# bypasser un VPN par défaut (en le gardant sur IP voulus)



## ccciolll (17 Septembre 2013)

Bonjour,

pour accéder à qqes serveurs, je suis contraint d'utiliser une connexion en VPN.

Mais je constate par ailleurs que dès que le VPN est lancé (avec Network Connect), la vitesse de connexion est divisée par 2 en descendant et par 1,33 en montant, que je ne peux plus accéder à mon serveur FTP ni à gmail en pop et smtp&#8230; Bref, ce VPN m'emmerde.

Du coup pour l'instant, je ne le connectais que quand je devais aller sur le serveur.

Mais je dois y aller de plus en plus régulièrement, et de plus en plus longtemps.

Alors j'ai tenté d'aller fouiner dans internet.
J'ai trouvé la page suivante qui semble donner des explications pour mon cas, mais je n'y comprends pas grand chose et en outre, quand j'ai fait la commande indiquée dans terminal, là où je suis censé avoir ce qu'il appellent le « gateway » (et qui est 192.168.132.2 dans leur exemple), j'ai « livebox . home ».
Ça me parait bizarre.

Quoiqu'il en soit, j'ai l'impression que ce tuto sert à designer quelles IP doivent ignorer le VPN, or moi, c'est plutôt l'inverse que je veux faire.
Je veux que uniquement 3 IP utilisent le VPN (et je dirais même uniquement 2 logiciels (Finder et TN5250)).

Comment procéder ?


----------



## Polo35230 (17 Septembre 2013)

Bonjour,

Il faut passer par du routage.

En premier, fais un ifconfig dans une fenêtre Terminal, et repère l'e nom de l'interface VPN (ex: vpn0).
Assure toi aussi qu'elle est bien active.

Ensuite, dans une fenêtre Terminal, tu fais:
sudo route add 0.0.0.0/0 AdresseIpDeTaBox     Ce sera la route par défaut.
sudo route add -net AdresseIpSite1 -link vpn0
sudo route add -net AdresseIpSite2 -link vpn0
sudo route add -net AdresseIpSite3 -link vpn0

Vérifie que les routes sont bien prises en compte en faisant un netstat -r

De cette façon, seules les adresses IP des sites 1, 2 et 3 passeront par le VPN.
Si dans les commandes, le -link pose pb, remplace le par -interface

Si tu veux virer les routes que tu as créées, fais un
sudo route delete AdresseIpDeLaRouteQueTuVeuxVirer

Peut-être que ça marchera...


----------



## ccciolll (18 Septembre 2013)

Pour faire le ifconfig, il faut que le vpn soit activé ? (je connais très mal le terminal, quand je l'utilise c'est toujours en suivant mot pour mot les instructions trouvées sur un tuto, donc mes questions risquent parfois de paraître un peu bébêtes).

Ah, et aussi, l'adresse IP de ma box, c'est le truc genre 192.168.1.1 que je mets pour aller dedans et la régler dans le navigateur, ou c'est un truc que je dois aller chercher comme dans l'exemple de la page citée ?


----------



## Polo35230 (18 Septembre 2013)

ccciolll a dit:


> Pour faire le ifconfig, il faut que le vpn soit activé ? (je connais très mal le terminal, quand je l'utilise c'est toujours en suivant mot pour mot les instructions trouvées sur un tuto, donc mes questions risquent parfois de paraître un peu bébêtes).


Non, le ifconfig, c'est juste une commande (innofensive) pour voir les interfaces réseau de ta machine et leur état (active ou pas).
Mais pour que la solution de routage marche, il faut que les interfaces VPN et ethernet (si tu es en ethernet...) soient actives.
Donc, lance ton VPN.




ccciolll a dit:


> Ah, et aussi, l'adresse IP de ma box, c'est le truc genre 192.168.1.1 que je mets pour aller dedans et la régler dans le navigateur, ou c'est un truc que je dois aller chercher comme dans l'exemple de la page citée ?


Oui, c'est bien 192.168.1.1 (pour ton réseau local, c'est elle, la gateway).
Ne tiens pas compte des adresses données dans la page que tu as mise en lien. Le contexte et différent du tien...

Après réflexion, dans un premier temps, NE CREE PAS DE ROUTE PAR DEFAUT. Elle existe déjà.
Tu pourais faire un test pour te faire la main sur un seul des sites que tu veux faire passer par le VPN.
sudo route add -net AdresseIpSite1 -link vpn0 (vpn0 est un exemple. Tu auras le vrai nom dans le "ifconfig)
et
sudo route delete AdresseIpSite1      (pour l'enlever si tu ne veux plus qu'il passe par le VPN)

Si tu veux,fais un copier/coller du ifconfig dans le fil, je regarderai.
Dans le ifconfig, il n'y a rien de confidentiel, ce sont des adresses IP privèes.
Elles ne voyagent pas sur Internet...


----------



## ccciolll (18 Septembre 2013)

Merci !

Donc, VPN désactivé, ifconfig donne ceci : 

```
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
	inet6 ::1 prefixlen 128 
	inet6 fe80::1%lo0 prefixlen 64 scopeid 0x1 
	inet 127.0.0.1 netmask 0xff000000 
gif0: flags=8010<POINTOPOINT,MULTICAST> mtu 1280
stf0: flags=0<> mtu 1280
en0: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 1500
	ether 00:17:f2:0e:e9:0a 
	inet6 fe80::217:f2ff:fe0e:e90a%en0 prefixlen 64 scopeid 0x4 
	inet 192.168.1.10 netmask 0xffffff00 broadcast 192.168.1.255
	media: autoselect (100baseTX <full-duplex,flow-control>)
	status: active
en1: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 1500
	ether 00:17:f2:0e:e9:0b 
	media: autoselect
	status: inactive
fw0: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 2030
	lladdr 00:1d:4f:ff:fe:71:6d:8a 
	media: autoselect <full-duplex>
	status: inactive
```

Et VPN activé cela : 

```
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
	inet6 ::1 prefixlen 128 
	inet6 fe80::1%lo0 prefixlen 64 scopeid 0x1 
	inet 127.0.0.1 netmask 0xff000000 
gif0: flags=8010<POINTOPOINT,MULTICAST> mtu 1280
stf0: flags=0<> mtu 1280
en0: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 1500
	ether 00:17:f2:0e:e9:0a 
	inet6 fe80::217:f2ff:fe0e:e90a%en0 prefixlen 64 scopeid 0x4 
	inet 192.168.1.10 netmask 0xffffff00 broadcast 192.168.1.255
	media: autoselect (100baseTX <full-duplex,flow-control>)
	status: active
en1: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 1500
	ether 00:17:f2:0e:e9:0b 
	media: autoselect
	status: inactive
fw0: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 2030
	lladdr 00:1d:4f:ff:fe:71:6d:8a 
	media: autoselect <full-duplex>
	status: inactive
jnc0: flags=841<UP,RUNNING,SIMPLEX> mtu 1400
	inet 10.24.251.173 netmask 0xffffffff 
	open (pid 579)
jnc1: flags=841<UP,RUNNING,SIMPLEX> mtu 1450
	closed
```

à première vue je constate juste 5 ligne en plus à la fin, le reste semble identique.

---------- Nouveau message ajouté à 10h52 ---------- Le message précédent a été envoyé à 10h50 ----------

T'es sûr qu'il y a rien de confidentiel là-dedans ? Le 10.24.machin dans la ligne inet de jnc0, ça me paraît quand-même un truc que je devrais cacher en partie, non ?


----------



## Polo35230 (18 Septembre 2013)

Bonne idée d'avoir fait les deux ifconfig.
On voit, sur le second que l' interface ethernet (en0) est active et que le tunnel vpn (jnc0) est bien ouvert.
L'adresse10.24.251.173 est une adresse privée (comme les adresses en 192.168.x.y). Elle t'est attribuée par le serveur VPN.
Ces adresses privées voyagent dans un tunnel dont les extrémités sont des adresses publiques (la tienne et celle du serveur VPN) qu'on ne voit pas dans le ifconfig. Donc, aucun pb de confidentialité.

Tu peux donc faire l'essai en tapant:
sudo route add -net AdresseIpSite1 -link jnc0   (pour faire passer le site1 par le vpn)
et
sudo route delete AdresseIpSite1 (pour l'enlever si tu ne veux plus qu'il passe par le VPN)


----------



## ccciolll (18 Septembre 2013)

Polo35230 a dit:


> Bonne idée d'avoir fait les deux ifconfig.



Une fois n'est pas coutume.




Polo35230 a dit:


> On voit, sur le second que l' interface ethernet (en0) est active et que le tunnel vpn (jnc0) est bien ouvert.



Ça signifie donc que jnc0 c'est la fameuse adresse du VPN à utiliser pour mes réglages dans terminal ? Ce que semble confirmer l'exemple de code que tu as donné.




Polo35230 a dit:


> Tu peux donc faire l'essai en tapant:
> sudo route add -net AdresseIpSite1 -link jnc0   (pour faire passer le site1 par le vpn)



Mais ne dois-je pas d'abord dire que le vpn ne passe nulle part par défaut ?
Car sinon, il passe déjà sur l'IP que je souhaite lui attribuer même sans me demander mon avis (puisqu'il passe partout).




Polo35230 a dit:


> sudo route delete AdresseIpSite1 (pour l'enlever si tu ne veux plus qu'il passe par le VPN)



Est-ce normal qu'il n'y ait pas de jcn0 dans ce code ?


----------



## Polo35230 (19 Septembre 2013)

ccciolll a dit:


> Ça signifie donc que jnc0 c'est la fameuse adresse du VPN à utiliser pour mes réglages dans terminal ? Ce que semble confirmer l'exemple de code que tu as donné.


jnc0 n'est pas une adresse. C'est le nom de l'interface (virtuelle) de ton VPN.
En réalité, sur ton interface physique ethernet (en0), il y a une interface logique (jnc0) qui lui est rattachée.




ccciolll a dit:


> Mais ne dois-je pas d'abord dire que le vpn ne passe nulle part par défaut ?
> Car sinon, il passe déjà sur l'IP que je souhaite lui attribuer même sans me demander mon avis (puisqu'il passe partout).


Pas besoin de lui dire quoi que ce soit.
Si tu crée la route vers le site 1, et qu'ensuite, dans une fenêtre Terminal, tu fais un netstat -r   tu verras qu'il y a une route par défaut vers ta box, et une route qqui va diriger l'adresse IP de site1 vers le tunnel VPN jnc0.

Regarde ce netstat fait chez moi.
la première ligne est la route par défaut qui mène vers la box (colonne "Gateway")
Chez toi, tu verras l'adresse IP du Site1 qui sera associée à la "Gateway" jnc0


iMac:~ Polo$ netstat -r
Routing tables

Internet:
Destination        Gateway            Flags        Refs      Use   Netif Expire
default            192.168.1.1        UGSc            7        0     en0
127                localhost          UCS             0        0     lo0
localhost          localhost          UH              0        0     lo0
169.254            link#4             UCS             0        0     en0




ccciolll a dit:


> Est-ce normal qu'il n'y ait pas de jcn0 dans ce code ?


Oui, pas la peine de le spécifier. l''adresse IP suffit pour virer la route.


Je sens que tu as comme une légère réticense à configurer une route via le Terminal...
Bon, je ne connais pas tes opinions politiques, mais imaginons que tu n'ailles JAMAIS  (comme moi) sur le site des amis de Nicolas Sarkosy (anans.fr)
Son adresse IP est 82.165.68.240
Pour le faire passer par le VPN, il faudra taper dans une fenêtre Terminal:
sudo route add -net 82.165.68.240 -link jnc0
Et pour l'enlever ensuite:
sudo route delete 82.165.68.240

Tout ce que tu risques à faire ce test, c'est de ne jamais plus pouvoir te connecter sur ce site...


----------



## ccciolll (20 Septembre 2013)

Une réticence à l'utiliser, non. Tout du moins pas une fois que j'ai compris ce que je lui fais faire.

Comme ce langage est complètement inconnu pour moi, du coup j'essaye de lire entre les lignes pour remettre les codes en langage humain.

Je sais qu'avec terminal on peut des fois faire un peu de dégâts, donc j'y vais en douceur.

Bon, là je suis coincé pour le moment avec mon poste (c'est d'ailleurs pourquoi je faisais un tour sur macgé) donc je pourrais faire les tests plutôt lundi prochain.

Merci, en tout cas, pour tous ces détails.


----------



## ccciolll (23 Septembre 2013)

Alors, j'ai voulu tester ce matin sur un de mes accès au serveur distant
j'ai saisi le code suivant 
sudo route add -net afp://nn.nn.nnn.nn -link jnc0
(bien sûr, les nn c'est des chiffres, mais là je le cache)

Et là il me dit : 
WARNING: Improper use of the sudo command could lead to data loss
or the deletion of important system files. Please double-check your
typing when using sudo. Type "man sudo" for more information.

To proceed, enter your password, or type Ctrl-C to abort.

Password:


Bon, je considère que ça devrait aller quand-même, alors je tape mon mot de passe, mais là le curseur ne réagit pas.

Que faire ?


----------



## Polo35230 (23 Septembre 2013)

Il ne faut pas mettre afp://, juste:
sudo route add -net nn.nn.nnn.nn -link jnc0

Ensuite, tu fais comme d'habitude pour te connecter au serveur (via le finder?)


----------



## ccciolll (23 Septembre 2013)

Salut, je viens d'essayer, mais je me demande déjà si terminal allait bien.
D'habitude, il me met un petit charabia avec le nom de ma session avant l'insert de code, et là, la fenêtre était toute vide.

j'ai quand même tapé le sudo et tout ça, return (toujours pas de réaction de terminal, apparemment), puis fermé le terminal.

Quand j'ai fait un essai de connexion, tout semblait comme d'hab : sans activer le VPN, je n'ai pas accès au serveur, en activant le VPN, j'ai accès au serveur entré en sudo, mais aussi aux autres serveurs nécessitant VPN, et par contre toujours bloqué pour accéder à gmail ou au ftp tant que je n'ai pas quitté Network Connect pour désactiver le VPN.

Donc le pb est peut être terminal qui était déréglé ? En tout cas j'ai tenté de le redémarrer, terminal, mais toujours pareil, une fenêtre vide.

EDIT : 
je ne sais pas si j'avais précisé, quand je dois activer le VPN avec NetworkConnect, j e dois taper un mot de passe


 Uploaded with ImageShack.us
Je ne sais pas si ça a une importance pour ce que j'essaye de faire.


----------



## Polo35230 (23 Septembre 2013)

ccciolll a dit:


> Salut, je viens d'essayer, mais je me demande déjà si terminal allait bien.
> D'habitude, il me met un petit charabia avec le nom de ma session avant l'insert de code, et là, la fenêtre était toute vide.


Pour le Terminal, c'est curieux...
Reboote ta machine, et ouvre à nouveau une fenêtre Terminal.
Tu dois avoir deux lignes et un prompt avec le nom du compte de démarrage de la session.

Je pense que ta commande n'a pas été prise en compte. Dans le Terminal, fais un netstat -r     (pour voir les tables de routage)
Si tu as une ligne avec nn.nn.nn.nn  et jnc0 dedans, c'est que ta commande a été prise.

Sinon, il faut tout reprendre depuis le début:
sudo route add -net nn.nn.nnn.nn -link jnc0
netstat -r     (pour vérifier la prise en compte de la commande)
Active ton VPN (username/password)
Fais un essai...


----------



## ccciolll (24 Septembre 2013)

Bonjour,

après une nuit de sommeil, mon terminal a retrouvé son aspect normal.

J'ai donc mis le code 
sudo route add -net nnnnn.11 -link jnc0

Il m'a redemandé le mot de passe. J'ai tenté de le saisir malgré le manque de réaction du curseur. Apparemment il l'a pris en compte (donc pour info, qd on tape son mot de passe dans terminal, ne pas s'"inquiéter s'il ne réagit pas et appuyer sur return après l'avoir saisi).

Un netstat me donne ceci : 


```
Routing tables

Internet:
Destination        Gateway            Flags        Refs      Use   Netif Expire
default            livebox.home       UGSc           50        0     en0
nnnnnn.11/32    6a.6e.63.30.0.0.e. UGSc            0        0     en0
127                localhost          UCS             0        0     lo0
localhost          localhost          UH              1        2     lo0
169.254            link#4             UCS             0        0     en0
192.168.1          link#4             UCS             2        0     en0
livebox.home       40:5a:9b:7b:76:1c  UHLWI          62      119     en0   1149
new-host.home      localhost          UHS             0        0     lo0
192.168.1.255      ff:ff:ff:ff:ff:ff  UHLWbI          0        6     en0

Internet6:
Destination        Gateway            Flags         Netif Expire
localhost          localhost          UH              lo0
fe80::%lo0         localhost          Uc              lo0
localhost          link#1             UHL             lo0
fe80::%en0         link#4             UC              en0
mac-pro-de-loic-ba 0:17:f2:e:e9:a     UHL             lo0
ff01::             localhost          Um              lo0
ff02::             localhost          UmC             lo0
ff02::             link#4             UmC             en0
```

(ceci sans vpn activé)

Donc on voit mon site dans la ligne suivante
nnnnnn.11/32    6a.6e.63.30.0.0.e. UGSc            0        0     en0
Bizarrement, il lui a ajouté /32. Bof admettons.
Par contre, ce qui me parait curieux c'est qu'il met en0 en conclusion, je m'attendais plutôt à lire jnc0

Et ensuite j'active mon VPN, mot de passe etc.

Et là, j'obtiens le résultat inverse de celui attendu.
Les autres IP passent toujours par le VPN (j'accède toujours aux autres serveurs, je suis toujours bloqué en accès sur pop&smtp/gmail et en FTP).

Et par contre, celui que je viens de paramétrer (nnnn.11), lui, plus moyen d'y accéder. Je fais un pomme-K dans le finder sur son IP, et là j'ai un message d'erreur instantanément (alors que d'habitude ça prend du temps).



 Uploaded with ImageShack.us


&#8230; zut.
Est-ce le résultat que tu attendais de ce code ? Dans ce cas j'ai mal expliqué ce que je voulais faire.

Du coup je n'ai plus accès du tout à ce serveur.
On peut revenir en arrière sur ce sudo ?
Ou taper un autre code qui re permettrait l'accès à ce serveur ?


----------



## Polo35230 (24 Septembre 2013)

ccciolll a dit:


> &#8230; zut.
> Est-ce le résultat que tu attendais de ce code ? Dans ce cas j'ai mal expliqué ce que je voulais faire.
> 
> Du coup je n'ai plus accès du tout à ce serveur.
> ...


Pour le retour arrière, fais:
sudo route delete nnn.nnn.nnn.nnn

Maintenant, pour les explications:

-Dans la table, le /32, c'est pour le masque(/32 veut dire que c'est un masque de 32 bits, soit 255.255.255.255). Mais bon, ce n'est pas le pb...

-Ce n'est bien sûr pas le résultat attendu...
Ce qui doit se passer, c'est qu'au lancement du VPN, il doit faire des modifs dans la table de routage.
Si tout passe par le VPN, sauf nn.nn.nn.nn, c'est qu'il doit modifier le route par défaut pour l'envoyer sur jnc0.
C'est facile à vérifier.
Tu lances le VPN, et tu fais un netstat -r pour voir.

Si c'est ça, ça evut dire qu'il faudra faire une sacré gymnastique après chaque lancement du VPN...


----------



## ccciolll (24 Septembre 2013)

Voilà ce que j'obtiens comme netstat une fois le VPN lancé (sans avoir corrigé le sudo, comme ça on voit ce que ça donne)

```
Internet:
Destination        Gateway            Flags        Refs      Use   Netif Expire
default            10.24.251.163      UGSc           19       24    jnc0
default            192.168.1.1        UGScI           2        0     en0
>> nnnn.11/32    6a.6e.63.30.0.0.e. UGSc            0        0     en0
10.24.251.163      localhost          UGHS            1        0     lo0
10.24.251.163/32   jnc0               UCS             0        0    jnc0
127                localhost          UCS             0        0     lo0
localhost          localhost          UH              2        2     lo0
169.254            link#4             UCS             0        0     en0
192.168.1          link#4             UCS             1        0     en0
192.168.1.1        40:5a:9b:7b:76:1c  UHLS            4        0     en0
192.168.1.10       localhost          UHS             0        0     lo0
192.168.1.255      ff:ff:ff:ff:ff:ff  UHLWbI          0        6     en0
>> vpn.xxxxxxx.com       192.168.1.1        UGHS            4       36     en0

Internet6:
Destination        Gateway            Flags         Netif Expire
localhost          localhost          UH              lo0
fe80::%lo0         localhost          Uc              lo0
localhost          link#1             UHL             lo0
fe80::%en0         link#4             UC              en0
mac-pro-de-loic-ba 0:17:f2:e:e9:a     UHL             lo0
ff01::             localhost          Um              lo0
ff02::             localhost          UmC             lo0
ff02::             link#4             UmC             en0
```

j'ai mis un >> devant ceux qui semble concerner notre problème. Mais pour moi ça reste un charabia inextricable.

Afin de bien se comprendre, je vais essayer de résumer le plus simplement ce que je souhaite obtenir.

Je souhaite que, une fois le VPN activé (avec mon mot de passe et tout ça) l'ensemble des url ou ip ou logiciels qui passent par internet NE PASSENT PAS par le VPN mais se comportent comme si il était éteint, et que SEULES les 3 IP qui ont besoin de VPN (et que je lui aurais désignées) passent par VPN.

Donc en gros que le VPN n'agisse que sur ces 3 IP et laisse les autres passer normalement par l'internet habituel.

J'ai l'impression que le sudo que tu m'as gracieusement composé fait exactement le contraire (qu'il interdit à l'IP désignée de passer par le VPN) ? C'est ça ?

EDIT : je confirme que le sudo que tu m'as mis pour réparer a fonctionné. Ouf.


----------



## Polo35230 (24 Septembre 2013)

ccciolll a dit:


> J'ai l'impression que le sudo que tu m'as gracieusement composé fait exactement le contraire (qu'il interdit à l'IP désignée de passer par le VPN) ? C'est ça ?


Non, la commande pour rajouter une route pour nnnn est bonne. Le pb, c'est qu'il aurait fallu la taper après l'activation du VPN. 
Chavais pas...

Pour le comprendre, il faut regarder les netstat -r  avant et après le lancement du VPN.

-Avant le lancement du VPN:
Destination        Gateway            Flags        Refs      Use   Netif Expire
default            livebox.home       UGSc           50        0     en0
nnnnnn.11/32    6a.6e.63.30.0.0.e. UGSc            0        0     en0

On voit  que la route par défaut sort par en0 et que la route nnnnnn.11/32 sort également par en0.
En réalité, la route nnnnnn/32 aurait dû sortir par jnc0, mais comme le VPN n'est pas lancé, elle sort par en0. Ça je ne l'avais pas prévu...


-Après le lancement du VPN:
Destination        Gateway            Flags        Refs      Use   Netif Expire
default            10.24.251.163      UGSc           19       24    jnc0
default            192.168.1.1        UGScI           2        0     en0
>> nnnn.11/32    6a.6e.63.30.0.0.e. UGSc            0        0     en0

On voit que le lancement du VPN a créé une nouvelle route par défaut vers jnc0 (10.24.251.163 qui est le serveur VPN distant), et que la route nnnnnn.11 que tu as créée est tjs là, mais pas vers le VPN.
Remarque aussi l'ordre des deux routes par défaut. La première va vers le VPN, et la deuxième vers la box. Dans ce cas, c'est la première qui est utilisée
C'est pour ça qu'on a exactement l'inverse du résultat obtenu.

-Donc, pour obtenir le résultat escompté, il faudrait:
Lancer le VPN
Faire un netstat -r pour voir l'adresse IP du serveur VPN (en principe 10.24.251.163)
Faire un delete de la route par défaut créée par le VPN  (sudo route delete default 10.24.251.163)
Envoyer nnnn sur jnc0   (sudo route add -net nn.nn.nnn.nn -link jnc0)
Le résultat au niveau de la table de routage drvrait alors donner ceci:
Destination        Gateway            Flags        Refs      Use   Netif Expire
default            192.168.1.1        UGScI           2        0     en0
>> nnnn.11/32    10.24.251.163 	 UGSc            0        0     jnc0
Là on voit bien que tout passera par la box, sauf nnnn qui passera par le VPN.
En réalité, tu sors de l'utilisation classique d'u VPN par un particulier...

Mais bon, ça veux dire qu'il faudra faire la manip après chaque activation du VPN (un petit script)
Si tu veux te lancer pour les tests, il faudra être prudent. Notamment en ce qui concerne le delete de la route par défaut créée par le VPN (tu as deux routes par défaut, et il ne faut pas deleter celle qui va vers la box, sinon, plus d'internet...)


Chais pas si j'ai été clair...


----------



## ccciolll (25 Septembre 2013)

Polo35230 a dit:


> Pour le comprendre, il faut regarder les netstat -r  avant et après le lancement du VPN.
> 
> -Avant le lancement du VPN:
> Destination        Gateway            Flags        Refs      Use   Netif Expire
> ...



Salut, je m'apprête à refaire une tentative, du coup avant je lis attentivement tes comm' pour essayer de comprendre un peu ce que me raconte le terminal.
La partie ci-dessus me parait assez claire (belle explication), mais du coup, j'ai juste une question pour mon instruction personnelle.

Dans le premier cas, la route vers ma box est livebox.home, et le deuxième coup, elle devient 192.168.1.1.
Y'a-t'il une explication à cette nuance (et cela a-t'il la moindre importance) ?

Et autre détail qui m'intrigue : concrètement, physiquement, le réseau passe d'abord par ma box et ensuite il prend le tunnel jnc0, alors pourquoi les deux lignes ne s'affichent-elles pas dans l'autre ordre ?

---------- Nouveau message ajouté à 11h49 ---------- Le message précédent a été envoyé à 11h14 ----------

Alors alors.

Voilà ce que ça donne.

Je démarre le VPN, je fais un netstat et j'obtiens ceci : 

```
Internet:
Destination        Gateway            Flags        Refs      Use   Netif Expire
default            10.24.251.163      UGSc           19       24    jnc0
default            192.168.1.1        UGScI           0        0     en0
10.24.251.163      localhost          UGHS            1        0     lo0
10.24.251.163/32   jnc0               UCS             0        0    jnc0
127                localhost          UCS             0        0     lo0
localhost          localhost          UH              1        0     lo0
169.254            link#4             UCS             0        0     en0
192.168.1          link#4             UCS             1        0     en0
192.168.1.1        40:5a:9b:7b:76:1c  UHLS            2        6     en0
192.168.1.10       localhost          UHS             0        0     lo0
192.168.1.255      ff:ff:ff:ff:ff:ff  UHLWbI          0        6     en0
vpn.xxxxxx.com       192.168.1.1        UGHS            4       43     en0

Internet6:
Destination        Gateway            Flags         Netif Expire
localhost          localhost          UH              lo0
fe80::%lo0         localhost          Uc              lo0
localhost          link#1             UHL             lo0
fe80::%en0         link#4             UC              en0
mac-pro-de-loic-ba 0:17:f2:e:e9:a     UHL             lo0
ff01::             localhost          Um              lo0
ff02::             localhost          UmC             lo0
ff02::             link#4             UmC             en0
```

Puis je fais le _sudo route delete default 10.24.251.163_ (bizarrement il ne me demande plus mon mot de passe. Il le demandait au début mais comme entre temps j'ai fait la manip' plusieurs fois pour comprendre ce qui se passait, on dirait qu'il l'a accepté (ou alors j'ai créé un bug qqpart))

et j'obtiens alors ceci en netstat

```
Internet:
Destination        Gateway            Flags        Refs      Use   Netif Expire
default            192.168.1.1        UGScI           0        0     en0
10.24.251.163      localhost          UGHS            0        0     lo0
10.24.251.163/32   jnc0               UCS             0        0    jnc0
127                localhost          UCS             0        0     lo0
localhost          localhost          UH              1        0     lo0
169.254            link#4             UCS             0        0     en0
192.168.1          link#4             UCS             1        0     en0
192.168.1.1        40:5a:9b:7b:76:1c  UHLS            2        6     en0
192.168.1.10       localhost          UHS             0        0     lo0
192.168.1.255      ff:ff:ff:ff:ff:ff  UHLWbI          0        6     en0
vpn.xxxxxx.com       192.168.1.1        UGHS            8      110     en0

Internet6:
Destination        Gateway            Flags         Netif Expire
localhost          localhost          UH              lo0
fe80::%lo0         localhost          Uc              lo0
localhost          link#1             UHL             lo0
fe80::%en0         link#4             UC              en0
mac-pro-de-loic-ba 0:17:f2:e:e9:a     UHL             lo0
ff01::             localhost          Um              lo0
ff02::             localhost          UmC             lo0
ff02::             link#4             UmC             en0
```

À partir de la, ensuite, si je fais les sudo add, ça marche pour se connecter aux divers serveurs nécessitant VPN que je viens d'ajouter, par contre, côté accès internet Firefox et mails pop/smtp, c'est le vide total. Il dit qu'il n'a plus accès au serveur.
Donc la première ligne d'accès par défaut en en0 semble bloquée qqpart (peut-être par network Connect qui essaye de prendre la connexion en priorité puis comme les seules routes qu'il autorise sont celles que j'ai ajoutées, le reste il ne laisse pas passer ?

---------- Nouveau message ajouté à 11h50 ---------- Le message précédent a été envoyé à 11h49 ----------

Ou alors faudrait-il que je paramètre par défaut une route vers livebox.home, justement ? ( ça expliquerait la nuance entre les deux. Par contre je ne sais pas faire ça)


----------



## Polo35230 (25 Septembre 2013)

ccciolll a dit:


> Dans le premier cas, la route vers ma box est livebox.home, et le deuxième coup, elle devient 192.168.1.1.
> Y'a-t'il une explication à cette nuance (et cela a-t'il la moindre importance) ?


Livebox.home et 192.168.1.1, c'est la même chose. C'est une cuisine DNS entre la Box et le Mac.
Donc, la route par défaut qui pointe sur 192.168.1.1 donnera le même résultat qu'une route qui pointe vers livebox.home.



ccciolll a dit:


> Et autre détail qui m'intrigue : concrètement, physiquement, le réseau passe d'abord par ma box et ensuite il prend le tunnel jnc0, alors pourquoi les deux lignes ne s'affichent-elles pas dans l'autre ordre ?
> Destination        Gateway            Flags        Refs      Use   Netif Expire
> default            10.24.251.163      UGSc           19       24    jnc0
> default            192.168.1.1        UGScI           0        0     en0
> ...


En réalité, ça n'a aucune importance.
Dans le netstat épuré ci-dessus, on voit qu'après l'activation du VPN, ton Mac a deux adresses IP (+ deux gateway) et deux routes par défaut.
C'est normal. Il a une adresse pour passer par le VPN(10.24.251.63), et une autre (192.168.1.10) pour sortir sur internet sans passer par le VPN.

A partir du moment où tu enlève la route par défaut vers le VPN, en principe, ça devrait marcher.
Ce n'est pas le cas, et je ne vois pas pourquoi...



ccciolll a dit:


> À partir de la, ensuite, si je fais les sudo add, ça marche pour se connecter aux divers serveurs nécessitant VPN que je viens d'ajouter, par contre, côté accès internet Firefox et mails pop/smtp, c'est le vide total. Il dit qu'il n'a plus accès au serveur.
> Donc la première ligne d'accès par défaut en en0 semble bloquée qqpart (peut-être par network Connect qui essaye de prendre la connexion en priorité puis comme les seules routes qu'il autorise sont celles que j'ai ajoutées, le reste il ne laisse pas passer ?


C'est une hypothèse.
Autre hypothèse, le Mac garde comme adresse IP l'adresse en 10.24. au lieu de prendre celle en 192.168. pour passer par la route par défaut.

Ca veut dire qu'après avoir lancé le VPN et deleté la route par défaut, tu ne peux plus aller sur internet? (sauf bien sûr pour les sites que tu envoies par le VPN)
Donc, pour poster sur le forum, tu dois arrêter ton VPN?


----------



## drs (26 Septembre 2013)

vu la capture d'écran, ca ressemble à du VPN SSL, et non pas du VPN IPSec.

En VPN SSL, c'est le serveur VPN qui décide si tout les flux passent par le VPN ou pas, et tu ne peux rien y changer!

On a le cas aussi avec les client VPN IPSec Cisco.

A ma boite, on m'avait aussi installé le VPN SSL, avec les mêmes soucis que toi (j'avais néanmoins accès internet en passant par le proxy de la boite). Du coup, je l'ai viré et remis le client IPSEC.

A voir si tu ne peux pas te connecter en IPSec, avec possibilité de ne pas tout faire passer dans le tunnel (à voir avec ton admin réseau).


----------



## Polo35230 (26 Septembre 2013)

drs a dit:


> En VPN SSL, c'est le serveur VPN qui décide si tout les flux passent par le VPN ou pas, et tu ne peux rien y changer!


Possible. (Mais ce serait pas plutôt le client VPN du Mac?)
Les routes sont bonnes, mais il faut que le Mac jongle entre ses deux adresses IP (en 10 et en 192) selon que la comm passe par le VPN, ou pas.
Seule une trace pourrait donner l'explication...


----------



## ccciolll (26 Septembre 2013)

Et alors comment faire une trace ?

Et comment déterminer si le VPN est SSL ou IPsec ?

---------- Nouveau message ajouté à 10h56 ---------- Le message précédent a été envoyé à 10h53 ----------

EDIT : et, pour répondre à la remarque : en effet, pour revenir poster sur macgé j'avais quitté le VPN dont j'avais deleté la route.


----------



## Polo35230 (26 Septembre 2013)

ccciolll a dit:


> Et alors comment faire une trace ?


Il faut activer ton VPN
Puis lancer trois fenêtres Terminal.
Dans la première, tu tapes la commande:
sudo tcpdump -c 5 -i en0 host 8.8.8.8   (c'est pour capturer 5 lignes de la trace avec la mchine 8.8.8.8 (c'est le DNS de Google) sur l'interface ethernet
Dans la deuxième:
sudo tcpdump -c 5 -i jnc0 host 8.8.8.8   (c'est pour capturer 5 lignes de la trace avec la mchine 8.8.8.8 (c'est le DNS de Google) sur l'interface VPN
Dans la troisième
ping -c 5 8.8.8.8

En principe, ça défilera, dans une des deux premières fenêtres Terminal.
On verra alors par où on sort, et quelle adresse IP le Mac utilise (10 ou 192).

