[résolu] IPCop + OpenVPN: Error NT_STATUS_UNSUCCESSFUL

[pfrancois]

Bonjour

Grâce aux forums publiés ici, je suis déjà parvenu à faire beaucoup pour me connecter depuis Internet sur un RPV (host-to-net).

Je peux pinguer les machines du RPV, surfer sur les serveurs http de ce réseau, faire la résolution des noms en adresses IP mais... PAS accéder les partages Windows avec smbclient sous Linux.

J'aimerais savoir ce qui bloque et qui me donne le message "Error NT_STATUS_UNSUCCESSFUL"

Description de la configuration:

laptop Linux avec smbclient <-> firewall qui laisse quasiment tout passer en sortie <-> Internet <-> modem ADSL <-> IPCop <-> machines Windows sur le réseau bleu partageant des fichiers

Description plus détaillée:

IPCop (version 1.4.11) 256 MB RAM avec carte CF difficile à upgrader pcq déjà très à l'étroit)
zerina-0.9.4b

Code: Tout sélectionner

#OpenVPN Server conf

daemon openvpnserver
writepid /var/run/openvpn.pid
#DAN prepare ZERINA for listening on blue and orange
;local campus.hopto.org
dev tun
tun-mtu 1500
proto udp
port 1194
tls-server
ca /var/ipcop/ovpn/ca/cacert.pem
cert /var/ipcop/ovpn/certs/servercert.pem
key /var/ipcop/ovpn/certs/serverkey.pem
dh /var/ipcop/ovpn/ca/dh1024.pem
server 10.141.221.0 255.255.255.0
push "route 192.168.111.0 255.255.255.0"
status-version 1
status /var/ipcop/ovpn/server.log 30
keepalive 10 120
cipher BF-CBC
comp-lzo
max-clients 100
tls-verify /var/ipcop/ovpn/verify
crl-verify /var/ipcop/ovpn/crls/cacrl.pem
user nobody
group nobody
persist-key
persist-tun
verb 3


Il manque une route vers 192.168.211.0, mais je la crée avec mon client openvpn. Idem pour le nom de domaine, de façon à pouvoir résoudre les noms pour le domaine correspondant au RPV.

Ce qui fonctionne:

Code: Tout sélectionner

$ ping 192.168.211.243
PING 192.168.211.243 (192.168.211.243) 56(84) bytes of data.
64 bytes from 192.168.211.243: icmp_seq=1 ttl=127 time=25.0 ms
64 bytes from 192.168.211.243: icmp_seq=2 ttl=127 time=24.8 ms
64 bytes from 192.168.211.243: icmp_seq=3 ttl=127 time=24.4 ms

$ ping pc2new.campus.hopto.org
PING pc2new.campus.hopto.org (192.168.211.243) 56(84) bytes of data.
64 bytes from pc2new.campus.hopto.org (192.168.211.243): icmp_seq=1 ttl=127 time=38.5 ms
64 bytes from pc2new.campus.hopto.org (192.168.211.243): icmp_seq=2 ttl=127 time=24.3 ms
64 bytes from pc2new.campus.hopto.org (192.168.211.243): icmp_seq=3 ttl=127 time=24.4 ms


Je peux même surfer vers l'interface web de l'imprimante sur http://ricoh-noir-blanc.campus.hopto.org/

Code: Tout sélectionner

$ wget http://ricoh-noir-blanc.campus.hopto.org
--2010-02-25 12:22:33--  http://ricoh-noir-blanc.campus.hopto.org/
Resolving ricoh-noir-blanc.campus.hopto.org... 192.168.211.242
Connecting to ricoh-noir-blanc.campus.hopto.org|192.168.211.242|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 568 [text/html]
Saving to: `index.html'

100%[======================================>] 568         --.-K/s   in 0.01s   

2010-02-25 12:22:33 (40.6 KB/s) - `index.html' saved [568/568]


Mais quand j'essaye d'accéder aux partages Windows, ça ne marche pas:

Code: Tout sélectionner

$ smbclient -N -U Guest -L //192.168.211.243 --debuglevel=3
lp_load_ex: refreshing parameters
Initialising global parameters
params.c:pm_process() - Processing configuration file "/etc/samba/smb.conf"
Processing section "[global]"
interpret_interface: using netmask value 8 from config file on interface lo
added interface lo ip=127.0.0.1 bcast=127.255.255.255 netmask=255.0.0.0
added interface eth0 ip=fe80::21c:7eff:fe57:50b7%eth0 bcast=fe80::ffff:ffff:ffff:ffff%eth0 netmask=ffff:ffff:ffff:ffff::
added interface eth0 ip=192.168.52.229 bcast=192.168.52.255 netmask=255.255.255.0
interpret_interface: using netmask value 24 from config file on interface tun0
not adding non-broadcast interface tun0
interpret_interface: Can't determine ip for broadcast address 192.168.111.0/24
interpret_interface: Can't determine ip for broadcast address 192.168.211.0/24
Client started (version 3.4.0).
Connecting to 192.168.211.243 at port 445
Connecting to 192.168.211.243 at port 139
Error connecting to 192.168.211.243 (Success)
Connection to 192.168.211.243 failed (Error NT_STATUS_UNSUCCESSFUL)


On voit qu'il y a des erreurs au niveau de mon client et donc peut-être dans la configuration de SAMBA sur mon laptop, où j'ai pensé devoir ajouter la ligne suivante dans le fichier /etc/samba/smb.conf:

Code: Tout sélectionner

interfaces = 127.0.0.0/8 eth0 10.141.221.0/24 192.168.111.0/24 192.168.211.0/24


Voici encore l'output d'ifconfig et de route -n pour expliquer ce qui se passe sur mon client:

Code: Tout sélectionner

$ ifconfig
eth0      Link encap:Ethernet  HWaddr 00:1c:7e:57:50:b7 
          inet addr:192.168.52.229  Bcast:192.168.52.255  Mask:255.255.255.0
          inet6 addr: fe80::21c:7eff:fe57:50b7/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:267797 errors:0 dropped:0 overruns:0 frame:0
          TX packets:202359 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:285738923 (285.7 MB)  TX bytes:31349359 (31.3 MB)
          Memory:ff9c0000-ff9e0000

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:3319 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3319 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:373316 (373.3 KB)  TX bytes:373316 (373.3 KB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet addr:10.141.221.6  P-t-P:10.141.221.5  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:261 errors:0 dropped:0 overruns:0 frame:0
          TX packets:351 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:33531 (33.5 KB)  TX bytes:24765 (24.7 KB)

$ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
83.101.48.231   192.168.52.254  255.255.255.255 UGH   0      0        0 eth0
10.141.221.1    10.141.221.5    255.255.255.255 UGH   0      0        0 tun0
10.141.221.5    0.0.0.0         255.255.255.255 UH    0      0        0 tun0
192.168.211.0   10.141.221.5    255.255.255.0   UG    0      0        0 tun0
192.168.52.0    0.0.0.0         255.255.255.0   U     1      0        0 eth0
192.168.111.0   10.141.221.5    255.255.255.0   UG    0      0        0 tun0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0
0.0.0.0         192.168.52.254  0.0.0.0         UG    0      0        0 eth0


[jdh]

Une fois n'est pas coutume, la réponse n'a pas besoin de tous ces renseignements ! Elle se trouve dans le newbie-kit !


Edit/

Je ne comprends pas pourquoi il y a plusieurs réseaux au delà de l'ipcop : normalement un ipcop est prévu pour UN réseau green unique. Edit / je suppose Green + Blue

[pfrancois]

Une fois n'est pas coutume, la réponse n'a pas besoin de tous ces renseignements ! Elle se trouve dans le newbie-kit !

Alors: ou bien il faudra revoir la fonction de recherche, ou bien il faudra continuer cette belle coutume pour laquelle je suis très reconnaissant.

Edit/
Je ne comprends pas pourquoi il y a plusieurs réseaux au delà de l'ipcop : normalement un ipcop est prévu pour UN réseau green unique. Edit / je suppose Green + Blue

Effectivement: il y a deux réseaux: Green + Blue.

Maintenant, j'aimerais bien savoir où il se trouve ce newbie-kit. Rechercher "newbie-kit" donne 54 résultats trouvés. Dans toutes les recherches que j'ai faites avec "openvpn", "ipcop", "share", etc..., je ne suis pas tombé sur ce newbie-kit. Le malheur c'est que le newbie est peut-être trop newbie que pour le trouver.

Bon allez, j'arrête de râler: je viens de le trouver dans "IPCop" alors que je cherchais dans "Sécurité et Réseaux".

