Heps les amis, maintenant que j'ai mon nouveau pc, premier truc que j'essaye de faire c'est de jouer avec mes collègues sur Rainbow Six Siege. Petit soucis, apparement mon NAT est trop restrictif, et je suis donc inviter a activer l'Upnp et ouvrir quelques port dans mon routeur. Sans ca, impossible de jouer en multi. Mais la ou est le gros problème c'est que je suis en coloc (étudiant) et j'ai absolument aucun accès au routeur (j'ai déja bien essayé par le passé d'y accéder, pour bloquer mes colloc et leur put*** d'utorrent 😛). J'ai cru lire sur internet qu'une des sollutions qu'il me restait c'etait d'utiliser un serveur vpn et de faire du port forwarding. La ou j'ai du bol, c'est que j'ai justement un dédié et un serveur VPN ! Mais bon voila j'essaye depuis 5h et je m'en sors pas dans l'iptables ☹. Voila les ports que je dois ouvrir : - TCP : 80, 443, 14000, 14008, 14020, 14021, 14022, 14023,14024 - UDP : 3074, 6015 Et voila ma config openvpn (serveur) port 1194 proto udp dev tun sndbuf 0 rcvbuf 0 ca ca.crt cert server.crt key server.key dh dh.pem topology subnet server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 213.186.33.99" push "dhcp-option DNS 127.0.0.1" keepalive 10 120 comp-lzo persist-key persist-tun status openvpn-status.log verb 3 crl-verify /etc/openvpn/easy-rsa/pki/crl.pem Je serais éternellement reconnaissant à celui qui viendrait à mon secours 😛 Edit : Peut etre utile de préciser que j'utilse le client openvpn GUI Edit 2 : je viens de tester avec AirVpn (1€ pour 3jour) qui fournit juste une config openvpn, et ca marche comme sur des roulettes donc si j'arrivais a configurer ca ca serait vraiment le paradis

Alors de base le VPN route l'ensemble des ports sur un réseau et comme tu as : push "redirect-gateway def1 bypass-dhcp" il redirige tous les réseaux dans le vpn, donc à priori rien à faire

Mince alors pourquoi ca fonctionne pas J'ai toujours un NAT restrictif dans le jeu Je devrais pas ouvrir les ports sur mon dédié ?

bah à voir ta configuration, si effectivement tu as un parefeu qui bloque les ports oui il faut les ouvrir

Voila mes iptables PS:Tout est open et c'est pas secure, mais m'en fous ! niveau pare feu windows, j'en ai pas 😛. Quand je teste avec cet outil http://www.networkappers.com/tools/open-port-checker Tous les ports que j'ai essayé d'ouvrir sont fermé apparement :'(

alors pour iptables je peu pas trop t'aider je maîtrise pas du coup, mais tu peu essayer en sauvegardant ta config iptable et tu la vire voir si ca fonctionne et du coup tu sauras que ca viens de la ou non et après il faudra voir avec les experts 😛

Pense pas que ca serve a quelque chose comme tout est en accept 😛 ! Donc a priori ca viendrait pas de la... Merci de ton aide en tout cas ! En attendant les experts alors !

alors si parce que à priori des le moment ou tu as une réglés iptables, tout ce qui n'est pas clairement defini est bloqué.

Mais ca va pas foutre en l'air mon vpn si je flush mon iptables 😛 ? Edit : Bon je viens d'executer ca, et les ports sont tjrs bloqués... #!/bin/sh echo "Stopping firewall and allowing everyone..." iptables=/sbin/iptables $iptables -F $iptables -X $iptables -t nat -F $iptables -t nat -X $iptables -t mangle -F $iptables -t mangle -X $iptables -P INPUT ACCEPT $iptables -P FORWARD ACCEPT $iptables -P OUTPUT ACCEPT

aucun soucis, à moins que tu sois sur un VPS a priori ca fonctionne, perso j'ai mon vpn, et j'ai jamais touché au iptables EDIT : check tes MP

Peut être utile de précisé aussi que j'ai utlisé le script d'instal d'ex_Rat. Je sais que par default il installe fail2ban (que j'ai viré depuis). Je sais pas si y'a d'autre truc qui ferait que mes ports sois fermé... Car la je vois pas du tout...

Port forwarding : Page 3

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Port forwarding

xavier

Salut .
Si tu utilise cette ligne

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source 149.XX.XXX.X

Autant utilisé redirect-gateway def1...qui fait la même chose mais sans le script juste openvpn.
A confirmé par @Aerya ce qu'il en pense 😉

Aerya

xavier C'est ce que je fais sur les miens et RAS. Faudrait des logs pour savoir où ça coince (OpenVPN, IPtables...)

Kaoz52

Donc ça ne change rien ce que j'ai fait...
Je suis en train de désespérer aussi...

xavier

Non pas pour rien...
pour moi la dernière ligne faut enlever.et rajouté le foword du port ..

xavier

Oui @Aerya ça doit fonctionner mais pour tout le réseau ..pas juste le port 51413??

Aerya

Si, si c'est le port d'entrée sur serveur VPN (j'ai pas relui tout le thread), là c'est bien qu'un routage pour le trafic du VPN uniquement.

