Passer au contenu principal
B

Apprenti

 • 

61 Messages

mer. 14 sept. 2016 18:39

DDNS et règles NAT

Bonjour,

Après avoir passé 2 jours à lire à peu près tous les sujets qui semblaient traiter de ce point, je ne parviens pas à trouver ma solution, donc je sollicite une nouvelle fois votre aide.

Toujours à la recherche de nouveaux défis, je me suis décidé à "upgrader" un peu mon réseau local, et à tenter de le rendre accessible sur le net. J'ai donc, parmi d'autres choses, créé quelques premières règles NAT pour rediriger certains ports publics vers l'une ou l'autre applications, et souscrit à un abonnement DDNS auprès de DuckDNS.org (pré-configuration existante dans le Technicolor).

Problème : vous vous en doutez, ça ne marche pas. Impossible d'accéder à mes applications distantes (en l'occurrence : la configuration du technicolor sur son port 80, la configuration d'un routeur supplémentaire qui me sert de switch et d'AP sur son port 80 également, et un raspberry pi sur son port 22). Depuis mon réseau local, les trois sont bien entendu disponibles.

J'ai essayé tant avec mon nouvel alias DuckDNS que directement avec mon IP (qui est bien publique, c'est le premier point que j'ai écarté), rien n'y fait.

Etant parfaitement novice en ce qui concerne les redirections et ouvertures de ports, il est plus que probable que j'ai raté quelque chose, mais quoi... ?

Merci d'avance pour votre aide.

Cordialement,
Benibis

Réponses

Solution acceptée

pthierry

Citoyen d'honneur

 • 

2.4K Messages

il y a 4 ans

J'ai des doutes pour la règle vers le TC lui-même (c'est normalement l'option "gestion de la configuration à distance" du modem même qu'il faut utiliser) et pour l'autre routeur, pas sûr non plus qu'il accepte des connexions ne venant pas de son propre subnet...

L'ideal serait d'essayer avec un serveur web tournant sur un PC, un NAS, ou le rasberry même !
Boai

Citoyen d'honneur

 • 

619 Messages

il y a 4 ans

Hello,

Ouch, oui, la totale :-)

Premièrement, il faut vérifier si vous êtes derrière une IP publique ou une IP privée (à voir l'adresse IP WAN du modem voo, si 10.x.x.x -> privée -> il faut demander à un expert pour passer en publique).
2. Pour les redirections, toujours passer les machines en IP statiques. 2 manières: soit en fixant les doublets mac-IP dans le DHCP, soit en configurant la machine elle-même avec une IP fixe (et dehors du range DHCP).
Bien, une fois ces 2 points OK, on peut étudier l'ouverture des ports.
Le plus simple est de créer un petit document avec 3 colonnes.
MAchine Port Portexterne

Genre:
raspberry pi 22 10051

Bien entendu, les ports externes doivent être unique.... ainsi que le couple machine/port (j'ai omis le protocole, on peut normalement ouvrir des ports en UDP et/ou TCP).

Une fois ce petit fichier réfléchi, on peut ajouter la configuration dans le modem voo.

Normalement, si on réalise tout ceci calmement et étape par étape, cela devrait fonctionner.

2 conseils:
1. Ne jamais ouvrir le port de configuration du modem à distance. Cela peut sembler pratique, mais c'est une fausse bonne idée....
2. Tous les accès 'ouverts' sont autant de portes ouvertes de l'extérieur vers l'intérieur et donc, susceptible d'attaque. En gardant ceci en tête -> chaque machine du lan doit être protégée (par-feu) ET les mots de passes d'accès doivent être sécurisé (complexes).

Ceci bien entendu, en plus des règles standard de bonnes utilisations comme toujours faire tourner la dernière version validée d'une application (moins sensibles aux attaques 'par le côté')

Si cela ne marche pas, merci de préciser les points qui ne marchent pas. Et bien entendu, chercher et toujours bon.... avant de tout demander ;-)
Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn

Apprenti

 • 

61 Messages

il y a 4 ans

Salut Boai,

Merci pour votre réponse.

Alors, dans l'ordre :
- mon IP est bien publique, comme je l'indiquais (85.201.*.*)
- je ne l'avais pas précisé, mais j'ai bien fixé les machines concernées en IP fixe en local, via la première technique: depuis le modem, dans l'intervalle DHCP

Je vous rejoins parfaitement sur le danger d'ouvrir la configuration à distance à long terme, ça m'a simplement paru être un test facile à mettre en place (avant de penser que mon Raspberry était a priori tout aussi facile à utiliser pour ça). Bref, cette ouverture-là n'est pas amenée à rester dans le temps.

