Nemesis666

Bonjour à tous, Ce matin j'ai eu une coupure de courant sur mon 415+, manque de bol, il joue également le rôle de routeur, et je dois constamment remettre la valeur "iptables blablabla MASQUERADE blablabla" après chaque reboot pour qu'il route. Et donc là, en voulant remettre la commande, je me log en root en SSH (ou Telnet, aucune importance), et il me dit "access denied", je tente en admin, ça passe, mais impossible de ping ou de balancer la moindre commande. Comment est-il possible que mon MDP root (composé de lettre minuscule uniquement) ne soit plus accepté ? C'est assez urgent je vous avoue, je n'ai plus internet du tout... Un dimanche... :'( !!!

Mes collègues arrivent à me voir, pour la plupart. J'ai un autre petit soucis : je dois remettre la commande << iptables [...] MASQUERADE >> après chaque extinction/coupure de courant, une idée sur ce point ?

EDIT4 : Okay, donc quand j'ai retiré la passerelle par défaut, je ne me suis pas rendu compte que j'avais récupéré internet via le câble, mais pour tester le NAT moi je faisais des pings vers 192.168.6.10 (PC-Steph sur le schéma) ou 6.101 (Routeur Hebernet sur le schéma). Et comme il n'y avait pas de retour, j'en concluais que ça ne marchais pas. Donc là, le problème est à moitié résolu, j'ai récupéré internet, c'est l'essentiel, mais il faut que j'ai accès aux PC / Routeur de mes collègues maintenant.

Oui il y avait un "s", quand j'ai copié collé j'ai mis celle où je m'étais gourrer, mais ça ne change rien : NeM-NAS> insmod /lib/modules/iptable_nat.ko insmod: can't insert '/lib/modules/iptable_nat.ko': File exists EDIT : ha oui non là il me dit qu'il est déjà chargé, attend je coupe le VPN et je reteste. EDIT2 : Oui voilà le message que ça me mettait : NeM-NAS> insmod /lib/modules/iptable_nat.ko insmod: can't insert '/lib/modules/iptable_nat.ko': unknown symbol in module, or unknown parameter EDIT3 : bon j'ai remis le VPN pour tester la modification antérieure : même sans passerelle renseigné pour ETH1 et commande MASQUERADE remise avec ETH0, ça ne change pas des masses.

C'est effectivement la plage VPN. Mon réseau est déjà en 38.0/24 (passerelle renseigné y compris). Euh, je ne comprends pas trop ce que tu veux dire là, le NAT, tu l'as déjà "configuré" en passant la commande Ce que je veux dire c'est que les paquets passent et son routé dans un sens, mais qu'à mon avis y'a un problème au niveau du NAT car les paquets ne reviennent pas. Je vais vérifier qu'il n'y ait pas de passerelle configuré sur ETH1. EDIT : il y avait en effet une passerelle configuré sur ETH1, je l'ai retirer, je vais test après avoir reboot et remis la commande.

EDIT : bon, en retapant la commande MASQUERADE blabla, il m'a rajouté une ligne : Chain DEFAULT_POSTROUTING (1 references) target prot opt source destination MASQUERADE all -- 10.0.0.0/24 anywhere MASQUERADE all -- anywhere anywhere Ca veut donc bien dire qu'il ne conserve pas l'info à chaque redémarrage. J'ai voulu remplacer ETH0 par ETH1, en me disant que, de toute manière, ça n'était pas gênant, ça remplacerait sûrement la précédente entrée, et ça me donne ça à présent : Chain DEFAULT_POSTROUTING (1 references) target prot opt source destination MASQUERADE all -- 10.0.0.0/24 anywhere MASQUERADE all -- anywhere anywhere MASQUERADE all -- anywhere anywhere Ca s'est donc rajouté dans la liste, cela dit ça ne fonctionne toujours pas.

