OVH Community

Bienvenue sur votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres OVH Community.

[Résolu] Routeur Ubiquiti Unifi USG‑PRO‑4 + Overthebox (OVH & Freebox)


#21

Slt

Je vois dans ta capture de l'unifi tu a deux fois ip 192.168.1.1 (IP + router) c'est pas possible.
Tu a branché quoi sur ton wan (quelle adsl) ?


#22

Si je fais un curl sur https://www.serveur-perso.com/ et que je fais une capture en regardant uniquement ce qui vient de mon IP:

root@OverTheBox:~# tcpdump -i any -n tcp and host 109.190.254.33 and port 443
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
15:12:42.556922 IP 109.190.254.33.12593 > 10.166.178.2.443: Flags [S], seq 2549131456, win 29200, options [mss 1380,sackOK,TS val 432158173 ecr 0,nop,wscale 7], length 0
15:12:42.556987 IP 109.190.254.33.12593 > 192.168.74.4.443: Flags [S], seq 2549131456, win 29200, options [mss 1380,sackOK,TS val 432158173 ecr 0,nop,wscale 7], length 0
15:12:42.556991 IP 109.190.254.33.12593 > 192.168.74.4.443: Flags [S], seq 2549131456, win 29200, options [mss 1380,sackOK,TS val 432158173 ecr 0,nop,wscale 7], length 0

Le paquet arrive bien depuis l'IP ton service via le tunnel (l'IP 10.166.178.2), puis le paquet est bien NATté et envoyé à 192.168.74.4.
Tu es sûr de ne pas avoir des règles de firewall sur ton Unfi routeur ?
Parce que pour moi tout est bon niveau network, c'est 192.168.74.4 qui ne répond pas.


#23

les regles firewall dans unifi (192.168.74.3 est le serveur)


#24

ci joint des captures du wan / lan unifi et dhcp unifi chez moi


#25

J'ai mis plusieurs capture. pense tu que j'ai mal cablé quelque chose ?
J'ai fais ainsi :
Sur le routeur UNIFI sur la WAN j'ai branché la freebox qui a pour gateway 192.168.1.254 puis toujours sur UNIFI sur la partie LAN je vais jusqu'au switch 24 ports ou est branché la connexion 4G + connexion ALSATIS et l' OTB


#26

Je ne suis pas du tout expert Ubiquiti, je peux juste te dire que l'OTB fait bien le nat... :)


#27

En tout cas merci tu ma fait avancé je vais regarder du coté de l'UNIFI.
Ca fait du bien d'avoir un support sur le forum, on se sent un peu moins seul :-) merci


#28

https://w000t.me/3750c41494


#29

Hello

Dans ta configuration tu fait

Ton LAN (avec l'otb et le modem 4G) -> Patte LAN de ton UNIFI -> routeur UNIFI -> patte wan de ton UNIFI -> freebox -> internet

Une configuration correct serait plutôt :

Ton lan ->patte LAN de ton UNIFI -> routeur unifi -> patte wan UNIFI -> switch ( 5 port par exemple ) -> otb + freebox + routeur 4g. -> internet

Pour m'expliquer :

Tu fait une demande du port web 443 depuis l'ip source du tunnel otb -> la demande est forward à ton UNIFI, qui lui même forward bien au 192.168.74.3 -> le serveur apache renvoi la réponse à ton UNIFI, mais au lieu de renvoyer la demande à l'ip source (le tunnel ) l'UNIFI renvoie à sa gateway, c'est a dire le modem FREE.

Dans cette configuration la un exemple de config pour ta patte wan UNIFI serait (si l'ip de l'otb est par défaut ):

ip = (sur le même range que l'otb ) = 192.168.100.253
Gateway = (otb) = 192.168.100.1
Mask : /24

Et ton sous réseau en 192.168.74.0/24 pour la patte LAN.

Je t'invite à regarder le shéma que j'ai posté plus haut.


