bypasser un VPN par défaut (en le gardant sur IP voulus)

[ccciolll]

Bonjour,

pour accéder à qqes serveurs, je suis contraint d'utiliser une connexion en VPN.

Mais je constate par ailleurs que dès que le VPN est lancé (avec Network Connect), la vitesse de connexion est divisée par 2 en descendant et par 1,33 en montant, que je ne peux plus accéder à mon serveur FTP ni à gmail en pop et smtp… Bref, ce VPN m'emmerde.

Du coup pour l'instant, je ne le connectais que quand je devais aller sur le serveur.

Mais je dois y aller de plus en plus régulièrement, et de plus en plus longtemps.

Alors j'ai tenté d'aller fouiner dans internet.
J'ai trouvé la page suivante qui semble donner des explications pour mon cas, mais je n'y comprends pas grand chose et en outre, quand j'ai fait la commande indiquée dans terminal, là où je suis censé avoir ce qu'il appellent le « gateway » (et qui est 192.168.132.2 dans leur exemple), j'ai « livebox . home ».
Ça me parait bizarre.

Quoiqu'il en soit, j'ai l'impression que ce tuto sert à designer quelles IP doivent ignorer le VPN, or moi, c'est plutôt l'inverse que je veux faire.
Je veux que uniquement 3 IP utilisent le VPN (et je dirais même uniquement 2 logiciels (Finder et TN5250)).

Comment procéder ?

 

[Polo35230]

Bonjour,

Il faut passer par du routage.

En premier, fais un ifconfig dans une fenêtre Terminal, et repère l'e nom de l'interface VPN (ex: vpn0).
Assure toi aussi qu'elle est bien active.

Ensuite, dans une fenêtre Terminal, tu fais:
sudo route add 0.0.0.0/0 AdresseIpDeTaBox Ce sera la route par défaut.
sudo route add -net AdresseIpSite1 -link vpn0
sudo route add -net AdresseIpSite2 -link vpn0
sudo route add -net AdresseIpSite3 -link vpn0

Vérifie que les routes sont bien prises en compte en faisant un netstat -r

De cette façon, seules les adresses IP des sites 1, 2 et 3 passeront par le VPN.
Si dans les commandes, le -link pose pb, remplace le par -interface

Si tu veux virer les routes que tu as créées, fais un
sudo route delete AdresseIpDeLaRouteQueTuVeuxVirer

Peut-être que ça marchera...:siffle:

 

[ccciolll]

Pour faire le ifconfig, il faut que le vpn soit activé ? (je connais très mal le terminal, quand je l'utilise c'est toujours en suivant mot pour mot les instructions trouvées sur un tuto, donc mes questions risquent parfois de paraître un peu bébêtes).

Ah, et aussi, l'adresse IP de ma box, c'est le truc genre 192.168.1.1 que je mets pour aller dedans et la régler dans le navigateur, ou c'est un truc que je dois aller chercher comme dans l'exemple de la page citée ?

 

[Polo35230]

Pour faire le ifconfig, il faut que le vpn soit activé ? (je connais très mal le terminal, quand je l'utilise c'est toujours en suivant mot pour mot les instructions trouvées sur un tuto, donc mes questions risquent parfois de paraître un peu bébêtes).

Non, le ifconfig, c'est juste une commande (innofensive) pour voir les interfaces réseau de ta machine et leur état (active ou pas).
Mais pour que la solution de routage marche, il faut que les interfaces VPN et ethernet (si tu es en ethernet...) soient actives.
Donc, lance ton VPN.

Ah, et aussi, l'adresse IP de ma box, c'est le truc genre 192.168.1.1 que je mets pour aller dedans et la régler dans le navigateur, ou c'est un truc que je dois aller chercher comme dans l'exemple de la page citée ?

Oui, c'est bien 192.168.1.1 (pour ton réseau local, c'est elle, la gateway).
Ne tiens pas compte des adresses données dans la page que tu as mise en lien. Le contexte et différent du tien...

