Sujet: IPCop - OpenVPN
28/12/2007 @ 15:07:39: rfr: IPCop - OpenVPN
fait nous un petit:

iptables -L FORWARD
iptables -t nat -L POSTROUTING
28/12/2007 @ 15:27:21: Jean-Christophe: IPCop - OpenVPN
iptables -L FORWARD :
Spoiler:
root@gateway:~ # iptables -L FORWARD
Chain FORWARD (policy DROP)
target prot opt source destination
ipac~fi all -- anywhere anywhere
ipac~fo all -- anywhere anywhere
BADTCP all -- anywhere anywhere
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
CUSTOMFORWARD all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
IPSECVIRTUAL all -- anywhere anywhere
OPENSSLVIRTUAL all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW
DROP all -- 127.0.0.0/8 anywhere state NEW
DROP all -- anywhere 127.0.0.0/8 state NEW
ACCEPT all -- anywhere anywhere state NEW
WIRELESSFORWARD all -- anywhere anywhere state NEW
REDFORWARD all -- anywhere anywhere
PORTFWACCESS all -- anywhere anywhere state NEW
LOG all -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `OUTPUT '


iptables -t nat -L POSTROUTING
Spoiler:
root@gateway:~ # iptables -t nat -L POSTROUTING
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
CUSTOMPOSTROUTING all -- anywhere anywhere
REDNAT all -- anywhere anywhere
SNAT all -- anywhere anywhere MARK match 0x1 to:10.1.136.253


En espérant que ce soit plus clair pour vous que pour moi :grin:
28/12/2007 @ 22:28:30: rfr: IPCop - OpenVPN
han ben la règles que je t'ai fait ajouter ne sert à rien vu que la première règle est prises en compte :sad:

essaie les deux commandes suivantes puis reteste:

iptables -t nat -D POSTROUTING 1
iptables -t nat -D POSTROUTING 1

(c'est bien un 1 à la fin des deux lignes)
29/12/2007 @ 10:39:29: Jean-Christophe: IPCop - OpenVPN
J'ai donc passer les deux commandes en question.
Pas de message de retour.

Voilà le résultat des deux commandes de diagnostique d'hier:
Spoiler:
root@gateway:~ # iptables -L FORWARD
Chain FORWARD (policy DROP)
target prot opt source destination
ipac~fi all -- anywhere anywhere
ipac~fo all -- anywhere anywhere
BADTCP all -- anywhere anywhere
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
CUSTOMFORWARD all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
IPSECVIRTUAL all -- anywhere anywhere
OPENSSLVIRTUAL all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW
DROP all -- 127.0.0.0/8 anywhere state NEW
DROP all -- anywhere 127.0.0.0/8 state NEW
ACCEPT all -- anywhere anywhere state NEW
WIRELESSFORWARD all -- anywhere anywhere state NEW
REDFORWARD all -- anywhere anywhere
PORTFWACCESS all -- anywhere anywhere state NEW
LOG all -- anywhere anywhere limit: avg 10/min burst 5 LOG level warning prefix `OUTPUT '
root@gateway:~ # iptables -t nat -L POSTROUTING
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- anywhere anywhere MARK match 0x1 to:10.1.136.253


Maintenant, un tracert vers une machine qui connait la route de retour me donne
Spoiler:
C:\>tracert 10.1.136.185
Détermination de l'itinéraire vers 10.1.136.185 avec un maximum de 30 sauts.
1 29 ms 27 ms 28 ms 192.168.111.1
2 28 ms 29 ms 27 ms 10.1.136.185
Itinéraire déterminé.

Par contre, un ping vers une machine qui ne connait pas la route de retour ne fonctionne pas.
J'ai juste passer les deux lignes en questions, je n'ai rien fait d'autre.