#30

Merci je regarde


#31

Bonjour à tous,

Bon pour commencer merci beaucoup pour votre aide ça fait plaisir de voir du support sur mon petit "vieux" topic ;)

Aussi incroyable que cela puisse paraître, j'ai enfin réussi ! En sachant qu'avec l'ancienne OTB les mèmes paramètres ne fonctionnait pas. Voici comment j'ai procédé :

Avant l'USG :

  • Tous les modems ainsi que l'OTB Plus sont sur la plage IP 192.168.2.x
    • Aucun paramètre DMZ dans l'OTB Plus (Dès que je l'active je n'accède plus à la configuration de l'OTB)
    • DHCP activé sur tous les modems ainsi que sur l'OTP Plus

-- Branchement du port SFP de l'OTB sur le port SFP1 de l'USG
-- Branchement du port WAN1 sur le premier Switch

USG en 192.168.1.1 en configuration automatique DHCP (Oui, Oui....) DHCP activée sur l'USG

Toutes les machines de mon réseau on bien les adresses IP distribués en 192.168.1.x donc par le DHCP de l'USG.

Ça fonctionne ! Enfin :)

Par contre deux questions me trotte :

  • C'est pas grave d'avoir autant de DHCP activé (Modems ok par contre l'OTB + l'USG ... ?
  • C'est pas grave d'avoir aucun paramètre DMZ sur l'OTB Plus ?

(Désolé je ne suis pas un professionnel du réseau....)

Bonne journée ;)


#32

Hello,
Il vaut mieux couper le serveur DHCP de l'OTB si c'est l'USG qui joue ce rôle. Sinon ça va être le plus rapide à répondre qui gagne :)
La DMZ n'est nécessaire que si tu souhaites faire des redirections de port depuis l'IP publique de l'OTB et que tu veux que ça soit l'USG qui gère le firewalling.


#33

Bonjour,

J'ai reussi a connecté comme expliqué plus haut, merci a @gregdel et @Benoit.D
OTB = LAN : 192.168.100.253
UNIFI LAN : 192.168.74.0/24 (IP de UNIFI 192.168.74.4) et (LAN de 192.168.74.10-100)
UNIFI WAN: 192.168.100.99 GW : 192.168.100.253

Sauf que j'ai un souci. J'ai créer la DMZ sur l'OTB en direction de 192.168.74.4 et que j'essaye d'accéder a mon serveur web je tombe sur l'interface de UNIFI.
Je comprends pas pourquoi
Voir capture DMZ sur OTB et UNIFI


#34

Bonjour @BOBC

A tu réussi a créer une DMZ sur OTB afin que c'est UNIFI qui transfert le trafic sur les ports ?

merci


#35

Salut, @Pierre-AngeC

Parles tu du site https://www.serveur-perso.com/ ? si oui j’accède bien à celui-ci.

Mais vue la config de ton firewall , je pense que la dmz est désactivée:
option name 'DMZ-FW-UNIFI'
option dest_ip '192.168.74.4'
option enabled '0'

Sinon :

Si tu as mis ta DMZ de l'overthebox vers l'ip de ton UNIFI, il est normale que tu arrives sur son interface WEB depuis l’extérieur si celui-ci écoute sur le port 80 ou 443.

A tu mise en place la redirection vers ton serveur WEB depuis ton UNIFI ?( wan vers lan, redirection du port à destination du 443 vers l'ip du serveur apache vers le port 443 )


Petit plus pour vérifier si la DMZ fonctionne bien

réactiver la DMZ et lancer en ssh un tcpdum

root@OverThebox:~# tcpdump -i any port 443 | grep 192.168.74.4

effectue en parallèle une tentative de connexion sur ton site en https, tu devrais voir la demande arriver par ton ip publique et être transférée à 192.168.74.4

La réponse devrait ressembler a sa :
root@OverTheBox:~# tcpdump -i any port 443 | grep 192.168.74.4

[date] IP [IP_Source].[port_source] > 192.168.74.4.443: Flags [S], seq 3733802494, win 29200, options [mss 1360,sackOK,TS val 212056679 ecr 0,nop,wscale 7], length 0

Si cette réponse apparaît, c'est que la demande est bien envoyée à ton UNIFI. tu peu faire la même chose sans doute sur celui-ci pour voir si la demande est ensuite envoyer à ton site web.