Après réflexion, dans un premier temps, NE CREE PAS DE ROUTE PAR DEFAUT. Elle existe déjà.
Tu pourais faire un test pour te faire la main sur un seul des sites que tu veux faire passer par le VPN.
sudo route add -net AdresseIpSite1 -link vpn0 (vpn0 est un exemple. Tu auras le vrai nom dans le "ifconfig)
et
sudo route delete AdresseIpSite1 (pour l'enlever si tu ne veux plus qu'il passe par le VPN)

Si tu veux,fais un copier/coller du ifconfig dans le fil, je regarderai.
Dans le ifconfig, il n'y a rien de confidentiel, ce sont des adresses IP privèes.
Elles ne voyagent pas sur Internet...

 

[ccciolll]

Merci !

Donc, VPN désactivé, ifconfig donne ceci :

lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
	inet6 ::1 prefixlen 128 
	inet6 fe80::1%lo0 prefixlen 64 scopeid 0x1 
	inet 127.0.0.1 netmask 0xff000000 
gif0: flags=8010<POINTOPOINT,MULTICAST> mtu 1280
stf0: flags=0<> mtu 1280
en0: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 1500
	ether 00:17:f2:0e:e9:0a 
	inet6 fe80::217:f2ff:fe0e:e90a%en0 prefixlen 64 scopeid 0x4 
	inet 192.168.1.10 netmask 0xffffff00 broadcast 192.168.1.255
	media: autoselect (100baseTX <full-duplex,flow-control>)
	status: active
en1: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 1500
	ether 00:17:f2:0e:e9:0b 
	media: autoselect
	status: inactive
fw0: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 2030
	lladdr 00:1d:4f:ff:fe:71:6d:8a 
	media: autoselect <full-duplex>
	status: inactive

Et VPN activé cela :

lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
	inet6 ::1 prefixlen 128 
	inet6 fe80::1%lo0 prefixlen 64 scopeid 0x1 
	inet 127.0.0.1 netmask 0xff000000 
gif0: flags=8010<POINTOPOINT,MULTICAST> mtu 1280
stf0: flags=0<> mtu 1280
en0: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 1500
	ether 00:17:f2:0e:e9:0a 
	inet6 fe80::217:f2ff:fe0e:e90a%en0 prefixlen 64 scopeid 0x4 
	inet 192.168.1.10 netmask 0xffffff00 broadcast 192.168.1.255
	media: autoselect (100baseTX <full-duplex,flow-control>)
	status: active
en1: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 1500
	ether 00:17:f2:0e:e9:0b 
	media: autoselect
	status: inactive
fw0: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 2030
	lladdr 00:1d:4f:ff:fe:71:6d:8a 
	media: autoselect <full-duplex>
	status: inactive
jnc0: flags=841<UP,RUNNING,SIMPLEX> mtu 1400
	inet 10.24.251.173 netmask 0xffffffff 
	open (pid 579)
jnc1: flags=841<UP,RUNNING,SIMPLEX> mtu 1450
	closed

à première vue je constate juste 5 ligne en plus à la fin, le reste semble identique.

---------- Nouveau message ajouté à 10h52 ---------- Le message précédent a été envoyé à 10h50 ----------

T'es sûr qu'il y a rien de confidentiel là-dedans ? Le 10.24.machin dans la ligne inet de jnc0, ça me paraît quand-même un truc que je devrais cacher en partie, non ?

 

[Polo35230]

Bonne idée d'avoir fait les deux ifconfig.
On voit, sur le second que l' interface ethernet (en0) est active et que le tunnel vpn (jnc0) est bien ouvert.
L'adresse10.24.251.173 est une adresse privée (comme les adresses en 192.168.x.y). Elle t'est attribuée par le serveur VPN.
Ces adresses privées voyagent dans un tunnel dont les extrémités sont des adresses publiques (la tienne et celle du serveur VPN) qu'on ne voit pas dans le ifconfig. Donc, aucun pb de confidentialité.

Tu peux donc faire l'essai en tapant:
sudo route add -net AdresseIpSite1 -link jnc0 (pour faire passer le site1 par le vpn)
et
sudo route delete AdresseIpSite1 (pour l'enlever si tu ne veux plus qu'il passe par le VPN)

 

[ccciolll]

Bonne idée d'avoir fait les deux ifconfig.

Une fois n'est pas coutume.

On voit, sur le second que l' interface ethernet (en0) est active et que le tunnel vpn (jnc0) est bien ouvert.