Insmod ne fonctionne pas non plus : NeM-NAS> insmod /lib/module/iptable_nat.ko insmod: can't insert '/lib/module/iptable_nat.ko': No such file or directory Oui c'est bien Eth0 qui est relié coté SwitchHebernet (F0/0 sur le schéma). Un "iptables -L -t nat" si ça peut aider : NeM-NAS> iptables -L -t nat Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain INPUT (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination DEFAULT_POSTROUTING all -- anywhere anywhere Chain DEFAULT_POSTROUTING (1 references) target prot opt source destination MASQUERADE all -- 10.0.0.0/24 anywhere Pour les deux commandes, IP_FORWARD c'est bon (je l'ai inscrit pour qu'elle soit exécuté au lancement du routeur), et la seconde commande je l'ai rentré avec comme option "ETH0" (dégage t'elle à chaque redémarrage ? Je vais tenter de la remettre encore une fois peut-être). Comme je l'ai écris, le routage fonctionne visiblement, c'est le NAT à présent que je dois configurer.

Donc je réactive le VPN (je ne m'y connecte pas), iptables s'active, mais ça ne marche toujours pas : NeM-NAS> iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) NeM-NAS> cat /proc/sys/net/ipv4/ip_forward 1 NeM-NAS> route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default 192.168.6.101 0.0.0.0 UG 0 0 0 eth0 192.168.6.0 * 255.255.255.0 U 0 0 0 eth0 192.168.38.0 * 255.255.255.0 U 0 0 0 eth1 (A noter qu'OpenVPN me parle du port 1723 qui doit être ouvert etc... Bon évidement il n'est pas bloqué mais qu'est ce que je peux / qu'est ce je dois faire de ce port ?)

Non non, ça c'est une contrainte technique pour contourner la "sécurité" en cas d'urgence, mais sur mon PC en débranchant le routeur du coup (en changeant la topologie). Oui je crois être quasiment sûre que ça passait, mais comme je switchais entre activation de VPN / désactivation de VPN / allumage de WiFi / désactivation de WiFi, il est bien possible que je me sois planté quelque part (puisque ça ne fonctionne pas/plus). Je ne comprend pas, d'un coté on me dit qu'on a pas besoin du NAT pour faire du routage, et de l'autre si, faut qu'on accorde nos violons là. J'écris que modprobe ne veux pas fonctionner à cause de ceci ou de cela, et que mes recherches ne donnent rien, et toi tu veux m'envoyer sur Google, si ça c'est pas du trolling qu'est ce que c'est >< !

Okay donc t'a encore rien compris toi.

Stooa la couche ! Donc, il se trouve que j'ai été voir un spécialiste du Linux (pas de BusyBox hélas [la distribution qu'utilise Syno si je ne m'abuse]), et qu'en fait le dossier /sys/ n'a rien d'un dossier pour le coup. Voilà, ensuite je lui ai expliqué l'histoire du NAT, et il m'a répondu que : si l'on avait pas besoin de faire du NAT, ça ne servait absolument à rien pour faire du routage (et effectivement, si le NAT sert effectivement au VPN, pour le routage de base, on s'en fout), donc bravo monsieur Gaetan.Cambier pour cette réflexion hautement intéressante mais inutile, que je vous recolle ici, dans un Français approximatif : c la base de la base Ce n'est rien, ça me fait plaisir. Ensuite, on m'a fait désactiver la protection DDOS (DOS), puis on a fait mumuse avec Wireshark (sur le PC) et tcpdump/fidump (sur le routeur, évidement) pour finalement constater que les paquets passaient du PC vers l'extérieur, mais qu'ils ne revenaient pas, on en a donc conclu que le routage était effectif, mais qu'il y avait un autre problème ailleurs. Tiens, j'ai ça aussi : / # iptables -L modprobe: chdir(3.10.35): No such file or directory iptables v1.4.21: can't initialize iptables table `filter': Table does not exist (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded. Bon, je n'ai pu passer qu'une heure ou deux avec lui, donc pour trouver d'où ça vient, je suis de retour ici xD ! Cela dit, je pense qu'il y a une 9ème couche, que j'intitulerais sobrement : La Couche MURPHY.

