VPN et voisinage réseau

par **sharkattack** » 29 Nov 2005 11:20

Bonjour !

je viens de mettre en place deux ipcop sur deux reseaux et de créer un VPN. Pour l'instant aucun problème. Vive IpCop. Le problème est que j'ai du mal a voir mon voisinage réseau distant. Je peux pinger sur l'ip et sur le nom machine (grace un server DNS sur un AD) mais les pc n'apparaissent pas dans le voisinage réseau.

192.168.1.x => ipcop 1.4.10 => Internet <= ipcop 1.4.10 <= 192.168.0.x

J'ai cherhé dans votre forum et trouvé ceux ci http://forums.fr.ixus.net/viewtopic.php?t=4359&highlight=voisinage+reseau.J'ai bien compris qu'il fallait "ouvrir" enfin plutot laisser passer certains port netbios comme suit :

iptables -I FORWARD -p tcp --dport 137 -i ipsec0 -j ACCEPT
iptables -I FORWARD -p udp --dport 137 -i ipsec0 -j ACCEPT
iptables -I FORWARD -p tcp --dport 138 -i ipsec0 -j ACCEPT
iptables -I FORWARD -p udp --dport 138 -i ipsec0 -j ACCEPT
iptables -I FORWARD -p tcp --dport 139 -i ipsec0 -j ACCEPT
iptables -I FORWARD -p udp --dport 139 -i ipsec0 -j ACCEPT
iptables -I FORWARD -p tcp --dport 445 -i ipsec0 -j ACCEPT

mais voila ou faut il mettre ca dans le fichier rc.firewall?

