Discussion :

[dumoulex]

Bonjour,

je dois utiliser iptables pour faire une série de route mais je commence à craquer !
J'ai pas mal de matériel et ça mélange plein de choses donc je suis preneur de toute information utile !

Le but, c'est de faire passer un flux RTSP depuis une camera IP jusqu'à un autre PC...

j'ai un réseau local 10.22.8.X sur une interface eth0 constitué de :
un ordinateur embarqué Nexcom : 10.22.8.10
une caméra IP : 10.22.8.11

Ce réseau est relié au net via la 3G sur l'interface ppp0

j'ai un double réseau VPN 10.8.0.X qui relie l'ordinateur embarqué à un autre réseau. il utilise deux interfaces : tun0 et tun1 (tcp et udp).
Ce qui fait que mon PC de bureau est relié via le VPN (@ 10.8.0.14)

j'essaie de faire communiquer mon ordinateur (10.8.0.14 sur le reseau VPN)
avec le PC embarqué (10.8.0.6), celui ci reçoit bien ma connexion.

ensuite je voudrais rediriger cette connexion sur la camera IP via iptables pour obtenir le flux de ma caméra (en utilisant un port en particulier)

le but c'est de réussir a lire la vidéo avec :
rtsp://10.8.0.6:8080/media.amp

j'ai déjà fait le même type de redirection mais il n'y avait ni VPN ni 3G... simplement une interface eth0...

maintenant que ça se corse j'ai du mal à voir comment faire mes règles...

voila ce que j'ai déjà fait :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
iptables -t nat -A PREROUTING -j DNAT -i tun+ -p tcp --dport 8080 --to-destination 10.22.8.11:554
 
iptables -t nat -A POSTROUTING -j MASQUERADE -o eth0 -p tcp --dport 8080 -d 10.22.8.11
 
iptables -t nat -A PREROUTING -j DNAT -i tun+ -p udp --dport 8080 --to-destination 10.22.8.11:554
 
iptables -t nat -A POSTROUTING -j MASQUERADE -o eth0 -p udp --dport 8080 -d 10.22.8.11
 
iptables -t nat -A PREROUTING -j DNAT -i eth0 -p tcp --dport 554 --to-destination :8080
 
iptables -t nat -A PREROUTING -j DNAT -i eth0 -p udp --dport 554 --to-destination :8080
 
iptables -t nat -A POSTROUTING -j MASQUERADE -o eth0 -p udp --dport 554 
 
iptables -t nat -A POSTROUTING -j MASQUERADE -o eth0 -p tcp --dport 554

si quelqu'un s'y connait bien en iptables, je pense que cela vient de mes règles, sinon je ne vois pas trop...

merci d'avance

[becket]

Tu fait du NAT/PAT dans des réseaux privés, j'ai du mal a comprendre pourquoi.

Ton message n'est pas des plus clair, si ton architecture réseau est très bien dessinée dans ta tête, c'est loin d'être le cas pour le lecteur éventuel. De nombreuses précisions seraient utiles : Réseau + Masque, un inventaire du matériel mais également des interconnexions.

Idéalement, un schéma détaille permettrait d'appréhender la situation beaucoup plus facilement.

[dumoulex]

ok déslolé

je vais essayer d'etre plus clair !

a voir la piece jointe.

tous mes reseaux sont en 255.255.255.0


il y a plusieurs réseaux privés, et certaines machines n'ont pas accès a d'autres, elles doivent donc passer par des redirections dans le réseau privé.

par rapport au schéma, pour le moment je souhaiterais juste que la routeur fortinet puisse accéder aux cameras IP.

il n'a pas accès directement aux cameras, il doit donc interroger la machine NEXCOM via sa connexion VPN qui passe par le 3G.

il interroge donc la machine 10.8.0.6 qui fait partie de son sous réseau privé

ensuite je voudrais que la machine NEXCOM renvoie sa requête sur son propre sous réseau 10.22.8.X pour pouvoir atteindre n'importe quelle caméra.

voila j'espère avoir été plus clair. mes regles iptables sont notées plus hautes, mais je ne sais pas si le probleme vient de ça, parce que j'ai exactement le même type d'application avec caméra et redirection, et cela marche très bien. La seule différence c'est le matériel (pas de PC embarqué) et pas de connexion 3G ou de VPN. Le problème vient peut être de là.

merci d'avance

[dumoulex]

alerte à la stupidité....

grâce a tcpdump j'ai pu m'apercevoir que mes redirections ne redirigeais pas...
donc j'ai cherché une option bête ou un moyen de voir s'il était pas désactivé ou quelque chose comme ça

et miracle...

un simple cat 1 > /proc/sys/net/ipv4/ip_forward

et tout marche comme il faut...

autant des fois je me surprend moi même que des fois je pourrais m'auto insulter...