#326 Le 30/11/2022, à 11:49
- polinux
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
Je t'ai envoyé en MP le retour d'openvpn et voici le retour de IP a
facon3@facon3-Inspiron-15-3511:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: wlp1s0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
link/ether 90:0f:0c:b5:49:f5 brd ff:ff:ff:ff:ff:ff
8: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 500
link/none
inet 10.8.0.6 peer 10.8.0.5/32 scope global tun0
valid_lft forever preferred_lft forever
inet6 fe80::4edd:3126:5f14:d721/64 scope link stable-privacy
valid_lft forever preferred_lft forever
9: enxca3c85269587: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether ca:3c:85:26:95:87 brd ff:ff:ff:ff:ff:ff
inet 172.20.10.2/28 brd 172.20.10.15 scope global dynamic noprefixroute enxca3c85269587
valid_lft 86095sec preferred_lft 86095sec
inet6 2a01:cb1e:6a:e54:2362:4b06:a5e5:677/64 scope global temporary dynamic
valid_lft 604498sec preferred_lft 85761sec
inet6 2a01:cb1e:6a:e54:8b1f:97db:ee7a:10c4/64 scope global mngtmpaddr noprefixroute
valid_lft forever preferred_lft forever
inet6 fe80::25b3:b6d7:96fe:f7b6/64 scope link noprefixroute
valid_lft forever preferred_lft forever
facon3@facon3-Inspiron-15-3511:~$
Hors ligne
#327 Le 30/11/2022, à 12:11
- NicoApi73
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
Dans la trace que tu m'as envoyée, on voit :
2022-11-30 10:04:52 us=344618 Initialization Sequence Completed
2022-11-30 10:16:07 us=200251 [server] Inactivity timeout (--ping-restart), restarting
2022-11-30 10:16:07 us=200444 TCP/UDP: Closing socket
puis
2022-11-30 10:41:48 us=484784 Attempting to establish TCP connection with [AF_INET]xx.xx.xx.xx:1194 [nonblock]
2022-11-30 10:43:48 us=586520 TCP: connect to [AF_INET]xx.xx.xx.xx:1194 failed: Connection timed out
Ca veut dire que le client a établi un tunnel avec le serveur à 10h04. Il a perdu la communication à 10h16 (max 2 minutes avant) puis n'arrive pas à établir de connexion avec le serveur, exactement comme hier soir quand UFW était de nouveau actif. Vérifie de nouveau l'état de UFW. N'aurais tu pas arrêté ou redémarré le serveur? ou arrété/débranché le smartphone du client?
Donne également le retour de :
sudo cat /etc/default/ufw
Côté client, fais CTRL + c dans le terminal dans lequel tu as lancé openvpn (asssure toi qu'il n'y ait pas d'autre terminal ouvert, sinon fais également CTRL + c)
Côté serveur, vérifie de nouveau avec canyouseeme que le port est ouvert.
Avec la commande ip a vérifie que ton adresse ip (celle de ton serveur, adresse locale) n'a pas changée : ce doit être 192.168.0.30
Vérifie avec la commande suivante que le serveur openvpn est bien actif
sudo systemctl status openvpn-server@server.service
Si tout est ok ci-dessus, sur le client, tu peux relancer openvpn et vérifier que la dernière ligne d'indique bien que la séquence d’initialisation est "completed"
EDIT concernant la trace
Dernière modification par NicoApi73 (Le 30/11/2022, à 12:24)
Hors ligne
#328 Le 30/11/2022, à 12:59
- polinux
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
en effet j'ai du sortir à la banque et j'ai pris mon smartphone donc débranché
facon-piscine@facon-piscine:~$ sudo cat /etc/default/ufw
[sudo] Mot de passe de facon-piscine :
# /etc/default/ufw
#
# Set to yes to apply rules to support IPv6 (no means only IPv6 on loopback
# accepted). You will need to 'disable' and then 'enable' the firewall for
# the changes to take affect.
IPV6=yes
# Set the default input policy to ACCEPT, DROP, or REJECT. Please note that if
# you change this you will most likely want to adjust your rules.
DEFAULT_INPUT_POLICY="DROP"
