Probleme d'acces au site web depuis l'exterieur

[neodam]

bonsoir.

En testant un acces a torrentflux depuis une machine externe au réseau, je viens de me rendre compte que mon "site" n'est plus accessible depuis l'exterieur.

Voici ma configuration (pr respecter le post de Jiibe) :
freebox mode routeur
--> ip DMZ 192.168.0.250
|
|
SME server mode serveur ET Passerelle.
--> ip externe 192.168.0.250
--> ip interne 192.168.100.1
--> serveurs habituelles de la SME (web, ftp, samba etc.) + openvpn serveur-bridge + torrentflux + kplaylist.

en local, j'accede a tout sans aucun pb (web samba ftp torrentflux kplaylist).
Puis lors de mon test (je me connecte en vpn sur un pc distant hors de mon réseau) je me rend compte que j'atteinds plus mon serveur.
je commence donc par test la reponse au ping : positive.
je teste en entrant l'ip dans firefox : negatif.
je vais voir mes reservations DNS chez dyndns : ip indiqué corrects.
apres avoir installé openvpn-server bridge je me rappelle avoir eu qques soucis avec un ami pr jouer a un jeu (tjrs pas revenu sur ce pb avec lui, il m'avait d'ailleurs dis a l'epoque que les regles iptables etaient inbuvables ) donc je vais désactiver le serveur openvpn : tjrs pas d'acces.
en cherchant suite a mon pb avec mon ami pr le jeu j'avais trouvé dans un post ceci :

En revanche pour un VPN sur SME en mode passerelle les bonnes régles sont de ce type :

Code:
# Accepter les connexions du daemon OpenVPN
iptables -I INPUT -p udp --dport [NUMERO DU PORT DU SERVEUR] -j ACCEPT


Puis :
VPN ROUTE (2 interfaces ethernet) :

Code:
# Cas 1 pour les tunnels VPN routés device TUN0
iptables -I INPUT -i tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -j ACCEPT
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -I OUTPUT -o tun0 -j ACCEPT


Pour ceux disposant d'un firewall retisant en mode bridge (Une seule interface ethernet) :
La premiére régle citée ci dessus, puis :

VPN en mode BRIDGE (1 interface ethernet)
Code:
# Cas 2 pour les VPN bridgés device TAP0
iptables -I INPUT -i tap0 -j ACCEPT;
iptables -I FORWARD -i tap0 -j ACCEPT;
iptables -I FORWARD -o tap0 -j ACCEPT;
iptables -I OUTPUT -o tap0 -j ACCEPT;
iptables -I INPUT -i br0 -j ACCEPT;
iptables -I FORWARD -i br0 -j ACCEPT;
iptables -I OUTPUT -o br0 -j ACCEPT



En esperant aider quelqu'un !

si la personne se reconnait
je vais donc voir pr le virer pensant que c'est ce qui pose pb, et là, je ne les vois pas dans iptables -L.
alors je me dis que c'est parce que ça manque que ça ne marche pas !
je rajoute donc la 1ere ligne de code et le Cas 2 (car la distrib openvpn s'appelle server-bridge).
apres ça je refais un test tjrs depuis le pc distant : negatif.
retest cette fois en réactivant le serveur openvpn : negatif.

je continue alors mes recherches et je tombe sur ça :
http://forums.ixus.fr/viewtopic.php?t=39317

alors a tout hasard, je teste donc avec le https
et là!! hop reponse positive, mon site s'affiche !!

Mais bon, je comprends pas ou est le soucis et j'aimerais tt de meme retrouver mon acces non sécurisé sur mon site web....
c'est donc pour ça que je me tourne vers vous !

[jibe]

Salut,

Bien que ton problème ne m'inspire pas trop, je tente quelques remarques et questions pour tenter de faire avancer le schmilblic...

Voici ma configuration (pr respecter le post de Jiibe) :
freebox mode routeur
--> ip DMZ 192.168.0.250
|
|
SME server mode serveur ET Passerelle.
--> ip externe 192.168.0.250
--> ip interne 192.168.100.1
--> serveurs habituelles de la SME (web, ftp, samba etc.) + openvpn serveur-bridge + torrentflux + kplaylist.