Ça ne règlera pas le pb, mais on devrait savoir pourquoi ça ne marche pas...
Pour le fun, quoi...



ccciolll a dit:


> Et comment déterminer si le VPN est SSL ou IPsec ?


En principe, quand tu as paramètré ton VPN, tu as dû choisir un protocole, du genre  OpenVPN, SSH, PPTP, etc...
C'est ce qui nous dira ce que tu utilises.


----------



## drs (26 Septembre 2013)

Non vu la capture d'écran que tu as donné, il s'agit du vpn ssl network connect.


----------



## ccciolll (27 Septembre 2013)

Polo35230 a dit:


> En principe, ça défilera, dans une des deux premières fenêtres Terminal.
> On verra alors par où on sort, et quelle adresse IP le Mac utilise (10 ou 192).
> 
> Ça ne règlera pas le pb, mais on devrait savoir pourquoi ça ne marche pas...



J'ai fait le test comme tu l'as indiqué, sans rien faire d'autre (pas de sudo delete route etc) et c'est dans la fenêtre jnc0 que ça a bougé.
(j'ai copié les résultats si nécessaire)

Faut-il refaire un test après avoir fait un sudo delete route ?



Polo35230 a dit:


> En principe, quand tu as paramètré ton VPN, tu as dû choisir un protocole, du genre  OpenVPN, SSH, PPTP, etc...
> C'est ce qui nous dira ce que tu utilises.



Je n'ai rien paramétré
J'ai dû réinstaller javascript, et ensuite aller sur le site qu'on m'a indiqué. (https://vpn.xxxxxx.com/dana-na/auth/url_default/welcome.cgi) où j'avais la même chose que dans ma capture du network connect (welcome to xxxxxx secure VPN), là j'ai du saisir mon identifiant et mot de passe. Ensuite il met « chargement de l'aplet », puis affiche une page comme ceci : 


 Uploaded with ImageShack.us

Là je dois cliquer sur Démarrer et ça lance ceci :


 Uploaded with ImageShack.us

Puis ça fini par ouvrir Network Connect : 


 Uploaded with ImageShack.us

Donc je pense que c'est à ce moment-là que tout se paramètre tout seul

Mais il est probablement possible de retrouver qqpart les réglages qu'il a fait ?


Ah, et aussi, autre info peut-être intéressante, quand je quitte le VPN, il n'est pas rare que je perde complètement ma connexion et sois obligé de me connecter à la livebox et lui demander de redémarrer, bien qu'elle affiche toujours que la connexion internet est activée.


----------



## Polo35230 (27 Septembre 2013)

ccciolll a dit:


> J'ai fait le test comme tu l'as indiqué, sans rien faire d'autre (pas de sudo delete route etc) et c'est dans la fenêtre jnc0 que ça a bougé.
> (j'ai copié les résultats si nécessaire)
> 
> Faut-il refaire un test après avoir fait un sudo delete route ?



Tu raisonnes juste.
Normal qu'on sorte par jnc0, J'avais oublié le delete de la route...
Donc, on reprend...



Polo35230 a dit:


> Il faut activer ton VPN
> puis deleter la route par défaut qu'il a créée vers le VPN
> sudo route delete default 10.24.251.163
> Puis lancer trois fenêtres Terminal.
> ...


On devrait normalement sortir par en0.
Dans la trace, on verra si le Mac a pris une adresse en 10 ou en 192. On saura alors pourquoi ça ne marche pas.




ccciolll a dit:


> JDonc je pense que c'est à ce moment-là que tout se paramètre tout seul
> Mais il est probablement possible de retrouver qqpart les réglages qu'il a fait ?


Je crois que tu n'as rien paramétré, car le VPN que tu utilises n'est pas un VPN du marché.
C'est pas le VPN privé d'une université américaine?

drs  a l'air sûr de lui, quant aux serveurs VPN SSL. Il a peut-être (surement) raison...
Mais sa piste de remplacer le clent VPN SSL par un client IPSec sera difficile a mettre en oeuvre si on ne peut pas paramètrer le clent.
A moins que,... drs, si tu as une piste?


----------



## drs (28 Septembre 2013)

je suis absolument sûr de moi 

Il s'agit en effet d'un VPN SSL, irremplacable par un VPN IPsec.

On a le même problème avec le VPN IPSec de Cisco. Le fait de tout envoyer ou pas dans le tunnel ne dépend pas du client (donc toi), mais du paramétrage du serveur.
Pour preuve, va sur l'iphone, et compare le paramétrage d'un VPN L2TP et celui de l'IPSec: dans le premier tu as une case nommée "tout envoyer" et pas dans l'autre.
Cette case permet de savoir si on envoie tout le flux dans le tunnel ou pas, ou bien si on envoie dans le tunnel uniquement le flux qui doit y passer (et donc pas les flux locaux ni internet).


Dans ma boite, il y a les deux accès, VPN SSL ou VPN IPSec, donc j'ai pu passer à l'IPSec sans problème, puisque c'est prévu. Et en me connectant avec le VPN SSL, j'ai le même souci que toi, à savoir que mes flux internet veulent passer par le tunnel.

En fait, ce qu'il faut comprendre, c'est que le serveur VPN SSL et le serveur IPSec ne sont pas les mêmes, ce sont deux protocoles différents. On peut faire l'un ou l'autre, ou les deux si c'est prévu.

Malheureusement pour toi, il n'y ici aucune solution. Tu peux écrire les routes que tu veux, tout continuera à passer dans le tunnel.
Le problème vient, encore une fois, du fait que le routage est géré par le distant et non pas en local.

J'espère que mon explication est assez claire, parce que c'est pas très simple à expliquer


----------



## ccciolll (1 Octobre 2013)

Ehhh m*****rde&#8230;

J'ai passé 10 minutes à écrire une réponse détaillée, mais comme je venais de faire le test, je n'avais plus de connexion, et quand j'ai validé ma réponse, elle s'eszt perdue dans les limbes.

Pffff, plus qu'à tout refaire. Bon, je vais prendre un café d''abord.

---------- Nouveau message ajouté à 10h39 ---------- Le message précédent a été envoyé à 10h25 ----------

Bon, je disais donc.

j'ai fait les tests.

il a juste fallu corriger un peu car entre temps l'url du tunnel avait changé (mais heureusement, je commence à apprendre un tout petit peu et j'avais fait un netstat avant le delete et constaté que l'url en .163 n'existait plus.)

Donc, VPN lancé et route deleté, j'obtiens ceci : 

EN0
_tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on en0, link-type EN10MB (Ethernet), capture size 65535 bytes_

JNC0
_tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on jnc0, link-type NULL (BSD loopback), capture size 65535 bytes_

PING
_--- 8.8.8.8 ping statistics ---
5 packets transmitted, 0 packets received, 100.0% packet loss_

Donc apparemment rien ne passe.
JNC0 a aussi ajouté plus tard (peut-être après que je l'ai déconnecté, je ne sais pas) : 
_tcpdump: pcap_loop: read: Device not configured
0 packets captured
0 packets received by filter
0 packets dropped by kernel
_

Et en réponse à *drs* je comprends tout à fait le fond de ce que tu dis : c'est le serveur VPN qui décidé tout à ma place et à priori je ne peux rien faire pour y échapper.

Sauf peut-être faire 2 sessions sur mon poste (l'une en VPN, l'autre en normal) et sauter de l'une à l'autre, non ?
Ou alors avoir 2 ordis, un pour le travail, et l'autre pour la connexion à ces 3 serveurs (quitte à mettre un PC de daube, voire un portable) et les relier ensuite via la box. Mais ça me pose un pb de place sur mon bureau (et puis aussi ça me pose le problème d'obtenir un 2e ordi de mon employeur, même un PC de daube c'est pas gagné).


----------



## Polo35230 (1 Octobre 2013)

C'est encore pire que ce que je pensais...
J'étais quasiment sûr de voir une trace , mais avec la mauvaise adresse source. Mais non, rien.
Ça veut dire que le client VNP prend complètement la main sur le réseau. 
Il n'a plus sa route par défaut, mais il rend celle qui va sur la Box inutilisable.
Chais pas comment c'est possible... Drs?
Pour moi, le routage aurait dû prendre le dessus sur le client VPN...

Perso, sur des routeurs (cisco également), j'ai fait cohabiter des Tunnels (GRE) et du routage classique sur une même interface physique.
J'ai bien peur que ton pb n'ait pas de solution.
A moins que sur le forum, quelqu'un ait une idée de génie?



ccciolll a dit:


> Sauf peut-être faire 2 sessions sur mon poste (l'une en VPN, l'autre en normal) et sauter de l'une à l'autre, non ?