Ça signifie donc que jnc0 c'est la fameuse adresse du VPN à utiliser pour mes réglages dans terminal ? Ce que semble confirmer l'exemple de code que tu as donné.

Tu peux donc faire l'essai en tapant:
sudo route add -net AdresseIpSite1 -link jnc0 (pour faire passer le site1 par le vpn)

Mais ne dois-je pas d'abord dire que le vpn ne passe nulle part par défaut ?
Car sinon, il passe déjà sur l'IP que je souhaite lui attribuer même sans me demander mon avis (puisqu'il passe partout).

sudo route delete AdresseIpSite1 (pour l'enlever si tu ne veux plus qu'il passe par le VPN)

Est-ce normal qu'il n'y ait pas de jcn0 dans ce code ?

 

[Polo35230]

Ça signifie donc que jnc0 c'est la fameuse adresse du VPN à utiliser pour mes réglages dans terminal ? Ce que semble confirmer l'exemple de code que tu as donné.

jnc0 n'est pas une adresse. C'est le nom de l'interface (virtuelle) de ton VPN.
En réalité, sur ton interface physique ethernet (en0), il y a une interface logique (jnc0) qui lui est rattachée.

Mais ne dois-je pas d'abord dire que le vpn ne passe nulle part par défaut ?
Car sinon, il passe déjà sur l'IP que je souhaite lui attribuer même sans me demander mon avis (puisqu'il passe partout).

Pas besoin de lui dire quoi que ce soit.
Si tu crée la route vers le site 1, et qu'ensuite, dans une fenêtre Terminal, tu fais un netstat -r tu verras qu'il y a une route par défaut vers ta box, et une route qqui va diriger l'adresse IP de site1 vers le tunnel VPN jnc0.

Regarde ce netstat fait chez moi.
la première ligne est la route par défaut qui mène vers la box (colonne "Gateway")
Chez toi, tu verras l'adresse IP du Site1 qui sera associée à la "Gateway" jnc0


iMac:~ Polo$ netstat -r
Routing tables

Internet:
Destination Gateway Flags Refs Use Netif Expire
default 192.168.1.1 UGSc 7 0 en0
127 localhost UCS 0 0 lo0
localhost localhost UH 0 0 lo0
169.254 link#4 UCS 0 0 en0

Est-ce normal qu'il n'y ait pas de jcn0 dans ce code ?

Oui, pas la peine de le spécifier. l''adresse IP suffit pour virer la route.


Je sens que tu as comme une légère réticense à configurer une route via le Terminal...:siffle:
Bon, je ne connais pas tes opinions politiques, mais imaginons que tu n'ailles JAMAIS (comme moi) sur le site des amis de Nicolas Sarkosy (anans.fr)
Son adresse IP est 82.165.68.240
Pour le faire passer par le VPN, il faudra taper dans une fenêtre Terminal:
sudo route add -net 82.165.68.240 -link jnc0
Et pour l'enlever ensuite:
sudo route delete 82.165.68.240

Tout ce que tu risques à faire ce test, c'est de ne jamais plus pouvoir te connecter sur ce site...

 

[ccciolll]

Une réticence à l'utiliser, non. Tout du moins pas une fois que j'ai compris ce que je lui fais faire.

Comme ce langage est complètement inconnu pour moi, du coup j'essaye de lire entre les lignes pour remettre les codes en langage humain.

Je sais qu'avec terminal on peut des fois faire un peu de dégâts, donc j'y vais en douceur.

Bon, là je suis coincé pour le moment avec mon poste (c'est d'ailleurs pourquoi je faisais un tour sur macgé) donc je pourrais faire les tests plutôt lundi prochain.

Merci, en tout cas, pour tous ces détails.

 

[ccciolll]

Alors, j'ai voulu tester ce matin sur un de mes accès au serveur distant
j'ai saisi le code suivant
sudo route add -net afp://nn.nn.nnn.nn -link jnc0
(bien sûr, les nn c'est des chiffres, mais là je le cache)

Et là il me dit :
WARNING: Improper use of the sudo command could lead to data loss
or the deletion of important system files. Please double-check your
typing when using sudo. Type "man sudo" for more information.