Où ai-je dit qu'il fallait que le routeur et la SME aient la même adresse ?

je commence donc par test la reponse au ping : positive.

Ping de quoi vers où ? De ton PC distant vers SME ? Via VPN ou non ?

il m'avait d'ailleurs dis a l'epoque que les regles iptables etaient inbuvables

C'est normal, vu la façon dont elles sont générées : l'automatisme n'est pas la meilleure chose pour assurer une belle structure et une bonne lisibilité. Par contre, ça n'enlève rien à l'efficacité (ni en rajoute au point de bloquer tout accès ).

En revanche pour un VPN sur SME en mode passerelle les bonnes régles sont de ce type :
[...]

J'aimerais bien avoir quelques explications à cela par celui qui l'a écrit... Je n'ai que très peu d'expérience en matière de VPN, et aucune en OpenVPN : je ne cherche donc qu'à comprendre, non à critiquer ou corriger. Mais je crois bien que c'est la première fois que je lis qu'il faut modifier les règles iptables sur SME pour faire du VPN

Au fait, ton VPN fonctionne-t-il ? Qu'est-ce qui ne fonctionne pas, en fait ? Parce que finalement, tu n'as testé que le ping et http ? Quid de SMTP, FTP etc. ?

Si tu peux te rappeler ce qu'il y a eu de changé sur ta SME depuis le moment où tout fonctionnait, ça pourrait peut-être aider ?

[neodam]

je vais répondre pr continuer a avancer :

la freebox est en mode routeur et son ip dmz est configuré sur 192.168.0.250
j'ai donc mis mon ip externe de ma SME sur 192.168.0.250 .


quand je dis que je teste le ping, je teste depuis une machine en bureau a distance (via un vpn sous ipcop et zerina) si le ping de mon ip publique repond. et c'est positif, par contre je sais pas si c'est mon serveur qui repond ou bien la freebox...
le fait que je sois en vpn, n'a pas d'influence ici, il permet simplement d'atteindre la machine distante, et de celle-ci je teste les differentes commandes comme si j'etais devant.

pr mon VPN, oui il fonctionne, enfin de ce que j'avais testé a l'epoque ou je l'ai installé, ça se connectais tres bien et je voyais mes partages reseaux.
Puis plus tard, avec un ami on a voulu se faire un C&C 3 et là, pas moyen de se voir dans le jeu.
c'est mon iptable qui bloquait. et depuis on a jamais réessayé, mais comme j'avais cherché, j'avais trouvé sur ce forum le fameux (quote).
pr les test, j'ai pas testé smtp et ftp, il est vrai, je le ferais.


j'avoue ne pas pouvoir me rappeler depuis quand ça ne marche plus puisque je pensais que ça tournais tres bien jusqu'a ce que j'essaie de voir torrentflux et surtout, kplaylist depuis l'exterieur et c'est là que j'ai vu le hic.
depuis peu je suis sur une freebox non degroupé, avant j'etais sur une neuf box degroupage total, mais bon je ne saurais dire si ça vient de là....
j'ai ajouté kplaylist, hier, mais de là a ce que ça vienne de lui, je serais étonné tt de meme.

[neodam]

ça me fait d'ailleurs penser que j'ai un pb avec les accents dans kplaylist !
va falloir que je demande pr ça aussi !

edit: enfin pas dans kplaylist meme, mais quand je lance une ecoute d'un album, winamp me fait sauter tout les titres avec des accents, mais il arrive a les lire quand meme... reloud comme pb.

[VIP-ire]

Tu parles de beaucoup de chose à la fois dans ce poste, mais si j'ai bien compris, tu pense qu'il y'a un problème au niveau des règles iptables pour la contrib openvpn en mode bridge. Les règles que tu sites

