Re: ***MAYBE-SPAM*** Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
J'ai bien oublié de coller la routemap ! Merci pour ton retour Thibaut ;) De : GAGNAIRE Thibaut <tgagna...@novenci.fr> À : Frnog-tech <frnog-t...@frnog.org> Envoyé le : Jeudi 21 juillet 2016 13h18 Objet : RE: ***MAYBE-SPAM*** Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside Il manque la route-map dans ton mail. route-map NO_Private_SNAT permit 10 match ip address NO_Private_SNAT Thibaut GAGNAIRE Ingénieur Système et Reseaux tgagna...@novenci.fr<mailto:tgagna...@novenci.fr> www.idline.fr<http://www.idline.fr/> [cid:image001.jpg@01D03BAF.8148ECA0] De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Antoine Durant Envoyé : jeudi 21 juillet 2016 13:07 À : Frnog-tech <frnog-t...@frnog.org> Objet : ***MAYBE-SPAM*** Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside Bonjour, Bon... J'ai avancé et je sais quel est le problème mais je n'arrive pas à le résoudre... Cela est à cause du VPN :/ Par le VPN tout fonctionne sauf dès que je rajoute une règle ip nat Inside sur le site distant. En gros hier j'étais à l'ouest complet croyant que le problème était ailleurs et pas en passant par le vpn. Sur le site 1 (172.16.1.x) pas de soucis j'accède bien au serveur en lan interne même avec la regle ip nat Le problème est depuis le site 2 (172.16.2.x) lorsque j'active la règle ip nat je ne peux pas utiliser le service web (172.16.1.33). J'ai essayé de rajouter une regle comme ça sur le site 1 mais ça fonctionne pas mieux depuis le site 2 : ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 route-map RM1 extendable ip access-list extended RM1 deny ip 172.16.0.0 0.0.255.255 any permit ip any any --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
Salut, Sans les confs difficiles d'être précis mais... Le 21/07/2016 à 13:06, Antoine Durant a écrit : Bonjour, Bon... J'ai avancé et je sais quel est le problème mais je n'arrive pas à le résoudre... Cela est à cause du VPN :/Par le VPN tout fonctionne sauf dès que je rajoute une règle ip nat Inside sur le site distant. Ton NAT sur site 2, c'est du PAT sur l'interface outside pour le trafic Web ? Le VPN est traité par crypto map ou via interface VTI ? Sauf erreur, avec des crypto map, le NAT in->out s'applique avant le tunneling : http://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/6209-5.html => tu dois exclure du NAT le trafic qui est sensé passer par le tunnel. Tu le fais sur site 1 mais il faut aussi le faire sur site 2 je pense. Dans l'idée à minima : ip access-list extended RM2 deny ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255 permit ip any any A+ En gros hier j'étais à l'ouest complet croyant que le problème était ailleurs et pas en passant par le vpn. Sur le site 1 (172.16.1.x) pas de soucis j'accède bien au serveur en lan interne même avec la regle ip natLe problème est depuis le site 2 (172.16.2.x) lorsque j'active la règle ip nat je ne peux pas utiliser le service web (172.16.1.33). J'ai essayé de rajouter une regle comme ça sur le site 1 mais ça fonctionne pas mieux depuis le site 2 : ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 route-map RM1 extendable ip access-list extended RM1 deny ip 172.16.0.0 0.0.255.255 any permit ip any any --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Jérôme BERTHIER --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
David, j'ai droit au fouet oui oui... Hier je bricolais avec site1 et ca merdé grave ! J'ai tout rebranché correctement sur un joli switch des deux côtés avec maj ios + formatage de la config et c'est là... non pas la tête que j'ai vu "arf ya oun vpn" Bon je pense que la bonne route map doit être : ip access-list extended RM1 deny ip 172.16.1.0 0.0.255.255 anydeny ip 172.16.2.0 0.0.255.255 any permit ip any any De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Frnog-tech <frnog-t...@frnog.org> Envoyé le : Jeudi 21 juillet 2016 13h17 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside Euh à quel moment tu as pensé que ma question « est-ce qu’il y a une subtilité/un détail sur la conf que tu n’omets pas de nous donner ? » n’était pas concerné par un VPN ? :) > Le 21 juil. 2016 à 13:06, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > Bonjour, > Bon... J'ai avancé et je sais quel est le problème mais je n'arrive pas à le > résoudre... Cela est à cause du VPN :/Par le VPN tout fonctionne sauf dès que > je rajoute une règle ip nat Inside sur le site distant. > En gros hier j'étais à l'ouest complet croyant que le problème était ailleurs > et pas en passant par le vpn. > Sur le site 1 (172.16.1.x) pas de soucis j'accède bien au serveur en lan > interne même avec la regle ip natLe problème est depuis le site 2 > (172.16.2.x) lorsque j'active la règle ip nat je ne peux pas utiliser le > service web (172.16.1.33). > J'ai essayé de rajouter une regle comme ça sur le site 1 mais ça fonctionne > pas mieux depuis le site 2 : > ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 route-map RM1 > extendable > ip access-list extended RM1 > deny ip 172.16.0.0 0.0.255.255 any > permit ip any any > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: ***MAYBE-SPAM*** Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
Il manque la route-map dans ton mail. route-map NO_Private_SNAT permit 10 match ip address NO_Private_SNAT Thibaut GAGNAIRE Ingénieur Système et Reseaux tgagna...@novenci.fr<mailto:tgagna...@novenci.fr> www.idline.fr<http://www.idline.fr> [cid:image001.jpg@01D03BAF.8148ECA0] De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Antoine Durant Envoyé : jeudi 21 juillet 2016 13:07 À : Frnog-tech <frnog-t...@frnog.org> Objet : ***MAYBE-SPAM*** Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside Bonjour, Bon... J'ai avancé et je sais quel est le problème mais je n'arrive pas à le résoudre... Cela est à cause du VPN :/ Par le VPN tout fonctionne sauf dès que je rajoute une règle ip nat Inside sur le site distant. En gros hier j'étais à l'ouest complet croyant que le problème était ailleurs et pas en passant par le vpn. Sur le site 1 (172.16.1.x) pas de soucis j'accède bien au serveur en lan interne même avec la regle ip nat Le problème est depuis le site 2 (172.16.2.x) lorsque j'active la règle ip nat je ne peux pas utiliser le service web (172.16.1.33). J'ai essayé de rajouter une regle comme ça sur le site 1 mais ça fonctionne pas mieux depuis le site 2 : ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 route-map RM1 extendable ip access-list extended RM1 deny ip 172.16.0.0 0.0.255.255 any permit ip any any --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
Euh à quel moment tu as pensé que ma question « est-ce qu’il y a une subtilité/un détail sur la conf que tu n’omets pas de nous donner ? » n’était pas concerné par un VPN ? :) > Le 21 juil. 2016 à 13:06, Antoine Duranta écrit : > > Bonjour, > Bon... J'ai avancé et je sais quel est le problème mais je n'arrive pas à le > résoudre... Cela est à cause du VPN :/Par le VPN tout fonctionne sauf dès que > je rajoute une règle ip nat Inside sur le site distant. > En gros hier j'étais à l'ouest complet croyant que le problème était ailleurs > et pas en passant par le vpn. > Sur le site 1 (172.16.1.x) pas de soucis j'accède bien au serveur en lan > interne même avec la regle ip natLe problème est depuis le site 2 > (172.16.2.x) lorsque j'active la règle ip nat je ne peux pas utiliser le > service web (172.16.1.33). > J'ai essayé de rajouter une regle comme ça sur le site 1 mais ça fonctionne > pas mieux depuis le site 2 : > ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 route-map RM1 > extendable > ip access-list extended RM1 > deny ip 172.16.0.0 0.0.255.255 any > permit ip any any > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
Bonjour, Bon... J'ai avancé et je sais quel est le problème mais je n'arrive pas à le résoudre... Cela est à cause du VPN :/Par le VPN tout fonctionne sauf dès que je rajoute une règle ip nat Inside sur le site distant. En gros hier j'étais à l'ouest complet croyant que le problème était ailleurs et pas en passant par le vpn. Sur le site 1 (172.16.1.x) pas de soucis j'accède bien au serveur en lan interne même avec la regle ip natLe problème est depuis le site 2 (172.16.2.x) lorsque j'active la règle ip nat je ne peux pas utiliser le service web (172.16.1.33). J'ai essayé de rajouter une regle comme ça sur le site 1 mais ça fonctionne pas mieux depuis le site 2 : ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 route-map RM1 extendable ip access-list extended RM1 deny ip 172.16.0.0 0.0.255.255 any permit ip any any --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: ***MAYBE-SPAM*** Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
Salut, Essaye en mettant un route-map pour empêcher le NAT venant des IP RFC1918 (ce qu'on fait lorsqu'il y a des tunnels IPSEC sur l'interface externe): ip access-list extended NO_Private_SNAT deny ip 192.168.0.0 0.0.255.255 any deny ip 172.16.0.0 0.15.255.255 any deny ip 10.0.0.0 0.255.255.255 any permit ip any any route-map NO_Private_SNAT permit 10 match ip address NO_Private_SNAT ip nat inside source static tcp x.x.x.x 3389 x.x.x.x 3394 route-map NO_Private_SNAT extendable Thibaut GAGNAIRE Ingénieur Système et Reseaux tgagna...@novenci.fr www.idline.fr -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Eric Mognat Envoyé : jeudi 21 juillet 2016 07:42 À : Frnog-tech <frnog-t...@frnog.org> Objet : ***MAYBE-SPAM*** Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside Salut, deux tests a faire : --> règles désactivées, accès port 80 puis arp -a même chose règles --> activées contrôle que la mac est la bonne. A+ Le 20 juillet 2016 à 18:14, Michel Py <mic...@arneill-py.sacramento.ca.us> a écrit : >> Antoine Durant a écrit : >> [..] > > En plus, quelque chose qui marche avec la même syntaxe sur plein de bécanes, > Windows et Unix : > > "netstat -r" ?? > > Le tech support sur la liste du FRnOG, c'est gratuit sauf quand David > et Michel commencent à vendre des tickets :P Philippe Bourcier, ne > t'inquiètes pas. Tes 15% font partie des tickets. > > > Michel. > > David, 50/50 moins les frais et ce qu'on donne à Philippe ? > Philippe, quand c'est pas trolldi on te donne 20% au lieu de 15% ? > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
Salut, deux tests a faire : --> règles désactivées, accès port 80 puis arp -a --> même chose règles activées contrôle que la mac est la bonne. A+ Le 20 juillet 2016 à 18:14, Michel Pya écrit : >> Antoine Durant a écrit : >> [..] > > En plus, quelque chose qui marche avec la même syntaxe sur plein de bécanes, > Windows et Unix : > > "netstat -r" ?? > > Le tech support sur la liste du FRnOG, c'est gratuit sauf quand David et > Michel commencent à vendre des tickets :P > Philippe Bourcier, ne t'inquiètes pas. Tes 15% font partie des tickets. > > > Michel. > > David, 50/50 moins les frais et ce qu'on donne à Philippe ? > Philippe, quand c'est pas trolldi on te donne 20% au lieu de 15% ? > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Comportement étrange avec ip nat inside
> Antoine Durant a écrit : > [..] En plus, quelque chose qui marche avec la même syntaxe sur plein de bécanes, Windows et Unix : "netstat -r" ?? Le tech support sur la liste du FRnOG, c'est gratuit sauf quand David et Michel commencent à vendre des tickets :P Philippe Bourcier, ne t'inquiètes pas. Tes 15% font partie des tickets. Michel. David, 50/50 moins les frais et ce qu'on donne à Philippe ? Philippe, quand c'est pas trolldi on te donne 20% au lieu de 15% ? --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Comportement étrange avec ip nat inside
> David Ponzone a écrit : > Tu débranches le Cisco du switch. Là normalement, rien ne devrait empêcher > .10 d’accéder à .33:80, c’est du > local. Si ça se met à marcher quand tu débranches le Cisco du LAN, alors là, > c’est la devinette de l’été. Han Effé. Vu de loin, çà sent quand même a plein nez le subnet mask de class B qui force le routage par le Cisco. 172.16.0.0/12 c'est "class B" pour les débiles qui sont pas au courant de "ip classless" Euh, le host c'est MS-DOS 5.0 avec M$ TCP/IP stack version 0.1 ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
Le 20/07/2016 à 10:50, Antoine Durant a écrit : Heu non David. J'ai activé ces 2 règles pour que le service web soit joignable depuis l'exterieur, c'est OK ! Mais quand j'ai ces 2 règles, depuis le lan je ne peux pas rentrer sur l'ip lan 172.16.1.33 du service web ca mouline dans le vide... Quand j'ai pas ces 2 règles, depuis le lan on accède au service web mais pas depuis le wan (normal) :) De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Frnog-tech <frnog-t...@frnog.org> Envoyé le : Mercredi 20 juillet 2016 10h42 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside Tu veux dire que sans ces 2 règles, tu peux depuis 172.16.1.10 accéder à X.Y.Z.1:80 ? Alors là, magie! Re, Je n'avais pas lu tous les mails, et pas compris que tu essayais d'atteindre ton serveur par l'adresse privée. Effectivement c'est très étrange... As tu fait un tcpdump sur le serveur et le client pour voir ? Vérifie les adresses mac des paquets si tu ne trouves rien au niveau des IP. -- Matthieu --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
Le 20/07/2016 à 11:11, Antoine Durant a écrit : Salut alarig, Le TCP est suffisant comme tu le précise, mais même dans mon cas cela ne change pas mon problème d'accès depuis le lan De : Alarig Le Lay <ala...@swordarmor.fr> À : frnog@frnog.org Envoyé le : Mercredi 20 juillet 2016 11h06 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside On Wed Jul 20 08:28:00 2016, Antoine Durant wrote: Bonjour, J’ai un phénomène que je trouve un peu particulier lorsque j’utilise une règle ip nat inside. J’ai ajouté les règles suivantes pour que mon serveur web soit accessible depuis l’extérieur via IP wan : ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 extendable ip nat inside source static udp 172.16.1.33 80 X.Y.Z.1 80 extendable Salut, Pourquoi est-ce que tu rediriges aussi les 80 UDP alors que HTTP marche sur TCP ? Bonjour, Je ne connais pas bien le NAT sur Cisco, mais c'est un problème qui m'amuse beaucoup en iptables (par exemple), aussi pour une fois, je me lance. Ce sont les paquets retour qui n'arrivent pas correctement à ton client web. Ils arrivent, mais mal formés (avec un routeur/firewall Linux iptables toujours, mais je subodore que c'est plus ou moins le même problème sur cisco). Posons : - Adresse de ton client Web : C (Ip privée) - Adresse de ton serveur Web : S (IP privée) - Adresse publique sur laquelle tu fais un dst nat (nat inside ?) : W - Adresse publique vers laquelle est natée ton client : W' (éventellement égale à W) 1- Ton client envoie un paquet SYN vers l'IP publique du serveur web : => adresse source C, adresse destination W 2- Le paquet arrive sur l'interface interne du routeur : Pré-routing DNAT => adresse source C, adresse destination S + création d'une entrée correspondante dans la table de NAT 3- Le paquet doit sortir du routeur : Post-routing SNAT, seulement il "sort" par l'interface interne puisque sa destination (S) est maintenant l'adresse IP privée de ton serveur WEB, le SNAT n'a donc pas lieu puisque que le Snat ne se fait que sur les paquet qui sortent par ton interface publique. Le paquet n'est donc pas modifié : => adresse source C, adresse destination S 4- La paquet arrive à ton serveur qui le traite et y répond en inversant adresse source et adresse destination (SYN+ACK) => adresse source S, adresse destination C Et c'est là que ça merdoie : ton serveur réponds directement à l'adresse ip du client, sans passer par le routeur/firewall puisque C est sur le même domaine de broadcast que S. Le client voyant arriver le paquet avec comme adresse source de la réponse l'adresse IP privée de ton serveur, ça ne match pas avec la connexion qu'il à initié et drop le paquet... Tu pex vérifier si c'est bien ce qui se produit en posant un tcpdump sur le serveur ou le client. Ce problème se produit (à ma connaissance) uniquement quand tu mets en place un DNAT et essaye d'atteindre via le routeur un serveur qui est dans le même domaine de broadcast que ton client (ça "marche" aussi si tu essayes de faire un wget depuis le serveur sur l'IP publique du serveur :D ) Plusieurs solutions sont possibles : - DNS privé ou fichier hosts qui évite de te faire passer par ton firewall en résolvant avec