[OpenVPN] déconnexion étrange

[loopx]

Question: j'ai 2 réseaux (A et B). A=10.0.0.0/24, B=10.0.1.0/24. Il y a du PAT pour sortir de A vers B donc, on peut pas remonter facilement de B vers A. Dans B, il y a le un groupe de travail windows auquel j'aimerais accéder (avoir une liste de pc via smb4k par exemple...). Actuellement (on mode routage... pat...), impossible d'y accéder (le scan fonctionne pas, parce que je suis sur le réseau A et non B.

Je pense donc à un truc: si je cré un pont entre A et B (sur une autre interface, ou alors je retire le PAT et je garde juste le bridge). En gros, j'espère pouvoir faire une recherche samba grace à ce pont parce que j'aurais une interface directement connecté sur le réseau B ... (fin, je sais pas trop si c'est réaliste, je m'y perd facilement avec les pont )


Donc, je suis au point A, ou il y a le réseau A. Je crée un pont pour accéder à B et pour espérer que smb4k arrivera à lister tout les ordi de B (niveau samba) pour que je puisse m'y cononecté

Alors, je suis déjà fou ou presque ?
_________________
Mon MediaWiki perso : http://pix-mania.dyndns.org

[sd44]

du pat ? c'est quoi ca ? du NAT plutot ? perso avec openvpn je suis en mode routed (ca tu le sais deja ) et je n'est pas de probleme pour voir les reseaux d'un coté ou de l'autre

juste une remarque, prefere autoscan-network a smb4k car le mode de fonctionnement n'est pas basé uniquement sur ping (mais plutot arp) et en plus tu detecte mieux les machines non windows avec une foule d'infos en plus
pour info : http://autoscan-network.com et je suis le mainteneur gentoo de ce projet, mais j'ai pas encore fini de tester l'ebuild.

d'autre part le mode bridge sera plus adapté a ce que tu veux faire il me semble.
_________________
Pourquoi faire simple quand on peut faire compliqué ?

[truc]

@ sd44:
Le PAT cest très certainement ce que tu appelles par abus de langage le NAT, Port address Translation, avec les ports quoi... ce que tu fais généralement sur ton LAN perso pour sortir avec ta seule IP publique

@loopx, un bridge pourrait t'aider, mais tu utiliseras alors typiquement openvpn avec une interface TAP, en mode bridge
Maintenant je ne sais pas si le bridge est le seul moyen pour pouvoir lister des partages? ça serait etonnant (comprendre, ça serait étonnant que les partages samba ne se voient que par des broadcast de niveau 2 ? )
_________________
The End of the Internet!

[loopx]

Ben en fait, j'ai accès au samba, le samba fonctionne ... Le seul truc qui fonctionne pas, c'est que je n'arrive pas à lister les partages samba sur un réseau (liste des pc d'un groupe de travail quoi ...). C'est betement pour ca que je pense au bridge. De plus, si on ne peut pas scanner les pc samba, on ne peut pas effectuer de "recherche" sur ces partages...


Y aurait'il moyen en utiliser un bon vieux windows ? Il faut savoir que c'est mon serveur qui gère le VPN, et que tout packet en direction du net traverse le serveur (routage donc ...). Le truc, c'est que le windows serait directement connecté au réseau A et non B. Il faudrait qu'il puisse "voir" les machines de manière automatique (sans scan de port ou quoi de manière manuel) sinon, l'intérret du samba tombe à l'eau (en partie).


@Truc:
Pour le PAT, c'est effectivement du NAT ... mais on nous à appris à l'appelé PAT à l'école (ou pour pouvoir passer du réseau A vers le réseau B, on parle de PAT statique ...). Il y a 2 ans, grace à gentoo, j'ai meme réussis à appelé cela du SNAT (NAT ou on change l'adresse/port source)... Bon, va savoir ce qu'il faut utiliser, moi j'y pige rien, de plus ca dépend ptet du pays (belgique/france)... Rah les langues
_________________
Mon MediaWiki perso : http://pix-mania.dyndns.org

[truc]

bah un moyen pseudo-mémotechnique pour distinguer les deux, c'est que le SNAT à lieu après le routage(chaine POSTROUTING), et le DNAT avant le routage (PREROUTING)

Sinon, je fais la distinction entre du NAT statique et du NAT dynamique, j'vois bien ce qu'on appelle du PAT,(c'est le NAT de monsieur tout le monde en gros), mais alors du PAT statique, j'dois avouer que là je sèche?


