Apache innaccessible de l'extérieur - Pb de routage [Résolu]

Elève linuxien · 14-11-2024 18:32:49

Bonjour à tous,

Tout d'abord merci de vous pencher sur mon problème.

Je vous fait un petit historique pour que puissiez bien comprendre.
J'ai deux bureaux :
- le bureau 1 : un Serveur Debian 10, IP fixe (orange), site internet, serveur vpn et d'autres services sur lequel tout fonctionne. (je sais la distrib n'est plus maintenue, je vais m'en occuper...), réseau interne 192.168.0.0/24
- le bureau 2 : un serveur Debian 11.9 - Raid 1 - noyau 5.10.0-25-amd64 x86_64 - réseau interne 192.168.1.0/24 - site internet, serveur vpn et d'autres services sur lequel tout fonctionnait initialement.

Courant d'année j'ai déménagé le bureau 2 sur un autre site.
Problème initial, la fibre n'était pas encore posée et pas d'ADSL non plus. Je suis passé via un routeur 4G pour avoir accès à Internet. Compte tenu qu'il n'est pas possible d'avoir d'adresse IP via la 4G, et pour avoir accès au serveur du bureau 2 depuis l'extérieur, j'ai connecter via openvpn Debian 11 (client) sur Debian 10 (serveur) en fixant les IP du vpn et en routant le trafic Debian 11 via la passerelle. De la sorte en me connectant en vpn à Debian 10 (bureau 1 qui a une IP fixe) j'ai accès à Debian 11. Cependant, le serveur web était inaccessible ce qui n'était pas un problème urgent/vital.

La fibre est arrivée, une adresse IP a été fixée. (un certain temps est passé..................)
Je reprends ma configuration pour que le bureau 2 (Debian 11) soit désormais accessible de l'extérieur et pouvoir accéder au serveur web (Nextcloud principalement) et Open VPN.
Cela fait plusieurs jours (nuits) que je m'arrache les cheveux devant mes écrans, rien n'y fait !
J'ai vérifié mes VHost, configuration php, les DNS, les règles NAT/PAT de la box, désactivé le pare feu (UFW), desactivé tous les sites et laissé que 000-default.php..... Impossible de joindre le serveur.
Le truc déconcertant, c'est que lorsque je suis sur le réseau d'un des deux bureaux et que je tape l'adresse IP fixe du bureau 2, j'ai bien la page web "It Work" qui s'affiche...

Je soupçonne un problème de routage mais je n'arrive pas à mettre la main dessus.

A votre avis ? De quel côté je dois regarder ?

Merci encore à ceux qui se pencheront sur mon problème.

Dernière modification par Elève linuxien (15-11-2024 18:39:22)

agp91 · 14-11-2024 19:55:38

Salux,

Supposons tu as correctement configuré ta boxe pour redirigé le trafique entrant vers bureau2

Bureau2 joint-il la boxe ?

ping <IP_BOXE>

Peux-tu joindre l'adresse publique

ping <IP_ADRESSE_PUBLIQUE>

Si l'adresse publique n'est pas joignable depuis Bureau2, que dit les commandes (depuis bureau2)

ip addr

ip route

?

Quel DNS à tu configuré ? Un DNS local ?
Depuis bureau1 peux-tu joindre bureau2 par son nom ?

ping <nom_bureau2.zone>

Dernière modification par agp91 (14-11-2024 20:01:03)

Elève linuxien · 15-11-2024 13:37:20

Bonjour agp91,

Je te remercie de te pencher sur mon problème, vraiment !

En préambule, ip bureau 1 est 193.xx.xx.xx et pour le bureau 2 80.xx.xx.xx

Pour répondre à tes questions :
Le serveur du bureau 2 joint bien la box :

root@serveur-mjpm ~ $ ping 192.168.1.1

PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.

64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=0.650 ms

64 bytes from 192.168.1.1: icmp_seq=2 ttl=64 time=0.807 ms

64 bytes from 192.168.1.1: icmp_seq=3 ttl=64 time=0.810 ms

64 bytes from 192.168.1.1: icmp_seq=4 ttl=64 time=0.819 ms

^C

--- 192.168.1.1 ping statistics ---

4 packets transmitted, 4 received, 0% packet loss, time 3057ms

rtt min/avg/max/mdev = 0.650/0.771/0.819/0.070 ms

Le serveur du bureau 2 joint bien l'adresse publique 80.xx.xx.xx :

root@serveur-mjpm ~ $ ping 80.xx.xx.xx

PING 80.xx.xx.xx (80.xx.xx.xx) 56(84) bytes of data.

64 bytes from 80.xx.xx.xx: icmp_seq=1 ttl=61 time=9.21 ms

64 bytes from 80.xx.xx.xx: icmp_seq=2 ttl=61 time=8.82 ms

64 bytes from 80.xx.xx.xx: icmp_seq=3 ttl=61 time=8.83 ms

64 bytes from 80.xx.xx.xx: icmp_seq=4 ttl=61 time=8.71 ms

64 bytes from 80.xx.xx.xx: icmp_seq=5 ttl=61 time=8.32 ms

^C

--- 80.xx.xx.xx ping statistics ---

5 packets transmitted, 5 received, 0% packet loss, time 4006ms

rtt min/avg/max/mdev = 8.324/8.778/9.210/0.283 ms

Voici le retour de la commande ip addr

root@serveur-mjpm ~ $ ip addr

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000

    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

    inet 127.0.0.1/8 scope host lo

       valid_lft forever preferred_lft forever

    inet6 ::1/128 scope host

       valid_lft forever preferred_lft forever

2: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000

    link/ether d8:bb:c1:30:dd:9c brd ff:ff:ff:ff:ff:ff

    altname enp0s31f6

    inet 192.168.1.100/24 brd 192.168.1.255 scope global noprefixroute eno1

       valid_lft forever preferred_lft forever

    inet6 2a01:cb11:9:b00:2fd5:c093:d91f:377d/64 scope global temporary dynamic

       valid_lft 1798sec preferred_lft 598sec

    inet6 2a01:cb11:9:b00:d128:bda6:c2f7:de5c/64 scope global temporary deprecated dynamic

       valid_lft 1798sec preferred_lft 0sec

    inet6 2a01:cb11:9:b00:4e0a:d331:1c31:346e/64 scope global temporary deprecated dynamic

       valid_lft 1798sec preferred_lft 0sec

    inet6 2a01:cb11:9:b00:bc8c:921:ddc2:ecd1/64 scope global temporary deprecated dynamic

       valid_lft 1798sec preferred_lft 0sec

    inet6 2a01:cb11:9:b00:dabb:c1ff:fe30:dd9c/64 scope global dynamic mngtmpaddr noprefixroute

       valid_lft 1798sec preferred_lft 598sec

    inet6 fe80::dabb:c1ff:fe30:dd9c/64 scope link noprefixroute

       valid_lft forever preferred_lft forever

6: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 500

    link/none

    inet 10.8.0.10/24 scope global tun0

       valid_lft forever preferred_lft forever

    inet6 fe80::f4b3:91cd:9a17:41bf/64 scope link stable-privacy

       valid_lft forever preferred_lft forever

Pour ip route

root@serveur-mjpm ~ $ ip route

 

0.0.0/1 via 10.8.0.1 dev tun0

default via 192.168.1.1 dev eno1

8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.10

0.0.0/1 via 10.8.0.1 dev tun0

168.1.0/24 dev eno1 proto kernel scope link src 192.168.1.100 metric 100

xx.xx.xx via 192.168.1.1 dev eno1

Le DNS n'est pas un DNS local, il est enregistré chez O2Switch.
le sous domaine cloud.mondomaine.fr a un enregistrement de type A vers 80.xx.xx.xx

(A noter qu'avec le p****n de Livebox pro V6, il n'est pas possible d'activer les pings sauf à passer le pare feu en mode personnalisé et pas moyen de le desactiver non plus.
Je l'ai donc passé en mode personnalisé et j'ai créé une règle ou je laisse tout passé.)

Depuis le bureau 1, et depuis un pc client windows (ou un iphone), je peux joindre depuis firefox l'ip 80.xx.xx.xx ainsi que cloud.mondomaine.fr (que le vpn soit actif ou non), la page It work ! s'affiche.

Depuis le bureau 1, et depuis un pc client windows, j'ai bien un retour des pings depuis l'invité de commande (que le vpn soit actif ou non).

Depuis le bureau 1, et depuis le serveur Debian 10, j'ai bien un retour des pings sur l'ip et sur le DNS.

ping cloud.mondomaine.fr

PING cloud.mondomaine.fr (80.xx.xx.xx) 56(84) bytes of data.

64 bytes from laubervilliers-659-1-57-27.w80-13.abo.wanadoo.fr (80.xx.xx.xx): icmp_seq=1 ttl=61 time=8.47 ms

64 bytes from laubervilliers-659-1-57-27.w80-13.abo.wanadoo.fr (80.xx.xx.xx): icmp_seq=2 ttl=61 time=8.96 ms

64 bytes from laubervilliers-659-1-57-27.w80-13.abo.wanadoo.fr (80.xx.xx.xx): icmp_seq=3 ttl=61 time=8.55 ms

^C

--- cloud.mondomaine.fr ping statistics ---

3 packets transmitted, 3 received, 0% packet loss, time 2003ms

rtt min/avg/max/mdev = 8.468/8.658/8.961/0.216 ms

Depuis l'extérieur, toujours injoignable...

Je suis à deux doigts de repasser au minitel...

Te remerciant encore.

agp91 · 15-11-2024 14:18:29

Si je comprend bien (et si je résume) :

Tu essayes depuis l'extérieur de joindre Bureau2 via l'adresse publique 80.x.x.x
Bureau2 est sur le même réseau que la liveBox (192.168.1.0/24) qui dispose de l'adresse 192.168.1.1/24
Bureau2 dispose de l'adresse 192.168.1.100/24 et connaît la passerelle 192.168.1.1 (la boxe)
Bureau2 peut donc joindre la boxe et l'extérieur
Tout cela est correctement configuré et fonctionne.

Il faut maintenant se tourner vers la configuration de la boxe (NAT et IP attribué à l'équipement Bureau2)
Livebox 6 et 7 : configurer les règles NAT pour pouvoir utiliser certains jeux ou applications serveur (assistance.orange.fr)
Livebox 6 et 7 : attribuer une IP statique à un équipement (assistance.orange.fr)

Ce que je ne comprend pas encore :
Bureau1 est sur un autre réseau (192.168.0.0/24)
Il est accessible depuis l’extérieur depuis l'adresse 193.x.x.x/8
Comment joint-il l'extérieur ? Une autre boxe ?
Et tu dis qu'il joint (le site de) Bureau2 par l'adresse publique (80.x.x.x) ou par le nom de domaine.

Notes :
Désactives (pour l'instant) le VPN afin que l'interface tune0 n’apparaisse plus dans le routage du bureau2

Elève linuxien a écrit :

0.0.0.0/1 via 10.8.0.1 dev tun0
default via 192.168.1.1 dev eno1
10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.10
128.0.0.0/1 via 10.8.0.1 dev tun0
192.168.1.0/24 dev eno1 proto kernel scope link src 192.168.1.100 metric 100
193.xx.xx.xx via 192.168.1.1 dev eno1

Il devrait ressembler à cela :

default via 192.168.1.1 dev eno1

192.168.1.0/24 dev eno1 proto kernel scope link src 192.168.1.100 metric 100

193.xx.xx.xx via 192.168.1.1 dev eno1

... Quoi que la dernière route ne soit pas nécessaire (c'est la même route que default).

Dernière modification par agp91 (15-11-2024 15:44:14)

Elève linuxien · 15-11-2024 16:50:57

agp91 a écrit :

Si je comprend bien (et si je résume) :

Tu essayes depuis l'extérieur de joindre Bureau2 via l'adresse publique 80.x.x.x
Bureau2 est sur le même réseau que la liveBox (192.168.1.0/24) qui dispose de l'adresse 192.168.1.1/24
Bureau2 dispose de l'adresse 192.168.1.100/24 et connaît la passerelle 192.168.1.1 (la boxe)
Bureau2 peut donc joindre la boxe et l'extérieur
Tout cela est correctement configuré et fonctionne.

C'est exactement ça.

Je reprends :
Bureau 1 = Le monde ----- 193.xx.xx.xx (wan) ----- Box1 (192.168.0.1 - LAN) -------- Serveur1 (Debian 10 - 192.168.0.101 / VPN serveur 10.8.0.1 / Web mondomaine1.fr)
|------------------------------- Client 1 (192.168.0.10 / VPN client 10.8.0.5)
|------------------------------- Client 2 (192.168.0.11)
|------------------------------- Client x (192.168.0.1x)
|------------------------------- Client Nomade x (192.168.0.xx / VPN 10.8.0.x), etc...

Bureau 2 = Le monde ----- 80.xx.xx.xx (wan) ----- Box2 (192.168.1.1 - LAN) -------- Serveur2 (Debian 11 - 192.168.1.100 / VPN client 10.8.0.10 / Web mondomaine2.fr)
|------------------------------- Client 1 (192.168.1.10)
|------------------------------- Client 2 (192.168.1.11)
|------------------------------- Client x (192.168.1.1x), etc...

Le monde peut voir les sites hébergés sur Serveur1, se connecter en vpn via mondomaine1.fr ou l'ip 193.xx.xx.xx

Le monde ne peut pas se connecter sur le serveur2, ni via l'ip ni via mondomaine2.fr

Pour accéder aux fichiers du serveur2, je me connecte en VPN au serveur1(10.8.0.1) ensuite je peux accéder au serveur2 via l'ip du vpn (10.8.0.10) - c'est pour cette raison qu'il y a la route suivante sur le serveur2

193.xx.xx.xx via 192.168.1.1 dev eno1

Sans celle-ci je ne peux pas avoir accès aux fichiers du serveur2.

Sur la Box2 (Bureau2) sont configurés les règles suivantes :

Notes :
Désactives (pour l'instant) le VPN afin que l'interface tune0 n’apparaisse plus dans le routage du bureau2

Si je désactive le vpn je n'aurai plus accès aux fichiers du bureau2 de l'extérieur, ni de connection ssh (qui passe par le vpn...).
Je pourrai tester cela ce week-end.

... Quoi que la dernière route ne soit pas nécessaire (c'est la même route que default).

Comme expliqué ci-avant, sans cette route je ne peux pas avoir accès aux fihiers via le vpn et donc pas me connecter en ssh.

J'espère avoir été plus clair cette fois-ci.

Dernière modification par Elève linuxien (15-11-2024 17:43:45)

agp91 · 15-11-2024 17:11:01

Ok je comprend mieux l'architecture.

Elève linuxien a écrit :

Le monde peut voir les sites hébergés sur Serveur1, se connecter en vpn via mondomaine1.fr ou l'ip 193.xx.xx.xx

Elève linuxien a écrit :

Pour accéder aux fichiers du serveur2, je me connecte en VPN au serveur1(10.8.0.1) ensuite je peux accéder au serveur2 via l'ip du vpn (10.8.0.10)

Donc serveur2 est joignable depuis l'extérieur (donc le NAT de boxe2 est correcte)... Serveur2 n'est seulement pas accessible pour tous (uniquement par ceux qui passent par le VPN).

Elève linuxien a écrit :

Le monde ne peut pas se connecter sur le serveur2, ni via l'ip ni via mondomaine2.fr

... Puisque tout fonctionne sur Serveur1
Peux-tu montrer

ip route

Depuis Server1 pour comparer avec le routage de server2 donné plus haut.

Dernière modification par agp91 (15-11-2024 17:14:57)

Elève linuxien · 15-11-2024 17:17:32

Donc Bureau2 est joignable depuis l'extérieur (donc le NAT de boxe2 est correcte)... Il ne l'est seulement pas pour tous.

C'est certainement ça.

