VPN : changement d'IP source ?

[Riric]

Hello, <BR> <BR>j'ai fait des tests de VPN avec un ami en utilisant des 2 cotés IPCOP 1.3.0 fix 5. <BR>Tout fonctionne correctement (genre ping, netmeeting, etc...) sauf ... l'accès à son serveur web interne. <BR> <BR>Lorsque je fais depuis mon LAN un <!-- BBCode auto-link start --><a href="http://192.168.0.10" target="_blank">http://192.168.0.10</a><!-- BBCode auto-link end --> ça se plante en timeout. <BR>J'ai lancé un tcpdump pour voir ce qu'il se passe et j'ai ceci : <BR> <BR>pour un ping vers 192.168.0.10 depuis mon LAN (10.0.1.0/24) : <BR>15:19:30.352785 10.0.1.200 > 192.168.0.10: icmp: echo request <BR> <BR>lors d'une requête HTTP : <BR>15:20:36.701543 mon_ip_public.1041 > 192.168.0.10.http: P 2676:3147(471) ack 21894 win 7719 (DF) <BR> <BR>Comment se fait-il que mon IP source change de 10.0.1.200 à mon IP public ? <BR>Est-ce que ça pourrait venir du proxy (configuré en mode transparent) ? <BR>ou bien de DansGuardian ? <BR> <BR>Merci d'avance pour votre aide ! <BR> <BR>Eric. <BR>

[tomtom]

Tout à fait, c'est la conf en transpoarent qui est en cause.... <BR> <BR>Tu dois avoir une ligne dans ton rc.firewall (ou alors ailleurs, je ne sais pas <IMG SRC="images/smiles/icon_wink.gif"> ) du genre : <BR> <BR> <BR>iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to 127.0.0.1:3128 <BR> <BR> <BR>(ca peut etre un peu different : <BR>ca peut etre un --to-port 3128, etc)... <BR>(ca preut aussi etre un autre port mais je crois que c'est ça...) <BR> <BR> <BR>Il te faut modifier cette règle pour que ca ne s'applique pas au vpn : <BR> <BR> <BR> <BR>iptables -t nat -A PREROUTING -p tcp --dport 80 -d ! 192.168.0.0/24 -j REDIRECT --to 127.0.0.1:3128 <BR> <BR> <BR>Ca devrait mieux se comporter.... <BR>Ou alors, il faut tripoter le squid.conf pour qu'il utilise l'ip privée du firewall pour ses requetes, mais c'ets un peu $%#&!.... <BR> <BR>Note : Avec cette methode, tu ne feras pas de cache local pour l'acces au serveur web du vpn... <BR> <BR>t.

[Riric]

super Tomtom ! <IMG SRC="images/smiles/icon_bise.gif"> <BR> <BR>bon je teste cela... <BR>Ce n'est pas trés grave le cache pour le VPN .... <BR> <BR>

[Riric]

Bon voici les résultats: <BR> <BR>- en mode transparent, il y a une règle genre : <BR>Chain PREROUTING (policy ACCEPT 594K packets, 51M bytes) <BR> pkts bytes target prot opt in out source destination <BR> 1040 49896 REDIRECT tcp -- eth0 any anywhere anywhere tcp dpt:http redir ports 8080 <BR> <BR>et une autre : <BR>Chain SQUID (1 references) <BR> pkts bytes target prot opt in out source destination <BR> 0 0 REDIRECT tcp -- eth0 any anywhere anywhere tcp dpt:http redir ports 800 <BR> <BR>C'est cette dernière qui fout le b* <IMG SRC="images/smiles/icon_frown.gif"> <BR>Du coup je l'ai modifié en mettant -s ! 192.168.0.0/24 et -d ! 192.168.0.0/24 <BR>et là ça fonctionne ! avec Squid en mode transparent. <BR>Attention, tout action sur Squid refixe cette règle avec les valeurs par défaut. <BR> <BR>Ce qui m'étonne c'est que ce ne soit pas fait en standard lors de la montée du VPN ! <IMG SRC="images/smiles/icon_confused.gif"> <BR>Je vais regarder ce qui est faisable. <BR> <BR>Merci encore Tomtom <IMG SRC="images/smiles/icon_up.gif"> <BR>