# Set the default output policy to ACCEPT, DROP, or REJECT. Please note that if
# you change this you will most likely want to adjust your rules.
DEFAULT_OUTPUT_POLICY="ACCEPT"
# Set the default forward policy to ACCEPT, DROP or REJECT. Please note that
# if you change this you will most likely want to adjust your rules
DEFAULT_FORWARD_POLICY="DROP"
# Set the default application policy to ACCEPT, DROP, REJECT or SKIP. Please
# note that setting this to ACCEPT may be a security risk. See 'man ufw' for
# details
DEFAULT_APPLICATION_POLICY="SKIP"
# By default, ufw only touches its own chains. Set this to 'yes' to have ufw
# manage the built-in chains too. Warning: setting this to 'yes' will break
# non-ufw managed firewall rules
MANAGE_BUILTINS=no
#
# IPT backend
#
# only enable if using iptables backend
IPT_SYSCTL=/etc/ufw/sysctl.conf
# Extra connection tracking modules to load. IPT_MODULES should typically be
# empty for new installations and modules added only as needed. See
# 'CONNECTION HELPERS' from 'man ufw-framework' for details. Complete list can
# be found in net/netfilter/Kconfig of your kernel source. Some common modules:
# nf_conntrack_irc, nf_nat_irc: DCC (Direct Client to Client) support
# nf_conntrack_netbios_ns: NetBIOS (samba) client support
# nf_conntrack_pptp, nf_nat_pptp: PPTP over stateful firewall/NAT
# nf_conntrack_ftp, nf_nat_ftp: active FTP support
# nf_conntrack_tftp, nf_nat_tftp: TFTP support (server side)
# nf_conntrack_sane: sane support
IPT_MODULES=""
facon-piscine@facon-piscine:~$
Hors ligne
#329 Le 30/11/2022, à 13:03
- polinux
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
J'ai fais un contrôle sur canyouseeme le port est bien ouvert
facon-piscine@facon-piscine:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: enp5s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether d4:5d:64:b9:8e:b2 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.30/24 brd 192.168.0.255 scope global dynamic noprefixroute enp5s0
valid_lft 29086sec preferred_lft 29086sec
inet6 2a01:e0a:5db:5270:1246:6fa9:bcfa:a9c6/64 scope global temporary dynamic
valid_lft 86017sec preferred_lft 71902sec
inet6 2a01:e0a:5db:5270:4226:c94a:d40e:28e9/64 scope global dynamic mngtmpaddr noprefixroute
valid_lft 86017sec preferred_lft 86017sec
inet6 fe80::9e94:7216:8a7d:2a4b/64 scope link noprefixroute
valid_lft forever preferred_lft forever
4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100
link/none
inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
valid_lft forever preferred_lft forever
inet6 fe80::80f8:30e0:32ca:3a8a/64 scope link stable-privacy
valid_lft forever preferred_lft forever
facon-piscine@facon-piscine:~$
facon-piscine@facon-piscine:~$ sudo systemctl status openvpn-server@server.service
● openvpn-server@server.service - OpenVPN service for server
Loaded: loaded (/lib/systemd/system/openvpn-server@.service; enabled; vend>
Active: active (running) since Wed 2022-11-30 09:40:03 CET; 2h 21min ago
Docs: man:openvpn(8)
https://community.openvpn.net/openvpn/wiki/Openvpn24ManPage
https://community.openvpn.net/openvpn/wiki/HOWTO
Main PID: 4701 (openvpn)
Status: "Initialization Sequence Completed"
Tasks: 1 (limit: 6939)
Memory: 1.2M
CGroup: /system.slice/system-openvpn\x2dserver.slice/openvpn-server@server>
└─4701 /usr/sbin/openvpn --status /run/openvpn-server/status-serve>
nov. 30 09:40:03 facon-piscine systemd[1]: openvpn-server@server.service: Succe>
nov. 30 09:40:03 facon-piscine systemd[1]: Stopped OpenVPN service for server.
nov. 30 09:40:03 facon-piscine systemd[1]: Starting OpenVPN service for server.>
nov. 30 09:40:03 facon-piscine systemd[1]: Started OpenVPN service for server.
lines 1-17/17 (END)
Hors ligne
#330 Le 30/11/2022, à 13:07
- polinux
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
et sur le client après avoir relancé
2022-11-30 12:05:46 us=601441 Initialization Sequence Completed
Hors ligne
#331 Le 30/11/2022, à 13:09
- polinux
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
et sur le client sur un autre terminal après avoir relancé
facon3@facon3-Inspiron-15-3511:~$ curl ifconfig.me;echo
92.184.112.47
facon3@facon3-Inspiron-15-3511:~$
Hors ligne
#332 Le 30/11/2022, à 13:12
- polinux
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
j'ai réussi à me connecter à Laurux par le smartphone
par contre l'ip est celle du smartphone pas celle de la box
mais ça marche
Hors ligne
#333 Le 30/11/2022, à 13:18
- polinux
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
Alors quand je dis ça marche c'est un bien grand mot
lorsque j'essaye d'ouvrir une facture il me donne un message d'erreur
puis laurux ne répond plus et force à quitter
Hors ligne
#334 Le 30/11/2022, à 13:26
- NicoApi73
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
ok, ça fonctionne (bon, pas complètement si je comprends bien). J'étais entrain de vérifier chez moi le test avec les IP. Il y a une chose que je ne maîtrise pas car je constate la même chose. Je m'attendais à avoir l'adresse IP côté serveur et ce n'est pas le cas. Un point à investiguer pour moi (sans conséquence pour toi.
En priorité, il faut régler le point concernant UFW. Sur le serveur :
sudo nano /etc/default/ufw
Tu cherches
DEFAULT_INPUT_POLICY="DROP"
qui devient
DEFAULT_INPUT_POLICY="ACCEPT"
Tu cherches :
DEFAULT_FORWARD_POLICY="DROP"
Qui devient :
DEFAULT_FORWARD_POLICY="ACCEPT"
CTRL + o - Entrée - CTRL + x
sudo ufw disable
Tu peux redémarrer ton serveur, et donner le retour de :
sudo iptables -L
Dernière modification par NicoApi73 (Le 30/11/2022, à 13:28)
Hors ligne
#335 Le 30/11/2022, à 13:37
- polinux
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
J'avais oublié de désactivé ufw
donc j'ai refais la manip
facon-piscine@facon-piscine:~$ sudo ufw disable
Le pare-feu est arrêté et désactivé lors du démarrage du système
facon-piscine@facon-piscine:~$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ufw-before-logging-input all -- anywhere anywhere
ufw-before-input all -- anywhere anywhere
ufw-after-input all -- anywhere anywhere
ufw-after-logging-input all -- anywhere anywhere
ufw-reject-input all -- anywhere anywhere
ufw-track-input all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ufw-before-logging-forward all -- anywhere anywhere
ufw-before-forward all -- anywhere anywhere
ufw-after-forward all -- anywhere anywhere
ufw-after-logging-forward all -- anywhere anywhere
ufw-reject-forward all -- anywhere anywhere
ufw-track-forward all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ufw-before-logging-output all -- anywhere anywhere
ufw-before-output all -- anywhere anywhere
ufw-after-output all -- anywhere anywhere
ufw-after-logging-output all -- anywhere anywhere
ufw-reject-output all -- anywhere anywhere
ufw-track-output all -- anywhere anywhere
Chain ufw-after-forward (1 references)
target prot opt source destination
Chain ufw-after-input (1 references)
target prot opt source destination
Chain ufw-after-logging-forward (1 references)
target prot opt source destination
Chain ufw-after-logging-input (1 references)
target prot opt source destination
Chain ufw-after-logging-output (1 references)
target prot opt source destination
Chain ufw-after-output (1 references)
target prot opt source destination
Chain ufw-before-forward (1 references)
target prot opt source destination
Chain ufw-before-input (1 references)
target prot opt source destination
Chain ufw-before-logging-forward (1 references)
target prot opt source destination
Chain ufw-before-logging-input (1 references)
target prot opt source destination
Chain ufw-before-logging-output (1 references)
target prot opt source destination
Chain ufw-before-output (1 references)
target prot opt source destination
Chain ufw-reject-forward (1 references)
target prot opt source destination
Chain ufw-reject-input (1 references)
target prot opt source destination
Chain ufw-reject-output (1 references)
target prot opt source destination
Chain ufw-track-forward (1 references)
target prot opt source destination
Chain ufw-track-input (1 references)
target prot opt source destination
Chain ufw-track-output (1 references)
target prot opt source destination
facon-piscine@facon-piscine:~$
Hors ligne
#336 Le 30/11/2022, à 14:11
- NicoApi73
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
Je n'ai pas expliqué ce que j'ai fait au #335.
