NAT broadcast

ab2l

Bonjour

J'essai d'utiliser la fonction de wake on lan sur teamviewer. Pour se faire il faut faire une translation WAN->LAN du port udp 9 sur du broadcast 192.168.0.255

J'avais le même type de règle sur le vieux ASA5505 qui fonctionnait.
J'ai vu que ce serai une limitation de freebsd

Une idée ?

Merci
Sébastien

jdh

La question n'est pas claire, notamment sur le besoin !

Des bonnes réponses sur ce sujet : http://fr.wikipedia.org/wiki/Wake-on-LAN (comme d'hab wikipedia fournit des explications claires : reste à les lire et … les comprendre !)
Dans le court document est cité, assez explicitement, le problème ...

ab2l

Le besoin est simple.
Reveiller un ordi sur mon reseau via l'option de teamviewer.
Il utilise le wake on lan, mais comme ça vient d'internet, il faut faire une translation dur port UDP,9 sur la destination broadcast du reseau.

J'avais la même règle sur mon ancien ASA ou ça fonctionnai…

J'avais chercher sur internet et a priori c'est une limitation freebsd. Quelqu'un a une info ?
Si pas de solution je vais faire différemment.

jdh

J'ai essayé de vous lancer dans la bonne direction (en précisant que le document donnait des éléments précis).
Mais vous réécrivez la même chose qu'initialement.

Soit je n'ai pas été suffisamment limpide (mais je ne veux pas dire exactement ce qui ne vas pas dans votre raisonnement car il faut que vous trouviez par vous-même),
Soit vous n'avez pas suffisamment lu ni compris ce qui est justement décrit.

Votre raisonnement n'est pas bon.
Et une condition doit être remplie (dont je doute de la possibilité).
De plus, je suis étonné d'un réglage de votre ancien firewall (qui induit en erreur).

Perso, je ne suis pas sûr que pfSense soit la bonne méthode depuis WAN. (pfSense sait faire du Wake On Lan sur … le LAN.)

ab2l

Merci pour votre intérêt

Je penses qu'on se comprend pas ou mal. je vais essayer de reformuler.

Je connais et comprend le principe du wakeonlan, c'est un packet envoyé à tout le monde (broadcast) avec les infos qui vont bien pour que l'intéressé se réveil.

On utilise déjà la fonction wake on lan de pfsense, les ordis du même LAN se réveil.

Le problème se pose quand je ne suis pas au bureau. Teamviewer dans la version 9 propose de faire du wakeonlan via internet en envoyant sur l'ip publique du pfsense une trame sur le port UDP,9
Pour que ça fonctionne il faut créer une règle NAT sur le firewall qui redirige le paquet de pfsense en broadcast sur le LAN.

D'où ma règle de translation ou la destination est 192.168.0.255

J'avais vu que freeBSD ne sait pas translater un packet reçu sur du broadcast.
J'ai aussi vu qu'il est éventuellement possible de contourner le problème en mettant des ARP static et faire une translation sur l'IP, mais ça doit fonctionner que pour un poste en local, enfin je penses.

jdh

Je connais et comprend le principe du wakeonlan, c'est un packet envoyé à tout le monde (broadcast) avec les infos qui vont bien pour que l'intéressé se réveil.

NON méconnaissance et incompréhension ! Le paquet est envoyé à la seule machine cible désignée par son adresse MAC (à la limite l'adresse ip importe peu) !

Le lien (très classique) que je donne indique

Il est possible de lancer un Wake-on-LAN à travers Internet, vers une machine située derrière un routeur NAT, mais ceci sous certaines conditions : le paquet magique doit être un paquet UDP, dont le port utilisé est redirigé vers l'adresse IP de la machine qui doit être réveillée. L'ordinateur étant éteint, il faut alors configurer de manière permanente l'association Adresse MAC/Adresse IP dans la table ARP du routeur (dans le cas contraire, cette association expire dans le routeur au bout de 5 minutes environ, et le paquet magique ne sera pas dirigé vers la machine). Certains routeurs permettent de réveiller une machine du réseau local à travers leur interface web ou via telnet.

Je ne vois pas indiqué ici une adresse de broadcast !

Il est évident que la machine cible étant arrêté, elle ne risque pas d'avoir une adresse ip ni de répondre à un broadcast ip.
Le protocole définit que la machine cible répond à un paquet udp : en entête de paquet udp, il y a à la fois une adresse ip mais surtout une adresse mac.
Il est clairement dit qu'il faut une association arp statique.

…

Il y a un mécanisme simple qui peut résoudre aisément (et en sécurité) : un accès VPN sur le réseau LAN, accès à l'interface web de pfSense puis Wake-on-LAN de la machine.
J'ai du mal à comprendre qu'on ouvre un port pour seulement réveiller une machine ... sans aucune identification !

NB : j'ai lu la doc de Teamviewer à http://www.teamviewer.com/fr/res/pdf/TeamViewer-Manual-Wake-on-LAN-fr.pdf et je suis stupéfait des paragraphes 7.1.1 et 7.1.2 (que vous reprenez) : je suis très sceptique !