Pour info voila mon rc.firewall

Code: Tout sélectionner: #!/bin/sh # # $Id: rc.firewall,v 1.7.2.19 2005/10/03 00:34:12 gespinasse Exp $ # eval $(/usr/local/bin/readhash /var/ipcop/ppp/settings) eval $(/usr/local/bin/readhash /var/ipcop/ethernet/settings) IFACE=`/bin/cat /var/ipcop/red/iface 2> /dev/null | /usr/bin/tr -d '\012'` if [ -f /var/ipcop/red/device ]; then DEVICE=`/bin/cat /var/ipcop/red/device 2> /dev/null | /usr/bin/tr -d '\012'` fi iptables_init() { # Flush all rules and delete all custom chains /sbin/iptables -F /sbin/iptables -t nat -F /sbin/iptables -t mangle -F /sbin/iptables -X /sbin/iptables -t nat -X /sbin/iptables -t mangle -X # Set up policies /sbin/iptables -P INPUT DROP /sbin/iptables -P FORWARD DROP /sbin/iptables -P OUTPUT ACCEPT # Empty LOG_DROP and LOG_REJECT chains /sbin/iptables -N LOG_DROP /sbin/iptables -A LOG_DROP -m limit --limit 10/minute -j LOG /sbin/iptables -A LOG_DROP -j DROP /sbin/iptables -N LOG_REJECT /sbin/iptables -A LOG_REJECT -m limit --limit 10/minute -j LOG /sbin/iptables -A LOG_REJECT -j REJECT # This chain will log, then DROPs packets with certain bad combinations # of flags might indicate a port-scan attempt (xmas, null, etc) /sbin/iptables -N PSCAN /sbin/iptables -A PSCAN -p tcp -m limit --limit 10/minute -j LOG --log-prefix "TCP Scan? " /sbin/iptables -A PSCAN -p udp -m limit --limit 10/minute -j LOG --log-prefix "UDP Scan? " /sbin/iptables -A PSCAN -p icmp -m limit --limit 10/minute -j LOG --log-prefix "ICMP Scan? " /sbin/iptables -A PSCAN -f -m limit --limit 10/minute -j LOG --log-prefix "FRAG Scan? " /sbin/iptables -A PSCAN -j DROP # New tcp packets without SYN set - could well be an obscure type of port scan # that's not covered above, may just be a broken windows machine /sbin/iptables -N NEWNOTSYN /sbin/iptables -A NEWNOTSYN -m limit --limit 10/minute -j LOG --log-prefix "NEW not SYN? " /sbin/iptables -A NEWNOTSYN -j DROP # Chain to contain all the rules relating to bad TCP flags /sbin/iptables -N BADTCP # Disallow packets frequently used by port-scanners # nmap xmas /sbin/iptables -A BADTCP -p tcp --tcp-flags ALL FIN,URG,PSH -j PSCAN # Null /sbin/iptables -A BADTCP -p tcp --tcp-flags ALL NONE -j PSCAN # FIN /sbin/iptables -A BADTCP -p tcp --tcp-flags ALL FIN -j PSCAN # SYN/RST (also catches xmas variants that set SYN+RST+...) /sbin/iptables -A BADTCP -p tcp --tcp-flags SYN,RST SYN,RST -j PSCAN # SYN/FIN (QueSO or nmap OS probe) /sbin/iptables -A BADTCP -p tcp --tcp-flags SYN,FIN SYN,FIN -j PSCAN # NEW TCP without SYN /sbin/iptables -A BADTCP -p tcp ! --syn -m state --state NEW -j NEWNOTSYN /sbin/iptables -A INPUT -j BADTCP /sbin/iptables -A FORWARD -j BADTCP } iptables_red() { /sbin/iptables -F REDINPUT /sbin/iptables -F REDFORWARD /sbin/iptables -t nat -F REDNAT # PPPoE / PPTP Device if [ "$IFACE" != "" ]; then # PPPoE / PPTP if [ "$DEVICE" != "" ]; then /sbin/iptables -A REDINPUT -i $DEVICE -j ACCEPT fi if [ "$RED_TYPE" == "PPTP" -o "$RED_TYPE" == "PPPOE" ]; then if [ "$RED_DEV" != "" ]; then /sbin/iptables -A REDINPUT -i $RED_DEV -j ACCEPT fi fi fi # PPTP over DHCP if [ "$DEVICE" != "" -a "$TYPE" == "PPTP" -a "$METHOD" == "DHCP" ]; then /sbin/iptables -A REDINPUT -p tcp --source-port 67 --destination-port 68 -i $DEVICE -j ACCEPT /sbin/iptables -A REDINPUT -p udp --source-port 67 --destination-port 68 -i $DEVICE -j ACCEPT fi # Orange pinholes if [ "$ORANGE_DEV" != "" ]; then # This rule enables a host on ORANGE network to connect to the outside # (only if we have a red connection) if [ "$IFACE" != "" ]; then /sbin/iptables -A REDFORWARD -i $ORANGE_DEV -p tcp -o $IFACE -j ACCEPT /sbin/iptables -A REDFORWARD -i $ORANGE_DEV -p udp -o $IFACE -j ACCEPT fi fi if [ "$IFACE" != "" -a -f /var/ipcop/red/active ]; then # DHCP if [ "$RED_DEV" != "" -a "$RED_TYPE" == "DHCP" ]; then /sbin/iptables -A REDINPUT -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT /sbin/iptables -A REDINPUT -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT fi if [ "$METHOD" == "DHCP" -a "$PROTOCOL" == "RFC1483" ]; then /sbin/iptables -A REDINPUT -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT /sbin/iptables -A REDINPUT -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT fi # Outgoing masquerading /sbin/iptables -t nat -A REDNAT -o $IFACE -j MASQUERADE fi } # See how we were called. case "$1" in start) iptables_init # Limit Packets- helps reduce dos/syn attacks /sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 10/sec # Fix for braindead ISP's /sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu # CUSTOM chains, can be used by the users themselves /sbin/iptables -N CUSTOMINPUT /sbin/iptables -A INPUT -j CUSTOMINPUT /sbin/iptables -N CUSTOMFORWARD /sbin/iptables -A FORWARD -j CUSTOMFORWARD /sbin/iptables -N CUSTOMOUTPUT /sbin/iptables -A OUTPUT -j CUSTOMOUTPUT /sbin/iptables -t nat -N CUSTOMPREROUTING /sbin/iptables -t nat -A PREROUTING -j CUSTOMPREROUTING /sbin/iptables -t nat -N CUSTOMPOSTROUTING /sbin/iptables -t nat -A POSTROUTING -j CUSTOMPOSTROUTING # filtering from GUI /sbin/iptables -N GUIINPUT /sbin/iptables -A INPUT -j GUIINPUT # Accept everything connected /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # localhost and ethernet. /sbin/iptables -A INPUT -i lo -m state --state NEW -j ACCEPT /sbin/iptables -A INPUT -s 127.0.0.0/8 -m state --state NEW -j DROP # Loopback not on lo /sbin/iptables -A INPUT -d 127.0.0.0/8 -m state --state NEW -j DROP /sbin/iptables -A FORWARD -i lo -m state --state NEW -j ACCEPT /sbin/iptables -A FORWARD -s 127.0.0.0/8 -m state --state NEW -j DROP /sbin/iptables -A FORWARD -d 127.0.0.0/8 -m state --state NEW -j DROP /sbin/iptables -A INPUT -i $GREEN_DEV -m state --state NEW -j ACCEPT -p ! icmp /sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT /sbin/iptables -I FORWARD -p tcp --dport 137 -i ipsec0 -j ACCEPT /sbin/iptables -I FORWARD -p udp --dport 137 -i ipsec0 -j ACCEPT /sbin/iptables -I FORWARD -p tcp --dport 138 -i ipsec0 -j ACCEPT /sbin/iptables -I FORWARD -p udp --dport 138 -i ipsec0 -j ACCEPT /sbin/iptables -I FORWARD -p tcp --dport 139 -i ipsec0 -j ACCEPT /sbin/iptables -I FORWARD -p udp --dport 139 -i ipsec0 -j ACCEPT /sbin/iptables -I FORWARD -p tcp --dport 445 -i ipsec0 -j ACCEPT # If a host on orange tries to initiate a connection to IPCop's red IP and # the connection gets DNATed back through a port forward to a server on orange # we end up with orange -> orange traffic passing through IPCop [ "$ORANGE_DEV" != "" ] && /sbin/iptables -A FORWARD -i $ORANGE_DEV -o $ORANGE_DEV -m state --state NEW -j ACCEPT # accept all traffic from ipsec interfaces /sbin/iptables -A INPUT -i ipsec+ -j ACCEPT /sbin/iptables -A FORWARD -i ipsec+ -j ACCEPT # allow DHCP on BLUE to be turned on/off /sbin/iptables -N DHCPBLUEINPUT /sbin/iptables -A INPUT -j DHCPBLUEINPUT # IPSec chains /sbin/iptables -N IPSECRED /sbin/iptables -A INPUT -j IPSECRED /sbin/iptables -N IPSECBLUE /sbin/iptables -A INPUT -j IPSECBLUE # WIRELESS chains /sbin/iptables -N WIRELESSINPUT /sbin/iptables -A INPUT -m state --state NEW -j WIRELESSINPUT /sbin/iptables -N WIRELESSFORWARD /sbin/iptables -A FORWARD -m state --state NEW -j WIRELESSFORWARD # RED chain, used for the red interface /sbin/iptables -N REDINPUT /sbin/iptables -A INPUT -j REDINPUT /sbin/iptables -N REDFORWARD /sbin/iptables -A FORWARD -j REDFORWARD /sbin/iptables -t nat -N REDNAT /sbin/iptables -t nat -A POSTROUTING -j REDNAT iptables_red # DMZ pinhole chain. setdmzholes setuid prog adds rules here to allow # ORANGE to talk to GREEN / BLUE. /sbin/iptables -N DMZHOLES if [ "$ORANGE_DEV" != "" ]; then /sbin/iptables -A FORWARD -i $ORANGE_DEV -m state --state NEW -j DMZHOLES fi # XTACCESS chain, used for external access /sbin/iptables -N XTACCESS /sbin/iptables -A INPUT -m state --state NEW -j XTACCESS # PORTFWACCESS chain, used for portforwarding /sbin/iptables -N PORTFWACCESS /sbin/iptables -A FORWARD -m state --state NEW -j PORTFWACCESS # Custom prerouting chains (for transparent proxy and port forwarding) /sbin/iptables -t nat -N SQUID /sbin/iptables -t nat -A PREROUTING -j SQUID /sbin/iptables -t nat -N PORTFW /sbin/iptables -t nat -A PREROUTING -j PORTFW # Custom mangle chain (for port fowarding) /sbin/iptables -t mangle -N PORTFWMANGLE /sbin/iptables -t mangle -A PREROUTING -j PORTFWMANGLE # Postrouting rules (for port forwarding) /sbin/iptables -t nat -A POSTROUTING -m mark --mark 1 -j SNAT \ --to-source $GREEN_ADDRESS if [ "$BLUE_DEV" != "" ]; then /sbin/iptables -t nat -A POSTROUTING -m mark --mark 2 -j SNAT --to-source $BLUE_ADDRESS fi if [ "$ORANGE_DEV" != "" ]; then /sbin/iptables -t nat -A POSTROUTING -m mark --mark 3 -j SNAT --to-source $ORANGE_ADDRESS fi # run local firewall configuration, if present if [ -x /etc/rc.d/rc.firewall.local ]; then /etc/rc.d/rc.firewall.local start fi # last rule in input and forward chain is for logging. /sbin/iptables -A INPUT -m limit --limit 10/minute -j LOG --log-prefix "INPUT " /sbin/iptables -A FORWARD -m limit --limit 10/minute -j LOG --log-prefix "OUTPUT " ;; stop) iptables_init # Accept everyting connected /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # localhost and ethernet. /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A INPUT -i $GREEN_DEV -m state --state NEW -j ACCEPT if [ "$RED_DEV" != "" -a "$RED_TYPE" == "DHCP" ]; then /sbin/iptables -A INPUT -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT /sbin/iptables -A INPUT -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT fi if [ "$PROTOCOL" == "RFC1483" -a "$METHOD" == "DHCP" ]; then /sbin/iptables -A INPUT -p tcp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT /sbin/iptables -A INPUT -p udp --source-port 67 --destination-port 68 -i $IFACE -j ACCEPT fi # run local firewall configuration, if present if [ -x /etc/rc.d/rc.firewall.local ]; then /etc/rc.d/rc.firewall.local stop fi /sbin/iptables -A INPUT -m limit --limit 10/minute -j LOG --log-prefix "INPUT " /sbin/iptables -A FORWARD -m limit --limit 10/minute -j LOG --log-prefix "OUTPUT " ;; reload) iptables_red # run local firewall configuration, if present if [ -x /etc/rc.d/rc.firewall.local ]; then /etc/rc.d/rc.firewall.local reload fi ;; restart) $0 stop $0 start ;; *) echo "Usage: $0 {start|stop|reload|restart}" exit 1 ;; esac exit 0

Moi j'ai rajouté mes lignes ici :

Code: Tout sélectionner: # localhost and ethernet. /sbin/iptables -A INPUT -i lo -m state --state NEW -j ACCEPT /sbin/iptables -A INPUT -s 127.0.0.0/8 -m state --state NEW -j DROP # Loopback not on lo /sbin/iptables -A INPUT -d 127.0.0.0/8 -m state --state NEW -j DROP /sbin/iptables -A FORWARD -i lo -m state --state NEW -j ACCEPT /sbin/iptables -A FORWARD -s 127.0.0.0/8 -m state --state NEW -j DROP /sbin/iptables -A FORWARD -d 127.0.0.0/8 -m state --state NEW -j DROP /sbin/iptables -A INPUT -i $GREEN_DEV -m state --state NEW -j ACCEPT -p ! icmp /sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT /sbin/iptables -I FORWARD -p tcp --dport 137 -i ipsec0 -j ACCEPT /sbin/iptables -I FORWARD -p udp --dport 137 -i ipsec0 -j ACCEPT /sbin/iptables -I FORWARD -p tcp --dport 138 -i ipsec0 -j ACCEPT /sbin/iptables -I FORWARD -p udp --dport 138 -i ipsec0 -j ACCEPT /sbin/iptables -I FORWARD -p tcp --dport 139 -i ipsec0 -j ACCEPT /sbin/iptables -I FORWARD -p udp --dport 139 -i ipsec0 -j ACCEPT /sbin/iptables -I FORWARD -p tcp --dport 445 -i ipsec0 -j ACCEPT

merci

d'avance de votre aide!!!