Je trouve ça quand je fais un find : NeM-NAS> find / -name iptable_nat /sys/module/ip_tables/holders/iptable_nat /sys/module/nf_nat/holders/iptable_nat /sys/module/nf_nat_ipv4/holders/iptable_nat /sys/module/nf_conntrack/holders/iptable_nat /sys/module/iptable_nat Naivement, j'ai testé "modprobe /sys/module/iptable_nat" (on sais jamais, hein), mais ça met le même message. Dois-je en déduire qu'il sait déjà qu'il a toujours eu accès au module IPTABLE_NAT, mais que le problème est ailleurs ?

Mes recherches ne sont pas très fructueuses, à peine puis-je trouver que la version du DSM ne possède pas "de librairie modprobe" (or something like that). EDIT : bon, voila ce que je crois comprendre : OpenVPN possède un module appelé IPTABLE_NAT qu'il charge quand il est activé, mais seul lui peut l'utiliser (pas de routage possible quand il est activé). Quand j'essai de charger le module IPTABLE_NAT, le système me répond gentiment qu'il ne trouve rien de ce nom, si je pouvais trouver IPTABLE_NAT d'OpenVPN et le mettre quelque part où le Syno pourrait le trouver, ça marcherait peut-être. Mais est-ce que ce module IPTABLE_NAT n'est pas "spécifique" à OpenVPN, et serait inutile pour du routage ? Plus j'avance, plus les questions se multiplient comme des petits pains !

Oui comme tu dis oui... Si c'était si simple, les autres au dessus auraient trouvé la solution plus rapidement. On dirait bien que c'est ce que je cherche en effet, je vais tester cela ! --- Ca me met ce message : modprobe: chdir(3.10.35): No such file or directory

Bon, j'ai inscrit la ligne. Mon problème n'est toujours pas réglé, je switch entre le WiFi et le VPN, je vous avoue que ça m'éreinte le moral et que j'en ai plus que mare, et que du coup j'ai laissé ça en stand by en "faisant avec", avec tout ce que ça comporte de coupure administrative (par adresse MAC ; jme souviens plus si j'vous ai raconté le calvaire dans le quel je me trouve, cette espèce de structure incapable de mettre en place de la putain de QoS et qui préfère couper la connexion des gens quand ça dépasse le quota de débit...). 'fin bref, le ras le bol. Tout ça pour en revenir à mon problème où il va falloir sérieusement se pencher, on va résumer tout cela : Actuellement, il y a un VPN qui sert à "router" d'une interface réseau à l'autre, les 2 lignes de commandes de routage ont été rentrée et même inscrite dans un fichier de conf de démarrage, mais pour une raison qu'on ignore, de base ça ne route pas sans VPN, car ce dernier semble apporte une couche protocolaire, le NAT, qui ne fonctionne pas toute seule comme une grande. On peut essayer de se demander "Pourquoi ?" pour tenter de répondre à "Comment résoudre le problème", ou chercher à combler le problème par un biais (mettre ce putain de NAT par défaut quelque part pour éviter qu'il m'emmerde avec le VPN), ou une troisième solution peut-être ?

Je note cela dans un coin.

La donné s'est en effet rajouté en ligne 2, bon, ça, c'est fait. Maintenant, il faut que je trouve pourquoi ça coince quand je coupe le VPN, ce n'est visiblement pas normal d'en avoir besoin (malgré que j'ai trouvé cette solution sur le net, ce qui signifie que d'autres avant moi avaient également ce problème).

Oui / Oui (sous réserve que je change l'adresse MAC de ma carte réseau à cause du filtrage). Je viens de voir cela : En remplaçant nano par vi j'ai un truc mais j'arrive pas à modifier, et de toute manière y'a juste un bidule kernel panic, il faudrait que je rajoute la ligne manuellement, ce qui me semble étrange. Toujours pas d'astuce pour adresser un ping sur une interface en particulier ?

