logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 06-06-2022 16:35:10

El_Gecko
Membre
Lieu : IDF
Inscription : 30-01-2022

[RESOLU] xRDP via OpenVPN

Hello,

Sur un VPS sous Debian 10, je ne parviens pas à utiliser xRDP via OpenVPN à partir d'un PC sous Windows 8.1.

Le VPN marche nickel, je me connecte sans soucis (adresse attribuée 10.8.0.2) et je vois bien l'adresse du VPS quand je consulte l'adresse publique détectée sur le web (ex.: showmyip.com).

Le serveur xRDP écoute sur le port standard 3389 que je ne veux surtout pas ouvrir vers le web.

Ports ouvert au niveau firewall du VPS:

- 443 TCP : OpenVPN
- 22443 : SSH

Pour me connecter, je lance mstsc.exe et saisis:
- ordinateur : 10.8.0.1
Au bout de quelques sec. "Le bureau à distance ne peut pas se connecter..."

Windows ping 10.8.0.1 : OK !

Un test de port m'indique qu'il est filtré !?!

 Starting portqry.exe -n 10.8.0.1 -e 3389 -p TCP ...

Querying target system called: 10.8.0.1

Attempting to resolve IP address to a name...
Failed to resolve IP address to name
querying...

TCP port 3389 (ms-wbt-server service): FILTERED
portqry.exe -n 10.8.0.1 -e 3389 -p TCP exits with return code 0x00000002.



Même punition avec telnet !

L'intérêt de passer par un VPN c'est justement de ne pas avoir à ouvrir ce port, non ?

NB: l'accès via un tunnel SSH établi sous Putty marche nickel (mstsc.exe - ordinateur : localhost:50001 , port local Windows du tunnel débouchant sur le VPS en 93.xx.xx.xx:3389).

Comment régler ce soucis ?
Ouvrir une route ?
Laquelle ?

Merci de m'éclairer sur le sujet.

A votre dispo pour fournir tout complément d'info (route, iptables...).

@+

El Gecko

Dernière modification par El_Gecko (11-06-2022 22:09:06)


On commence à vieillir quand on finit d'apprendre (proverbe japonais)

Hors ligne

#2 09-06-2022 22:29:40

El_Gecko
Membre
Lieu : IDF
Inscription : 30-01-2022

Re : [RESOLU] xRDP via OpenVPN

Hello,

Je m'auto-réponds. big_smile

J'ai trouvé une solution via iptables , obsolète sous Debian 10, je crois, mais ça marche ! wink  big_smile

source :https://arashmilani.com/post?id=53

Attention à bien préciser la bonne interface, ici ens18 (trouvée avec la commande ip link)

Adapter les commandes au masque d'adresse IP, au port et protocole utilisés par OpenVPN !

-------
> iptables -A INPUT -i ens18 -m state --state NEW -p tcp --dport 443 -j ACCEPT

> iptables -A INPUT -i tun+ -j ACCEPT

> iptables -A FORWARD -i tun+ -j ACCEPT
> iptables -A FORWARD -i tun+ -o ens18 -m state --state RELATED,ESTABLISHED -j ACCEPT
> iptables -A FORWARD -i ens18 -o tun+ -m state --state RELATED,ESTABLISHED -j ACCEPT

> iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o ens18 -j MASQUERADE
-------
(grrrr... pas de gras possible dans le code)

(
Si

iptables -L -n

n'affiche pas la ligne

Chain OUTPUT (policy ACCEPT)


taper en plus:

> iptables -A OUTPUT -o tun+ -j ACCEPT


)

Test:

OpenVPN ON (IP attribuée : 10.8.0.2)
+ mstsc.exe
Ordinateur: 10.8.0.1
(port d'écoute xRDP standard 3389, non ouvert sur l'extérieu!)

YEEEES, ça passe, connexion OK avec le VPS ! Pas besoin de générer des certificats pour "MS Terminal Server" ! big_smile

Happy OpenVPN & xRDP !


El Gecko.


On commence à vieillir quand on finit d'apprendre (proverbe japonais)

Hors ligne

#3 11-06-2022 22:00:22

El_Gecko
Membre
Lieu : IDF
Inscription : 30-01-2022

Re : [RESOLU] xRDP via OpenVPN

Hello,

Un petit complément utile à rappeler, pour rendre les règles persisantes, taper:

iptables-save > /etc/iptables.up.rules



Le fichier /etc/iptables.up.rules est importé au démarrage du système dans le script /etc/network/iptables par la commande:

/sbin/iptables-restore < /etc/iptables.up.rules



On peut utiliser iptables-save > fichier_backup_regles pour sauver différentes configurations du parefeu, c'est pratique.

Pour lister les règles :

iptables -L -v



...mais perso, je trouve l'affichage très indigeste !

En fait, il ne manquait que la règle suivante, qui a mystérieusement disparu puisque cet OpenVPN a fonctionné durant des mois.

 iptables -A INPUT -i tun+ -j ACCEPT



Les 2 règles suivantes étaient déjà présentes ?

> iptables -A FORWARD -i tun+ -o ens18 -m state --state RELATED,ESTABLISHED -j ACCEPT
> iptables -A FORWARD -i ens18 -o tun+ -m state --state RELATED,ESTABLISHED -j ACCEPT



et correspondent à ça ???

~# iptables -L -v | grep -i ESTA
3133K 3543M ACCEPT     all  --  any    any     anywhere             anywhere             state RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  any    any     anywhere             anywhere             state RELATED,ESTABLISHED



Pas évident de faire le rapprochement !

3133K 3543M : c'est quoi ? Des stat. d'utilisation de la règle ???
La 2e règle n'est jamais appliquée ?

La règle :

> iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o ens18 -j MASQUERADE



ne semble pas m'être utile...

Je ne la vois pas dans la liste retournée par iptable -L -n en cherchant POSTROUTING ou MASQUERADE .
Mais je dois mal chercher.

C'est sensé autoriser quoi cette règle ?


@+

El_Gecko

Dernière modification par El_Gecko (11-06-2022 22:07:38)


On commence à vieillir quand on finit d'apprendre (proverbe japonais)

Hors ligne

Pied de page des forums