Le 03/06/2021 à 11:54, David Ponzone a écrit :
Le 3 juin 2021 à 11:47, Laurent CARON <lca...@unix-scripts.info> a écrit :
Bonjour,
J'ai une freebox pro qui devait me servir à monter des tunnels VPN IPSEC (entre
autres).
La solution la plus simple (la box ne permettant pas de récupérer l'IP publique
sur mon routeur) est de mettre mon routeur en DMZ (comme sur une livebox par
exple).
Malheureusement la redirection de ports sur la freebox pro ne semble pas
fonctionner (confirmé par wireshark) comme attendu, celle-ci envoie son @IP
comme étant la source.
11:44:26.290398 IP 192.168.10.1.22 > 192.168.10.254.29573: Flags [P.], seq
565688:565900, ack 289, win 501, options [nop,nop,TS val 3978138866 ecr
347808068], length 212
11:44:26.292222 IP 192.168.10.254.29573 > 192.168.10.1.22: Flags [.], ack
562932, win 3818, options [nop,nop,TS val 347808088 ecr 3978138849], length 0
alors que la connexion est initiée depuis une @IP publique côté WAN.
192.168.10.1 c’est ta box donc ? Et tu as tenté d’accéder au port 29573 de l’IP
publique ?
Je trouve bizarre qu’elle fasse du srcnat sur le traffic entrant, en prenant 22
comme port source…
Bonjour David,
192.168.10.1 c'est le PC qui fait tourner wireshark (IP renseignée dans
la console free comme "DMZ").
192.168.10.254 c'est la BOX.
Plus parlant et cette fois ci les échanges en entier (connexion sur le
port 23) depuis une @ip externe à la freebox pro à destination de son IP
publique:
root@grml ~ # tcpdump -ni eth0 port 23
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
12:11:50.180184 IP 192.168.10.254.28780 > 192.168.10.1.23: Flags [S],
seq 1882626105, win 65535, options [mss 1460,sackOK,TS val 349451991 ecr
0,nop,wscale 9], length 0
12:11:50.180265 IP 192.168.10.1.23 > 192.168.10.254.28780: Flags [S.],
seq 1919515353, ack 1882626106, win 65160, options [mss 1460,sackOK,TS
val 3979782756 ecr 349451991,nop,wscale 7], length 0
12:11:50.184778 IP 192.168.10.254.28780 > 192.168.10.1.23: Flags [.],
ack 1, win 128, options [nop,nop,TS val 349451997 ecr 3979782756], length 0
12:11:52.816443 IP 192.168.10.254.28780 > 192.168.10.1.23: Flags [P.],
seq 1:9, ack 1, win 128, options [nop,nop,TS val 349454627 ecr
3979782756], length 8
12:11:52.816516 IP 192.168.10.1.23 > 192.168.10.254.28780: Flags [.],
ack 9, win 509, options [nop,nop,TS val 3979785392 ecr 349454627], length 0
12:11:53.736165 IP 192.168.10.254.28780 > 192.168.10.1.23: Flags [P.],
seq 9:12, ack 1, win 128, options [nop,nop,TS val 349455547 ecr
3979785392], length 3
12:11:53.736224 IP 192.168.10.1.23 > 192.168.10.254.28780: Flags [.],
ack 12, win 509, options [nop,nop,TS val 3979786312 ecr 349455547], length 0
L'IP publique source de la connexion est bien remplacée par l'IP privée
de la freebox :(
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