Comme je le disais, le VPN apporte une pile "NAT" à "IP TABLES", sans VPN, pas de pile NAT, pas de routage. Je ne sais pas comment ni pourquoi, j'ai trouvé ça sur le net, et ça a semblé fonctionner pendant un temps. Voici le résultat des commandes, cela dit je l'ai fait pendant que le VPN était activé (pas moyen de reproduire le schéma dans le quel le VPN est désactivé et le routage effectif) : IP A : 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: sit0: <NOARP> mtu 1480 qdisc noop state DOWN link/sit 0.0.0.0 brd 0.0.0.0 3: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000 link/ether 00:11:32:41:b8:1f brd ff:ff:ff:ff:ff:ff inet 192.168.6.38/24 brd 192.168.6.255 scope global eth0 valid_lft forever preferred_lft forever 4: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000 link/ether 00:11:32:41:b8:20 brd ff:ff:ff:ff:ff:ff inet 192.168.38.1/24 brd 192.168.38.255 scope global eth1 valid_lft forever preferred_lft forever 6: ppp200: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1400 qdisc pfifo_fast state UNKNOWN qlen 3 link/ppp inet 10.0.0.0 peer 10.0.0.1/32 scope global ppp200 valid_lft forever preferred_lft forever inet6 fe80::211:32ff:fe41:b81f/10 scope link valid_lft forever preferred_lft forever IP R : default via 192.168.6.101 dev eth0 10.0.0.1 dev ppp200 proto kernel scope link src 10.0.0.0 192.168.6.0/24 dev eth0 scope link src 192.168.6.38 192.168.38.0/24 dev eth1 scope link src 192.168.38.1

Oui, en effet xD ... Bon, jme suis recollé derrière le VPN en attendant.

En effet, tout semble fonctionner à merveille on dirait bien ! EDIT : oui alors, à noter qu'il ne faut pas que je coupe le VPN PPTP sinon ça déconne... Ca a carrément renommé mon interface en "br0" ("Hey bro !"), ça m'a dégagé mes données "par défaut", j'ai reboot, c'est repassé à "eth1", j'ai re-reboot, c'est repassé à "eth0"... Alors, déjà j'ignorais qu'une interface pouvais changer de nom comme ça, à la volée, m'enfin bon, ça a l'air de marcher là. EDIT2 : Je viens de reperdre la connexion encore une fois, c'est à n'y rien comprendre... Je garde la co 5 minutes et puis pouf... Je reboot encore...

Donc, d'après mes recherches, ce message d'erreur semble lié à l'absence d'un "module" à "iptables", pour rajouter ce module, il faut rajouter un package "OpenVPN", pour ce faire, j'ai rajouté le package "VPN Server", activé le service OpenVPN un peu comme je pouvais, et... Et bien... : https://www.dropbox.com/s/wqi5akl85cj2ddx/Capture%20d%27%C3%A9cran%202015-11-29%2018.57.58.png?dl=0 https://www.dropbox.com/s/a3y50cx07oqxt0p/Capture%20d%27%C3%A9cran%202015-11-29%2018.58.08.png?dl=0 Bon, après m'avoir lu tout au long de ce topic, vous avez probablement remarqué que je suis du genre à cliquer partout, à tout cocher/décocher et à essayer toutes les options possible quelque soit l'ordre ou la logique, le tout en priant à chaque modification, c'est une méthodologie discutable mais quand on y connaît rien, hein... Evidement, ça ne marche pas, faut peut-être que je m'y connecte à ce fameux VPN vous allez me dire... M'enfin... Bon... C'était pas prévu au programme ça. EDIT : Okay, donc en fait c'était pas OpenVPN mais PPTP qu'il fallait utiliser, puis créer une connexion Windows. Donc ça, sa marche sur un équipement sur le quel j'ai la main, par contre sur un Smartphone, configurer un VPN à chaque fois, ça va être galère, surtout que là avec ce PC j'avais déjà des rêgles de QoS configuré localement (Connectify pour ceux qui connaissent) qui du coup ne fonctionnent plus, ça ne m'arrange pas, il faudrait que ça marche "tout seul", si vous voyez ce que je veux dire, sans que j'ai à m'amuser avec des VPN de ceci cela bidule chose. EDIT2 : Jme suis dit "j'vais créer une interface réseau qui va directement relié LAN 1 et LAN 2 via un VPN directement dans la boîboîte"... Bon, ça a du boucler quelque part ou je sais pas quoi, j'ai du reset encore une fois, ça a tout cassé... Peut-être que j'avais configuré mon VPN avec un chiffrement et que j'ai tenté de créer une interface sans Chiffrement ? C'est possible que ça soit la cause du bordel ? Là j'hésite à retrippoter ça, pcq jcommence à en avoir mare de tout reconfigurer tout les quatre matins xD ....... https://www.dropbox.com/s/erixh5pv2pqtmcg/Capture%20d%27%C3%A9cran%202015-11-29%2019.33.51.png?dl=0 https://www.dropbox.com/s/el56cex77g9npm8/Capture%20d%27%C3%A9cran%202015-11-29%2019.37.04.png?dl=0

