PiwiLAbruti Posté(e) le 15 décembre 2015 Posté(e) le 15 décembre 2015 il y a 41 minutes, gaetan.cambier a déclaré: Un vpn utilise pour faire du routage, on va la noté celle la mdr Le paquet VPN Server contient apparemment un module iptables supplémentaire pour gérer du NAT. Je ne sais pas si l'arrêt de ce paquet retire le module en question. 0 Citer
gaetan.cambier Posté(e) le 15 décembre 2015 Posté(e) le 15 décembre 2015 il y a 14 minutes, PiwiLAbruti a déclaré: Le paquet VPN Server contient apparemment un module iptables supplémentaire pour gérer du NAT. Je ne sais pas si l'arrêt de ce paquet retire le module en question. et faire ceci, c'est compliqué ? modprobe iptable_nat c la base de la base on veux utilisé le nat, dans iptables, on charge le module nat, un ligne de code au lieu que de chercher un package qui contient cette ligne ... 0 Citer
PiwiLAbruti Posté(e) le 15 décembre 2015 Posté(e) le 15 décembre 2015 Ce qui te semble simple ne l'est pas forcément pour des utilisateurs moins avertis qui ne savent pas ce qu'est la commande modprobe. 0 Citer
Nemesis666 Posté(e) le 15 décembre 2015 Auteur Posté(e) le 15 décembre 2015 (modifié) Il y a 5 heures , gaetan.cambier a déclaré: Un vpn utilise pour faire du routage, on va la noté celle la mdr Oui comme tu dis oui... Il y a 6 heures , Einsteinium a déclaré: Et bien tu cherche compliqué tout simplement... Soit tu achète un routeur pour faire la passerelle (ce que font les autres si j'ai bien compris ton topo initiale), soit tu utilise le nas comme passerelle, tu lui claque le serveur dhcp et voilà.... C'est l'histoire de 5 minutes pour un newbies comme configuration ;-) Si c'était si simple, les autres au dessus auraient trouvé la solution plus rapidement. Il y a 4 heures , gaetan.cambier a déclaré: et faire ceci, c'est compliqué ? modprobe iptable_nat c la base de la base on veux utilisé le nat, dans iptables, on charge le module nat, un ligne de code au lieu que de chercher un package qui contient cette ligne ... On dirait bien que c'est ce que je cherche en effet, je vais tester cela ! --- Ca me met ce message : modprobe: chdir(3.10.35): No such file or directory Modifié le 15 décembre 2015 par Nemesis666 0 Citer
Nemesis666 Posté(e) le 17 décembre 2015 Auteur Posté(e) le 17 décembre 2015 (modifié) Mes recherches ne sont pas très fructueuses, à peine puis-je trouver que la version du DSM ne possède pas "de librairie modprobe" (or something like that). EDIT : bon, voila ce que je crois comprendre : OpenVPN possède un module appelé IPTABLE_NAT qu'il charge quand il est activé, mais seul lui peut l'utiliser (pas de routage possible quand il est activé). Quand j'essai de charger le module IPTABLE_NAT, le système me répond gentiment qu'il ne trouve rien de ce nom, si je pouvais trouver IPTABLE_NAT d'OpenVPN et le mettre quelque part où le Syno pourrait le trouver, ça marcherait peut-être. Mais est-ce que ce module IPTABLE_NAT n'est pas "spécifique" à OpenVPN, et serait inutile pour du routage ? Plus j'avance, plus les questions se multiplient comme des petits pains ! Modifié le 17 décembre 2015 par Nemesis666 0 Citer
Nemesis666 Posté(e) le 17 décembre 2015 Auteur Posté(e) le 17 décembre 2015 (modifié) Je trouve ça quand je fais un find : NeM-NAS> find / -name iptable_nat /sys/module/ip_tables/holders/iptable_nat /sys/module/nf_nat/holders/iptable_nat /sys/module/nf_nat_ipv4/holders/iptable_nat /sys/module/nf_conntrack/holders/iptable_nat /sys/module/iptable_nat Naivement, j'ai testé "modprobe /sys/module/iptable_nat" (on sais jamais, hein), mais ça met le même message. Dois-je en déduire qu'il sait déjà qu'il a toujours eu accès au module IPTABLE_NAT, mais que le problème est ailleurs ? Modifié le 17 décembre 2015 par Nemesis666 0 Citer
