flux netbios avec OpenVPN

[moumou85]

Bonjour et bonne année à tous.

J'ai un petit problème avec mon tunnel OpenVPN (ZERINA). A savoir que je ma connecte parfaitement bien je parviens à pinger toutes les machines présentent sur mon réseau distant, l'accès ssh fonctionne aussi.

Cependant, le protocole netbios ne veux rien savoir. J'ai installé un serveur wins samba qui fonctionne (capture de trame à l'appui). Lorsque je tape "\\nom_de_ma_machine" la translation nom-> IP fonctionne mais le partage réseau ne s'affiche pas. (si je tape directement \\addresse_ip", le probème est le meme aucun partage netbios ne fonctionne).

pour info ma conf du client vpn :
#OpenVPN Server conf
tls-client
client
dev tun
proto tcp
tun-mtu 1400
remote xxx.xxx.xxx.xxx YYYY
pkcs12 ma_clé.p12
cipher BF-CBC
verb 3
ns-cert-type server

J'espère que mon problème est claire.

[kinkey]

La raison est assez simple. Tu doit être sur des plages ip différentes.
Par exemple au taf 192.168.0/24 et chez toi avec ta connexion OpenVPN 192.168.1/8 (je suis plus sur pour le . Perso j'utilise un dns qui répond sur les deux plages, samba va d'abord chercher les dns, ensuite le wins et si il trouve rien il fait un broadcast.

[moumou85]

Bonjour et merci.

En effet je suis bien sur deux plages diffèrentes. IPCOP interdit de mettre les ip du VPN dans la meme plage que les IP du LAN
Un serveur DNS est-il la seule solution pour pouvoir lié les deux réseaux?

[kinkey]

Disons que c'est la solution la plus simple et la plus viable dans le temps (le dns quand ça marche c'est support propre pour ton réseau).

Ce que tu peux faire aussi est de mettre un serveur wins côté green. A tes clients distants via le dhcp de zerina tu leurs indique où ce trouve le serveur wins côté green et normalement ça devrait marcher (a vérifier avec XP ou vista).

[moumou85]

Ben en fait, c'est ce que j'ai fait.
Le serveur Wins est installé sur mon ipcop (via samba) et l'addresse ip du wins est envoyé aux client du VPN par le dhcp. Ceci à l'air de marcher puisque j'ai bien la traduction nom_netbios->adresse_IP quand je suis sur le VPN.
Pourtant je n'arrive tout de meme pas à accéder aux partages même si je tape directement l'adresse ip...

Merci de ton aide

[jdh]

Quels sont les addons installés sur l'IPCOP ?

N'y aurait-il pas BOT avec les protocoles/ports nécessaires à SMB fermés ?

[moumou85]

Non je n'ai pas installé BOT. j'ai juste samba, squidguard et wake on lan.

[Poupou94]

Ben en fait, c'est ce que j'ai fait.
Le serveur Wins est installé sur mon ipcop (via samba) et l'addresse ip du wins est envoyé aux client du VPN par le dhcp. Ceci à l'air de marcher puisque j'ai bien la traduction nom_netbios->adresse_IP quand je suis sur le VPN.
Pourtant je n'arrive tout de meme pas à accéder aux partages même si je tape directement l'adresse ip...

Merci de ton aide

C'est un autre problème que la résolution de nom fonctionne et pas la connexion. Rien dans les logs du firewall?

Pascal.

[moumou85]

non rien en rapport avec les ip du VPN ni avec netbios dans les logs.

[Poupou94]

ben reste un bon coup de tcpdump pour voir ce qui passe, ou pas, entre client et serveur sur la machine IPCop.

Pascal.

[moumou85]

bonjour,

exact j'avais pas penssé à faire ca. Je regarde ce soir. Par contre je le fais sur quelle interface? la verte ou celle du tunnel?
Je commence à me poser des questions sur la faisabilitée de la chose, mes deux machines étant sur des réseaux diffèrents (1 sur le VPN en 10.x.x.x et l'autre sur le LAN en 192.x.x.x).

En tout cas merci de votre aide.

[kinkey]

C'est bizarre que ça marche pas. Vérifie un truc au niveau de la config de ton samba. Il y a un paramètre pour définir sur qu'elle plage d'adresse il doit répondre, j'ai plus le nom en tête.

[moumou85]

mon samba sur l'IPCOP ne sert que de serveur WINS (je ne partage aucun document) et apparemment cela fonctionne car la translation de nom netbios en adresse IP est OK.
Je tente d'accéder à un PC sous Windows situé sur mon réseau vert (sachant que lorsque je suis sur mon réseau vert ce partage netbios fonctionne très bien).

[moumou85]

Bonjour à tous,

alors j'ai fait un tcpdump -i tun0 > log_netbios

et voici le fameux fichier log_netbios :

19:02:00.561285 IP 10.13.54.6.netbios-ns > srv-fw.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; UNICAST
19:02:00.561447 IP srv-fw.netbios-ns > 10.13.54.6.netbios-ns: NBT UDP PACKET(137): QUERY; POSITIVE; RESPONSE; UNICAST
19:02:00.811272 IP 10.13.54.6 > srv-win: ICMP echo request, id 768, seq 1280, length 40
19:02:00.811987 IP srv-win > 10.13.54.6: ICMP echo reply, id 768, seq 1280, length 40
19:02:00.982801 IP 10.13.54.6.availant-mgr > srv-win.netbios-ssn: S 2313095688:2313095688(0) win 16384 <mss 1367,nop,nop,sackOK>
19:02:01.110023 IP 10.13.54.6.rmpp > srv-win.microsoft-ds: S 2304783668:2304783668(0) win 16384 <mss 1367,nop,nop,sackOK>
19:02:01.415281 IP 10.13.54.6 > srv-win: ICMP echo request, id 768, seq 1536, length 40
19:02:01.415658 IP srv-win > 10.13.54.6: ICMP echo reply, id 768, seq 1536, length 40
19:02:03.807501 IP 10.13.54.6.availant-mgr > srv-win.netbios-ssn: S 2313095688:2313095688(0) win 16384 <mss 1367,nop,nop,sackOK>
19:02:04.180432 IP 10.13.54.6.rmpp > srv-win.microsoft-ds: S 2304783668:2304783668(0) win 16384 <mss 1367,nop,nop,sackOK>
19:02:05.086841 IP srv-win.http > 10.13.54.6.ardus-cntl: R 212490398:212490398(0) ack 427824682 win 0
19:02:09.830980 IP 10.13.54.6.availant-mgr > srv-win.netbios-ssn: S 2313095688:2313095688(0) win 16384 <mss 1367,nop,nop,sackOK>
19:02:10.139034 IP 10.13.54.6.rmpp > srv-win.microsoft-ds: S 2304783668:2304783668(0) win 16384 <mss 1367,nop,nop,sackOK>
19:02:22.106833 IP 10.13.54.6.hpvmmcontrol > srv-win.http: S 92204110:92204110(0) win 16384 <mss 1367,nop,nop,sackOK>
19:02:22.117360 IP srv-win.http > 10.13.54.6.hpvmmcontrol: S 1888929575:1888929575(0) ack 92204111 win 16384 <mss 1460,nop,nop,sackOK>
19:02:22.305068 IP 10.13.54.6.hpvmmagent > srv-win.http: S 2449318126:2449318126(0) win 16384 <mss 1367,nop,nop,sackOK>
19:02:22.305511 IP srv-win.http > 10.13.54.6.hpvmmagent: S 3346087241:3346087241(0) ack 2449318127 win 16384 <mss 1460,nop,nop,sackOK>
19:02:22.513600 IP 10.13.54.6.hpvmmcontrol > srv-win.http: . ack 1 win 16404
19:02:22.513692 IP 10.13.54.6.hpvmmcontrol > srv-win.http: P 1:162(161) ack 1 win 16404
19:02:22.515657 IP srv-win.http > 10.13.54.6.hpvmmcontrol: P 1:201(200) ack 162 win 65374
19:02:22.633483 IP 10.13.54.6.hpvmmagent > srv-win.http: . ack 1 win 16404
19:02:22.633562 IP 10.13.54.6.hpvmmagent > srv-win.http: P 1:162(161) ack 1 win 16404
19:02:22.635587 IP srv-win.http > 10.13.54.6.hpvmmagent: P 1:201(200) ack 162 win 65374
19:02:23.105245 IP 10.13.54.6.hpvmmcontrol > srv-win.http: . ack 201 win 16204
19:02:23.415473 IP 10.13.54.6.hpvmmagent > srv-win.http: . ack 201 win 16204

(srv-fw = mon IPCOP avec le serveur WINS
srv-win = mon serveur de fichier auquel je tente d'accèder
10.13.54.6 = mon IP en tant que client du VPN)

Personnelement je ne vois aucun problème à cette capture de trames et pourtant à la fin j'ai un message d'erreur sur mon windows :

Impossible de trouverr le fichier ou l'élément \\srv-win. Vérifiez que vous l'avez entré correctement et recommencez, ou à partir du menu Démarrer, cliquez sur Rechercher pour trouver l'élément.

