Perte du réseau (?) après connection à un VPN depuis Yunohost

Bonjour,

Je viens vous voir après avoir fait une erreur sur mon serveur yunohost (que j’administre par ssh, il n’est pas stocké là ou je me trouve actuellement).
J’ai installé l’application de la brique internet, VPN Client, pour connecter mon serveur à un VPN (en ayant déjà un serveur VPN sur cette machine, afin de gérer mon réseau local à distance).
Ni arrivant pas, j’ai tenté d’utiliser le script nommé ynh-vpnclient-checker.sh (celui-ci: https://github.com/labriqueinternet/vpnclient_ynh/blob/master/conf/ynh-vpnclient-checker.sh), qui m’a demandé (c’est le seul retour que j’ai eu):
Enter Auth Username:
Enter Auth Password:
Et j’ai perdu la connexion ssh.
Mon serveur ne répond plus, ni par ssh, ni par http(s).
Mais si le le ping, il est visible.

Comme si tout les connexions réseaux étaient bloquées, ou que la gestion du réseau était K.O.
Je suis un peu dans la mouise :confused:
(je me demande si une connexion réussie au VPN ne bloquerai pas le SSH… vu que l’ip n’est pas la bonne ?)

Sauriez-vous comment régler le problème (une fois que j’aurai un accès physique à la machine) ?
Et plus particulièrement, si jamais elle ne répond plus en ssh en local, comment désintaller ce script ?

Apparrement le script ne fait que lancer la commande vpn-client, or j’avais essayé avant sans succès.

Merci beaucoup pour votre aide !

PS: sans vouloir vous presser, je n’ai accès à la machine que ce week-end, et ensuite pas pendant un moment. Si une bonne âme veut bien m’aider d’ici là, merci ! :slight_smile:

Nouvelle info, je viens de recevoir un mail de logwatch.
Donc la machine fonctionne bien, et peut envoyer des mails.
Par contre le ssh ne répond pas, nginx non plus.

Je comprends plus rien ^^

edit: le log du VPN renvoyé par logwatch

   Authenticate/Decrypt packet error: packet HMAC authentication failed: 60 Time(s)



   ERROR: Linux route delete command failed: external program exited with error status: 2: 1 Time(s)



   Linux ip addr del failed: external program exited with error status: 2: 1 Time(s)



   Options error: remote: port number associated with host linux-frankfurt.cryptostorm.net:443:udp, is out of range: 10 Time(s)



   Options error: remote: port number associated with host linux-switzerland.cryptostorm.net:443:udp, is out of range: 5 Time(s)



   PLUGIN_CLOSE: /usr/lib/openvpn/openvpn-auth-ldap.so: 1 Time(s)



   SIGUSR1[soft,tls-error] received, client-instance restarting: 8 Time(s)



   TLS Error: TLS handshake failed: 8 Time(s)



   TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity): 8 Time(s)



   Use --help for more information.: 15 Time(s)



   WARNING: 'auth' is used inconsistently, local='auth SHA1', remote='auth SHA512': 1 Time(s)



   WARNING: 'cipher' is used inconsistently, local='cipher BF-CBC', remote='cipher AES-256-CBC': 1 Time(s)



   WARNING: 'keysize' is used inconsistently, local='keysize 128', remote='keysize 256': 1 Time(s)



   WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1542', remote='link-mtu 1602': 1 Time(s)

Avec aussi ça au départ, alors que ma connexion VPN donne un timeout:

TLS: Username/Password authentication succeeded for username ‘monlogin’: 4 Time(s)

J’ai aussi cette erreur (?) en ssh:

pam_ldap(sshd:auth): Authentication failure; user=admin : 1 time(s)

fatal: no matching cipher found: client
aes256-cbc,rijndael-cbc@lysator.liu.se,aes192-cbc,aes128-cbc,arcfour128,arcfour,
3des-cbc,none server
aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com,c
hacha20-poly1305@openssh.com [preauth] : 3 time(s)

Comme tu as mis un client VPN, ta machine n’est probablement plus accessible depuis son IP publique directement mais uniquement via l’IP publique du VPN. Et c’est au niveau du serveur VPN qu’il faut faire la redirection SSH/Https et autres ports pour que quand tu te connectes dessus, tu arrives via le tunnel VPN sur ta machine Yunohost. C’est le principe.
As tu la main sur ton serveur VPN pour faire ça?
Est-ce que tu as entré les codes pour le client VPN? Si oui, ça doit correspondre.

En tout cas, c’est comme ça que marche la Brique pour être accessible depuis n’importe où : elle expose une IP publique via le serveur VPN.

Comment corriger ça?Une fois sur le réseau locale, tu pourras peut être voir la machine. Disant plus sur la machine (derrière une box Internet? Avec redirection de ports? Branchée en Wiif ou filaire etc.) Pour désintaller, je dirai de faire le processus inverse de l’installation. Tu es passé par la moulinette? Un

yunohost app remove vpnclient_ynh

devrait désinstaller.

Merci genma pour ta réponse ! :slight_smile:

Je n’ai pas la main sur le serveur VPN (un de cryptostorm).
Et comme je ne suis pas seul et que je n’ai pas l’IP, je suis coincé.

Je vais me rendre sur place et désintaller. Si je me connecte sur le routeur, donc dans le réseau local, ça devrait marcher ?

Y’a moyen d’activer le VPN que pour http(s) ?

Merci :slight_smile:

Ok j’ai pu corriger le problème, il était de nouveau accessible par ssh avec l’IP habituelle… (Pourquoi ? Parce que j’étais sur le même VPN ?)
VPN client désintallé, je n’ai pas pris de risque.

Donc j’en reviens à mon problème: comment activer le VPN que pour les requêtes http(s) ?
On plus précisément, je voudrais me connecter à ce serveur avec son IP réelle, mais qu’il interroge des services web en passant par le VPN.
Le but: que les connexions depuis le nom de domaine fontionnent, idem en ssh ou autre.
Voir si possible, que le VPN du serveur ressorte par cet autre VPN (cryptostorm).
Mais qu’un service comme Wallabag ou FreshRSS puissent récupérer du contenu sans que l’on sache qu’elle est la machine source. Et donc que l’on ne connaisse pas la liste des flux ou sites que je (et ceux qui partagent l’instance) consulte.

Une idée ? Merci :slight_smile:

Ce qu’il te faut c’est donc un client VPN, mais que tu puisses paramétrer pour qu’uniquement les connexions sortantes (pas entrantes) du port 80 et 443 passent par le VPN. Ainsi ce sera l’IP du VPN qui sera exposée. Ca doit se faire en installant le client au niveau de Debian (et non de Yunohost) en suivant les tutoriaux “classiques”.

Ok, je m’en vais regarder tout ça (je vous ferrai un retour si je trouve quelque chose d’intéressant).

Merci de ton aide ! :slight_smile: