IPCop - OpenVPN - Informaticien.be

IPCop - OpenVPN

Publié le 28/12/2007 @ 15:07:39,

Par rfr

fait nous un petit:

iptables -L FORWARD
iptables -t nat -L POSTROUTING

To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)

IPCop - OpenVPN

Publié le 28/12/2007 @ 15:27:21,

iptables -L FORWARD :

root@gateway:~ # iptables -L FORWARD
Chain FORWARD (policy DROP)
target prot opt source destination
ipac~fi all -- anywhere anywhere
ipac~fo all -- anywhere anywhere
BADTCP all -- anywhere anywhere
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
CUSTOMFORWARD all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
IPSECVIRTUAL all -- anywhere anywhere
OPENSSLVIRTUAL all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW
DROP all -- 127.0.0.0/8 anywhere state NEW
DROP all -- anywhere 127.0.0.0/8 state NEW
ACCEPT all -- anywhere anywhere state NEW
WIRELESSFORWARD all -- anywhere anywhere state NEW
REDFORWARD all -- anywhere anywhere
PORTFWACCESS all -- anywhere anywhere state NEW
LOG all -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `OUTPUT '

iptables -t nat -L POSTROUTING

root@gateway:~ # iptables -t nat -L POSTROUTING
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
CUSTOMPOSTROUTING all -- anywhere anywhere
REDNAT all -- anywhere anywhere
SNAT all -- anywhere anywhere MARK match 0x1 to:10.1.136.253

En espérant que ce soit plus clair pour vous que pour moi :grin:

IPCop - OpenVPN

Publié le 28/12/2007 @ 22:28:30,

Par rfr

han ben la règles que je t'ai fait ajouter ne sert à rien vu que la première règle est prises en compte :sad:

essaie les deux commandes suivantes puis reteste:

iptables -t nat -D POSTROUTING 1
iptables -t nat -D POSTROUTING 1

(c'est bien un 1 à la fin des deux lignes)

To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)

IPCop - OpenVPN

Publié le 29/12/2007 @ 10:39:29,

J'ai donc passer les deux commandes en question.
Pas de message de retour.

Voilà le résultat des deux commandes de diagnostique d'hier:

root@gateway:~ # iptables -L FORWARD
Chain FORWARD (policy DROP)
target prot opt source destination
ipac~fi all -- anywhere anywhere
ipac~fo all -- anywhere anywhere
BADTCP all -- anywhere anywhere
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
CUSTOMFORWARD all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
IPSECVIRTUAL all -- anywhere anywhere
OPENSSLVIRTUAL all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW
DROP all -- 127.0.0.0/8 anywhere state NEW
DROP all -- anywhere 127.0.0.0/8 state NEW
ACCEPT all -- anywhere anywhere state NEW
WIRELESSFORWARD all -- anywhere anywhere state NEW
REDFORWARD all -- anywhere anywhere
PORTFWACCESS all -- anywhere anywhere state NEW
LOG all -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `OUTPUT '
root@gateway:~ # iptables -t nat -L POSTROUTING
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- anywhere anywhere MARK match 0x1 to:10.1.136.253

Maintenant, un tracert vers une machine qui connait la route de retour me donne

C:\>tracert 10.1.136.185
Détermination de l'itinéraire vers 10.1.136.185 avec un maximum de 30 sauts.
1 29 ms 27 ms 28 ms 192.168.111.1
2 28 ms 29 ms 27 ms 10.1.136.185
Itinéraire déterminé.

Par contre, un ping vers une machine qui ne connait pas la route de retour ne fonctionne pas.
J'ai juste passer les deux lignes en questions, je n'ai rien fait d'autre.

Est-ce que je peux essayer autre chose?

