Super bizarre. Et si tu ne laisses que la DMZ, sans aucune redirection de port ??
> Le 3 juin 2021 à 12:13, Laurent CARON <lca...@unix-scripts.info> a écrit : > > > Le 03/06/2021 à 11:54, David Ponzone a écrit : >>> Le 3 juin 2021 à 11:47, Laurent CARON <lca...@unix-scripts.info> a écrit : >>> >>> Bonjour, >>> >>> J'ai une freebox pro qui devait me servir à monter des tunnels VPN IPSEC >>> (entre autres). >>> >>> La solution la plus simple (la box ne permettant pas de récupérer l'IP >>> publique sur mon routeur) est de mettre mon routeur en DMZ (comme sur une >>> livebox par exple). >>> >>> Malheureusement la redirection de ports sur la freebox pro ne semble pas >>> fonctionner (confirmé par wireshark) comme attendu, celle-ci envoie son @IP >>> comme étant la source. >>> >>> 11:44:26.290398 IP 192.168.10.1.22 > 192.168.10.254.29573: Flags [P.], seq >>> 565688:565900, ack 289, win 501, options [nop,nop,TS val 3978138866 ecr >>> 347808068], length 212 >>> 11:44:26.292222 IP 192.168.10.254.29573 > 192.168.10.1.22: Flags [.], ack >>> 562932, win 3818, options [nop,nop,TS val 347808088 ecr 3978138849], length >>> 0 >>> >>> alors que la connexion est initiée depuis une @IP publique côté WAN. >> 192.168.10.1 c’est ta box donc ? Et tu as tenté d’accéder au port 29573 de >> l’IP publique ? >> Je trouve bizarre qu’elle fasse du srcnat sur le traffic entrant, en prenant >> 22 comme port source… >> > Bonjour David, > > 192.168.10.1 c'est le PC qui fait tourner wireshark (IP renseignée dans la > console free comme "DMZ"). > > 192.168.10.254 c'est la BOX. > > Plus parlant et cette fois ci les échanges en entier (connexion sur le port > 23) depuis une @ip externe à la freebox pro à destination de son IP publique: > > root@grml ~ # tcpdump -ni eth0 port 23 > tcpdump: verbose output suppressed, use -v or -vv for full protocol decode > listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes > 12:11:50.180184 IP 192.168.10.254.28780 > 192.168.10.1.23: Flags [S], seq > 1882626105, win 65535, options [mss 1460,sackOK,TS val 349451991 ecr > 0,nop,wscale 9], length 0 > 12:11:50.180265 IP 192.168.10.1.23 > 192.168.10.254.28780: Flags [S.], seq > 1919515353, ack 1882626106, win 65160, options [mss 1460,sackOK,TS val > 3979782756 ecr 349451991,nop,wscale 7], length 0 > 12:11:50.184778 IP 192.168.10.254.28780 > 192.168.10.1.23: Flags [.], ack 1, > win 128, options [nop,nop,TS val 349451997 ecr 3979782756], length 0 > 12:11:52.816443 IP 192.168.10.254.28780 > 192.168.10.1.23: Flags [P.], seq > 1:9, ack 1, win 128, options [nop,nop,TS val 349454627 ecr 3979782756], > length 8 > 12:11:52.816516 IP 192.168.10.1.23 > 192.168.10.254.28780: Flags [.], ack 9, > win 509, options [nop,nop,TS val 3979785392 ecr 349454627], length 0 > 12:11:53.736165 IP 192.168.10.254.28780 > 192.168.10.1.23: Flags [P.], seq > 9:12, ack 1, win 128, options [nop,nop,TS val 349455547 ecr 3979785392], > length 3 > 12:11:53.736224 IP 192.168.10.1.23 > 192.168.10.254.28780: Flags [.], ack 12, > win 509, options [nop,nop,TS val 3979786312 ecr 349455547], length 0 > > L'IP publique source de la connexion est bien remplacée par l'IP privée de la > freebox :( > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ <http://www.frnog.org/> --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
