Config réseau VM Debian7 sous Win XP

Support Debian
#1

Bonsoir,

Mes connaissances Linux sont un peu poussiéreuses et mes connaissances réseau très basiques d’où mon appel à l’aide.
En fait mon but est assez compliqué et je ne sais même pas si c’est possible…
Mais bon, ça va peut-être paraître enfantin aux gourous du forum. :ugeek:

Mini-schéma

VM Debian7 <==> Windows XP SP3 <== RDP en VPN ==> Serveur distant

Ma config

  • VM Debian 7 (sous VMware Player) + Guacamole (=Tomcat écoutant en 8080 + serveur RDP émettant vers le port 3389), réseau en mode bridge, IP fixe

NB: Guacamole est un outil Linux Open Source intéressant que je teste qui permet de faire du “remote desktop” en HTTP(S) via un proxy assurant la traduction RDP <=> HTML5.

J’ai réussi à fixer l’adresse IP ainsi mais ai du passé en mode bridge ensuite si je me souviens bien:

[code]/etc/network/interfaces

iface eth0 inet static

address 192.168.1.18 ( < 1ere adresse plage DHCP)
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1 (d’après ipconfig Windows “cnx sans fil” ?)
[/code]

  • Hôte Windows XP SP3 + OpenVPN pour accès RDP à un serveur distant.

  • Vieille Box Club Internet (NeufBox) ouverte en écoute sur port 8080

Route créée: TCP Port ext:8080 192.168.1.18 dest:8080

  • un serveur distant accessible en RDP (10.x.y.z)

But

Via un browser supportant HTML5, accéder de l’extérieur (3G) en HTTP à la page d’accueil Guacamole de ma VM Debian : OK ça marche !
Mais…
la VM Debian doit ensuite dialoguer en RDP via openVPN sous Windows avec le serveur distant.
Heu, c’est pas très clair, non ?

Tests

NB: pare-feu Windows désactivé.

MS Terminal Server via OpenVPN: accès serveur distant OK!

VM Debian => RDP => Windows XP => VPN => serveur distant : KO, la connexion ne se fait pas.

Accès HTTP de Windows vers Debian : OK!

ping Debian vers Windows: OK

root@debian:/etc/guacamole# ping 192.168.1.21 PING 192.168.1.21 (192.168.1.21) 56(84) bytes of data. 64 bytes from 192.168.1.21: icmp_req=1 ttl=128 time=1.70 ms 64 bytes from 192.168.1.21: icmp_req=2 ttl=128 time=0.467 ms 64 bytes from 192.168.1.21: icmp_req=3 ttl=128 time=0.412 ms

ping Debian vers IP serveur distant devant être accessible en RDP : OK !?!

root@debian:/etc/guacamole# ping 10.x.y.z PING 10.x.y.z (10.x.y.z) 56(84) bytes of data. 64 bytes from 10.x.y.z: icmp_req=1 ttl=56 time=1361 ms 64 bytes from 10.x.y.z: icmp_req=2 ttl=56 time=360 ms 64 bytes from 10.x.y.z: icmp_req=3 ttl=56 time=287 ms

OK même si le VPN est OFF ce qui est bizarre, non ?

Bref, il faut que tout ce petit monde communique (3 serveurs: VM Debian, Windows XP, serveur distant via VPN) et pour moi, c’est pas gagné ! :confused:

…mais c’est sans compter sur l’aide des experts du forum qui maîtrisent parfaitement les config “bridge”, “NAT”… :wink:

A votre entière dispo pour toute info en + .

Salutations,

Guacam
Zzz… Zzz…

Quelques compléments d’info:

uname -a

Linux debian 3.2.0-4-686-pae #1 SMP Debian 3.2.41-2 i686 GNU/Linux

ifconfig -a

eth0 Link encap:Ethernet HWaddr 00:0c:29:30:7b:cc
inet addr:192.168.1.18 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe30:7bcc/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1207 errors:0 dropped:0 overruns:0 frame:0
TX packets:1062 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:225695 (220.4 KiB) TX bytes:504911 (493.0 KiB)
Interrupt:17 Base address:0x1080

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:181 errors:0 dropped:0 overruns:0 frame:0
TX packets:181 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:12040 (11.7 KiB) TX bytes:12040 (11.7 KiB)

route -n

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

interfaces

This file describes the network interfaces available on your system

and how to activate them. For more information, see interfaces(5).

The loopback network interface

auto lo
iface lo inet loopback

The primary network interface

allow-hotplug eth0

iface eth0 inet static

address 192.168.1.18
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1

resolv.conf

domain localdomain
search localdomain
nameserver 192.168.37.2

#2

Mais encore ?
Que donne

[quote=“Guacam”]ping Debian vers IP serveur distant devant être accessible en RDP : OK !?!
OK même si le VPN est OFF ce qui est bizarre, non ?[/quote]
Ouais, pas normal. Tu es sûr que c’est bien le serveur distant qui répond et pas une autre machine ? Certains FAI utilisent des adresses en 10.x.y.z sur leur réseau interne (ce qui est très mal à mon avis).

#3

En gros (j’essaye de résumer):
Si tu passes par une connexion directe en utilisant les ports ouverts sur ton routeur ca marche, mais si tu passes par ton VPN ca ne marche pas. C’est bien ca?

Ta machine virtuelle Debian te sert uniquement à “regrouper” les serveurs RDP (serveur Distant et XP SP3) sur lesquels tu veux te connecter et à les proposer via une interface WEB? (j’essaye de vraiment comprendre le schéma avant tout :stuck_out_tongue: )

Si tu testais déjà simplement l’accès au port de ton serveur distant via ton serveur Debian?
Que donne un

lancé depuis ton serveur Debian?

#4

Hello,

Merci pour ces 1ères suggestions que je vais tester ce soir, j’essaierai aussi d’examiner les traces de Guacamole (vertes et collantes! :laughing: ).

Voici une tentative de schéma pour mieux cerner la situation telle que je la vois (certainement partielle ou même fausse :confused: )…
Oui, je sais il est hyper moche mais vaut mieux un laid schéma qu’un beau discours. :wink:

Chaque composant est identifié par des lettres pour simplifier le dialogue.


Le flux, tel que je le perçois, est : C - B - D - B? - X - B - S
…et inversement.

Sur D, Guacamole assure la conversion de protocole HTTP <-> RDP
Sur X, le flux RDP passe par le client OpenVPN pour atteindre S.

C - B - D : OK, accès à la page web de login Guacamole

X - B - S : OK, accès à S avec MS Terminal Server en VPN

D - X (ou D - B - X ?): KO, le flux ne semble pas routé (?)

Voilà, j’espère que c’est un peu plus clair.

A ce soir.

Salutations,

Guacam.

#5

Bonsoir,

Voici les résultats des tests demandés:

VPN ON

root@debian:~# tcptraceroute 10.66.x.x 3389
traceroute to 10.66.x.x (10.66.x.x), 30 hops max, 60 byte packets
1 192.168.1.1 (192.168.1.1) 2.579 ms 1.811 ms *
2 * * *
3 * * *
4 * * *
5 * * *
6 * 93.20.x.x (93.20.x.x) 43.125 ms 49.632 ms
7 * * *
8 * * *

30 * * *

NB: Mon IP publique est 93...*

root@debian:~# telnet 10.66.x.x 3389
Trying 10.66.x.x…
telnet: Unable to connect to remote host: Connection timed out

VPN OFF
sans restart VM

root@debian:~# tcptraceroute 10.66.x.x 3389
traceroute to 10.66.x.x (10.66.x.x), 30 hops max, 60 byte packets
1 192.168.1.1 (192.168.1.1) 24.253 ms 22.225 ms *
2 * * *
3 * * *
4 * * *
5 * * *
6 * 93.20.x.x (93.20.x.x) 49.442 ms 47.344 ms
7 * * *
8 * * *

29 * * *
30 * * *
root@debian:~# telnet 10.66.x.x 3389
Trying 10.66.x.x…
telnet: Unable to connect to remote host: Connection timed out
root@debian:~#

