Pages: 1 [2]   En bas

Auteur Sujet: [Résolu] [Edgerouter] Port forwarding et VPN  (Lu 5021 fois)

0 Membres et 1 Invité sur ce sujet

nicox11

  • Abonné Orange Fibre
  • *
  • Messages: 190
  • Toulouse (31)
[Edgerouter] Port forwarding et VPN
« Réponse #12 le: 15 mars 2019 à 15:52:37 »
Citation de: zoc le 15 mars 2019 à 15:26:07
Du coup, maintenant le problème c'est que tu veux que "Serveur 1" passe par le VPN, sauf si c'est une réponse à une connexion entrante par le WAN. Tu es obligé de faire ça parce que si tu sors par le VPN, alors l'adresse source des paquets n'est pas l'adresse sur le WAN, et c'est ce qu'un client attend...

Franchement, je ne vois pas comment résoudre ce problème.

Si ton hote source sur internet a une ip fixe, tu peux t'en servir pour l'identifier dans ton routage.
Si dynamique, tu peux éventuellement identifier un port fixe si il se connecte toujours sur le même service (par exemple ssh).

Actuellement :
Si IP source = Server 1 => utiliser VPN

Tu rajoutes une règle (lordre est important) :
Si IP Dest = IP Publique identifiée => utiliser WAN (OU Si port source Serveur 1 = SSH (par exemple) => utiliser WAN )
Si IP source = Server 1 => utiliser VPN

Est-ce possible sur EdgeRouter, par contre je n'en sais rien :P mais sur certain routeur (Cisco) c'est possible.
IP archivée

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 104
  • Paris (75)
[Edgerouter] Port forwarding et VPN
« Réponse #13 le: 15 mars 2019 à 16:18:32 »
Tu ajoute une 2eme ip locale a serveur1 qui sortira via le NAT du wan et qui servira a le joindre depuis Internet sur les ports que tu ouvriras sur ce NAT. il suffit que cette 2eme ip ne soit pas dans le groupe "VPN_address".

IP archivée

nicox11

  • Abonné Orange Fibre
  • *
  • Messages: 190
  • Toulouse (31)
[Edgerouter] Port forwarding et VPN
« Réponse #14 le: 15 mars 2019 à 16:23:19 »
Citation de: kgersen le 15 mars 2019 à 16:18:32
Tu ajoute une 2eme ip locale a serveur1 qui sortira via le NAT du wan et qui servira a le joindre depuis Internet sur les ports que tu ouvriras sur ce NAT. il suffit que cette 2eme ip ne soit pas dans le groupe "VPN_address".

Plus propre  ;D
IP archivée

Salamafet

  • Abonné Free fibre
  • *
  • Messages: 24
  • Fibre 10 Gb/s - 92
[Edgerouter] Port forwarding et VPN
« Réponse #15 le: 15 mars 2019 à 17:27:05 »
Malheureusement ce fameux Serveur 1 est un vieux NAS et il n'est pas possible de configurer une autre adresse IP.

Les connexions entrantes peuvent arriver de n'importe quelle IP.
Je vais voir ce que j'arrive à obtenir avec des règles sur les ports, mais je ne vois pas vraiment comment m'y prendre.

Imaginons que ce soit du SSH. On est d'accord la connexion va s'initialiser depuis le WAN sur le port 22.
Mais une fois que le serveur aura reçu la demande de connexion, il va choisir un port aléatoire non ? Et du coup je ne pourrais pas savoir quelle port de sortie filtrer.

Arrêtez-moi si je me trompe.
IP archivée

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 104
  • Paris (75)
[Edgerouter] Port forwarding et VPN
« Réponse #16 le: 15 mars 2019 à 18:43:45 »
Citation de: Salamafet le 15 mars 2019 à 17:27:05
Imaginons que ce soit du SSH. On est d'accord la connexion va s'initialiser depuis le WAN sur le port 22.
Mais une fois que le serveur aura reçu la demande de connexion, il va choisir un port aléatoire non ? Et du coup je ne pourrais pas savoir quelle port de sortie filtrer.
Arrêtez-moi si je me trompe.

non le serveur aura toujours 22 de son coté. c'est le client distant qui choisi un port éphémère aléatoire pour recevoir les paquets.

coté serveur: source port=22, destination port = X (sens sortant du serveur, entrant dans le port lan du  routeur)
coté client: source port=X , destination port = 22 (sens sortant du client, entrant dans le port wan du routeur)

donc tu peux imposer que le traffic 22 passe par WAN et pas par le VPN mais dans ce cas tu ne pourra pas ssh depuis le VPN.

il faut exclure "source port = 22"  de VPN_address ou n'y mettre que les ports qui doivent passer par le vpn (c'est surement plus simple).

Avoir l'access ssh a la fois depuis wan et depuis le vpn n'est pas possible ... sauf avec peut-etre du double NAT ou si on considere une config dual wan (le vpn étant vu comme un 2eme wan) avec load balancing et sticky sessions (mais je ne sais pas si on peut faire un group de load balance avec un port physique et un port vpn ...). a méditer. sinon tu mets un autre routeur devant serveur1.
IP archivée

Salamafet

  • Abonné Free fibre
  • *
  • Messages: 24
  • Fibre 10 Gb/s - 92
[Edgerouter] Port forwarding et VPN
« Réponse #17 le: 18 mars 2019 à 08:05:06 »
Ça fonctionne merci beaucoup  ;D

Je me suis un peu embrouillé l'esprit avec cette histoire de port mais c'est bon j'ai compris.

J'ai créé un groupe de port contenant les ports ouverts vers des machines étant derrière le VPN.
Puis j'ai créé une règle indiquant que les ports source contenu dans cette liste ne doivent pas passer par le VPN. Et ça fonctionne, je peux accéder aux services sans problème.

Voila un aperçu de la règle si ca peut en aider certain:
Code: [Sélectionner]
modify OPENVPN_ROUTE {
     rule 10 {
         action modify
         description "via vpn"
         destination {
             group {
                 address-group !no_VPN_destination
             }
         }
         modify {
             table 1
         }
         source {
             address ""
             group {
                 address-group VPN_address
                 port-group !no_VPN_port
             }
         }
     }
 }

Quand je suis connecté à mon réseau en VPN, ça fonctionne quand même. Grace au NAT loopback je suppose.

Après il faut savoir que quand je suis connecté à mon client VPN, le trafic n'est pas redirigé vers la passerelle VPN mais vers le WAN. Ça change peut être la donne.

En tout cas merci encore de votre aide ;D
IP archivée
Pages: 1 [2]   En haut