Ubuntu-fr

Jel-Ubun

ports, DynDNS et serveur Web (via routeur NAT), méthode [résolu]

Bonjour,

Le problème est de passer 'à travers' un routeur, pour accèder, a/c le net à un serveur situé sur un réseau local. (non en DMZ) via une adresse redirigée par DynDNS.

=====  Le problème est / semble résolu, la solution, … mise entre '=' en début, pour éviter le parcours entier des échanges =======

Paradoxe, en fait, la redirection fonctionnait, le mode de test…était trompé par… je ne sais quoi !!

Pour contrôler l'accès au serveur web redirigé, j'ai du utiliser les moyens suivants :
- http://www.lyonix.net/outil.php
et plus précisemment le lien 'Web vu d'un moteur de recherche (Delorie.com)' me permettant de simuler un accès, vu de l'extérieur.
Cela m'a permis de vérifier les droits - notés sous forme numérique pure, comme un chmod - divers (directories, fichiers)  à noter (vus de Ubuntu, 'permissions') :
- /home (root, 751),
- dir particulier : ex ~exx (correspondant à /home/user/www un propriétaire différent) (user, 751)
accessible via : http://chezmoi.isa-geek.net:numport/~user
- fichiers ciblés (user, 604 ou 704)

conventions :
- chezmoi.isa-geek.net :     l'IP (Wan) redirigée par DynDns
- numport :         port écouté par la directive Listen, d'Apache,
- user :            le 'propriétaire' (droits d'accès),
- ~user :            directory correspondant au 'propriétaire'    (plusieurs sites web ciblés)
            (directives Apache : UserDir www ; … <Directory /home/*/www>)
(Nb : le directory 'base' d'Apache, est lui, situé à /var/www )
-----------------

Mis à part les tests 'locaux', l'erreur aura été de considérer que l'interrogation :
- http://chezmoi.isa-geek.net:numport/~user est 'adéquate', à partir de l'interne du réseau considéré.
Cela semble faux.
Le routeur (ou moi), se mélangeant les pinceaux…

Il a fallu tester à partir d'un proxy, pour en fait vérifier que tout semblait ok.
(pour la petite histoire, je n'en ai eu la certitude absolue, qu'après avoir demandé à un ami de tester de l'extérieur…)
…et je reviendrai si je me suis trompé… :P

============= suite, (Message d'origine) ===========

Le problème est de passer 'à travers' un routeur, pour accèder, a/c le net à un serveur situé sur un réseau local. (non en DMZ) via une adresse redirigée par DynDNS.

Contexte :
Réseau :
- routeur Nat            (Netgear DG834GT)
- n machines, dont le serveur (Ubuntu 5.10)
               (IP locale fixe style 192.168.xxx.XYZ)
- port prévu (pour le serveur web supposé 9123, pour l'exemple), forward via un service (au sens routeur) comprenant une plage de ports (dont le port considéré).
Sx := {AAAxx..AAAyy}
- service redirigé, via les règles de 'pare-feu' (du routeur) vers la machine d'ip locale fixe, Sx => 192.168.xxx.XYZ
DynDNS :
- une adresse…de style chezmoi.isa-geek.net (avec une dénomination fournie par DynDNS) pointant sur IP (fournisseur)

Symptômes :
accès :
** à partir du serveur, vers lui-même :
1)   http://localhost:9123/~username                         ok (pointe sur le index.html voulu dans le sous-dir voulu de l'user)
2)   http://192.168.xxx.XYZ:9123/~username              idem
** à partir d'une autre machine du réseau local :
3)   http://192.168.xxx.XYZ:9123/~username              idem
3b) http://192.168.xxx.XYZ                   ne fonctionne pas, bien sûr (le port 80 de base n'étant pas écouté par Apache sur le serveur, car on a : Listen 9123 (in ports.conf)
…-- tentative d'utilisation de DynDNS
4)   http://chezmoi.isa-geek                                 pointe sur le routeur (et demande l'ouverture du serveur web du routeur…,)
                        La résolution d'adresse (DNS) fonctionne, mais la cible est…, le routeur)
5)   http://chezmoi.isa-geek:9123                               …ne donne rien (et tombe, par délai.)
6)   http://chezmoi.isa-geek:9123/~username           (idem)

