LeCube Posté(e) le 13 janvier 2015 Partager Posté(e) le 13 janvier 2015 Bonjour, mon NAS est sur mon réseau derrière un routeur et j’accède parfaitement a celui-ci depuis l’extérieur j'ai un VPN sur mon routeur afin de placer tous mon réseau derrière celui ci hors si j'active mon VPN je perds l’accès a mon NAS depuis l’extérieur (normal me direz vous) ma question est la suivante: Y a t il une solution pour pouvoir ce connecter sur le NAS en Externe avec le VPN actif en amont ? merci de votre soutiens. PS: j'ai bien compris que le NAS peut faire office de VPN directement mais ce n'est pas mon propos puisque je souhaite que l'ensemble du reseau soit derriere et non pas que le NAS 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
albertlevert Posté(e) le 30 avril 2015 Partager Posté(e) le 30 avril 2015 Hello ! Est-ce que quelqu'un a pu trouver une solution ? J'essaye également de me connecter à mon NAS en externe avec le VPN actif en amont : ISP ---> ASUS RT-AC87U {Asus-wrtmerlin} (avec vpn client configuré) --> NAS Que dois-je faire ? J'ai regardé 1'000'000 de forums mais j'avoue être un peu perdu... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
bagou91 Posté(e) le 30 avril 2015 Partager Posté(e) le 30 avril 2015 bonjour, si votre fournisseur de VPN autorise la redirection de ports, vous pouvez configurer comme ceci: - sur l'interface de gestion de votre compte vpn, ouvrir et rediriger un port vers votre client vpn (ex: port extérieur tcp 8001, vers ip client vpn, port 8001) - sur votre routeur interne, créer une règle pour accepter les flux entrant vers le port 8001 par le vpn, et rediriger vers le port 5001 sur l'ip du nas. depuis l'extérieur, vous pourrez ensuite y accéder par: https://monvpn.fournisseur:8001/ou par une ip public que propose le fournisseur vpn si pas de nom de domaine en général seul les fournisseurs de vpn payants propose ce service. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
albertlevert Posté(e) le 30 avril 2015 Partager Posté(e) le 30 avril 2015 Ok merci pour la réponse ! Je crois que je commence à comprendre. J'utilise Private Internet access (PIA) qui offre des ip dynamique et non statique. Du coup, ça ne fonctionne pas avec ce type de fournisseur ? Il faut que je change de fournisseur vpn, c'est juste ? (Si mon raisonnement est juste, des fournisseurs à conseiller?) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
bagou91 Posté(e) le 30 avril 2015 Partager Posté(e) le 30 avril 2015 (modifié) je n'en connais pas, mais une recherche google t'en donneras plein. un fournisseur peut donner des ip dynamiques et un service de redirections de ports. les 2 sont compatibles. c'est à vérifier. ps: une autre possibilité sans passer dans le vpn, mais il faut être expert en iptables... une translation d'adresse ip dans les 2 sens peut permettre de se connecter depuis l'extérieur en passant directement par l'ip public de sa box, même si le vpn est actif. voici les 2 lignes pour translater le paquet source extérieur: iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8001 -j DNAT --to-destination IP_NAS:5001 iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 5001 -d IP_NAS -j SNAT --to-source IP_ETH1 eth0 = patte du routeur avec ip_public eth1 = patte réseau interne et adapter le reste (ip/port) avec ce qu'il convient. tu pourras ainsi accéder depuis l'extérieur par: https://mon_ip_fai:8001/ Modifié le 30 avril 2015 par bagou91 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
albertlevert Posté(e) le 1 mai 2015 Partager Posté(e) le 1 mai 2015 (modifié) Ok merci beaucoup pour ta réponse et en effet c'est un peu ce que j'ai trouvé sur le net... Malheureusement mes connaissances sont un peu limitées et j'avoue avoir de la peine à mettre ça en place ! Vu que j'ai un vpn avec ip dynamique, est-ce que ça marche aussi ? (j'ai vérifié, PIA fait de la redirection de ports sur certains serveurs) Ton code fait du port forwarding c est bien juste ? Merci d'avoir pris le temps de me répondre !!! Modifié le 1 mai 2015 par albertlevert 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
albertlevert Posté(e) le 1 mai 2015 Partager Posté(e) le 1 mai 2015 Si je me fais un petit tuto, est-ce que je suis juste ? J'ai un routeur de type : ASUS RT-AC87U {Asus-wrtmerlin} 1. Dans les paramètres du routeur, je désactive la redirection de port pré-configurées 2. Je crée un nouveau fichier "nat-start" via SSH (via winscp) sur mon routeur dans le dossier /jffs/scripts/ et j'inclus les données suivantes : #!/bin/sh iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5001 -j DNAT --to-destination 192.168.1.105:5001 **** pour accéder au DSM ***** iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5053 -j DNAT --to-destination 192.168.1.105:5053 **** pour accéder à couch potato ***** iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 32400 -j DNAT --to-destination 192.168.1.105:32400 **** pour accéder à Plex media server *****iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 5001 -d 192.168.1.105 -j SNAT --to-source IP_ETH1 **** pour accéder au DSM ***** iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 5053 -d 192.168.1.105 -j SNAT --to-source IP_ETH1**** pour accéder à couch potato ***** iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 32400 -d 192.168.1.105 -j SNAT --to-source IP_ETH1**** pour accéder à plex media server ***** ***** ETC...Ainsi de suite ***** 3. Je sauvegarde et je mets les droits d'accès au fichier en 777 4. Je redémarre le routeur Est-ce que c'est juste ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
albertlevert Posté(e) le 3 mai 2015 Partager Posté(e) le 3 mai 2015 Je viens de faire le test, cela ne fonctionne pas. Est-ce que quelqu'un pourrait m'aider ? Je suis un peu perdu... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 3 mai 2015 Partager Posté(e) le 3 mai 2015 (modifié) j'aurait pas fait de snat mais plutot des masquerade mais je me trompe p-e bon, j'ai un peu regarder, faudrai surtout avoir la liste des regle dans ton iptable pour ajouter un port, faut ses 2 regle : # iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 5001 -j DNAT --to 192.168.1.5:5001 # iptables -A FORWARD -p tcp -d 192.168.1.5 --dport 5001 -j ACCEPT je te laisse faire les autres Modifié le 3 mai 2015 par Gaetan Cambier 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
albertlevert Posté(e) le 3 mai 2015 Partager Posté(e) le 3 mai 2015 (modifié) Merci beaucoup pour ta réponse !! La liste des règles ? Tu parles de ça ? ASUSWRT-Merlin RT-AC87U_3.0.0.4 Mon Apr 27 02:38:26 UTC 2015 mbc@RT-AC87U-66B8:/tmp/home/root# iptables-save # Generated by iptables-save v1.4.14 on Sun May 3 20:48:26 2015 *raw :PREROUTING ACCEPT [1319885:1494928416] :OUTPUT ACCEPT [34906:27624412] COMMIT # Completed on Sun May 3 20:48:26 2015 # Generated by iptables-save v1.4.14 on Sun May 3 20:48:26 2015 *nat :PREROUTING ACCEPT [63:4161] :INPUT ACCEPT [6:517] :OUTPUT ACCEPT [13:1236] :POSTROUTING ACCEPT [13:1236] :DNSFILTER - [0:0] :LOCALSRV - [0:0] :PCREDIRECT - [0:0] :VSERVER - [0:0] :VUPNP - [0:0] -A PREROUTING -d **.**.***.*/32 -j VSERVER -A POSTROUTING ! -s **.**.***.*/32 -o eth0 -j MASQUERADE -A POSTROUTING -m mark --mark 0xb400 -j MASQUERADE -A VSERVER -p tcp -m tcp --dport 8801 -j DNAT --to-destination 192.168.1.105:8801 -A VSERVER -p tcp -m tcp --dport 5053 -j DNAT --to-destination 192.168.1.105:5053 -A VSERVER -p tcp -m tcp --dport 8001 -j DNAT --to-destination 192.168.1.105:8001 -A VSERVER -p tcp -m tcp --dport 5001 -j DNAT --to-destination 192.168.1.105:5001 -A VSERVER -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.1.105:443 -A VSERVER -p tcp -m tcp --dport 12344 -j DNAT --to-destination 192.168.1.105:12344 -A VSERVER -p tcp -m tcp --dport 6881 -j DNAT --to-destination 192.168.1.105:6881 -A VSERVER -p udp -m udp --dport 6881 -j DNAT --to-destination 192.168.1.105:6881 -A VSERVER -p tcp -m tcp --dport 7001 -j DNAT --to-destination 192.168.1.105:7001 -A VSERVER -p tcp -m tcp --dport 6690 -j DNAT --to-destination 192.168.1.105:6690 -A VSERVER -j VUPNP -A VUPNP -p tcp -m tcp --dport 25252 -j DNAT --to-destination 192.168.1.105:32400 COMMIT # Completed on Sun May 3 20:48:26 2015 # Generated by iptables-save v1.4.14 on Sun May 3 20:48:26 2015 *mangle :PREROUTING ACCEPT [139898:127362001] :INPUT ACCEPT [2392:319838] :FORWARD ACCEPT [137506:127042163] :OUTPUT ACCEPT [2330:943002] :POSTROUTING ACCEPT [139842:128021881] :BWDPI_FILTER - [0:0] -A PREROUTING -d **.***.**.**/32 ! -i eth0 -j MARK --set-xmark 0xb400/0xffffffff COMMIT # Completed on Sun May 3 20:48:26 2015 # Generated by iptables-save v1.4.14 on Sun May 3 20:48:26 2015 *filter :INPUT ACCEPT [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [82:13246] :FUPNP - [0:0] :PControls - [0:0] :iptfromlan - [0:0] :ipttolan - [0:0] :logaccept - [0:0] :logdrop - [0:0] -A INPUT -p icmp -j logaccept -A INPUT -m state --state INVALID -j logdrop -A INPUT -m state --state RELATED,ESTABLISHED -j logaccept -A INPUT -i lo -m state --state NEW -j ACCEPT -A INPUT -i br0 -m state --state NEW -j ACCEPT -A INPUT -p udp -m udp --sport 67 --dport 68 -j logaccept -A INPUT -j logdrop -A FORWARD -o br0 -j ipttolan -A FORWARD -i br0 -j iptfromlan -A FORWARD -m state --state RELATED,ESTABLISHED -j logaccept -A FORWARD ! -i br0 -o eth0 -j logdrop -A FORWARD -m state --state INVALID -j logdrop -A FORWARD -i br0 -o br0 -j logaccept -A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j logaccept -A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j logaccept -A FORWARD -i eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j logaccept -A FORWARD -m conntrack --ctstate DNAT -j logaccept -A FORWARD -i br0 -j ACCEPT -A FUPNP -d 192.168.1.105/32 -p tcp -m tcp --dport 32400 -j ACCEPT -A PControls -j logaccept -A iptfromlan -o eth0 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN -A ipttolan -i eth0 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN -A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options -A logaccept -j ACCEPT -A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options -A logdrop -j DROP COMMIT # Completed on Sun May 3 20:48:26 2015 Pour info. les ports qui sont ouverts pour l'instant sont ceux que j'ai définis dans le port forwarding du retour sans le VPN en marche... Mais du coup, selon ce que tu me dis ça devrait fonctionner comme cela ? Je vais faire un test d'ici 1heure max... Modifié le 3 mai 2015 par albertlevert 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
albertlevert Posté(e) le 3 mai 2015 Partager Posté(e) le 3 mai 2015 (modifié) Je viens de faire le test, ça ne fonctionne pas non plus. Bon, j'ai peut-être fait un truc faux car dans le tableau des ports ouverts en cours, je n'ai rien... Voilà ce que j'obtiens : ASUSWRT-Merlin RT-AC87U_3.0.0.4 Mon Apr 27 02:38:26 UTC 2015 mbc@RT-AC87U-66B8:/tmp/home/root# iptables-save # Generated by iptables-save v1.4.14 on Sun May 3 21:16:40 2015 *raw :PREROUTING ACCEPT [52985:29063309] :OUTPUT ACCEPT [15726:14320162] COMMIT # Completed on Sun May 3 21:16:40 2015 # Generated by iptables-save v1.4.14 on Sun May 3 21:16:40 2015 *nat :PREROUTING ACCEPT [183:12653] :INPUT ACCEPT [41:3653] :OUTPUT ACCEPT [271:19254] :POSTROUTING ACCEPT [271:19254] :DNSFILTER - [0:0] :LOCALSRV - [0:0] :PCREDIRECT - [0:0] :VSERVER - [0:0] :VUPNP - [0:0] -A PREROUTING -d **.***.**.**/32 -j VSERVER -A POSTROUTING -s 192.168.1.0/24 -o tun11 -j MASQUERADE -A POSTROUTING ! -s **.***.**.**/32 -o eth0 -j MASQUERADE -A POSTROUTING -m mark --mark 0xb400 -j MASQUERADE -A VSERVER -j VUPNP COMMIT # Completed on Sun May 3 21:16:40 2015 # Generated by iptables-save v1.4.14 on Sun May 3 21:16:40 2015 *mangle :PREROUTING ACCEPT [5374:2870233] :INPUT ACCEPT [1022:120280] :FORWARD ACCEPT [4350:2749818] :OUTPUT ACCEPT [1025:710309] :POSTROUTING ACCEPT [5384:3436178] :BWDPI_FILTER - [0:0] -A PREROUTING -d **.***.**.**/32 ! -i eth0 -j MARK --set-xmark 0xb400/0xffffffff COMMIT # Completed on Sun May 3 21:16:40 2015 # Generated by iptables-save v1.4.14 on Sun May 3 21:16:40 2015 *filter :INPUT ACCEPT [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [1026:711377] :FUPNP - [0:0] :PControls - [0:0] :iptfromlan - [0:0] :ipttolan - [0:0] :logaccept - [0:0] :logdrop - [0:0] -A INPUT -i tun11 -j ACCEPT -A INPUT -p icmp -j logaccept -A INPUT -m state --state INVALID -j logdrop -A INPUT -m state --state RELATED,ESTABLISHED -j logaccept -A INPUT -i lo -m state --state NEW -j ACCEPT -A INPUT -i br0 -m state --state NEW -j ACCEPT -A INPUT -p udp -m udp --sport 67 --dport 68 -j logaccept -A INPUT -j logdrop -A FORWARD -o br0 -j ipttolan -A FORWARD -i br0 -j iptfromlan -A FORWARD -m state --state RELATED,ESTABLISHED -j logaccept -A FORWARD -i tun11 -j ACCEPT -A FORWARD ! -i br0 -o eth0 -j logdrop -A FORWARD -m state --state INVALID -j logdrop -A FORWARD -i br0 -o br0 -j logaccept -A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j logaccept -A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j logaccept -A FORWARD -i eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j logaccept -A FORWARD -m conntrack --ctstate DNAT -j logaccept -A FORWARD -i br0 -j ACCEPT -A PControls -j logaccept -A iptfromlan -o eth0 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN -A iptfromlan -o tun11 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN -A ipttolan -i eth0 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN -A ipttolan -i tun11 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN -A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options -A logaccept -j ACCEPT -A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options -A logdrop -j DROP COMMIT # Completed on Sun May 3 21:16:40 2015 Modifié le 3 mai 2015 par albertlevert 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 3 mai 2015 Partager Posté(e) le 3 mai 2015 ca devrait pourtant fonctionner avec ses 2 regles le paquet arrive, il passe dans le PREROUTING la 1° regle regirige le paquet (qui avait comme destination ton routeur) vers l'adresse spécifiée le paquet passe dans la table FORWARD la 2° règle autorise le passage du paquet (et donc evite le DROP qui est mis par défaut) le paquet passe dans le POSTROUTING aucune regle pour le paquet, il sort du routeur vers sa destination et en sortie, la masquerade est la, donc le snat doit fonctionne -A POSTROUTING ! -s **.**.***.*/32 -o eth0 -j MASQUERADE sur la théorie, ca doit fonctionner. il y a surement un truc bete qui a été oublié, tu as bien ajouté la 2° ligne que je t'ai donné ? refait un iptables-save pour verifier 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
albertlevert Posté(e) le 3 mai 2015 Partager Posté(e) le 3 mai 2015 (modifié) Voilà : ASUSWRT-Merlin RT-AC87U_3.0.0.4 Mon Apr 27 02:38:26 UTC 2015 mbc@RT-AC87U-66B8:/tmp/home/root# iptables-save # Generated by iptables-save v1.4.14 on Sun May 3 21:31:15 2015 *raw :PREROUTING ACCEPT [244567:200888576] :OUTPUT ACCEPT [33880:21722673] COMMIT # Completed on Sun May 3 21:31:15 2015 # Generated by iptables-save v1.4.14 on Sun May 3 21:31:15 2015 *nat :PREROUTING ACCEPT [120:7597] :INPUT ACCEPT [64:4277] :OUTPUT ACCEPT [3:1261] :POSTROUTING ACCEPT [3:1261] :DNSFILTER - [0:0] :LOCALSRV - [0:0] :PCREDIRECT - [0:0] :VSERVER - [0:0] :VUPNP - [0:0] -A PREROUTING -d **.***.**.**/32 -j VSERVER -A PREROUTING -i eth0 -p tcp -m tcp --dport 5001 -j DNAT --to-destination 192.168.1.105:5001 -A POSTROUTING -s 192.168.1.0/24 -o tun11 -j MASQUERADE -A POSTROUTING ! -s **.***.**.**/32 -o eth0 -j MASQUERADE -A POSTROUTING -m mark --mark 0xb400 -j MASQUERADE -A VSERVER -j VUPNP COMMIT # Completed on Sun May 3 21:31:15 2015 # Generated by iptables-save v1.4.14 on Sun May 3 21:31:15 2015 *mangle :PREROUTING ACCEPT [11110:9742172] :INPUT ACCEPT [1122:421244] :FORWARD ACCEPT [9986:9320848] :OUTPUT ACCEPT [1017:958853] :POSTROUTING ACCEPT [11007:10282168] :BWDPI_FILTER - [0:0] -A PREROUTING -d **.***.**.**/32 ! -i eth0 -j MARK --set-xmark 0xb400/0xffffffff COMMIT # Completed on Sun May 3 21:31:15 2015 # Generated by iptables-save v1.4.14 on Sun May 3 21:31:15 2015 *filter :INPUT ACCEPT [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [1017:958853] :FUPNP - [0:0] :PControls - [0:0] :iptfromlan - [0:0] :ipttolan - [0:0] :logaccept - [0:0] :logdrop - [0:0] -A INPUT -i tun11 -j ACCEPT -A INPUT -p icmp -j logaccept -A INPUT -m state --state INVALID -j logdrop -A INPUT -m state --state RELATED,ESTABLISHED -j logaccept -A INPUT -i lo -m state --state NEW -j ACCEPT -A INPUT -i br0 -m state --state NEW -j ACCEPT -A INPUT -p udp -m udp --sport 67 --dport 68 -j logaccept -A INPUT -j logdrop -A FORWARD -o br0 -j ipttolan -A FORWARD -i br0 -j iptfromlan -A FORWARD -m state --state RELATED,ESTABLISHED -j logaccept -A FORWARD -i tun11 -j ACCEPT -A FORWARD ! -i br0 -o eth0 -j logdrop -A FORWARD -m state --state INVALID -j logdrop -A FORWARD -i br0 -o br0 -j logaccept -A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j logaccept -A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j logaccept -A FORWARD -i eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j logaccept -A FORWARD -m conntrack --ctstate DNAT -j logaccept -A FORWARD -i br0 -j ACCEPT -A PControls -j logaccept -A iptfromlan -o eth0 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN -A iptfromlan -o tun11 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN -A ipttolan -i eth0 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN -A ipttolan -i tun11 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN -A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options -A logaccept -j ACCEPT -A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options -A logdrop -j DROP COMMIT # Completed on Sun May 3 21:31:15 201 J'avoue que là, on dépasse le cadre de mes compétences :-) Modifié le 3 mai 2015 par albertlevert 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 3 mai 2015 Partager Posté(e) le 3 mai 2015 La 2° règle ne se trouve pas dans la liste Ou alors, il est temps que je dorme, les 2 sont possibles 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
albertlevert Posté(e) le 3 mai 2015 Partager Posté(e) le 3 mai 2015 (modifié) # Generated by iptables-save v1.4.14 on Sun May 3 22:24:31 2015 *nat :PREROUTING ACCEPT [196:17524] :INPUT ACCEPT [45:5405] :OUTPUT ACCEPT [211:16033] :POSTROUTING ACCEPT [211:16033] :DNSFILTER - [0:0] :LOCALSRV - [0:0] :PCREDIRECT - [0:0] :VSERVER - [0:0] :VUPNP - [0:0] -A PREROUTING -d **.**.***.**/32 -j VSERVER -A PREROUTING -i eth0 -p tcp -m tcp --dport 5001 -j DNAT --to-destination 192.168.1.105:5001 -A POSTROUTING ! -s **.***.**.**/32 -o eth0 -j MASQUERADE -A POSTROUTING -m mark --mark 0xb400 -j MASQUERADE -A VSERVER -j VUPNP COMMIT # Completed on Sun May 3 22:24:31 2015 # Generated by iptables-save v1.4.14 on Sun May 3 22:24:31 2015 *mangle :PREROUTING ACCEPT [28041:24115669] :INPUT ACCEPT [1056:127852] :FORWARD ACCEPT [26985:23987817] :OUTPUT ACCEPT [911:620486] :POSTROUTING ACCEPT [27812:24538649] :BWDPI_FILTER - [0:0] -A PREROUTING -d **.**.***.**/32 ! -i eth0 -j MARK --set-xmark 0xb400/0xffffffff COMMIT # Completed on Sun May 3 22:24:31 2015 # Generated by iptables-save v1.4.14 on Sun May 3 22:24:31 2015 *filter :INPUT ACCEPT [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [911:620486] :FUPNP - [0:0] :PControls - [0:0] :iptfromlan - [0:0] :ipttolan - [0:0] :logaccept - [0:0] :logdrop - [0:0] -A INPUT -p icmp -j logaccept -A INPUT -m state --state INVALID -j logdrop -A INPUT -m state --state RELATED,ESTABLISHED -j logaccept -A INPUT -i lo -m state --state NEW -j ACCEPT -A INPUT -i br0 -m state --state NEW -j ACCEPT -A INPUT -p udp -m udp --sport 67 --dport 68 -j logaccept -A INPUT -j logdrop -A FORWARD -o br0 -j ipttolan -A FORWARD -i br0 -j iptfromlan -A FORWARD -m state --state RELATED,ESTABLISHED -j logaccept -A FORWARD ! -i br0 -o eth0 -j logdrop -A FORWARD -m state --state INVALID -j logdrop -A FORWARD -i br0 -o br0 -j logaccept -A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j logaccept -A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j logaccept -A FORWARD -i eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j logaccept -A FORWARD -m conntrack --ctstate DNAT -j logaccept -A FORWARD -i br0 -j ACCEPT -A PControls -j logaccept -A iptfromlan -o eth0 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN -A ipttolan -i eth0 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN -A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options -A logaccept -j ACCEPT -A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options -A logdrop -j DROP COMMIT # Completed on Sun May 3 22:24:31 2015 J'ai enlevé les # et du coup le fichier semble être pris en compte il me semble... Il ressemble à ça : #!/bin/sh iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 5001 -j DNAT --to 192.168.1.105:5001 iptables -A FORWARD -p tcp -d 192.168.1.105 --dport 5001 -j ACCEPT Mais ça ne fonctionne toujours pas... :-( :-( Modifié le 3 mai 2015 par albertlevert 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 3 mai 2015 Partager Posté(e) le 3 mai 2015 Aurais-tu désactivé ton vpn entre temps, je le voit plus dans les règles Essaye une chose: Ouvre le port simplement par l'interface du routeur Affiche moi les routes de ton routeur qd le vpn est activé Je pense que le problème vient de la a la base 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
bagou91 Posté(e) le 4 mai 2015 Partager Posté(e) le 4 mai 2015 Si je me fais un petit tuto, est-ce que je suis juste ? J'ai un routeur de type : ASUS RT-AC87U {Asus-wrtmerlin} 1. Dans les paramètres du routeur, je désactive la redirection de port pré-configurées 2. Je crée un nouveau fichier "nat-start" via SSH (via winscp) sur mon routeur dans le dossier /jffs/scripts/ et j'inclus les données suivantes : #!/bin/sh iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5001 -j DNAT --to-destination 192.168.1.105:5001 **** pour accéder au DSM ***** iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5053 -j DNAT --to-destination 192.168.1.105:5053 **** pour accéder à couch potato ***** iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 32400 -j DNAT --to-destination 192.168.1.105:32400 **** pour accéder à Plex media server ***** iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 5001 -d 192.168.1.105 -j SNAT --to-source IP_ETH1 **** pour accéder au DSM ***** iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 5053 -d 192.168.1.105 -j SNAT --to-source IP_ETH1**** pour accéder à couch potato ***** iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 32400 -d 192.168.1.105 -j SNAT --to-source IP_ETH1**** pour accéder à plex media server ***** ***** ETC...Ainsi de suite ***** 3. Je sauvegarde et je mets les droits d'accès au fichier en 777 4. Je redémarre le routeur Est-ce que c'est juste ? bonjour, je reviens de week end prolongé... eth0 correspond bien à ta patte réseau externe (ip publique) ? eth1 carte réseau local ? à la place de IP_ETH1, tu as bien mis l'ip de ton routeur coté réseau local (192.168.1. ) ? ajoutes également la règle FORWARD comme l'a dit Gaetan. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
albertlevert Posté(e) le 4 mai 2015 Partager Posté(e) le 4 mai 2015 Merci vraiment pour vos réponses et le temps que vous prenez. C'est franchement sympa :-) Bon alors j'ai un peu suivi vos commentaires et j'ai fais un fichier comme ca : #!/bin/sh iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5001 -j DNAT --to-destination 192.168.1.105:5001 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5053 -j DNAT --to-destination 192.168.1.105:5053 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 32400 -j DNAT --to-destination 192.168.1.105:32400 iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 5001 -d 192.168.1.105 -j SNAT --to-source 192.168.1.1 iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 5053 -d 192.168.1.105 -j SNAT --to-source 192.168.1.1 iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 32400 -d 192.168.1.105 -j SNAT --to-source 192.168.1.1 iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 5001 -j DNAT --to 192.168.1.105:5001 iptables -A FORWARD -p tcp -d 192.168.1.105 --dport 5001 -j ACCEPT iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 5053 -j DNAT --to 192.168.1.105:5053 iptables -A FORWARD -p tcp -d 192.168.1.105 --dport 5053 -j ACCEPT iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 32400 -j DNAT --to 192.168.1.105:32400 iptables -A FORWARD -p tcp -d 192.168.1.105 --dport 32400 -j ACCEPT Et voilà ce que j'obtiens quand je fais iptables-save # Generated by iptables-save v1.4.14 on Mon May 4 21:41:24 2015 *filter :INPUT ACCEPT [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [226:50084] :FUPNP - [0:0] :PControls - [0:0] :iptfromlan - [0:0] :ipttolan - [0:0] :logaccept - [0:0] :logdrop - [0:0] -A INPUT -i tun11 -j ACCEPT -A INPUT -p icmp -j logaccept -A INPUT -m state --state INVALID -j logdrop -A INPUT -m state --state RELATED,ESTABLISHED -j logaccept -A INPUT -i lo -m state --state NEW -j ACCEPT -A INPUT -i br0 -m state --state NEW -j ACCEPT -A INPUT -p udp -m udp --sport 67 --dport 68 -j logaccept -A INPUT -j logdrop -A FORWARD -o br0 -j ipttolan -A FORWARD -i br0 -j iptfromlan -A FORWARD -m state --state RELATED,ESTABLISHED -j logaccept -A FORWARD -i tun11 -j ACCEPT -A FORWARD ! -i br0 -o eth0 -j logdrop -A FORWARD -m state --state INVALID -j logdrop -A FORWARD -i br0 -o br0 -j logaccept -A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j logaccept -A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j logaccept -A FORWARD -i eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j logaccept -A FORWARD -m conntrack --ctstate DNAT -j logaccept -A FORWARD -i br0 -j ACCEPT -A FORWARD -d 192.168.1.105/32 -p tcp -m tcp --dport 5001 -j ACCEPT -A FORWARD -d 192.168.1.105/32 -p tcp -m tcp --dport 5053 -j ACCEPT -A FORWARD -d 192.168.1.105/32 -p tcp -m tcp --dport 32400 -j ACCEPT -A FORWARD -d 192.168.1.105/32 -p tcp -m tcp --dport 5001 -j ACCEPT -A FORWARD -d 192.168.1.105/32 -p tcp -m tcp --dport 5053 -j ACCEPT -A FORWARD -d 192.168.1.105/32 -p tcp -m tcp --dport 32400 -j ACCEPT -A FUPNP -d 192.168.1.101/32 -p udp -m udp --dport 4500 -j ACCEPT -A PControls -j logaccept -A iptfromlan -o eth0 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN -A iptfromlan -o tun11 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN -A ipttolan -i eth0 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN -A ipttolan -i tun11 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN -A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options -A logaccept -j ACCEPT -A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options -A logdrop -j DROP COMMIT # Completed on Mon May 4 21:41:24 2015 Ca ne fonctionne toujours pas... Je vous écoute encore :-)))) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
albertlevert Posté(e) le 4 mai 2015 Partager Posté(e) le 4 mai 2015 Aurais-tu désactivé ton vpn entre temps, je le voit plus dans les règles Essaye une chose: Ouvre le port simplement par l'interface du routeur Affiche moi les routes de ton routeur qd le vpn est activé Je pense que le problème vient de la a la base Et voilà ce que j'obtiens avec iptables-save quand le VPN est activé et que les ports sont transférés via l'interface de base (ce qui ne marche pas non plus) : # Generated by iptables-save v1.4.14 on Mon May 4 21:52:23 2015 *filter :INPUT ACCEPT [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [1906:3110137] :FUPNP - [0:0] :PControls - [0:0] :iptfromlan - [0:0] :ipttolan - [0:0] :logaccept - [0:0] :logdrop - [0:0] -A INPUT -i tun11 -j ACCEPT -A INPUT -p icmp -j logaccept -A INPUT -m state --state INVALID -j logdrop -A INPUT -m state --state RELATED,ESTABLISHED -j logaccept -A INPUT -i lo -m state --state NEW -j ACCEPT -A INPUT -i br0 -m state --state NEW -j ACCEPT -A INPUT -p udp -m udp --sport 67 --dport 68 -j logaccept -A INPUT -j logdrop -A FORWARD -o br0 -j ipttolan -A FORWARD -i br0 -j iptfromlan -A FORWARD -m state --state RELATED,ESTABLISHED -j logaccept -A FORWARD -i tun11 -j ACCEPT -A FORWARD ! -i br0 -o eth0 -j logdrop -A FORWARD -m state --state INVALID -j logdrop -A FORWARD -i br0 -o br0 -j logaccept -A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j logaccept -A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j logaccept -A FORWARD -i eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j logaccept -A FORWARD -m conntrack --ctstate DNAT -j logaccept -A FORWARD -i br0 -j ACCEPT -A PControls -j logaccept -A iptfromlan -o eth0 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN -A iptfromlan -o tun11 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN -A ipttolan -i eth0 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN -A ipttolan -i tun11 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN -A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options -A logaccept -j ACCEPT -A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options -A logdrop -j DROP COMMIT # Completed on Mon May 4 21:52:23 2015 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 5 mai 2015 Partager Posté(e) le 5 mai 2015 mais pourquoi le SNAT ? le SNAT modifie l'adresse source du paquet donc, un paquet rentrant en direction de ton nas, tu modifie l'adresse source pour dire qu'il vient du routeur logiquement, le nas, qd il renvoit un paquet de reponse, il le renvoit ... au routeur et pas sur internet 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
bagou91 Posté(e) le 5 mai 2015 Partager Posté(e) le 5 mai 2015 oui c'est fait exprès dans son cas. le vpn reroute tout son traffic vers le serveur vpn. donc pour accéder à distance au nas à partir de l'ip de sa box, la solution du SNAT conviendrait. le NAS renverrait le paquet vers l'ip du routeur qui renverrait à son tour vers l'ip source en sortant par l'ip public de la box et non par le vpn. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 5 mai 2015 Partager Posté(e) le 5 mai 2015 et non, le paquet etant à destination du routeur, le routeur dis merci et va pas + loin vu que c'est l'adresse de destination 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
bagou91 Posté(e) le 5 mai 2015 Partager Posté(e) le 5 mai 2015 je viens de faire un test grandeur nature avec des vm + tunnel vpn. je me suis mis dans la même configuration que LeCube. en fait, le SNAT fonctionne bien mais le retour vers l'ip source requetant le nas se fait quand même via le tunnel puisque c'est la route par défaut du routeur donc à part faire des routes statiques dans le routeur, il n'y a que l'autre solution du vpn payant autorisant la redirection de ports. pour les routes statiques c'est gérable seulement si l'appareil source garde la même ip publique. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
gaetan.cambier Posté(e) le 5 mai 2015 Partager Posté(e) le 5 mai 2015 mais non , c'est tout à fait possible : http://serverfault.com/questions/382498/howto-only-tunnel-specific-hosts-route-through-openvpn-client-on-tomato voila l'exemple pour regiriger uniquement certain paquet cers le vpn, l'inverse, c'est le meme principe 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
bagou91 Posté(e) le 5 mai 2015 Partager Posté(e) le 5 mai 2015 cela revient un peu à faire du static: il faut choisir quels IPs/ports sources et/ou destinations on oriente. un peu compliqué quand on fait du Bittorrent... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.