Voila.

Si vous avez une idée n'hésitez pas.
Merci.

[moumou85]

La poursuite de mes recherches m'a amené à faire un second tcpdump sur l'interface verte :

tcpdump -i eth0 host srv-win > log_netbios2

et voici le fichier log_netbios2 :

19:55:06.687354 IP 10.13.54.6 > srv-win: ICMP echo request, id 768, seq 1792, length 40
19:55:06.688879 IP srv-win > 10.13.54.6: ICMP echo reply, id 768, seq 1792, length 40
19:55:06.881179 IP 10.13.54.6.mini-sql > srv-win.netbios-ssn: S 1821462671:1821462671(0) win 16384 <mss 1367,nop,nop,sackOK>
19:55:06.985405 IP 10.13.54.6.ltp-deepspace > srv-win.microsoft-ds: S 1063503198:1063503198(0) win 16384 <mss 1367,nop,nop,sackOK>
19:55:07.292388 IP 10.13.54.6 > srv-win: ICMP echo request, id 768, seq 2048, length 40
19:55:07.292771 IP srv-win > 10.13.54.6: ICMP echo reply, id 768, seq 2048, length 40
19:55:09.684661 IP 10.13.54.6.mini-sql > srv-win.netbios-ssn: S 1821462671:1821462671(0) win 16384 <mss 1367,nop,nop,sackOK>
19:55:10.056254 IP 10.13.54.6.ltp-deepspace > srv-win.microsoft-ds: S 1063503198:1063503198(0) win 16384 <mss 1367,nop,nop,sackOK>
19:55:12.297237 arp who-has srv-win tell srv-fw.moumouland.fr
19:55:12.297794 arp reply srv-win is-at 00:0c:29:7c:f3:69 (oui Unknown)
19:55:15.719362 IP 10.13.54.6.mini-sql > srv-win.netbios-ssn: S 1821462671:1821462671(0) win 16384 <mss 1367,nop,nop,sackOK>
19:55:16.015979 IP 10.13.54.6.ltp-deepspace > srv-win.microsoft-ds: S 1063503198:1063503198(0) win 16384 <mss 1367,nop,nop,sackOK>
19:55:28.004000 IP 10.13.54.6.lmsocialserver > srv-win.http: F 281807050:281807050(0) ack 387862100 win 16204
19:55:28.004600 IP srv-win.http > 10.13.54.6.lmsocialserver: . ack 1 win 65374
19:55:28.004602 IP srv-win.http > 10.13.54.6.lmsocialserver: F 1:1(0) ack 1 win 65374
19:55:28.181187 IP 10.13.54.6.ardus-cntl > srv-win.http: S 78739727:78739727(0) win 16384 <mss 1367,nop,nop,sackOK>
19:55:28.181623 IP srv-win.http > 10.13.54.6.ardus-cntl: S 1065876063:1065876063(0) ack 78739728 win 16384 <mss 1460,nop,nop,sackOK>
19:55:28.499179 IP 10.13.54.6.lmsocialserver > srv-win.http: . ack 2 win 16204
19:55:28.799917 IP 10.13.54.6.ardus-cntl > srv-win.http: . ack 1 win 16404
19:55:28.800009 IP 10.13.54.6.ardus-cntl > srv-win.http: P 1:162(161) ack 1 win 16404
19:55:28.802093 IP srv-win.http > 10.13.54.6.ardus-cntl: P 1:201(200) ack 162 win 65374
19:55:29.306616 IP 10.13.54.6.ardus-cntl > srv-win.http: . ack 201 win 16204

Si ca peux aider quelqu'un... Je ne connet pas assez bien le protocole netbios pour deceller une erreur dans ces trames.