Posted: Sun Mar 14, 2010 18:06 Post subject: Vpn et DNSMasq
Bonjour,
Je recherche un cador pour tenter d'utiliser l'option DNSMsaq.
Pour info, j'ai un résau local n°1 avec un WRT54GL équipé DD-WRT V24 Sp2 Vpn le tout avec des Windows XP ou Seven.
J'ai activé sur ce routeur le serveur VPN PTTP (je ne veux pas d'OpenVPN).
Depuis un réseau local 2 sur lequel je me connecte en Wifi et DHCP, je me connecte sans problème sur le réseau local 1. J'obtients l'une des adresses clients réservées par le serveur PPTP, un masque 255.255.255.255 et aucune passerelle.
Donc comme beaucoup, je suis obligé, pour l'instant de taper les adresses en dur pour toucher les machines.
Je crois que c'est au travers de l'utilisation de DNSMasq que l'on peut améliorer les choses et utiliser la résolution de nom / DNS du réseau local 1.
Bref, dans Services, onglet services, DNSMasq j'ai activé DNSMasq, je me demande à quoi sert DNS Local (qui peut être activé ou non) et j'ai la zone Options DNSMasq toute vide.
Faut-il obligatoirement remplir cette zone d'option ?
Que signifie de cocher ou non DNS Local ?
Si on doit mettre quelque chose dans les options, il semble que ce soit de la forme :
address=/NomDomaine/IPPasserelle
Mais là c'est très confus et j'ai vu a peut près tout comme exemple.
Pour NomDomaine : s'agit-il bien du nom du groupe de travail auquel appartient le routeur ou bien celui du réseau local 2 ?
L'IP est celle de la passerelle du réseau local 1 ?
Faut-il que la machine avec laquelle on se connecte soit sur le même Groupe de travail ou aucune importance ?
Bref un coup de main et d'éclairage serait le bienvenu.
Cordialement
Squale
Merci pour la réponse, je me sentais pas trop d'avancer tout seul sur ce terrain.
Bien compris tes préconisations mais qui me semblent couvrir l'accès aux DNS externes (WAN), qui dans la pratique ne pose aucun problème puisque on a un accès "classique" à Internet sur le réseau local 2 (celui où on est physiquement), voire même également au travers du réseau local 1 si sur le client VPN on dit d'utiliser la passerelle du serveur VPN (ce qui me semble stupide mais bon !)
Ma question est bien de pouvoir accéder aux noms des machines du réseau local 1 (le distant), comme si on était physiquement présent ... et sans devoir taper les adresses en dur (ou bien bidouiller son fichier Host).
Sauf erreur de ma part, ce qui est fort possible, c'est l'utilisation de DNSMasq qui le permet.
Confirmes-tu ?
Un petit exemple de ce qu'il faut remplir serait nickel chrome.
Merci pour la réponse, je me sentais pas trop d'avancer tout seul sur ce terrain.
Bien compris tes préconisations mais qui me semblent couvrir l'accès aux DNS externes (WAN), qui dans la pratique ne pose aucun problème puisque on a un accès "classique" à Internet sur le réseau local 2 (celui où on est physiquement), voire même également au travers du réseau local 1 si sur le client VPN on dit d'utiliser la passerelle du serveur VPN (ce qui me semble stupide mais bon !)
Ma question est bien de pouvoir accéder aux noms des machines du réseau local 1 (le distant), comme si on était physiquement présent ... et sans devoir taper les adresses en dur (ou bien bidouiller son fichier Host).
Sauf erreur de ma part, ce qui est fort possible, c'est l'utilisation de DNSMasq qui le permet.
Confirmes-tu ?
Un petit exemple de ce qu'il faut remplir serait nickel chrome.
Aïe, merdouille et crotte de caniche. Tu m'assassines.
Bref, si j'interprête un poil ta réponse, celà signifierait que l'on remplit le DNSMasq comme on le ferait avec une table Lmhosts ...
Penses-tu que c'est impossible même pour un petit réseau (du style 5/6 postes, 2 imprimantes, 1 NAS) ?
NB : pour la mémoire, le passage de la version standard à la version VPN de DD-WRT a effectivement coûté cher mais n'utilisant pas OpenVPN, je pense que je vais retourner à la version standard.
Aïe, merdouille et crotte de caniche. Tu m'assassines.
Bref, si j'interprête un poil ta réponse, celà signifierait que l'on remplit le DNSMasq comme on le ferait avec une table Lmhosts ...
Penses-tu que c'est impossible même pour un petit réseau (du style 5/6 postes, 2 imprimantes, 1 NAS) ?
NB : pour la mémoire, le passage de la version standard à la version VPN de DD-WRT a effectivement coûté cher mais n'utilisant pas OpenVPN, je pense que je vais retourner à la version standard.
Mise en place du lmhost.
Fonctionne correctement. Deux points à surveiller :
1°) dans mon exemple, c'est un portable habituellement sur le réseau 1, qui en déplacement utilise PPTP. Pour se connecter, il ne faut pas avoir sa propre adresse dans le fichier lmhost ... et donc corrolaire, si 2 machines du réseau 1 doivent pouvoir utiliser le vpn, elles n'auront pas le même fichier lmhost
2°) il ne faut pas vouloir entrer sur le vpn avec un identifiant déjà existant. Il suffit de créer un utilisateur quelconque pour le vpn.
Par contre le confort global n'est plus là : pas de voisinage réseau intégrant le réseau 1. Impossible de toucher facilement une machine Wifi du réseau 1 (puisqu'il serait imprudent de la mettre dans le lmhost, son adresse pouvant changer du moins théoriquement).
Pour finir, bugs dans la v24sp2 voip 10/10/09 puisqu'une fois cette liaison PPTP établie :
- DD-WRT reste avec le statut PPTP désactivé
- aucune mention nulle part de l'adresse IP qui vient d'être attribuée pour le PPTP (ni dans les clients connectés ni dans les clients DHCP)
Si j'ai bien compris, localement tu utilise un dhcp sans réservation d'ip. Donc impossible de forwarder des port vers l'une ou l'autre de tes machines, impossible aussi de figer un lmhost cohérent.
Si j'ai bien compris, localement tu utilise un dhcp sans réservation d'ip. Donc impossible de forwarder des port vers l'une ou l'autre de tes machines, impossible aussi de figer un lmhost cohérent.
Celà dépend de ce que tu entends par localemnt.
Sur le réseau 1 (celui où on est habituellement), DHCP avec réservation d'une ip fixe bien sûr. C'est d'ailleurs celle que l'on mettrait dans le lmhost.
Lorsqu'on se retrouve dans le réseau 2, on a initialement une autre IP (là effectivement en DHCP non réservée), puis lors de la connexion au VPN, on est doté, en plus, d'une adresse fournie par PPTP et se trouvant dans le créneau des adresses réservées au PPTP. Le masque est 255.255.255.255 et on n'a pas de passerelle pour cette IP (sauf si on programmait le client pour utiliser la passerelle distante mais celà devient stupide puisque l'accès à Internet se fait alors des 2 côtés en même temps).
Si on laisse notre adresse et notre nom de machine du réseau 1 dans le lmhost, on a une erreur 629. Microsoft explique cette erreur par le fait que le système recoive une demande sur 1 adresse et réponde sur une autre. Il faut apparement intervenir dans la base de registre, {4D36E972-E325-11CE-BFC1-08002bE10318}, pour créer un dword ValidateAddress (je n'ais pas testé).
yzy-oui-fi wrote:
ce qui me semble étrange c'est que tu n'aies pas d'accès au ressouces réseau en étant client vpn. Logiquement (si je me rapelle bien de windows... ) quand tu es dans un réseau local et que tu parcour des ressources partagées, il y a automatiquement un raccourcis qui se crait dans ton voisinnage réseau, pointant vers cette ressource. Donc si tu passes après en connexion VPN, ces ressources sont techniquement accessibles du moment que la DNS locale est commune...
Non seulement la création de ces raccourcis ne se fait pas (même avec W7), mais ceux que l'on a déjà, du fait de notre appartenance habituelle au réseau 1, ne fonctionnent pas et donnent systématiquement un échec (si pas de lmhost).
Aucun rafraichissement dans le temps non plus (il est inutile d'attendre les 12 minutes fatidiques).
Par contre, il "suffit" d'ouvrir une fenêtre DOS, de faire un ping -a www.xxx.yyy.zzz (sur les adresses IP des machines du réseau 1) pour que le système se mettre à jour et réassocie correctement l'IP avec le nom de machine (le tout toujours sans lmhost).
On peut donc se mettre à utilser les noms de machine, mais le voisinage réseau ne se met pas à jour pour autant.
En fait le voisinage réseau du réseau 2 se résume à nous et les machines physiquement sur le réseau 2.
Même résultat en utilisant les API Windows du type NetServerEnum : seul le nom du groupe de travail du réseau 2 est connu et les ressources sont bien uniquement celles du réseau 2 (avec 1 machine un poil beatnik avec 2 adresses en IPV4)
ips: SubnetDuReseauLocal (ex: 192.168.1.0)
SM: 255.255.255.0
Passerelle: IPPasserelleLocale (ex: 192.168.1.1)
Metric: O
Interface: Any
Bon, traduit en Windows (mais approximativement et avec de l'accent) cela donne :
Après l'établissement du VPN, ouvrir une boîte DOS en mode administrateur et passer la commande
route ADD 192.168.1.0 MASK 255.255.255.0 IP_ALLOUEE_PAR_VPN
Je ne suis pas sûr de ma traduction deIPPasserelleLocale (passerelle réseau 1, passerelle réseau 2, IP VPN ?). Forcer le traffic à destination du réseau 1 à passer par le VPN ou bien par la passerelle réseau public du réseau 2 ?
Bon c'est noté, merci. Je fais l'essai sous 2 jours (faut que je renumérote un des réseaux en 192.168.2.x sinon embrouille).
Cordialement
Je ne suis pas sûr de ma traduction deIPPasserelleLocale (passerelle réseau 1, passerelle réseau 2, IP VPN ?). Forcer le traffic à destination du réseau 1 à passer par le VPN ou bien par la passerelle réseau public du réseau 2 ?
Bon je reviens sur le sujet PPTP (avec un client Windows XP ou Seven) maintenant que je maîtrise un peu mieux le sujet (WRT54GL et WRT320N).
1°) Côté routeur, tout dépend de la build choisie : les versions K24, jusqu'à decembre 2009, sont OK, les K26 (newD2) obligatoires pour le Wifi N posent problème (voir ticket 14250)
2°) Inutile de router explicitement le port 1723, DD-WRT le fait automatiquement lorsqu'on coche PPTP enable
3°) Côté Windows (là je suis beaucoup plus à l'aise), grande nouvelle car Billou fait tout le boulot et il est complètement inutile d'ajouter un quelconque routage.
@yzy-oui-fi
Ci-dessous le routage sous Windows (XP ou Seven) du réseau 192.168.0.0/24 auquel appartient le client PPTP Windows. La machine est reliée au réseau par Wifi avec l'adresse 192.168.0.52. C'est elle qui va ouvrir le VPN. Réglage pour ne pas utiliser la passerelle distante pour écouler le traffic Internet.
Le réseau a toucher abrite le routeur DD-WRT qui assure le rôle de serveur PPTP.
Réseau 192.168.5.0/24, routeur en 192.168.5.1, IP PPTP en 192.168.5.1 (donc la même que le routeur et sans les problèmes éventuels cités par le Wiki),PPTP activé, client PPTP réglé avec la fourchette 192.168.1.250-253, le tout AVANT établissement du tunnel.
On rajoute sur le poste client une table lmhost contenant les correspondances nom de machine / IP et on force Windows à utiliser la recherche lmhost ... et c'est le bonheur.
On retrouve l'ensemble de son environnement "comme" si on y était.
On ajoute vite fait un client et un serveur Bureau à distance et on est même assit à son poste de travail.
) quand tu es dans un réseau local et que tu parcour des ressources partagées, il y a automatiquement un raccourcis qui se crait dans ton voisinnage réseau, pointant vers cette ressource. Donc si tu passes après en connexion VPN, ces ressources sont techniquement accessibles du moment que la DNS locale est commune...