Bonjour,
j'ai un réseau client OpenVPN qnap TS-259 Pro :
bond0 192.168.118.1
tun0 10.8.4.14
Client de ce reseau :
192.168.118.122
Serveur OpenVPN :
eth0 192.168.200.121
tun0 10.8.4.1
Client de ce reseau :
eth0 192.168.200.110
Le ping marche entre tout.
j'ai ouvert en input, forward, les port 137,138,139,445 sur le server openvpn.
nmap des ports 137,138,139,445 sur le 192.168.118.1 depuis 192.168.200.121 dit qu'ils sont ouvert. :
nmap 192.168.118.1
Starting Nmap 5.00 ( http://nmap.org ) at 2010-09-15 16:14 CEST
Interesting ports on 192.168.118.1:
Not shown: 988 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
53/tcp open domain
80/tcp open http
139/tcp open netbios-ssn
443/tcp open https
445/tcp open microsoft-ds
515/tcp open printer
548/tcp open afp
3493/tcp open unknown
8080/tcp open http-proxy
49152/tcp open unknown
Par contre depuis 192.168.200.110 il ne les trouvent pas :
nmap 192.168.118.1
Starting Nmap 4.20 ( http://insecure.org ) at 2010-09-15 16:29 CEST
Interesting ports on 192.168.118.1:
Not shown: 1692 filtered ports
PORT STATE SERVICE
22/tcp open ssh
79/tcp closed finger
80/tcp open http
113/tcp closed auth
143/tcp closed imap
le ip_forward est activez partout.
pour moi je pense a un problème de iptables, mais je ne vois pas ou, vu que j'ai tout ouvert sur le serveur OenVPN.
Si vous avez des idees, merci.
Forum Linux.général QNAP + Openvpn + iptablesproblème d'acces samba, vnc et autres entre deux reseaux
15
sept.
2010
# client
Posté par Yves Bourguignon . Évalué à 1.
Je pencherai plutôt pour chercher sur 200.110. T'as essayé d'interroger le même (118.1) depuis 118.222 pour voir ?
Autre idée, si tu disposes d'un autre pc côté 200, ça peut causer plus rapidement...
[^] # Re: client
Posté par seba74 . Évalué à 1.
iptables-save
# Generated by iptables-save v1.3.5 on Thu Sep 16 16:56:00 2010
*mangle
:PREROUTING ACCEPT [24615602:4550357521]
:INPUT ACCEPT [17461124:2996140164]
:FORWARD ACCEPT [7154241:1554196550]
:OUTPUT ACCEPT [8970289:1694975517]
:POSTROUTING ACCEPT [14543623:3129211108]
COMMIT
# Completed on Thu Sep 16 16:56:00 2010
# Generated by iptables-save v1.3.5 on Thu Sep 16 16:56:00 2010
*nat
:PREROUTING ACCEPT [12983423:1275834034]
:POSTROUTING ACCEPT [179381:14969976]
:OUTPUT ACCEPT [124404:8304961]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 128.2.30.30:3389
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -d 128.2.30.30 -p tcp -m tcp --dport 3389 -j SNAT --to-source 128.2.1.205
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o tun0 -j MASQUERADE
COMMIT
# Completed on Thu Sep 16 16:56:00 2010
# Generated by iptables-save v1.3.5 on Thu Sep 16 16:56:00 2010
*filter
:INPUT DROP [1:128]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [7148764:1397756758]
:block - [0:0]
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A INPUT -j block
-A INPUT -p tcp -m tcp --dport 137 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m udp --dport 137 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 138 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m udp --dport 138 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 139 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m udp --dport 139 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 445 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m udp --dport 445 -m state --state NEW -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A FORWARD -j block
-A FORWARD -p tcp -m tcp --dport 137 -m state --state NEW -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 138 -m state --state NEW -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 139 -m state --state NEW -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 445 -m state --state NEW -j ACCEPT
-A FORWARD -p udp -m udp --dport 445 -m state --state NEW -j ACCEPT
-A FORWARD -p udp -m udp --dport 139 -m state --state NEW -j ACCEPT
-A FORWARD -p udp -m udp --dport 138 -m state --state NEW -j ACCEPT
-A FORWARD -p udp -m udp --dport 137 -m state --state NEW -j ACCEPT
-A FORWARD -p udp -m udp --dport 137 -m state --state NEW -j ACCEPT
-A FORWARD -p udp -m udp --dport 137 -m state --state NEW -j ACCEPT
-A FORWARD -p udp -m udp --dport 138 -m state --state NEW -j ACCEPT
-A FORWARD -p udp -m udp --dport 138 -m state --state NEW -j ACCEPT
-A FORWARD -p udp -m udp --dport 139 -m state --state NEW -j ACCEPT
-A FORWARD -p udp -m udp --dport 139 -m state --state NEW -j ACCEPT
-A FORWARD -p udp -m udp --dport 445 -m state --state NEW -j ACCEPT
-A FORWARD -p udp -m udp --dport 445 -m state --state NEW -j ACCEPT
-A FORWARD -i tun0 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o tun0 -j ACCEPT
-A block -m state --state INVALID -j DROP
-A block -m state --state RELATED,ESTABLISHED -j ACCEPT
-A block -i ! eth0 -m state --state NEW -j ACCEPT
-A block -p udp -m udp --sport 53 -j ACCEPT
-A block -i eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A block -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
-A block -p udp -m udp --dport 22 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 79 -m state --state NEW -j ACCEPT
-A block -p udp -m udp --dport 79 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 113 -m state --state NEW -j ACCEPT
-A block -p udp -m udp --dport 113 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 143 -m state --state NEW -j ACCEPT
-A block -p udp -m udp --dport 143 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 3389 -m state --state NEW -j ACCEPT
-A block -p udp -m udp --dport 3389 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 6524 -m state --state NEW -j ACCEPT
-A block -p udp -m udp --dport 6524 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A block -p udp -m udp --dport 80 -m state --state NEW -j ACCEPT
-A block -p udp -m udp --dport 1194 -m state --state NEW -j ACCEPT
-A block -p udp -m udp --dport 1195 -m state --state NEW -j ACCEPT
-A block -p udp -m udp --dport 6524 -m state --state NEW -j ACCEPT
-A block -j LOG --log-prefix "DENY TCP connect "
-A block -j DROP
-A block -p tcp -m tcp --dport 137 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 138 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 139 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 445 -m state --state NEW -j ACCEPT
-A block -p udp -m udp --dport 445 -m state --state NEW -j ACCEPT
-A block -p udp -m udp --dport 139 -m state --state NEW -j ACCEPT
-A block -p udp -m udp --dport 138 -m state --state NEW -j ACCEPT
-A block -p udp -m udp --dport 137 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 137 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 137 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 138 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 138 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 139 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 139 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 445 -m state --state NEW -j ACCEPT
-A block -p tcp -m tcp --dport 445 -m state --state NEW -j ACCEPT
COMMIT
# Completed on Thu Sep 16 16:56:00 2010
Pour moi je ne vois pas d'erreur?
[^] # Re: client
Posté par nono14 (site web personnel) . Évalué à 1.
Système - Réseau - Sécurité Open Source
# Le ping passe mais le reste a du mal?
Posté par maxix . Évalué à 2.
http://openvpn.net/archive/openvpn-devel/2003-12/msg00001.ht(...)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.