Router un port particulier au travers d'un VPN

[StéphanH]

Bonsoir,

avant tout, un exposé de la situation :

deux maisons, deux LAN, deux Syno, reliés par un VPN OpenVPN

- Maison1 : 192.168.1.0/24 + Livebox + Serveur VPN Syno

- Maison2 : 192.168.0.0/24 + routeur 3G + Client VPN Syno

Sur le LAN de maison 2, un équipement "Delta Dore" qui permet le pilotage en local ou à distance de l'alarme, du chauffage, du portail et autres bricoles.

problème : pour fonctionner à distance, ce boîtier a besoin d'une IP publique et d'un port entrant spécifique => rien de cela en 3G ...

Donc, j'ai configuré cette boite pour qu'elle utilise comme Gateway la Livebox au travers du VPN. Pas de soucis, cela fonctionne, et le problème de l'IP publique est résolu ...

reste le problème du port...

Et c'est ma question.  Dans la Livebox, je ne peux pas créer de règle de routage du sous réseau 192.168.0.0, tout ce que je peux faire, c'est router ce port sur le NAS serveur VPN. Mais comment dire au NAS que ce port doit passer par le VPN ? je ne peux pas créer de route statique sur l'interface Tun0 du Syno, et je ne sais pas router un port particulier non plus. Et en supposant qu'on y arrive, comment router ce même port jusqu'à ce boitier domotique ?

 

Une idée ???

Modifié le 11 février 2016 par StéphanH

[Fenrir]

Ce type de question a déjà été posée. C'est faisable mais pas nécessairement simple (ça dépend de plein de petits détails).

De ce que je devine le besoin est de pouvoir accéder au boitier DD depuis Maison1 et depuis Internet.

Si c'est bien ça, ça devrait être assez simple à faire :

1. première méthode, la plus propre (pas certain que la box le permette)
   1. nas1 : iptables -t nat -I POSTROUTING -s <l'adresse vpn de DD> -d <le lan de maison1> -j ACCEPT
   2. livebox : route pour indiquer à la box que le réseau vpn est derrière nas1
   3. livebox : forward du port vers l'ip vpn de DD
2. seconde méthode, moins propre
   1. nas1 : iptables -t nat -I PREROUTING -p <tcp ou udp> -m <tcp ou udp> --dport <le port choisi> -j DNAT --to-destination <l'adresse vpn de DD>:<le port de DD>
   2. livebox : forward du port vers l'ip du nas1 sur le port choisi

[StéphanH]

Bonjour et merci pour ta réponse.

désolé si je fais un doublon, mais je n'ai pas vu de question similaire.

Pour ton scénario 1 :

pas possible sur une Liveox de router quelque chose vers une adresse en dehors de son subnet. je ne pense donc pas que je pisse passer par ce biais.

Pour le scénario 2 :

je ne vois pas quelle est cette adresse : "--to-destination <l'adresse vpn de DD>:<le port de DD>". 

 

merci

[Fenrir]

il y a 7 minutes, StéphanH a dit :

je ne vois pas quelle est cette adresse : "--to-destination <l'adresse vpn de DD>:<le port de DD>". 

L'adresse VPN obtenue par le boitier DD (par défaut c'est une adresse en 10.x.0.x)

[StéphanH]

L'adresse VPN obtenue par le boitier DD (par défaut c'est une adresse en 10.x.0.x)

Merci,

J'ai laissé le boîtier DD sur le Subnet de la maison2. Il a donc une adresse en 129.168.0.x. Cela lui permet de fonctionner en local à la maison 2.

Le Synology lui attribue peut être une adresse VPN, mais où puis je la voir ?

(Rédigé sous Tapatalk)

[Fenrir]

Il y a 12 heures, StéphanH a dit :

Le Synology lui attribue peut être une adresse VPN, mais où puis je la voir ?

dans les clients connectés, sinon en ssh

mais généralement, s'il n'y a qu'un client vpn, il a toujours la même adresse (.2 à la fin de mémoire)

[StéphanH]

Merci.

Le boîtier DD n'a pas de client VPN intégré.

Il est connecté en DHCP (ou en IP fixe) et dispose d'une IP du subnet de la maison.

Mais comme j'ai indiqué que la gateway a utiliser était la live box, les données transitent par le VPN.

Je ne vois donc pas d'adresse IP le concernant dans le serveur VPN

(Rédigé sous Tapatalk)

[Fenrir]

donc je n'ai rien compris à tes explications

Le 11/2/2016 at 20:49, StéphanH a dit :

j'ai configuré cette boite pour qu'elle utilise comme Gateway la Livebox au travers du VPN

tu peux nous faire un schéma ?

[StéphanH]

voilà un schéma ...

 

Ce "montage" me permet d'adresser depuis la maison 1 tout équipement de ma maison 2

Le boitier DD n'a pas de client VPN intégré. Il est en DHCP (IP Fixe) sur le DLink.

Il utilise la Livebox comme Gateway (et donc, le trafic passe bien par le VPN)

Il utilise un port spécifique (disons le 50000)

 

Le trafic sort bien sur la Livebox, mais le trafic entrant n'arrive pas jusqu'au boitier DD => comment faire ?

 

Merci de ton aide ...

[Fenrir]

• Maison 2 est à gauche ici (par rapport à ton premier post) ?
• Le DS112+ est à la fois routeur et client vpn ?

Si c'est bien ça, ce que j'ai dit plus tôt reste valable, mais il faut ajouter une règle sur le DS112+ :

• DS212+ : iptables -t nat -I PREROUTING -p <tcp ou udp> -m <tcp ou udp> --dport <le port choisi> -j DNAT --to-destination <l'adresse vpn du DS112+>:<le port choisi>
• DS112+ : iptables -t nat -I PREROUTING -p <tcp ou udp> -m <tcp ou udp> --dport <le port choisi> -j DNAT --to-destination 192.168.0.120:50000

=>2 nat en cascade

---------------------

Ça reste du bricolage, je te recommande de monter un VPN site à site avec 2 vrais routeurs, par exemple avec 2 er-x (50€ pièce) ou même avec 2 rpi.

[StéphanH]

Merci Fenrir.

désolé pour l'inversion des maisons ... oui, maison 2 est à gauche ...

le DS112+ est juste client VPN du DS212+.  Il n'est pas le routeur principal du LAN. c'est le DLink qui a ce rôle. et dans les paramètres du DLink, il y a une règle qui route le subnet de la maison de droite en utilisant le DS112+ comme gateway, et qui me permet depuis la maison de gauche de voir tous les équipements de la maison droite.

voici la table de routage du DS112+ :

(Le VPN est configuré sur 192.168.2.0)

 

Ça reste du bricolage, je te recommande de monter un VPN site à site avec 2 vrais routeurs, par exemple avec 2 er-x (50€ pièce) ou même avec 2 rpi.
Oui, je comprends bien. Mais je voudrai déjà tester le principe avant de mettre de l'argent dans une solution plus propre ...

Modifié le 14 février 2016 par StéphanH

[Fenrir]

Il y a 2 heures, StéphanH a dit :

Oui, je comprends bien. Mais je voudrai déjà tester le principe avant de mettre de l'argent dans une solution plus propre ...

Le truc, c'est qu'essayer de faire ça avec des équipements non adaptés, oblige à faire du bricolage, donc tu ne peux pas tester ce que ça donnerait avec des équipements adaptés. Je peux t'assurer qu'avec 2 er-x ou 2 rpi il est possible de faire ce que tu demandes.

En reprenant depuis zéro, voici ce que tu devrais faire :

Maison 1 :

• livebox :
  • adresse : 192.168.1.1/24
  • passerelle par défaut : donnée par le FAI en DHCP
  • routes :
    • 0.0.0.0/0 via fai
    • 192.168.2.0/24 via 192.168.1.2
    • 192.168.1.0/24 direct
  • nat : any vers port 50000 -> 192.168.1.2:50000
• nas1 :
  • adresse : 192.168.1.2/24
  • serveur vpn :
    • type : ipsec
    • adresse : 10.2.0.0
  • routes :
    • 0.0.0.0/0 via 192.168.1.1
    • 192.168.2.0/24 via 10.2.0.1
    • 10.2.0.1 via interface vpn
    • 192.168.1.0/24 direct
  • nat : any vers port 50000 -> 192.168.2.3:50000

Maison 2 :

• DLink :
  • adresse : 192.168.2.1/24
  • passerelle par défaut : donnée par le FAI en DHCP
  • routes :
    • 0.0.0.0/0 via fai
    • 192.168.1.0/24 via 192.168.1.2
    • 192.168.2.0/24 direct
• nas2 :
  • adresse : 192.168.2.2/24
  • client vpn :
    • type : ipsec
    • adresse : 10.2.0.1/32
  • routes :
    • 0.0.0.0/0 via 192.168.2.1
    • 192.168.2.0/24 direct
    • 192.168.1.0/24 via interface vpn
• boitier :
  • adresse : 192.168.2.3/24
  • routes :
    • 0.0.0.0/0 via 192.168.2.2
    • 192.168.2.0/24 direct

Normalement ça devrait fonctionner (sauf subtilités du vpn syno que j’aurai loupé). Les routes importantes sont en vert.

[StéphanH]

Merci beaucoup Fenrir pour ta patience, ton écoute, et tes réponses !

Je regarde cela et je teste le we prochain.