter des options pour faire acceder un sous reseau derriere le client  
au vpn. (peut etre faut il le specifier a ce niveau, mais peut etre que ce  que ca fait c'est simplement du routage...)
 
tomate:
la solution tunnel par port a la ssh, est un peu embetante j'utilise  un peu nimporte quoi comme port, et aussi de l'udp...
 
 
 
 
 
 
 
 

bon ca donne rien....

et tu peux lancer un sniffeur voir où ça s'arrête/c'est droppé ?
un traceroute donne quoi ?

un traceroute donne rien, ca ne sort pas on dirait

ça s'arrête où ??

ca ne sort pas des serveur, aucune passerelle ne reponds...

si tu n'as pas de no route to host ou d'erreur de ce genre c'est que c'est droppé, donc un firewall ou le VPN qui n'autorise pas

a ce niveau l'interface cree par le vpn est normale je devrais donc pouvoir router des trucs au travers. et la machine client n'a pas de firewall tout est sur accept...
je ne vois pas...

le VPN qui interdit ce trafic ? ou la destination

mouais... donc le vpn ne cree pas un reseau normal.....

c'est difficile de savoir comme ça, en aveugle
comment ça se configure le VPN ?
tu définis bien le réseau local cible non ?

l'implementation que j'utilise est openvpn, c'est un tunnel ip  qui est route.
"tu definis le reseau local cible?" ca peut se comprendre de plein de facon...
a priori mon ping ne sort pas des serveurs... alors soit ma route sur le serveur ne fait pas rentrer le ping dans le tunnel ou alors l'entree du  tunnel rejete les paquets route pour une raison ou une autre
en tout cas merci de s'interesser a mon probleme

tiens moi au courant