DEDIBOX-NEWS.COM

Le plus simple est de faire du NAT. Côté client, la Dedibox à travers le VPN deviendra la route par défaut.

Sur la dedibox il faut autoriser le forwarding niveau kernel (/proc/sys/net/ipv4/ip_forward à 1) puis écrire une ou deux règles iptables pour le NAT proprement dit. C'est couvert dans la NAT howto de netfilter.org

Pas oublier les DNS...

t'as installé bind ou un autre serveur DNS sur ta dedibox, ou configuré celle-ci pour qu'elle forwarde vers d'aures DNS ?

Faut débugger progressivement: qu'est-ce que t'attives à pinger, qu'est-ce que t'arrives pas à pinger ? travailler avec des IP (pour pas utiliser les DNS)...

Si t'as pas de serveur DNS sur ta Dedibox, le fait d'envoyer son IP en tant que serveur DNS... ben ca va pas marcher.
Tu dois pouvoir envoyer les IP des DNS Dedibox (les DNS récursifs, pas les DNS autoritaires), vu que les requêtes DNS auront l'air de venir de ta Dedibox.

1/ Il faut configurer le poste client pour que sa route par défaut soit la Dedibox (sauf la dedibox, pour que tu puisses monter le VPN). Il y a une option de conf ovpn (un "push") pour ca.

2/ Niveau DNS, vu que tout passera alors par la Dedibox, il faut utiliser des DNS interrogeables depuis le réseau Dedibox. C'est pour ca que je parlais des DNS de Dedibox. Si les DNS de ton FAI à la maison ne filtrent pas, tu peux évidement essayer de les utiliser en gardant à l'esprit que pour les DNS les requêtes viendront de la dedibox et pas de ta connexion DSL (sauf configuration particulière des routes).

3/ A la louche, un coup de:

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 88.191.x.y

devrait le faire pour le NAT.

Non, pour le POSTROUTING, faut mettre l'IP publique de la dedibox et l'interface eth0, c'est à dire l'interface utilisée pour "sortir de la dedibox vers internet".

Ensuite, je vois pas ce qu'un proxy vient faire dans l'affaire ?!

Tu confondrais pas NAT et proxy ?

Tu sais comment fonctionne le NAT ?

Donc tu comprends qu'il n'y a pas besoin de proxy ?

Non.

Tes clients ont une IP "ADSL" (on va dire comme ca). Avec cette IP/connexion, ils montent leur interface VPN en se connectant à ta Dedibox.
A ce moment là, ils disposent alors - en plus de l'IP "ADSL" - d'une IP dans le VPN (disons 10.8.0.42).

Le but est de forcer tout le trafic IP (sauf celui vers l'IP dedibox, pour garder le tunnel) à passer par l'interface OVPN au lieu de l'interface ADSL. Tu as une option dans le fichier de conf OVPN pour que le serveur OVPN "push" la route par défaut.

A partir de ce moment, tout trafique des clients arrive sur la Dedibox via l'interface VPN. Ensuite, avec le NAT tu vas forwarder ca vers internet.

Si actuellement tu arrives à monter les interfaces OVPN, il te reste:
- configurer OVPN pour qu'il redéfinisse la route par défaut des clients vers l'IP VPN de la dedibox
- activer le forwarding/masquerading sur la dedibox
- éventuellement configurer les DNS récursifs de Dedibox sur les clients (toujours "pushable" via OVPN).

Il se trouve que je surf depuis un hotspot wifi. Je m'authentifie via l'interface web du hotspot
Il me file du 192.168.50.x et le DNS, DHCP et passerelle sont tout les 3 en 192.168.50.1. Cela na changerait il pas la donne car mon poste n'est pas public comme ceux qui sont branchés par l'ADSL?
en attendant je vais appliquer tes recommandation a openvpn. Merci c'est simpa et j'espère que je ne t'exaspère pas trop...

Bon, en partant d'un client OpenVPN fonctionnel, avec la conf suivante (commentaires lourdés):

client
dev tun
proto udp
remote 88.191.x.y 783
resolv-retry infinite
nobind
persist-key
persist-tun
ca c:\\openvpn\\ca.crt
cert c:\\openvpn\\client2.crt
key c:\\openvpn\\client2.key
cipher BF-CBC
comp-lzo
verb 3

88.191.x.y étant l'IP publique de la Dedibox (mon ovpn écoute sur le port 783).
Le client s'appellent client2 (et c'est le nom spécifié dans le certificat, pour l'authentification).

Sur le serveur, j'ai une conf assez bateau avec la directive:

client-config-dir /etc/openvpn/ccd

Pour que le daemon ovpn aille chercher un fichier ayant le même nom que le client, pour y piocher des options additionelles.

L'IP de la dedibox dans le VPN est 10.42.0.1.

Dans /etc/openvpn/ccd/client2 j'ai ca:

ifconfig-push 10.42.0.13 10.42.0.14
push "dhcp-option DNS 88.191.254.60"
push "dhcp-option DNS 88.191.254.70"
push "redirect-gateway"

Du coup mon client2 se bouffe l'IP 10.42.0.14. Les deux DNS sont les serveurs récursifs de Dedibox (ceux qui sont dans /etc/resolv.conf de ta dedibox).

De plus, sur la dedibox, j'active le forwarding niveau kernel / je dégage toutes les règles de firewalling (c'est à mettre en place une fois que les choses marchent...) / je mets le masquerading:

# iptables -P INPUT ACCEPT
# iptables -P OUTPUT ACCEPT
# iptabels -P FORWARD ACCEPT
# iptables -X
# iptables -F
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 88.191.x.y
# echo 1 > /proc/sys/net/ipv4/ip_forward

Ensuite, je lance une connexion de mon laptop Windows à la maison, qui est dans la même configuration que toi (à savoir: j'ai un NAT local et mon PC a une IP en 192.168.0.z).

Et là, miracle ! OpenVPN se connecte. Mon interface virtuelle se prend l'IP 10.42.0.14.
De plus, les DNS de mon laptop sont redéfinis à 88.191.254.60, 88.191.254.70.
La gateway par défaut est 10.42.0.1 (c'est à dire la dedibox via VPN). Il reste évidemment une route vers 88.191.x.y (sinon les paquets openvpn n'iraient pas bien loin).

Bref, un coup de www.whatismyip.com me dit bien que je suis 88.192.x.y.

Une fois déconnecté du VPN, faut peut être faire un coup de "ipconfig /renew" pour revenir aux paramètres Wifi comme avant la connexion (DNS, routes...).

Edit: je poste d'ailleurs de mon "NAT over VPN". Le poste semble donc venir de ma dedibox (mais faut être modo pour le voir).

Dans /etc/openvpn/ccd/clientX tu ne mets que les options spécifiques (les 4 lignes). Le reste reste dans la conf générique du serveur.

Pour un client FTP, faut forcer le mode passif, parce que sinon en NAT (que ce soit avec ou sans VPN) ca marche généralement assez mal.

Pour Messenger ca doit être bon. Pour teamspeak, je connais moins le protocole mais ca devrait aller.

De manière générale, tous les protocoles où tu te connectes à serveur distant doivent marcher sans problème.
Les protocoles où un hôte distant doit se connecter à toi, ca va foirer.

Mais.... il est bien sûr possible de faire du port forwarding !

Bref, comprends le NAT. Comprends le VPN. Comprends les routes. Comprends le NAT sur VPN. Bonne lecture.