Re: ***MAYBE-SPAM*** Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Antoine Durant]

J'ai bien oublié de coller la routemap ! Merci pour ton retour Thibaut ;)
  De : GAGNAIRE Thibaut <tgagna...@novenci.fr>
 À : Frnog-tech <frnog-t...@frnog.org> 
 Envoyé le : Jeudi 21 juillet 2016 13h18
 Objet : RE: ***MAYBE-SPAM*** Re: [FRnOG] [TECH] Comportement étrange avec ip 
nat inside
   
Il manque la route-map dans ton mail.


route-map NO_Private_SNAT permit 10

match ip address NO_Private_SNAT





Thibaut GAGNAIRE

Ingénieur Système et Reseaux



tgagna...@novenci.fr<mailto:tgagna...@novenci.fr>

www.idline.fr<http://www.idline.fr/>





[cid:image001.jpg@01D03BAF.8148ECA0]



De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Antoine Durant
Envoyé : jeudi 21 juillet 2016 13:07
À : Frnog-tech <frnog-t...@frnog.org>
Objet : ***MAYBE-SPAM*** Re: [FRnOG] [TECH] Comportement étrange avec ip nat 
inside

Bonjour,

Bon... J'ai avancé et je sais quel est le problème mais je n'arrive pas à le 
résoudre... Cela est à cause du VPN :/
Par le VPN tout fonctionne sauf dès que je rajoute une règle ip nat Inside sur 
le site distant.

En gros hier j'étais à l'ouest complet croyant que le problème était ailleurs 
et pas en passant par le vpn.

Sur le site 1 (172.16.1.x) pas de soucis j'accède bien au serveur en lan 
interne même avec la regle ip nat
Le problème est depuis le site 2 (172.16.2.x) lorsque j'active la règle ip nat 
je ne peux pas utiliser le service web (172.16.1.33).

J'ai essayé de rajouter une regle comme ça sur le site 1 mais ça fonctionne pas 
mieux depuis le site 2 :

ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 route-map RM1 
extendable

ip access-list extended RM1
 deny  ip 172.16.0.0 0.0.255.255 any
 permit ip any any


---
Liste de diffusion du FRnOG
http://www.frnog.org/


  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Jérôme BERTHIER]

Salut,

Sans les confs difficiles d'être précis mais...

Le 21/07/2016 à 13:06, Antoine Durant a écrit :

Bonjour,
Bon... J'ai avancé et je sais quel est le problème mais je n'arrive pas à le 
résoudre... Cela est à cause du VPN :/Par le VPN tout fonctionne sauf dès que 
je rajoute une règle ip nat Inside sur le site distant.
Ton NAT sur site 2, c'est du PAT sur l'interface outside pour le trafic 
Web ?


Le VPN est traité par crypto map ou via interface VTI ?

Sauf erreur, avec des crypto map, le NAT in->out s'applique avant le 
tunneling :

http://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/6209-5.html
=> tu dois exclure du NAT le trafic qui est sensé passer par le tunnel.

Tu le fais sur site 1 mais il faut aussi le faire sur site 2 je pense. 
Dans l'idée à minima :

ip access-list extended RM2
 deny   ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255
 permit ip any any

A+


En gros hier j'étais à l'ouest complet croyant que le problème était ailleurs 
et pas en passant par le vpn.
Sur le site 1 (172.16.1.x) pas de soucis j'accède bien au serveur en lan 
interne même avec la regle ip natLe problème est depuis le site 2 (172.16.2.x) 
lorsque j'active la règle ip nat je ne peux pas utiliser le service web 
(172.16.1.33).
J'ai essayé de rajouter une regle comme ça sur le site 1 mais ça fonctionne pas 
mieux depuis le site 2 :
ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 route-map RM1 
extendable
ip access-list extended RM1
  deny   ip 172.16.0.0 0.0.255.255 any
  permit ip any any


---
Liste de diffusion du FRnOG
http://www.frnog.org/



--
Jérôme BERTHIER


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Antoine Durant]

David, j'ai droit au fouet oui oui... Hier je bricolais avec site1 et ca merdé 
grave ! 
J'ai tout rebranché correctement sur un joli switch des deux côtés avec maj ios 
+ formatage de la config et c'est là... non pas la tête que j'ai vu "arf ya oun 
vpn"
Bon je pense que la bonne route map doit être :
ip access-list extended RM1
deny  ip 172.16.1.0 0.0.255.255 anydeny  ip 172.16.2.0 0.0.255.255 any
permit ip any any

  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : Frnog-tech <frnog-t...@frnog.org>
 Envoyé le : Jeudi 21 juillet 2016 13h17
 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
   
Euh à quel moment tu as pensé que ma question « est-ce qu’il y a une 
subtilité/un détail sur la conf que tu n’omets pas de nous donner ? »  n’était 
pas concerné par un VPN ? :)