BOn, j'viens de lancer tcpdump et un smbtree, et... bah ça semble effectivement êtres des broadcast arp qui sont balancés, donc tu peux faire joujou avec le mode bridge d'openvpn, par contre c'est tout de suite plus chiant (à mon avis) car il faut que vous soyez sur la même plage réseau ensuite etc..., bref, galère quoi

Heureusement, que tout est expliqué sur le HOWTO 2x sur http://www.openvpn.net

Après, j'n'ai pas ton architecture en tête donc ça peut même être plus lourd que prévu:P
_________________
The End of the Internet!

[sd44]

j'ai du mal a cerner tes probleme loopx, moi ca me parait pourtant simple :

2 reseaux + un pont + du routage

en mode routed j'arrive parfaitement a ouvrir des partage etc ... d'un reseau a l'autre.

de plus :

NAT : network adresse translation
SNAT : Le Source NAT correspond à la modification de l'adresse source dans un paquet translaté
DNAT : Le Destination NAT correspond à la modification de l'adresse destination dans un paquet translaté

le NAT c'est avec iptables (et la table nat ) pour rerouter des paquets

quand au pat il semble que je l'utilise sans le savoir

# redirection pour squid (PAT)

[truc]

son problème n'est pas vraiment d'afficher les partages d'une hôte en particulier, mais de lister les partages de tout le monde (enfin si j'ai bien compris c'est ça que tu veux loopx c'est ça?)
_________________
The End of the Internet!

[loopx]

Merci pour vos réponse

Alors, je m'explique ...

Le PAT = le nat de monsieur tout le monde ... Si je me trompe pas, le packet du client A du resaux X arrive sur le serveur ou il y a du PAT, l'adresse source ET le port source sont mémorisé pour pouvoir renvoyer la réponse au client A, parce que les pc derrière le serveur ne connaisse pas l'adresse de client A ... (ex: réseau privé/public[= internet]). Le PAT statique, c'est le truc ou tu redirige un port du serveur/routeur vers une autre machine du réseau à un port (différent ou égal); c'est donc pour le PAT, un moyen de remonter dans le réseau privé (lol, imaginer un barrage et le truc à saumon ^^).


Alors, comme le dis le poste juste au dessus, c'est bien un problème de listing des partages d'un réseau et non un listing des partage d'un hote; comme dis plus haut, j'accède sans problème aux partage d'un autre réseau, mais impossible de connaitre toutes les machines présentes (ainsi que leur groupe de travail) et cela, certainement parce que je ne suis pas sur le même réseau.


Je vais expliquer un peu mon architecture:

réseau:
- A => le réseau chez moi (entre serveur et client)
- B => le réseau chez moi (entre serveur et routeur)
- C => le réseau chez moi et chez les participants du VPN (entre serveur et client OpenVPN)
- X => le réseau distant, rempli de partage samba

C'est 3 premier réseaux sont en fait basé sur une classe C, ce sont des sous réseaux qui fonctionne parfaitement ( /26 ).
X est un réseau différent (class C).

en gros, voilà la connex VPN:

SITE_DISTANT[ serveur1(client OpenVPN) => des_routeurs_fous(ou j'ai pas accès ^^) ] => INTERNET => MAISON[ routeur => serveur(serveur OpenVPN) ]

des_routeurs_fous : ce sont des routeurs entre le réseau X et internet; ils sont cause de problème de connexion via UDP et bien d'autre...