Einsteinium Posté(e) le 17 décembre 2015 Posté(e) le 17 décembre 2015 C'est certain le problème est ailleurs, entre la chaise et l'écran... plus ce tropic avance et plus il devient loufoque... Je pense qu'en cherchant encore, tu pourras trouvais une solution encore plus compliquée x) 0 Citer
gaetan.cambier Posté(e) le 17 décembre 2015 Posté(e) le 17 décembre 2015 Il y a 2 heures , Einsteinium a déclaré: C'est certain le problème est ailleurs, entre la chaise et l'écran... plus ce tropic avance et plus il devient loufoque... Je pense qu'en cherchant encore, tu pourras trouvais une solution encore plus compliquée x) j'ai toujours dis que le plus gros problème était cette fameuse couche 8 du modèle osi ... faut la supprimer ! 0 Citer
Nemesis666 Posté(e) le 17 décembre 2015 Auteur Posté(e) le 17 décembre 2015 (modifié) Stooa la couche ! Donc, il se trouve que j'ai été voir un spécialiste du Linux (pas de BusyBox hélas [la distribution qu'utilise Syno si je ne m'abuse]), et qu'en fait le dossier /sys/ n'a rien d'un dossier pour le coup. Voilà, ensuite je lui ai expliqué l'histoire du NAT, et il m'a répondu que : si l'on avait pas besoin de faire du NAT, ça ne servait absolument à rien pour faire du routage (et effectivement, si le NAT sert effectivement au VPN, pour le routage de base, on s'en fout), donc bravo monsieur Gaetan.Cambier pour cette réflexion hautement intéressante mais inutile, que je vous recolle ici, dans un Français approximatif : c la base de la base Ce n'est rien, ça me fait plaisir. Ensuite, on m'a fait désactiver la protection DDOS (DOS), puis on a fait mumuse avec Wireshark (sur le PC) et tcpdump/fidump (sur le routeur, évidement) pour finalement constater que les paquets passaient du PC vers l'extérieur, mais qu'ils ne revenaient pas, on en a donc conclu que le routage était effectif, mais qu'il y avait un autre problème ailleurs. Tiens, j'ai ça aussi : / # iptables -L modprobe: chdir(3.10.35): No such file or directory iptables v1.4.21: can't initialize iptables table `filter': Table does not exist (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded. Bon, je n'ai pu passer qu'une heure ou deux avec lui, donc pour trouver d'où ça vient, je suis de retour ici xD ! Cela dit, je pense qu'il y a une 9ème couche, que j'intitulerais sobrement : La Couche MURPHY. Modifié le 17 décembre 2015 par Nemesis666 0 Citer
gaetan.cambier Posté(e) le 17 décembre 2015 Posté(e) le 17 décembre 2015 http://bfy.tw/3Kds ... 0 Citer
Fenrir Posté(e) le 17 décembre 2015 Posté(e) le 17 décembre 2015 Pour ce qui est des modules permettant de faire du nat, ils sont installés par défaut mais non chargés. Le fait de lancer un service vpn (sans avoir besoin de s'y connecter) permet de les charger et donc de ne pas avoir à se casser la tête. =>installe le paquet Serveur VPN et démarre l'un des services (rien à configurer, pas de port à ouvrir, il faut juste lancer le service pour qu'il charge les modules). Pour le reste, je t'avais donné tous les éléments de réponses il y a 3 semaines. Sur 30/11/2015 00:39:06 , Fenrir a déclaré: Ce que tu dois faire : remets tout en état comme dans ton premier post (le syno doit avoir accès à internet, tu peux vérifier en actualisant la liste des paquets par exemple) connecte toi ssh sur le syno et entre la commande suivante : ip route tu devrais avoir une ligne commençant par "default" note le nom de l'interface au bout de la ligne (ethX) entre les commandes suivantes : echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o ethX -j MASQUERADE configure ton pc pour que sa passerelle par défaut soit l'adresse du syno sur l'autre carte (celle qui est de ton coté) depuis ton pc, essaye d'accéder au net Tu as même répondu que ça fonctionnait, même si ça coupait au bout de quelques minutes. Il faudrait plutôt chercher pourquoi au bout de 5min ça coupe non ? Tu as indiqué qu'il fallait que tu change de mac address il me semble ? 0 Citer
Nemesis666 Posté(e) le 17 décembre 2015 Auteur Posté(e) le 17 décembre 2015 Il y a 1 heure , gaetan.cambier a déclaré: http://bfy.tw/3Kds ... Okay donc t'a encore rien compris toi. 0 Citer
gaetan.cambier Posté(e) le 17 décembre 2015 Posté(e) le 17 décembre 2015 Il y a 1 heure , gaetan.cambier a déclaré: http://bfy.tw/3Kds ... Okay donc t'a encore rien compris toi. Mdr 0 Citer
Nemesis666 Posté(e) le 17 décembre 2015 Auteur Posté(e) le 17 décembre 2015 (modifié) il y a 34 minutes, Fenrir a déclaré: Tu as indiqué qu'il fallait que tu change de mac address il me semble ? Non non, ça c'est une contrainte technique pour contourner la "sécurité" en cas d'urgence, mais sur mon PC en débranchant le routeur du coup (en changeant la topologie). il y a 35 minutes, Fenrir a déclaré: Tu as même répondu que ça fonctionnait, même si ça coupait au bout de quelques minutes. Il faudrait plutôt chercher pourquoi au bout de 5min ça coupe non ? Oui je crois être quasiment sûre que ça passait, mais comme je switchais entre activation de VPN / désactivation de VPN / allumage de WiFi / désactivation de WiFi, il est bien possible que je me sois planté quelque part (puisque ça ne fonctionne pas/plus). il y a 36 minutes, Fenrir a déclaré: Pour ce qui est des modules permettant de faire du nat, [...] Je ne comprend pas, d'un coté on me dit qu'on a pas besoin du NAT pour faire du routage, et de l'autre si, faut qu'on accorde nos violons là. il y a 7 minutes, gaetan.cambier a déclaré: Mdr J'écris que modprobe ne veux pas fonctionner à cause de ceci ou de cela, et que mes recherches ne donnent rien, et toi tu veux m'envoyer sur Google, si ça c'est pas du trolling qu'est ce que c'est >< ! Modifié le 17 décembre 2015 par Nemesis666 0 Citer
gaetan.cambier Posté(e) le 17 décembre 2015 Posté(e) le 17 décembre 2015 (modifié) il y a 44 minutes, Nemesis666 a déclaré: J'écris que modprobe ne veux pas fonctionner à cause de ceci ou de cela, et que mes recherches ne donnent rien, et toi tu veux m'envoyer sur Google, si ça c'est pas du trolling qu'est ce que c'est >< ! tu aurait lu les page avec intéret, tu aurait trouvé la solution, mais evidemment, c'est plus simple de venir se plaindre sur le forum que ca va pas et honettement, ton "problème" si on peux apeler cela un problème, c'est 2 minutes chrono que cela ce rêgle (je tape lentement, il y a surement moyen de faire + vite :p), pas 1 mois à faire tout et n'importe quoi ! Modifié le 17 décembre 2015 par gaetan.cambier 0 Citer
firlin Posté(e) le 17 décembre 2015 Posté(e) le 17 décembre 2015 P'tain cela commence à devenir règlements de compte à OK corral ce post . 0 Citer
Fenrir Posté(e) le 17 décembre 2015 Posté(e) le 17 décembre 2015 (modifié) Il y a 2 heures , Nemesis666 a déclaré: Non non, ça c'est une contrainte technique pour contourner la "sécurité" en cas d'urgence, mais sur mon PC en débranchant le routeur du coup (en changeant la topologie). De quelle sécurité parle tu ? (celui qui te fourni le net fait du filtrage par mac ?) Il y a 2 heures , Nemesis666 a déclaré: Oui je crois être quasiment sûre que ça passait, mais comme je switchais entre activation de VPN / désactivation de VPN / allumage de WiFi / désactivation de WiFi, il est bien possible que je me sois planté quelque part (puisque ça ne fonctionne pas/plus). Donc refais les tests, comment veux tu qu'on d'aide si tu nous donne des réponses (potentiellement) erronées ou incomplètes ? Il y a 2 heures , Nemesis666 a déclaré: Je ne comprend pas, d'un coté on me dit qu'on a pas besoin du NAT pour faire du routage, et de l'autre si, faut qu'on accorde nos violons là. On a tous (y compris ton expert) dit la même chose : tu veux transformer ton nas en routeur => donc tu dois router tu dois avoir une ip bien précise en sortie => donc du doit nater avant de router Il y a 1 heure , firlin a déclaré: P'tain cela commence à devenir règlements de compte à OK corral ce post . faut dire qu'il commence à être énervant ... Bon je reviens, je vais transformer un syno en routeur-nat ... edit : désolé pour le délai, docker interférai, j'ai du le couper conclusion, ça fonctionne très bien avec ce qu'on t'a dit 2 lignes au max (en pratique il n'en faut qu'une) : echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE Je ce que j'ai fait : eth0 vers le net eth1 vers un pc 192.168.1.1/24 (pas de gw) serveur dhcp : dns : un serveur dns accessible subnet : 192.168.1.2 # 192.168.1.3 # 255.255.255.0 # 192.168.1.1 # enable installation du paquet VPN Server et activation d'un service vpn (pas de conf ni de client) reboot du synology iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE ça fonctionne très bien, je laisse comme ça quelques minutes pour voir A noter que si on joue avec l'interface, il peut être nécessaire de recréer la règle (un ligne dans la crontab peut régler ça) Modifié le 17 décembre 2015 par Fenrir 0 Citer
loli71 Posté(e) le 17 décembre 2015 Posté(e) le 17 décembre 2015 (modifié) Bonjour Nemesis, Je vais mettre mon petit grain de sel en espérant que cela va t'aider un peu dans ton problème :-) Le problème dans ton cas, c'est que si tu voulais vraiment faire le routage de ton réseau 192.168.38.0/24 où se trouve ton PC, et bien il faudrait que le "routeurhebernet" (passerelle 192.168.6.1) connaisse et route ton réseau perso 192.168.38.0/24, hors tu nous a indiqué que tu ne pouvais rien demander aux gens qui te louent ton adresse 192.168.6.38. Si tu veux que tes paquets envoyés sur internet au travers du routeur routeurhebernet te revienne, il faut que ce routeur croit que les paquets viennent de l'adresse IP 192.168.6.38 qui t'a été attribué. Pour cela, il faut du NAT !!! C'est exactement ce que font tes voisins avec leur routeur genre D-Link et compagnie, la prise réseau WAN branché sur le switchhebernet récupérant une adresse, et de l'autre côté le/les PC connectés sur les ports switch dans leur propre réseau interne. C'est exactement comme une connexion d'une BOX ADSL/Fibre, mais avec une prise LAN des deux côtés. Donc, la solution fournie depuis le début pour t'aider en indiquant qu'il fallait utilisé le NAT sur le port eth0 de sortie vers le routeurhebernet est la bonne. Modifié le 17 décembre 2015 par loli71 0 Citer
Nemesis666 Posté(e) le 17 décembre 2015 Auteur Posté(e) le 17 décembre 2015 (modifié) Donc je réactive le VPN (je ne m'y connecte pas), iptables s'active, mais ça ne marche toujours pas : NeM-NAS> iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) NeM-NAS> cat /proc/sys/net/ipv4/ip_forward 1 NeM-NAS> route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default 192.168.6.101 0.0.0.0 UG 0 0 0 eth0 192.168.6.0 * 255.255.255.0 U 0 0 0 eth0 192.168.38.0 * 255.255.255.0 U 0 0 0 eth1 (A noter qu'OpenVPN me parle du port 1723 qui doit être ouvert etc... Bon évidement il n'est pas bloqué mais qu'est ce que je peux / qu'est ce je dois faire de ce port ?) Modifié le 17 décembre 2015 par Nemesis666 0 Citer
loli71 Posté(e) le 17 décembre 2015 Posté(e) le 17 décembre 2015 (modifié) As-tu bien passé la commande suivante sur ton syno ? : iptables -t nat -A POSTROUTING -o ethX -j MASQUERADE X étant à remplacer par le numéro de l'interface qui est connecté au switchhebernet (eth1 dans ton cas d'après tes captures d'écran) , c'est cette commande qui permet d'activer le NAT sur le port eth0 pour les paquets sortants. Pour le port OpenVPN 1723, on s'en fiche puisqu'en fait on ne se sert vraiment pas du VPN (VPN activé juste pour avoir la fonctionnalité de NAT disponible) EDIT: en fait, en regardant tes autres posts, je ne suis pas certain que l'interface eth1 soit celle reliée au switch .. en tout cas d'après le résultat de ta commande "ip a" et ta commande route, c'est plutôt sur l'interface eth0 qui doit être relié au swith NeM-NAS> route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default 192.168.6.101 0.0.0.0 UG 0 0 0 eth0 192.168.6.0 * 255.255.255.0 U 0 0 0 eth0 192.168.38.0 * 255.255.255.0 U 0 0 0 eth1 Modifié le 17 décembre 2015 par loli71 0 Citer
Fenrir Posté(e) le 17 décembre 2015 Posté(e) le 17 décembre 2015 (modifié) Il y a 1 heure , Nemesis666 a déclaré: Donc je réactive le VPN (je ne m'y connecte pas), iptables s'active, mais ça ne marche toujours pas : NeM-NAS> iptables -L iptables -L -t nat si tu veux voire les règles relatives au nat sinon regarde mon edit au dessus, ça fonctionne très bien ----- bon ça a tourné pendant 30minutes sans soucis, j'annule tout Modifié le 17 décembre 2015 par Fenrir 0 Citer
gaetan.cambier Posté(e) le 17 décembre 2015 Posté(e) le 17 décembre 2015 Sur 28/11/2015 13:58:52 , gaetan.cambier a déclaré: echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE ps : vérifier que c'est la bonne interface (j'ai mal de tete la) et penser en théorie à securiser la table forward un minimum ;) Il y a 1 heure , loli71 a déclaré: As-tu bien passé la commande suivante sur ton syno ? : iptables -t nat -A POSTROUTING -o ethX -j MASQUERADE X étant à remplacer par le numéro de l'interface qui est connecté au switchhebernet (eth1 dans ton cas d'après tes captures d'écran) , c'est cette commande qui permet d'activer le NAT sur le port eth0 pour les paquets sortants. il semblerai qu'un gars, qui ne comprend rien au routage et firewall lui a juste dit cela il y a 19 jours ... Il y a 4 heures , gaetan.cambier a déclaré: http://bfy.tw/3Kds ... Il y a 2 heures , Nemesis666 a déclaré: Okay donc t'a encore rien compris toi. alors, je gars, qui n'a toujours rien compris et est toujours un con en routage a donné un lien si on prend le 2° site donné par google (fallais aller cliquer + loin que le premier):http://www.linux-france.org/article/jseb/mod.htm on apprend des choses totalement inutiles (v résumer): Citation MODPROBE: chargement d'un module et de toutes ses dépendances INSMOD: insérer un module en mémoire. (ex: " insmod /lib/modules/2.0.36/misc/snd-midi.o ") donc au lieu de faire un : modprobe iptables_nat qui semble ne pas fonctionner sur syno, il suffit de faire : insmod /lib/modules/iptable_nat.ko et pas besoin d'installé un service vpn donc, l'inbécile que je suis, et qui ne comprend rien résume la solution en 3 lignes : insmod /lib/modules/iptable_nat.ko echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE voir eth0 ou eth1 faut vérifier faut cherché 3 semaine pour transformé un linux en router nat ? 0 Citer