J'ai l'impression que les tables de routages sont communes (d'une session à l'autre)
Mais c'est une bonne idée. A tester...
Autrement, à l'interieur d'une même session utilisateur, il faut jongler entre l'actvation et la désactivation du VPN. Pas pratique.
En tout cas, je vois que tu t'accroches!


----------



## ccciolll (1 Octobre 2013)

Oui, je m'accroche vu les désagréments que me pose ce VPN lorsqu'il est activé.

Je testerai avec plusieurs sessions quand j'aurais un petit bout de temps.


----------



## ccciolll (2 Octobre 2013)

Bon, j'ai tenté en créant un deuxième compte utilisateur et en utilisant la permutation rapide.

Donc ça ne marche pas. J'ai activé le VPN sur la nouvelle session, puis suis revenu sur la principale, qui apparemment tirait la langue, et un netstat a confirmé que je passais bien en VPN forcé, bien que Network Connect soit désactivé sur ma session principale.

Pas de solution de ce côté là, donc (ou alors pas comme je m'y suis pris).

par contre, ça ma donné l'occasion de constater que Network Connect que je supposaisi être un logiciel d'origine du mac est en fait installé par le serveur VPN au moment de la première connexion.

Il y a peut-être à creuser de ce côté ? Peut-être que le Network Connect qu'ils m'installent est bridé et qu'il faudrait que j'en trouve une version originale complète avec laquelle je pourrais choisir entre prendre le tunnel ou pas.

Sinon, autre truc, j'ai constaté dans les réglages de la livebox (une livebox pro V2 sagem) qu'on peut paramétrer, dans les réglages avancés, des trucs VPN (parmi toute une ribambelle de choix tous plus obscurs les uns que les autres pour moi : DHCP, NAT/PAT, DNS, NTP, UPnP, Pare-feu, DMZ, DynDNS, Routage).

Peut-être pourrait-on trouver une solution de ce côté-là (même si je ne pense pas qu'en montant sur une plus grande échelle on soit en mesure de régler des plus petits détails).

Ça me fait penser qu'il faudra qu'un jour je me penche aussi sur la notion de pare-feu (est-il activé par défaut, comment le paramétrer, tout ça, mais pour ça je pense que je trouverai les réponses sur internet, ça n'a rien de spécifique).


----------



## Polo35230 (2 Octobre 2013)

ccciolll a dit:


> Peut-être pourrait-on trouver une solution de ce côté-là (même si je ne pense pas qu'en montant sur une plus grande échelle on soit en mesure de régler des plus petits détails).
> ique).


Je ne pense pas qu'on puisse trouver une solution via la box.
La Livebox pro intègre bien un VPN, mais c'est un serveur VPN. C'est à dire que la box offre la possibilité à des utilisateurs nomades disposant dun client VPN (et par toi autorisés...) à se connecter sur ton réseau local
C'est pile l'inverse de ce que tu veux faire.


----------



## ccciolll (2 Octobre 2013)

OK, rien à voir alors.

Bon, sinon, j'ai fait le test (un netstat -r). avec un 2e ordi branché sur la box. 

Je conserve bien un accès libre via livebox.home sur le 2e ordi quand le 1er est branché au VPN.

Donc la solution 2 ordis fonctionnerait (reste les pb matériels que j'ai évoqués).

Du coup, ça m'a donné une autre idée : mon MacPro possède 2 prises ethernet.
Ne pourrais je pas alors mettre 2 câbles de ces 2 prises ethernet vers 2 prises de la box, et sauter d'une connexion à l'autre ?

Bon, je ne sais pas dans quelle mesure c'est réalisable, et pour le tester concrètement, il faudrait que je tire un 2e câble, donc je vais pas faire ça dans l'heure. Mais bon, pourquoi bas.

Qu'en dites-vous ? Ça vous parait faisable ?


----------



## Polo35230 (2 Octobre 2013)

ccciolll a dit:


> Donc la solution 2 ordis fonctionnerait (reste les pb matériels que j'ai évoqués).


Oui, mais ça fait riche, comme solution...
Activer et désactiver le VPN est quand même plus simple, non?
Avant d'en arriver là, sauf si ton VPN est un VPN privé, la solution d'essayer un autre client VPN public (IpSec, comme l'a dit Drs) s'impose.




ccciolll a dit:


> Du coup, ça m'a donné une autre idée : mon MacPro possède 2 prises ethernet.
> Ne pourrais je pas alors mettre 2 câbles de ces 2 prises ethernet vers 2 prises de la box, et sauter d'une connexion à l'autre ?
> Bon, je ne sais pas dans quelle mesure c'est réalisable, et pour le tester concrètement, il faudrait que je tire un 2e câble, donc je vais pas faire ça dans l'heure. Mais bon, pourquoi bas.
> Qu'en dites-vous ? Ça vous parait faisable ?


Alors, tout de suite, ça m'a parru être une idée géniale, mais vu les tests précédents, on va retomber sur le pb de la route par défaut...
Le pb est lié au routage, et pas à la configuration de l'interface (enfin, je crois)

Il y a peut-être une solution via le routage par interface, avec les deux connexions ethernet établies simultanément.
A creuser...


----------



## ccciolll (2 Octobre 2013)

Polo35230 a dit:


> Oui, mais ça fait riche, comme solution...
> Activer et désactiver le VPN est quand même plus simple, non?



Riche ? J'aurai plutôt qualifié cette solution d'encombrante. Mais les deux termes se rejoignent souvent, c'est vrai 

Ben activer et désactiver génère plusieurs problèmes.
Déjà, comme je disais, parfois ça me plante la connexion, voire le finder, voire même tous le mac (je dois peut-être respecter une procédure de déconnexion plutôt que de faire direct un pomme-Q sur Network Connect.

Et puis je m'en sers pour me connecter, entre autres, à un serveur de fichier installé dans une zone industrielle où ils n'ont apparemment pas l'ADSL (en tout cas pas le haut-débit) et rien que pour afficher les dossiers à la racine du serveur, c'est plusieurs minutes de rame. J'ai donc créé des symlink (alias allégés) des fichiers les plus couramment utilisés, mais même comme ça c'est leeeeent leeeeeeeeeeeeent. Du coup, si je pouvais laisser ce VPN activé en permanence dans un coin, ça m'arrangerait bien.



Polo35230 a dit:


> Avant d'en arriver là, sauf si ton VPN est un VPN privé, la solution d'essayer un autre client VPN public (IpSec, comme l'a dit Drs) s'impose.



JE ne saurais dire si c'est un VPN privé. S'agissant d'un VPN d'entreprise, je suppose que oui.
Quand bien même, je ne suis pas sûr de savoir comment recomposer une connexion en IPsec. Il faut que je télécharge un truc en particulier ?



Polo35230 a dit:


> Alors, tout de suite, ça m'a paru être une idée géniale, mais vu les tests précédents, on va retomber sur le pb de la route par défaut...
> Le pb est lié au routage, et pas à la configuration de l'interface (enfin, je crois)
> 
> Il y a peut-être une solution via le routage par interface, avec les deux connexions ethernet établies simultanément.
> A creuser...



Bon, il faudra donc que je le tire, ce second câble&#8230;
Du coup ça nous reporte plutôt à la semaine prochaine car je n'ai plus d'ethernet 5m dispo sous la main pour le moment.


----------



## Polo35230 (2 Octobre 2013)

Alors oui, si c'est un VPN d'entreprise, c'est un VPN privé.
C'est l'administrateur (côté serveur VPN) qui pourra te le dire, mais ça m'étonnerait qu'il fasse du sur-mesure...

Pour les tests avec le second câble, donc les deux interfaces ethernet, je ne sais pas si ça marchera, mais j'y crois un peu (tout petit peu...)
J'ai simulé les deux interfaces chez moi (eth et wifi). Les deux interfaces étant en DHCP auto.
Résultat: deux adresses IP, et deux routes par défaut vers la box. Normal, mais l'ordre des routes a son importance. La deuxième route créée passe devant l'autre.
Donc pour ton test, quand tu auras le câble, il faudra créer ta deuxième interface en dhcp auto et vérifier qu'elle a bien récupéré une adresse IP, un masque, un routeur, des DNS.
Faire ensuite un ifconfig pour repérer les noms de tes interfaces ethernet (par exemple en0 et en1) et vérifier qu'elle sont bien actives.

Ensuite, il faudra
Désactiver la nouvelle interface.
Lancer ton VPN. l'interface jnc0 sera raccrochée à l'interface active, soit en0
Un netstat -r montrera qu'il a créé une route par défaut qui sera positionnée en 1ère position
Faire les "route add" des sites vers jnc0 (donc elles passeront par en0).
Activer la nouvelle interface ethernet (en1?), et fair un netstat -r
En principe, il devrait y avoir 3 routes par défaut.
La première sur la nouvelle interface eth (en1)
La deuxième sur le VPN (jnc0)
La troisième sur en0.