J'ai cherché, dans le forum, sans trouver quelquechose traitant de ce problème de redirection de port avec DYNDNS (et des serveurs web…et/ou autres)

Quelqu'un ayant déjà résolu, approché ce problème ? Une piste, un sujet proche ?
merci

JEL

Dernière modification par Jel-Ubun (Le 15/04/2006, à 10:46)

YBM

Re : ports, DynDNS et serveur Web (via routeur NAT), méthode [résolu]

à vu de nez ça devrait pourtant marcher... sauf ça que je n'ai pas compris :

port prévu (pour le serveur web supposé 9123, pour l'exemple), forward via un service (au sens routeur) comprenant une plage de ports (dont le port considéré).

il faut que tu rediriges le port 9123 (ou la plage 9123-9123) du routeur sur le port où apache écoute sur ton serveur Web (pas vers une plage, où alors la plage 9123-9123), qui peut être aussi bien 9123... que 80 ! Il faut aussi qu'il n'y ait pas de firewall qui ferme ce port sur ton serveur lui même.

Quand tu testes à partir de ton lan sur le port 80 tu tombes sur l'interface d'admin de ton routeur, c'est normal. Il faudrait que tu t'assures que ce n'est pas le cas vu de l'extérieur (vérifie avec un truc genre sysgate.com que ton port 80 apparaît fermé de l'extérieur).

Autre chose : utilises-tu des hôtes virtuels basés sur le nom dans ta conf d'apache ? (<VirtuelHost XXX.YYY.ZZZ.YYY) ?

Jel-Ubun

Re : ports, DynDNS et serveur Web (via routeur NAT), méthode [résolu]

(pas vers une plage, où alors la plage 9123-9123), qui peut être aussi bien 9123... que 80 !

Que j'utilise une plage de ports (sur le routeur) réduite au seul port : 9123-9123 ou non 9100-91100 (comprenant le/les port écouté), les symptômes sont les mêmes.

Il faudrait que tu t'assures que ce n'est pas le cas vu de l'extérieur

Quand j'utilise le DNS, je passe à priori par l'extérieur…et la résolution se fait. (?)
…jusqu'au routeur. Ce qui me fait penser que le DNS fonctionne, mais non la traversée du routeur vers la machine cible.

(vérifie avec un truc genre sysgate.com que ton port 80 apparaît fermé de l'extérieur).

Le port 80 (de l'IP globale (WAN) pointe sur le routeur. (implicite, ou explicite par :80)
www.sysgate.com…n'est pas accessible
Mais une demande de résolution d'adresse (par Ns-lookup) donne bien la bonne adresse ip (wan)

Autre chose : utilises-tu des hôtes virtuels basés sur le nom dans ta conf d'apache ? (<VirtuelHost XXX.YYY.ZZZ.YYY) ?

A priori, je n'ai pas rajouté d'hôtes virtuels…du moins volontairement
.................
Et, il n'y a pas (encore) de firewall, sur ce serveur…

YBM

Re : ports, DynDNS et serveur Web (via routeur NAT), méthode [résolu]

5)   http://chezmoi.isa-geek:9123                               …ne donne rien (et tombe, par délai.)
6)   http://chezmoi.isa-geek:9123/~username           (idem)

regarde dans les logs d'apache2 (/var/log/apache2/) s'il ne voit rien arriver.

essaye aussi une connexion http à la main :

$ telnet chezmoi.isa-geek 9123
...
GET / HTTP/1.1
Host: chezmoi.isa-geek

oguenel

Re : ports, DynDNS et serveur Web (via routeur NAT), méthode [résolu]

Hi,

DynDNS se contente de mettre en correspondance une IP avec une URL. J'utilise DynDNS pour atteindre un réseau deriière un routeur/firewall et je route certains ports vers certaines machines : ça fonctionne au poil.
"ping http://chezmoi.isa-geek" devrait te confirmer que le DynDNS fonctionne en te renvoyant l'adresse IP externe de ton routeur. Si ça ne marche pas, vérifie que ton client DynDNS est actif.