Est-ce que je peux essayer autre chose?
31/12/2007 @ 11:52:58: Jean-Christophe: IPCop - OpenVPN
Si un spécialiste passe dans le coin... :siffle:
31/12/2007 @ 11:57:35: zion: IPCop - OpenVPN
Un spécialisse :aloy:

Désolé, c'était trop tentant :spamafote:
31/12/2007 @ 13:41:22: rfr: IPCop - OpenVPN
Faudrait que je me fasse un petit schéma et que je regarde ça à tête reposée. J'ai pas trop le temps aujourd'hui mais je te promet d'y regarder :wink:
31/12/2007 @ 13:55:49: Jean-Christophe: IPCop - OpenVPN
merci rfr :smile:
31/12/2007 @ 14:02:07: Altar: IPCop - OpenVPN
Je jettrai un oeil aussi si j'ai le temps demain mon JC :ocube:
31/12/2007 @ 14:03:36: Jean-Christophe: IPCop - OpenVPN
merci Altar :smile:

En fait, mon problème c'est que je n'y connais rien de ce côté là :spamafote:

Par contre quand vous me demander de faire ceci ou celà, ca me ferait plaisir de savoir pourquoi, histoire d'aller dormis moins bête que quand je me suis levé...
08/01/2008 @ 15:22:54: Jean-Christophe: IPCop - OpenVPN
:dawaup:
08/01/2008 @ 15:56:26: rfr: IPCop - OpenVPN
Bon, tu as du foiré quelque chose à la ligne iptables parce que tu aurais du avoir quelque chose du genre:


target prot opt source destination
SNAT all -- 192.168.111.0/24 anywhere to:10.1.136.253


donc on recommence ...

iptables -t nat -F POSTROUTING

iptables -t nat -A POSTROUTING -s 192.168.111.0/24 -j SNAT --to 10.1.136.253
ou mieux (pour ne pas se connecter ailleurs que sur le lan)
iptables -t nat -A POSTROUTING -s 192.168.111.0/24 -d 10.1.136.0/24 -j SNAT --to 10.1.136.253

iptables -t nat -L POSTROUTING

Donne le résultat de la dernière commande ...
08/01/2008 @ 16:08:07: Jean-Christophe: IPCop - OpenVPN
Voilà...
ca donne
root@gateway:~ # iptables -t nat -L POSTROUTING
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- 192.168.111.0/24 10.1.136.0/24 to:10.1.136.253
08/01/2008 @ 16:10:07: Jean-Christophe: IPCop - OpenVPN
ca marche!!!

:youpi:
08/01/2008 @ 16:10:24: Jean-Christophe: IPCop - OpenVPN
Et maintenant, tu peux me dire en deux mots ce que j'ai fait?
08/01/2008 @ 17:51:44: rfr: IPCop - OpenVPN
Citation de: Jean-Christophe
Et maintenant, tu peux me dire en deux mots ce que j'ai fait?


En gros, on dit au proxy que pour tout paquet qui vient du réseau VPN (192.168.111.0/24) et qui va vers le réseau LAN (10.1.136.0/24), il doit faire du NAT avec comme source l'IP du proxy. Il remplace donc l'ip source du paquet par la sienne. Quand il reçoit un paquet de réponse, il sait qu'il doit rechanger la destination en regardant dans une table de correspondance DESTINATION-PORT/IP-ADDRESS.
08/01/2008 @ 20:33:50: Jean-Christophe: IPCop - OpenVPN
J'irai dormir plus malin ce soir!

Merci beaucoup en tous cas!
09/01/2008 @ 09:32:05: rfr: IPCop - OpenVPN
Tu as en fait configuré de manière un peu plus spécifique ce que tout les routeurs "grand public" font de manière automatique.

De rien, un plaisir d'avoir pu t'aider :wink:
22/01/2008 @ 13:57:51: Jean-Christophe: IPCop - OpenVPN
Hey :smile:
Alors, ca fonctionne jusqu'à ce que ca ne fonctione plus...
J'ai pas trouvé pourquoi mais depuis quelques jours, ca ne marche plus.
J'ai refais un iptables -t nat -L POSTROUTING et j'ai constaté que les trucs que j'y avais mis (grâce à Fred) n'y étaient plus.
J'ai donc refait la petite procédure en question et ca refonctionne!
22/01/2008 @ 14:01:03: Jean-Christophe: IPCop - OpenVPN
Bon, voilà...
Si je reboot, ca fait sauter la config. :sad:

une idée?
Retour