PS: si vous desirez vois certains fichiers pour verifier demander

par **kinkey** » 29 Nov 2005 12:57

oula malheureux j'y connais pas grand chose en règle iptable, mais si tu authorise les ports netbios c'est la porte ouverte à toute les fenetres

Perso j'utilise les vpn mais en clients nomade et je n'ai ouvert aucun port pour gérer la résolution netbios. Je suis passé par un wins (win98 oblige)

par **sharkattack** » 29 Nov 2005 14:34

Je n'ouvre les ports que pour le VPN ipsec0 c'est tout

Je ne sais pas parametre un Wins hélas

et je n'ai plus de 98 j'ai 50% de 2000 Pro et 50% de XP

par **foxgnome** » 29 Nov 2005 20:15

Bonjour,
Juste une remarque, si tu peux pinguer la machine, dans l'explorateur windows tu vas dans "Outils-->Connecter un lecteur réseau" et là tu indiques l'adresse_ip\nom_de_partage et c'est términé, moi aussi je vois rien dans voisinage réseau

par **sharkattack** » 30 Nov 2005 09:05

merci mais il ne faut pas que je puisse seulement pinger dessus, mais il faut aussi qu'elles apparaissent dans le voisinage réseau car j'ai un logiciel de gestion parc "Ideal administration". Lorsque les machines n'apparaissent pas, il ne les voit pas

.

Voila pourquoi je desire qu'elles soient visibles dans le voisinage réseau.

Je viens de tester la methode cela a marché hier au bout d'1/4 d'heure, le temps que les pcs fassent le tour du reseau. Et la ce matin plus rien dans le voisinage réseau. Je vais encore attendre un peu car je fais rebooter mes ipcop. Donc il faut repatienter ...

par **sharkattack** » 01 Déc 2005 09:08

Et bien apres une journée de test, le voisinage réseau ne s'etoffe pas plus

malheureusement. Personne aurait une chtite idée pour faire fonctionner mon voisinage a travers le VPN?

par **kinkey** » 01 Déc 2005 09:43

En théorie NetBios ne sait pas traverser des routeurs. J'ai entendu parlé de l'utilisation de DNS mais la personne m'a dit qu'il fallait en mettre un de chaque côté et qu'il soit synchronisés.

par **jdh** » 01 Déc 2005 11:29

C'est curieux la permanence de certaines erreurs de compréhension :

- Netbeui est un protocole "RESEAU" (aka "TRANSPORT") (comparable à TCP/IP, IPX/SPX ou LLC). Il n'est pas routable au contraire de TCP/IP et est donc strictement limité au réseau local (sauf astuce !) et n'est plus le protocole réseau par défaut de Microsoft depuis Windows 95 (24 aout 1995 !).

- Netbios est un protocole "APPLICATIF" destiné à faire connaitre les ressources dans un réseau Windows. Il fonctionne soit par broadcast (donc limité au réseau local) soit à l'aide de serveur (ou plutôt service) appelé "serveur Wins", soit encore à l'aide de tables (les fameux fichier LMHOSTS). Depuis Windows 2K (et ActiveDIR), Microsoft a créé un système de localisation des ressources basé sur DNS (le système de nom de TCP/IP).

Par voie de conséquence, il est toujours difficile de trouver les ressources (aka d'utiliser la syntaxe \$nom NETBIOS)$ au travers de réseaux multiples (VPN ou réseau privé). Avec Windows NT, il était presque indispensable de placer un BDC dans chaque réseau et d'activer Wins entre eux. Avec Windows 2K, je pense qu'on peut agir de même : que faire dans un réseau (même distant) sans un serveur ?

par **sharkattack** » 01 Déc 2005 11:37

Merci jdh meme si ta réponse aurait pu etre plus amical. mais rien ne m'epate maintenant.

VPN et voisinage réseau

VPN et voisinage réseau

Qui est en ligne ?