Si le routeur est atteint, c'est donc soit une question d'ouverture/redirection de ports sur ton routeur, soit de firewall sur ta machine serveur.

Dernière modification par oguenel (Le 09/04/2006, à 21:49)

Jel-Ubun

Re : ports, DynDNS et serveur Web (via routeur NAT), méthode [résolu]

Bonjour,

regarde dans les logs d'apache2 (/var/log/apache2/) s'il ne voit rien arriver.

rien dans /var/log/apache2/access.log

essaye aussi une connexion http à la main :
$ telnet chezmoi.isa-geek 9123

telnet chezmoi.isa-geek                   donne un echec sur port 23
(impossible d'ouvrir une connexion à l'hôte sur le port 23 […])
telnet chezmoi.isa-geek 9123          donne un echec sur port 9123
(idem, avec port 9123)

ping http://chezmoi.isa-geek

un ping  chezmoi.isa-geek pingue bien le routeur (puisque l'IP Wan est commune)
Il n'y a pas de firewall sur le serveur interne (pour l'instant .
Le problème est sans doute lié à la redirection de port… et c'est bien la la question

YBM

Re : ports, DynDNS et serveur Web (via routeur NAT), méthode [résolu]

avec telnet sur le port 9123, si l'échec est immédiat, c'est que le port est fermé, c'est donc la configuration du routeur qui foire...

bergi

Re : ports, DynDNS et serveur Web (via routeur NAT), méthode [résolu]

si ton fordward de port est bien configurer et que tu teste de chez toi avec certain routeur cela ne marche pas meme si tout est bien configurer.
Demande a quelqun d'exterieur ou passe par un proxy pour tester.

Je m'y suis casse les dents avant d'avoir trouve une explication sur un forum

jdloic

Re : ports, DynDNS et serveur Web (via routeur NAT), méthode [résolu]

Effectivement, le Dyndns fait pointé le domaine vers ton ip publique, mais puisque tu utilise un routeur, c'est lui qui a ton ip publique.
Donc, sur une machine de ton réseau local, si veut veux accéder à http://chezmoi.isa-geek:9123 tu va en fait envoyer la requête au routeur et celui ci ne fait de NAT que depuis l'extérieur (depuis le net).

Pour tester: paramètrer le proxy du FAI.
Sinon, vu du réseau local, le serveur web est à l'IP 192.168.xxx.XYZ et pas l'IP publique.

Vell

Re : ports, DynDNS et serveur Web (via routeur NAT), méthode [résolu]

Symptômes :
accès :
** à partir du serveur, vers lui-même :
1)   http://localhost:9123/~username                         ok (pointe sur le index.html voulu dans le sous-dir voulu de l'user)
2)   http://192.168.xxx.XYZ:9123/~username              idem
** à partir d'une autre machine du réseau local :
3)   http://192.168.xxx.XYZ:9123/~username              idem
3b) http://192.168.xxx.XYZ                   ne fonctionne pas, bien sûr (le port 80 de base n'étant pas écouté par Apache sur le serveur, car on a : Listen 9123 (in ports.conf)
…-- tentative d'utilisation de DynDNS
4)   http://chezmoi.isa-geek                                 pointe sur le routeur (et demande l'ouverture du serveur web du routeur…,)
                        La résolution d'adresse (DNS) fonctionne, mais la cible est…, le routeur)
5)   http://chezmoi.isa-geek:9123                               …ne donne rien (et tombe, par délai.)
6)   http://chezmoi.isa-geek:9123/~username           (idem)

'Manque un truc m'sieur ...

avant le 4, teste sans passer par DynDNS, en mettant l'adresse ip publique.
Genre http://82.128.34.29:9123/~username

J'ai à priori le même problème que toi, sachant que c'est ma jolie petite AliceBox qui à l'air de mettre le boxon (redirection de ports ok, sauf pour du http / ftp / ssh ... avec la Freebox ça fonctionnait très bien avant).

Sinon avec iptables tu peux avoir les logs des connexions, mais à vue de nez c'est le routeur qui ne fait pas son boulot et ne route pas (d'où le problème de l'attente : si on tombe sur la machine et qu'elle dit "dégage", la connexion serait refusée très rapidement).

---

Ubuntu 7.10 - AMD 64 x2 4600+ EE - 2Gb - GF 8600 GT

Vell

Re : ports, DynDNS et serveur Web (via routeur NAT), méthode [résolu]

Je viens de réessayer par curiosité :

root@celeron:~# cat /etc/apache2/ports.conf
Listen 80
Listen 8080
Listen 9190

AliceBox : ports 9190 > 9200 TCP / UDP redirigés > 192.168.1.101

(Reboot AliceBox pour prendre en compte les changements, même si il n'y a pas besoin il me semble)

Sachant que :

PING celeron (192.168.1.101) 56(84) bytes of data.
64 bytes from celeron (192.168.1.101): icmp_seq=1 ttl=64 time=0.253 ms

Tests :
(depuis une machine du réseau)

1 - http://192.168.1.101:9190/  > Fonctionne.
2 - http://celeron:9190/ > Fonctionne.
3 - http://83.154.49.45:9190/ > Ne fonctionne pas.
4 - Telnet : Trying 83.154.49.45...
telnet: Unable to connect to remote host: Connection refused

Depuis une machine externe (pratique le ssh quand même)

1 - ping 83.154.49.45 > Ok (200ms)
2 - Telnet  >  Trying 83.154.49.45... (au bout d'une vingtaine de secondes j'ai fermé)
3 - wget --spider > Connecting ... (au bout d'une vingtaine de secondes, j'ai fermé)

Voila, si ça peut t'aider

(note : pour ne pas t'embêter à configurer iptables à la main, tu peux toujours installer webmin et webmin-firewall, qui permettent de le configurer pour logguer (dans /var/log/syslog) les connexions sur une plage de ports)

Dernière modification par Vell (Le 11/04/2006, à 03:29)

---

Ubuntu 7.10 - AMD 64 x2 4600+ EE - 2Gb - GF 8600 GT

Jel-Ubun

Re : ports, DynDNS et serveur Web (via routeur NAT), méthode [résolu]

Bonjout à tous,

'Manque un truc m'sieur ...

avant le 4, teste sans passer par DynDNS, en mettant l'adresse ip publique.
Genre http://82.128.34.29:9123/~username

testé, avec espoir, sans succès…

Sinon avec iptables tu peux avoir les logs des connexions, mais à vue de nez c'est le routeur qui ne fait pas son boulot et ne route pas (d'où le problème de l'attente : si on tombe sur la machine et qu'elle dit "dégage", la connexion serait refusée très rapidement).

D'accord à priori, le routeur ne fait sans doute pas son boulot.
Ou je ne lui dit pas correctement de le faire ?

Demande a quelqun d'exterieur ou passe par un proxy pour tester.

je pense que je ferais cela demain, après le changement d'ip.

++

Vell

Re : ports, DynDNS et serveur Web (via routeur NAT), méthode [résolu]

Pour ma part, je n'ai pas beaucoup de choix pour le routeur (AliceBox).
Je me demande plutôt si ce n'est pas volontaire de la part d'Alice.

(Pour info les choix sont restreints : IP destination, port début, port fin / port début destination, port fin destination, TCP, UDP, TCP et UDP. Sachant que pour toutes les autres redirection, ça fonctionne correctement)

Comment se présentent les préférences de redirection chez toi ?
Et par curiosité, tu es chez quel FAI ?

Dernière modification par Vell (Le 13/04/2006, à 02:06)

---

Ubuntu 7.10 - AMD 64 x2 4600+ EE - 2Gb - GF 8600 GT

Jel-Ubun

Re : ports, DynDNS et serveur Web (via routeur NAT), méthode [résolu]

Bonjour,

===================  Le problème est / semble résolu, la solution, … =================

Paradoxe, en fait, la redirection fonctionnait, le mode de test…était trompé par… je ne sais quoi !!

