Forum Linux.général QNAP + Openvpn + iptablesproblème d'acces samba, vnc et autres entre deux reseaux

Posté par  .
Étiquettes : aucune
0
15
sept.
2010
Bonjour,

j'ai un réseau client OpenVPN qnap TS-259 Pro :
bond0 192.168.118.1
tun0 10.8.4.14

Client de ce reseau :
192.168.118.122


Serveur OpenVPN :

eth0 192.168.200.121
tun0 10.8.4.1

Client de ce reseau :
eth0 192.168.200.110


Le ping marche entre tout.
j'ai ouvert en input, forward, les port 137,138,139,445 sur le server openvpn.

nmap des ports 137,138,139,445 sur le 192.168.118.1 depuis 192.168.200.121 dit qu'ils sont ouvert. :

nmap 192.168.118.1

Starting Nmap 5.00 ( http://nmap.org ) at 2010-09-15 16:14 CEST
Interesting ports on 192.168.118.1:
Not shown: 988 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
53/tcp open domain
80/tcp open http
139/tcp open netbios-ssn
443/tcp open https
445/tcp open microsoft-ds
515/tcp open printer
548/tcp open afp
3493/tcp open unknown
8080/tcp open http-proxy
49152/tcp open unknown





Par contre depuis 192.168.200.110 il ne les trouvent pas :

nmap 192.168.118.1

Starting Nmap 4.20 ( http://insecure.org ) at 2010-09-15 16:29 CEST
Interesting ports on 192.168.118.1:
Not shown: 1692 filtered ports
PORT STATE SERVICE
22/tcp open ssh
79/tcp closed finger
80/tcp open http
113/tcp closed auth
143/tcp closed imap

le ip_forward est activez partout.

pour moi je pense a un problème de iptables, mais je ne vois pas ou, vu que j'ai tout ouvert sur le serveur OenVPN.

Si vous avez des idees, merci.
  • # client

    Posté par  . Évalué à 1.

    Facile à vérifier avec iptables-save. Si c'est bien la cause, il faudra trouver le script concerné, par exemple dans /etc/network/if-pre-up.d/ (debian) mais il y a plein d'autres plus ou moins bons moyens d'en coller un qui s'exécute au démarrage.
    Je pencherai plutôt pour chercher sur 200.110. T'as essayé d'interroger le même (118.1) depuis 118.222 pour voir ?
    Autre idée, si tu disposes d'un autre pc côté 200, ça peut causer plus rapidement...
    • [^] # Re: client

      Posté par  . Évalué à 1.

      le iptables sur le serveur OpenVPN 192.168.200.121 me donnent :

