Arethusa forum

Arethusa discussion forums.

You are not logged in.

Announcement

Registration is not required to post, but is required to post links.

#1 2018-05-22 22:18:18

Adelscott
Anonymous

Port 80 bloqué sur 1er serveur V3 mais pas le 2nd ?

Hello,

J'avais une commande curl qui me permettait de connaitre mon ip externe, quand j'étais sur le V2 cette commande ne m'avait jamais fait défaut :

curl http://whatismyip.akamai.com/; echo

Sur eu1.vgw.arethusa.su j'obtiens maintenant :
curl: (7) Failed to connect to whatismyip.akamai.com port 80: Connection refused

Sur eu2.vgw.arethusa.su j'ai bien la réponse

et ce qui est drôle (ou pas) c'est que si je reviens sur le eu1, cela fonctionne encore pendant quelques temps (j'obtiens bien une IP différente de celle sur eu2) puis rebelote le lendemain ça ne fonctionne plus

#2 2018-05-23 09:34:01

Zero
Moderator

Re: Port 80 bloqué sur 1er serveur V3 mais pas le 2nd ?

Vu que c'est "Connection refused" et non pas un timeout, cela ressemble plus à un problème (ou refus volontaire par leur pare-feu) côté akamai qu'à un problème d'acheminement des paquets.
C'est le seul site sur lequel ce problème apparaît ?
Est-ce pareil en https ? (leur certificat est invalide mais ça répond)

Offline

#3 2018-05-23 20:45:45

Adelscott
Anonymous

Re: Port 80 bloqué sur 1er serveur V3 mais pas le 2nd ?

Sur tous les sites en fait, (dans le script ici https://unix.stackexchange.com/question … ll-script)
en https j'ai : curl: (51) SSL: no alternative certificate subject name matches target host name 'whatismyip.akamai.com'

sur http://icanhazip.com/ même erreur, connection refused
par contre ça fonctionne sur https://icanhazip.com/ il me donne une ip en 185.11

et j'ai tendance à croire que le VPN est en cause, je viens de repasser sur le eu2 et j'ai bien la réponse en http sad

edit : je vais rester sur le eu2 jusqu'à demain voir s'il se passe la même chose

Last edited by Adelscott (2018-05-23 20:57:11)

#4 2018-05-23 22:17:23

Zero
Moderator

Re: Port 80 bloqué sur 1er serveur V3 mais pas le 2nd ?

Adelscott wrote:

en https j'ai : curl: (51) SSL: no alternative certificate subject name matches target host name 'whatismyip.akamai.com'

C'est le résultat normal. Ça fonctionne mais comme leur certificat est invalide curl ne va pas plus loin.



Donc chez toi ça fonctionne partout en https mais nulle part en http.
Je me suis connecté sur eu1 pour tester: tous ces sites fonctionnent aussi bien en http qu'en https.
Il n'y a d'ailleurs rien sur les serveurs VPN qui pourrait expliquer une différence selon le protocole.
Si tu es certain que ça ne vient pas de chez toi, ouvre un ticket sur le support.

Offline

#5 2018-05-24 18:26:00

Adelscott
Anonymous

Re: Port 80 bloqué sur 1er serveur V3 mais pas le 2nd ?

Bon alors hier au bout de moins de 2h j'ai eu le même problème sur le eu2. Et j'en ai profité pour faire la même requête curl http directement depuis le routeur (dd-wrt sur lequel tourne openvpn), et là je n'avais pas le pb (jusque là c'était sur le synology que je testais uniquement). Du coup j'ai changé de cible et j'accuse le client vpn ou la façon dont je l'utilise.

J'ai bidouillé un peu dans les options d'OpenVPN et j'ai remis les lignes qui ne semblaient pas être utiles (cf mon post de passage en V3) :

tun-ipv6
route-ipv6 2000::/3
route-ipv6 ::/0

je ne sais pas si c'est uniquement ça (en tout cas je ne me souviens pas avoir changé autre chose) mais ce soir en rentrant je n'ai plus le problème.

#6 2018-05-25 10:03:20

Zero
Moderator

Re: Port 80 bloqué sur 1er serveur V3 mais pas le 2nd ?

Remettre les options IPv6 a pour effet de donner une connectivité IPv6 au routeur (mais pas au réseau local, sans config spécifique), s'il n'y a pas d'erreur.

Cela n'a aucun impact sur les sites disponibles uniquement en IPv4, comme whatismyip.akamai.com

icanhazip.com est par contre disponible aussi en IPv6 et devrait donc renvoyer une IPv6 au lieu de l'IPv4.

Offline

#7 2018-05-25 17:11:48

Adelscott
Anonymous

Re: Port 80 bloqué sur 1er serveur V3 mais pas le 2nd ?

Plus de problème ce soir non plus. On dirait que c'était bien ça. Si je suis motivé je ferai l'essai inverse et j'essaierai de voir si c'est au niveau du VPN ou du firewall que ça bloque. Je ne sais même pas si ce que je dis a du sens : est ce que les réglages d'OpenVPN peuvent avoir un impact sur le firewall du routeur -_- ?

edit : le test sur whatismyip.akamai.com, donc uniquement en ipv4 ?, fonctionne bien

Last edited by Adelscott (2018-05-25 17:14:31)

#8 2018-05-26 12:04:07

Zero
Moderator

Re: Port 80 bloqué sur 1er serveur V3 mais pas le 2nd ?

Il n'y a aucun réglage dans OpenVPN qui peut expliquer ce comportement. Et, sauf ajout de script externe, OpenVPN ne touche pas au firewall.

Offline

#9 2018-05-27 20:36:56

Adelscott
Anonymous

Re: Port 80 bloqué sur 1er serveur V3 mais pas le 2nd ?

Ca me rend fou ce truc

Je mets une checklist de ce que j'ai fait :

- mise à jour de la dernière version de dd-wrt (elle avait 4 ans, il était temps)
- épuration des commandes firewall pour ne garder que :
iptables -I FORWARD -i br0 -s 192.168.2.11 -o vlan2 -j DROP
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

rien à faire au bout de quelques instants je me retrouve avec le "port 80: Connection refused"
à un moment j'ai quand même vu un "port 80 : no route for host" ou truc dans le genre

du coup je suis revenu sur le v2 .... pour l'instant ça tient ...

#10 2018-05-27 22:46:13

Zero
Moderator

Re: Port 80 bloqué sur 1er serveur V3 mais pas le 2nd ?

Je ne comprends pas bien: il y a maintenant aussi l'erreur en lançant le script depuis le routeur ? ou bien c'est à nouveau sur le NAS ?

C'est sur quel serveur v2 que cela fonctionne ?

Offline

#11 2018-05-28 18:08:57

Adelscott
Anonymous

Re: Port 80 bloqué sur 1er serveur V3 mais pas le 2nd ?

Sur le routeur je n'ai jamais rencontré ce problème.

J'aurais dû recharger une config de janvier qui fonctionnait sans pb sur la V2 avant de mettre à jour DD-WRT, tant pis.

Du coup sur le V2 j'avais encore le problème hier en fin d'après midi, c'est donc sans doute un pb sur la config de mon routeur. Puis j'ai re-bidouillé un peu et je suis arrivé à une solution stable (ça tient depuis un peu plus de 20h) je logue ici ma config :

lTYzQ4n.png

client
dev tun
proto udp
remote p2p.tunsrv.s6n.net 443
#remote nl-pp.tunsrv.s6n.net 443
resolv-retry infinite
nobind
persist-key
persist-tun
persist-remote-ip
keepalive 10 60
mute-replay-warnings
ns-cert-type server
cipher AES-256-CBC
comp-lzo
verb 6
mute 20
#auth-nocache
#auth-user-pass /tmp/ARETHUSA/password.txt
auth-user-pass /jffs/password.txt
redirect-gateway def1 bypass-dhcp 

F6oh3hK.png

Ca il me semble que c'est le dernier truc avec lequel j'ai joué avant que ça fonctionne

lqdtxyF.png

Et dans les commandes du firewall j'ai remis tout ce que j'avais pour limiter les connexions entre les 2 routeurs (mais rien de spécifique au port 80 ou 443, je préfère le signaler)

IPV6 est désactivé sur le routeur.

A savoir que là le "curl http://icanhazip.com/;" depuis le routeur ne répond jamais, même pas de timeout, m'enfin ça ne me dérange pas puisque ça fonctionne sur le NAS et un PC que j'ai connecté au même routeur. (edit: ah si il y a un timeout, je suis rassuré curl: (7) Failed to connect to icanhazip.com port 80: Operation timed out)

Etapes suivantes :
- Sauvegarder la config (fait)
- Rebooter le routeur pour voir si c'est vraiment stable
- rebasculer sur un V3

Last edited by Adelscott (2018-05-28 18:12:01)

#12 2018-05-28 18:26:00

Adelscott
Anonymous

Re: Port 80 bloqué sur 1er serveur V3 mais pas le 2nd ?

Et voilà après un reboot l'erreur est revenue, c'est ok pendant un moment puis


admin@DiskStation:~$ curl http://icanhazip.com/;
curl: (7) Failed to connect to icanhazip.com port 80: Connection refused
admin@DiskStation:~$ curl https://icanhazip.com/;
185.11.21x.xx

c'est à devenir fou ...

#13 2018-05-29 10:07:09

Zero
Moderator

Re: Port 80 bloqué sur 1er serveur V3 mais pas le 2nd ?

Je recommande de:

- lister toutes les régles iptables pour voir si le système n'aurait pas ajouté quelque chose:

iptables-save | less

- Faire un traceroute TCP sur le port 80 pour voir où ça bloque:

tcptraceroute whatismyip.akamai.com

À la fois sur le routeur et sur le NAS.
En espérant que les commandes soient disponibles sur ces systèmes.

Offline

#14 2018-05-29 19:12:21

Adelscott
Anonymous

Re: Port 80 bloqué sur 1er serveur V3 mais pas le 2nd ?

Sur le nas iptables-save ne me donne rien, je n'ai pas activé de firewall. La commande tcptraceroute n'est ni dispo sur le nas ni sur le routeur.

Contexte :
http et https fonctionnent sur le routeur
http ne fonctionne plus après quelques secondes/minutes sur le NAS
https fonctionne toujours sur le NAS
J'ai 2 routeurs, un en 192.168.1.* qui est mon lan principal, un en 192.168.2.* qui est celui qui fait tourner OpenVPN et où je connecte tous les appareils qui veulent aller sur le VPN, dont le NAS.

Voilà ce que me donne iptables-save sur le routeur faisant tourner OpenVPN

# Generated by iptables-save v1.3.7 on Tue May 29 21:05:39 2018
*raw
:PREROUTING ACCEPT [512981:750957507]
:OUTPUT ACCEPT [4483:1109642]
COMMIT
# Completed on Tue May 29 21:05:39 2018
# Generated by iptables-save v1.3.7 on Tue May 29 21:05:39 2018
*nat
:PREROUTING ACCEPT [494689:736538024]
:INPUT ACCEPT [412:28565]
:OUTPUT ACCEPT [91:7994]
:POSTROUTING ACCEPT [41:4546]
-A PREROUTING -d 192.168.1.2 -p tcp -m tcp --dport 22 -j DNAT --to-destination 192.168.2.1:22
-A PREROUTING -d 192.168.1.2 -p icmp -j DNAT --to-destination 192.168.2.1
-A PREROUTING -d 192.168.1.2 -p tcp -m tcp --dport 61010 -j DNAT --to-destination 192.168.2.11:5000
-A PREROUTING -d 192.168.1.2 -p udp -m udp --dport 61010 -j DNAT --to-destination 192.168.2.11:5000
-A PREROUTING -d 192.168.1.2 -j TRIGGER --trigger-proto --trigger-match 0-0 --trigger-relate 0-0
-A PREROUTING -s 192.168.2.0/255.255.255.0 -d 192.168.2.0/255.255.255.0 -i br0 -p tcp -m tcp --dport 80 -j ACCEPT
-A PREROUTING -s ! 10.10.10.10 -i br0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.10.10.10:3128
-A POSTROUTING -o tun1 -j MASQUERADE
-A POSTROUTING -s 192.168.2.0/255.255.255.0 -o vlan2 -j SNAT --to-source 192.168.1.2
-A POSTROUTING -m mark  --mark0x80000000/0x80000000 -j MASQUERADE
-A POSTROUTING -o tun0 -j MASQUERADE
-A POSTROUTING -s 192.168.2.0/255.255.255.0 -d 10.10.10.10 -o br0 -p tcp -j SNAT --to-source 192.168.2.1
COMMIT
# Completed on Tue May 29 21:05:39 2018
# Generated by iptables-save v1.3.7 on Tue May 29 21:05:39 2018
*mangle
:PREROUTING ACCEPT [504126:738046828]
:INPUT ACCEPT [4909:883529]
:FORWARD ACCEPT [5123:673479]
:OUTPUT ACCEPT [4385:1094946]
:POSTROUTING ACCEPT [9845:1850870]
-A PREROUTING -d 192.168.1.2 -i ! vlan2 -j MARK  --set-xmark 0x80000000/0x80000000
-A PREROUTING -j CONNMARK --save-mark
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Tue May 29 21:05:39 2018
# Generated by iptables-save v1.3.7 on Tue May 29 21:05:39 2018
*filter
:INPUT ACCEPT [3019:643570]
:FORWARD ACCEPT [9:675]
:OUTPUT ACCEPT [4385:1094946]
:advgrp_1 - [0:0]
:advgrp_10 - [0:0]
:advgrp_2 - [0:0]
:advgrp_3 - [0:0]
:advgrp_4 - [0:0]
:advgrp_5 - [0:0]
:advgrp_6 - [0:0]
:advgrp_7 - [0:0]
:advgrp_8 - [0:0]
:advgrp_9 - [0:0]
:grp_1 - [0:0]
:grp_10 - [0:0]
:grp_2 - [0:0]
:grp_3 - [0:0]
:grp_4 - [0:0]
:grp_5 - [0:0]
:grp_6 - [0:0]
:grp_7 - [0:0]
:grp_8 - [0:0]
:grp_9 - [0:0]
:lan2wan - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
:logreject - [0:0]
:trigger_out - [0:0]
:grp_6 - [0:0]
:grp_7 - [0:0]
:grp_8 - [0:0]
:grp_9 - [0:0]
:lan2wan - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
:logreject - [0:0]
:trigger_out - [0:0]
-A INPUT -i tun1 -j ACCEPT
-A INPUT -s 192.168.1.109 -j ACCEPT
-A INPUT -i vlan2 -p tcp -m tcp --dport 8080 -j logdrop
-A INPUT -i vlan2 -p tcp -m tcp --dport 80 -j logdrop
-A INPUT -i vlan2 -p tcp -m tcp --dport 443 -j logdrop
-A INPUT -i vlan2 -p tcp -m tcp --dport 69 -j logdrop
-A INPUT -i vlan2 -p tcp -m tcp --dport 23 -j logdrop
-A FORWARD -s 192.168.2.0/255.255.255.0 -d 10.10.10.10 -i br0 -o br0 -p tcp -m tcp --dport 3128 -j ACCEPT
-A FORWARD -s 192.168.2.11 -d 192.168.1.109 -i br0 -o vlan2 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j logaccept
-A FORWARD -j lan2wan
-A FORWARD -i br0 -o br0 -j logaccept
-A FORWARD -d 224.0.0.0/240.0.0.0 -i vlan2 -p udp -j logaccept
-A FORWARD -d 192.168.2.11 -p tcp -m tcp --dport 5000 -j logaccept
-A FORWARD -d 192.168.2.11 -p udp -m udp --dport 5000 -j logaccept
-A FORWARD -i vlan2 -o br0 -j TRIGGER --trigger-proto --trigger-match 0-0 --trigger-relate 0-0
-A FORWARD -i br0 -j trigger_out
-A FORWARD -i br0 -m state --state NEW -j logaccept
-A logaccept -j ACCEPT
-A logdrop -j DROP
-A logreject -p tcp -j REJECT --reject-with tcp-reset
COMMIT
# Completed on Tue May 29 21:05:39 2018

Et voilà ce qu'il me reste sur les commandes firewall du routeur après épuration (la 1ère me permet de me connecter à mon NAS depuis un PC sur l'autre lan, la seconde me permet de gérer le routeur depuis ce même PC, la dernière j'ai lu un peu partout que c'était ce qu'il fallait mettre quand on faisait tourner OpenVPN sur un routeur)

iptables -I FORWARD -i br0 -s 192.168.2.11 -d 192.168.1.109 -o vlan2 -j ACCEPT
iptables -I INPUT -s 192.168.1.109 -j ACCEPT
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

Last edited by Adelscott (2018-05-29 19:20:27)

#15 2018-05-29 22:44:01

Zero
Moderator

Re: Port 80 bloqué sur 1er serveur V3 mais pas le 2nd ?

Je pense que le problème vient de là:

Adelscott wrote:
-A PREROUTING -s ! 10.10.10.10 -i br0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.10.10.10:3128

Le routeur redirige tout le trafic sur le port 80 (mais pas le trafic du routeur lui-même) vers un proxy transparent, probablement pour analyse DPI.

Peut-être que cela correspond à l'option SPI firewall ?

Offline

#16 2018-05-30 07:18:10

Adelscott
Anonymous

Re: Port 80 bloqué sur 1er serveur V3 mais pas le 2nd ?

SPI firewall est désactivé sad

Ca le redirige vers le serveur DNS ou je me trompe ?

#17 2018-05-30 08:06:11

Zero
Moderator

Re: Port 80 bloqué sur 1er serveur V3 mais pas le 2nd ?

C'est la même IP que le serveur DNS du VPN mais DD-WRT doit aussi s'en servir pour usage interne.

À défaut de pouvoir désactiver ce proxy transparent, il doit être possible d'ajouter une commande iptables pour supprimer la règle créée par DD-WRT.

Offline

#18 2018-05-30 17:17:44

Adelscott
Anonymous

Re: Port 80 bloqué sur 1er serveur V3 mais pas le 2nd ?

Est ce que ce ne serait pas parce que je l'ai mis dans "Local DNS" ?

WI6qHRf.png

edit : bon je reprends tout depuis le début, factory defaults et j'y vais pas à pas

Last edited by Adelscott (2018-05-30 18:36:46)

#19 2018-06-01 10:14:02

Adelscott
Anonymous

Re: Port 80 bloqué sur 1er serveur V3 mais pas le 2nd ?

Bon je crois que j'ai résolu le problème, en tout cas il ne s'est pas reproduit après de multiples reboot (et j'en ai profité pour repasser sur le V3). J'ai quasiment tout remis sauf une route statique vers mon 1er lan (je ne sais même plus à quoi elle servait vu que le reste semble fonctionner sans), l'accès Secure Shell, un port forward. 
Même le SPI Firewall est présent, ainsi que toutes mes commandes firewall, c'est à n'y rien comprendre ...

Merci ta patience Zero

Board footer

Powered by FluxBB