electro575 a écrit 841 commentaires

Oui c'est vrai que ça peut être la solution effectivement.

Non pas vraiment mais avec le logiciel maltego déjà, …

On va éviter le big data !

Tout compte fait, j'ai utilisé virtual-manager sous debian buster.

Avec ça j'ai créé ma VM windows 7 avec qemu/kvm.

Comme ça plus besoin de windows :) yeah

Effectivement,

Et par rapport à virtualbox ou Qemu/KVM, qu'est-ce qui est le plus fluide à l'utilisation ?

Virtualbox, je l'utilises souvent.

En terme de fluidité, ce serait plutôt QEMU/KVM pour de l'utilisation en bureautique ?

---

Je crois que je vais faire cela oui, faire une VM windows plutôt que de l'installer, maintenant, est-ce que tous les outils windows vont marcher de la même façon ? Tu me dira, au point ou j'en suis, windows, … on peut s'en passer pour le NEC plus ultra.

---

Comment faire pour utiliser Microsoft Office sans lancer une VM Microsoft ? …

Parfois, juste pour ça, … LibreOffice propose une compatibilité pas parfaite mais une compatibilité à Microsoft Office

Pas mal la solution WSL/WSL2,

Le mieux est peut être encore d'installer debian sur son PC et de virtualiser windows afin d'avoir l'environnement de travail du boulot.

Qu'existe t-il pour virtualiser actuellement sous debian buster à part virtualbox et vmware
?

J'avais testé la virtualisation de microsoft office via playonlinux, j'avais eu quelques problèmes par contre avec ceci. Est-ce d'avantages fiables maintenant ?

Je me suis trompé,

En essayant de taper au clavier (au lieu " d'une commande"), à l'écran, rien ne se passe.

J'ai mis en oeuvre la commande " tail -f /var/log/syslog", et j'ai eu quelques log du process amavis avec,

en dernière ligne celle-ci,

idle_proc, 6: was busy, 83.6 ms, total idle 53696.513 s, busy 1.858 s

Des conflits entre process peut être ? J'essaierai de partager d'avantages de données.

D'accord merci pour vos retours.

J'ai la possibilité mais sous une VM Xp en fin de compte.

C'est un peu moins pratique.

Je te remercie.

Oui ça casse parfois.

J'ai réussi à avoir accès à l'installer à l'aide de ces commandes,

Il faut plusieurs fois redémarrer php-fpm, fin j'ai pas bien saisi mais c'est pas très "répétable".

chown -R www-data:www-data /usr/share/roundcube
systemctl restart php-fpm nginx

J'ai également mon serveur qui tourne avec debian 10 et jitsi + apache2

As-tu effectué des réglages spécifiques pour la fluidité et la qualité de l'image ?

Problème contourné pour le moment.

Une conf sans serveur coturn.

Je l'installerai plus tard.

Merci pour vos commentaires.

J'utilise actuellement ufw avec fail2ban, mais je ne sais pas si ces deux la sont compatible.

je trouvais plus simple l'ajout de règles via les commandes lines d'ufw.

Après, je ne m'attarde pas trop sur les règles de firewall.

Par ailleurs en passant, mon PC a du crasher, peut être à cause de cela, je n'arrive plus à avoir accès à mon PC à distance via mon nom de domaine.

Hier soir j'ai stop/start fail2ban et ufw.

Merci beaucoup.

Comment feriez-vous pour associer les deux conditions suivantes au même programme script shell ?

trickle -u 100 -d 100
taskset -c 0-1

Soit

(taskset -c 0-1 | trickle -u 100 -d 100) | ./mon_prog.sh

J'utilise le script ci-joint.

https://debian-facile.org/paste-3B8CF926CC

Et je le lance avec ./script.sh en sudo ou en root.

A priori la commande est git clone pour le download

Pour limiter le nombre de cpu, peux t-on utiliser la commande suivante ?

taskset -c 0 1 ./script.sh

Est-ce que taskset va s'appliquer à toutes les lignes du script ?

Voila la solution,

https://wiki.mikrotik.com/wiki/Hairpin_NAT

*******************
****HAIRPIN NAT****
*******************

/interface list member
add interface=l2tp0 list=WAN
add interface=l2tp1 list=WAN

/ip route rule
add action=lookup-only-in-table dst-address=10.0.14.0/24 table=main

/ip firewall nat

add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface-list=WAN
add action=src-nat chain=srcnat out-interface-list=WAN to-addresses=40.25.78.26
add action=masquerade chain=srcnat comment=HAIRPIN-NAT dst-address=10.0.14.0/24 src-address=10.0.14.0/24

question de choix de config.
à quoi te sert le VPN ?

-A rendre anonyme mes connexions de mon gros FAI.
-A accéder au web et à mon serveur également.
-Pourquoi pas en faire profiter quelques personnes qui cherchent à anonymiser leur connexions

Du coup, si je cherche à accéder à mes services alors que je suis en VPN jusqu'à mon routeur, le port forwarding fera le transfert sur mon serveur.

Je suis entrain de mettre en oeuvre le VPN sur mon routeur.

Le client est forcement sur ton routeur/serveur.

Okey étant donné qu'à ce jour j'ai my_server <==> routeur_perso <==> VPN FAI Asso

Cas 1,

Si je me connecte en VPN sur mon routeur et que je demande mon serveur (lui même étant derrière mon routeur).

Cas 2,

Si je me connecte sur mon serveur et que je demande mon serveur/ou VPN FAI asso

=> soit en conclusion, il vaut mieux être connecté en VPN sur mon routeur ou sur mon serveur ?

mais du coup, tu veux pouvoir te connecter à ton serveur privé (chez toi) depuis une connexion publique (3G/4G) via la connexion publique (IP_36) de ton FAI_asso ?

Oui c'est le cas de base mais je devrais me connecter au VPN que je mettrais en place.

Puisque le VPN du FAI asso ne tolère qu'un seul accès je pense.

Deux connections (routeur + smartphone) ne sont pas autorisées.

ou tu veux juste accéder au serveur en 3G/4G comme si tu était à la maison ?

En réflechissant à cette question, je déduis les situations suviantes.

---

Cas simple :

Service VPN ( de 3G/4G ) jusqu'à mon IP publique FAI ASSO -> redirigé vers le VPN ASSO.

Cas complexe :

Service VPN ( de 3G/4G ) jusqu'à mon IP publique FAI ASSO -> acces au serveur web de ma machine -> redirigé vers le VPN ASSO.

Mon serveur est chez moi tout à fait.

Le service VPN je ne l'ai pas encore mis en oeuvre, il y a seulement celui du VPN asso.

s'il est chez toi, alors c'est chez toi qu'il faut monter le serveur VPN, ton client 3G/4G se connecte alors chez toi et devient l'equivalent de s'il était connecté à ton wifi.

Okey

Et oui, au dela du routeur ASSO, tu redeviens en clair.
donc si tu consultes des sites "interdits", c'est l'asso qui va prendre le contrôle de police, qui fournira peut-être des logs pour dire que c'est tel ou tel client qui a fait des choses interdites… Le VPN ne sert qu'à éviter l'espionnage sur la ligne

Oui effectivement

Okey, en fait si je sors de la maison pour atteindre mon serveur et que je passe en 3G/4G, j'aimerais rejoindre mon routeur lié au FAI asso pour atteindre leur VPN.

De cette façon, je serais chiffré de bout en bout.

Le schéma serait le suivant,

client externe (3G/4G) => (mon_VPN) routeur maison (VPN_FAI_ASSO) => routeur FAI asso

Je ne sais pas quel opérateur ils utilisent par la suite, si c'est un gros FAI, mes efforts serviront seulement à couvrir le lien de ma box uniquement.

J'y suis arrivé avec l'aide du forum associé à mon routeur.

Merci pour tes conseils.

Avec quel outil je peux faire des captures de traffic sans interface graphique type xfce4 ? Sans wireshark graphique.

ton IP 36.x.y.z c'est celle derriere le VPN ou derriere la box ?

C'est l'IP publique qui m'a été délivré et qui est présent au niveau du routeur mikrotik.

si c'est derriere la box, il y a un renvoi entre ta box et ton mikrotik, mais c'est la box qui gere (ou pas) le hairpinning.

Oui, sur la box je peux faire du NAT, indiquer la présence d'un bridge, c'est tout ce que je vois comme option.

J'ai eu la réponse de quelqu'un sur un forum qui me disait aussi être embêté à ce même titre parce que le hairpinning n'était pas géré par la box du gros FAI.

dans tous les cas, tu peux faire ton pinning sur le mikrotik quand meme, en interceptant les paquets qui circulent entre le LAN et l'IP publique.

Oui mais par contre, l'IP publique que le FAI asso m'a attribué, elle est bien au niveau de mon routeur je pense.

SI le paquet vient du LAN et est à destination de 36.x
ALORS
tu changes la destination par la destination locale (IP LAN de ton serveur)
mais il faut aussi changer la source par l'IP LAN du mikrotik
ainsi le serveur répond au mikrotik qui refait le chemin inverse.

Oui je suis d'accord, est-ce que c'est le principe du hairpinning ? à priori c'est ça mais je n'arrive pas à le mettre en place.

L'IP publique est au niveau du mikrotik.

Le mikrotik est à ce jour lié en VPN au réseau du FAI asso
et
lié à une IP en 192.168.1.X par le serveur dhcp de la sfrbox.

J'arrive à avoir accès à mon serveur depuis le web mais pas depuis mon réseau local.

Le souci est qu'à l'heure actuelle, je ne sais pas si il y a quelque chose a configurer sur la box.
Elle laisse passer mon protocole L2TP et donne internet à ceux qui s'y connecte.
J'ai une autre IP publique sur la sfrbox.

Okey, j'ai mal anonymisé la chose,

Réseau local = 10.0.20.0
IP serveur = 10.0.20.182
IP client = 10.0.20.185
IP publique = 80.10.50.185 (à titre d'exemple)

La on peut voir un jour un paquet retour.

3.) enfin, oui il y a parfois des routeurs qui n'apprécient pas de sortie du LAN pour rerentrer par le WAN vers le LAN
et là il faut voir si ton routeur est tout seul, si le routeur est branché à la box d'un opérateur, etc

Oui, mon routeur mikrotik est derrière la box du gros FAI, … je ne sais pas si cela va empêcher la connexion de s'établir.

ainsi le flux 5.x.y.z -> 36.x.y.z est modifié en 10.x.y.z -> 36.x.y.z grace au SNAT
puis la réponse fait alors 36.x.y.z -> 10.x.y.z -> 5.x.y.z grace à un DNAT

Aujourd'hui j'ai cette config,

/ip firewall nat 

add action=src-nat chain=srcnat out-interface=vpn \
    src-address=10.0.20.0/24 to-addresses=80.10.50.185

add action=src-nat chain=srcnat out-interface=vpn \
    src-address=10.0.20.0/24 to-addresses=80.10.50.185

add action=dst-nat chain=dstnat dst-address=80.10.50.185 protocol=tcp dst-port=5111 \
     to-address=10.0.20.182

add action=masquerade chain=srcnat src-address=10.0.20.0/24
     dst-address=10.0.20.182 protocol=tcp dst-port=5111 \
     out-interface=bridge1

C'est une bonne piste déjà