Discussion :

[JmL40]

Bonjour,

J'ai une machine sur mon réseau local ou j'ai installé OpenMediaVault et Nextcloud.

Je possède un routeur 4G qui ne permet pas la redirection de port sur mon NAS (raison : double NAT).

J'ai donc mis en place un VPS chez OVH, l'idée est de créer un tunnel VPN depuis mon VPS vers mon NAS et de rediriger le port 8080 de l'ip publique du VPS vers mon NAS.
Pour cela, je souhaite paramétrer OpenVPN, avec une redirection de port, mais je n'y arrive pas.

Voici les opérations effectuées :

1 - Installation d'OpenVPN serveur sur le VPS via le script suivant : https://github.com/angristan/openvpn-install
2 - Installation du client OpenVPN sur mon PC Windows (pour test)
3 - Récupérer du fichier client du serveur OpenVPN et import de ce fichier dans le client OpenVPN sur Windows
4 - Connection du PC Windows sur le serveur OpenVPN : OK

Le fonctionnement standard fonctionne.

Maintenant, j'ai installé un wamp sur le port 8080 de mon PC Windows.

Sur le serveur j'essaye de rajouter les règles de redirection de ports suivantes :

iptables -t nat -A PREROUTING -d 51.XX.XXX.XXX -p tcp --dport 8080 -j DNAT --to-dest 10.8.0.2:8080
iptables -t filter -A INPUT -p tcp -d 10.8.0.2 --dport 8080 -j ACCEPT

Je redémarre OpenVPN et tente d'accéder à mon serveur web par l'IP publique:8080.

Rien !

Merci pour votre aide.

[becket]

Salut,

Lorsque tu DNAT, le pc qui reçoit la requête à comme source IP, l'ip publique du demandeur.
Donc lorsque ton pc répond, il reprend la route "normale".

Cela ne peut donc pas fonctionner en l'état.

Il faut donc soit que tu natte également la source, soit que tu fasses répondes à Windows aux requêtes port 8080 vers le vpn.

[JmL40]

Bonjour,

Merci beaucoup pour votre réponse.

Je vous avoue que je n'ai pas bien compris votre réponse, sachant que je ne suis pas du tout expert réseau informatique (je pense que j'ai les bases).

Si j'ai bien compris, le serveur Apache installé sur mon Windows sur le port 8080 répond sur l'IP Publique du VPS ou l'IP du routeur et donc ne passe pas par le VPN ?

Pourtant je pensais que connecter mon client Windows à mon serveur VPN, j'encapsulais le VPS et tous les services de mon PC sous Windows etc ...

Bref, selon vous, je fais fausse route avec ma configuration VPN ou bien il y a un paramétrage supplémentaire à réaliser ?

Merci

Edit : j'ai essayé de modifier IPTABLES avec ces règles

iptables -t nat -I PREROUTING 1 -d XX.XX.XX.XX -p tcp --dport 8080 -j DNAT --to-dest 192.168.1.102:8080
iptables -t nat -I POSTROUTING 1 -d 192.168.1.102 -p tcp --dport 8080 -j SNAT --to-source 10.8.0.1
iptables -I FORWARD 1 -d 192.168.1.102 -p tcp --dport 8080 -j ACCEPT

ou

iptables -t nat -I PREROUTING 1 -d XX.XX.XX.XX -p tcp --dport 8080 -j DNAT --to-dest 10.8.0.2:8080
iptables -t nat -I POSTROUTING 1 -d 10.8.0.2 -p tcp --dport 8080 -j SNAT --to-source 10.8.0.1
iptables -I FORWARD 1 -d 10.8.0.2 -p tcp --dport 8080 -j ACCEPT

Toujours pareil

[becket]

Pour explique "simplement"

Ton Serveur OVH reçoit une demande sur le port 8080

Ce qui donne ceci : Source=IP-Demandeur->Destination=IP-OVH

Ton serveur NAT

Ce qui donne ceci : Source=Ip-Demandeur->Destination=IP-RESEAU-LOCAL

Ton PC recoit la demande et veut répondre à la source

La source, c'est l'adresse ip publique et ton pc réseau local pour l'atteindre, il va utiliser sa route classique

Source:IP-RESEAU-LOCAL -> Destination=IP-Demandeur

Ta BOX va faire son travail

Source:IP-PUBLIQUE-BOX -> Destination:IP-Demandeur


Tu pose un question à François et c'est Régis qui te répond ...

[JmL40]

Bonsoir,

Merci encore

Donc en fait, ma demande est irréalisable ?

Mais pourtant, sur les forums, et autres sites internet, les mecs font bien de la redirection via OpenVPN depuis un serveur dédié vers une machine en local.

Je t'avoue, je suis perdu !

JmL

[becket]

Donc en fait, ma demande est irréalisable ?

Non, ce n'est pas irréalisable mais par contre, tu dois répondre obligatoirement via le vpn

Donc soit :

- Tu nat en plus la source
- Tu rediriges le trafic vers le VPN pour tout ou une partie

[JmL40]

Bonjour,

J'ai réalisé un schéma pour expliquer de manière macro ce que je souhaite :



Sur la base de ce schéma et les règles IPTABLES définies, peux-tu me dire ce que je dois modifier / rajouter ?

iptables -t nat -I PREROUTING 1 -d XX.XX.XX.XX -p tcp --dport 8080 -j DNAT --to-dest 10.8.0.2:8080
iptables -t nat -I POSTROUTING 1 -d 10.8.0.2 -p tcp --dport 8080 -j SNAT --to-source 10.8.0.1
iptables -I FORWARD 1 -d 10.8.0.2 -p tcp --dport 8080 -j ACCEPT

Merci encore, et désolé pour la perte de temps.

[becket]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4

iptables -t nat -I PREROUTING 1 -d XX.XX.XX.XX -p tcp --dport 8080 -j DNAT --to-dest 10.8.0.2:8080
iptables -t nat -I POSTROUTING 1 -d XX.XX.XX.XX -p tcp --dport 8080 -j SNAT --to-source 10.8.0.1