Fonction audio MSN, passerelle Linux et NAT

[antolien]

Bonjour, <BR> <BR>Alors j'essayes de faire fonctionner l'audio msn derrière une passerelle linux afin que chaque poste dans le LAN puisse en profiter. Donc il est exclu de forwarder le port. <BR> <BR>J'ai lu dans différents posts que ça marchait sans rien faire avec la V6 et d'autres négatifs. <BR> <BR>Après pas mal de recherche, il faut que la passerelle gère l'UPnP, ce qu'un routeur à 150 euros réussit à faire... mais pas linux. Forcément ce n'est pas très sécurisé. <BR> <BR>Donc a priori on aurait à installer un démon UPnP, qui se trouve sur sourceforge <!-- BBCode auto-link start --><a href="http://sourceforge.net/projects/linux-igd/" target="_blank">http://sourceforge.net/projects/linux-igd/</a><!-- BBCode auto-link end --> <BR>ça n'a pas l'air de fonctionner... <BR>Peut-être que cela ne fait pas bon menage avec les règles iptables. <BR> <BR>Sinon, pour ceux que ça intéresse, si vous avez un VPN entre deux sites, la conversation vocale passe par... le VPN.. <IMG SRC="images/smiles/icon_eek.gif"> sans rien avoir spécifier, comme quoi il y a un problème avec ce protocole. <BR> <BR>Vos avis m'intéresse , ceux pour qui ça fonctionne, où pas, ceux qui ont essayé igd ... <BR> <BR> <IMG SRC="images/smiles/icon_help.gif"> merci <IMG SRC="images/smiles/icon_help.gif"> <BR>

[tomtom]

Ha oui j'avais essayé IGD à une epoque, sans succes.... <BR>Ca a l'air d'etre une vraie $%#&! ça.. <BR> <BR>Je t'envoie les liens que j'avais amassés à l'epoque ce soir.... Mais je n'ai jamais reussi à faire fonctionner une passerelle upnp sur un linux <IMG SRC="images/smiles/icon_frown.gif"> <BR> <BR> <BR>t.

[antolien]

Quelque chose qui marche ! <BR> <BR>ajouter la route : <BR> <BR>route add -net 239.0.0.0 netmask 255.0.0.0 eth0(interface interne) <BR> <BR>lien symbolique pour iptables <BR> <BR>ln -s /sbin/iptables iptables <BR> <BR>vi /etc/sources.list <BR>en mode insert , ajouter : <BR> <BR>deb <!-- BBCode auto-link start --><a href="http://detroit.ddo.jp/debian/woody" target="_blank">http://detroit.ddo.jp/debian/woody</a><!-- BBCode auto-link end --> ./ <BR> <BR>:wq <BR> <BR>apt-get update <BR> <BR>apt-get install linuxigd <BR> <BR>vérifier dans le /etc/init.d/linuxigd vos interfaces : <BR>EXT_IF="eth1" (interface externe) <BR>INT_IF="eth0" (interface intern) <BR> <BR> <BR>Euh, ben merci à ceux qui ont paquagé ça ! <BR> <BR>L'audio marche donc, avec du nat, mais il crée des règles iptables de forward en live sur des ports. Ce qui n'est pas très secure (il supprime les règles à la fin de la conversation quand même) <BR> <BR>En tout cas c'est Une solution, (pour debian). <BR> <BR>Reste à savoir avec quelles règles du firewall ça marche, je vous tiens au courant. <BR> <BR> <IMG SRC="images/smiles/icon_up.gif">

[tomtom]

Bien vu, je bookmark la page <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR> <IMG SRC="images/smiles/icon_bise.gif"> <BR> <BR>t.

[antolien]

Alors, les règles pour faire fonctionner tout cela de la façon la plus restrictive : <BR> <BR>-Autoriser de 1024 à 65535 en UDP en forward avec comme source le LAN destination any <BR> <BR>-Autoriser soit le 80, soit le 1863(si on utilise un proxy, ça peut être utile de fermer le 80) en forward avec comme source le LAN destination any <BR> <BR> <BR>-Autoriser le 443 (pour l'ouverture de session) en forward avec comme source le LAN destination any <BR> <BR>C'est tout, le deamon upnp se charge du reste , assez proprement d'ailleurs puisqu'il forward un port vers la machine source, et les delete dès que la session est fermée. <BR>En plus comme ce sont des ports > à 1024 et aléatoire de surcroît, cela reste tolérable. Par contre ces ports sont forwardés dès l'ouverture de session. <BR> <BR> <BR>Autre chose, j'ai perdu beaucoup de temps en essayant de compiler avec les sources qu'il y a chez sourceforge, et ça n'a jamais fonctionné. Et d'ailleurs si on regarde la date, je crois que ces packages ont de l'avance sur le dev principal. <BR> <BR>Donc désolé pour les non-debianistes, à moins que l'on puisse récupérer les sources de ce site. <BR> <BR>D'ailleurs, ce serait génial d'implémenter ça sur ipcop, car pas mal de monde cherche à faire ça, surtout les home user. <BR> <BR>Depuis le temps que l'on cherche à faire fonctionner ça, je sais pas vous mais je suis super content <IMG SRC="images/smiles/icon_biggrin.gif">