l'adresse IP privée - Tu mets ton serveur dans une DMZ et ton client dans un autre réseau (mais ça ne règle pas vraiment le problème si des serveurs de la DMZ doivent s'interroger mutuellement via leurs IP publiques) - Tu forces le SNAT vers W' lorsque le paquet sort (même par l'interface privée), ainsi, à l'étape 3 le paquet devient : => Adresse source W', adresse destination C + création d'une deuxième entrée dans la table de NAT Le serveur réponds donc vers l'IP publique du W', passe par le firewall qui fait les opérations inverses grâce aux deux entrées de la table de NAT et hop la connexion se fait. Je trouve ça peu élégant, mais ça marche. Si quelqu'un à une autre solution, je suis preneur :) -- Matthieu --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
Oui je peux aussi faire ça ! Je vais en premier lieu faire une maj ios et écraser la configuration ! Merci David pour l'aide ;) De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Frnog-tech <frnog-t...@frnog.org> Envoyé le : Mercredi 20 juillet 2016 11h46 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside Tu peux aussi faire un autre truc amusant. Tu mets tes 2 règles donc .10 peut plus accéder à .33:80. Tu débranches le Cisco du switch. Là normalement, rien ne devrait empêcher .10 d’accéder à .33:80, c’est du local. Si ça se met à marcher quand tu débranches le Cisco du LAN, alors là, c’est la devinette de l’été. > Le 20 juil. 2016 à 11:37, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > C'est une configuration basique. J'ai un routeur Cisco sur lequel j'ai > branché un switch qui connecte mon serveur web et mon pc. > > Le serveur web n'a pas de firewall (iptables vide). Au début le serveur web > était connecté derrière le Cisco avant de passer sur le switch... > > Serveur/PC ont en passerelle l'ip du Cisco et le mask est le même partout... > > Je vais reprendre la configuration du Cisco à zéro et écraser la conf. > > > De : David Ponzone <david.ponz...@gmail.com> > À : Antoine Durant <antoine.duran...@yahoo.fr> > Cc : Frnog-tech <frnog-t...@frnog.org> > Envoyé le : Mercredi 20 juillet 2016 11h25 > Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside > > Y a des trucs de base à vérifier: sur chaque machine, vérifie que l’adresse > MAC qu’elle a pour l’autre est bien l’autre :) > En clair, sur .10 vérifie que la MAC que tu as pour .33 est bien celle de > .33, et pas un méchant qui se fait passer pour elle, et inversement. > Vire toute règle de firewall/iptables/etc.. sur .33. > Encore une fois, les paquets entre .10 et .33 ne passent normalement pas par > le Cisco, sauf config tordue. > Tu peux aussi mettre une ACL input sur l’interface LAN du Cisco, juste pour > matcher les paquets venant de .33 vers .10 (tu les acceptes, c’est juste pour > voir si le compteur s’incrémente). > > T’es sûr qu’il y a pas une subtilité dans la conf ? > > > >> Le 20 juil. 2016 à 11:07, Antoine Durant <antoine.duran...@yahoo.fr >> <mailto:antoine.duran...@yahoo.fr>> a écrit : >> >> >ok donc quand tu as les règles, tu ne peux pas atteindre 172.16.1.33 depuis >> >172.16.1.10 ? >> Je ne peux pas atteindre le port 80, le port 22 va marcher car non présent >> dans une règle ip nat >> >> >.10 et .33 ont le Cisco comme route par défaut ? >> Oui >> >> >Tu ping .33 depuis .10 quand les 2 règles sont là ou même pas ? >> Oui le ping passe avec les règles ou meme sans >> >> >Si non, je te recommande de revoir toute la configuration (netmask, >> >proxy-arp, ….) car c’est juste pas possible. >> Le netmask est conforme, le proxy-arp est off >> >> J'ai du mal à voir ou ca peu poser problème, un Cisco avec une configuration >> archi simple... >> > > > --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
Tu peux aussi faire un autre truc amusant. Tu mets tes 2 règles donc .10 peut plus accéder à .33:80. Tu débranches le Cisco du switch. Là normalement, rien ne devrait empêcher .10 d’accéder à .33:80, c’est du local. Si ça se met à marcher quand tu débranches le Cisco du LAN, alors là, c’est la devinette de l’été. > Le 20 juil. 2016 à 11:37, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > C'est une configuration basique. J'ai un routeur Cisco sur lequel j'ai > branché un switch qui connecte mon serveur web et mon pc. > > Le serveur web n'a pas de firewall (iptables vide). Au début le serveur web > était connecté derrière le Cisco avant de passer sur le switch... > > Serveur/PC ont en passerelle l'ip du Cisco et le mask est le même partout... > > Je vais reprendre la configuration du Cisco à zéro et écraser la conf. > > > De : David Ponzone <david.ponz...@gmail.com> > À : Antoine Durant <antoine.duran...@yahoo.fr> > Cc : Frnog-tech <frnog-t...@frnog.org> > Envoyé le : Mercredi 20 juillet 2016 11h25 > Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside > > Y a des trucs de base à vérifier: sur chaque machine, vérifie que l’adresse > MAC qu’elle a pour l’autre est bien l’autre :) > En clair, sur .10 vérifie que la MAC que tu as pour .33 est bien celle de > .33, et pas un méchant qui se fait passer pour elle, et inversement. > Vire toute règle de firewall/iptables/etc.. sur .33. > Encore une fois, les paquets entre .10 et .33 ne passent normalement pas par > le Cisco, sauf config tordue. > Tu peux aussi mettre une ACL input sur l’interface LAN du Cisco, juste pour > matcher les paquets venant de .33 vers .10 (tu les acceptes, c’est juste pour > voir si le compteur s’incrémente). > > T’es sûr qu’il y a pas une subtilité dans la conf ? > > > >> Le 20 juil. 2016 à 11:07, Antoine Durant <antoine.duran...@yahoo.fr >> <mailto:antoine.duran...@yahoo.fr>> a écrit : >> >> >ok donc quand tu as les règles, tu ne peux pas atteindre 172.16.1.33 depuis >> >172.16.1.10 ? >> Je ne peux pas atteindre le port 80, le port 22 va marcher car non présent >> dans une règle ip nat >> >> >.10 et .33 ont le Cisco comme route par défaut ? >> Oui >> >> >Tu ping .33 depuis .10 quand les 2 règles sont là ou même pas ? >> Oui le ping passe avec les règles ou meme sans >> >> >Si non, je te recommande de revoir toute la configuration (netmask, >> >proxy-arp, ….) car c’est juste pas possible. >> Le netmask est conforme, le proxy-arp est off >> >> J'ai du mal à voir ou ca peu poser problème, un Cisco avec une configuration >> archi simple... >> > > > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
C'est une configuration basique. J'ai un routeur Cisco sur lequel j'ai branché un switch qui connecte mon serveur web et mon pc. Le serveur web n'a pas de firewall (iptables vide). Au début le serveur web était connecté derrière le Cisco avant de passer sur le switch... Serveur/PC ont en passerelle l'ip du Cisco et le mask est le même partout... Je vais reprendre la configuration du Cisco à zéro et écraser la conf. De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Frnog-tech <frnog-t...@frnog.org> Envoyé le : Mercredi 20 juillet 2016 11h25 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside Y a des trucs de base à vérifier: sur chaque machine, vérifie que l’adresse MAC qu’elle a pour l’autre est bien l’autre :)En clair, sur .10 vérifie que la MAC que tu as pour .33 est bien celle de .33, et pas un méchant qui se fait passer pour elle, et inversement.Vire toute règle de firewall/iptables/etc.. sur .33.Encore une fois, les paquets entre .10 et .33 ne passent normalement pas par le Cisco, sauf config tordue.Tu peux aussi mettre une ACL input sur l’interface LAN du Cisco, juste pour matcher les paquets venant de .33 vers .10 (tu les acceptes, c’est juste pour voir si le compteur s’incrémente). T’es sûr qu’il y a pas une subtilité dans la conf ? Le 20 juil. 2016 à 11:07, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : >ok donc quand tu as les règles, tu ne peux pas atteindre 172.16.1.33 depuis >172.16.1.10 ?Je ne peux pas atteindre le port 80, le port 22 va marcher car >non présent dans une règle ip nat >.10 et .33 ont le Cisco comme route par défaut ?Oui >Tu ping .33 depuis .10 quand les 2 règles sont là ou même pas ?Oui le ping >passe avec les règles ou meme sans >Si non, je te recommande de revoir toute la configuration (netmask, proxy-arp, >….) car c’est juste pas possible.Le netmask est conforme, le proxy-arp est off J'ai du mal à voir ou ca peu poser problème, un Cisco avec une configuration archi simple... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
Y a des trucs de base à vérifier: sur chaque machine, vérifie que l’adresse MAC qu’elle a pour l’autre est bien l’autre :) En clair, sur .10 vérifie que la MAC que tu as pour .33 est bien celle de .33, et pas un méchant qui se fait passer pour elle, et inversement. Vire toute règle de firewall/iptables/etc.. sur .33. Encore une fois, les paquets entre .10 et .33 ne passent normalement pas par le Cisco, sauf config tordue. Tu peux aussi mettre une ACL input sur l’interface LAN du Cisco, juste pour matcher les paquets venant de .33 vers .10 (tu les acceptes, c’est juste pour voir si le compteur s’incrémente). T’es sûr qu’il y a pas une subtilité dans la conf ? > Le 20 juil. 2016 à 11:07, Antoine Duranta écrit : > > >ok donc quand tu as les règles, tu ne peux pas atteindre 172.16.1.33 depuis > >172.16.1.10 ? > Je ne peux pas atteindre le port 80, le port 22 va marcher car non présent > dans une règle ip nat > > >.10 et .33 ont le Cisco comme route par défaut ? > Oui > > >Tu ping .33 depuis .10 quand les 2 règles sont là ou même pas ? > Oui le ping passe avec les règles ou meme sans > > >Si non, je te recommande de revoir toute la configuration (netmask, > >proxy-arp, ….) car c’est juste pas possible. > Le netmask est conforme, le proxy-arp est off > > J'ai du mal à voir ou ca peu poser problème, un Cisco avec une configuration > archi simple... > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
Salut alarig, Le TCP est suffisant comme tu le précise, mais même dans mon cas cela ne change pas mon problème d'accès depuis le lan De : Alarig Le Lay <ala...@swordarmor.fr> À : frnog@frnog.org Envoyé le : Mercredi 20 juillet 2016 11h06 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside On Wed Jul 20 08:28:00 2016, Antoine Durant wrote: > Bonjour, > J’ai un phénomène que je trouve un peu particulier lorsque j’utilise une > règle ip nat inside. > J’ai ajouté les règles suivantes pour que mon serveur web soit accessible > depuis l’extérieur via IP wan : > ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 extendable > ip nat inside source static udp 172.16.1.33 80 X.Y.Z.1 80 extendable Salut, Pourquoi est-ce que tu rediriges aussi les 80 UDP alors que HTTP marche sur TCP ? -- alarig --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
>ok donc quand tu as les règles, tu ne peux pas atteindre 172.16.1.33 depuis >172.16.1.10 ?Je ne peux pas atteindre le port 80, le port 22 va marcher car >non présent dans une règle ip nat >.10 et .33 ont le Cisco comme route par défaut ?Oui >Tu ping .33 depuis .10 quand les 2 règles sont là ou même pas ?Oui le ping >passe avec les règles ou meme sans >Si non, je te recommande de revoir toute la configuration (netmask, proxy-arp, >….) car c’est juste pas possible.Le netmask est conforme, le proxy-arp est off J'ai du mal à voir ou ca peu poser problème, un Cisco avec une configuration archi simple... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
On Wed Jul 20 08:28:00 2016, Antoine Durant wrote: > Bonjour, > J’ai un phénomène que je trouve un peu particulier lorsque j’utilise une > règle ip nat inside. > J’ai ajouté les règles suivantes pour que mon serveur web soit accessible > depuis l’extérieur via IP wan : > ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 extendable > ip nat inside source static udp 172.16.1.33 80 X.Y.Z.1 80 extendable Salut, Pourquoi est-ce que tu rediriges aussi les 80 UDP alors que HTTP marche sur TCP ? -- alarig signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
ok donc quand tu as les règles, tu ne peux pas atteindre 172.16.1.33 depuis 172.16.1.10 ? Amusant compte tenu du fait que les paquets entre .10 et .33 ne passent pas par le routeur, sauf si tu t’es trompé quelque part. .10 et .33 ont le Cisco comme route par défaut ? Tu ping .33 depuis .10 quand les 2 règles sont là ou même pas ? Si non, je te recommande de revoir toute la configuration (netmask, proxy-arp, ….) car c’est juste pas possible. > Le 20 juil. 2016 à 10:50, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > Heu non David. > > J'ai activé ces 2 règles pour que le service web soit joignable depuis > l'exterieur, c'est OK ! > Mais quand j'ai ces 2 règles, depuis le lan je ne peux pas rentrer sur l'ip > lan 172.16.1.33 du service web ca mouline dans le vide... > > Quand j'ai pas ces 2 règles, depuis le lan on accède au service web mais pas > depuis le wan (normal) :) > > > De : David Ponzone <david.ponz...@gmail.com> > À : Antoine Durant <antoine.duran...@yahoo.fr> > Cc : Frnog-tech <frnog-t...@frnog.org> > Envoyé le : Mercredi 20 juillet 2016 10h42 > Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside > > Tu veux dire que sans ces 2 règles, tu peux depuis 172.16.1.10 accéder à > X.Y.Z.1:80 ? > Alors là, magie! > > > > Le 20 juil. 2016 à 10:28, Antoine Durant <antoine.duran...@yahoo.fr > > <mailto:antoine.duran...@yahoo.fr>> a écrit : > > > > Bonjour, > > J’ai un phénomène que je trouve un peu particulier lorsque j’utilise une > > règle ip nat inside. > > J’ai ajouté les règles suivantes pour que mon serveur web soit accessible > > depuis l’extérieur via IP wan : > > ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 extendable > > ip nat inside source static udp 172.16.1.33 80 X.Y.Z.1 80 extendable > > Depuis l'extérieur ça fonctionne très bien (X.Y.Z.1:80) ! Si j’essaye de > > joindre le serveur web depuis le lan (172.16.1.10 mon pc par exemple) ça > > mouline et je n’y accède pas. > > Si j’enlève les règles du dessus ça fonctionne depuis le lan. > > > > Est-ce que mes règles sont mal construites ? > > > > Merci pour le coup de pouce ;) > > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ <http://www.frnog.org/> > > > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
Heu non David. J'ai activé ces 2 règles pour que le service web soit joignable depuis l'exterieur, c'est OK ! Mais quand j'ai ces 2 règles, depuis le lan je ne peux pas rentrer sur l'ip lan 172.16.1.33 du service web ca mouline dans le vide... Quand j'ai pas ces 2 règles, depuis le lan on accède au service web mais pas depuis le wan (normal) :) De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Frnog-tech <frnog-t...@frnog.org> Envoyé le : Mercredi 20 juillet 2016 10h42 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside Tu veux dire que sans ces 2 règles, tu peux depuis 172.16.1.10 accéder à X.Y.Z.1:80 ? Alors là, magie! > Le 20 juil. 2016 à 10:28, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > Bonjour, > J’ai un phénomène que je trouve un peu particulier lorsque j’utilise une > règle ip nat inside. > J’ai ajouté les règles suivantes pour que mon serveur web soit accessible > depuis l’extérieur via IP wan : > ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 extendable > ip nat inside source static udp 172.16.1.33 80 X.Y.Z.1 80 extendable > Depuis l'extérieur ça fonctionne très bien (X.Y.Z.1:80) ! Si j’essaye de > joindre le serveur web depuis le lan (172.16.1.10 mon pc par exemple) ça > mouline et je n’y accède pas. > Si j’enlève les règles du dessus ça fonctionne depuis le lan. > > Est-ce que mes règles sont mal construites ? > > Merci pour le coup de pouce ;) > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
Tu veux dire que sans ces 2 règles, tu peux depuis 172.16.1.10 accéder à X.Y.Z.1:80 ? Alors là, magie! > Le 20 juil. 2016 à 10:28, Antoine Duranta écrit : > > Bonjour, > J’ai un phénomène que je trouve un peu particulier lorsque j’utilise une > règle ip nat inside. > J’ai ajouté les règles suivantes pour que mon serveur web soit accessible > depuis l’extérieur via IP wan : > ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 extendable > ip nat inside source static udp 172.16.1.33 80 X.Y.Z.1 80 extendable > Depuis l'extérieur ça fonctionne très bien (X.Y.Z.1:80) ! Si j’essaye de > joindre le serveur web depuis le lan (172.16.1.10 mon pc par exemple) ça > mouline et je n’y accède pas. > Si j’enlève les règles du dessus ça fonctionne depuis le lan. > > Est-ce que mes règles sont mal construites ? > > Merci pour le coup de pouce ;) > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/