REDIRECTION DE PORT VPN IPTABLES
Fermébrupala Messages postés 111012 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 14 février 2025 - 11 nov. 2022 à 12:09
2 réponses
Modifié le 8 nov. 2022 à 16:33
Salut,
Pour ton cas, regarde Dnat et transpose au niveau du port
Au fait, pourquoi veux tu faire une translation de port ?
Modifié le 8 nov. 2022 à 16:52
Bonjour,
Cela peut se faire avec une règle NAT qui modifie la destination (DNAT).
Sous Linux, il faut insérer la règle dans la table "nat", dans la chaine "prerouting".
Avec iptables (qui se fait remplacer par nftables) :
iptables -t nat -A PREROUTING -d adresse_ip_publique_serveur -p tcp --dport 9000 -j DNAT --to-destination 192.168.0.2:8291
Il faut faire attention au sens inverse pour les réponses. Par défaut, je ne pense pas que les Mikrotik fonctionnent en "stateful", il faut marquer les paquets entrants et restituer le marquage sur les réponses, afin d'appliquer des règles (policy) de routage et ainsi s'assurer que les réponses soient bien envoyées via le VPN.
Edit:
Il y a une contradiction, peux-tu clarifier ce que tu souhaites ? :
- port 9000 sur le serveur VPN au port 8291 du routeur Mikrotik
- pour que adresse_ip_publique_serveur:8291 etablisse une connexion sur le port avec mon routeur Mikrotik
Modifié le 8 nov. 2022 à 16:52
Salut,
plutôt
--dport 9000 -j DNAT --to-destination 192.168.0.2:8291
non ?
ou lors, un truc comme ça:
iptables -t nat -I PREROUTING -p tcp --dport 9000 -j REDIRECT --to-ports 8291
Parce qu'on ne sait pas vraiment si il y a traduction adresse, ça n'est pas dit dans la question.
Modifié le 8 nov. 2022 à 16:51
Salut, oui en effet, j'ai lu en diagonale. C'est corrigé. Merci ! :)
Edit: Quoi que je ne sais pas trop puisqu'il parle de « adresse_ip_publique_serveur:8291 ».
8 nov. 2022 à 16:53
oui, j'ai édité aussi :-)
8 nov. 2022 à 23:19
Une interface tunnel se créée sur le serveur VPN (ppp0: 192.168.0.1) et sur le client VPN sous Mikrotik( sstp-out: 192.168.0.2), je veux taper l'adresse IP publique du serveur suivi de :9000 dans le logiciel winbox pour qu'il me fasse accéder au mikrotik.....Mon but c'est d'accéder au routeur Mikrotik à travers le serveur VPN depuis n'importe où et depuis n'importe quelle machine sur Internet
8 nov. 2022 à 23:48
Dans ce cas c'est la règle donnée dans ma réponse précédente, à appliquer sur le serveur Ubuntu :
sudo iptables -t nat -A PREROUTING -d adresse_ip_publique_serveur -p tcp --dport 9000 -j DNAT --to-destination 192.168.0.2:8291
Assures-toi que la connexion Winbox soit chiffrée (avec vérification du certificat), pour des raisons assez évidentes : dans le cas où tu y accèdes via ip_publique:9000, la connexion entre ton ordinateur et le serveur Ubuntu ne sera pas chiffrée par le VPN établi entre le serveur Ubuntu et le routeur Mikrotik.
Le mieux encore serait de créer un réseau privé (VPN) pour les administrateurs, par exemple 10.0.0.0/24, et limiter l'accès au réseau des routeurs uniquement depuis 10.0.0.0/24 (table filter).
8 nov. 2022 à 23:11
Pour pouvoir avoir accès au routeur Mikrotik en tapant l'adresse adresse_ip_publique_serveur:9000 dans le logiciel winbox
Modifié le 9 nov. 2022 à 00:08
mais pourquoi adresse ip-publique:9000 et pas adresse ip-publique:8291 ?
11 nov. 2022 à 01:30
La connexion de mon ordinateur windows au serveur vpn ne marche pas, c'est pourquoi je veux faire une translation
11 nov. 2022 à 12:09
Tu crois que ça va fonctionner mieux avec la translation de port ?
Quelqu'un a mis un parefeu ?