Code: Tout sélectionner

# Cas 2 pour les VPN bridgés device TAP0
iptables -I INPUT -i tap0 -j ACCEPT;
iptables -I FORWARD -i tap0 -j ACCEPT;
iptables -I FORWARD -o tap0 -j ACCEPT;
iptables -I OUTPUT -o tap0 -j ACCEPT;
iptables -I INPUT -i br0 -j ACCEPT;
iptables -I FORWARD -i br0 -j ACCEPT;
iptables -I OUTPUT -o br0 -j ACCEPT


sont absolument fausses, cette contrib n'a besoin que d'un port ouvert sur l'exterieur (le 1194 par défaut) et ce port s'ouvre automatiquement quand tu active le service. Ensuite, on ne filtre pas sur tap0 ou eth0, mais sur br0 qui une interface bridge qui englobe les deux. En fait tap0 et eth0 sont en mode promiscuous, et agissent comme deux ports d'un switch. Pour le filtrage sur br0, ben y'a rien a faire puisque la contrib configure automatiquement br0 en tant qu'interface interne.
Une fois que tu es connecté au server VPN en mode bridge, tu a une IP du réseau interne, et tout les paquets, jusqu'au niveau 2 passent, c-a-d même les ARP. Aucune applications ne peut savoir si tu passe par le VPN (au niveau du réseau). la seule différence, c'est le débit et la latence. Ton problème vient peut-être de là.
Ensuite, pour le reste de tes problèmes, je sais pas trop, free ne bloque pas les ports, ni 80 ni autre (pas à ma connaissance en tout cas, je tourne avec une config qui ressemble à la tienne et tout marche nickel)

[jibe]

Salut,

Oui, comme dit VIP-ire, il y a beaucoup de choses... Essaie de bien scinder les problèmes :
- La connexion extérieure "normale" (hors VPN), avec ses multiples aspects : ping, HTTP, HTTPS, SMTP, FTP...
- Lorsque tu es sûr que tout fonctionne, essaie ton VPN.

A trop vouloir résoudre tous les problèmes en même temps, tu risques d'en ajouter de nouveaux. C'est d'ailleurs ce qui semble s'être déjà produit avec tes règles Iptables

Procède bien pas à pas, en notant bien tout ce que tu fais et observes. Sachant que la SME d'origine sait tout naturellement rendre visibles du net tous les services concernés, il faut déjà s'assurer de cet état ou le retrouver. Ensuite, s'occuper du VPN qui ne doit en aucun cas affecter le fonctionnement normal. Tu t'occuperas de tes playlist et autres après (au besoin même, désinstalle-les pour être sûr qu'elles ne produisent pas d'effets secondaires indésirables).

[neodam]

coucou.

je reviens vers vous suite a mon pb qui n'est tjrs pas réglé.
j'ai pas trop eu le temps de me pencher dessus la semaine derniere.

donc pr refaire un petit historique.

j'ai installé SME 7.2 sur un nouveau "serveur".
j'ai continué a régler ma sme pr retrouver le meme fonctionnement qu'en 6.01
j'ai remis mon site web que j'avais avant sur la 6.01.
jusque là pas de pb.
tout marche. http ftp smtp (meme si je m'en sert pas de ce dernier).
je laisse ça de coté un ptit moment a cause du boulot.
j'installe apres ça le vpn. sans rencontrer de soucis particulier lors de l'install.
je teste depuis le boulot, ça marche et j'accede a mon serveur et a ses fichiers meme via les favoris réseaux (merci le serveur wins, en tt cas c'est bien cool).
puis avec un copain on a voulu jouer a C&C 3 comme en réseau local mais via le vpn.
on a tout d'abord tester avec celui qu'il avait mis en place (il a un serveur chez ovh).
ça ne marchait pas. (pr ceux qui ont le jeu, il me voyait dans le menu multijoueur, mais moi je ne le voyais pas).
on a ensuite testé avec mon vpn fait avec openvpn. meme résultat.
on a cherché tout un moment la raison au pb.
on a finit par isoler mon iptable ou openvpn car lorsque je me suis branché devant ma sme (en direct sur la box, meme si pas bien c'etait juste pr du test), ça a marché direct avec son openvpn.
c'est a ce moment là qu'il m'a dit que mon iptable etait inbuvable.
j'ai donc cherché sur le forum des pistes, j'ai trouvé ce que j'ai mis en (quote) dans mon 1er post, mais j'ai pas pu tester en pratique meme si j'ai inscrit les regles dans l'iptables, car j'ai pas revu mon pote depuis.
ayant eu de gros soucis perso (rupture ), j'y suis pas revenu depuis mi-octobre.
depuis lors je squatte chez un ami qui est chez free (j'etais chez 9tel), et donc j'ai embarqué le serveur qui a redémarré et les regles iptables ajoutés ont donc jartés (javais pas fait de template-custom).
donc sur la freebox l'ip dmz a été configuré pr 192.168.0.250.
j'ai donc mis l'ip externe de ma sme en fixe sur 192.168.0.250. et ça marche nickel.
et donc y a un peu plus d'une semaine, j'ai installé torrentflux (avec lequel j'avais eu un soucis réglé en remettant la config par defaut) puis kplaylist.
voulant partager ça avec mon cousin, je lui montre en lui filant le lien, et là, il me dit que ça marche pas.
Du coup, comme on me l'a demandé, malheureusement non je ne sais pas depuis quand mon site est inacessible.
j'ai donc cherché le pb.
Pour ce faire, je me suis connecté avec un client openvpn depuis mon pc perso sur un ipcop distant.
puis je lancais un bureau a distance et enfin j'ouvrais le naviguateur web pr tester.
et en parcourant le forum j'ai vu un message sur le https.
j'ai testé et ça marchait !!