> Le 21 juil. 2016 à 13:06, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> Bonjour,
> Bon... J'ai avancé et je sais quel est le problème mais je n'arrive pas à le 
> résoudre... Cela est à cause du VPN :/Par le VPN tout fonctionne sauf dès que 
> je rajoute une règle ip nat Inside sur le site distant.
> En gros hier j'étais à l'ouest complet croyant que le problème était ailleurs 
> et pas en passant par le vpn.
> Sur le site 1 (172.16.1.x) pas de soucis j'accède bien au serveur en lan 
> interne même avec la regle ip natLe problème est depuis le site 2 
> (172.16.2.x) lorsque j'active la règle ip nat je ne peux pas utiliser le 
> service web (172.16.1.33).
> J'ai essayé de rajouter une regle comme ça sur le site 1 mais ça fonctionne 
> pas mieux depuis le site 2 :
> ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 route-map RM1 
> extendable
> ip access-list extended RM1
>  deny  ip 172.16.0.0 0.0.255.255 any
>  permit ip any any
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: ***MAYBE-SPAM*** Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[GAGNAIRE Thibaut]

Il manque la route-map dans ton mail.


route-map NO_Private_SNAT permit 10

match ip address NO_Private_SNAT





Thibaut GAGNAIRE

Ingénieur Système et Reseaux



tgagna...@novenci.fr<mailto:tgagna...@novenci.fr>

www.idline.fr<http://www.idline.fr>





[cid:image001.jpg@01D03BAF.8148ECA0]



De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Antoine Durant
Envoyé : jeudi 21 juillet 2016 13:07
À : Frnog-tech <frnog-t...@frnog.org>
Objet : ***MAYBE-SPAM*** Re: [FRnOG] [TECH] Comportement étrange avec ip nat 
inside

Bonjour,

Bon... J'ai avancé et je sais quel est le problème mais je n'arrive pas à le 
résoudre... Cela est à cause du VPN :/
Par le VPN tout fonctionne sauf dès que je rajoute une règle ip nat Inside sur 
le site distant.

En gros hier j'étais à l'ouest complet croyant que le problème était ailleurs 
et pas en passant par le vpn.

Sur le site 1 (172.16.1.x) pas de soucis j'accède bien au serveur en lan 
interne même avec la regle ip nat
Le problème est depuis le site 2 (172.16.2.x) lorsque j'active la règle ip nat 
je ne peux pas utiliser le service web (172.16.1.33).

J'ai essayé de rajouter une regle comme ça sur le site 1 mais ça fonctionne pas 
mieux depuis le site 2 :

ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 route-map RM1 
extendable

ip access-list extended RM1
 deny   ip 172.16.0.0 0.0.255.255 any
 permit ip any any


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[David Ponzone]

Euh à quel moment tu as pensé que ma question « est-ce qu’il y a une 
subtilité/un détail sur la conf que tu n’omets pas de nous donner ? »  n’était 
pas concerné par un VPN ? :)


> Le 21 juil. 2016 à 13:06, Antoine Durant  a écrit :
> 
> Bonjour,
> Bon... J'ai avancé et je sais quel est le problème mais je n'arrive pas à le 
> résoudre... Cela est à cause du VPN :/Par le VPN tout fonctionne sauf dès que 
> je rajoute une règle ip nat Inside sur le site distant.
> En gros hier j'étais à l'ouest complet croyant que le problème était ailleurs 
> et pas en passant par le vpn.
> Sur le site 1 (172.16.1.x) pas de soucis j'accède bien au serveur en lan 
> interne même avec la regle ip natLe problème est depuis le site 2 
> (172.16.2.x) lorsque j'active la règle ip nat je ne peux pas utiliser le 
> service web (172.16.1.33).
> J'ai essayé de rajouter une regle comme ça sur le site 1 mais ça fonctionne 
> pas mieux depuis le site 2 :
> ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 route-map RM1 
> extendable
> ip access-list extended RM1
>  deny   ip 172.16.0.0 0.0.255.255 any
>  permit ip any any
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Antoine Durant]

Bonjour,
Bon... J'ai avancé et je sais quel est le problème mais je n'arrive pas à le 
résoudre... Cela est à cause du VPN :/Par le VPN tout fonctionne sauf dès que 
je rajoute une règle ip nat Inside sur le site distant.
En gros hier j'étais à l'ouest complet croyant que le problème était ailleurs 
et pas en passant par le vpn.
Sur le site 1 (172.16.1.x) pas de soucis j'accède bien au serveur en lan 
interne même avec la regle ip natLe problème est depuis le site 2 (172.16.2.x) 
lorsque j'active la règle ip nat je ne peux pas utiliser le service web 
(172.16.1.33).
J'ai essayé de rajouter une regle comme ça sur le site 1 mais ça fonctionne pas 
mieux depuis le site 2 :
ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 route-map RM1 
extendable
ip access-list extended RM1
 deny   ip 172.16.0.0 0.0.255.255 any
 permit ip any any