Pour contrôler l'accès au serveur web redirigé, j'ai du utiliser les moyens suivants :
- http://www.lyonix.net/outil.php
et plus précisemment le lien 'Web vu d'un moteur de recherche (Delorie.com)' me permettant de simuler un accès, vu de l'extérieur.
Cela m'a permis de vérifier les droits - notés sous forme numérique pure, comme un chmod - divers (directories, fichiers)  à noter (vus de Ubuntu, 'permissions') :
- /home (root, 751),
- dir particulier : ex ~exx (correspondant à /home/user/www un propriétaire différent) (user, 751)
accessible via : http://chezmoi.isa-geek.net:numport/~user
- fichiers ciblés (user, 604 ou 704)

conventions :
- chezmoi.isa-geek.net :     l'IP (Wan) redirigée par DynDns
- numport :         port écouté par la directive Listen, d'Apache,
- user :            le 'propriétaire' (droits d'accès),
- ~user :            directory correspondant au 'propriétaire'    (plusieurs sites web ciblés)
            (directives Apache : UserDir www ; … <Directory /home/*/www>)
(Nb : le directory 'base' d'Apache, est situé à /var/www )
-----------------

Mis à part les tests 'locaux', l'erreur aura été de considérer que l'interrogation :
- http://chezmoi.isa-geek.net:numport/~user est 'adéquate', à partir de l'interne du réseau considéré.
Cela semble faux.
Le routeur (ou moi), se mélangeant les pinceaux…

Il a fallu tester à partir d'un proxy, pour en fait vérifier que tout semblait ok.
(pour la petite histoire, je n'en ai pas la certitude absolue, mais, cela semble bien être le cas…;) )
…et je reviendrai si je me suis trompé… :D:cool:

=============
merci à tous

Jel-Ubun

Re : ports, DynDNS et serveur Web (via routeur NAT), méthode [résolu]

Bonjour,

[…] pas beaucoup de choix pour le routeur […]
(Pour info les choix sont restreints : IP destination, port début, port fin / port début destination, port fin destination, TCP, UDP, TCP et UDP. Sachant que pour toutes les autres redirection, ça fonctionne correctement)

Comment se présentent les préférences de redirection chez toi ?
Et par curiosité, tu es chez quel FAI ?

Les redirections se font en deux temps :
- définition d'un service avec une plage de port, et un/des protocoles,
- règle de firewall, affectant le service, en redirection Nat, un une IP donnée (fixe localement)

Le Fai est wanadoo, mais il ne semble pas participer au problème, le routeur étant non fourni par lui.

et merci, pour ton aide

Vell

Re : ports, DynDNS et serveur Web (via routeur NAT), méthode [résolu]

Encore une chance que tu ne sois pas dans le même cas que moi

Par curiosité je vais faire les même tests que toi, mais ayant déja testé l'accès depuis l'extérieur, ça continue de coincer (et, bizarrement, pas pour la mule).

---

Ubuntu 7.10 - AMD 64 x2 4600+ EE - 2Gb - GF 8600 GT

Jel-Ubun

Re : ports, DynDNS et serveur Web (via routeur NAT), méthode [résolu]

Bonjour,

Par curiosité je vais faire les même tests que toi, mais ayant déja testé l'accès depuis l'extérieur, ça continue de coincer (et, bizarrement, pas pour la mule).

J'ai aussi fait opérer (simplement) à un test de l'extérieur par un ami…
Tout bêtement…
Si tu m'envoie ton dns, je pourrais au moins te dire … , ce que je ne vois pas

JEL

Vell

Re : ports, DynDNS et serveur Web (via routeur NAT), méthode [résolu]

Bah en fait, j'ai une méthode très simple pour tester :

ssh sur un serveur distant, puis essai via wget / telnet / lynx

Mais je vais t'envoyer ça ... par curiosité

---

Ubuntu 7.10 - AMD 64 x2 4600+ EE - 2Gb - GF 8600 GT