electro575 a écrit 829 commentaires

J'utilise le script ci-joint.

https://debian-facile.org/paste-3B8CF926CC

Et je le lance avec ./script.sh en sudo ou en root.

A priori la commande est git clone pour le download

Pour limiter le nombre de cpu, peux t-on utiliser la commande suivante ?

taskset -c 0 1 ./script.sh

Est-ce que taskset va s'appliquer à toutes les lignes du script ?

Voila la solution,

https://wiki.mikrotik.com/wiki/Hairpin_NAT

*******************
****HAIRPIN NAT****
*******************

/interface list member
add interface=l2tp0 list=WAN
add interface=l2tp1 list=WAN

/ip route rule
add action=lookup-only-in-table dst-address=10.0.14.0/24 table=main

/ip firewall nat

add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface-list=WAN
add action=src-nat chain=srcnat out-interface-list=WAN to-addresses=40.25.78.26
add action=masquerade chain=srcnat comment=HAIRPIN-NAT dst-address=10.0.14.0/24 src-address=10.0.14.0/24

question de choix de config.
à quoi te sert le VPN ?

-A rendre anonyme mes connexions de mon gros FAI.
-A accéder au web et à mon serveur également.
-Pourquoi pas en faire profiter quelques personnes qui cherchent à anonymiser leur connexions

Du coup, si je cherche à accéder à mes services alors que je suis en VPN jusqu'à mon routeur, le port forwarding fera le transfert sur mon serveur.

Je suis entrain de mettre en oeuvre le VPN sur mon routeur.

Le client est forcement sur ton routeur/serveur.

Okey étant donné qu'à ce jour j'ai my_server <==> routeur_perso <==> VPN FAI Asso

Cas 1,

Si je me connecte en VPN sur mon routeur et que je demande mon serveur (lui même étant derrière mon routeur).

Cas 2,

Si je me connecte sur mon serveur et que je demande mon serveur/ou VPN FAI asso

=> soit en conclusion, il vaut mieux être connecté en VPN sur mon routeur ou sur mon serveur ?

mais du coup, tu veux pouvoir te connecter à ton serveur privé (chez toi) depuis une connexion publique (3G/4G) via la connexion publique (IP_36) de ton FAI_asso ?

Oui c'est le cas de base mais je devrais me connecter au VPN que je mettrais en place.

Puisque le VPN du FAI asso ne tolère qu'un seul accès je pense.

Deux connections (routeur + smartphone) ne sont pas autorisées.

ou tu veux juste accéder au serveur en 3G/4G comme si tu était à la maison ?

En réflechissant à cette question, je déduis les situations suviantes.

---

Cas simple :

Service VPN ( de 3G/4G ) jusqu'à mon IP publique FAI ASSO -> redirigé vers le VPN ASSO.

Cas complexe :

Service VPN ( de 3G/4G ) jusqu'à mon IP publique FAI ASSO -> acces au serveur web de ma machine -> redirigé vers le VPN ASSO.

Mon serveur est chez moi tout à fait.

Le service VPN je ne l'ai pas encore mis en oeuvre, il y a seulement celui du VPN asso.

s'il est chez toi, alors c'est chez toi qu'il faut monter le serveur VPN, ton client 3G/4G se connecte alors chez toi et devient l'equivalent de s'il était connecté à ton wifi.

Okey

Et oui, au dela du routeur ASSO, tu redeviens en clair.
donc si tu consultes des sites "interdits", c'est l'asso qui va prendre le contrôle de police, qui fournira peut-être des logs pour dire que c'est tel ou tel client qui a fait des choses interdites… Le VPN ne sert qu'à éviter l'espionnage sur la ligne

Oui effectivement

Okey, en fait si je sors de la maison pour atteindre mon serveur et que je passe en 3G/4G, j'aimerais rejoindre mon routeur lié au FAI asso pour atteindre leur VPN.

De cette façon, je serais chiffré de bout en bout.

Le schéma serait le suivant,

client externe (3G/4G) => (mon_VPN) routeur maison (VPN_FAI_ASSO) => routeur FAI asso

Je ne sais pas quel opérateur ils utilisent par la suite, si c'est un gros FAI, mes efforts serviront seulement à couvrir le lien de ma box uniquement.

J'y suis arrivé avec l'aide du forum associé à mon routeur.

Merci pour tes conseils.

Avec quel outil je peux faire des captures de traffic sans interface graphique type xfce4 ? Sans wireshark graphique.

ton IP 36.x.y.z c'est celle derriere le VPN ou derriere la box ?

C'est l'IP publique qui m'a été délivré et qui est présent au niveau du routeur mikrotik.

si c'est derriere la box, il y a un renvoi entre ta box et ton mikrotik, mais c'est la box qui gere (ou pas) le hairpinning.

Oui, sur la box je peux faire du NAT, indiquer la présence d'un bridge, c'est tout ce que je vois comme option.

J'ai eu la réponse de quelqu'un sur un forum qui me disait aussi être embêté à ce même titre parce que le hairpinning n'était pas géré par la box du gros FAI.

dans tous les cas, tu peux faire ton pinning sur le mikrotik quand meme, en interceptant les paquets qui circulent entre le LAN et l'IP publique.

Oui mais par contre, l'IP publique que le FAI asso m'a attribué, elle est bien au niveau de mon routeur je pense.

SI le paquet vient du LAN et est à destination de 36.x
ALORS
tu changes la destination par la destination locale (IP LAN de ton serveur)
mais il faut aussi changer la source par l'IP LAN du mikrotik
ainsi le serveur répond au mikrotik qui refait le chemin inverse.

Oui je suis d'accord, est-ce que c'est le principe du hairpinning ? à priori c'est ça mais je n'arrive pas à le mettre en place.

L'IP publique est au niveau du mikrotik.

Le mikrotik est à ce jour lié en VPN au réseau du FAI asso
et
lié à une IP en 192.168.1.X par le serveur dhcp de la sfrbox.

J'arrive à avoir accès à mon serveur depuis le web mais pas depuis mon réseau local.

Le souci est qu'à l'heure actuelle, je ne sais pas si il y a quelque chose a configurer sur la box.
Elle laisse passer mon protocole L2TP et donne internet à ceux qui s'y connecte.
J'ai une autre IP publique sur la sfrbox.

Okey, j'ai mal anonymisé la chose,

Réseau local = 10.0.20.0
IP serveur = 10.0.20.182
IP client = 10.0.20.185
IP publique = 80.10.50.185 (à titre d'exemple)

La on peut voir un jour un paquet retour.

3.) enfin, oui il y a parfois des routeurs qui n'apprécient pas de sortie du LAN pour rerentrer par le WAN vers le LAN
et là il faut voir si ton routeur est tout seul, si le routeur est branché à la box d'un opérateur, etc

Oui, mon routeur mikrotik est derrière la box du gros FAI, … je ne sais pas si cela va empêcher la connexion de s'établir.

ainsi le flux 5.x.y.z -> 36.x.y.z est modifié en 10.x.y.z -> 36.x.y.z grace au SNAT
puis la réponse fait alors 36.x.y.z -> 10.x.y.z -> 5.x.y.z grace à un DNAT

Aujourd'hui j'ai cette config,

/ip firewall nat 

add action=src-nat chain=srcnat out-interface=vpn \
    src-address=10.0.20.0/24 to-addresses=80.10.50.185

add action=src-nat chain=srcnat out-interface=vpn \
    src-address=10.0.20.0/24 to-addresses=80.10.50.185

add action=dst-nat chain=dstnat dst-address=80.10.50.185 protocol=tcp dst-port=5111 \
     to-address=10.0.20.182

add action=masquerade chain=srcnat src-address=10.0.20.0/24
     dst-address=10.0.20.182 protocol=tcp dst-port=5111 \
     out-interface=bridge1

C'est une bonne piste déjà

Effectivement

Sécurise plutôt tes données.

Qu'est-ce que tu proposes comme solution pour cela ?

Oui, vrai, j'ai vu l'IP reconnu comme serveur OVH par google.

Merci

Est-ce qu'on a le moyen de savoir à qui l'IP appartient pour contacter l'hébergeur de serveur en Angleterre ?

Via un traceroute peut être ?

Si jamais ça vous interesse :

IP :
51.91.108.6
Nom d'hôte :
n0se-redirection.com

Tu peux y entrer un faux mail, de fausses coordonnées, …

IP :
51.91.108.6
Nom d'hôte :
dossier-verification.fr

Merci pour ta réponse

Oui tout à fait, mais je prend l'exemple de nextcloud, j'ai mis à jour quelques paquets php sans mettre nextcloud en mode maintenance.

J'ai actuellement un message d'erreur serveur interne. Du coup je ne sais pas comment le réparer.

De cette façon, j'espère que si je fais du roundcube, que j'aurais pas le même problème.

Je n'arrive pas à trouver l'équivalent DocumentRoot concernant l'installation du paquet debian.

J'ai bien relié l'adresse MAC de mon serveur à celui d'une IP fixe DHCP.

J'ai ouvert des ports de la box redirigés vers mon PC serveur, il est donc relié à internet.

Fail2ban est présent pour les services SSH et autres sur l'eth0 je suppose.

Le cable c'est un nouveau.
La config dhcp je n'y ai pas touché.
Il n'y a pas de switch.

Je vais peut etre devoir mettre aussi une carte PCI car la carte mère est low-cost, AS-ROCK.

Un watchdog raspberry, pour redémarrer le switch automatiquement en cas de freeze ?

Okey merci pour les logs.

En fait, mon Pc maison serveur derrière la box du gros FAI est deconnecté de la box sur mon réseau local.

Mais comment s'est arrivé, je ne sais pas, et ca arrive fréquemment.

Ou est-ce que je peux identifier ce problème ?

Du coup, étant donné que je suis assez avancé, je vais implémenter rspamd avec opensmtpd.

Ca sera plus simple pour signer en DKIM

Oui merci pour le lien google, j'ai déja cherché mais alors entre,

opendkim et dkimproxy , … ! Je vois plutôt postfix que opensmtp.

Du coup, déjà, choisir opendkim ou dkimproxy ?