Accueil Problèmes et solutions
routeur4g.fr est financé par ses lecteurs. Quand vous achetez en passant par les liens du site, nous pouvons toucher une commission d’affiliation.

probleme de configuration IPTABLES - Acces LAN à travers VPN Client Synology et VPN Serveur VPS OVH

kryz70frkryz70fr Membre Messages: 20
Modifié (novembre 2019) dans Problèmes et solutions
Hello,

je galère dans mes règles IPTABLES.

J'ai un Kimsufi chez OVH en debian 9 ou j'ai monté un OPENVPN Serveur
Sur mon NAS Synology j'ai connecté le client VPN vers le Kimsufi

je voudrais accèder à l'interface DSM de mon synology à travers le VPN. (http sur le port 5000)

Browser internet -> IP Publique Kimsufi 176.xx.yy.zz -> IP VPN Serveur 10.8.0.1 -> IP VPN Client 10.8.0.2 -> IP NAS 10.0.0.5:5000 (IP LAN)

avec tcpdump, je vois bien des traces retour sur mon synology en http 200 vers l'IP du VPN serveur 10.8.0.1

   10.8.0.2.5000 > 10.8.0.1.4079: Flags [.], cksum 0x9c17 (correct), seq 1:1278, ack 443, win 215, options [nop,nop,TS val 7295983 ecr 1302423067], length 1277
        0x0000:  4500 0531 c851 4000 4006 5963 0a08 0002  E..1.Q@.@.Yc....
        0x0010:  0a08 0001 1388 0fef f976 8862 0a23 729d  .........v.b.#r.
        0x0020:  8010 00d7 9c17 0000 0101 080a 006f 53ef  .............oS.
        0x0030:  4da1 661b 4854 5450 2f31 2e31 2032 3030  M.f.HTTP/1.1.200
        0x0040:  204f 4b0d 0a53 6572 7665 723a 206e 6769  .OK..Server:.ngi
        0x0050:  6e78 0d0a 4461 7465 3a20 4672 692c 2032  nx..Date:.Fri,.2
        0x0060:  3220 4e6f 7620 3230 3139 2030 393a 3238  2.Nov.2019.09:28


et je bloque la ... il me manque quelque chose entre le 10.8.0.1 et l'IP publique je pense, ou peut etre du SNAT ?



#!/bin/bash
# Flushing all rules
iptables -F FORWARD
iptables -F INPUT
iptables -F OUTPUT
iptables -X
# Setting default filter policy
#iptables -P INPUT DROP
#iptables -P OUTPUT DROP
#iptables -P FORWARD DROP
# Allow unlimited traffic on loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Accept inbound TCP packets
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allow incoming SSH
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT

# Allow incoming OpenVPN
iptables -A INPUT -p udp --dport 1194 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT

# Accept outbound packets
iptables -I OUTPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Allow DNS outbound
iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT

# Allow HTTP outbound
iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT

# Allow HTTPS outbound
iptables -A OUTPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT

# Enable NAT for the VPN
iptables -A INPUT -p tcp --dport 5000 -m state --state NEW -s 0.0.0.0/0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5000 -j DNAT --to 176.xx.yy.zz
iptables -t nat -A POSTROUTING -s 10.8.0.1/32 -j SNAT --to-source 176.xx.yy.zz
iptables -A FORWARD -d 10.8.0.2/32 -p tcp -m tcp -j ACCEPT

# Allow TUN interface connections to OpenVPN server
iptables -A INPUT -i tun0 -j ACCEPT

# Allow TUN interface connections to be forwarded through other interfaces
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Allow outbound access to all networks on the Internet from the VPN
iptables -A FORWARD -i tun0 -s 10.8.0.0/24 -d 0.0.0.0/0 -j ACCEPT
iptables -A FORWARD -s 10.8.0.0/24 -o eth0 -j ACCEPT


iptables -t filter -A INPUT -p tcp --dport 5000 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 5000 -j ACCEPT
Message edité par ludovick on

Réponses

  • oga83oga83 Membre Messages: 1121
    Modifié (novembre 2019)
    Tu as bien activé l'ip forwarding du kernel pour router 176.xx.yy.zz vers 10.8.0.1 ?
    echo 1 > /proc/sys/net/ipv4/ip_forward
    [EDIT] Vérifie également que l'ip forwarding est actif sur ton NAS (pour activer le routage 10.8.0.2 vers 10.0.0.5). Sur mon Synology, ce n'est pas activé par défaut.

  • kryz70frkryz70fr Membre Messages: 20
    L'ip_forward est bien à 1 des deux cotés.



    tu as postés tes règles quelque part que j'essaye de les adapter ?
  • kryz70frkryz70fr Membre Messages: 20
    Oui, bon entre temps j’ai touché à quelque chose et ça fonctionne plus du tout, je m’y remet lundi, je n’aurai pas le temps ce week.

    si tu as la même config, peut être que je peux mettre tes règles ?
  • oga83oga83 Membre Messages: 1121
    Je n'utilise le VPN vers un VPS que pour le trafic sortant.
    Du coup, les iptables côté VPS sont beaucoup plus simples car c'est un simple nat :
    iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o enp0s1 -j MASQUERADE
    Avec bien-sûr iptables-persistent et l'ip_forward.
    Côté LAN, le VPN est créé par mon routeur Ubiquity (derrière le routeur 4G), pas par mon Syno. Les détails sont ici.

    Pour le trafic entrant, je n'utilise plus le VPN. Je préfère maintenant un reverse-autossh qui permet un contrôle plus fin des ports et des destinations LAN. Voir mon tuto ici.
  • kryz70frkryz70fr Membre Messages: 20
    Merci oga, je regarde tout cela
  • kryz70frkryz70fr Membre Messages: 20
    olga, j'ai changé mon fusil d'epaule ... merci de m'avoir initié au tunnel ssh reverse.

    J'ai installé cela entre mon VPS et mon routeur Netgear R7000 qui tourne sous AdvancedTomato, cela fonctionne bien.

    j'ai juste tester une connexion web vers l'interface d'admin de mon NAS, et vers l'interface d'admin du routeur à travers l'addresse IP du VPS ... ca fonctionne et c'est super rapide.

    un mix de ton tuto et de celui la (http://davidhsiehlo.com/bypassing-a-nat-slash-firewall-by-reverse-ssh-tunneling.html)

    Ouverture automatique du tunnel au lancement du routeur.

    faut que j'explorer encore un peu, surtout pour refermer les tunnels (je n'ai trouver que le kill pour cela)


  • oga83oga83 Membre Messages: 1121
    kryz70fr a dit :
    faut que j'explorer encore un peu, surtout pour refermer les tunnels (je n'ai trouver que le kill pour cela)
    C'est bien comme cela qu'il faut faire.
  • JeanMarieJeanMarie Membre Messages: 2782
    Ah bon ?
    ce n'est avec le fil rouge sur le bouton rouge  :lol:


Connectez-vous ou Inscrivez-vous pour répondre.