Restart VM… juste pour voir
Ca ne change rien.

root@debian:~# telnet 10.66.x.x 3389
Trying 10.66.x.x…
telnet: Unable to connect to remote host: Connection timed out

root@debian:~# tcptraceroute 10.66.x.x 3389
traceroute to 10.66.x.x (10.66.x.x), 30 hops max, 60 byte packets
1 192.168.1.1 (192.168.1.1) 1695.581 ms 1691.105 ms *
2 * * *
3 * * *
4 * * *
5 * * *
6 * 93.20.x.x (93.20.x.x) 43.102 ms 46.144 ms
7 * * *
8 * * *

30 * * *

et je confirme: le ping répond VPN OFF !!!

root@debian:~# ping 10.66.x.x
PING 10.66.x.x (10.66.x.x) 56(84) bytes of data.
64 bytes from 10.66.x.x: icmp_req=1 ttl=56 time=284 ms
64 bytes from 10.66.x.x: icmp_req=2 ttl=56 time=296 ms
64 bytes from 10.66.x.x: icmp_req=3 ttl=56 time=284 ms
64 bytes from 10.66.x.x: icmp_req=4 ttl=56 time=297 ms
^C
— 10.66.x.x ping statistics —
5 packets transmitted, 4 received, 20% packet loss, time 4007ms
rtt min/avg/max/mdev = 284.112/290.489/297.203/6.360 ms

C’est grave Docteurs ?

J’essaie de trouver les traces Guacamole (ça me donne faim, je mange un morceau avant).

Merci pour votre aide.

@+

Guacam

#6

Qui est 192.168.1.1 ? La box ou le PC Windows hôte ?

#7

Re-bonsoir,

Bon, voici la dernière récolte d’infos de la soirée…
Heu… y’aurait pas une histoire de route à créer entre le réseau VPN en 10.* et mon réseau en 192.* ?
Mais de quel côté, Debian ou Windows ? Et comment ? C’est chaud ! :017

Merci de m’éclairer sur le sujet car là je suis dans le brouillard total. :confused:

root@debian:~# ip route show default via 192.168.1.1 dev eth0 192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.18

Désolé pour la longueur des posts mais il faut ce qu’il faut. :unamused:

Sous Win XP SP3
VPN OFF

ping adresse privée serveur distant: OK ! :open_mouth:

[code]C:\Documents and Settings\Guacam>ping 10.66.x.x

Envoi d’une requête ‘ping’ sur 10.66.x.x avec 32 octets de données :

Réponse de 10.66.x.x : octets=32 temps=289 ms TTL=56
Réponse de 10.66.x.x : octets=32 temps=281 ms TTL=56
Réponse de 10.66.x.x : octets=32 temps=282 ms TTL=56
Réponse de 10.66.x.x : octets=32 temps=289 ms TTL=56

Statistiques Ping pour 10.66.x.x:
Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
Minimum = 281ms, Maximum = 289ms, Moyenne = 285ms[/code]

Très surprenant !!!
Comment est-ce possible ??? :108

[code]C:\Documents and Settings\Guacam>tracert 10.66.x.x

Détermination de l’itinéraire vers 10.66.x.x avec un maximum de 30 sauts.

1 2 ms 1 ms 1 ms neufbox [192.168.1.1]
2 * * * Délai d’attente de la demande dépassé.
3 31 ms 31 ms 33 ms 85.82.65.86.rev.sfr.net [86.65.82.85]
4 34 ms 30 ms 34 ms 109.251.103.84.rev.sfr.net [84.103.251.109]
5 30 ms 31 ms 31 ms 26.154.96.84.rev.sfr.net [84.96.154.26]
6 42 ms 42 ms 41 ms 82.120.20.93.rev.sfr.net [93.20.120.82]
7 254 ms 244 ms 252 ms vlan4089-zac1-co-1.srr.n9uf.net [109.122.128.238
]
8 240 ms 240 ms 237 ms 106.131.122.109.rev.sfr.net [109.122.131.106]
9 247 ms 255 ms 246 ms 110.131.122.109.rev.sfr.net [109.122.131.110]
10 295 ms 283 ms 288 ms 10.66.x.x

Itinéraire déterminé.
[/code]
Heu… il fait quoi là ???
Visite de tout le réseau SFR ?!?

