Bonjour,
J'ai l'architecture suivante :
INTERNET----(rouge)IPCOP1.3(vert)----LAN1(192.168.1.xxx)----ROUTEUR1---WANOPERATEUR---ROUTEUR2----LAN2(192.168.2.xxx)
Je voudrais faire une translation d'adresse pour un port donné, de mon IPCOP vers un serveur qui est sur le LAN2.
Mon IPCOP pingue bien le serveur sur le LAN2, et vice-et-versa, tout le monde se voit bien (IPCOP, LAN1, LAN2, ROUTEUR1, ROUTEUR2).
Mais toutes mes tentatives de transfert de port de l'IPCOP vers le serveur du LAN2 sont infructueuses à ce jour.
Alors qu'elles marchent évidemment sans souci de l'IPCOP vers les serveurs du LAN1)
Ce que je cherche à réaliser est-il possible ? Si oui, comment ?
Merci de votre aide.
IPCOP NAT vers sous réseau distant
Modérateur: modos Ixus
8 messages
• Page 1 sur 1
IPCOP NAT vers sous réseau distant
par arsene.mirro » 21 Sep 2004 22:52
- arsene.mirro
- Matelot
- Messages: 4
- Inscrit le: 21 Sep 2004 22:36
par Franck78 » 21 Sep 2004 23:18
Tu es vraiment "sur" de pinguer depuis Ipcop vers des machines du LAN2 ?
Ipcop ne fait pas routeur, donc il n'apprend pas seul la route vers LAN2.
Bien sur tu pourrais mettre en Gateway pour ipcop le routeur1. Mais plus de naviguation vers internet.
Donc je diraiis qu'il te manque une info du genre
#route add net 192.168.2.0 gw (iprouteur1)
Correction:
#route add -net 192.168.1.0 netmask 255.255.255.0 gw (iprouteur1)
Ipcop ne fait pas routeur, donc il n'apprend pas seul la route vers LAN2.
Bien sur tu pourrais mettre en Gateway pour ipcop le routeur1. Mais plus de naviguation vers internet.
Donc je diraiis qu'il te manque une info du genre
#route add net 192.168.2.0 gw (iprouteur1)
Correction:
#route add -net 192.168.1.0 netmask 255.255.255.0 gw (iprouteur1)
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
par arsene.mirro » 22 Sep 2004 09:02
Bonjour Franck,
Merci pour ta réponse.
Hélas, Oui, je suis bien sûr de pinguer le sous réseau LAN2 à partir de mon IPCOP, la route dont tu parles est effectivement en place. (rajoutée par mes soins dans le rc.network).
Petite info complémentaire, lorsque je regarde l'état des connexions via l'interface web d'IPCOP j'observe ceci :
tcp (6)--119--SYN_SENT--(ip client Internet):50950--(ip publique IPCOP):21--(Ip serveur cible sur LAN2):21--(ip client Internet):50950---[UNREPLIED]
Une idée ?
Merci pour ta réponse.
Hélas, Oui, je suis bien sûr de pinguer le sous réseau LAN2 à partir de mon IPCOP, la route dont tu parles est effectivement en place. (rajoutée par mes soins dans le rc.network).
Petite info complémentaire, lorsque je regarde l'état des connexions via l'interface web d'IPCOP j'observe ceci :
tcp (6)--119--SYN_SENT--(ip client Internet):50950--(ip publique IPCOP):21--(Ip serveur cible sur LAN2):21--(ip client Internet):50950---[UNREPLIED]
Une idée ?
- arsene.mirro
- Matelot
- Messages: 4
- Inscrit le: 21 Sep 2004 22:36
par arsene.mirro » 22 Sep 2004 10:19
Bon... on avance...
J'ai pu constater que les petits paquets Nattés par l'IPCOP vers le serveur de mon LAN2 arrivaient bien sur le serveur en question, mais le serveur lui ne SAIT PAS répondre.
Je rapelle que la route par défaut du serveur sur le LAN2 est le ROUTEUR2 et non l'IPCOP (qui est sur un sous-réseau différent : LAN1).
La solution serait donc (???) de mettre l'IPCOP en route par défaut sur mon serveur du LAN2. Mais ça... je suis pas sûr que ce soit possible, l'IPCOP et le serveur n'étant pas sur le même LAN.
Je vais peut-être voir avec mon opérateur (propriétaire des ROUTEURS 1 et 2) s'il peut modifier le routage par défaut pour le serveur du LAN2, afin qu'il "sorte" par l'IPCOP...
Sinon, une idée ?
(ai-je été clair ? )
J'ai pu constater que les petits paquets Nattés par l'IPCOP vers le serveur de mon LAN2 arrivaient bien sur le serveur en question, mais le serveur lui ne SAIT PAS répondre.
Je rapelle que la route par défaut du serveur sur le LAN2 est le ROUTEUR2 et non l'IPCOP (qui est sur un sous-réseau différent : LAN1).
La solution serait donc (???) de mettre l'IPCOP en route par défaut sur mon serveur du LAN2. Mais ça... je suis pas sûr que ce soit possible, l'IPCOP et le serveur n'étant pas sur le même LAN.
Je vais peut-être voir avec mon opérateur (propriétaire des ROUTEURS 1 et 2) s'il peut modifier le routage par défaut pour le serveur du LAN2, afin qu'il "sorte" par l'IPCOP...
