VPN SSH et routage flux vidéo

Le
Jérémie
Bonjour à tous,

J'espère ne pas me tromper de groupe, si c'est le cas je m'en excuse
d'avance.

Voilà, j'ai deux réseaux A (192.168.1.0/24) et B (192.168.68.0/24).
A possède un routeur Draytek 192.168.1.254 qui fait aussi office de
serveur VPN.

Le serveur de B (Debian, 192.168.68.70 sur interface eth0) se connecte à
A et reçoit l'IP 192.168.1.1 sur l'interface ppp0.

B ping parfaitement n'importe quelle machine de A, mais pas l'inverse
(nexthops, hosts unreachable).

J'ai tenté d'écrire des règles iptables pour pouvoir atteindre deux
caméras situées sur B (192.168.68.165:8085 et 192.168.68.166:8086) mais
aucune d'elles ne satisfait mes requêtes.

Je précise que l'IP forwarding est activé.

Comme je découvre iptables, pourriez-vous me donner un coup de pouce ?

Merci d'vance,

Jérémie
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Pascal Hambourg
Le #870989
Salut,


Voilà, j'ai deux réseaux A (192.168.1.0/24) et B (192.168.68.0/24).
A possède un routeur Draytek 192.168.1.254 qui fait aussi office de
serveur VPN.

Le serveur de B (Debian, 192.168.68.70 sur interface eth0) se connecte à
A et reçoit l'IP 192.168.1.1 sur l'interface ppp0.

B ping parfaitement n'importe quelle machine de A, mais pas l'inverse
(nexthops, hosts unreachable...).


Que contiennent les tables de routage des deux routeurs lorsque le VPN
est établi ? Notamment, le routeur de A possède-t-il une route vers le
réseau B ?
Quelles sont les règles iptables sur le routeur Debian (iptables-save) ?
Quel rapport avec SSH qui figure dans le sujet ?

Jérémie
Le #870986
Le Thu, 30 Aug 2007 11:00:09 +0200, Pascal Hambourg a écrit :

Salut,


Voilà, j'ai deux réseaux A (192.168.1.0/24) et B (192.168.68.0/24).
A possède un routeur Draytek 192.168.1.254 qui fait aussi office de
serveur VPN.

Le serveur de B (Debian, 192.168.68.70 sur interface eth0) se connecte à
A et reçoit l'IP 192.168.1.1 sur l'interface ppp0.

B ping parfaitement n'importe quelle machine de A, mais pas l'inverse
(nexthops, hosts unreachable...).


Que contiennent les tables de routage des deux routeurs lorsque le VPN
est établi ? Notamment, le routeur de A possède-t-il une route vers le
réseau B ?
Quelles sont les règles iptables sur le routeur Debian (iptables-save) ?
Quel rapport avec SSH qui figure dans le sujet ?
Pour A :

Table de routage du routeur Draytek (qui s'occupe de la connexion VPN) :
Destination Gateway Subnet Mask Flags Interface
192.168.1.1 * 255.255.255.255 UH ppp4
193.253.160.3 * 255.255.255.255 UH ppp1
193.253.160.3 * 255.255.255.255 UH ipsec1
82.240.41.0 * 255.255.255.0 U vlan10
82.240.41.0 * 255.255.255.0 U ipsec0
192.168.1.0 * 255.255.255.0 U eth0
127.0.0.0 * 255.0.0.0 U lo
192.168.68.0 192.168.1.1 255.255.255.0 UG eth0
80.10.246.0 193.253.160.3 255.255.255.0 UG ppp1
212.27.54.0 82.240.41.254 255.255.255.0 UG vlan10
212.27.53.0 82.240.41.254 255.255.255.0 UG vlan10

Tu remarqueras la ligne :
192.168.68.0 192.168.1.1 255.255.255.0 UG eth0
qui indique un chemin vers B.

Les règles iptables du routeur Debian :

# Generated by iptables-save v1.3.6 on Thu Aug 30 11:08:58 2007
*nat
:PREROUTING ACCEPT [1898:91554]
:POSTROUTING ACCEPT [438:26460]
:OUTPUT ACCEPT [38:5914]
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 8085 -j DNAT --to-destination 192.168.68.165:8085
COMMIT
# Completed on Thu Aug 30 11:08:58 2007
# Generated by iptables-save v1.3.6 on Thu Aug 30 11:08:58 2007
*filter
:INPUT ACCEPT [91296:66569842]
:FORWARD ACCEPT [1666:85693]
:OUTPUT ACCEPT [84732:9042357]
-A FORWARD -s 192.168.68.165 -i eth0 -o ppp0 -p tcp -m tcp --sport 8085 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.68.165 -i ppp0 -o eth0 -p tcp -m tcp --dport 8085 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT

Et enfin pour SSH, laisse tomber, j'avais juste une pensée envers un
serveur ssh, et j'ai écrit ssh sans faire gaffe, en effet, aucun rapport.


Pascal Hambourg
Le #870985

Pour A :
Table de routage du routeur Draytek (qui s'occupe de la connexion VPN) :
Destination Gateway Subnet Mask Flags Interface
192.168.1.1 * 255.255.255.255 UH ppp4
192.168.1.0 * 255.255.255.0 U eth0
192.168.68.0 192.168.1.1 255.255.255.0 UG eth0
[J'ai viré les routes sans rapport avec le problème]

Tu remarqueras la ligne :
192.168.68.0 192.168.1.1 255.255.255.0 UG eth0
qui indique un chemin vers B.


Oui, mais elle n'a pas la bonne interface. Si je ne m'abuse, ça devrait
être ppp4. Je me demande comment le routeur a laissé enregistrer un
route pareille avec une passerelle et une interface incohérentes.
Et la table de routage du routeur Debian ?

Les règles iptables du routeur Debian :

# Generated by iptables-save v1.3.6 on Thu Aug 30 11:08:58 2007
*nat
:PREROUTING ACCEPT [1898:91554]
:POSTROUTING ACCEPT [438:26460]
:OUTPUT ACCEPT [38:5914]
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 8085 -j DNAT --to-destination 192.168.68.165:8085
COMMIT


Pas de règle SNAT ou MASQUERADE ? Dans ce cas, vu que la route de retour
sur le routeur Draytek ne marchera pas je ne vois pas comment le ping
d'une machine de B autre que le routeur Debian peut recevoir une réponse
d'une machine de A.

La règle DNAT a l'air bonne, si l'interface ppp0 est correcte.
Tes requêtes, tu les envoies bien à 192.168.1.1:8085 ?

Tu as fait des captures du trafic réseau sur les différentes interfaces
le long du chemin pour voir où ça coince ?

# Completed on Thu Aug 30 11:08:58 2007
# Generated by iptables-save v1.3.6 on Thu Aug 30 11:08:58 2007
*filter
:INPUT ACCEPT [91296:66569842]
:FORWARD ACCEPT [1666:85693]
:OUTPUT ACCEPT [84732:9042357]
-A FORWARD -s 192.168.68.165 -i eth0 -o ppp0 -p tcp -m tcp --sport 8085 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.68.165 -i ppp0 -o eth0 -p tcp -m tcp --dport 8085 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT


Les règles ACCEPT dans FORWARD sont redondantes dans la mesure où la
politique par défaut de cette chaîne est déjà ACCEPT.

Jérémie
Le #870793
Le Thu, 30 Aug 2007 12:09:36 +0200, Pascal Hambourg a écrit :


Oui, mais elle n'a pas la bonne interface. Si je ne m'abuse, ça devrait
être ppp4. Je me demande comment le routeur a laissé enregistrer un
route pareille avec une passerelle et une interface incohérentes.
Et la table de routage du routeur Debian ?


La voici :

Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
192.168.1.254 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.68.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.1.0 192.168.1.1 255.255.255.0 UG 0 0 0 ppp0
169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 eth0
0.0.0.0 192.168.68.1 0.0.0.0 UG 0 0 0 eth0


Pour information 192.168.68.1 représente une Livebox.

Quant à la table du routeur, préciseément l'entrée qui est fautive
selon toi, c'est une route statique que j'ai pu ajouter via une interface
web, mais qui ne me laisse aucunement le choix de l'interface réseau...

Pascal Hambourg
Le #870791

Et la table de routage du routeur Debian ?


Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
192.168.1.254 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.68.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.1.0 192.168.1.1 255.255.255.0 UG 0 0 0 ppp0
0.0.0.0 192.168.68.1 0.0.0.0 UG 0 0 0 eth0

Pour information 192.168.68.1 représente une Livebox.


Donc si je comprends bien, le routeur Debian n'est pas la passerelle par
défaut des autres machines du réseau A. Comment celles-ci savent-elles
comment atteindre le réseau B ?

Quant à la table du routeur, préciseément l'entrée qui est fautive
selon toi, c'est une route statique que j'ai pu ajouter via une interface
web, mais qui ne me laisse aucunement le choix de l'interface réseau...


Il faut espérer que l'adresse de passerelle prime et que l'interface est
ignorée...

Peux-tu ajouter la règle suivant sur le routeur Debian :

iptables -t nat -A POSTROUTING -o ! lo -j MASQUERADE

et voir ce qui se passe quand tu essaies d'accéder à la caméra par
192.168.1.1:8085 depuis le réseau B ? C'est juste un test, pas une solution.


Jérémie
Le #870790

Et la table de routage du routeur Debian ?


Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref
Use Iface
192.168.1.254 0.0.0.0 255.255.255.255 UH 0 0
0 ppp0
192.168.68.0 0.0.0.0 255.255.255.0 U 0 0
0 eth0
192.168.1.0 192.168.1.1 255.255.255.0 UG 0 0
0 ppp0
0.0.0.0 192.168.68.1 0.0.0.0 UG 0 0
0 eth0

Pour information 192.168.68.1 représente une Livebox.


Donc si je comprends bien, le routeur Debian n'est pas la passerelle par
défaut des autres machines du réseau A. Comment celles-ci savent-elles
comment atteindre le réseau B ?



Non, celles autres machines sortent directement sur le net (à part les
caméras, qui elles devraient passer sur la Debian, d'ailleurs, leur
passerelle est 192.168.68.70, soit eth0 de la Debian).

Quant à la table du routeur, préciseément l'entrée qui est fautive
selon toi, c'est une route statique que j'ai pu ajouter via une interface
web, mais qui ne me laisse aucunement le choix de l'interface réseau...


Il faut espérer que l'adresse de passerelle prime et que l'interface est
ignorée...

Peux-tu ajouter la règle suivant sur le routeur Debian :

iptables -t nat -A POSTROUTING -o ! lo -j MASQUERADE

et voir ce qui se passe quand tu essaies d'accéder à la caméra par
192.168.1.1:8085 depuis le réseau B ? C'est juste un test, pas une
solution.


Que ce soit de A ou de B, aucun connexion possible par telnet sur le
port 8085.

Je pense à une chose, peut-être me conseillerais - tu de rajouter une
carte à mon poste Debian, et d'y connecter la Live Box ?
S'il n'y a pas d'aute solution OK, mais si tu vois quelque chose qui
pourrait m'éviter ça ...



Jérémie
Le #870789
Il faut espérer que l'adresse de passerelle prime et que l'interface est
ignorée...

Peux-tu ajouter la règle suivant sur le routeur Debian :

iptables -t nat -A POSTROUTING -o ! lo -j MASQUERADE

et voir ce qui se passe quand tu essaies d'accéder à la caméra par
192.168.1.1:8085 depuis le réseau B ? C'est juste un test, pas une
solution.


Bonne nouvelle : suite à l'édition de cette règle, l'une des deux
caméras a commencé a m'envoyer par mail les enregistrements des
"intrusions" qu'elle détecte.

Sachant que la caméra a l'IP 192.168.68.166, et que le serveur de mail
est à l'IP 192.168.1.2 ....

draytek-france
Le #22376791
Jérémie a écrit le 30/08/2007 à 20h08 :
Il faut espérer que l'adresse de passerelle prime et que l'interface
est
ignorée...

Peux-tu ajouter la règle suivant sur le routeur Debian :

iptables -t nat -A POSTROUTING -o ! lo -j MASQUERADE

et voir ce qui se passe quand tu essaies d'accéder à la
caméra par
192.168.1.1:8085 depuis le réseau B ? C'est juste un test, pas une
solution.



Bonne nouvelle : suite à l'édition de cette règle, l'une
des deux
caméras a commencé a m'envoyer par mail les enregistrements des
"intrusions" qu'elle détecte.

Sachant que la caméra a l'IP 192.168.68.166, et que le serveur de mail
est à l'IP 192.168.1.2 ....


Bonjour à tous,

Nous répondons à cet ancien post pour apporter de nouvelles précisions.
Draytek a ouvert un bureau en France depuis 2008. La distribution des produits Draytek est désormais structurée et fiable :

- Réseau de partenaires grossistes et revendeurs.
- Formation et certification.
- Support technique : joignable par email et/ou par téléphone au:
01 75 43 28 72 de 9h à 18h du lundi au Vendredi.
- SAV
- Extension de garantie

Pour toute information sur nos produits et nos nouveautés ,nous vous invitons à visiter notre site web francais: www.draytek-france.fr , à nous envoyer un email à l'adresse ou encore nous joindre par téléphone au 01 75 43 28 70.


L'équipe Draytek France
Publicité
Poster une réponse
Anonyme