To proceed, enter your password, or type Ctrl-C to abort.

Password:


Bon, je considère que ça devrait aller quand-même, alors je tape mon mot de passe, mais là le curseur ne réagit pas.

Que faire ?

 

[Polo35230]

Il ne faut pas mettre afp://, juste:
sudo route add -net nn.nn.nnn.nn -link jnc0

Ensuite, tu fais comme d'habitude pour te connecter au serveur (via le finder?)

 

[ccciolll]

Salut, je viens d'essayer, mais je me demande déjà si terminal allait bien.
D'habitude, il me met un petit charabia avec le nom de ma session avant l'insert de code, et là, la fenêtre était toute vide.

j'ai quand même tapé le sudo et tout ça, return (toujours pas de réaction de terminal, apparemment), puis fermé le terminal.

Quand j'ai fait un essai de connexion, tout semblait comme d'hab : sans activer le VPN, je n'ai pas accès au serveur, en activant le VPN, j'ai accès au serveur entré en sudo, mais aussi aux autres serveurs nécessitant VPN, et par contre toujours bloqué pour accéder à gmail ou au ftp tant que je n'ai pas quitté Network Connect pour désactiver le VPN.

Donc le pb est peut être terminal qui était déréglé ? En tout cas j'ai tenté de le redémarrer, terminal, mais toujours pareil, une fenêtre vide.

EDIT :
je ne sais pas si j'avais précisé, quand je dois activer le VPN avec NetworkConnect, j e dois taper un mot de passe
Uploaded with ImageShack.us
Je ne sais pas si ça a une importance pour ce que j'essaye de faire.

 

[Polo35230]

Salut, je viens d'essayer, mais je me demande déjà si terminal allait bien.
D'habitude, il me met un petit charabia avec le nom de ma session avant l'insert de code, et là, la fenêtre était toute vide.

Pour le Terminal, c'est curieux...
Reboote ta machine, et ouvre à nouveau une fenêtre Terminal.
Tu dois avoir deux lignes et un prompt avec le nom du compte de démarrage de la session.

Je pense que ta commande n'a pas été prise en compte. Dans le Terminal, fais un netstat -r (pour voir les tables de routage)
Si tu as une ligne avec nn.nn.nn.nn et jnc0 dedans, c'est que ta commande a été prise.

Sinon, il faut tout reprendre depuis le début:
sudo route add -net nn.nn.nnn.nn -link jnc0
netstat -r (pour vérifier la prise en compte de la commande)
Active ton VPN (username/password)
Fais un essai...

 

[ccciolll]

Bonjour,

après une nuit de sommeil, mon terminal a retrouvé son aspect normal.

J'ai donc mis le code
sudo route add -net nnnnn.11 -link jnc0

Il m'a redemandé le mot de passe. J'ai tenté de le saisir malgré le manque de réaction du curseur. Apparemment il l'a pris en compte (donc pour info, qd on tape son mot de passe dans terminal, ne pas s'"inquiéter s'il ne réagit pas et appuyer sur return après l'avoir saisi).

Un netstat me donne ceci :

Routing tables

Internet:
Destination        Gateway            Flags        Refs      Use   Netif Expire
default            livebox.home       UGSc           50        0     en0
nnnnnn.11/32    6a.6e.63.30.0.0.e. UGSc            0        0     en0
127                localhost          UCS             0        0     lo0
localhost          localhost          UH              1        2     lo0
169.254            link#4             UCS             0        0     en0
192.168.1          link#4             UCS             2        0     en0
livebox.home       40:5a:9b:7b:76:1c  UHLWI          62      119     en0   1149
new-host.home      localhost          UHS             0        0     lo0
192.168.1.255      ff:ff:ff:ff:ff:ff  UHLWbI          0        6     en0

Internet6:
Destination        Gateway            Flags         Netif Expire
localhost          localhost          UH              lo0
fe80::%lo0         localhost          Uc              lo0
localhost          link#1             UHL             lo0
fe80::%en0         link#4             UC              en0
mac-pro-de-loic-ba 0:17:f2:e:e9:a     UHL             lo0
ff01::             localhost          Um              lo0
ff02::             localhost          UmC             lo0
ff02::             link#4             UmC             en0

(ceci sans vpn activé)

Donc on voit mon site dans la ligne suivante
nnnnnn.11/32 6a.6e.63.30.0.0.e. UGSc 0 0 en0
Bizarrement, il lui a ajouté /32. Bof admettons.
Par contre, ce qui me parait curieux c'est qu'il met en0 en conclusion, je m'attendais plutôt à lire jnc0

Et ensuite j'active mon VPN, mot de passe etc.

