Posted: Mon Nov 08, 2010 8:45 Post subject: Accès FTP boitier HD FreeBox avec VPN activé sur WRT54GL
Bonjour,
je viens de nouveau solliciter votre aide pour un nouveau souci de configuration de mon routeur WRT54GL firmware DDWRT v24-sp2 vpn
Ma configuration Réseau:
FreeBox ADSL (en mode non routeur) <-> routeur WRT54GL configuré en OpenVPN sur Arethusa (192.168.1.1) <-> PC (192.168.1.2)
Avant d'avoir le VPN de mis en place, j'accédais à la FreeBox via FileZilla Client en mettant l'adresse:
Quote:
Hôte: hd1.freebox.fr
Login: freebox
Mdp:
Désormais, ca ne fonctionne plus, j'ai ce message dans FileZilla:
Quote:
Statut : Résolution de l'adresse de hd1.freebox.fr
Statut : Connexion à 212.27.40.254:21...
Erreur : Délai d'attente expiré
Erreur : Impossible d'établir une connexion au serveur
Depuis mon PC, j'ai une ip autre que Free, c'est l'ip d'Arethusa.
Pouvez vous me montrer la voix pour résoudre ce problème de routage ?
En 192.168.1.254 j'ai une imprimante WIFI.
En 192.168.0.254 c'est en dehors de mon réseau.
Ping vers hd1.freebox.fr -> 212.27.40.254
Echec du Ping.
Mais le nom de domaine hd1.freebox.fr est bien converti en ip.
Voila un extrait d'un forum:
Quote:
En fait, ta freebox (qui est en fait ton routeur) traduit l'adresse hd1.freebox.fr en local, et redirige la communication vers ta freebox HD. Si moi je fais pareil chez moi, ça va rediriger vers ma freebox HD. Si je vais chez toi avec mon pc, je me connecte à ton réseau, ça va diriger vers ta freebox HD. Idem pour l'adresse 212.27.40.254 qui est en fait l'IP associée au sous nom de domaine hd1.freebox.fr
Pour résumer : hd1.freebox.fr = 212.27.40.254 = LA freebox HD connectée au réseau en question.
Tout d'abord, il faut que la freebox-hd puisse naviguer sur notre ordinateur. La Freebox-HD, par défaut, envoie les requêtes sur l'adresse publique de l'accès Internet, 82.46.10.20 sur le schéma, sur le port 8080. Donc il faut changer l'adresse destination pour rediriger vers notre ordinateur, ce qui se fait dans la chaîne PREROUTING
Ensuite, il faut autoriser les transferts (FORWARDING) entre les deux interfaces de notre passerelle pour ces flux.
Puis l'on s'occupe des trames retour... Notre ordinateur répond à destination de l'adresse de la freebox-HD. Il faut donc autoriser les transferts (FORWARDING) vers l'interface publique et réaliser une translation d'adresse pour changer l'adresse source (eh oui, si la freebox-HD répond à une trame dont l'adresse source est 192.168.0.1, notre pare-feu prendra cela pour du spoofing et rejettera). Changement d'adresse source, c'est dans la chaîne POSTROUTING.
# Tout d'abord on autorise la NAVIGATION depuis la freebox-HD vers notre ordinateur
iptables -A FORWARD -p tcp -d 212.27.38.253 -s 192.168.0.1 -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.0.1 -s 212.27.38.253 -j ACCEPT
# ensuite, on s'occupe des translations d'adresses
# première translation : on translate l'adresse de notre ordinateur dans les trames aller
iptables -A POSTROUTING -t nat -p tcp -s 192.168.0.1 -d 212.27.38.253 \
--sport 8080 -j SNAT --to-source 82.46.10.20
# seconde translation : on translate l'adresse dans les trames retour pour
# qu'elles soient envoyées à notre ordinateur
iptables -A PREROUTING -t nat -p tcp -s 212.27.38.253 -d 82.46.10.20 \
--dport 8800 -j DNAT --to-destination 192.168.0.1
Je ne comprends pas tout la...
On parle de hd1.freebox.fr (212.27.40.254) et de mafreebox.fr (212.27.38.253 freeplayer.freebox.fr) ?
Je n'ai pas de freebox mais les explications sur ton liens sont plutot bien expliquées.
-authoriser le routage
-nater les paquets sortants
-rediriger les paquets vers ton pc
Les deux premiers points...tu n'as aucune commande à faire.
-ton routeur authorise le routage (encore heureux)
-les paquets sortants sont natés (sinon aucun site internet ne saurai répondre a tes pc ^^)
-la redirection de port ne s'applique pas dans ton cas puis que c'est toi qui initie la connection en direction de la freebox hd.(ce n'est pas la freebox qui essaie de se connecter à un serveur ftp tournant sur ton pc...bien que les roles sont inversés lorque l'on se connecte à un serveur ftp actif, mais j'en doute)
-il ne reste donc qu'un probleme de routage.(je m'avance un peu puisque je ne connais pas les regles de firewall que tu as...)
etant donné que ta connection est détourné par un tunnel vpn,
ajoute juste une route pour que cette ip soit accessible par ta sortie habituelle.
ip route add ip-de-ta-freeboxhd via ip-wan dev interface-ayant-l'ip-wan
dport 10220:10229 correspond aux ports que m'autorise d'utiliser mon fournisseur VPN sur lequel je me connecte.
Cela me permet d'avoir un routage FTP et un accès par VNC de contrôle à distance.
J'ai travaillé un peu quand même en cherchant l'histoire des ip route add ca donnerait ça:
ip route add 212.27.40.254 via 94.102.52.156 dev tun+ table 5
Par contre table 5, j'ai mis ça mais je ne sais pas quel table utilise mon routeur... :oops:
J'ai lu sur un de tes anciens topic que c'est la table 254 par défaut.
Mais dans mon cas, je dois mettre quoi ?
Chain OUTPUT (policy ACCEPT 20 packets, 1277 bytes)
pkts bytes target prot opt in out source destination
Résultat de la commande: ip route show avec tes deux lignes de comannde modifiées
Quote:
94.102.52.195 via 78.225.154.254 dev vlan1
192.168.1.0/24 dev br0 proto kernel scope link src 192.168.1.1
78.225.154.0/24 dev vlan1 proto kernel scope link src 78.225.154.170
10.19.3.0/24 dev tun0 proto kernel scope link src 10.19.3.91
169.254.0.0/16 dev br0 proto kernel scope link src 169.254.255.1
127.0.0.0/8 dev lo scope link
0.0.0.0/1 via 10.19.3.254 dev tun0
128.0.0.0/1 via 10.19.3.254 dev tun0
default via 78.225.154.254 dev vlan1
Merci du temps que tu me consacres, j'appends petit à petit les iptable...
Pardon j'avais la tete dans le cul quand je t'ai répondu,
en effet ma commande iptable n'a pas été prise en compte, si la tienne fonctionne tant mieux.
Oublie ce que j'ai dit sur tes règles iptables.
Quote:
dport 10220:10229 correspond aux ports que m'autorise d'utiliser mon fournisseur VPN sur lequel je me connecte.
Cela me permet d'avoir un routage FTP et un accès par VNC de contrôle à distance.
Pour vnc je veux bien, mais pour ftp ??? tu as un serveur ftp sur la machine 1.2 ?
non, donc ca ne permet que d'acceder à la machine 1.2 via vnc.
Bref laisse ca comme ca, ca ne nous aide pas mais ca ne nous gène pas non plus.
Ensuite la commande que tu as entré pour la route est bien prise en compte,
c'est une bonne chose :)
Je tiens quand meme à m'assurer que les paquets en direction de ta freebox hd sortent bien par ta sortie internet standard.
Peut tu activer syslog dans l'onglet services,
reboot si necessaire,
ajoute la route,
vérifie qu'elle soit bien prise
puis faire la commande suivante:
iptables -t nat -I POSTROUTING -o vlan1 -d 212.27.40.254 -j LOG
Cette commande va loguer tout ce qui sort sur ton interface WAN en direction de l'ip de ta freebox hd.
Ensuite consulte les log
tail -f /var/log/messages
Et enfin essaie de te connecter avec filezilla.
Vois tu des lignes défiler?
Si oui ca veut dire que tes paquets sortent par ta sortie internet Free, c'est une bonne chose.
Et que donc si ca marche pas, que le bloquage peut venir d'une regle de firewall.
Envoie le résultat d'
iptables -nvL
et
iptables -t nat -nvL
avec tes regles à toi.
Pour vnc je veux bien, mais pour ftp ??? tu as un serveur ftp sur la machine 1.2 ?
non, donc ca ne permet que d'acceder à la machine 1.2 via vnc.
En fait oui j'ai un serveur FTP en 1.2, mais je ne l'ai pas encore remis en fonctionnement. Il me sert simplement à échanger des données entre mon PC de Bureau et chez moi.
Pour info, depuis le début je maquille les ports autorisé par mon VPN en fait il s'agit des ports
50220:50229.
Pour résumé
Quote:
50220 -> VNC
50222 -> uTorrent
50223 -> certainement le ftp à venir...
Avec la route:
Quote:
ip route add 212.27.40.254 via 94.102.52.156
Aucune ligne défile :-(
Avec la route:
Quote:
ip route add 212.27.40.254 via 78.225.154.170
Alors voila la ligne qui défile à chaque tentative de reconnexion du FileZillaClient:
tu confirme que ca marche correctement quand le vpn n'est pas connecté hein ?
Oui c'est ainsi que je transférais mes *.avi par FileZilla sur la freeboxHD pour les lire ensuite sur la TV. La FreeBoxHD décode les *.avi, divxn *.mkv.