[b]VM non démarrée

[/b]

[quote]C:\Documents and Settings\Guacam>ipconfig

Configuration IP de Windows

Carte Ethernet VMware Network Adapter VMnet8:

    Suffixe DNS propre à la connexion :
    Adresse IP. . . . . . . . . . . . : 192.168.37.1
    Masque de sous-réseau . . . . . . : 255.255.255.0
    Passerelle par défaut . . . . . . :

Carte Ethernet VMware Network Adapter VMnet1:

    Suffixe DNS propre à la connexion :
    Adresse IP. . . . . . . . . . . . : 192.168.147.1
    Masque de sous-réseau . . . . . . : 255.255.255.0
    Passerelle par défaut . . . . . . :

Carte Ethernet Connexion au réseau local:

    Statut du média . . . . . . . . . : Média déconnecté

Carte Ethernet Connexion réseau sans fil 3:

    Suffixe DNS propre à la connexion :
    Adresse IP. . . . . . . . . . . . : 192.168.1.21
    Masque de sous-réseau . . . . . . : 255.255.255.0
    Passerelle par défaut . . . . . . : 192.168.1.1

Carte Ethernet Connexion au réseau local 7:

    Statut du média . . . . . . . . . : Média déconnecté

Carte Ethernet Connexion au réseau local 11:

    Statut du média . . . . . . . . . : Média déconnecté

VM Debian démarrée: idem
[/quote]

[b]VM démarrée
VPN ON

[/b]

[quote]C:\Documents and Settings\Guacam>ipconfig /all

Configuration IP de Windows

    Nom de l'hôte . . . . . . . . . . : PC001
    Suffixe DNS principal . . . . . . :
    Type de noud . . . . . . . . . . : Hybride
    Routage IP activé . . . . . . . . : Non
    Proxy WINS activé . . . . . . . . : Non

Carte Ethernet VMware Network Adapter VMnet8:

    Suffixe DNS propre à la connexion :
    Description . . . . . . . . . . . : VMware Virtual Ethernet Adapter for

VMnet8
Adresse physique . . . . . . . . .: 00-50-56-C0-00-08
DHCP activé. . . . . . . . . . . : Non
Adresse IP. . . . . . . . . . . . : 192.168.37.1
Masque de sous-réseau . . . . . . : 255.255.255.0
Passerelle par défaut . . . . . . :

Carte Ethernet VMware Network Adapter VMnet1:

    Suffixe DNS propre à la connexion :
    Description . . . . . . . . . . . : VMware Virtual Ethernet Adapter for

VMnet1
Adresse physique . . . . . . . . .: 00-50-56-C0-00-01
DHCP activé. . . . . . . . . . . : Non
Adresse IP. . . . . . . . . . . . : 192.168.147.1
Masque de sous-réseau . . . . . . : 255.255.255.0
Passerelle par défaut . . . . . . :

Carte Ethernet Connexion au réseau local:

    Statut du média . . . . . . . . . : Média déconnecté
    Description . . . . . . . . . . . : Atheros AR8121/AR8113/AR8114 PCI-E E

thernet Controller
Adresse physique . . . . . . . . .: 00-24-8C-4D-7D-49

Carte Ethernet Connexion réseau sans fil 3:

    Suffixe DNS propre à la connexion :
    Description . . . . . . . . . . . : 802.11n Wireless LAN Card
    Adresse physique . . . . . . . . .: 00-15-AF-DA-11-C5
    DHCP activé. . . . . . . . . . . : Oui
    Configuration automatique activée . . . . : Oui
    Adresse IP. . . . . . . . . . . . : 192.168.1.21
    Masque de sous-réseau . . . . . . : 255.255.255.0
    Passerelle par défaut . . . . . . : 192.168.1.1
    Serveur DHCP. . . . . . . . . . . : 192.168.1.1
    Serveurs DNS . . . . . . . . . .  : 192.168.1.1
    Bail obtenu . . . . . . . . . . . : mardi 24 septembre 2013 21:52:04
    Bail expirant . . . . . . . . . . : mercredi 25 septembre 2013 21:52:04

Carte Ethernet Connexion au réseau local 7:

    Statut du média . . . . . . . . . : Média déconnecté
    Description . . . . . . . . . . . : TAP-Win32 Adapter OAS
    Adresse physique . . . . . . . . .: 00-FF-11-FE-55-13

[b]Carte Ethernet Connexion au réseau local 11:

    Suffixe DNS propre à la connexion :
    Description . . . . . . . . . . . : TAP-Win32 Adapter V9 #4
    Adresse physique . . . . . . . . .: 00-FF-D7-DB-4D-8E
    DHCP activé. . . . . . . . . . . : Oui
    Configuration automatique activée . . . . : Oui
    Adresse IP. . . . . . . . . . . . : 10.68.20.114
    Masque de sous-réseau . . . . . . : 255.255.255.252
    Passerelle par défaut . . . . . . :
    Serveur DHCP. . . . . . . . . . . : 10.68.20.113
    Serveurs DNS . . . . . . . . . .  : 10.64.1.1
                                        10.64.1.2
    Bail obtenu . . . . . . . . . . . : mardi 24 septembre 2013 22:44:21
    Bail expirant . . . . . . . . . . : mercredi 24 septembre 2014 22:44:21[/b]

[/quote]


Divers tests:

X Firefox - D : OK, affichage page web Guacamole
X Firefox - D - S : KO, échec de connexion
D IceWeasel : OK, affichage page web Guacamole
D IceWeasel - S : KO, échec de connexion

J’ai tenté de contourner le pb. en installant OpenVPN sous Debian mais impossible de télécharger le package…

“Could not resolve ‘ftp.us.debian.org’”
…c’est une autre histoire.

@+

Guacam

#8

Bonsoir Pascal,

C’est la box.
J’accède à sa console d’admin° via cette IP.

Guacam.

#9

Bien sûr, ce n’est pas déjà le cas ?

Sur le serveur Debian pour lui dire comment atteindre 10., et sur le serveur RDP distant (ou sa passerelle) pour lui dire comment atteindre 192.. La machine XP sait déjà comment atteindre ces deux réseaux. Par contre il faut que celle-ci fasse office de routeur IP entre les deux réseaux.

Ce n’est pas ton serveur distant qui répond. Tu as comparé avec le résultat du traceroute quand le VPN est monté ?

Ce serait beaucoup plus simple, si la machine XP n’a pas besoin d’accéder au réseau distant.

Tu es sûr de l’adresse de DNS dans /etc/resolv.conf ?

#10

Bien sûr, ce n’est pas déjà le cas ?
[/quote]
Ha, si je savais ça serait déjà fait. :blush:
Pourrais-tu STP me communiquer les syntaxes exactes des commande, adaptées à mon cas, tout du moins côté Debian puisqu’on n’est pas sur un forum Windows.

[quote=“PascalHambourg”]

Ce serait beaucoup plus simple, si la machine XP n’a pas besoin d’accéder au réseau distant.[/quote]

Jusqqu’à présent j’accède exclusivement au serveur distant via XP.
J’utilise la VM Debian car Guacamole ne tourne que sous Linux.
Je ne suis pas particulièrement fan de Windows mais ne peux pas totalement m’en passer.

[quote=“PascalHambourg”]

Tu es sûr de l’adresse de DNS dans /etc/resolv.conf ?[/quote]
J’ai installé sans pb. le package Guacamole issu du référentiel Debian.
Je vérifirai demain le resolv.conf

A demain parce que là… Zzz…Zzz…

Guacam.

#11

Je crois qu’il y a une incompréhension dans l’organisation de ton réseau et de ton VPN:
Tu as deux solutions:

  • Soit c’est VMware qui gère l’adressage de ta machine virtuelle et le routage de ses paquets pour ta VM (mode NAT, Host Only, etc.)
  • Soit ta VM “D” communique directement avec ton routeur “B” (via le mode bridge) et elle est vue comme une machine indépendante niveau réseau. Elle n’a plus rien à voir avec ta machine hôte “X”.

Là tu es en mode bridge, donc tu pourras monter tous les VPN que tu veux sur X, ca n’aura aucune influence sur D.

Sauf SI tu explique à D qu’il faut passer par X pour atteindre S via le VPN et que tu autorise X à router les paquets venants du réseau 192.x vers le réseau 10.x… je sais c’est compliqué, mais je pense que l’incompréhension vient de là. Dans ce cas tu aurai meilleur temps d’installer simplement ton VPN sur D.
Mais pour que ca marche il faudrait également que le “route -n” de ton D en parle … hors d’après le retour que tu as mis il n’est configuré que pour communiquer avec les 192.x et le reste du monde … mais pas ton réseau 10.x

Je pense tout simplement que ta machine D n’a jamais communiqué avec ta machine S. Que ce soit en VPN ON ou VPN OFF (les refus de connexion de telnet au port 3389 tend à appuyer ma théorie).
Il est possible que ce soit n’importe quelle autre machine qui réponde aux pings que lance D (apparemment les FAI utilisent parfois des 10.x pour leurs équipements actifs).

En gros, je pense que tu n’as pas besoin d’un VPN entre X et S, mais que ce que tu veux c’est un VPN entre D et S (car si tu es en mode bridge, X n’a plus rien à voir avec D au niveau réseau, ce sont deux machines bien distinctes).

PS: Je ne sais pas si j’ai été assez claire, je dis peut être une bétise (que les anciens n’hésitent pas à me corriger si c’est le cas) mais je ne vois pas d’autre explication :stuck_out_tongue:

#12

Hello,

J’ai tenté hier soir d’appliquer mon plan B, effectivement a priori beaucoup + simple :

  • installation d’OpenVPN sur VM Debian
  • VM en mode bridge
  • IP fixe

NB: en bridge, IP fixe, je ne pouvais accéder au web pour dl OpenVPN.
J’ai du utiliser un petit outil VMWare (vmnetcfg.exe, non installé par défaut ! => à dl sur le web) pour passer en “bridge” l’interface VMnet0 et l’associer à ma carte Wifi.

Après nettoyage des ^M dans le fichier de conf, saisi du mot de passe du certificat, openVPN a bien démarré. :smiley:

ping S : OK !
telnet S 3389 : OK ! :041

A partir d’un iPhone en 3G, j’ai pu accéder à la page de login Guacamole, m’identifier, voir le message “Connected, waiting for first update…” mais… fausse joie… il reste affiché éternellement, aucun fenêtre de login “Windows Server 2003” ne s’affiche comme attendu. :confused:
Même symptôme à partir de FF sous une tablette Androïd.

La trace VPN papote un peu, je vois des “RwWr…” qui s’affichent à un rythme de 4 ou 5 par seconde.

Après avoir erré sur le web, j’ai soupçonné un pb. de MTU.
J’ai ajouté “mtu-test” dans client.conf du VPN mais rien d’anormal n’a été signalé.

Là, je désespère ! :030

Y aurait-il autre chose à configurer au niveau réseau ?
J’ai activé, au pif, l’ “IP forwarding”, ça ne change rien. J’ai aperçu une notion de “promiscuous interface”, ça pourrait s’appliquer à mon cas ???

Comment comprendre et résoudre ce problème ?

Par avance, merci pour votre aide.

Salutations,

Guacam.

Que du bonheur !

Heu…Presque…

#13

Hello,

J’ai fait une test avec le client RDP “freerdp-x11” + OpenVPN, ça marche nickel !

Donc, le problème semble être lié à Guacamole. :frowning:

Des idées pour identifier le problème (traces système…) ?

Bon,je vais plutôt me tourner vers un forum Guacamole.

Salutations,

Guacam

#14

Hello!

Pb. réglé en passant en HTTPS (phénomène de bufferisation du flux HTTP selon FAQ Guacamole).

Guacam.