Et là, j'obtiens le résultat inverse de celui attendu.
Les autres IP passent toujours par le VPN (j'accède toujours aux autres serveurs, je suis toujours bloqué en accès sur pop&smtp/gmail et en FTP).

Et par contre, celui que je viens de paramétrer (nnnn.11), lui, plus moyen d'y accéder. Je fais un pomme-K dans le finder sur son IP, et là j'ai un message d'erreur instantanément (alors que d'habitude ça prend du temps).

Uploaded with ImageShack.us


… zut.
Est-ce le résultat que tu attendais de ce code ? Dans ce cas j'ai mal expliqué ce que je voulais faire.

Du coup je n'ai plus accès du tout à ce serveur.
On peut revenir en arrière sur ce sudo ?
Ou taper un autre code qui re permettrait l'accès à ce serveur ?

 

[Polo35230]

… zut.
Est-ce le résultat que tu attendais de ce code ? Dans ce cas j'ai mal expliqué ce que je voulais faire.

Du coup je n'ai plus accès du tout à ce serveur.
On peut revenir en arrière sur ce sudo ?
Ou taper un autre code qui re permettrait l'accès à ce serveur ?

Pour le retour arrière, fais:
sudo route delete nnn.nnn.nnn.nnn

Maintenant, pour les explications:

-Dans la table, le /32, c'est pour le masque(/32 veut dire que c'est un masque de 32 bits, soit 255.255.255.255). Mais bon, ce n'est pas le pb...

-Ce n'est bien sûr pas le résultat attendu...
Ce qui doit se passer, c'est qu'au lancement du VPN, il doit faire des modifs dans la table de routage.
Si tout passe par le VPN, sauf nn.nn.nn.nn, c'est qu'il doit modifier le route par défaut pour l'envoyer sur jnc0.
C'est facile à vérifier.
Tu lances le VPN, et tu fais un netstat -r pour voir.

Si c'est ça, ça evut dire qu'il faudra faire une sacré gymnastique après chaque lancement du VPN...

 

[ccciolll]

Voilà ce que j'obtiens comme netstat une fois le VPN lancé (sans avoir corrigé le sudo, comme ça on voit ce que ça donne)

Internet:
Destination        Gateway            Flags        Refs      Use   Netif Expire
default            10.24.251.163      UGSc           19       24    jnc0
default            192.168.1.1        UGScI           2        0     en0
>> nnnn.11/32    6a.6e.63.30.0.0.e. UGSc            0        0     en0
10.24.251.163      localhost          UGHS            1        0     lo0
10.24.251.163/32   jnc0               UCS             0        0    jnc0
127                localhost          UCS             0        0     lo0
localhost          localhost          UH              2        2     lo0
169.254            link#4             UCS             0        0     en0
192.168.1          link#4             UCS             1        0     en0
192.168.1.1        40:5a:9b:7b:76:1c  UHLS            4        0     en0
192.168.1.10       localhost          UHS             0        0     lo0
192.168.1.255      ff:ff:ff:ff:ff:ff  UHLWbI          0        6     en0
>> vpn.xxxxxxx.com       192.168.1.1        UGHS            4       36     en0

Internet6:
Destination        Gateway            Flags         Netif Expire
localhost          localhost          UH              lo0
fe80::%lo0         localhost          Uc              lo0
localhost          link#1             UHL             lo0
fe80::%en0         link#4             UC              en0
mac-pro-de-loic-ba 0:17:f2:e:e9:a     UHL             lo0
ff01::             localhost          Um              lo0
ff02::             localhost          UmC             lo0
ff02::             link#4             UmC             en0

j'ai mis un >> devant ceux qui semble concerner notre problème. Mais pour moi ça reste un charabia inextricable.

Afin de bien se comprendre, je vais essayer de résumer le plus simplement ce que je souhaite obtenir.

Je souhaite que, une fois le VPN activé (avec mon mot de passe et tout ça) l'ensemble des url ou ip ou logiciels qui passent par internet NE PASSENT PAS par le VPN mais se comportent comme si il était éteint, et que SEULES les 3 IP qui ont besoin de VPN (et que je lui aurais désignées) passent par VPN.

Donc en gros que le VPN n'agisse que sur ces 3 IP et laisse les autres passer normalement par l'internet habituel.

J'ai l'impression que le sudo que tu m'as gracieusement composé fait exactement le contraire (qu'il interdit à l'IP désignée de passer par le VPN) ? C'est ça ?

EDIT : je confirme que le sudo que tu m'as mis pour réparer a fonctionné. Ouf.

 

[Polo35230]

J'ai l'impression que le sudo que tu m'as gracieusement composé fait exactement le contraire (qu'il interdit à l'IP désignée de passer par le VPN) ? C'est ça ?

Non, la commande pour rajouter une route pour nnnn est bonne. Le pb, c'est qu'il aurait fallu la taper après l'activation du VPN.
Chavais pas...

Pour le comprendre, il faut regarder les netstat -r avant et après le lancement du VPN.

-Avant le lancement du VPN:
Destination Gateway Flags Refs Use Netif Expire
default livebox.home UGSc 50 0 en0
nnnnnn.11/32 6a.6e.63.30.0.0.e. UGSc 0 0 en0

On voit que la route par défaut sort par en0 et que la route nnnnnn.11/32 sort également par en0.
En réalité, la route nnnnnn/32 aurait dû sortir par jnc0, mais comme le VPN n'est pas lancé, elle sort par en0. Ça je ne l'avais pas prévu...


-Après le lancement du VPN:
Destination Gateway Flags Refs Use Netif Expire
default 10.24.251.163 UGSc 19 24 jnc0
default 192.168.1.1 UGScI 2 0 en0
>> nnnn.11/32 6a.6e.63.30.0.0.e. UGSc 0 0 en0

On voit que le lancement du VPN a créé une nouvelle route par défaut vers jnc0 (10.24.251.163 qui est le serveur VPN distant), et que la route nnnnnn.11 que tu as créée est tjs là, mais pas vers le VPN.
Remarque aussi l'ordre des deux routes par défaut. La première va vers le VPN, et la deuxième vers la box. Dans ce cas, c'est la première qui est utilisée
C'est pour ça qu'on a exactement l'inverse du résultat obtenu.

-Donc, pour obtenir le résultat escompté, il faudrait:
Lancer le VPN
Faire un netstat -r pour voir l'adresse IP du serveur VPN (en principe 10.24.251.163)
Faire un delete de la route par défaut créée par le VPN (sudo route delete default 10.24.251.163)
Envoyer nnnn sur jnc0 (sudo route add -net nn.nn.nnn.nn -link jnc0)
Le résultat au niveau de la table de routage drvrait alors donner ceci:
Destination Gateway Flags Refs Use Netif Expire
default 192.168.1.1 UGScI 2 0 en0
>> nnnn.11/32 10.24.251.163 UGSc 0 0 jnc0
Là on voit bien que tout passera par la box, sauf nnnn qui passera par le VPN.
En réalité, tu sors de l'utilisation classique d'u VPN par un particulier...

Mais bon, ça veux dire qu'il faudra faire la manip après chaque activation du VPN (un petit script)
Si tu veux te lancer pour les tests, il faudra être prudent. Notamment en ce qui concerne le delete de la route par défaut créée par le VPN (tu as deux routes par défaut, et il ne faut pas deleter celle qui va vers la box, sinon, plus d'internet...)


Chais pas si j'ai été clair...

 

[ccciolll]

Pour le comprendre, il faut regarder les netstat -r avant et après le lancement du VPN.

-Avant le lancement du VPN:
Destination Gateway Flags Refs Use Netif Expire
default livebox.home UGSc 50 0 en0
nnnnnn.11/32 6a.6e.63.30.0.0.e. UGSc 0 0 en0

On voit que la route par défaut sort par en0 et que la route nnnnnn.11/32 sort également par en0.
En réalité, la route nnnnnn/32 aurait dû sortir par jnc0, mais comme le VPN n'est pas lancé, elle sort par en0. Ça je ne l'avais pas prévu...