Voici le retour de ip route sur serveur1

toto@Serveur:~$ ip route

default via 192.168.0.1 dev eno1 proto static metric 100

10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.1

192.168.0.0/24 dev eno1 proto kernel scope link src 192.168.0.101 metric 100

agp91 · 15-11-2024 18:12:36

Il me semble que serveur2 réponde au trafic de tout le monde (le trafic entrant depuis l'extérieur sans passé par le VPN), par le VPN. Alors les réponses n'arrivent jamais.
Pour moi cela provient de la route

0.0.0.0/1 via 10.8.0.1 dev tun0

(qui route tout 0.0.0.0 vers le réseau 10.8.0.1 par l'interface tun0)

Cela fait trop longtemps que ne pratique plus la configuration réseau.
Je ne puis t'aider plus pour remédier à cela.
(Je pense que cela doit ce configurer dans la conf du client)
Mais déjà ça, ça ne me cause plus... Haha j'ai le cerveau qui fuit

[edit]
toujours en mon sens : C'est pour cela que la route

193.xx.xx.xx via 192.168.1.1 dev eno1

est nécessaire

Dernière modification par agp91 (15-11-2024 18:30:08)

agp91 · 15-11-2024 18:22:33

Pour avoir plus de détail (pour les plus sachant) peux-tu donner le retour de

ip -4 rule

ip -4 route show table all

DU serveur2

Elève linuxien · 15-11-2024 18:30:00

oh... Si tu passes près de Nancy je t'offre le champagne agp91 !!!

Je viens de supprimer la route en question

root@serveur-mjpm ~ $ ip route del 0.0.0.0/1 via 10.8.0.1

 

root@serveur-mjpm ~ $ ip route

 

default via 192.168.1.1 dev eno1

8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.10

0.0.0/1 via 10.8.0.1 dev tun0

168.1.0/24 dev eno1 proto kernel scope link src 192.168.1.100 metric 100

xx.xx.xx via 192.168.1.1 dev eno1

Je prend mon iphone, je tape mondomaine2.fr et Bim => It Work !

C'était bien cette p****n de route que j'avais dû créer lorsque j'ai fait le routage du vpn.

Je me doutais bien que c'était un problème à la c** comme ça, mais je n'arrivais pas à mettre la main dessus.

Bon, bah... problème réglé ! Youhou !!!!

Vraiment, vraiment un grand merci à toi !

Dernière modification par Elève linuxien (15-11-2024 22:45:36)

Elève linuxien · 15-11-2024 18:35:09

agp91 a écrit :

Pour avoir plus de détail (pour les plus sachant) peux-tu donner le retour de
ip -4 rule

ip -4 route show table all
DU serveur2

Désolé, je n'avais pas vu ton retour, je devais être en train d'écrire que j'étais trop content

Encore merci !

Debian-facile

#1 14-11-2024 18:32:49

Apache innaccessible de l'extérieur - Pb de routage [Résolu]

#2 14-11-2024 19:55:38

Re : Apache innaccessible de l'extérieur - Pb de routage [Résolu]

#3 15-11-2024 13:37:20

Re : Apache innaccessible de l'extérieur - Pb de routage [Résolu]

#4 15-11-2024 14:18:29

Re : Apache innaccessible de l'extérieur - Pb de routage [Résolu]

#5 15-11-2024 16:50:57

Re : Apache innaccessible de l'extérieur - Pb de routage [Résolu]

#6 15-11-2024 17:11:01

Re : Apache innaccessible de l'extérieur - Pb de routage [Résolu]

#7 15-11-2024 17:17:32

Re : Apache innaccessible de l'extérieur - Pb de routage [Résolu]

#8 15-11-2024 18:12:36

Re : Apache innaccessible de l'extérieur - Pb de routage [Résolu]

#9 15-11-2024 18:22:33

Re : Apache innaccessible de l'extérieur - Pb de routage [Résolu]

#10 15-11-2024 18:30:00

Re : Apache innaccessible de l'extérieur - Pb de routage [Résolu]

#11 15-11-2024 18:35:09

Re : Apache innaccessible de l'extérieur - Pb de routage [Résolu]

Pied de page des forums