J'ai modifié les règles par défaut d'UFW. De cette manière, même s'il est relancé, ça ne devrait pas bloquer.
Ce qui est important, c'est de redémarrer la machine (le serveur) et de voir quelles sont les règles appliquées (normalement, ce sont celles que l'on vient de corriger). C'est pour ça que la procédure pour vérifier est :
- redémarrer la machine (le serveur)
- regarder les règles avec iptables, sans avoir désactivé UFW :
sudo iptables -L
Normalement, les règles par défaut devraient être ACCEPT
Hors ligne
#337 Le 30/11/2022, à 14:24
- polinux
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
pour redémarrer le serveur c'est cette commande ?
facon-piscine@facon-piscine:~$ sudo systemctl restart openvpn-server@server.service
Hors ligne
#338 Le 30/11/2022, à 14:47
- polinux
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
donc avant d'avoir désactiver ufw le retour était celui ci
facon-piscine@facon-piscine:~$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ufw-before-logging-input all -- anywhere anywhere
ufw-before-input all -- anywhere anywhere
ufw-after-input all -- anywhere anywhere
ufw-after-logging-input all -- anywhere anywhere
ufw-reject-input all -- anywhere anywhere
ufw-track-input all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ufw-before-logging-forward all -- anywhere anywhere
ufw-before-forward all -- anywhere anywhere
ufw-after-forward all -- anywhere anywhere
ufw-after-logging-forward all -- anywhere anywhere
ufw-reject-forward all -- anywhere anywhere
ufw-track-forward all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ufw-before-logging-output all -- anywhere anywhere
ufw-before-output all -- anywhere anywhere
ufw-after-output all -- anywhere anywhere
ufw-after-logging-output all -- anywhere anywhere
ufw-reject-output all -- anywhere anywhere
ufw-track-output all -- anywhere anywhere
Chain ufw-after-forward (1 references)
target prot opt source destination
Chain ufw-after-input (1 references)
target prot opt source destination
Chain ufw-after-logging-forward (1 references)
target prot opt source destination
Chain ufw-after-logging-input (1 references)
target prot opt source destination
Chain ufw-after-logging-output (1 references)
target prot opt source destination
Chain ufw-after-output (1 references)
target prot opt source destination
Chain ufw-before-forward (1 references)
target prot opt source destination
Chain ufw-before-input (1 references)
target prot opt source destination
Chain ufw-before-logging-forward (1 references)
target prot opt source destination
Chain ufw-before-logging-input (1 references)
target prot opt source destination
Chain ufw-before-logging-output (1 references)
target prot opt source destination
Chain ufw-before-output (1 references)
target prot opt source destination
Chain ufw-reject-forward (1 references)
target prot opt source destination
Chain ufw-reject-input (1 references)
target prot opt source destination
Chain ufw-reject-output (1 references)
target prot opt source destination
Chain ufw-track-forward (1 references)
target prot opt source destination
Chain ufw-track-input (1 references)
target prot opt source destination
Chain ufw-track-output (1 references)
target prot opt source destination
Hors ligne
#339 Le 30/11/2022, à 15:18
- NicoApi73
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
pour redémarrer le serveur c'est cette commande ?
facon-piscine@facon-piscine:~$ sudo systemctl restart openvpn-server@server.service
Oui et non
Là je veux que tu redémarres la machine (celle sur laquelle est installé openvpn server), pour voir si UFW est redémarré (à priori oui, même si ce n'est pas ce que l'on souhaite) et vérifier que les modifications de configuration faites soient bien prises en compte.
EDIT : pour avoir une configuration identique à la mienne (même si je ne pense pas que ce soit nécessaire), sur le serveur :
sudo nano /etc/openvpn/server/server.conf
Pour pouvoir voir le réseau côté serveur VPN, trouver :
;push "route 192.168.10.0 255.255.255.0"
décommenter (retirer le ; ), et mettre le réseau du serveur avec le masque de sous-réseau (ici 192.168.0.0, masque de sous réseau 255.255.255.0)
push "route 192.168.0.0 255.255.255.0"
CTRL + o - Entrée - CTRL + x
Suivi de
sudo systemctl restart openvpn-server@server.service
Dernière modification par NicoApi73 (Le 30/11/2022, à 15:28)
Hors ligne
#340 Le 30/11/2022, à 15:53
- polinux
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
J'ai redémarré le pc et j'ai contrôlé sur canyouseeme et le port 1194 est fermé
puis j'ai fais les modifs du fichier server.conf
et j'ai passer la commande :
facon-piscine@facon-piscine:~$ sudo systemctl restart openvpn-server@server.service
facon-piscine@facon-piscine:~$
Hors ligne
#341 Le 30/11/2022, à 16:17
- NicoApi73
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
Redonne (côté serveur) :
sudo cat /etc/default/ufw
Il faut qu'on règle ce problème, je ne comprends pas pourquoi UFW se remet systématiquement en place...
Dernière modification par NicoApi73 (Le 30/11/2022, à 16:23)
Hors ligne
#342 Le 30/11/2022, à 16:25
- NicoApi73
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
Petit aparté, juste pour ton information, nos échanges non seulement me poussent dans mes retranchements et donc me font progresser dans la compréhension d'openVPN, mais en plus je découvre des choses qui ne fonctionnent pas comme je l'attendais :
- il y a une différence entre installer chez soi et le faire faire à quelqu'un à distance. Pour pouvoir te l'expliquer, il faut comprendre beaucoup plus en profondeur (ce que je ne maîtrise toujours pas autant que je le croyais et que je le voudrais),
- tu es avec easy-rsa 3, alors que l'installation que j'ai faite chez moi passait par easy-rsa 2. Les commandes ont changées et la notion de signature est beaucoup plus explicite maintenant,
- Nous avons fait face à un bug d'openSSL qui faisait que les premières clés générées n'étaient pas au niveau de qualité attendu. C'est une remarque de ta part qui a fait que j'ai vu le retour d'erreur (ensuite, il a fallu comprendre en partie le bug et le contournement),
- UFW a été activé comme proposé dans le tuto Digital Ocean, outil que je n'ai jamais utilisé,
- et là je viens de découvrir que tout le trafic internet ne passe pas dans le tunnel par défaut. C'est pour ça que les commandes curl ou canyouseeme, faite à partir du client avec le tunnel ouvert remontent l'adresse du smartphone en data. (https://openvpn.net/community-resources … /#redirect) L'option push "redirect-gateway def1" est bien en place côté serveur, mais semble être sans effet. Il faut que je comprenne pourquoi.
Sur ce dernier point, il y a une différence de comportement sur les smartphones utilisant openvpn et les ordinateurs :
- Sur les smartphones, quand j'utilise canyouseeme avec le tunnel VPN ouvert, j'ai l'adresse de la box côté serveur
- Sur l'ordinateur portable connecté par smartphone (ou un autre réseau), c'est effectivement l'adresse du smartphone qui est retournée (ce que tu constates actuellement). Je ne m'en étais pas rendu compte car je filtre en utilisant un proxy et les listes de l'université de Toulouse, l'accès au proxy forçant le passage dans le tunnel.
Tout ça pour dire que je vois bien que j'ai encore une grosse marge de progression et je te remercie de ton temps et de ta patience qui me permettent de progresser. Tu m'as vraiment fait apprendre beaucoup de choses Tes efforts sont impressionnants d'autant plus quand on connait la vie d'un entrepreneur. En espérant que tu en apprennes autant que moi.
Hors ligne
#343 Le 30/11/2022, à 19:24
- polinux
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
Merci pour ton message d'explication sur ta démarche et et ton positionnement, car parfois je me demandais à quel moment tu allais me dire "t'es gentil mais là j’arrête ou je divorce"
Ca me permet clairement de progresser et de comprendre un peu mieux ce que l'on fait.
Pour ma part je n'ai pas le choix j'ai acheté le matériel et il faut que l'on puisse travailler en distant donc on avance et j'ai l'impression que ce ne sont que quelques détails qui restent à régler pour que cela fonctionne.
Je savais que de créer une boite et tourner intégralement sous Ubuntu passerai par des moments de réglage et de recherche pas évident (je ne pense pas qu'avec Windows cela aurait été plus simple et puis ça fait 20 ans q'on c'est séparé ).
alors on avance et si en plus c'est positif pour toi alors c'est super.
en tout cas merci
Hors ligne
#344 Le 30/11/2022, à 19:27
- polinux
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
Pour info je t'ai mis la commande d'avant car ma femme devait travailler sur son poste et si je ne désactivait pas ufw elle ne pouvait pas ouvrir Laurux
facon-piscine@facon-piscine:~$ sudo ufw disable
[sudo] Mot de passe de facon-piscine :
Le pare-feu est arrêté et désactivé lors du démarrage du système
facon-piscine@facon-piscine:~$ sudo cat /etc/default/ufw
[sudo] Mot de passe de facon-piscine :
# /etc/default/ufw
#
# Set to yes to apply rules to support IPv6 (no means only IPv6 on loopback
# accepted). You will need to 'disable' and then 'enable' the firewall for
# the changes to take affect.
IPV6=yes
# Set the default input policy to ACCEPT, DROP, or REJECT. Please note that if
# you change this you will most likely want to adjust your rules.
DEFAULT_INPUT_POLICY="ACCEPT"
# Set the default output policy to ACCEPT, DROP, or REJECT. Please note that if
# you change this you will most likely want to adjust your rules.
DEFAULT_OUTPUT_POLICY="ACCEPT"
# Set the default forward policy to ACCEPT, DROP or REJECT. Please note that
# if you change this you will most likely want to adjust your rules
DEFAULT_FORWARD_POLICY="ACCEPT"
# Set the default application policy to ACCEPT, DROP, REJECT or SKIP. Please
# note that setting this to ACCEPT may be a security risk. See 'man ufw' for
# details
DEFAULT_APPLICATION_POLICY="SKIP"
# By default, ufw only touches its own chains. Set this to 'yes' to have ufw
# manage the built-in chains too. Warning: setting this to 'yes' will break
# non-ufw managed firewall rules
MANAGE_BUILTINS=no
#
# IPT backend
#
# only enable if using iptables backend
IPT_SYSCTL=/etc/ufw/sysctl.conf
# Extra connection tracking modules to load. IPT_MODULES should typically be
# empty for new installations and modules added only as needed. See
# 'CONNECTION HELPERS' from 'man ufw-framework' for details. Complete list can
# be found in net/netfilter/Kconfig of your kernel source. Some common modules:
# nf_conntrack_irc, nf_nat_irc: DCC (Direct Client to Client) support
# nf_conntrack_netbios_ns: NetBIOS (samba) client support
# nf_conntrack_pptp, nf_nat_pptp: PPTP over stateful firewall/NAT
# nf_conntrack_ftp, nf_nat_ftp: active FTP support
# nf_conntrack_tftp, nf_nat_tftp: TFTP support (server side)
# nf_conntrack_sane: sane support
IPT_MODULES=""
facon-piscine@facon-piscine:~$
Hors ligne
#345 Le 30/11/2022, à 20:16
- NicoApi73
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
La dernière commande est la lecture d'un fichier de configuration, c'est indépendant de l'état de UFW. Il faudrait l'aide d'un intervenant pour UFW car je ne connais vraiment pas ce programme.
Sur le serveur
Donne le retour de
sudo cat /etc/ufw/sysctl.conf
Pour essayer de parer à "l'urgence".Tu peux essayer ceci :
sudo ufw allow 1194/tcp
sudo ufw allow 3306
sudo ufw default allow incoming
sudo ufw default allow outgoing
sudo ufw default allow routed
Puis tu donnes :
sudo ufw status verbose
Le but de ces commandes et d'autoriser les ports 1194 et 3306 et en plus de tout autoriser, bref la totale...
Ensuite, tu redémarres ton pc (sans passer d'autres commandes) et on regarde :
sudo ufw status verbose
sudo iptables -L
Hors ligne
#346 Le 30/11/2022, à 20:29
- polinux
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
facon-piscine@facon-piscine:~$ sudo cat /etc/ufw/sysctl.conf
[sudo] Mot de passe de facon-piscine :
#
# Configuration file for setting network variables. Please note these settings
# override /etc/sysctl.conf and /etc/sysctl.d. If you prefer to use
# /etc/sysctl.conf, please adjust IPT_SYSCTL in /etc/default/ufw. See
# Documentation/networking/ip-sysctl.txt in the kernel source code for more
# information.
#
# Uncomment this to allow this host to route packets between interfaces
#net/ipv4/ip_forward=1
#net/ipv6/conf/default/forwarding=1
#net/ipv6/conf/all/forwarding=1
# Disable ICMP redirects. ICMP redirects are rarely used but can be used in
# MITM (man-in-the-middle) attacks. Disabling ICMP may disrupt legitimate
# traffic to those sites.
net/ipv4/conf/all/accept_redirects=0
net/ipv4/conf/default/accept_redirects=0
net/ipv6/conf/all/accept_redirects=0
net/ipv6/conf/default/accept_redirects=0
# Ignore bogus ICMP errors
net/ipv4/icmp_echo_ignore_broadcasts=1
net/ipv4/icmp_ignore_bogus_error_responses=1
net/ipv4/icmp_echo_ignore_all=0
# Don't log Martian Packets (impossible addresses)
# packets
net/ipv4/conf/all/log_martians=0
net/ipv4/conf/default/log_martians=0
#net/ipv4/tcp_fin_timeout=30
#net/ipv4/tcp_keepalive_intvl=1800
# Uncomment this to turn off ipv6 autoconfiguration
#net/ipv6/conf/default/autoconf=1
#net/ipv6/conf/all/autoconf=1
# Uncomment this to enable ipv6 privacy addressing
#net/ipv6/conf/default/use_tempaddr=2
#net/ipv6/conf/all/use_tempaddr=2
facon-piscine@facon-piscine:~$
facon-piscine@facon-piscine:~$ sudo ufw allow 1194/tcp
Les règles ont été mises à jour
Les règles ont été mises à jour (IPv6)
facon-piscine@facon-piscine:~$ sudo ufw allow 3306
Les règles ont été mises à jour
Les règles ont été mises à jour (IPv6)
facon-piscine@facon-piscine:~$ sudo ufw default allow incoming
La stratégie par défaut pour le sens « incoming » a été remplacée par « allow »
(veillez à mettre à jour vos règles en conséquence)
facon-piscine@facon-piscine:~$ sudo ufw default allow outgoing
La stratégie par défaut pour le sens « outgoing » a été remplacée par « allow »
(veillez à mettre à jour vos règles en conséquence)
facon-piscine@facon-piscine:~$ sudo ufw default allow routed
La stratégie par défaut pour le sens « routed » a été remplacée par « allow »
(veillez à mettre à jour vos règles en conséquence)
facon-piscine@facon-piscine:~$ sudo ufw status verbose
État : inactif
facon-piscine@facon-piscine:~$
Hors ligne
#347 Le 30/11/2022, à 20:33
- polinux
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
Après redémarrage du pc voici les retours :
facon-piscine@facon-piscine:~$ sudo ufw status verbose
[sudo] Mot de passe de facon-piscine :
État : actif
Journalisation : on (low)
Par défaut : allow (incoming), allow (outgoing), allow (routed)
Nouveaux profils : skip
Vers Action De
---- ------ --
22/tcp (OpenSSH) ALLOW IN Anywhere
1194/tcp ALLOW IN Anywhere
3306 ALLOW IN Anywhere
22/tcp (OpenSSH (v6)) ALLOW IN Anywhere (v6)
1194/tcp (v6) ALLOW IN Anywhere (v6)
3306 (v6) ALLOW IN Anywhere (v6)
facon-piscine@facon-piscine:~$ sudo iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ufw-before-logging-input all -- anywhere anywhere
ufw-before-input all -- anywhere anywhere
ufw-after-input all -- anywhere anywhere
ufw-after-logging-input all -- anywhere anywhere
ufw-reject-input all -- anywhere anywhere
ufw-track-input all -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
ufw-before-logging-forward all -- anywhere anywhere
ufw-before-forward all -- anywhere anywhere
ufw-after-forward all -- anywhere anywhere
ufw-after-logging-forward all -- anywhere anywhere
ufw-reject-forward all -- anywhere anywhere
ufw-track-forward all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ufw-before-logging-output all -- anywhere anywhere
ufw-before-output all -- anywhere anywhere
ufw-after-output all -- anywhere anywhere
ufw-after-logging-output all -- anywhere anywhere
ufw-reject-output all -- anywhere anywhere
ufw-track-output all -- anywhere anywhere
Chain ufw-after-forward (1 references)
target prot opt source destination
Chain ufw-after-input (1 references)
target prot opt source destination
ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:netbios-ns
ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:netbios-dgm
ufw-skip-to-policy-input tcp -- anywhere anywhere tcp dpt:netbios-ssn
ufw-skip-to-policy-input tcp -- anywhere anywhere tcp dpt:microsoft-ds
ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:bootps
ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:bootpc
ufw-skip-to-policy-input all -- anywhere anywhere ADDRTYPE match dst-type BROADCAST
Chain ufw-after-logging-forward (1 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-output (1 references)
target prot opt source destination
Chain ufw-after-output (1 references)
target prot opt source destination
Chain ufw-before-forward (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp parameter-problem
ACCEPT icmp -- anywhere anywhere icmp echo-request
ufw-user-forward all -- anywhere anywhere
Chain ufw-before-input (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ufw-logging-deny all -- anywhere anywhere ctstate INVALID
DROP all -- anywhere anywhere ctstate INVALID
ACCEPT icmp -- anywhere anywhere icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp parameter-problem
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc
ufw-not-local all -- anywhere anywhere
ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns
ACCEPT udp -- anywhere 239.255.255.250 udp dpt:1900
ufw-user-input all -- anywhere anywhere
Chain ufw-before-logging-forward (1 references)
target prot opt source destination
Chain ufw-before-logging-input (1 references)
target prot opt source destination
Chain ufw-before-logging-output (1 references)
target prot opt source destination
Chain ufw-before-output (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ufw-user-output all -- anywhere anywhere
Chain ufw-logging-allow (0 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
target prot opt source destination
RETURN all -- anywhere anywhere ctstate INVALID limit: avg 3/min burst 10
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-not-local (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere ADDRTYPE match dst-type LOCAL
RETURN all -- anywhere anywhere ADDRTYPE match dst-type MULTICAST
RETURN all -- anywhere anywhere ADDRTYPE match dst-type BROADCAST
ufw-logging-deny all -- anywhere anywhere limit: avg 3/min burst 10
DROP all -- anywhere anywhere
Chain ufw-reject-forward (1 references)
target prot opt source destination
Chain ufw-reject-input (1 references)
target prot opt source destination
Chain ufw-reject-output (1 references)
target prot opt source destination
Chain ufw-skip-to-policy-forward (0 references)
target prot opt source destination
DROP all -- anywhere anywhere
Chain ufw-skip-to-policy-input (7 references)
target prot opt source destination
DROP all -- anywhere anywhere
Chain ufw-skip-to-policy-output (0 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
Chain ufw-track-forward (1 references)
target prot opt source destination
Chain ufw-track-input (1 references)
target prot opt source destination
Chain ufw-track-output (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere ctstate NEW
ACCEPT udp -- anywhere anywhere ctstate NEW
Chain ufw-user-forward (1 references)
target prot opt source destination
Chain ufw-user-input (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh /* 'dapp_OpenSSH' */
Chain ufw-user-limit (0 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
Chain ufw-user-limit-accept (0 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
Chain ufw-user-logging-forward (0 references)
target prot opt source destination
Chain ufw-user-logging-input (0 references)
target prot opt source destination
Chain ufw-user-logging-output (0 references)
target prot opt source destination
Chain ufw-user-output (1 references)
target prot opt source destination
facon-piscine@facon-piscine:~$
Hors ligne
#348 Le 30/11/2022, à 20:48
- polinux
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
Après le redémarrage le port 1194 est fermé donc pas possible de se connecter même en local
Hors ligne
#349 Le 30/11/2022, à 21:18
- NicoApi73
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
Ce qui est (fort) possible, c'est qu'il y ait une interaction entre ufw et iptables-persistent que je t'ai fait installer, sans prendre en compte ufw qui était actif. Essayons ceci :
sudo apt remove iptables-persistent --purge
sudo apt autoremove --purge
sudo sudo ufw disable
Tu rebootes la machine. Puis, sans autre commande :
sudo ufw status
sudo iptables -L
Dernière modification par NicoApi73 (Le 30/11/2022, à 21:49)
Hors ligne
#350 Le 30/11/2022, à 21:57
- polinux
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
ok c'est fait j'ai redémarré le pc et direct j'ai fais :
facon-piscine@facon-piscine:~$ sudo ufw status
[sudo] Mot de passe de facon-piscine :
État : inactif
facon-piscine@facon-piscine:~$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
facon-piscine@facon-piscine:~$
je viens de contrôler le port 1194 est ouvert
Hors ligne