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: ***MAYBE-SPAM*** Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[GAGNAIRE Thibaut]

Salut,

Essaye en mettant un route-map pour empêcher le NAT venant des IP RFC1918 (ce 
qu'on fait lorsqu'il y a des tunnels IPSEC sur l'interface externe):

ip access-list extended NO_Private_SNAT
 deny   ip 192.168.0.0 0.0.255.255 any
 deny   ip 172.16.0.0 0.15.255.255 any
 deny   ip 10.0.0.0 0.255.255.255 any
 permit ip any any

route-map NO_Private_SNAT permit 10
 match ip address NO_Private_SNAT

ip nat inside source static tcp x.x.x.x 3389 x.x.x.x 3394 route-map 
NO_Private_SNAT extendable



Thibaut GAGNAIRE
Ingénieur Système et Reseaux


tgagna...@novenci.fr
www.idline.fr








-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Eric Mognat
Envoyé : jeudi 21 juillet 2016 07:42
À : Frnog-tech <frnog-t...@frnog.org>
Objet : ***MAYBE-SPAM*** Re: [FRnOG] [TECH] Comportement étrange avec ip nat 
inside

Salut,

deux tests a faire :
--> règles désactivées, accès port 80 puis arp -a même chose règles 
--> activées
contrôle que la mac est la bonne.

A+

Le 20 juillet 2016 à 18:14, Michel Py
<mic...@arneill-py.sacramento.ca.us> a écrit :
>> Antoine Durant a écrit :
>> [..]
>
> En plus, quelque chose qui marche avec la même syntaxe sur plein de bécanes, 
> Windows et Unix :
>
> "netstat -r"  ??
>
> Le tech support sur la liste du FRnOG, c'est gratuit sauf quand David 
> et Michel commencent à vendre des tickets :P Philippe Bourcier, ne 
> t'inquiètes pas. Tes 15% font partie des tickets.
>
>
> Michel.
>
> David, 50/50 moins les frais et ce qu'on donne à Philippe ?
> Philippe, quand c'est pas trolldi on te donne 20% au lieu de 15% ?
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Eric Mognat]

Salut,

deux tests a faire :
--> règles désactivées, accès port 80 puis arp -a
--> même chose règles activées
contrôle que la mac est la bonne.

A+

Le 20 juillet 2016 à 18:14, Michel Py
 a écrit :
>> Antoine Durant a écrit :
>> [..]
>
> En plus, quelque chose qui marche avec la même syntaxe sur plein de bécanes, 
> Windows et Unix :
>
> "netstat -r"  ??
>
> Le tech support sur la liste du FRnOG, c'est gratuit sauf quand David et 
> Michel commencent à vendre des tickets :P
> Philippe Bourcier, ne t'inquiètes pas. Tes 15% font partie des tickets.
>
>
> Michel.
>
> David, 50/50 moins les frais et ce qu'on donne à Philippe ?
> Philippe, quand c'est pas trolldi on te donne 20% au lieu de 15% ?
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Michel Py]

> Antoine Durant a écrit :
> [..]

En plus, quelque chose qui marche avec la même syntaxe sur plein de bécanes, 
Windows et Unix :

"netstat -r"  ??

Le tech support sur la liste du FRnOG, c'est gratuit sauf quand David et Michel 
commencent à vendre des tickets :P
Philippe Bourcier, ne t'inquiètes pas. Tes 15% font partie des tickets.


Michel.

David, 50/50 moins les frais et ce qu'on donne à Philippe ?
Philippe, quand c'est pas trolldi on te donne 20% au lieu de 15% ?

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Michel Py]

> David Ponzone a écrit :
> Tu débranches le Cisco du switch. Là normalement, rien ne devrait empêcher 
> .10 d’accéder à .33:80, c’est du
> local. Si ça se met à marcher quand tu débranches le Cisco du LAN, alors là, 
> c’est la devinette de l’été.

Han Effé.