[KoKiNoU]

huhu félicitations pr le boulot antolien ! <BR> <BR>bon il ne me reste plus qu'à trouver une distribution ultra simple et facile à comprendre pour moi le non-initié basée sur une debian ! lol <BR> <BR>J'y cours de ce pas <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>KoKiNoU

[starly]

Salut, <BR> <BR>je ss ds la mm conf qe toi : linux_box qi me gere l'internet (USB) + regles de filtrage. <BR>Et ds clients windows XP avc msn 6.0 <BR>TT est accepté par defaut en sortie. <BR> <BR> <BR>Pour Faire fonctionner MSN Vocal derriere le firwall linux : <BR>iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 6901 -j <BR> DNAT --to-destination 192.168.10.1:6901 <BR> <BR>ou 192.168.10.1 est l'adresse d'1 poste ou je ferai de la visioconference. <BR> <BR>P.s : si ca peut t'aider... <BR> <BR>@+ <BR> <IMG SRC="images/smiles/icon_wink.gif">

[antolien]

oui starly, <BR> <BR>ici justement avec cette chose, l'intérêt est de pouvoir avoir différents clients derrière le LAN et converser comme bon leur semble et sans avoir de forward sur la machine. <BR> <BR>Parce que là avec ce forward du 6901 que tu propose, et bien un seul pc du lan peut accéder à cette fonction. <BR> <BR>Tandis que là , on est pas tout seul sur le lan <IMG SRC="images/smiles/icon_wink.gif">

[micjack]

Je ne comprends plus rien ? vos softs n'ont pas une config qui permet de passer outre un FW ou un Proxy ? sur sock 4/5 <IMG SRC="images/smiles/icon_confused.gif"> <BR><BR><BR><font size=-2></font>

[ggael]

ça marche pas ! <BR> <BR>j'ai fait tout ça poutant et j'ai ouvert mon firewall <BR> <BR>sauf le lien symbolique : il faut le créer où ? <BR> <BR> <BR>la route elle sert à quoi ? <BR> <BR>Gaël

[antolien]

En fait avec cette version, il n'y a pas de lien symbolique à faire. <BR> <BR>Il faut par contre ouvrir 2 ports en INPUT (source = LAN) sur le firewall <BR>le 1900 udp et un autre en tcp (je ne sais plus lequel, tu fais un netstat -nat et tu regarde sur quel port écoute le daemon upnp. <BR> <BR>Et chose importante, mettre le dernier directx (9.0b) sur la machine windows.

[ggael]

ok merci ça marche ! <BR>en fait mon firewall n'est pas si restrictif qd ça vient de l'interieur <BR> <BR>j'avais simplement oublié de relancer MSN je crois la premiere fois <BR> <BR>A Quoi sert la route 239... ? <BR>elle n'aparait pas dans les regles iptables ! <BR> <BR>Gaël

[antolien]

La route 239 c'est du mutlicast, donc permet de joindre tous les hôtes du réseau en même temps; <BR>et dire aux autres clients msn du lan quelque chose du genre : n'utilisez pas ce port ! je l'utilise déjà pour un client... <BR> <BR> <IMG SRC="images/smiles/icon_biggrin.gif">

[tomtom]

Bon, moi je suis quand même etonné... <BR>Je suis sous debian, j'ai un script iptables assez basique, pas de demon igd en vue, et pourtant avec du msn 6 j'etablis sans aucun soucis des connexion voix (en tt cas avec des gens qui n'ont pas de firewall, je n'ai aps testé plus... ) <BR> <BR>t.

[antolien]

Dans les 2 sens ? appelé et appelant ? <BR> <BR>Si c'est lorsque tu est appelé, c'est normal que ça marche si la personne en face est connectée directement sans firewall. <BR> <BR>Si c'est dans les deux sens, je n'y comprend rien, car j'ai testé dans tout les sens pour que ça marche, mais ça n'a jamais marché, que ce soit sous winsows 200 ou XP. <BR>Sauf en faisant un nat de certains ports sur la machine cliente... <BR> <BR> <IMG SRC="images/smiles/icon_confused.gif">