#36

bonjour @Benoit.D
Effectivement tu accède au site serveur-perso.com car la DMZ de OTB est désactivé. J'ai remis les règles d'avant voir capture.

Pour les règles de UNIFI oui il sont bien inscrite, voir captures.

Je fais la manip en SSH est reviens vers toi.


#37

voici la réponse SSH depuis OTB

tcpdump -i any port 443 | grep 192.168.74.4
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
13:07:31.464096 IP 192.168.74.127.56330 > 192.168.74.4.443: Flags [SEW], seq 2321904671, win 29200, options [mss 1410,sackOK,TS val 660339917 ecr 0,nop,wscale 7], length 0
13:07:31.464104 IP 192.168.74.127.56330 > 192.168.74.4.443: Flags [SEW], seq 2321904671, win 29200, options [mss 1410,sackOK,TS val 660339917 ecr 0,nop,wscale 7], length 0
13:07:31.464308 IP 192.168.74.4.443 > 192.168.74.127.56330: Flags [S.], seq 2735655201, ack 2321904672, win 14480, options [mss 1460,sackOK,TS val 10835848 ecr 660339917,nop,wscale 7], length 0
13:07:31.464313 IP 192.168.74.4.443 > 192.168.74.127.56330: Flags [S.], seq 2735655201, ack 2321904672, win 14480, options [mss 1460,sackOK,TS val 10835848 ecr 660339917,nop,wscale 7], length 0
13:07:31.519376 IP 192.168.74.127.56330 > 192.168.74.4.443: Flags [.], ack 1, win 229, options [nop,nop,TS val 660339931 ecr 10835848], length 0


#38

Voici coté Unifi en ssh

@ubnt:~$ sudo tcpdump -i any port 443 | grep 192.168.74.3
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
13:25:12.136784 IP 192.168.74.3.47939 > 151.127.13.102.https: Flags [S], seq 1942414175, win 29200, options [mss 1460,sackOK,TS val 3477396060 ecr 0,nop,wscale 7], length 0
13:25:12.225208 IP 151.127.13.102.https > 192.168.74.3.47939: Flags [S.], seq 313179047, ack 1942414176, win 14480, options [mss 1410,sackOK,TS val 10941921 ecr 3477396060,nop,wscale 7], length 0
13:25:12.225825 IP 192.168.74.3.47939 > 151.127.13.102.https: Flags [.], ack 1, win 229, options [nop,nop,TS val 3477396149 ecr 10941921], length 0
13:25:12.226100 IP 192.168.74.3.47939 > 151.127.13.102.https: Flags [P.], seq 1:290, ack 1, win 229, options [nop,nop,TS val 3477396149 ecr 10941921], length 289
13:25:12.320719 IP 151.127.13.102.https > 192.168.74.3.47939: Flags [.], ack 290, win 122, options [nop,nop,TS val 10941931 ecr 3477396149], length 0
13:25:12.446599 IP 151.127.13.102.https > 192.168.74.3.47939: Flags [P.], seq 1:1357, ack 290, win 122, options [nop,nop,TS val 10941940 ecr 3477396149], length 1356
13:25:12.596787 IP 192.168.74.3.47939 > 151.127.13.102.https: Flags [.], ack 1357, win 251, options [nop,nop,TS val 3477396520 ecr 10941940], length 0


#39

Merci pour les captures.

Effectivement les demandes depuis la DMZ arrive bien sur ton UNIFI, par contre celui-ci a l'air de prendre le pas sur la redirection du 443 et du 80, et je suis redirigé vers son interface depuis le site : https://www.serveur-perso.com/

Dans la liste de tes règles, la DMZ est en dernière. si j'active la règle du 443, je suis bien rediriger vers ton serveur web.

Un paramètre doit bloquer la redirection du web sur ton UNIFI.

Sur cette configuration ( redirection depuis l'otb pour le serveur web, et DMZ sur l'UNIFI pour les autres services ) tes services fonctionnes t'ils correctement ?


#40

quand la DMZ activé seul dans OTB les autres services (mail, ftp etc..) ne fonctionne pas aussi.
Pour que ça fonctionne je suis obligé de faire port a port comme le 443 dans OTB.
J'arrive pas a voir ce qui coince dans unifi.