Nemesis666 Posté(e) le 18 décembre 2015 Auteur Posté(e) le 18 décembre 2015 (modifié) Insmod ne fonctionne pas non plus : NeM-NAS> insmod /lib/module/iptable_nat.ko insmod: can't insert '/lib/module/iptable_nat.ko': No such file or directory Oui c'est bien Eth0 qui est relié coté SwitchHebernet (F0/0 sur le schéma). Un "iptables -L -t nat" si ça peut aider : NeM-NAS> iptables -L -t nat Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain INPUT (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination DEFAULT_POSTROUTING all -- anywhere anywhere Chain DEFAULT_POSTROUTING (1 references) target prot opt source destination MASQUERADE all -- 10.0.0.0/24 anywhere Pour les deux commandes, IP_FORWARD c'est bon (je l'ai inscrit pour qu'elle soit exécuté au lancement du routeur), et la seconde commande je l'ai rentré avec comme option "ETH0" (dégage t'elle à chaque redémarrage ? Je vais tenter de la remettre encore une fois peut-être). Comme je l'ai écris, le routage fonctionne visiblement, c'est le NAT à présent que je dois configurer. Modifié le 18 décembre 2015 par Nemesis666 0 Citer
Nemesis666 Posté(e) le 18 décembre 2015 Auteur Posté(e) le 18 décembre 2015 EDIT : bon, en retapant la commande MASQUERADE blabla, il m'a rajouté une ligne : Chain DEFAULT_POSTROUTING (1 references) target prot opt source destination MASQUERADE all -- 10.0.0.0/24 anywhere MASQUERADE all -- anywhere anywhere Ca veut donc bien dire qu'il ne conserve pas l'info à chaque redémarrage. J'ai voulu remplacer ETH0 par ETH1, en me disant que, de toute manière, ça n'était pas gênant, ça remplacerait sûrement la précédente entrée, et ça me donne ça à présent : Chain DEFAULT_POSTROUTING (1 references) target prot opt source destination MASQUERADE all -- 10.0.0.0/24 anywhere MASQUERADE all -- anywhere anywhere MASQUERADE all -- anywhere anywhere Ca s'est donc rajouté dans la liste, cela dit ça ne fonctionne toujours pas. 0 Citer
loli71 Posté(e) le 18 décembre 2015 Posté(e) le 18 décembre 2015 (modifié) il y a 34 minutes, Nemesis666 a déclaré: Comme je l'ai écris, le routage fonctionne visiblement, c'est le NAT à présent que je dois configurer. Euh, je ne comprends pas trop ce que tu veux dire là, le NAT, tu l'as déjà "configuré" en passant la commande "iptables -t nat -A POSTROUTING -o ethX -j MASQUERADE". le paramètre MASQUERADE indique justement à iptable qu'il doit Nater (avec l'adresse IP de ton interface eth0) tous les paquets qui sortent par cette interface. Il te faut donc ensuite configurer ton PC (si tu n'utilises pas le DHCP et DNS du syno) pour avoir une adresse IP sur ton réseau 192.168.38.0/24, mettre la gateway 192.168.38.1 et les DNS de google par exemple comme l'a indiqué Fenrir. Maintenant, le problème est que tu as activé le Nat sur toutes tes interfaces eth0 et eth1 ... donc ca ne risque pas de marcher ...... Il ne te reste plus qu'à rebooter ton nas, entrer la command iptable uniquement sur l'eth0 et configurer ton PC correctement. N'oublies pas aussi de t'assurer que tu n'as pas configurer de gateway sur ton synology sur l'interface eth1 comme décrit par Fenrir ! Modifié le 18 décembre 2015 par loli71 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.