IPCop - OpenVPN

Publié le 31/12/2007 @ 11:52:58,

Si un spécialiste passe dans le coin... :siffle:

zion

IPCop - OpenVPN

Publié le 31/12/2007 @ 11:57:35,

Par zion

Un spécialisse :aloy:

Désolé, c'était trop tentant :spamafote:

Je suis le Roy :ocube:

IPCop - OpenVPN

Publié le 31/12/2007 @ 13:41:22,

Par rfr

Faudrait que je me fasse un petit schéma et que je regarde ça à tête reposée. J'ai pas trop le temps aujourd'hui mais je te promet d'y regarder :wink:

To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)

IPCop - OpenVPN

Publié le 31/12/2007 @ 13:55:49,

merci rfr

Altar

IPCop - OpenVPN

Publié le 31/12/2007 @ 14:02:07,

Par Altar

Je jettrai un oeil aussi si j'ai le temps demain mon JC :ocube:

IPCop - OpenVPN

Publié le 31/12/2007 @ 14:03:36,

merci Altar :smile:

En fait, mon problème c'est que je n'y connais rien de ce côté là :spamafote:

Par contre quand vous me demander de faire ceci ou celà, ca me ferait plaisir de savoir pourquoi, histoire d'aller dormis moins bête que quand je me suis levé...

IPCop - OpenVPN

Publié le 08/01/2008 @ 15:22:54,

IPCop - OpenVPN

Publié le 08/01/2008 @ 15:56:26,

Par rfr

Bon, tu as du foiré quelque chose à la ligne iptables parce que tu aurais du avoir quelque chose du genre:

target prot opt source destination
SNAT all -- 192.168.111.0/24 anywhere to:10.1.136.253

donc on recommence ...

iptables -t nat -F POSTROUTING

iptables -t nat -A POSTROUTING -s 192.168.111.0/24 -j SNAT --to 10.1.136.253
ou mieux (pour ne pas se connecter ailleurs que sur le lan)
iptables -t nat -A POSTROUTING -s 192.168.111.0/24 -d 10.1.136.0/24 -j SNAT --to 10.1.136.253

iptables -t nat -L POSTROUTING

Donne le résultat de la dernière commande ...

Dernière édition: 08/01/2008 @ 15:56:55

To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)

IPCop - OpenVPN

Publié le 08/01/2008 @ 16:08:07,

Voilà...
ca donne

root@gateway:~ # iptables -t nat -L POSTROUTING
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- 192.168.111.0/24 10.1.136.0/24 to:10.1.136.253

IPCop - OpenVPN

Publié le 08/01/2008 @ 16:10:07,

ca marche!!!

:youpi:

IPCop - OpenVPN

Publié le 08/01/2008 @ 16:10:24,

Et maintenant, tu peux me dire en deux mots ce que j'ai fait?

Citation de: Jean-Christophe

IPCop - OpenVPN

Publié le 08/01/2008 @ 17:51:44,

Par rfr

Et maintenant, tu peux me dire en deux mots ce que j'ai fait?

En gros, on dit au proxy que pour tout paquet qui vient du réseau VPN (192.168.111.0/24) et qui va vers le réseau LAN (10.1.136.0/24), il doit faire du NAT avec comme source l'IP du proxy. Il remplace donc l'ip source du paquet par la sienne. Quand il reçoit un paquet de réponse, il sait qu'il doit rechanger la destination en regardant dans une table de correspondance DESTINATION-PORT/IP-ADDRESS.

To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)

IPCop - OpenVPN

Publié le 08/01/2008 @ 20:33:50,

J'irai dormir plus malin ce soir!

Merci beaucoup en tous cas!

IPCop - OpenVPN

Publié le 09/01/2008 @ 09:32:05,

Par rfr

Tu as en fait configuré de manière un peu plus spécifique ce que tout les routeurs "grand public" font de manière automatique.

De rien, un plaisir d'avoir pu t'aider :wink:

Dernière édition: 09/01/2008 @ 09:33:46

To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)

IPCop - OpenVPN

Publié le 22/01/2008 @ 13:57:51,

Hey

Alors, ca fonctionne jusqu'à ce que ca ne fonctione plus...
J'ai pas trouvé pourquoi mais depuis quelques jours, ca ne marche plus.
J'ai refais un iptables -t nat -L POSTROUTING et j'ai constaté que les trucs que j'y avais mis (grâce à Fred) n'y étaient plus.
J'ai donc refait la petite procédure en question et ca refonctionne!

IPCop - OpenVPN

Publié le 22/01/2008 @ 14:01:03,