Après, faudrait croiser les doigts, en espérant que la route par défaut opérationnelle soit la première, les sites concernés par les "route add" passant par le VPN...
Bon, on peut réver...
Et si ça ne marche pas, tu pourras tjs te dire  que "l'effort est d'autant plus beau qu'il est inutile..."


----------



## ccciolll (3 Octobre 2013)

Oui, de toutes façons j'essaierai tout ce que je peux, du moins en interne.
Parce que du sur-mesure, vu que le VPN est celui d'un groupe Européen dont le siège est basé dans un pays non francophone, ce n'est même pas la peine d'y penser.

Braaaziiiiiiil lala lala lala lalaaaaaaa


----------



## Polo35230 (3 Octobre 2013)

Si c'est une connexion à partir de chez toi, tu n'échapperas pas en effet à la bidouille...

Par contre, si tu n'es pas un particulier, et que tu es dans une structure où plusieurs personnes sont amenées à se connecter au VPN de cette société, il y a la possibilité d'installer un équipement (routeur, firewall) qui intègre la fonctionnalité de "Gateway VPN". 
Dans ce cas, il n'y a plus de client à installer sur les machines.
C'est une connexion VPN dite de "site à site" ou "gateway to gateway"
C'est la gateway qui se chargera d'établir, et de maintenir le tunnel VPN.
Il faudra biensûr contacter (en portugais...) l'admin du site distant pour le choix de cette passerelle.


----------



## ccciolll (14 Octobre 2013)

Bonjour,

donc ça y est, j'ai pu tirer mon 2eme câble.

Le ifconfig montre bien 2 accès en0 et en1, actifs tous les deux. Les adresses IP m'indiquent bien que le en0 correspond à la prise 1 et le en1 à la prise 2 (mais c'est peut-être juste déterminé par l'ordre dans lequel j'ai branché les prises, et peut-être la prise 2 deviendrait une en0 si je la branchais en premier).

J'ai tenté la man&#339;uvre que tu avais décrite, mais pour l'instant sans succès.
Je précise que quand je « rend le service inactif » de l'Ethernet 2 (en1), je clique bien ensuite sur « Appliquer » en bas à droite de la fenêtre Réseau (je le précise car la première fois je ne l'avais pas fait, et il faut aussi cliquer sur « appliquer » quand on rend le service actif, évidemment).
Comme tu ne le précises pas, j'ai essayé avec et sans faire de delete route sur le jnc0 avant de faire les add route
Sans le delete route, après avoir relancé en1,  j'ai jnc0 qui se met en premier de liste, à mon avis c'est pas bon, puis en0 en 2eme, et en1 seulement en 3e.
Et si je fais le delete route, puis relance l'en1, au netstat j'ai toujours en0 qui reste en premier et en1 en deuxième, et plus d'accès internet.

Peut-être que en0 passe devant en1 par défaut et que je devrais tester dans l'autre sens.
Je vois aussi que, via DHCP, il lui faut un certain temps avant de retrouver son IP quand je réactive en1. Peut-être devrais-je mettre en saisie manuelle ?

Enfin, j'ai cru constater, un moment donné quand j'avais testé avec un delete route de jnc0 et après avoir réactivé en1, que jnc0 s'était réactivé tout seul après une tentative d'accès internet. C'est possible ça ou c'est moi qui ai fait une mauvaise manip ?

---------- Nouveau message ajouté à 12h44 ---------- Le message précédent a été envoyé à 12h24 ----------

J'ai testé dans l'autre sens (en désactivant en0).

J'ai fait les man&#339;uvres
désactiver en0 et appliquer
démarrer le VPN
un netstat pour vérifier le tunnel du vpn
delete tunnel (route) du vpn
add route vers le serveur
un nestat en passant montre *en1* en premier, *jnc0* en deuxième (vers le serveur), puis *lo0* en 3e vers le tunnel (je ne sais pas ce que c'est), etc.
réactivation de en0 et appliquer.
Puis re netstat.
Là j'ai bien *en0* en 1er, *en1* en 2e, *jnco* vers serveur en 3e.

Mais pas d'accès internet.

Bon, je réessayerai avec le ventre plein, car là je sens que je perds ma concentration.

---------- Nouveau message ajouté à 13h42 ---------- Le message précédent a été envoyé à 12h44 ----------

Allez, encore un coup 10 minutes d'écriture de résumé perdues&#8230;

Je *HAIS* le VPN.

Alors, on refait le boulot&#8230;

Donc je disais, je viens de refaire le test (en dés/activant plutôt en0 que en1) et j'ai aussi fait 3 fenêtres de surveillance que tu m'avais apprises sudo tcpdump -c 5 -i (en0/en1/jnc0) host 8.8.8.8

Les fenêtres réagissent bien aux pings dans les situations attendues (la en0 quand les 2 sont activé, la en1 quand je désactive la en0, la jnc0 quand j'ai lancé le VPN (bizarre, elle ne sp'appelle pas jnc1 quand elle passe par en1)

mais une fois toute la procédure faite, j'ai bien dans l'ordre sur le netstat en0, en1, jnc0 : 

```
Internet:
Destination        Gateway            Flags        Refs      Use   Netif Expire
default            192.168.1.1        UGScI           0        0     en0
default            192.168.1.1        UGScI           3        0     en1
(ServeurdeFichiers)/32    6a.6e.63.30.0.0.e. UGSc            0        0    jnc0
10.24.251.147      localhost          UGHS            0        0     lo0
10.24.251.147/32   jnc0               UCS             0        0    jnc0
127                localhost          UCS             0        0     lo0
localhost          localhost          UH              1        4     lo0
169.254            link#4             UCS             0        0     en0
192.168.1          link#4             UCS             1        0     en0
192.168.1          link#5             UCSI            0        0     en1
192.168.1.1        40:5a:9b:7b:76:1c  UHLS            5        6     en1
192.168.1.10       localhost          UHS             0        1     lo0
192.168.1.12       localhost          UHS             0        1     lo0
192.168.1.255      ff:ff:ff:ff:ff:ff  UHLWbI          0        6     en0
vpn.xxxxxx.com       192.168.1.1        UGHS            2       87     en1

Internet6:
Destination        Gateway            Flags         Netif Expire
localhost          localhost          UH              lo0
fe80::%lo0         localhost          Uc              lo0
localhost          link#1             UHL             lo0
fe80::%en0         link#4             UC              en0
mac-pro-de-xx-xx 0:17:f2:e:e9:a     UHL             lo0
fe80::%en1         link#5             UC              en1
mac-pro-de-xx-xx 0:17:f2:e:e9:b     UHL             lo0
ff01::             localhost          Um              lo0
ff02::             localhost          UmC             lo0
```

mais le ping ne donne rien : 

```
PING 8.8.8.8 (8.8.8.8): 56 data bytes
ping: sendto: No route to host
ping: sendto: No route to host
Request timeout for icmp_seq 0
ping: sendto: No route to host
Request timeout for icmp_seq 1
ping: sendto: No route to host
Request timeout for icmp_seq 2
ping: sendto: No route to host
Request timeout for icmp_seq 3

--- 8.8.8.8 ping statistics ---
5 packets transmitted, 0 packets received, 100.0% packet loss
```


Grlmblbmmm&#8230;

Donc à priori pas de solution sans un 2e ordi (ou des dé/connexions incessantes avec cette béquille branlante qu'est le VPN).

Ce xxxxx de Network Connect ne laisse plus rien sortir dès qu'il est activé.


----------



## Polo35230 (14 Octobre 2013)

ccciolll a dit:


> Le ifconfig montre bien 2 accès en0 et en1, actifs tous les deux. Les adresses IP m'indiquent bien que le en0 correspond à la prise 1 et le en1 à la prise 2 (mais c'est peut-être juste déterminé par l'ordre dans lequel j'ai branché les prises, et peut-être la prise 2 deviendrait une en0 si je la branchais en premier).


Non, ce n'est pas une question d'ordre? C'est lié au port physique.



ccciolll a dit:


> Comme tu ne le précises pas, j'ai essayé avec et sans faire de delete route sur le jnc0 avant de faire les add route


Il ne faut plus faire de delete route.



ccciolll a dit:


> Sans le delete route, après avoir relancé en1,  j'ai jnc0 qui se met en premier de liste, à mon avis c'est pas bon, puis en0 en 2eme, et en1 seulement en 3e.


Oui, c'est pas bon...

Je regarde la suite de ton message...


----------



## ccciolll (14 Octobre 2013)

Ou alors, je dis peut-être des conneries, si je trouvais un routeur d'occasion, et le branche le routeur sur une sortie de la box comme si c'était un ordi, en paramétrant le VPN dans le routeur.

