Auteur Sujet: Decodeur: passer un firewall? (Lu 7632 fois)

vendeerasta · « **le:** 02 janvier 2015 à 11:34:59 »

Bonjour,

Je rencontre un probleme que je ne parviens pas a résoudre, mon decodeur ne parviens pas a voir mon nas une fois le service multimedia lancé.

ma configuration actuelle et comme un dessin vaut mieux qu un long discours:

je ne parviens donc pas à faire traverser le décodeur a travers le pare-feu pour lui faire lire les vidéos stockées sur le nas.
je pense qu'il faudrait juste que je redirige certains ports depuis l'adresse du decodeur vers l'adresse du nas, mais je ne sais pas quels ports ouvrir.

actuellement j'ai tenté ceci:

source destination port
172.16.0.2    192.168.1.253 : DLNA TDP 9000

172.16.0.2    192.168.1.253 : DLNA TDP 9020

172.16.0.2    192.168.1.253 : DLNA UDP 1030

172.16.0.2    192.168.1.253 : DLNA UDP 1900

172.16.0.2    192.168.1.253 : DLNA UDP 9080

avez vous une idée pourquoi le décodeur ne voit pas le nas?

d'avance, merci

edith: 172.16.0.2 = adresse ip du decodeur

oliviertoto92350 · « **Réponse #1 le:** 02 janvier 2015 à 11:44:37 »

Bonjour
Il y a 2 choses à voir sur ton ROUTEUR :
- Ports ouverts pour Fire Wall
- Port redirigés depuis Set Top Box TV vers IP / plage du NAS

Tout dépend des ports / protocoles utilisés

Pour un NAS Synology voici la liste : https://www.synology.com/fr-fr/knowledgebase/faq/299

PacOrly · « **Réponse #2 le:** 02 janvier 2015 à 11:47:06 »

2 pistes sous linux.

1°)
~~mroute~~ smcroute

2°)
# If the packets have a TTL of 1, they will be dropped even when the multicast
# routing rules are correct. This ensures that the TTL will be high enough.
iptables -t mangle -A PREROUTING -i eth0 -d 239.255.255.250 -j TTL --ttl-inc 1
iptables -t mangle -A PREROUTING -i eth1 -d 239.255.255.250 -j TTL --ttl-inc 1

A adapter avec tes adresses multicast

vendeerasta · « **Réponse #3 le:** 02 janvier 2015 à 12:08:37 »

le service DLNA sur le NAS (192.168.1.253) est minidlna.

d'apres ce que j'ai pu trouver, minidlna utilise le port 1900 UDP et 8200 TCP.

hors quand je redirige le port 1900 UDP et 8200 TCP depuis 172.16.0.2 vers 192.168.1.253 le decodeur ne parviens toujours pas a voir mon nas.

je ne comprend pas ce qui peut coincer.

oliviertoto92350 · « **Réponse #4 le:** 02 janvier 2015 à 12:11:33 »

Faut il creer un utilisateur 'TV' sur ton NAS ?
Chez moi chaque client qui accède au nas possède un login / pass avec les regles d'acces R / W à chaque répertoire

vendeerasta · « **Réponse #5 le:** 02 janvier 2015 à 12:13:35 »

je ne pense pas que le problème soit ici, car quand le décodeur est sur le même réseau que mon nas, j’accède très bien au contenu de celui-ci

je precise que l'IPCOP est dans une DMZ.

quand je branche mon pc sur le reseau 172.16.0.0/24 et que dans un navigateur je tape 172.16.0.253:443 j'accede bien a l'interface de gestion du nas en 192.168.1.253

je seche quand à faire en sorte que le decodeur parvienne a voir le contenu DLNA du nas

PacOrly · « **Réponse #6 le:** 02 janvier 2015 à 14:26:11 »

C'est l'annonce multicast du serveur dlna qui ne passe pas ton routeur ipcop pour aller vers le client.

Pour que le paquet passe il faut incrèmenter son ttl de 1 (il doit être supérieur à 1).
Il faut créer des routes multicast avec smcroute.

vendeerasta · « **Réponse #7 le:** 02 janvier 2015 à 14:33:57 »

j'ai essayé comme tu me l'as indiqué

Code: [Sélectionner]

 iptables -t mangle -A PREROUTING -i eth0 -d 224.0.0.1 -j TTL --ttl-inc 1
 iptables -t mangle -A PREROUTING -i eth1 -d 224.0.0.1 -j TTL --ttl-inc 1

mais ca ne fonctionne toujours pas.

je crois atteindre mes limites en reseau, car je ne comprend pas ce que je fais.

PacOrly · « **Réponse #8 le:** 02 janvier 2015 à 14:45:06 »

Pour en savoir plus, fais une recherche google "smcroute dlna".

Fredwww · « **Réponse #9 le:** 02 janvier 2015 à 15:08:08 »

Est-ce que tu à vérifié que ton Firewall laissait passer le traffic multicast ?

Le Service Discovery du DLNA c'est SSDP (adresse multicast 239.255.255.250, port UDP 1900).

vendeerasta · « **Réponse #10 le:** 02 janvier 2015 à 15:36:43 »

IPCOP ne semble pas compatible avec smcroute

@fredwww

les seules traces que j'ai dans le journal du pare-feu sont celle-ci

heure chaine interface proto source mac destination
15:32:13 RED DROP wan-1 IGMP 172.16.0.254- XX:XX:XX:XX:XX 224.0.0.1

c'est la livebox qui essaye de decouvrir les clients DLNA?

p.s: je viens d'ajouter une carte reseau sur la vm nas sur le reseau 172.160.0.0/24, et le decodeur voit instantanement le contenu partagé par le nas, donc c'est bien un souci de pare-feu, mais je ne vois rien dans les logs d'iptable qui puisse me mettre sur une piste
.

p1352 · « **Réponse #11 le:** 03 janvier 2015 à 01:08:01 »

Moi je pense surtout que ton routeur (avec pare-feu intégré) ne laisse pas passer le multicast. Tu as vérifié que ton modèle l'accepte ?