Kaoz52

Je vais mettre mes règles Iptables mais comme je fais plein de test pour que ça fonctionne, j'ai peur qu'@Aerya fasse une attaque...
La j'en suis vraiment à une phase critique alors j'ai tenté d'autres scripts, ce qui explique le bordel (oui je sais que je cherche des excuses...)

sudo /sbin/iptables -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:51413
ACCEPT     udp  --  anywhere             anywhere             udp dpt:51413
ACCEPT     all  --  anywhere             anywhere            

ACCEPT     all  --  anywhere             anywhere            

ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:943
ACCEPT     icmp --  anywhere             anywhere            

ACCEPT     all  --  anywhere             anywhere            

ACCEPT     all  --  anywhere             anywhere            

ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:16642
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:9050
ACCEPT     udp  --  anywhere             anywhere             udp dpt:5090

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     all  --  10.8.0.0/24          anywhere            

ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     all  --  10.8.0.0/24          anywhere            

ACCEPT     tcp  --  anywhere             anywhere             tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5
ACCEPT     udp  --  anywhere             anywhere             limit: avg 1/sec burst 5
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request limit: avg 1/sec burst 5
ACCEPT     tcp  --  anywhere             anywhere             tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
ACCEPT     tcp  --  anywhere             172.XX.XXX.X         state NEW,RELATED,ESTABLISHED tcp dpt:51413
ACCEPT     udp  --  anywhere             172.XX.XXX.X         state NEW,RELATED,ESTABLISHED udp dpt:51413
ACCEPT     tcp  --  anywhere             10.8.0.5             multiport dports 51413,http,https,9099,9097,943,openvpn
ACCEPT     tcp  --  anywhere             XXX.XXX.XX.92.rev.sfr.net  multiport dports 51413,http,https,9099,9097,943,openvpn
ACCEPT     tcp  --  anywhere             192.168.0.18         multiport dports 51413,http,https,9099,9097,943,openvpn
ACCEPT     tcp  --  anywhere             vpsXXXXX.vps.ovh.ca  multiport dports 51413,http,https,9099,9097,943,openvpn
ACCEPT     tcp  --  anywhere             172.XX.XXX.X         multiport dports 51413,http,https,9099,9097,943,openvpn
ACCEPT     udp  --  anywhere             10.8.0.5             multiport dports 51413,http,https,9099,9097,943,openvpn
ACCEPT     udp  --  anywhere             XXX.XXX.XX.92.rev.sfr.net  multiport dports 51413,http,https,9099,9097,943,openvpn
ACCEPT     udp  --  anywhere             192.168.0.18         multiport dports 51413,http,https,9099,9097,943,openvpn
ACCEPT     udp  --  anywhere             vpsXXXXX.vps.ovh.ca  multiport dports 51413,http,https,9099,9097,943,openvpn
ACCEPT     udp  --  anywhere             172.XX.XXX.X         multiport dports 51413,http,https,9099,9097,943,openvpn

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Pour les logs, voilà ce que j'ai trouvé, j'ai mis ça dans un Pastebin pour plus de clarté :

J'ai masqué deux IP,
celle de ma connection maison (donc celle du NAS) : 92.XX.XXX.XXX
et celle du VPS sur lequel est installé OpenVPN : 149.XX.XXX.X

Je n'ai pas masqué les autres IP car je ne sais pas à quoi elles correspondent...

https://paste.mondedie.fr/?f981a4f1b4734532#2Iy2MOIgBTqKDiky1sKClCmON8CMUxQvEL3fmK2sVY0=

Je vous remercie de votre aide !

xavier

Ce soir si j'ai un peu de temps je te ferais un petit tuto.
Au pire envoi moi un mail a xavie@ratxabox.ovh..

Kaoz52

@xavier,
Alors là, tu serait vraiment au top ! Mais vraiment si tu as le temps, je comprendrai que tu autre chose à faire que de t'occuper de ça...
Je vais t'envoyer un mail de ce pas

xavier

Kaoz52
C'est bon je t'ai répondu

Kaoz52

Alors en ce qui me concerne :

Problème : RESOLU

Un grand merci @xavier qui a utilisé son temps (et sa patience) pour m'aider et résoudre mon problème !

Le truc c'est que visiblement OVH me bloque le port 51413, ce qui fait que même avec le forwarding, ça ne fonctionnait pas. Le test a été fait avec le port 55000 et là miracle, le port et bien reconnu comme ouvert !

Alors pour les règles iptables, il faut se rendre sur le serveur qui héberge OpenVPN et faire (pour le port 55000) :

/sbin/iptables -A FORWARD -i eth0 -p tcp --dport 55000 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 55000 -j DNAT --to 10.8.0.2:55000

Et voilà !

Un grand merci à @xavier donc mais aussi à @Aerya pour ses explications. Je commence tout juste à comprendre le début d'iptable, il faut vraiment que je relise à font le tuto !

Vu que ce n'est pas mon topic, je ne met pas sur RESOLU.

lokiii

Hello,
Pour infos les gens, je vous déconseille fortement de faire du blocage de TOUS les ports en dehors de ceux que vous utilisez par exemple chez ovh / kimsufi :
J'ai un collègue qui s'est fait péter sa lame 3 fois car ovh ne pouvait plus lancer ses routines de check et donc foutait sa lame en rescue...
Je dis ça je dis rien, c'est juste un conseil 🙂

Aerya

En effet si on bloque le monitoring il faut bien entendu le désactiver sur le panel OVH sinon ils ont des alertes.
C'est... logique...

lokiii

Ouai bah vu les questions actuellement posées, je pense pas que ce soit de trop de le dire 🙂

xavier

Salut..
Mais on n'a bloqué aucun port..😉
On et passé sur le port 55000 car le 51413 et bloqué par défaut chez ovh. mais quand on basculé sur mon vpn tout était ok..je suis cher online...

« Page précédente