depuis. j'ai testé directement depuis le boulot avec mon pc (suite a vos messages).
mon site est inacessible en http, mais il l'est en https.
http://www.neodamcorp.homelinux.net
https://www.neodamcorp.homelinux.net
avec les ajouts /phpsysinfo /torrent /kplaylist

le ping répond sur http, https, ftp, smtp.
j'ai testé en desactivant le service openvpn, mais ça n'a rien changé.
voila.
hesitez pas a demander si vous voulez + d'info.

[Gaston]

Salut,
c'est vraiment déroutant comme problème
Ca me semble vraiment plus un problème de routeur que du serveur SME.
Je confirme, à partir du net, il n'y a aucune réponse sur le port 80, les port 443, 21 et 25 sont OK (si tu trouves du gaston dasn tes logs t'inquiètes pas )

Plusieurs choses qu'on pourrait essayer pour tests (vu que je ne connais pas les *box):
- vérifier que le serveur http est OK depuis la carte interne
- mettre le serveur en server-only et vérifier que les services sont OK (faut trouver un petit switch ou un cable croisé)
- remettre le serveur en passerelle et gateway et vérifier si ça lui a pas remis les idées d'aplomb
- sortir le serveur de la DMZ de la box, forwarder les ports nécessaires de la box au serveur et vérifier le fonctionnement

Just my 2 cents
G.

[neodam]

bah ouais c'est plutot bizarre comme pb.


pr les infos que j'ai deja :

en interne, le http est nickel, sinon je me serais d'ailleurs rendu compte depuis lgtps qu'il ne marchait plus.


sinon que va apporter le fait de le passer en server-only ?

je tenterais sous peu de le sortir de la DMZ.

si y en qui ont d'autres idees, ou meme une réelle idee du pb.


Merci d'avance.

[Gaston]

sinon que va apporter le fait de le passer en server-only ?

les restrictions dans le firewall entre interface externe et interne sautent, tu utilises une seule des deux cartes réseau (je sait pas pourquoi mais je dirai celle que tu utilises actuellement sur l'extérieur et comme l'autre semble OK ) en bonnus si tu fais l'aller retour on aura une double re-génération des fichiers de conf via le mécanisme des templates. Ca devrait permettre d'un un peu plus clair.
Le but de mes propositions, si si il y en a un, est d'identifier à quel niveau du SME ça peut coincer (même si je pense que le pb vienne de la box - mais c'est normal j'en ai pas, donc j'accuse )

mais bon c'est toi qui voit
G.

[neodam]

bon...


je crois avoir trouvé la raison mais j'ai un peu honte !

....
dans la conf routeur de la freebox le port 80 etait routé vers l'ip 192.168.0.150 !
(mon serveur etant en 0.250)
ça fait parti des reliquats de l'ancien serveur de l'ami chez qui je suis actuellement.

donc j'ai viré la regle, sauf que depuis, la freebox n'arrive plus a choper le signal et elle reste en PPP.

du coup ben, je peux meme pas vérifier si c'est ça!! meme si j'en suis plus que convaincu !!


franchement jme cache !!