Sinon, une idée ?
(ai-je été clair ? )
- arsene.mirro
- Matelot
- Messages: 4
- Inscrit le: 21 Sep 2004 22:36
par samuelB » 22 Sep 2004 11:44
pour que le serveur (lan2) puisse repondre il doit également connaitre la route inverse
route add -p 192.168.1.0 MASK 255.255.255.0 routeur2 ( si serveur windows sinon tu connais la manip)
et le routeur2 doit lui même connaitre la route pour atteindre le routeur1
il me semble
route add -p 192.168.1.0 MASK 255.255.255.0 routeur2 ( si serveur windows sinon tu connais la manip)
et le routeur2 doit lui même connaitre la route pour atteindre le routeur1
il me semble
-
samuelB - Major
- Messages: 71
- Inscrit le: 27 Mai 2003 00:00
par tomtom » 22 Sep 2004 11:54
Quelle est la route par defaut de routeur2 ? Si ce n'est pas Routeur1, ca va pas marcher..... De plus, Routeur1 doit avoir lui même IPCop comme route par defaut.
Et oui, en effet, l'ip source qui arrive jusqu'à serveur2 est l'ip internet du client. Donc il faut voir par ou passe ton serveur2 pour acceder à internet (si ce n'st pas IPcop, pas bon ! Genre un acces internet local.....).
Si tu as effectivement un acces internet local, il va falloir que tu fasse du SNAT sur IPCop, c'est pas tres compliqué.
t.
Et oui, en effet, l'ip source qui arrive jusqu'à serveur2 est l'ip internet du client. Donc il faut voir par ou passe ton serveur2 pour acceder à internet (si ce n'st pas IPcop, pas bon ! Genre un acces internet local.....).
Si tu as effectivement un acces internet local, il va falloir que tu fasse du SNAT sur IPCop, c'est pas tres compliqué.
t.
One hundred thousand lemmings can't be wrong...
-
tomtom - Amiral
- Messages: 6035
- Inscrit le: 26 Avr 2002 00:00
- Localisation: Paris
par arsene.mirro » 22 Sep 2004 12:19
Tomtom,
Effectivement, le problème vient du fait que l'IPCOP, lorsqu'il fait du transfert de port, ne modifie QUE l'adresse de destination (DNAT) et pas l'adresse source (SNAT) (ce qui suffit pour Natter vers un serveur sur le même LAN qu'ICPCOP qui a pour route par défaut IPCOP).
Dans mon cas, il faut donc que je rajoute une règle SNAT afin que le serveur sur le LAN2 "répondes" à IPCOP, et non directement au client Internet (et se perde).
Pour modifier ça j'ai rajouté un règle SNAT dans rc.firewall :
# SNAT Spécifique pour serveur sur LAN2
/sbin/iptables -t nat -A POSTROUTING -d (adresse de mon serveur sur LAN2) -p tcp --dport 21 -j SNAT --to-source (adresse VERTE IPCOP):21
Et cela fonctionne, à priori.
Merci à tous pour votre aide.
Vos remarques sur ma solution sont les bienvenues, et merci de me signaler d'éventuelles erreurs.
Effectivement, le problème vient du fait que l'IPCOP, lorsqu'il fait du transfert de port, ne modifie QUE l'adresse de destination (DNAT) et pas l'adresse source (SNAT) (ce qui suffit pour Natter vers un serveur sur le même LAN qu'ICPCOP qui a pour route par défaut IPCOP).
Dans mon cas, il faut donc que je rajoute une règle SNAT afin que le serveur sur le LAN2 "répondes" à IPCOP, et non directement au client Internet (et se perde).
Pour modifier ça j'ai rajouté un règle SNAT dans rc.firewall :
# SNAT Spécifique pour serveur sur LAN2
/sbin/iptables -t nat -A POSTROUTING -d (adresse de mon serveur sur LAN2) -p tcp --dport 21 -j SNAT --to-source (adresse VERTE IPCOP):21
Et cela fonctionne, à priori.
Merci à tous pour votre aide.
Vos remarques sur ma solution sont les bienvenues, et merci de me signaler d'éventuelles erreurs.
- arsene.mirro
- Matelot
- Messages: 4
- Inscrit le: 21 Sep 2004 22:36
par tomtom » 22 Sep 2004 14:26
En effet, si le serveur peut acceder à internet d'une autre manière, ca ne marchera qu'avec un SNAT.
En revanche, si la route vers Internet passe par IPcop sans translation d'addresse, alors il devrait etre capable de remettre les bonnes ip sources, même si le serveur est sur un lan distant.
Faire du SNAT est une assez bonne idée, à condition que ton serveur n'aie pas besoin de connaitre l'ip du vrai client.
t.
En revanche, si la route vers Internet passe par IPcop sans translation d'addresse, alors il devrait etre capable de remettre les bonnes ip sources, même si le serveur est sur un lan distant.
Faire du SNAT est une assez bonne idée, à condition que ton serveur n'aie pas besoin de connaitre l'ip du vrai client.
t.
One hundred thousand lemmings can't be wrong...
-
tomtom - Amiral
- Messages: 6035
- Inscrit le: 26 Avr 2002 00:00
- Localisation: Paris
8 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité