Autoriser une plage d'IPs

Tags: #<Tag:0x00007f50832eb988>

Salut, je reviens vers vous, car j’aurais besoin d’aides dans la configuration de l’accès à l’interface web de mon Proxmox. Depuis mon réseau local (192.168.0.XX) pas de problème, ça fonctionne bien, par contre depuis mon VPN (192.168.27.XX) je n’arrive pas à accéder à l’interface web. Il doit y avoir une configuration a réalisé pour autoriser les IPs en 192.168.27.XX, pouvez-vous m’aider ?

Merci

VPN entre quoi et quoi ?
Que se passe-t-il concrètement ?

Quand je me connecte depuis l’extérieur avec mon client VPN Wireguard ( j’ai un serveur VPN Wireguard chez moi ) le navigateur me retourne « Le délai d’attente est dépassé », quand je me connecte en bureau à distance sur un PC de mon réseau local le navigateur de ce PC arrive bien à joindre l’interface Web de Proxmox.
Je pense donc qu’il y a une configuration quelque part qui n’autorise que les IPs local.

Pas plus expert que ça mais lorsque tu passe par ton VPN Wiregurd, tu ter présente avec quel ip sur le proxmox ?

Vois-tu des tentative de connexion au Proxmox depuis les logs ?

Habituellement l’interface web est paramétré pour être ne écoute sur l’ip d’administration paramétré lors de l’installation sur le port 8006.
rien ne dit si tu te présente avec une ip du range 192.168.27.0/24 que tu puisse atteindre les ips du range 192.168.0.0/24.

Bonjour, je me glisse dans la sujet.

SI j’ai bien compris, tu as le serveur web Proxmox sur l’hôte qui se trouve dans un réseau et ton PC client qui se trouve sur un autre réseau.
Est-ce que ton PC client et ton hôte Proxmox sont des nœuds (serveur ou client) de ton VPN Wireguard ? Est-ce que ton client peux contacter l’hôte Proxmox avec un protocole plus trivial que HTTPS (genre, un ping) ?

A travers le VPN ?
Je dirais que ça vient soit du routage soit des règles iptables/nftables, à vérifier sur chaque machine impliquée (client, serveur VPN, serveur Proxmox, routeurs intermédiaires).

Merci pour vos réponses, je pense qu’au niveau du VPN tous fonctionnent bien, (j’arrive bien sur l’interface Web de mon NAS) je pense qu’il y a effectivement une restriction sur Proxmox pour les ips du range 192.168.27.0/24, il doit forcément avoir une manipulation à faire pour les autoriser. Non?

Est-ce que ton PC client et ton hôte Proxmox sont des nœuds (serveur ou client) de ton VPN Wireguard ? Je suis désolé, je ne comprends pas la question.
Pour le ping non, il ne répond pas, mais le VPN fonctionne bien non NAS répond au ping.

Je rebondis sur la proposition de @PascalHambourg

et te propose pour avancer seul dans un premier temps la manière suivante .

1 feuille assez grande et 1 crayon.

Utilise dans un premier temps ping et ssh. Dessine par ou cela passe (éléments physiques et couches logicielles avec adresse et port concernés) , vérifie que cela passe et trouve à quelle étape ça bloque.

Si besoin demande de l’aide sur une étape précise.

J’ai déjà réalisé ma petite analyse, ça bloque du moment que je ne suis pas sur une adresse IP en 192.168.0.XX, pour moi ça vient bien de proxmox, car ça fonctionne avec tout le reste PC, NAS, même avec les VM qui sont hébergées sur Proxmox

Tu as un VPN opéré par Wireguard dans ton installation, je voulais savoir si le PC à partir duquel tu veux accéder à l’interface web d’administration de Proxmox (le PC client) et le serveur Proxmox qui propose une interface web d’administration (l’hôte Proxmox) exécutent Wireguard pour mettre en œuvre le VPN ou pas.

Est-ce que tu as une erreur indiquée ou pas ?
Quand un ping ne répond pas, tu peux avoir une erreur qui s’affiche pour préciser l’erreur, si elle est identifiable et retournée par le réseau.

Lors de l’installation de Proxmox, aucune règle de filtrage ne sont mis en place, mais l’interface d’administration n’écoute que sur une IP appartenant à un range ip en /24 (dans ton cas).

Je le répète tu nous précise que Wireguard est configuré et accessible sur une range ip différent, à moins que tu n’explique pas mieux ton installation les machines des deux réseau ne peuvent pas communiqué ensemble à moins que tu est des routes spécifiques.

Les VM du proxmox ont quoi comme ip ?
Elles mêmes accède à l’interface de ton Proxmox ?
Tu te présente avec quoi comme ip à la sortie de ton VPN ?
Que vois tu dans les logs de connexion du Proxmox lors de tentative infructueuse ?
Avec un MTR atteints tu l’ip de l’interface graphique ?

En résumé un schéma de ce que tu as comme réseau mis en place sera franchement un gros plus.

J’ai réalisé un plan de mon installation, j’espère que ce sera plus clair.
vpn

Pour le ping, il y a juste « Délai d’attente de la demande dépassé »

J’ai réalisé un plan de mon installation, j’espère que ce sera plus clair.
vpn

Les VM du proxmox ont quoi comme ip ? => 192.168.0.26
Elles mêmes accède à l’interface de ton Proxmox ? => Oui
Tu te présente avec quoi comme ip à la sortie de ton VPN ? => 192.168.27.60
Que vois tu dans les logs de connexion du Proxmox lors de tentative infructueuse ? => Où trouver ces logs ?
Avec un MTR atteints tu l’ip de l’interface graphique ?

Ah, voilà qui est plus clair.
Il faudrait voir le routage de la machine PRROXMOX et le comparer à une autre machine du même réseau, voir si le problème ne vient pas de là.
Si tu ne vois pas de différence, n’hésite pas à nous donner les retours de commande.

Le routage de la machine PROXMOX ??? Sur la freebox ou sur PROXMOX?

les machines sur le proxmox on quoi comme route ?
la machine hébergé sur la freebox a quoi comme route ?

Tu as quoi comme règles de firewall sur le proxmox ?

nft list ruleset

soit

iptables-save

Sinon tu peux aussi au cas ou tu ne te rappellerai plus regarder sur l’interface web (depuis une machine qui y a accès) il y a possibilité de créer des alias et gérer des exclusions ou des autorisations pour les accès y compris à la webui … mais ce serait franchement ballot d’avoir oublié ce détail :sweat_smile:

les machines sur le proxmox on quoi comme route ? => Je n’ai rien configuré de particulier, j’ai installé proxmox et installé mes machines virtuelles.
la machine hébergé sur la freebox a quoi comme route ? => Il n’y a pas de machine virtuelle sur la Freebox, le serveur WireGuard et intégré à l’OS de la Freebox.

Tu as quoi comme règles de firewall sur le proxmox ? => « nft list ruleset » ne retourne rien.
« iptables-save » retourne ça:

root@pve:~# iptables-save
# Generated by iptables-save v1.8.7 on Mon Jul 10 13:14:05 2023
*raw
:PREROUTING ACCEPT [2263:520491]
:OUTPUT ACCEPT [1693:3513166]
COMMIT
# Completed on Mon Jul 10 13:14:05 2023
# Generated by iptables-save v1.8.7 on Mon Jul 10 13:14:05 2023
*filter
:INPUT ACCEPT [1552:323860]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1695:3513455]
COMMIT
# Completed on Mon Jul 10 13:14:05 2023

Donc ça confirme le Proxmox ne possède aucun filtrage, le problème est sans doute plus lié à une route non accessible entre les ips du range 192.168.0.0/24 et celle du range 192.168.27.0/24.

As-tu mis en place des règles sur la Freebox tel que du DNAT pour tes machines hébergés sur le Proxmox ?

C’est étrange que tu puisse pinguer à l’aide d’une machine extérieur une ip en 192.168.0.0/24 mais pas celle du Proxmox (surtout sans filtrage sur celui-ci).

Non, je n’ai appliqué aucun réglage sur la freebox.

Du coup, je ne comprends pas pourquoi j’arrive à partir du VPN a pinguer toutes les machines du réseau sauf mon Proxmox.