Vu de loin, çà sent quand même a plein nez le subnet mask de class B qui force 
le routage par le Cisco. 172.16.0.0/12 c'est "class B" pour les débiles qui 
sont pas au courant de "ip classless"

Euh, le host c'est MS-DOS 5.0 avec M$ TCP/IP stack version 0.1 ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Matthieu Racine]

Le 20/07/2016 à 10:50, Antoine Durant a écrit :

Heu non David.
J'ai activé ces 2 règles pour que le service web soit joignable depuis 
l'exterieur, c'est OK ! Mais quand j'ai ces 2 règles, depuis le lan je ne peux 
pas rentrer sur l'ip lan 172.16.1.33 du service web ca mouline dans le vide...
Quand j'ai pas ces 2 règles, depuis le lan on accède au service web mais pas 
depuis le wan (normal) :)

   De : David Ponzone <david.ponz...@gmail.com>
  À : Antoine Durant <antoine.duran...@yahoo.fr>
Cc : Frnog-tech <frnog-t...@frnog.org>
  Envoyé le : Mercredi 20 juillet 2016 10h42
  Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

Tu veux dire que sans ces 2 règles, tu peux depuis 172.16.1.10 accéder à X.Y.Z.1:80 ?

Alors là, magie!



Re,

Je n'avais pas lu tous les mails, et pas compris que tu essayais 
d'atteindre ton serveur par  l'adresse privée.

Effectivement c'est très étrange...
As tu fait un tcpdump sur le serveur et le client pour voir ? Vérifie 
les adresses mac des paquets si tu ne trouves rien au niveau des IP.

--
Matthieu


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Matthieu Racine]

Le 20/07/2016 à 11:11, Antoine Durant a écrit :

Salut alarig,
Le TCP est suffisant comme tu le précise, mais même dans mon cas cela ne change 
pas mon problème d'accès depuis le lan

   De : Alarig Le Lay <ala...@swordarmor.fr>
  À : frnog@frnog.org
  Envoyé le : Mercredi 20 juillet 2016 11h06
  Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

On Wed Jul 20 08:28:00 2016, Antoine Durant wrote:

   Bonjour,
J’ai un phénomène que je trouve un peu particulier lorsque j’utilise une règle 
ip nat inside.
J’ai ajouté les règles suivantes pour que mon serveur web soit accessible 
depuis l’extérieur via IP wan :
ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 extendable
ip nat inside source static udp 172.16.1.33 80 X.Y.Z.1 80 extendable

Salut,

Pourquoi est-ce que tu rediriges aussi les 80 UDP alors que HTTP marche
sur TCP ?


Bonjour,

Je ne connais pas bien le NAT sur Cisco, mais c'est un problème qui 
m'amuse beaucoup en iptables (par exemple), aussi pour une fois, je me 
lance.


Ce sont les paquets retour qui n'arrivent pas correctement à ton client 
web. Ils arrivent, mais mal formés (avec un routeur/firewall Linux 
iptables toujours, mais je subodore que c'est plus ou moins le même 
problème sur cisco).


Posons :
- Adresse de ton client Web : C (Ip privée)
- Adresse de ton serveur Web : S (IP privée)
- Adresse publique sur laquelle tu fais un dst nat (nat inside ?) : W
- Adresse publique vers laquelle est natée ton client : W' 
(éventellement égale à W)


1- Ton client envoie un paquet SYN vers l'IP publique du serveur web :
=> adresse source C, adresse destination W
2- Le paquet arrive sur l'interface interne du routeur : Pré-routing DNAT
=> adresse source C, adresse destination S + création d'une entrée 
correspondante dans la table de NAT
3- Le paquet doit sortir du routeur : Post-routing SNAT, seulement il 
"sort" par l'interface interne puisque sa destination (S) est maintenant 
l'adresse IP privée de ton serveur WEB, le SNAT n'a donc pas lieu 
puisque que le Snat ne se fait que sur les paquet qui sortent par ton 
interface publique. Le paquet n'est donc pas modifié :

=> adresse source C, adresse destination S
4- La paquet arrive à ton serveur qui le traite et y répond en inversant 
adresse source et adresse destination (SYN+ACK)

  => adresse source S, adresse destination C
Et c'est là que ça merdoie : ton serveur réponds directement à l'adresse 
ip du client, sans passer par le routeur/firewall puisque C est sur le 
même domaine de broadcast que S. Le client voyant arriver le paquet avec 
comme adresse source de la réponse l'adresse IP privée de ton serveur, 
ça ne match pas avec la connexion qu'il à initié et drop le paquet...


Tu pex vérifier si c'est bien ce qui se produit en posant un tcpdump sur 
le serveur ou le client.


Ce problème se produit (à ma connaissance) uniquement quand tu mets en 
place un DNAT et essaye d'atteindre via le routeur un serveur qui est 
dans le même domaine de broadcast que ton client (ça "marche" aussi si 
tu essayes de faire un wget depuis le serveur sur l'IP publique du 
serveur :D )


Plusieurs solutions sont possibles :
- DNS privé ou fichier hosts qui évite de te faire passer par ton 
firewall en résolvant avec l'adresse IP privée
- Tu mets ton serveur dans une DMZ et ton client dans un autre réseau  
(mais ça ne règle pas vraiment le problème si des serveurs de la DMZ 
doivent s'interroger mutuellement via leurs IP publiques)
- Tu forces le SNAT vers W' lorsque le paquet sort (même par l'interface 
privée), ainsi, à l'étape 3 le paquet devient :
  => Adresse source W', adresse destination C + création d'une deuxième 
entrée dans la table de NAT


Le serveur réponds donc vers l'IP publique du W', passe par le firewall 
qui fait les opérations inverses grâce aux deux entrées de la table de 
NAT et hop la connexion se fait.


Je trouve ça peu élégant, mais ça marche. Si quelqu'un à une autre 
solution, je suis preneur :)


--
Matthieu


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Antoine Durant]

Oui je peux aussi faire ça ! 
Je vais en premier lieu faire une maj ios et écraser la configuration !
Merci David pour l'aide ;)



  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : Frnog-tech <frnog-t...@frnog.org>
 Envoyé le : Mercredi 20 juillet 2016 11h46
 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
   
Tu peux aussi faire un autre truc amusant.
Tu mets tes 2 règles donc .10 peut plus accéder à .33:80.
Tu débranches le Cisco du switch.
Là normalement, rien ne devrait empêcher .10 d’accéder à .33:80, c’est du local.
Si ça se met à marcher quand tu débranches le Cisco du LAN, alors là, c’est la 
devinette de l’été.


> Le 20 juil. 2016 à 11:37, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> C'est une configuration basique. J'ai un routeur Cisco sur lequel j'ai 
> branché un switch qui connecte mon serveur web et mon pc.
> 
> Le serveur web n'a pas de firewall (iptables vide). Au début le serveur web 
> était connecté derrière le Cisco avant de passer sur le switch...
> 
> Serveur/PC ont en passerelle l'ip du Cisco et le mask est le même partout... 
> 
> Je vais reprendre la configuration du Cisco à zéro et écraser la conf.
> 
> 
> De : David Ponzone <david.ponz...@gmail.com>
> À : Antoine Durant <antoine.duran...@yahoo.fr> 
> Cc : Frnog-tech <frnog-t...@frnog.org>
> Envoyé le : Mercredi 20 juillet 2016 11h25
> Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
> 
> Y a des trucs de base à vérifier: sur chaque machine, vérifie que l’adresse 
> MAC qu’elle a pour l’autre est bien l’autre :)
> En clair, sur .10 vérifie que la MAC que tu as pour .33 est bien celle de 
> .33, et pas un méchant qui se fait passer pour elle, et inversement.
> Vire toute règle de firewall/iptables/etc.. sur .33.
> Encore une fois, les paquets entre .10 et .33 ne passent normalement pas par 
> le Cisco, sauf config tordue.
> Tu peux aussi mettre une ACL input sur l’interface LAN du Cisco, juste pour 
> matcher les paquets venant de .33 vers .10 (tu les acceptes, c’est juste pour 
> voir si le compteur s’incrémente).
> 
> T’es sûr qu’il y a pas une subtilité dans la conf ?
> 
> 
> 
>> Le 20 juil. 2016 à 11:07, Antoine Durant <antoine.duran...@yahoo.fr 
>> <mailto:antoine.duran...@yahoo.fr>> a écrit :
>> 
>> >ok donc quand tu as les règles, tu ne peux pas atteindre 172.16.1.33 depuis 
>> >172.16.1.10 ?
>> Je ne peux pas atteindre le port 80, le port 22 va marcher car non présent 
>> dans une règle ip nat
>> 
>> >.10 et .33 ont le Cisco comme route par défaut ?
>> Oui
>> 
>> >Tu ping .33 depuis .10 quand les 2 règles sont là ou même pas ?
>> Oui le ping passe avec les règles ou meme sans
>> 
>> >Si non, je te recommande de revoir toute la configuration (netmask, 
>> >proxy-arp, ….) car c’est juste pas possible.
>> Le netmask est conforme, le proxy-arp est off
>> 
>> J'ai du mal à voir ou ca peu poser problème, un Cisco avec une configuration 
>> archi simple...
>> 
> 
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[David Ponzone]

Tu peux aussi faire un autre truc amusant.
Tu mets tes 2 règles donc .10 peut plus accéder à .33:80.
Tu débranches le Cisco du switch.
Là normalement, rien ne devrait empêcher .10 d’accéder à .33:80, c’est du local.
Si ça se met à marcher quand tu débranches le Cisco du LAN, alors là, c’est la 
devinette de l’été.


> Le 20 juil. 2016 à 11:37, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> C'est une configuration basique. J'ai un routeur Cisco sur lequel j'ai 
> branché un switch qui connecte mon serveur web et mon pc.
> 
> Le serveur web n'a pas de firewall (iptables vide). Au début le serveur web 
> était connecté derrière le Cisco avant de passer sur le switch...
> 
> Serveur/PC ont en passerelle l'ip du Cisco et le mask est le même partout... 
> 
> Je vais reprendre la configuration du Cisco à zéro et écraser la conf.
> 
> 
> De : David Ponzone <david.ponz...@gmail.com>
> À : Antoine Durant <antoine.duran...@yahoo.fr> 
> Cc : Frnog-tech <frnog-t...@frnog.org>
> Envoyé le : Mercredi 20 juillet 2016 11h25
> Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
> 
> Y a des trucs de base à vérifier: sur chaque machine, vérifie que l’adresse 
> MAC qu’elle a pour l’autre est bien l’autre :)
> En clair, sur .10 vérifie que la MAC que tu as pour .33 est bien celle de 
> .33, et pas un méchant qui se fait passer pour elle, et inversement.
> Vire toute règle de firewall/iptables/etc.. sur .33.
> Encore une fois, les paquets entre .10 et .33 ne passent normalement pas par 
> le Cisco, sauf config tordue.
> Tu peux aussi mettre une ACL input sur l’interface LAN du Cisco, juste pour 
> matcher les paquets venant de .33 vers .10 (tu les acceptes, c’est juste pour 
> voir si le compteur s’incrémente).
> 
> T’es sûr qu’il y a pas une subtilité dans la conf ?
> 
> 
> 
>> Le 20 juil. 2016 à 11:07, Antoine Durant <antoine.duran...@yahoo.fr 
>> <mailto:antoine.duran...@yahoo.fr>> a écrit :
>> 
>> >ok donc quand tu as les règles, tu ne peux pas atteindre 172.16.1.33 depuis 
>> >172.16.1.10 ?
>> Je ne peux pas atteindre le port 80, le port 22 va marcher car non présent 
>> dans une règle ip nat
>> 
>> >.10 et .33 ont le Cisco comme route par défaut ?
>> Oui
>> 
>> >Tu ping .33 depuis .10 quand les 2 règles sont là ou même pas ?
>> Oui le ping passe avec les règles ou meme sans
>> 
>> >Si non, je te recommande de revoir toute la configuration (netmask, 
>> >proxy-arp, ….) car c’est juste pas possible.
>> Le netmask est conforme, le proxy-arp est off
>> 
>> J'ai du mal à voir ou ca peu poser problème, un Cisco avec une configuration 
>> archi simple...
>> 
> 
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Antoine Durant]

C'est une configuration basique. J'ai un routeur Cisco sur lequel j'ai branché 
un switch qui connecte mon serveur web et mon pc.
Le serveur web n'a pas de firewall (iptables vide). Au début le serveur web 
était connecté derrière le Cisco avant de passer sur le switch...
Serveur/PC ont en passerelle l'ip du Cisco et le mask est le même partout... 
Je vais reprendre la configuration du Cisco à zéro et écraser la conf. 

  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : Frnog-tech <frnog-t...@frnog.org>
 Envoyé le : Mercredi 20 juillet 2016 11h25
 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
   
Y a des trucs de base à vérifier: sur chaque machine, vérifie que l’adresse MAC 
qu’elle a pour l’autre est bien l’autre :)En clair, sur .10 vérifie que la MAC 
que tu as pour .33 est bien celle de .33, et pas un méchant qui se fait passer 
pour elle, et inversement.Vire toute règle de firewall/iptables/etc.. sur 
.33.Encore une fois, les paquets entre .10 et .33 ne passent normalement pas 
par le Cisco, sauf config tordue.Tu peux aussi mettre une ACL input sur 
l’interface LAN du Cisco, juste pour matcher les paquets venant de .33 vers .10 
(tu les acceptes, c’est juste pour voir si le compteur s’incrémente).
T’es sûr qu’il y a pas une subtilité dans la conf ?




Le 20 juil. 2016 à 11:07, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
>ok donc quand tu as les règles, tu ne peux pas atteindre 172.16.1.33 depuis 
>172.16.1.10 ?Je ne peux pas atteindre le port 80, le port 22 va marcher car 
>non présent dans une règle ip nat
>.10 et .33 ont le Cisco comme route par défaut ?Oui
>Tu ping .33 depuis .10 quand les 2 règles sont là ou même pas ?Oui le ping 
>passe avec les règles ou meme sans
>Si non, je te recommande de revoir toute la configuration (netmask, proxy-arp, 
>….) car c’est juste pas possible.Le netmask est conforme, le proxy-arp est off
J'ai du mal à voir ou ca peu poser problème, un Cisco avec une configuration 
archi simple...