      iptables-save
      # Generated by iptables-save v1.3.5 on Thu Sep 16 16:56:00 2010
      *mangle
      :PREROUTING ACCEPT [24615602:4550357521]
      :INPUT ACCEPT [17461124:2996140164]
      :FORWARD ACCEPT [7154241:1554196550]
      :OUTPUT ACCEPT [8970289:1694975517]
      :POSTROUTING ACCEPT [14543623:3129211108]
      COMMIT
      # Completed on Thu Sep 16 16:56:00 2010
      # Generated by iptables-save v1.3.5 on Thu Sep 16 16:56:00 2010
      *nat
      :PREROUTING ACCEPT [12983423:1275834034]
      :POSTROUTING ACCEPT [179381:14969976]
      :OUTPUT ACCEPT [124404:8304961]
      -A PREROUTING -i eth0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 128.2.30.30:3389
      -A POSTROUTING -o eth0 -j MASQUERADE
      -A POSTROUTING -d 128.2.30.30 -p tcp -m tcp --dport 3389 -j SNAT --to-source 128.2.1.205
      -A POSTROUTING -o eth0 -j MASQUERADE
      -A POSTROUTING -o tun0 -j MASQUERADE
      COMMIT
      # Completed on Thu Sep 16 16:56:00 2010
      # Generated by iptables-save v1.3.5 on Thu Sep 16 16:56:00 2010
      *filter
      :INPUT DROP [1:128]
      :FORWARD DROP [0:0]
      :OUTPUT ACCEPT [7148764:1397756758]
      :block - [0:0]
      -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
      -A INPUT -j block
      -A INPUT -p tcp -m tcp --dport 137 -m state --state NEW -j ACCEPT
      -A INPUT -p udp -m udp --dport 137 -m state --state NEW -j ACCEPT
      -A INPUT -p tcp -m tcp --dport 138 -m state --state NEW -j ACCEPT
      -A INPUT -p udp -m udp --dport 138 -m state --state NEW -j ACCEPT
      -A INPUT -p tcp -m tcp --dport 139 -m state --state NEW -j ACCEPT
      -A INPUT -p udp -m udp --dport 139 -m state --state NEW -j ACCEPT
      -A INPUT -p tcp -m tcp --dport 445 -m state --state NEW -j ACCEPT
      -A INPUT -p udp -m udp --dport 445 -m state --state NEW -j ACCEPT
      -A FORWARD -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
      -A FORWARD -j block
      -A FORWARD -p tcp -m tcp --dport 137 -m state --state NEW -j ACCEPT
      -A FORWARD -p tcp -m tcp --dport 138 -m state --state NEW -j ACCEPT
      -A FORWARD -p tcp -m tcp --dport 139 -m state --state NEW -j ACCEPT
      -A FORWARD -p tcp -m tcp --dport 445 -m state --state NEW -j ACCEPT
      -A FORWARD -p udp -m udp --dport 445 -m state --state NEW -j ACCEPT
      -A FORWARD -p udp -m udp --dport 139 -m state --state NEW -j ACCEPT
      -A FORWARD -p udp -m udp --dport 138 -m state --state NEW -j ACCEPT
      -A FORWARD -p udp -m udp --dport 137 -m state --state NEW -j ACCEPT
      -A FORWARD -p udp -m udp --dport 137 -m state --state NEW -j ACCEPT
      -A FORWARD -p udp -m udp --dport 137 -m state --state NEW -j ACCEPT
      -A FORWARD -p udp -m udp --dport 138 -m state --state NEW -j ACCEPT
      -A FORWARD -p udp -m udp --dport 138 -m state --state NEW -j ACCEPT
      -A FORWARD -p udp -m udp --dport 139 -m state --state NEW -j ACCEPT
      -A FORWARD -p udp -m udp --dport 139 -m state --state NEW -j ACCEPT
      -A FORWARD -p udp -m udp --dport 445 -m state --state NEW -j ACCEPT
      -A FORWARD -p udp -m udp --dport 445 -m state --state NEW -j ACCEPT
      -A FORWARD -i tun0 -o eth0 -j ACCEPT
      -A FORWARD -i eth0 -o tun0 -j ACCEPT
      -A block -m state --state INVALID -j DROP
      -A block -m state --state RELATED,ESTABLISHED -j ACCEPT
      -A block -i ! eth0 -m state --state NEW -j ACCEPT
      -A block -p udp -m udp --sport 53 -j ACCEPT
      -A block -i eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
      -A block -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
      -A block -p udp -m udp --dport 22 -m state --state NEW -j ACCEPT
      -A block -p tcp -m tcp --dport 79 -m state --state NEW -j ACCEPT
      -A block -p udp -m udp --dport 79 -m state --state NEW -j ACCEPT
      -A block -p tcp -m tcp --dport 113 -m state --state NEW -j ACCEPT
      -A block -p udp -m udp --dport 113 -m state --state NEW -j ACCEPT
      -A block -p tcp -m tcp --dport 143 -m state --state NEW -j ACCEPT
      -A block -p udp -m udp --dport 143 -m state --state NEW -j ACCEPT
      -A block -p tcp -m tcp --dport 3389 -m state --state NEW -j ACCEPT
      -A block -p udp -m udp --dport 3389 -m state --state NEW -j ACCEPT
      -A block -p tcp -m tcp --dport 6524 -m state --state NEW -j ACCEPT
      -A block -p udp -m udp --dport 6524 -m state --state NEW -j ACCEPT
      -A block -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
      -A block -p udp -m udp --dport 80 -m state --state NEW -j ACCEPT
      -A block -p udp -m udp --dport 1194 -m state --state NEW -j ACCEPT
      -A block -p udp -m udp --dport 1195 -m state --state NEW -j ACCEPT
      -A block -p udp -m udp --dport 6524 -m state --state NEW -j ACCEPT
      -A block -j LOG --log-prefix "DENY TCP connect "
      -A block -j DROP
      -A block -p tcp -m tcp --dport 137 -m state --state NEW -j ACCEPT
      -A block -p tcp -m tcp --dport 138 -m state --state NEW -j ACCEPT
      -A block -p tcp -m tcp --dport 139 -m state --state NEW -j ACCEPT
      -A block -p tcp -m tcp --dport 445 -m state --state NEW -j ACCEPT
      -A block -p udp -m udp --dport 445 -m state --state NEW -j ACCEPT
      -A block -p udp -m udp --dport 139 -m state --state NEW -j ACCEPT
      -A block -p udp -m udp --dport 138 -m state --state NEW -j ACCEPT
      -A block -p udp -m udp --dport 137 -m state --state NEW -j ACCEPT
      -A block -p tcp -m tcp --dport 137 -m state --state NEW -j ACCEPT
      -A block -p tcp -m tcp --dport 137 -m state --state NEW -j ACCEPT
      -A block -p tcp -m tcp --dport 138 -m state --state NEW -j ACCEPT
      -A block -p tcp -m tcp --dport 138 -m state --state NEW -j ACCEPT
      -A block -p tcp -m tcp --dport 139 -m state --state NEW -j ACCEPT
      -A block -p tcp -m tcp --dport 139 -m state --state NEW -j ACCEPT
      -A block -p tcp -m tcp --dport 445 -m state --state NEW -j ACCEPT
      -A block -p tcp -m tcp --dport 445 -m state --state NEW -j ACCEPT
      COMMIT
      # Completed on Thu Sep 16 16:56:00 2010

      Pour moi je ne vois pas d'erreur?
      • [^] # Re: client

        Posté par  (site web personnel) . Évalué à 1.

        tcpdump/wireshark de proche en proche pour vérifier l'acheminement des paquets... ( snat, dnat, soucis routage ... )

        Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

  • # Le ping passe mais le reste a du mal?

    Posté par  . Évalué à 2.

    La MTU n'est pas trop grosse pour traverser le vpn et ses sauts?

    http://openvpn.net/archive/openvpn-devel/2003-12/msg00001.ht(...)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.