Acces externe serveur derrière box et routeur

[Résolu/Fermé]
Signaler
-
 gatsu -
Bonjour,
Je désire accéder à une ip + port local depuis internet (Exemple : 192.168.1.40:888) en passant par une freebox et un routeur ZYWALL USG 200.

Internet---Freebox (réseau 192.168.2.0/24)--ZYWALL--(réseau 192.168.1.0/24)--PC


J'ai créé une redirection de port de la freebox au routeur

port externe 888
protocole any
ip destination 192.168.2.10 (zywall)
port destination 888


Sur le zywall usg 200 j'ai créé une redirection NAT
entrée : 192.168.2.10
ip original : any
ip mappé : 192.168.1.40
port source & port mappé : 888


Et j'ai créé une règle de parefeu mais même si je desactive le pare-feu je n'ai pas acces au serveur.

Je me dis que c'est la cascade de NAT qui ne doit pas fonctionner, dans ce cas comment puis-je faire, sachant que depuis la livebox je ne peux natter que des ip du même réseau.

Si vous avez des suggestions, je vous en serai reconnaissant.

Merci

Cordialement

1 réponse

Messages postés
3023
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
27 juillet 2021
419
Hello,

1. Est ce que le NAT est activé sur le Zywall ?

2. Comment sont réalisés les tests de connexion ?

3. Attention au port source dans la seconde redirection, le port source est inutile. (sauf cas particulier). On n'agit que sur le port de destination.

Using a registry "compactor" on top of a registry "cleaner" would be equivalent to rinsing your throat with a swig of Jack Daniels after swallowing a pint of snake oil....
Je viens de vérifier le port source, le routeur zywall m'impose de l'indiquer.
Je ne comprend pas pourquoi il peut être inutile car on a souvent plusieurs ports à rediriger.

En tout les cas, lorsque j'écris l'ip publique + port 888 en local je tombe bien sur l'ip privé + 888 donc la redirection se fait bien grâce au NAT.

C'est depuis Internet que quelque chose cloche.
C'est possible de rediriger un port 888 sur l'adresse ip d'un port routeur en 888, et que ce même routeur redirige tout trafic en 888 sur une ip en 888, il m'avait semblé lire que les NAT en cascade posait conflit, là ça à l'air le cas...
Messages postés
3023
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
27 juillet 2021
419
Ba il faut voir comment le Zywall utilise la terminologie "port source"...

Le port source est le port du client qui initie la connexion vers le serveur, il est généralement supérieur à 1024, voire supérieur à 20000 (qu'on appelle les ephemeral ports) ; on ne l'utilise pas dans une règle de NAT (c'est du PAT à proprement parlé).

Sous Linux, pour ce type de besoin, on ferait une règle avec du DNAT : soit Destination NAT, on ne matche que sur le port de destination.

Si on ajoute une règle avec un port source , les deux paramètres doivent matcher : port source ET port destination, comme le port source est généralement supérieur à 1024 et dynamique, on a peu de chances, voire pas du tout, d'avoir un trafic qui y correspond.

Les NATs en cascade ne posent pas de conflits plus que ça, il y a des cas particuliers avec certaines applications qui font appel à plusieurs ports ou que le port source est aussi utilisé (cas des tunnels IPSEC notamment) , mais c'est plutôt rare et spécifique.

Depuis Internet comment le test est il fait ?
Il est fort probable qu'un firewall filtre en sortie le port destination 888 coté client.
Est ce que le port 888 a t il été choisi au hasard ?
Est ce pour une application particulière qui nécessite obligatoirement ce port ?
Re,

Le test était fait depuis un serveur dedié linux avec une commande telnet

Maintenant toute fonctionne bien avec les 2 NAT.

Cela à commencé à fonctionner après avoir testé de créer une route sur le zywall pour tenter de faire passer le trafic de la freebox lié à un service directement sur le serveur sans pour autant créer de NAT et ça a fonctionné. J'ai voulu vérifié que cette route était la solution en l'enlevant et je m'aperçois que maintenant cela fonctionne sans cette route.


En fait j'ai 2 box dont une orange business, et je leur faisait confiance pour ouvrir correctement les ports. Ensuite je me suis mis à douter car rien n'allait, j'ai décidé de passer par la freebox car je pouvais faire la redirection moi même.

Celle ci avait besoin d 'être redémarré pour voir les changements opérés.

En conclusion je pense que ce qui a fonctionné c'est de faire un second redémarrage de la freebox, sans changement de redirection de port.

Beaucoup de test pour rien au final, mais bon merci de m'avoir aider, j'acquiesce également que 2 NAT en cascade fonctionne bien.
Messages postés
3023
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
27 juillet 2021
419
Les tests valent toujours le coup, ça permet de vérifier et parfois de trouver "un truc" en plus ;)
Attention avec telnet et les tests de connexion, certaines appli ne donnent pas de retours visibles dans Telnet, juste un retour chariot et un shell noir ... on ne sait pas si cela marche ou non.
Il vaut mieux utiliser un scanner de port (ou testeur disons) lorsque l'on est sur du TCP; ça sera beaucoup plus fiable. On lance le scanner uniquement sur le port voulu et de manière non agressive bien entendu ;)

(UDP est à part, car mode non connecté; on envoie des requêtes propres à l'application et on regarde le résultat ; si pas de résultat, souvent = pas de trafic).

Content de voir que le reboot ait résolu l'affaire !
Oui les tests servent toujours, mais ils sont ennuyeux lorsqu'on tourne en rond à cause d'un autre facteur.
Merci pour le conseil pour telnet. j'ai utilisé également des scanners de ports publiques.
Merci en tout cas.