Donc, le SITE_DISTANT et le site MAISON ont tout deux 1 serveur permettant de router les packets. Par router j'entend: ip_forward=1, 1 NAT (SNAT, PAT...) pour tout ce qui sort sur le réseau X). Les routes sont gérée par un protocole de routage dynamique (OSPF via quagga ). Sur mon serveur à la maison, j'ai donc 3 réseaux directement connecté et 1 réseau (X) distant. Tout les pc contacté sur le réseau X ne savent pas que c'est un pc provenant du réseau A qui fait la connexion, il ne voit qu'une connexion provenant du serveur situé sur le SITE_DISTANT (ainsi, je peux dire qu'aucun firewall ou problème de route manquante ne viens me pourrir la vie). J'ai aussi accès à d'autre réseau distant du réseau X et j'y ai accès, comme tout pc sur le réseau X (vu qu'il y a du PAT).

En gros, mon VPN est en TCP et dans le VPN, le protocole UDP peut circuler
Tous est accessible, ormi le fait que la "signalisation des partages samba" du réseau X n'atteind jamais le réseau A.


Ahhh, j'oubliais:

MAISON:

Client A => AP ( bridge linksys) => [réseau A] SERVEUR [réseau B] => routeur => INTERNET
Client B
Client C

Les clients A, B et C sont connecté sur le réseau A dont la passerelle (gateway) n 'est autre que SERVEUR. Une fois la connexion VPN établie, le réseau C est accessible par tout client (A, B, C) puisque leur packet traverse le SERVEUR ... une route en plus sera ajoutée par la TAP gérée via OpenVPN ce qui aura pour effet que le packet vers le réseau X ne passe pas directement sur internet mais est encapsulé dans le VPN qui lui, passe sur internet... fin, c'est du VPN quoi.


Vous appeleriez ca comment ? Du routage NATé, du NAT routé ? Ou du routage avec NAT/PAT ???

Alors, meme question, comment arriver à récuperer un listing des partages samba ? Y a pas moyen de rediriger les broadcast arrivant sur le serveur du SITE_DISTANT vers mon serveur et vers mes réseaux ???
_________________
Mon MediaWiki perso : http://pix-mania.dyndns.org

[sd44]

etant donné que tu as deux reseaux different, que le broadcast nécéssaire a win pour voir les autres machines ne passera pas, as tu envisagé de mettre 1 ou 2 serveur wins ? bien sûr il faut configurer les clients.
_________________
Pourquoi faire simple quand on peut faire compliqué ?

[loopx]

Je ne connais pas les serveurs wins, et il m'est impossible de configurer tous les clients du reseau X...


Il n'y a pas un moyen de transmettre le broadcast sur un autre réseau grace à une règle iptables ???

EDIT: il n'y a pas un moyen automatique d'attribuer un server WINS aux clients ??? Tout le réseau est géré par des gentoo
_________________
Mon MediaWiki perso : http://pix-mania.dyndns.org

[sd44]

un broadcast c'est un paquet du style 192.168.1.255 sur un reseau classe c. le fait d'adresser ce paquet a 255 fait que tout les pc du meme sous reseau y reponde, c'est comme un joker, donc l'envoyer sur un autre reseau qui n'ecoute pas cette adresse ne servirait a rien ! d'ou wins, et pour ce dernier c'est tout simple si tes pc sont en dhcp, ajoutes ces lignes dans ton dhcpd.conf :

[loopx]

Mmm, ca devient plus intéressant là


Si les clients peuvent etre configuré automatiquement ...

Pour le serveur WINS, il faut que j'emerge un truc autre que samba ?



Et après, je dois installer un serveur WINS de mon coté et configurer les 2 pours qu'il communique ensemble ?


Et régler mon réseau puis ca pourrais fonctionner ...
_________________
Mon MediaWiki perso : http://pix-mania.dyndns.org

[sd44]

oui samba suffit, et 1 seul serveur wins aussi (et 1 pour la replication si tu veux)

cette ligne dans samba suffit :

[loopx]

Mmm, intéressant


Jvais penser à installer ca, ca m'évitera la modification de la connex vpn pour avoir un pont


Question: est-ce que WINS est toujours d'actualité dans vista ? Histoire de pas apprendre trop de vieille tech
_________________
Mon MediaWiki perso : http://pix-mania.dyndns.org

[sd44]

quand je vois vista, parfois je prefere les "vielles" tech ! ok []
_________________
Pourquoi faire simple quand on peut faire compliqué ?