Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

OpenVPN-Router échanges Thunderbird serv. pop gmail hors VPN

Ivanovich

bonjour,

Voilà j'ai un problème de défiance entre Thunderbird et gmail lorsque j'utilise un VPN openVPN.
Dès que j'active un VPN, au bout de quelques minutes je reçois des messages d'erreur:

Échec de l’envoi du mot de passe pour l’utilisateur un_compte_gmail@gmail.com.
Le serveur de courrier pop.googlemail.com a répondu : Web login required: https://support.google.com/mail/answer/78754

A chaque fois pour réactiver ces comptes il faut aller sur le serveur gmail et en passant par la visualisation du message d'alerte le compte est débloqué.
Au bout de 3 semaines Gogol finit par comprendre que je suis souvent à Amsterdam mais dès qu'on change de ville....

Donc je me suis dit que j'allais router le trafic hors tunnel.
Table de routage du départ:

$ route
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
default         MR200           0.0.0.0         UG    100    0        0 enp2s0
link-local      0.0.0.0         255.255.0.0     U     1000   0        0 enp2s0
192.168.1.0     0.0.0.0         255.255.255.0   U     100    0        0 enp2s0

MR200 est le modem déclaré dans /etc/hosts (192.168.1.1).

Je récupère les adresses des serveurs pop gmail et crée les routes statiques correspondantes:

$ nslookup pop.gmail.com
Server:		127.0.0.53
Address:	127.0.0.53#53

Non-authoritative answer:
pop.gmail.com	canonical name = gmail-pop.l.google.com.
Name:	gmail-pop.l.google.com
Address: 74.125.140.108
Name:	gmail-pop.l.google.com
Address: 74.125.140.109
Name:	gmail-pop.l.google.com
Address: 2a00:1450:400c:c00::6d

$ nslookup pop.googlemail.com
Server:		127.0.0.53
Address:	127.0.0.53#53

Non-authoritative answer:
pop.googlemail.com	canonical name = googlemail-pop.l.google.com.
Name:	googlemail-pop.l.google.com
Address: 108.177.15.16
Name:	googlemail-pop.l.google.com
Address: 2a00:1450:400c:c0a::10

$ sudo route add -net 74.125.140.108 gw MR200 metric 100 netmask 255.255.255.255 dev enp2s0
$ sudo route add -net 74.125.140.109 gw MR200 metric 100 netmask 255.255.255.255 dev enp2s0
$ sudo route add -net 108.177.15.16 gw MR200 metric 100 netmask 255.255.255.255 dev enp2s0

J'aurais sans doute pu créer une seule route avec un masque adapté:

$ sudo route add -net 74.125.140.108 gw MR200 metric 100 netmask 255.255.255.254 dev enp2s0

$ route
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
default         MR200           0.0.0.0         UG    100    0        0 enp2s0
wq-in-f108.1e10 MR200           255.255.255.255 UGH   100    0        0 enp2s0
wq-in-f109.1e10 MR200           255.255.255.255 UGH   100    0        0 enp2s0
wr-in-f16.1e100 MR200           255.255.255.255 UGH   100    0        0 enp2s0
link-local      0.0.0.0         255.255.0.0     U     1000   0        0 enp2s0
192.168.1.0     0.0.0.0         255.255.255.0   U     100    0        0 enp2s0

Je vérifie que "lire les messages" pour les 3 comptes gmail dans thunderbird se passe bien.
Je me connecte à un VPN:

$ route
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
default         _gateway        0.0.0.0         UG    50     0        0 tun1
default         MR200           0.0.0.0         UG    100    0        0 enp2s0
5.253.204.24    MR200           255.255.255.255 UGH   100    0        0 enp2s0
10.248.204.1    _gateway        255.255.255.255 UGH   50     0        0 tun1
_gateway        0.0.0.0         255.255.255.255 UH    50     0        0 tun1
wq-in-f108.1e10 MR200           255.255.255.255 UGH   100    0        0 enp2s0
wq-in-f109.1e10 MR200           255.255.255.255 UGH   100    0        0 enp2s0
wr-in-f16.1e100 MR200           255.255.255.255 UGH   100    0        0 enp2s0
link-local      0.0.0.0         255.255.0.0     U     1000   0        0 enp2s0
192.168.1.0     0.0.0.0         255.255.255.0   U     100    0        0 enp2s0
MR200           0.0.0.0         255.255.255.255 UH    100    0        0 enp2s0

J'ai 2/3 messages d'échec de connexion au serveur.
En effet quand je traceroute le serveur pop.gmail.com

$ traceroute pop.gmail.com
traceroute to gmail-pop.l.google.com (64.233.166.108), 64 hops max
  1   10.248.204.1  107,702ms  128,120ms  179,793ms 
  2   5.253.204.1  79,984ms  77,098ms  82,694ms 
  3   212.103.51.106  79,898ms  79,922ms  79,909ms 
  4   176.10.82.30  119,856ms  359,017ms  280,814ms 
................................
 22   64.233.166.108  63,938ms  78,977ms  79,944ms

On passe effectivement par le tunnel.

Donc si quelqu'un peut m'expliquer comment activer un trafic hors-tunnel enfin plus précisément comment interroger les serveurs gmail hors-tunnel il m'enlèvera une épine du pied qui m'escagace depuis un moment.
Merci de m'avoir lu.

Spino1

Bonjour,

Change de serveur OpenVPN, et prends en un avec le port 443 pour voir, Gmail c'est du https.

Ivanovich

bonjour,

Ben mes serveurs utilisent tous le port 443.
Ce que je ne comprends pas c'est que le fait de router les serveurs hors tunnel marche avec le serveur smtp.

 $ nslookup smtp.gmail.com
Server:		127.0.0.53
Address:	127.0.0.53#53

Non-authoritative answer:
smtp.gmail.com	canonical name = gmail-smtp-msa.l.google.com.
Name:	gmail-smtp-msa.l.google.com
Address: 108.177.15.108
Name:	gmail-smtp-msa.l.google.com
Address: 2a00:1450:400c:c0c::6c

$ sudo route add -net 108.177.15.108 gw MR200 metric 100 netmask 255.255.255.255 dev enp2s0

$ route
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
default         _gateway        0.0.0.0         UG    50     0        0 tun1
default         MR200           0.0.0.0         UG    100    0        0 enp2s0
5.253.204.24    MR200           255.255.255.255 UGH   100    0        0 enp2s0
10.248.204.1    _gateway        255.255.255.255 UGH   50     0        0 tun1
_gateway        0.0.0.0         255.255.255.255 UH    50     0        0 tun1
wq-in-f108.1e10 MR200           255.255.255.255 UGH   100    0        0 enp2s0
wq-in-f109.1e10 MR200           255.255.255.255 UGH   100    0        0 enp2s0
wr-in-f16.1e100 MR200           255.255.255.255 UGH   100    0        0 enp2s0
wr-in-f108.1e10 MR200           255.255.255.255 UGH   100    0        0 enp2s0
link-local      0.0.0.0         255.255.0.0     U     1000   0        0 enp2s0
192.168.1.0     0.0.0.0         255.255.255.0   U     100    0        0 enp2s0
MR200           0.0.0.0         255.255.255.255 UH    100    0        0 enp2s0

$ traceroute smtp.gmail.com
traceroute to gmail-smtp-msa.l.google.com (108.177.15.108), 64 hops max
  1   192.168.1.1  2,317ms  3,844ms  3,933ms 
  2   192.168.225.1  7,912ms  5,571ms  5,983ms 
  3   172.31.255.5  52,307ms  39,956ms  46,708ms 
  4   172.31.254.10  33,196ms  39,837ms  39,976ms 
..............................................................

On voit bien qu'on sort à priori par la GW hors tunnel.
Maintenant je suis loin d'être un expert en réseau.

Spino1

Moi j’ai ça avec OpenVPN et port 443, mais pas de smtp.

Server: 127.0.0.53
Address: 127.0.0.53#53

Non-authoritative answer:
Name: accounts.google.com
Address: 216.58.201.***
Name: accounts.google.com
Address: 2a00:1450:4007:80c::***

Ivanovich

Moi j’ai ça avec OpenVPN et port 443, mais pas de smtp, c'est juste l'autorisation qui coince.

Heu... moi pas comprendre.

Spino1

Ivanovich a écrit
Moi j’ai ça avec OpenVPN et port 443, mais pas de smtp, c'est juste l'autorisation qui coince.
Heu... moi pas comprendre.

En plus de ne pas comprendre que ça passe mieux sans tunnel c'est embêtant.

Moi si je vais sur Hotmail avec un webmail, OpenVPN en port 443, je me fais jeter, alors avec Thunderbird peut être que c'est pire, je n'ai pas essayé, mais j'ai un doute, Gmail qui tique sur l'identification, ou pas.

Ivanovich

En plus de ne pas comprendre que ça passe mieux sans tunnel c'est embêtant.

Ce n'est pas de comprendre que plus on encapsule, plus ça se complique que je ne comprends pas.
C'est ta réponse que je ne comprends pas.
Le problème est assez simple me semble-t-il. Pourquoi je n'arrive pas à exclure du tunnel les routes vers les serveurs pop gmail.
La question fondamentale est alors que je définis des routes d'exclusion:

$ sudo route add -net 74.125.140.108 gw MR200 metric 100 netmask 255.255.255.255 dev enp2s0
$ sudo route add -net 74.125.140.109 gw MR200 metric 100 netmask 255.255.255.255 dev enp2s0
$ sudo route add -net 108.177.15.16 gw MR200 metric 100 netmask 255.255.255.255 dev enp2s0

elles deviennent ceci pour commencer:

wq-in-f108.1e10 MR200           255.255.255.255 UGH   100    0        0 enp2s0
wq-in-f109.1e10 MR200           255.255.255.255 UGH   100    0        0 enp2s0
wr-in-f16.1e100 MR200           255.255.255.255 UGH   100    0        0 enp2s0

alors que le routage smtp:

 $ sudo route add -net 108.177.15.108 gw MR200 metric 100 netmask 255.255.255.255 dev enp2s0

qui devient ça:

wr-in-f108.1e10 MR200           255.255.255.255 UGH   100    0        0 enp2s0

est bien exclu du tunnel:

$ traceroute smtp.gmail.com
traceroute to gmail-smtp-msa.l.google.com (108.177.15.108), 64 hops max
  1   192.168.1.1  2,317ms  3,844ms  3,933ms

ce qui n'est pas le cas pour les serveurs pop:

$ traceroute pop.gmail.com
traceroute to gmail-pop.l.google.com (64.233.166.108), 64 hops max
  1   10.248.204.1  107,702ms  128,120ms  179,793ms

Moi si je vais sur Hotmail avec un webmail, OpenVPN en port 443, je me fais jeter, alors avec Thunderbird peut être que c'est pire, je n'ai pas essayé, mais j'ai un doute, Gmail qui tique sur l'identification, ou pas.

Là, c'est un un peu hors sujet ou du moins pas ce qui m'intéresse et va me faire avancer dans ma problématique.

Spino1

On ne se comprend pas parce qu’on ne prend pas le même tunnel, toi tu es probablement informaticien, pas moi.

Pour moi, un effet une cause, ou plusieurs, qui peuvent être aussi des effets, etc...c'est de la philo.
Peut être que quelqu’un d’autre te donnera une autre explication, mais pour moi chercher la route quand un VPN ne se connecte pas à un site, surtout Google, c’est perdre probablement son temps.

Nslookup traceroute, sous Linux ou pas, ça va te donner le trajet des paquets par défaut, pas certain mais qu’on me donne des garanties du contraire, et là il y a un VPN qui va lui aller jusqu’à un serveur VPN.

Le problème est d’abord pour moi le suivant :
- Le VPN il est bien monté, s’il marche vers bing.com c’est bon, terminé, par contre s’il fuit ou marche mal c’est un autre problème.
- La destination c’est Google… Google, si on lui barre la route, il peut essayer de rentrer par la fenêtre, du zéroconf ou autre, il passe son temps à envoyer des paquets qui passent les routeurs, pourquoi ? On n’en sait rien, par contre si tu vas chez lui il faut montrer patte blanche, il te connait, surtout ta localisation, donc j’émets l’hypothèse qu’il te bloque à la saisie du mot de passe à cause du VPN.

Maintenant, à quoi ça sert de se connecter à son mailer avec un VPN, pourquoi pas avec une machine virtuelle ou un live DVD en plus pendant qu’on y est ? Et si ça ne va pas, on pose le paquet chez buntu.fr…

Un VPN ça ne sert pas à grand-chose, surtout si c’est mal monté, la plupart des serveurs VPN ont de grandes oreilles, et ça fuit souvent, du port 80… donc résultat à poil, mais ça on le dit pas.

Bon courage.

Ivanovich

On ne se comprend pas parce qu’on ne prend pas le même tunnel,

Effectivement, on ne doit pas être dans le même tunnel.....

bruno

Bonjour,

Plutôt que de batailler avec iproute2, ce qui risque d'être assez complexe, il vaudrait mieux essayer de régler le problème d’authentification sur gmail.
Normalement l'accès aux serveurs gmail ne pose pas de problème avec un VPN (sauf si les adresses IP du serveur VPN sont bloquées par Google, mais tu n'aurais pas ce message d'erreur).

As-tu effectué les opération recommandées dans le premier lien que tu donnes ? À savoir authentification en deux étapes et mot de passe d'application.

Ivanovich

bonjour @bruno
Je viens de me pencher effectivement sur le mot de passe application.
J'ai donc activé l'identification en 2 étapes et déclaré Thunderbird comme application à reconnaître. Génération d'un mdp rentré ensuite dans thunderbird.
Connexion à un VPN.
Lecture des nouveaux messages dans thunderbird sur les 3 comptes Gmail: pas de refus et pas de tentative de connexion suspecte dans le compte gmail.
Il semble que ce soit efficace. Ce qui est curieux mais tant mieux, c'est qu'il a suffit de faire l'identification en 2 étapes sur un seul compte pour que ça passe.
Ce qui en y réfléchissant est un comportement intelligent: si une application est authentifiée pour un compte il n'y a pas de raison qu'elle ne le soit pas pour d'autres comptes.
Bon mon pb est à priori résolu. On verra une autre fois pour faire fonctionner le split tunneling.
Je vais retourner à mes autres bricolages.
Merci.