Configuration de iptables pour faire du foward de port vpn

Configuration de iptables pour faire du foward de port vpn - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 15-11-2006 à 13:24:39    

Bonjour,
J'ai installé un serveur VPN Windows 2003 sur mon réseau privé.
Je fait du Nat de mon réseau privé a l'aide d'une machine sous Linux avec Iptables.
J'ai fowardé le port 1723 et le protocol 47 pour pouvoir me connecter sur mon serveur VPN
 
voici la config que j'utilise pour iptables :
INET_IP = my internet address of my gateway  
 
$IPTABLES -A PREROUTING -t nat -p gre -d $INET_IP -j DNAT  
--to-destination $VPNSERVER  
$IPTABLES -A PREROUTING -t nat -p tcp --dport 1723 -d $INET_IP -j DNAT  
--to-destination $VPNSERVER  
 
Lorsque j'essaie de me connecter avec un client vpn à la fois cela fonctionne parfaitement.
 
Mais lorsque j'essaie de connecter simultanément plusieurs clients avec des adresses ip publiques differentes cela ne fonctionne plus. Le premier client se connecte et ensuite les autres n'arrivent plus à se connecter .
Message d'erreur : Impossible de joindre le serveur.
 
Je tiens a signaler que sur mon reseau privé je peux connecter plusieurs clients simultanémenent. c'est juste lorsque j'utilise la gateway pour me connecter que cela ne fonctionne pas.
 
Pourriez-vous svp m'aider ?
 
Cordialement
 

Reply

Marsh Posté le 15-11-2006 à 13:24:39   

Reply

Marsh Posté le 15-11-2006 à 13:59:50    

Je ne suis pas un expert en VPN ni d'iptables, mais dans ton fichier iptables tu route ce qui vient de ta passerelle vers le serveur avec une variable INET_IP, quand le deuxième se connecte la variable INET_IP est déjà occuper non ?


---------------
https://www.youtube.com/channel/UCP [...] jrxZma6rXA
Reply

Marsh Posté le 15-11-2006 à 15:04:30    

nikko2028777 a écrit :

Je ne suis pas un expert en VPN ni d'iptables, mais dans ton fichier iptables tu route ce qui vient de ta passerelle vers le serveur avec une variable INET_IP, quand le deuxième se connecte la variable INET_IP est déjà occuper non ?


 
 
En fait après quelques tes supplémaentaires j'arrive a connecter plusieurs clients lorsqu'il ne sont pas Naté avec la même addresse.
Mais lorsque les utilisateurs se connectent d'un même sous réseaux naté par la même machine cela ne fonctionne plus ...

Reply

Marsh Posté le 15-11-2006 à 15:20:40    

c'est normal.
D'un point de vue adressage tes différents clients ont la meme adresse publique. Pour le premier tu vas avoir une "session" GRE over IP qui va etre forwarder sur ton serveur VPN.
 
Donc @publique_premier_client vers serveur VPN, pour le protocole GRE.
Par la suite, tu n'as aucun moyen de discriminer le traffic de tel ou tel client. Donc tu ne peux avoir qu'un seul client.
 
Avec TCP tu peux faire cela car tu peux jouer sur les ports TCP sources. La tu ne peux rien utiliser.
 
Tu as d'autres type de VPN qui supporte le NAT traversal (notamment IPsec) ou on encapsule le traffic dans de l'UDP => multiplexage via les ports UDP

Message cité 1 fois
Message édité par l0ky le 15-11-2006 à 15:21:15
Reply

Marsh Posté le 16-11-2006 à 09:31:17    

l0ky a écrit :

c'est normal.
D'un point de vue adressage tes différents clients ont la meme adresse publique. Pour le premier tu vas avoir une "session" GRE over IP qui va etre forwarder sur ton serveur VPN.
 
Donc @publique_premier_client vers serveur VPN, pour le protocole GRE.
Par la suite, tu n'as aucun moyen de discriminer le traffic de tel ou tel client. Donc tu ne peux avoir qu'un seul client.
 
Avec TCP tu peux faire cela car tu peux jouer sur les ports TCP sources. La tu ne peux rien utiliser.
 
Tu as d'autres type de VPN qui supporte le NAT traversal (notamment IPsec) ou on encapsule le traffic dans de l'UDP => multiplexage via les ports UDP


 
il a qu'à acheter un /24 :o


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
Reply

Marsh Posté le 16-11-2006 à 10:12:36    

black_lord a écrit :

il a qu'à acheter un /24 :o


 
Merci a tous pour votre aide !
 
En faite il existe un patch sous Linux pour Nater correctement les session GRE afin de pouvoir les distinguer ensuite : les modules ip_conntrack_pptp and ip_nat_pptp serve a cela.
 
Avec ce patch mon NAT fonctionne correctement et j'arrive a faire mes connexions VPN avec plusieurs utilisateurs.
 
 
Merci encore à tous !
 
Cordialement

Reply

Marsh Posté le 17-11-2006 à 12:31:18    

Super j'ai appris plein de choses comme ça :)


---------------
https://www.youtube.com/channel/UCP [...] jrxZma6rXA
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed