bonsoir
Merci à vous deux pour le debug ; le pb venait bien de la passerelle déclarée au niveau eth0.
Je ne comprends pas comment ça fonctionnait avant, j'en déduis
que cette config n'était pas active.
amitiés
bonsoir la team!
j'ai un serveur Debian (version stable) qui sert de passerelle entre mon réseau interne et l'extérieur. Il est en route en permanence et s'installe les mises à jour de sécurité, sans rebooter.
- eth0 est l'interface interne, IP statique.
- eth1 est l'interface externe,connectée à une Freebox qui lui donne l'IP.
- tun0 est l'interface VPN
Sur la Freebox, une DMZ redirige les flux entrants vers mon serveur pour ouvrir mon serveur sur l'extérieur (SSH, WEB, VPN...).
IPTable fait le tri en entrée et assure le routage des paquets à l'extérieur et Fail2ban bannit les indésirables.
Tout cela fonctionne depuis plusieurs années sans pb malgré les changements d'opérateur et de version Debian.
Récemment, une maintenance matérielle (upgrade RAM) m'a contraint à le redémarrer après qq mois sans histoire.
Au démarrage, rien ne va plus : extérieur difficilement joignable, NAT inopérant, DMZ HS (services non joignables depuis l'extérieur).
Inversement, le serveur n'a plus accès à internet (ping HS)
J'ai pensé à une régression du au noyau, un redémarrage en version 6.1.0-15 n'a rien donné.
uname -a
Linux quietty 6.1.0-18-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.76-1 (2024-02-01) x86_64 GNU/Linux
J'ai trouvé des IP martiennes dans la syslog, je ne sais pas si c'est lié :
2024-02-26T16:51:24.146290+01:00 quietty kernel: [ 1180.427493] IPv4: martian source 192.168.1.1 from 45.155.91.29, on dev eth1
2024-02-26T16:51:24.146322+01:00 quietty kernel: [ 1180.427508] ll header: 00000000: 8e a8 a4 c7 35 98 70 fc 8f 5e 60 da 08 00
2024-02-26T16:51:33.478276+01:00 quietty kernel: [ 1189.762277] IPv4: martian source 192.168.1.1 from 43.133.145.230, on dev eth1
2024-02-26T16:51:33.478309+01:00 quietty kernel: [ 1189.762292] ll header: 00000000: 8e a8 a4 c7 35 98 70 fc 8f 5e 60 da 08 00
2024-02-26T16:51:36.742277+01:00 quietty kernel: [ 1193.025728] IPv4: martian source 192.168.1.1 from 179.105.36.19, on dev eth1
2024-02-26T16:51:36.742306+01:00 quietty kernel: [ 1193.025742] ll header: 00000000: 8e a8 a4 c7 35 98 70 fc 8f 5e 60 da 08 00
2024-02-26T16:51:49.210275+01:00 quietty kernel: [ 1205.495322] IPv4: martian source 192.168.1.1 from 91.148.190.174, on dev eth1
2024-02-26T16:51:49.210305+01:00 quietty kernel: [ 1205.495335] ll header: 00000000: 8e a8 a4 c7 35 98 70 fc 8f 5e 60 da 08 00
2024-02-26T16:51:58.990298+01:00 quietty kernel: [ 1215.272829] IPv4: martian source 192.168.1.1 from 176.111.174.29, on dev eth1
2024-02-26T16:51:58.990328+01:00 quietty kernel: [ 1215.272841] ll header: 00000000: 8e a8 a4 c7 35 98 70 fc 8f 5e 60 da 08 00
Je n'avais pas ça avant. Une recherche sur Internet ne m'a pas vraiment aidé.
Quelques éléments techniques :
ip addr :
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 1000
link/ether 00:50:bf:d8:b9:1f brd ff:ff:ff:ff:ff:ff
altname enp5s3
inet 192.168.2.1/24 brd 192.168.2.255 scope global eth0
valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 8e:a8:a4:c7:35:98 brd ff:ff:ff:ff:ff:ff
altname enp2s0
inet 192.168.1.1/24 metric 1024 brd 192.168.1.255 scope global dynamic eth1
valid_lft 42186sec preferred_lft 42186sec
4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 500
link/none
inet 192.168.3.1/24 scope global tun0
valid_lft forever preferred_lft forever
configuration des interfaces :
/etc/systemd/network/eth0.network
[Match]
Name=eth0
#MACAddress=Adresse MAC de l'interface
[Link]
#MACAddress=Changer l'adresse MAC
#MTUBytes=Changer la valeur du MTU
[Network]
Address=192.168.2.1/24
Gateway=192.168.2.1
DNS=192.168.2.1 127.0.0.1
Domains=vets.in
IPv6PrivacyExtensions=false
/etc/systemd/network/eth1.network
[Match]
Name=eth1
[Network]
DHCP=ipv4
ip route
default via 192.168.2.1 dev eth0 proto static
default via 192.168.1.254 dev eth1 proto dhcp src 192.168.1.1 metric 1024
192.168.1.0/24 dev eth1 proto kernel scope link src 192.168.1.1 metric 1024
192.168.1.1 dev eth1 proto dhcp scope host src 192.168.1.1 metric 1024
192.168.1.254 dev eth1 proto dhcp scope link src 192.168.1.1 metric 1024
192.168.2.0/24 dev eth0 proto kernel scope link src 192.168.2.1
192.168.3.0/24 dev tun0 proto kernel scope link src 192.168.3.1
(192.168.1.254 : Freebox)
iptables -L -v
Chain INPUT (policy DROP 582 packets, 64731 bytes)
pkts bytes target prot opt in out source destination
30176 2346K ACCEPT all -- lo any anywhere anywhere
3225 522K ACCEPT all -- eth0 any anywhere anywhere
820K 1189M ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- any any anywhere anywhere icmp any
0 0 ACCEPT igmp -- any any anywhere anywhere
0 0 ACCEPT udp -- any any anywhere anywhere udp dpt:discard
2 148 ACCEPT tcp -- any any anywhere anywhere tcp dpt:ssh
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:domain
971 67218 ACCEPT udp -- any any anywhere anywhere udp dpt:domain
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:http
617 36708 ACCEPT tcp -- any any anywhere anywhere tcp dpt:https
0 0 ACCEPT udp -- any any anywhere anywhere udp dpt:openvpn
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:5000
iptables -L -t nat -v
Chain PREROUTING (policy ACCEPT 3498 packets, 319K bytes)
pkts bytes target prot opt in out source destination
Chain INPUT (policy ACCEPT 1729 packets, 189K bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 6343 packets, 520K bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 6006 packets, 509K bytes)
pkts bytes target prot opt in out source destination
693 87361 MASQUERADE all -- any eth1 anywhere anywhere
0 0 MASQUERADE all -- any tun0 anywhere anywhere
ya du trafic sur l'interface, mais tout le monde se trourne les pouces.
Les services fonctionnent bien, j'y ai accès depuis le réseau de la Freebox (192.168.1.0) mais pas depuis l'adresse externe (qui n'a pas changé).
J'exclus un dysfonctionnement de la Freebox, elle vient d'être changé.
si vous avez des idées, je suis preneur, je ne vois pas ....
Erwann :(