Acces Distant Et Vpn

[LeCube]

Bonjour,

mon NAS est sur mon réseau derrière un routeur et j’accède parfaitement a celui-ci depuis l’extérieur

j'ai un VPN sur mon routeur afin de placer tous mon réseau derrière celui ci

hors si j'active mon VPN je perds l’accès a mon NAS depuis l’extérieur (normal me direz vous)

ma question est la suivante: Y a t il une solution pour pouvoir ce connecter sur le NAS en Externe avec le VPN actif en amont ?

merci de votre soutiens.

PS: j'ai bien compris que le NAS peut faire office de VPN directement mais ce n'est pas mon propos puisque je souhaite que l'ensemble du reseau soit derriere et non pas que le NAS

[albertlevert]

Hello !

Est-ce que quelqu'un a pu trouver une solution ?

J'essaye également de me connecter à mon NAS en externe avec le VPN actif en amont :

ISP ---> ASUS RT-AC87U {Asus-wrtmerlin} (avec vpn client configuré) --> NAS

Que dois-je faire ? J'ai regardé 1'000'000 de forums mais j'avoue être un peu perdu...

[bagou91]

bonjour,

si votre fournisseur de VPN autorise la redirection de ports, vous pouvez configurer comme ceci:

- sur l'interface de gestion de votre compte vpn, ouvrir et rediriger un port vers votre client vpn (ex: port extérieur tcp 8001, vers ip client vpn, port 8001)

- sur votre routeur interne, créer une règle pour accepter les flux entrant vers le port 8001 par le vpn, et rediriger vers le port 5001 sur l'ip du nas.

depuis l'extérieur, vous pourrez ensuite y accéder par: https://monvpn.fournisseur:8001/ou par une ip public que propose le fournisseur vpn si pas de nom de domaine

en général seul les fournisseurs de vpn payants propose ce service.

[albertlevert]

Ok merci pour la réponse !

Je crois que je commence à comprendre. J'utilise Private Internet access (PIA) qui offre des ip dynamique et non statique.

Du coup, ça ne fonctionne pas avec ce type de fournisseur ? Il faut que je change de fournisseur vpn, c'est juste ?

(Si mon raisonnement est juste, des fournisseurs à conseiller?)

[bagou91]

je n'en connais pas, mais une recherche google t'en donneras plein.

un fournisseur peut donner des ip dynamiques et un service de redirections de ports. les 2 sont compatibles.

c'est à vérifier.

ps:

une autre possibilité sans passer dans le vpn, mais il faut être expert en iptables...

une translation d'adresse ip dans les 2 sens peut permettre de se connecter depuis l'extérieur en passant directement par l'ip public de sa box, même si le vpn est actif.

voici les 2 lignes pour translater le paquet source extérieur:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8001 -j DNAT --to-destination IP_NAS:5001
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 5001 -d IP_NAS -j SNAT --to-source IP_ETH1

eth0 = patte du routeur avec ip_public

eth1 = patte réseau interne

et adapter le reste (ip/port) avec ce qu'il convient.

tu pourras ainsi accéder depuis l'extérieur par: https://mon_ip_fai:8001/

Modifié le 30 avril 2015 par bagou91

[albertlevert]

Ok merci beaucoup pour ta réponse et en effet c'est un peu ce que j'ai trouvé sur le net... Malheureusement mes connaissances sont un peu limitées et j'avoue avoir de la peine à mettre ça en place !

Vu que j'ai un vpn avec ip dynamique, est-ce que ça marche aussi ? (j'ai vérifié, PIA fait de la redirection de ports sur certains serveurs)
Ton code fait du port forwarding c est bien juste ?

Merci d'avoir pris le temps de me répondre !!!

Modifié le 1 mai 2015 par albertlevert

[albertlevert]

Si je me fais un petit tuto, est-ce que je suis juste ?

J'ai un routeur de type : ASUS RT-AC87U {Asus-wrtmerlin}

1. Dans les paramètres du routeur, je désactive la redirection de port pré-configurées

2. Je crée un nouveau fichier "nat-start" via SSH (via winscp) sur mon routeur dans le dossier /jffs/scripts/ et j'inclus les données suivantes :

#!/bin/sh

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5001 -j DNAT --to-destination 192.168.1.105:5001 **** pour accéder au DSM *****

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5053 -j DNAT --to-destination 192.168.1.105:5053 **** pour accéder à couch potato *****

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 32400 -j DNAT --to-destination 192.168.1.105:32400 **** pour accéder à Plex media server *****
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 5001 -d 192.168.1.105 -j SNAT --to-source IP_ETH1 **** pour accéder au DSM *****

iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 5053 -d 192.168.1.105 -j SNAT --to-source IP_ETH1**** pour accéder à couch potato *****

iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 32400 -d 192.168.1.105 -j SNAT --to-source IP_ETH1**** pour accéder à plex media server *****

***** ETC...Ainsi de suite *****

3. Je sauvegarde et je mets les droits d'accès au fichier en 777

4. Je redémarre le routeur

Est-ce que c'est juste ?

[albertlevert]

Je viens de faire le test, cela ne fonctionne pas.

Est-ce que quelqu'un pourrait m'aider ?

Je suis un peu perdu...

[gaetan.cambier]

j'aurait pas fait de snat mais plutot des masquerade

mais je me trompe p-e

bon, j'ai un peu regarder, faudrai surtout avoir la liste des regle dans ton iptable

pour ajouter un port, faut ses 2 regle :

# iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 5001 -j DNAT --to 192.168.1.5:5001
# iptables -A FORWARD -p tcp -d 192.168.1.5 --dport 5001 -j ACCEPT

je te laisse faire les autres

Modifié le 3 mai 2015 par Gaetan Cambier

[albertlevert]

Merci beaucoup pour ta réponse !!

La liste des règles ? Tu parles de ça ?

ASUSWRT-Merlin RT-AC87U_3.0.0.4 Mon Apr 27 02:38:26 UTC 2015

mbc@RT-AC87U-66B8:/tmp/home/root# iptables-save

# Generated by iptables-save v1.4.14 on Sun May 3 20:48:26 2015

*raw

:PREROUTING ACCEPT [1319885:1494928416]

:OUTPUT ACCEPT [34906:27624412]

COMMIT

# Completed on Sun May 3 20:48:26 2015

# Generated by iptables-save v1.4.14 on Sun May 3 20:48:26 2015

*nat

:PREROUTING ACCEPT [63:4161]

:INPUT ACCEPT [6:517]

:OUTPUT ACCEPT [13:1236]

:POSTROUTING ACCEPT [13:1236]

:DNSFILTER - [0:0]

:LOCALSRV - [0:0]

:PCREDIRECT - [0:0]

:VSERVER - [0:0]

:VUPNP - [0:0]

-A PREROUTING -d **.**.***.*/32 -j VSERVER

-A POSTROUTING ! -s **.**.***.*/32 -o eth0 -j MASQUERADE

-A POSTROUTING -m mark --mark 0xb400 -j MASQUERADE

-A VSERVER -p tcp -m tcp --dport 8801 -j DNAT --to-destination 192.168.1.105:8801

-A VSERVER -p tcp -m tcp --dport 5053 -j DNAT --to-destination 192.168.1.105:5053

-A VSERVER -p tcp -m tcp --dport 8001 -j DNAT --to-destination 192.168.1.105:8001

-A VSERVER -p tcp -m tcp --dport 5001 -j DNAT --to-destination 192.168.1.105:5001

-A VSERVER -p tcp -m tcp --dport 443 -j DNAT --to-destination 192.168.1.105:443

-A VSERVER -p tcp -m tcp --dport 12344 -j DNAT --to-destination 192.168.1.105:12344

-A VSERVER -p tcp -m tcp --dport 6881 -j DNAT --to-destination 192.168.1.105:6881

-A VSERVER -p udp -m udp --dport 6881 -j DNAT --to-destination 192.168.1.105:6881

-A VSERVER -p tcp -m tcp --dport 7001 -j DNAT --to-destination 192.168.1.105:7001

-A VSERVER -p tcp -m tcp --dport 6690 -j DNAT --to-destination 192.168.1.105:6690

-A VSERVER -j VUPNP

-A VUPNP -p tcp -m tcp --dport 25252 -j DNAT --to-destination 192.168.1.105:32400

COMMIT

# Completed on Sun May 3 20:48:26 2015

# Generated by iptables-save v1.4.14 on Sun May 3 20:48:26 2015

*mangle

:PREROUTING ACCEPT [139898:127362001]

:INPUT ACCEPT [2392:319838]

:FORWARD ACCEPT [137506:127042163]

:OUTPUT ACCEPT [2330:943002]

:POSTROUTING ACCEPT [139842:128021881]

:BWDPI_FILTER - [0:0]

-A PREROUTING -d **.***.**.**/32 ! -i eth0 -j MARK --set-xmark 0xb400/0xffffffff

COMMIT

# Completed on Sun May 3 20:48:26 2015

# Generated by iptables-save v1.4.14 on Sun May 3 20:48:26 2015

*filter

:INPUT ACCEPT [0:0]

:FORWARD DROP [0:0]

:OUTPUT ACCEPT [82:13246]

:FUPNP - [0:0]

:PControls - [0:0]

:iptfromlan - [0:0]

:ipttolan - [0:0]

:logaccept - [0:0]

:logdrop - [0:0]

-A INPUT -p icmp -j logaccept

-A INPUT -m state --state INVALID -j logdrop

-A INPUT -m state --state RELATED,ESTABLISHED -j logaccept

-A INPUT -i lo -m state --state NEW -j ACCEPT

-A INPUT -i br0 -m state --state NEW -j ACCEPT

-A INPUT -p udp -m udp --sport 67 --dport 68 -j logaccept

-A INPUT -j logdrop

-A FORWARD -o br0 -j ipttolan

-A FORWARD -i br0 -j iptfromlan

-A FORWARD -m state --state RELATED,ESTABLISHED -j logaccept

-A FORWARD ! -i br0 -o eth0 -j logdrop

-A FORWARD -m state --state INVALID -j logdrop

-A FORWARD -i br0 -o br0 -j logaccept

-A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j logaccept

-A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j logaccept

-A FORWARD -i eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j logaccept

-A FORWARD -m conntrack --ctstate DNAT -j logaccept

-A FORWARD -i br0 -j ACCEPT

-A FUPNP -d 192.168.1.105/32 -p tcp -m tcp --dport 32400 -j ACCEPT

-A PControls -j logaccept

-A iptfromlan -o eth0 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN

-A ipttolan -i eth0 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN

-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options

-A logaccept -j ACCEPT

-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options

-A logdrop -j DROP

COMMIT

# Completed on Sun May 3 20:48:26 2015

Pour info. les ports qui sont ouverts pour l'instant sont ceux que j'ai définis dans le port forwarding du retour sans le VPN en marche...

Mais du coup, selon ce que tu me dis ça devrait fonctionner comme cela ? Je vais faire un test d'ici 1heure max...

Modifié le 3 mai 2015 par albertlevert

[albertlevert]

Je viens de faire le test, ça ne fonctionne pas non plus. Bon, j'ai peut-être fait un truc faux car dans le tableau des ports ouverts en cours, je n'ai rien... Voilà ce que j'obtiens :

ASUSWRT-Merlin RT-AC87U_3.0.0.4 Mon Apr 27 02:38:26 UTC 2015

mbc@RT-AC87U-66B8:/tmp/home/root# iptables-save

# Generated by iptables-save v1.4.14 on Sun May 3 21:16:40 2015

*raw

:PREROUTING ACCEPT [52985:29063309]

:OUTPUT ACCEPT [15726:14320162]

COMMIT

# Completed on Sun May 3 21:16:40 2015

# Generated by iptables-save v1.4.14 on Sun May 3 21:16:40 2015

*nat

:PREROUTING ACCEPT [183:12653]

:INPUT ACCEPT [41:3653]

:OUTPUT ACCEPT [271:19254]

:POSTROUTING ACCEPT [271:19254]

:DNSFILTER - [0:0]

:LOCALSRV - [0:0]

:PCREDIRECT - [0:0]

:VSERVER - [0:0]

:VUPNP - [0:0]

-A PREROUTING -d **.***.**.**/32 -j VSERVER

-A POSTROUTING -s 192.168.1.0/24 -o tun11 -j MASQUERADE

-A POSTROUTING ! -s **.***.**.**/32 -o eth0 -j MASQUERADE

-A POSTROUTING -m mark --mark 0xb400 -j MASQUERADE

-A VSERVER -j VUPNP

COMMIT

# Completed on Sun May 3 21:16:40 2015

# Generated by iptables-save v1.4.14 on Sun May 3 21:16:40 2015

*mangle

:PREROUTING ACCEPT [5374:2870233]

:INPUT ACCEPT [1022:120280]

:FORWARD ACCEPT [4350:2749818]

:OUTPUT ACCEPT [1025:710309]

:POSTROUTING ACCEPT [5384:3436178]

:BWDPI_FILTER - [0:0]

-A PREROUTING -d **.***.**.**/32 ! -i eth0 -j MARK --set-xmark 0xb400/0xffffffff

COMMIT

# Completed on Sun May 3 21:16:40 2015

# Generated by iptables-save v1.4.14 on Sun May 3 21:16:40 2015

*filter

:INPUT ACCEPT [0:0]

:FORWARD DROP [0:0]

:OUTPUT ACCEPT [1026:711377]

:FUPNP - [0:0]

:PControls - [0:0]

:iptfromlan - [0:0]

:ipttolan - [0:0]

:logaccept - [0:0]

:logdrop - [0:0]

-A INPUT -i tun11 -j ACCEPT

-A INPUT -p icmp -j logaccept

-A INPUT -m state --state INVALID -j logdrop

-A INPUT -m state --state RELATED,ESTABLISHED -j logaccept

-A INPUT -i lo -m state --state NEW -j ACCEPT

-A INPUT -i br0 -m state --state NEW -j ACCEPT

-A INPUT -p udp -m udp --sport 67 --dport 68 -j logaccept

-A INPUT -j logdrop

-A FORWARD -o br0 -j ipttolan

-A FORWARD -i br0 -j iptfromlan

-A FORWARD -m state --state RELATED,ESTABLISHED -j logaccept

-A FORWARD -i tun11 -j ACCEPT

-A FORWARD ! -i br0 -o eth0 -j logdrop

-A FORWARD -m state --state INVALID -j logdrop

-A FORWARD -i br0 -o br0 -j logaccept

-A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j logaccept

-A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j logaccept

-A FORWARD -i eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j logaccept

-A FORWARD -m conntrack --ctstate DNAT -j logaccept

-A FORWARD -i br0 -j ACCEPT

-A PControls -j logaccept

-A iptfromlan -o eth0 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN

-A iptfromlan -o tun11 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN

-A ipttolan -i eth0 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN

-A ipttolan -i tun11 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN

-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options

-A logaccept -j ACCEPT

-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options

-A logdrop -j DROP

COMMIT

# Completed on Sun May 3 21:16:40 2015

Modifié le 3 mai 2015 par albertlevert

[gaetan.cambier]

ca devrait pourtant fonctionner avec ses 2 regles

le paquet arrive, il passe dans le PREROUTING

la 1° regle regirige le paquet (qui avait comme destination ton routeur) vers l'adresse spécifiée

le paquet passe dans la table FORWARD

la 2° règle autorise le passage du paquet (et donc evite le DROP qui est mis par défaut)

le paquet passe dans le POSTROUTING

aucune regle pour le paquet, il sort du routeur vers sa destination

et en sortie, la masquerade est la, donc le snat doit fonctionne

-A POSTROUTING ! -s **.**.***.*/32 -o eth0 -j MASQUERADE

sur la théorie, ca doit fonctionner.

il y a surement un truc bete qui a été oublié, tu as bien ajouté la 2° ligne que je t'ai donné ?

refait un iptables-save pour verifier

[albertlevert]

Voilà :

ASUSWRT-Merlin RT-AC87U_3.0.0.4 Mon Apr 27 02:38:26 UTC 2015

mbc@RT-AC87U-66B8:/tmp/home/root# iptables-save

# Generated by iptables-save v1.4.14 on Sun May 3 21:31:15 2015

*raw

:PREROUTING ACCEPT [244567:200888576]

:OUTPUT ACCEPT [33880:21722673]

COMMIT

# Completed on Sun May 3 21:31:15 2015

# Generated by iptables-save v1.4.14 on Sun May 3 21:31:15 2015

*nat

:PREROUTING ACCEPT [120:7597]

:INPUT ACCEPT [64:4277]

:OUTPUT ACCEPT [3:1261]

:POSTROUTING ACCEPT [3:1261]

:DNSFILTER - [0:0]

:LOCALSRV - [0:0]

:PCREDIRECT - [0:0]

:VSERVER - [0:0]

:VUPNP - [0:0]

-A PREROUTING -d **.***.**.**/32 -j VSERVER

-A PREROUTING -i eth0 -p tcp -m tcp --dport 5001 -j DNAT --to-destination 192.168.1.105:5001

-A POSTROUTING -s 192.168.1.0/24 -o tun11 -j MASQUERADE

-A POSTROUTING ! -s **.***.**.**/32 -o eth0 -j MASQUERADE

-A POSTROUTING -m mark --mark 0xb400 -j MASQUERADE

-A VSERVER -j VUPNP

COMMIT

# Completed on Sun May 3 21:31:15 2015

# Generated by iptables-save v1.4.14 on Sun May 3 21:31:15 2015

*mangle

:PREROUTING ACCEPT [11110:9742172]

:INPUT ACCEPT [1122:421244]

:FORWARD ACCEPT [9986:9320848]

:OUTPUT ACCEPT [1017:958853]

:POSTROUTING ACCEPT [11007:10282168]

:BWDPI_FILTER - [0:0]

-A PREROUTING -d **.***.**.**/32 ! -i eth0 -j MARK --set-xmark 0xb400/0xffffffff

COMMIT

# Completed on Sun May 3 21:31:15 2015

# Generated by iptables-save v1.4.14 on Sun May 3 21:31:15 2015

*filter

:INPUT ACCEPT [0:0]

:FORWARD DROP [0:0]

:OUTPUT ACCEPT [1017:958853]

:FUPNP - [0:0]

:PControls - [0:0]

:iptfromlan - [0:0]

:ipttolan - [0:0]

:logaccept - [0:0]

:logdrop - [0:0]

-A INPUT -i tun11 -j ACCEPT

-A INPUT -p icmp -j logaccept

-A INPUT -m state --state INVALID -j logdrop

-A INPUT -m state --state RELATED,ESTABLISHED -j logaccept

-A INPUT -i lo -m state --state NEW -j ACCEPT

-A INPUT -i br0 -m state --state NEW -j ACCEPT

-A INPUT -p udp -m udp --sport 67 --dport 68 -j logaccept

-A INPUT -j logdrop

-A FORWARD -o br0 -j ipttolan

-A FORWARD -i br0 -j iptfromlan

-A FORWARD -m state --state RELATED,ESTABLISHED -j logaccept

-A FORWARD -i tun11 -j ACCEPT

-A FORWARD ! -i br0 -o eth0 -j logdrop

-A FORWARD -m state --state INVALID -j logdrop

-A FORWARD -i br0 -o br0 -j logaccept

-A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j logaccept

-A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j logaccept

-A FORWARD -i eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j logaccept

-A FORWARD -m conntrack --ctstate DNAT -j logaccept

-A FORWARD -i br0 -j ACCEPT

-A PControls -j logaccept

-A iptfromlan -o eth0 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN

-A iptfromlan -o tun11 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN

-A ipttolan -i eth0 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN

-A ipttolan -i tun11 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN

-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options

-A logaccept -j ACCEPT

-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options

-A logdrop -j DROP

COMMIT

# Completed on Sun May 3 21:31:15 201

J'avoue que là, on dépasse le cadre de mes compétences :-)

Modifié le 3 mai 2015 par albertlevert

[gaetan.cambier]

La 2° règle ne se trouve pas dans la liste

Ou alors, il est temps que je dorme, les 2 sont possibles

[albertlevert]

# Generated by iptables-save v1.4.14 on Sun May 3 22:24:31 2015

*nat

:PREROUTING ACCEPT [196:17524]

:INPUT ACCEPT [45:5405]

:OUTPUT ACCEPT [211:16033]

:POSTROUTING ACCEPT [211:16033]

:DNSFILTER - [0:0]

:LOCALSRV - [0:0]

:PCREDIRECT - [0:0]

:VSERVER - [0:0]

:VUPNP - [0:0]

-A PREROUTING -d **.**.***.**/32 -j VSERVER

-A PREROUTING -i eth0 -p tcp -m tcp --dport 5001 -j DNAT --to-destination 192.168.1.105:5001

-A POSTROUTING ! -s **.***.**.**/32 -o eth0 -j MASQUERADE

-A POSTROUTING -m mark --mark 0xb400 -j MASQUERADE

-A VSERVER -j VUPNP

COMMIT

# Completed on Sun May 3 22:24:31 2015

# Generated by iptables-save v1.4.14 on Sun May 3 22:24:31 2015

*mangle

:PREROUTING ACCEPT [28041:24115669]

:INPUT ACCEPT [1056:127852]

:FORWARD ACCEPT [26985:23987817]

:OUTPUT ACCEPT [911:620486]

:POSTROUTING ACCEPT [27812:24538649]

:BWDPI_FILTER - [0:0]

-A PREROUTING -d **.**.***.**/32 ! -i eth0 -j MARK --set-xmark 0xb400/0xffffffff

COMMIT

# Completed on Sun May 3 22:24:31 2015

# Generated by iptables-save v1.4.14 on Sun May 3 22:24:31 2015

*filter

:INPUT ACCEPT [0:0]

:FORWARD DROP [0:0]

:OUTPUT ACCEPT [911:620486]

:FUPNP - [0:0]

:PControls - [0:0]

:iptfromlan - [0:0]

:ipttolan - [0:0]

:logaccept - [0:0]

:logdrop - [0:0]

-A INPUT -p icmp -j logaccept

-A INPUT -m state --state INVALID -j logdrop

-A INPUT -m state --state RELATED,ESTABLISHED -j logaccept

-A INPUT -i lo -m state --state NEW -j ACCEPT

-A INPUT -i br0 -m state --state NEW -j ACCEPT

-A INPUT -p udp -m udp --sport 67 --dport 68 -j logaccept

-A INPUT -j logdrop

-A FORWARD -o br0 -j ipttolan

-A FORWARD -i br0 -j iptfromlan

-A FORWARD -m state --state RELATED,ESTABLISHED -j logaccept

-A FORWARD ! -i br0 -o eth0 -j logdrop

-A FORWARD -m state --state INVALID -j logdrop

-A FORWARD -i br0 -o br0 -j logaccept

-A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j logaccept

-A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j logaccept

-A FORWARD -i eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j logaccept

-A FORWARD -m conntrack --ctstate DNAT -j logaccept

-A FORWARD -i br0 -j ACCEPT

-A PControls -j logaccept

-A iptfromlan -o eth0 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN

-A ipttolan -i eth0 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN

-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options

-A logaccept -j ACCEPT

-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options

-A logdrop -j DROP

COMMIT

# Completed on Sun May 3 22:24:31 2015

J'ai enlevé les # et du coup le fichier semble être pris en compte il me semble... Il ressemble à ça :

#!/bin/sh

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 5001 -j DNAT --to 192.168.1.105:5001

iptables -A FORWARD -p tcp -d 192.168.1.105 --dport 5001 -j ACCEPT

Mais ça ne fonctionne toujours pas... :-( :-(

Modifié le 3 mai 2015 par albertlevert

[gaetan.cambier]

Aurais-tu désactivé ton vpn entre temps, je le voit plus dans les règles

Essaye une chose:

Ouvre le port simplement par l'interface du routeur

Affiche moi les routes de ton routeur qd le vpn est activé

Je pense que le problème vient de la a la base

[bagou91]

Si je me fais un petit tuto, est-ce que je suis juste ?

J'ai un routeur de type : ASUS RT-AC87U {Asus-wrtmerlin}

1. Dans les paramètres du routeur, je désactive la redirection de port pré-configurées

2. Je crée un nouveau fichier "nat-start" via SSH (via winscp) sur mon routeur dans le dossier /jffs/scripts/ et j'inclus les données suivantes :

#!/bin/sh

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5001 -j DNAT --to-destination 192.168.1.105:5001 **** pour accéder au DSM *****

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5053 -j DNAT --to-destination 192.168.1.105:5053 **** pour accéder à couch potato *****

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 32400 -j DNAT --to-destination 192.168.1.105:32400 **** pour accéder à Plex media server *****

iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 5001 -d 192.168.1.105 -j SNAT --to-source IP_ETH1 **** pour accéder au DSM *****

iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 5053 -d 192.168.1.105 -j SNAT --to-source IP_ETH1**** pour accéder à couch potato *****

iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 32400 -d 192.168.1.105 -j SNAT --to-source IP_ETH1**** pour accéder à plex media server *****

***** ETC...Ainsi de suite *****

3. Je sauvegarde et je mets les droits d'accès au fichier en 777

4. Je redémarre le routeur

Est-ce que c'est juste ?

bonjour,

je reviens de week end prolongé...

eth0 correspond bien à ta patte réseau externe (ip publique) ?

eth1 carte réseau local ?

à la place de IP_ETH1, tu as bien mis l'ip de ton routeur coté réseau local (192.168.1. ) ?

ajoutes également la règle FORWARD comme l'a dit Gaetan.

[albertlevert]

Merci vraiment pour vos réponses et le temps que vous prenez. C'est franchement sympa :-)

Bon alors j'ai un peu suivi vos commentaires et j'ai fais un fichier comme ca :

#!/bin/sh

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5001 -j DNAT --to-destination 192.168.1.105:5001

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5053 -j DNAT --to-destination 192.168.1.105:5053

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 32400 -j DNAT --to-destination 192.168.1.105:32400

iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 5001 -d 192.168.1.105 -j SNAT --to-source 192.168.1.1

iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 5053 -d 192.168.1.105 -j SNAT --to-source 192.168.1.1

iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 32400 -d 192.168.1.105 -j SNAT --to-source 192.168.1.1

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 5001 -j DNAT --to 192.168.1.105:5001

iptables -A FORWARD -p tcp -d 192.168.1.105 --dport 5001 -j ACCEPT

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 5053 -j DNAT --to 192.168.1.105:5053

iptables -A FORWARD -p tcp -d 192.168.1.105 --dport 5053 -j ACCEPT

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 32400 -j DNAT --to 192.168.1.105:32400

iptables -A FORWARD -p tcp -d 192.168.1.105 --dport 32400 -j ACCEPT

Et voilà ce que j'obtiens quand je fais iptables-save

# Generated by iptables-save v1.4.14 on Mon May 4 21:41:24 2015

*filter

:INPUT ACCEPT [0:0]

:FORWARD DROP [0:0]

:OUTPUT ACCEPT [226:50084]

:FUPNP - [0:0]

:PControls - [0:0]

:iptfromlan - [0:0]

:ipttolan - [0:0]

:logaccept - [0:0]

:logdrop - [0:0]

-A INPUT -i tun11 -j ACCEPT

-A INPUT -p icmp -j logaccept

-A INPUT -m state --state INVALID -j logdrop

-A INPUT -m state --state RELATED,ESTABLISHED -j logaccept

-A INPUT -i lo -m state --state NEW -j ACCEPT

-A INPUT -i br0 -m state --state NEW -j ACCEPT

-A INPUT -p udp -m udp --sport 67 --dport 68 -j logaccept

-A INPUT -j logdrop

-A FORWARD -o br0 -j ipttolan

-A FORWARD -i br0 -j iptfromlan

-A FORWARD -m state --state RELATED,ESTABLISHED -j logaccept

-A FORWARD -i tun11 -j ACCEPT

-A FORWARD ! -i br0 -o eth0 -j logdrop

-A FORWARD -m state --state INVALID -j logdrop

-A FORWARD -i br0 -o br0 -j logaccept

-A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j logaccept

-A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j logaccept

-A FORWARD -i eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j logaccept

-A FORWARD -m conntrack --ctstate DNAT -j logaccept

-A FORWARD -i br0 -j ACCEPT

-A FORWARD -d 192.168.1.105/32 -p tcp -m tcp --dport 5001 -j ACCEPT

-A FORWARD -d 192.168.1.105/32 -p tcp -m tcp --dport 5053 -j ACCEPT

-A FORWARD -d 192.168.1.105/32 -p tcp -m tcp --dport 32400 -j ACCEPT

-A FORWARD -d 192.168.1.105/32 -p tcp -m tcp --dport 5001 -j ACCEPT

-A FORWARD -d 192.168.1.105/32 -p tcp -m tcp --dport 5053 -j ACCEPT

-A FORWARD -d 192.168.1.105/32 -p tcp -m tcp --dport 32400 -j ACCEPT

-A FUPNP -d 192.168.1.101/32 -p udp -m udp --dport 4500 -j ACCEPT

-A PControls -j logaccept

-A iptfromlan -o eth0 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN

-A iptfromlan -o tun11 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN

-A ipttolan -i eth0 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN

-A ipttolan -i tun11 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN

-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options

-A logaccept -j ACCEPT

-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options

-A logdrop -j DROP

COMMIT

# Completed on Mon May 4 21:41:24 2015

Ca ne fonctionne toujours pas... Je vous écoute encore :-))))

[albertlevert]

Aurais-tu désactivé ton vpn entre temps, je le voit plus dans les règles

Essaye une chose:

Ouvre le port simplement par l'interface du routeur

Affiche moi les routes de ton routeur qd le vpn est activé

Je pense que le problème vient de la a la base

Et voilà ce que j'obtiens avec iptables-save quand le VPN est activé et que les ports sont transférés via l'interface de base (ce qui ne marche pas non plus) :

# Generated by iptables-save v1.4.14 on Mon May 4 21:52:23 2015

*filter

:INPUT ACCEPT [0:0]

:FORWARD DROP [0:0]

:OUTPUT ACCEPT [1906:3110137]

:FUPNP - [0:0]

:PControls - [0:0]

:iptfromlan - [0:0]

:ipttolan - [0:0]

:logaccept - [0:0]

:logdrop - [0:0]

-A INPUT -i tun11 -j ACCEPT

-A INPUT -p icmp -j logaccept

-A INPUT -m state --state INVALID -j logdrop

-A INPUT -m state --state RELATED,ESTABLISHED -j logaccept

-A INPUT -i lo -m state --state NEW -j ACCEPT

-A INPUT -i br0 -m state --state NEW -j ACCEPT

-A INPUT -p udp -m udp --sport 67 --dport 68 -j logaccept

-A INPUT -j logdrop

-A FORWARD -o br0 -j ipttolan

-A FORWARD -i br0 -j iptfromlan

-A FORWARD -m state --state RELATED,ESTABLISHED -j logaccept

-A FORWARD -i tun11 -j ACCEPT

-A FORWARD ! -i br0 -o eth0 -j logdrop

-A FORWARD -m state --state INVALID -j logdrop

-A FORWARD -i br0 -o br0 -j logaccept

-A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j logaccept

-A FORWARD -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j logaccept

-A FORWARD -i eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j logaccept

-A FORWARD -m conntrack --ctstate DNAT -j logaccept

-A FORWARD -i br0 -j ACCEPT

-A PControls -j logaccept

-A iptfromlan -o eth0 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN

-A iptfromlan -o tun11 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN

-A ipttolan -i eth0 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN

-A ipttolan -i tun11 -m account--aaddr 192.168.1.0/255.255.255.0 --aname lan -j RETURN

-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options

-A logaccept -j ACCEPT

-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options

-A logdrop -j DROP

COMMIT

# Completed on Mon May 4 21:52:23 2015

[gaetan.cambier]

mais pourquoi le SNAT ?

le SNAT modifie l'adresse source du paquet

donc, un paquet rentrant en direction de ton nas, tu modifie l'adresse source pour dire qu'il vient du routeur

logiquement, le nas, qd il renvoit un paquet de reponse, il le renvoit ... au routeur et pas sur internet

[bagou91]

oui c'est fait exprès dans son cas.

le vpn reroute tout son traffic vers le serveur vpn.

donc pour accéder à distance au nas à partir de l'ip de sa box, la solution du SNAT conviendrait.

le NAS renverrait le paquet vers l'ip du routeur qui renverrait à son tour vers l'ip source en sortant par l'ip public de la box et non par le vpn.

[gaetan.cambier]

et non, le paquet etant à destination du routeur, le routeur dis merci et va pas + loin vu que c'est l'adresse de destination

[bagou91]

je viens de faire un test grandeur nature avec des vm + tunnel vpn.

je me suis mis dans la même configuration que LeCube.

en fait, le SNAT fonctionne bien mais le retour vers l'ip source requetant le nas se fait quand même via le tunnel puisque c'est la route par défaut du routeur

donc à part faire des routes statiques dans le routeur, il n'y a que l'autre solution du vpn payant autorisant la redirection de ports.

pour les routes statiques c'est gérable seulement si l'appareil source garde la même ip publique.

[gaetan.cambier]

mais non , c'est tout à fait possible :

http://serverfault.com/questions/382498/howto-only-tunnel-specific-hosts-route-through-openvpn-client-on-tomato

voila l'exemple pour regiriger uniquement certain paquet cers le vpn, l'inverse, c'est le meme principe

[bagou91]

cela revient un peu à faire du static: il faut choisir quels IPs/ports sources et/ou destinations on oriente.

un peu compliqué quand on fait du Bittorrent...