[jdh]

Il faut que je corrige un peu les choses :

- 1er point : il y a des infos, et c'est bien, car nous lisons, encore ce jour, quelqu'un râle parce qu'on ne lui donne pas la réponse alors qu'il ne fournit aucune info ! Usant !!
- 2me point : au travers d'un VPN, mais ce pourrait être le cas au delà d'un routeur, l'accès à une ressource Windows NE PEUT PAS se faire avec un nom (Windows) ! C'est mentionné dans le newbie-kit.
- 3me point : là, justement, l'accès n'est pas tenté sur un nom mais à partir d'une adresse ip ... ce qui devrait fonctionner !
- 4ème point : avec OpenVPN, je préconise les 2 push dans la config serveur, car c'est plus logique.

Un moyen radical d'analyse : tcpdump ... avec une comparaison avec ou sans VPN ! Mais cela demande du temps ... Un contrôle de ce qui apparait dans /var/log/syslog ou peut-être un /var/log/samba/*.

[pfrancois]

Il faut que je corrige un peu les choses :

- 1er point : il y a des infos, et c'est bien, car nous lisons, encore ce jour, quelqu'un râle parce qu'on ne lui donne pas la réponse alors qu'il ne fournit aucune info ! Usant !!

Super, je suis d'accord: on va finir pas devenir très copains.

- 2me point : au travers d'un VPN, mais ce pourrait être le cas au delà d'un routeur, l'accès à une ressource Windows NE PEUT PAS se faire avec un nom (Windows) ! C'est mentionné dans le newbie-kit.
- 3me point : là, justement, l'accès n'est pas tenté sur un nom mais à partir d'une adresse ip ... ce qui devrait fonctionner !

Effectivement, mais cela ne fonctionne pas. On commence à cerner le problème. Ah: j'ai oublié de mentionner une chose: j'ai BOT sur l'IPCop à travers duquel je veux passer, mais cela ne devrait pas affecter le trafic initié depuis l'extérieur, je pense.

- 4ème point : avec OpenVPN, je préconise les 2 push dans la config serveur, car c'est plus logique.

OK, je vais voir.

Un moyen radical d'analyse : tcpdump ... avec une comparaison avec ou sans VPN ! Mais cela demande du temps ... Un contrôle de ce qui apparait dans /var/log/syslog ou peut-être un /var/log/samba/*.

Sans VPN, il faudrait que ce soit l'informaticien sur place qui le fasse, moi je suis un consultant à distance.

[pfrancois]

L'accès n'est pas tenté sur un nom mais à partir d'une adresse ip ... ce qui devrait fonctionner !

On a trouvé ce qui coïnce, bingo! Maintenant ça marche.

Le problème vient de la machine Windows XP qui partage le système de fichiers. Sur cette machine il y a un pare-feu qui limite l'accès aux partages de fichiers aux seules machines du sous-réseau local.

Pour élargir l'accès à toutes les machines qui se connectent par le tunnel, il suffit de changer les réglages du pare-feu (en mode Administrateur bien entendu): Start > Settings > Control Panel > Security Center > Manage Security Settings > Windows Firewall > Exceptions > File and printer sharing > Edit

On voit quatre services à modifier: TCP/139, TCP/445, UDP/137, UDP/138

Il faut modifier scope pour ces quatre services: changer scope=subnet en scope=any.

Petite remarque en passant: L'administrateur Windows moyen ne comprend évidemment rien à tout ceci parce que c'est tout sauf intuitif. Heureusement que l'administrateur Linux (à qui on a expliqué ce qu'il y a derrière ces technologies) peut lui souffler ce qu'il doit faire.

[jdh]

C'est un réglage inhabituel (=non standard) mais logique et sûr !

Dans mon entreprise principale, j'utilise F-Secure qui incorpore un (sur-)firewall avec la même règle !
Du coup, il faut ajouter une règle d'accès aux partages Windows pour tous les n° de réseaux des sites.

Et, je confirme, c'est difficile à trouver !


On pourrait sur un serveur Linux, qui fait samba, faire basic avec "interface" = pas besoin d'iptables !

[pfrancois]

C'est un réglage inhabituel (=non standard) mais logique et sûr !

Dans mon entreprise principale, j'utilise F-Secure qui incorpore un (sur-)firewall avec la même règle !
Du coup, il faut ajouter une règle d'accès aux partages Windows pour tous les n° de réseaux des sites.

Et, je confirme, c'est difficile à trouver !


On pourrait sur un serveur Linux, qui fait samba, faire basic avec "interface" = pas besoin d'iptables !

Effectivement. Petit à petit, on parvient à convaincre les collègues de passer de plus en plus de services de Windows à Linux, mais ça prend du temps, et en attendant, qu'est-ce qu'on perd de temps à leur régler leur problèmes Windo-windows!

Merci pour tout en tout cas.