-Après le lancement du VPN:
Destination Gateway Flags Refs Use Netif Expire
default 10.24.251.163 UGSc 19 24 jnc0
default 192.168.1.1 UGScI 2 0 en0
>> nnnn.11/32 6a.6e.63.30.0.0.e. UGSc 0 0 en0

Salut, je m'apprête à refaire une tentative, du coup avant je lis attentivement tes comm' pour essayer de comprendre un peu ce que me raconte le terminal.
La partie ci-dessus me parait assez claire (belle explication), mais du coup, j'ai juste une question pour mon instruction personnelle.

Dans le premier cas, la route vers ma box est livebox.home, et le deuxième coup, elle devient 192.168.1.1.
Y'a-t'il une explication à cette nuance (et cela a-t'il la moindre importance) ?

Et autre détail qui m'intrigue : concrètement, physiquement, le réseau passe d'abord par ma box et ensuite il prend le tunnel jnc0, alors pourquoi les deux lignes ne s'affichent-elles pas dans l'autre ordre ?

---------- Nouveau message ajouté à 11h49 ---------- Le message précédent a été envoyé à 11h14 ----------

Alors alors.

Voilà ce que ça donne.

Je démarre le VPN, je fais un netstat et j'obtiens ceci :

Internet:
Destination        Gateway            Flags        Refs      Use   Netif Expire
default            10.24.251.163      UGSc           19       24    jnc0
default            192.168.1.1        UGScI           0        0     en0
10.24.251.163      localhost          UGHS            1        0     lo0
10.24.251.163/32   jnc0               UCS             0        0    jnc0
127                localhost          UCS             0        0     lo0
localhost          localhost          UH              1        0     lo0
169.254            link#4             UCS             0        0     en0
192.168.1          link#4             UCS             1        0     en0
192.168.1.1        40:5a:9b:7b:76:1c  UHLS            2        6     en0
192.168.1.10       localhost          UHS             0        0     lo0
192.168.1.255      ff:ff:ff:ff:ff:ff  UHLWbI          0        6     en0
vpn.xxxxxx.com       192.168.1.1        UGHS            4       43     en0

Internet6:
Destination        Gateway            Flags         Netif Expire
localhost          localhost          UH              lo0
fe80::%lo0         localhost          Uc              lo0
localhost          link#1             UHL             lo0
fe80::%en0         link#4             UC              en0
mac-pro-de-loic-ba 0:17:f2:e:e9:a     UHL             lo0
ff01::             localhost          Um              lo0
ff02::             localhost          UmC             lo0
ff02::             link#4             UmC             en0

Puis je fais le sudo route delete default 10.24.251.163 (bizarrement il ne me demande plus mon mot de passe. Il le demandait au début mais comme entre temps j'ai fait la manip' plusieurs fois pour comprendre ce qui se passait, on dirait qu'il l'a accepté (ou alors j'ai créé un bug qqpart))

et j'obtiens alors ceci en netstat

Internet:
Destination        Gateway            Flags        Refs      Use   Netif Expire
default            192.168.1.1        UGScI           0        0     en0
10.24.251.163      localhost          UGHS            0        0     lo0
10.24.251.163/32   jnc0               UCS             0        0    jnc0
127                localhost          UCS             0        0     lo0
localhost          localhost          UH              1        0     lo0
169.254            link#4             UCS             0        0     en0
192.168.1          link#4             UCS             1        0     en0
192.168.1.1        40:5a:9b:7b:76:1c  UHLS            2        6     en0
192.168.1.10       localhost          UHS             0        0     lo0
192.168.1.255      ff:ff:ff:ff:ff:ff  UHLWbI          0        6     en0
vpn.xxxxxx.com       192.168.1.1        UGHS            8      110     en0

Internet6:
Destination        Gateway            Flags         Netif Expire
localhost          localhost          UH              lo0
fe80::%lo0         localhost          Uc              lo0
localhost          link#1             UHL             lo0
fe80::%en0         link#4             UC              en0
mac-pro-de-loic-ba 0:17:f2:e:e9:a     UHL             lo0
ff01::             localhost          Um              lo0
ff02::             localhost          UmC             lo0
ff02::             link#4             UmC             en0