   



  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[David Ponzone]

Y a des trucs de base à vérifier: sur chaque machine, vérifie que l’adresse MAC 
qu’elle a pour l’autre est bien l’autre :)
En clair, sur .10 vérifie que la MAC que tu as pour .33 est bien celle de .33, 
et pas un méchant qui se fait passer pour elle, et inversement.
Vire toute règle de firewall/iptables/etc.. sur .33.
Encore une fois, les paquets entre .10 et .33 ne passent normalement pas par le 
Cisco, sauf config tordue.
Tu peux aussi mettre une ACL input sur l’interface LAN du Cisco, juste pour 
matcher les paquets venant de .33 vers .10 (tu les acceptes, c’est juste pour 
voir si le compteur s’incrémente).

T’es sûr qu’il y a pas une subtilité dans la conf ?



> Le 20 juil. 2016 à 11:07, Antoine Durant  a écrit :
> 
> >ok donc quand tu as les règles, tu ne peux pas atteindre 172.16.1.33 depuis 
> >172.16.1.10 ?
> Je ne peux pas atteindre le port 80, le port 22 va marcher car non présent 
> dans une règle ip nat
> 
> >.10 et .33 ont le Cisco comme route par défaut ?
> Oui
> 
> >Tu ping .33 depuis .10 quand les 2 règles sont là ou même pas ?
> Oui le ping passe avec les règles ou meme sans
> 
> >Si non, je te recommande de revoir toute la configuration (netmask, 
> >proxy-arp, ….) car c’est juste pas possible.
> Le netmask est conforme, le proxy-arp est off
> 
> J'ai du mal à voir ou ca peu poser problème, un Cisco avec une configuration 
> archi simple...
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Antoine Durant]

Salut alarig,
Le TCP est suffisant comme tu le précise, mais même dans mon cas cela ne change 
pas mon problème d'accès depuis le lan

  De : Alarig Le Lay <ala...@swordarmor.fr>
 À : frnog@frnog.org 
 Envoyé le : Mercredi 20 juillet 2016 11h06
 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
   
On Wed Jul 20 08:28:00 2016, Antoine Durant wrote:
>  Bonjour,
> J’ai un phénomène que je trouve un peu particulier lorsque j’utilise une 
> règle ip nat inside.
> J’ai ajouté les règles suivantes pour que mon serveur web soit accessible 
> depuis l’extérieur via IP wan :
> ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 extendable
> ip nat inside source static udp 172.16.1.33 80 X.Y.Z.1 80 extendable

Salut,

Pourquoi est-ce que tu rediriges aussi les 80 UDP alors que HTTP marche
sur TCP ?

-- 
alarig

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Antoine Durant]

>ok donc quand tu as les règles, tu ne peux pas atteindre 172.16.1.33 depuis 
>172.16.1.10 ?Je ne peux pas atteindre le port 80, le port 22 va marcher car 
>non présent dans une règle ip nat
>.10 et .33 ont le Cisco comme route par défaut ?Oui
>Tu ping .33 depuis .10 quand les 2 règles sont là ou même pas ?Oui le ping 
>passe avec les règles ou meme sans
>Si non, je te recommande de revoir toute la configuration (netmask, proxy-arp, 
>….) car c’est juste pas possible.Le netmask est conforme, le proxy-arp est off
J'ai du mal à voir ou ca peu poser problème, un Cisco avec une configuration 
archi simple...

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Alarig Le Lay]

On Wed Jul 20 08:28:00 2016, Antoine Durant wrote:
>  Bonjour,
> J’ai un phénomène que je trouve un peu particulier lorsque j’utilise une 
> règle ip nat inside.
> J’ai ajouté les règles suivantes pour que mon serveur web soit accessible 
> depuis l’extérieur via IP wan :
> ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 extendable
> ip nat inside source static udp 172.16.1.33 80 X.Y.Z.1 80 extendable

Salut,

Pourquoi est-ce que tu rediriges aussi les 80 UDP alors que HTTP marche
sur TCP ?

-- 
alarig


signature.asc
Description: Digital signature

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[David Ponzone]

ok donc quand tu as les règles, tu ne peux pas atteindre 172.16.1.33 depuis 
172.16.1.10 ?
Amusant compte tenu du fait que les paquets entre .10 et .33 ne passent pas par 
le routeur, sauf si tu t’es trompé quelque part.
.10 et .33 ont le Cisco comme route par défaut ?
Tu ping .33 depuis .10 quand les 2 règles sont là ou même pas ?
Si non, je te recommande de revoir toute la configuration (netmask, proxy-arp, 
….) car c’est juste pas possible.


> Le 20 juil. 2016 à 10:50, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> Heu non David.
> 
> J'ai activé ces 2 règles pour que le service web soit joignable depuis 
> l'exterieur, c'est OK !
> Mais quand j'ai ces 2 règles, depuis le lan je ne peux pas rentrer sur l'ip 
> lan 172.16.1.33 du service web ca mouline dans le vide...
> 
> Quand j'ai pas ces 2 règles, depuis le lan on accède au service web mais pas 
> depuis le wan (normal) :)
> 
> 
> De : David Ponzone <david.ponz...@gmail.com>
> À : Antoine Durant <antoine.duran...@yahoo.fr> 
> Cc : Frnog-tech <frnog-t...@frnog.org>
> Envoyé le : Mercredi 20 juillet 2016 10h42
> Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
> 
> Tu veux dire que sans ces 2 règles, tu peux depuis 172.16.1.10 accéder à 
> X.Y.Z.1:80 ?
> Alors là, magie!
> 
> 
> > Le 20 juil. 2016 à 10:28, Antoine Durant <antoine.duran...@yahoo.fr 
> > <mailto:antoine.duran...@yahoo.fr>> a écrit :
> > 
> > Bonjour,
> > J’ai un phénomène que je trouve un peu particulier lorsque j’utilise une 
> > règle ip nat inside.
> > J’ai ajouté les règles suivantes pour que mon serveur web soit accessible 
> > depuis l’extérieur via IP wan :
> > ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 extendable
> > ip nat inside source static udp 172.16.1.33 80 X.Y.Z.1 80 extendable
> > Depuis l'extérieur ça fonctionne très bien (X.Y.Z.1:80) ! Si j’essaye de 
> > joindre le serveur web depuis le lan (172.16.1.10 mon pc par exemple) ça 
> > mouline et je n’y accède pas. 
> > Si j’enlève les règles du dessus ça fonctionne depuis le lan.
> > 
> > Est-ce que mes règles sont mal construites ?
> > 
> > Merci pour le coup de pouce ;)
> 
> > 
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/ <http://www.frnog.org/>
> 
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[Antoine Durant]

Heu non David.
J'ai activé ces 2 règles pour que le service web soit joignable depuis 
l'exterieur, c'est OK ! Mais quand j'ai ces 2 règles, depuis le lan je ne peux 
pas rentrer sur l'ip lan 172.16.1.33 du service web ca mouline dans le vide...
Quand j'ai pas ces 2 règles, depuis le lan on accède au service web mais pas 
depuis le wan (normal) :)

  De : David Ponzone <david.ponz...@gmail.com>
 À : Antoine Durant <antoine.duran...@yahoo.fr> 
Cc : Frnog-tech <frnog-t...@frnog.org>
 Envoyé le : Mercredi 20 juillet 2016 10h42
 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
   
Tu veux dire que sans ces 2 règles, tu peux depuis 172.16.1.10 accéder à 
X.Y.Z.1:80 ?
Alors là, magie!


> Le 20 juil. 2016 à 10:28, Antoine Durant <antoine.duran...@yahoo.fr> a écrit :
> 
> Bonjour,
> J’ai un phénomène que je trouve un peu particulier lorsque j’utilise une 
> règle ip nat inside.
> J’ai ajouté les règles suivantes pour que mon serveur web soit accessible 
> depuis l’extérieur via IP wan :
> ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 extendable
> ip nat inside source static udp 172.16.1.33 80 X.Y.Z.1 80 extendable
> Depuis l'extérieur ça fonctionne très bien (X.Y.Z.1:80) ! Si j’essaye de 
> joindre le serveur web depuis le lan (172.16.1.10 mon pc par exemple) ça 
> mouline et je n’y accède pas. 
> Si j’enlève les règles du dessus ça fonctionne depuis le lan.
> 
> Est-ce que mes règles sont mal construites ?
> 
> Merci pour le coup de pouce ;)
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

[David Ponzone]

Tu veux dire que sans ces 2 règles, tu peux depuis 172.16.1.10 accéder à 
X.Y.Z.1:80 ?
Alors là, magie!


> Le 20 juil. 2016 à 10:28, Antoine Durant  a écrit :
> 
> Bonjour,
> J’ai un phénomène que je trouve un peu particulier lorsque j’utilise une 
> règle ip nat inside.
> J’ai ajouté les règles suivantes pour que mon serveur web soit accessible 
> depuis l’extérieur via IP wan :
> ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 extendable
> ip nat inside source static udp 172.16.1.33 80 X.Y.Z.1 80 extendable
> Depuis l'extérieur ça fonctionne très bien (X.Y.Z.1:80) ! Si j’essaye de 
> joindre le serveur web depuis le lan (172.16.1.10 mon pc par exemple) ça 
> mouline et je n’y accède pas. 
> Si j’enlève les règles du dessus ça fonctionne depuis le lan.
> 
> Est-ce que mes règles sont mal construites ?
> 
> Merci pour le coup de pouce ;)
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/