"Everythings is possible" disent-ils dans la pub :D ! Petite question : j'ai deux connexions réseau, du Wifi chez WiFirst, et une ligne loué chez le fameux prestataire, j'aimerais bien dire à ma commande ping, sur mon hôte local, de passer par telle ou telle interface (là il passe par le WiFi, forcément, ça répond), sans avoir à déconnecter tout les quatre matins. Une idée sur ce point ?

Ha oui donc il faut forcément (je remet des accents, ça a l'air de refonctionner) passer par le terminal et entrer dans le code donc, je pensais qu'il y avait une interface directement pour cela =/ . Je vais tenter cela en tout cas. EDIT : Alors, je sais pas ce que j'ai foutu, j'ai tout flingué, du coup j'ai fais un reset reseau du Syno via le petit bouton à l'arrière, et du coup maintenant "LAN" s'appel "LAN 1" (il a changé de nom, comme ça, boom), et maintenant je n'arrive pu à faire communiquer le Syno avec mon réseau interne (le coté droit du schéma). Bon, j'ai du oublier un truc quelque part, m'enfin c'est rageant tout cela, j'aurais vraiment préféré une interface graphique bon dieu. EDIT2 : Damn, nan en fait c'est bon ça ping à l'intérieur... J'avais oublié le pare-feu >.> ahem. Bon, maintenant, quand j'entre la commande, cela me répond :

Bonjour a tous, Je vais m'efforcer d'ecrire sans accent, car visiblement ce forum a une dent contre notre chere accentuation (j'ignore si une MAJ est en court, en tout cas des que quelqu'un met un accent, son post est tronque...) Bref, voila mon soucis : je suis heberge dans une structure ou je n'ai absolument pas la main, on a le droit d'avoir une IP par chambre qu'on loue, d'autres sont dans mon cas et utilisent des routeurs plus classique, genre D-Link et compagnie. Et je ne sais pas pourquoi, chez moi, ça merde. Alors vous pensez bien qu'avec mon DS415+ paye 600 boulz, je suis plutot enerve de ne pas avoir le droit de profiter du net... https://www.dropbox.com/s/xueqm587z6218db/Capture%20d%27%C3%A9cran%202015-11-28%2000.11.00.png?dl=0 Comme vous pouvez constater sur ce packet tracer, moi je suis tout a droite derrière mon Syno en mode "routeur de fortune" (NeM-NAS), mon IP est 192.168.38.2/24, la pate de mon routeur de ce coté du reseau est 192.168.38.1/24 (represente par F0/0 sur le PT, "LAN" dans la langue Synology), au milieu, c'est le reseau a qui je loue mon ip : 192.168.6.38 (et je ne peux pas en louer deux, c'est une par client ; represente par F1/0, ou "LAN 2" dans la langue Synology), a l'extreme gauche, le routeur qui nous permet d'aller sur internet, 192.168.6.101. https://www.dropbox.com/s/swi7220sxz9hmef/Capture%20d%27%C3%A9cran%202015-11-28%2000.00.46.png?dl=0 Comme vous pouvez le constate sur cette image, mon Syno ping tout, internet, les deux réseaux, mais des que moi je veut sortir, boom, il me dit fuck. J'ai bien cree les routes statique, mais il les met en desactive... Et aucun putain de bouton pour les activer, evidement, ca serait trop facile. Et evidement, pas moyen de demander quoi que se soir a qui que se soit, tout est automatise de leurs cote...