À partir de la, ensuite, si je fais les sudo add, ça marche pour se connecter aux divers serveurs nécessitant VPN que je viens d'ajouter, par contre, côté accès internet Firefox et mails pop/smtp, c'est le vide total. Il dit qu'il n'a plus accès au serveur.
Donc la première ligne d'accès par défaut en en0 semble bloquée qqpart (peut-être par network Connect qui essaye de prendre la connexion en priorité puis comme les seules routes qu'il autorise sont celles que j'ai ajoutées, le reste il ne laisse pas passer ?

---------- Nouveau message ajouté à 11h50 ---------- Le message précédent a été envoyé à 11h49 ----------

Ou alors faudrait-il que je paramètre par défaut une route vers livebox.home, justement ? ( ça expliquerait la nuance entre les deux. Par contre je ne sais pas faire ça)

 

[Polo35230]

Dans le premier cas, la route vers ma box est livebox.home, et le deuxième coup, elle devient 192.168.1.1.
Y'a-t'il une explication à cette nuance (et cela a-t'il la moindre importance) ?

Livebox.home et 192.168.1.1, c'est la même chose. C'est une cuisine DNS entre la Box et le Mac.
Donc, la route par défaut qui pointe sur 192.168.1.1 donnera le même résultat qu'une route qui pointe vers livebox.home.

Et autre détail qui m'intrigue : concrètement, physiquement, le réseau passe d'abord par ma box et ensuite il prend le tunnel jnc0, alors pourquoi les deux lignes ne s'affichent-elles pas dans l'autre ordre ?
Destination Gateway Flags Refs Use Netif Expire
default 10.24.251.163 UGSc 19 24 jnc0
default 192.168.1.1 UGScI 0 0 en0
10.24.251.163 localhost UGHS 1 0 lo0
192.168.1.10 localhost UHS 0 0 lo0

En réalité, ça n'a aucune importance.
Dans le netstat épuré ci-dessus, on voit qu'après l'activation du VPN, ton Mac a deux adresses IP (+ deux gateway) et deux routes par défaut.
C'est normal. Il a une adresse pour passer par le VPN(10.24.251.63), et une autre (192.168.1.10) pour sortir sur internet sans passer par le VPN.

A partir du moment où tu enlève la route par défaut vers le VPN, en principe, ça devrait marcher.
Ce n'est pas le cas, et je ne vois pas pourquoi...

À partir de la, ensuite, si je fais les sudo add, ça marche pour se connecter aux divers serveurs nécessitant VPN que je viens d'ajouter, par contre, côté accès internet Firefox et mails pop/smtp, c'est le vide total. Il dit qu'il n'a plus accès au serveur.
Donc la première ligne d'accès par défaut en en0 semble bloquée qqpart (peut-être par network Connect qui essaye de prendre la connexion en priorité puis comme les seules routes qu'il autorise sont celles que j'ai ajoutées, le reste il ne laisse pas passer ?

C'est une hypothèse.
Autre hypothèse, le Mac garde comme adresse IP l'adresse en 10.24. au lieu de prendre celle en 192.168. pour passer par la route par défaut.

Ca veut dire qu'après avoir lancé le VPN et deleté la route par défaut, tu ne peux plus aller sur internet? (sauf bien sûr pour les sites que tu envoies par le VPN)
Donc, pour poster sur le forum, tu dois arrêter ton VPN?

 

[drs]

vu la capture d'écran, ca ressemble à du VPN SSL, et non pas du VPN IPSec.

En VPN SSL, c'est le serveur VPN qui décide si tout les flux passent par le VPN ou pas, et tu ne peux rien y changer!

On a le cas aussi avec les client VPN IPSec Cisco.

A ma boite, on m'avait aussi installé le VPN SSL, avec les mêmes soucis que toi (j'avais néanmoins accès internet en passant par le proxy de la boite). Du coup, je l'ai viré et remis le client IPSEC.

A voir si tu ne peux pas te connecter en IPSec, avec possibilité de ne pas tout faire passer dans le tunnel (à voir avec ton admin réseau).