Et ensuite j'aurais
Ethernet 1 : branché direct entre le mac et la box pour la navigation principale
Ethernet 2 : branché du mac vers le routeur, lui-même paramétré en VPN et ensuite branché sur la box, pour passer uniquement les connexions vers les serveurs nécessitant le tunnel.

Je ne sais pas si un routeur accepterait de se connecter à un autre routeur, mais comme je m'étais laissé dire qu'un routeur était un genre d'ordinateur miniature équipé d'un modem. Et comme j'ai pu constater que 2 ordis différents permettaient d'avoir une connexion VPN d'un côté et une normale de l'autre&#8230; le tout sur la même box. Ben voilà, je me dis, un routeur est un ordi, donc il pourrait avantageusement remplacer un ordi complet (plus petit, pas de clavier, pas d'écran, autonome pour se connecter&#8230

---------- Nouveau message ajouté à 13h52 ---------- Le message précédent a été envoyé à 13h51 ----------

Nos messages se croisent !

Pas de delete route dis-tu ?

Je vais réessayer comme ça, tiens.

---------- Nouveau message ajouté à 13h58 ---------- Le message précédent a été envoyé à 13h52 ----------

Je viens de re-tenter sans le delete route, mais jnc0 se remet toujours en premier de liste, et ensuite en0 et en1.
Et confirmation, pas de FTP, pas d'accès à pop.gmail, et une vitesse de connexion déprimante.
Tous les symptômes d'une connexion VPN.


----------



## Polo35230 (14 Octobre 2013)

ccciolll a dit:


> B
> mais une fois toute la procédure faite, j'ai bien dans l'ordre sur le netstat en0, en1, jnc0 :
> 
> ```
> ...



L'ordre est bon. Je ne vois pas la route par défaut sur jnc0. Tu l'as peut-être deletée...
Malgré ça, ça devrait marcher. Au plan routage, c'est bon.
On en revient aux certitudes de drs...

Mais je vois que tu refais un essai. Tu t'acharnes...
Si après ce test, ça ne marche toujours pas, c'est mort...

---------- Nouveau message ajouté à 14h07 ---------- Le message précédent a été envoyé à 14h05 ----------




ccciolll a dit:


> [/COLOR]Je viens de re-tenter sans le delete route, mais jnc0 se remet toujours en premier de liste, et ensuite en0 et en1.



C'est là que ça coince...



ccciolll a dit:


> Je ne sais pas si un routeur accepterait de se connecter à un autre routeur, mais comme je m'étais laissé dire qu'un routeur était un genre d'ordinateur miniature équipé d'un modem. Et comme j'ai pu constater que 2 ordis différents permettaient d'avoir une connexion VPN d'un côté et une normale de l'autre&#8230; le tout sur la même box. Ben voilà, je me dis, un routeur est un ordi, donc il pourrait avantageusement remplacer un ordi complet (plus petit, pas de clavier, pas d'écran, autonome pour se connecter&#8230



Sur le principe, un routeur qui intègre les fonctionnalités VPN COMPATIBLES avec la passerelle VPN de l'entreprise distante devrait pouvoir se connecter.
Mais... n'oublions pas drs qui a parlé de pbs VPN SSL sur des routeurs Cisco (qui font référence). Donc, la solution routeur est assez hypothétique


----------



## drs (19 Octobre 2013)

ou alors, encore une autre solution.

Tu installes VirtualBox, sur lequel tu mets un mac OS ou un windows.
Tu utilises l'OS virtualisé pour tes connexions VPN et ton OS normal pour tes connexions internet "normales"


----------



## ccciolll (21 Octobre 2013)

Peut-être, effectivement. Il y a de l'idée

Ça c'est du gros test, par contre. Je n'aurais pas l'occasion de tester ça dans les prochains jours.
Verdict, donc, dans une semaine, si possible.


----------



## ccciolll (22 Novembre 2013)

J'ai commencé à installer virtualbox.

Je compte mettre un osX puisque ça j'ai des DVD d'install. Par contre, dans le menu déroulant, il propose Snow Leo, Lion, Mavericks et aussi MacosX tout court. Est-ce que je peux lui mettre un panther ? J'ai gardé les DVD de panther et pour ce que je vais lui demander, je n'ai vraiment pas besoin de plus. (un système plus gros demandera plus de Ram, or je n'ai que 2 Go en tout, sur lesquels tournent déjà mon snow leo de base pour lequel 2 Go est censé être le minimum).


----------



## ccciolll (13 Décembre 2013)

Hallo hallo

Donc, voilà la suite des aventures&#8230;
J'avais don installé VB (VirtualBox) 3 et des poussières, mais après avoir enfin déterré mon vieux DVD universel de Tiger (après avoir échoué à installer Tiger avec le DVD gris d'origine du macPro), j'apprends en lisant les détails (car il me suggérait de mettre à jour en 3.4.3 et je me méfie toujours des mises à jour car les développeurs ne semblent jamais se soucier de savoir si un système est compatible avant de proposer une mise à jour à télécharger et installer) que VB3 ne supporte pas Tiger mais seulement SnowLeo au minimum.
Or, SnowLeo, c'est bcp trop gourmand pour l'usage que je souhaite en faire.
Bon, je lis par ailleurs que VB 1.6 supporte Tiger.
OK, je télécharge VB 1.6, je désinstalle VM3 avev les outils fournis.
Je lance VB 1.6, et là, message d'erreur (voir ci-dessous) et ensuite il refuse de démarrer VB. Pfff, vais-je y arriver&#8230;


```
Could not load the settings file '/Users/MonNom/Library/VirtualBox/VirtualBox.xml'.
Cannot convert settings from version '1.12-macosx'.
The source version is not supported.


Code de résultat : 
0x80004005
Composant :
VirtualBox
Interface : 
IVirtualBox {2d3b9ea7-25f5-4f07-a8e1-7dd7e0dcf667}
```


----------



## ccciolll (16 Décembre 2013)

Bon, alors concernant VirtualBox, j'ai fini par constater que le refus de démarrage était dû à la présence de vieilles prefs dans ma bibliothèque perso (voir le message d'erreur qu'il donne.
Après avoir purgé les prefs, il démarre.

Mais problème, que ce soit avec VB 1.6.6 ou VB 3.0.14 (puisqu'il parait qu'à partir de la 3.1 il ne gère plus un OSX Tiger si on essaye d'en installer un) je n'ai jamais Apple ou Mac dans la liste des machines virtuelles de base.

Là, je ne sais plus comment faire.

---------- Nouveau message ajouté à 15h31 ---------- Le message précédent a été envoyé à 15h23 ----------

J'ai quand-même tenté de ré-installer VB 4.3.4, au cas où.

Lui il porpose bien une base de machine Mac OSX, mais quand je lui mets le DVD universel d'install de Tiger, il me met ce message d'erreur :


 Uploaded with ImageShack.us


----------



## drs (20 Décembre 2013)

bon alors du progrès...

J'ai eu un souci un peu similaire, à savoir que le réseau local était inclut dans la liste des réseaux VPN.
Autrement dit, le réseau local était en 10.188.10.0 et il y avait une route pour le réseau 10.0.0.0 en passant par le vpn.

L'idée a été de supprimer cette route (la 10.0.0.0) et de réécrire les autres routes, sauf la 10.188.10.0.
Opération à faire après le lancement du VPN, et à chaque connexion. Mais il est possible de scripter


----------



## ccciolll (24 Décembre 2013)

Ce dont tu parles ce n'est pas ce qu'on a essayé de faire dans la première partie de cette discussion ?

Pour l'instant j'en suis à essayer d'installer un tiger virtuel pour pouvoir avoir une connexion "normale" sur le snow leo "normal" et une connexion au VPN via le tiger virtuel. mais je n'arrive pas à installer le tiger virtuel et je n'ai pas encore trouvé qqun susceptible de m'aiguiller sur la procédure.


----------



## ccciolll (5 Mars 2014)

Bonjour,

alors, petite évolution dans ma configuration.

Je n'utilise plus Network Connect pour me logguer au VPN mais Junos Pulse 5.0.1. (ce n'est pas un choix de ma part, c'est le prestataire qui a changé son protocole).

Est-ce que cela pourrait m'ouvrir une nouvelle porte et rendre enfin possible la cohabitation de 2 connexions réseau ? 
Ma connexion "normale" pour la majorité des activités web (navigation http, e-mails pop/imap, serveur ftp) et la connexion sécurisée VPN uniquement pour l'accès au serveur distant afp.


----------



## drs (17 Mars 2014)

Il faut tester, mais je ne suis pas sûr que le changement de client change quoi que ce soit au fonctionnement


----------



## ccciolll (18 Mars 2014)

Je me dis la même chose

Je ferai des tests une fois où j'aurais moins de charge de travail en cours.


----------