Concernant les règles actuelles, j'ai ouvert les deux protocoles (par facilité, je l'avoue, je n'ai pas voulu, en tous cas dans un premier temps à nouveau, réfléchir aux directions utiles).

L'objectif, à moyen terme, sera essentiellement d'ouvrir quelques ports sur mon rasp, qui me permettra de contrôler quelques applications (serveur multimedia, site auto-hébergé, et sans doute à plus long terme un peu de domotique, quand j'aurai le courage et le temps de m'y mettre). Mais pour aujourd'hui, si j'arrive déjà à accéder en SSH, "pour le fun", je suis plus que satisfait (puisque ça me donnera un modèle à reproduire pour les autres applications).

Cordialement,
Benibis
pthierry

Citoyen d'honneur

 • 

2.4K Messages

il y a 4 ans

Bonsoir,

Pouvez-vous publier un screenshot avec les règles que vous avez créées ?

Apprenti

 • 

61 Messages

il y a 4 ans

Bonsoir,

Allons-y pour un petit screenshot.

A noter en passant que j'ai essayé plusieurs combinaisons (toutes, je pense) au niveau des options pour le blocage WAN et la configuration à distance. Actuellement, la première est désactivée, la seconde activée.

EDIT (tant qu'à être complet) :

Blocage WAN Désactivé
IPsec Passthrough Activé
PPTP Passthrough Activé
Gestion de la configuration à distance Activé
Multicast Activé Activé
UPnP Activé Désactivé


Merci !
Benibis
pthierry

Citoyen d'honneur

 • 

2.4K Messages

il y a 4 ans

A priori rien de choquant... Juste pour être sûr, votre adresse IP, c'est bien au niveau du modem que vous l'avez vérifiée (WAN IP) et pas uniquement en regardant l'adresse qui est associée à votre nom DDNS ?

Apprenti

 • 

61 Messages

il y a 4 ans

Oui oui, j'ai bien vérifié que les deux coïncidaient.
pthierry

Citoyen d'honneur

 • 

2.4K Messages

il y a 4 ans

Très bizarre... J'ai un Netgear, pas un Technicolor, en plus configuré en bridge avec un routeur derrière, mais je ne fais rien de plus que vous sur le routeur pour accéder à un port. Ne connaissant pas ce modem, je ne sais pas s'il y a une subtilité quelque part...

Est-ce possible que le rasberry soit configuré pour refuser les connexions qui ne viennent pas du subnet local ?

Je crains malheureusement être à court d'idées pour ce soir, d'autant plus qu'il se fait tard...

Bonne fin de soirée,

Apprenti

 • 

61 Messages

il y a 4 ans

J'ai pas mal chipoté à l'époque où j'ai configuré le rasp pour forcer la connexion à un service VPN via OpenVPN, donc je n'exclus pas cette possibilité, mais par contre ça ne devrait pas influencer les résultats pour le TC et mon autre routeur, a priori, n'est-ce pas (raison pour laquelle je les ai provisoirement ajouté, ils ne sont pas amenés à rester) ?

Merci d'y avoir regardé. Bonne fin de soirée à vous aussi.

Benibis

Apprenti

 • 

61 Messages

il y a 4 ans

pthierry, vous êtes un génie !

Il semblerait que ma configuration OpenVPN soit à l'origine du problème. En tuant le processus sur la rasp, j'arrive bien à accéder à mon rasp. Il faudra que je teste demain le SSH depuis une autre connexion, c'est assez de bonnes nouvelles pour ce soir !

Un immense merci.
Bonne nuit,
Benibis

PS: je marque votre réponse comme "meilleure réponse" demain sans faute si mes tests sont concluants.
pthierry

Citoyen d'honneur

 • 

2.4K Messages

il y a 4 ans

pthierry, vous êtes un génie !


Lol, merci mais non, c'est juste par déduction vu que tout le reste semblait correct :)

Tenez-nous au courant de vos expériences !

Bonne journée.

Apprenti

 • 

61 Messages

il y a 4 ans

Je vous tiendrai au courant. Prochaine étape : reconfigurer OpenVPN pour passer par le VPN pour les connexions sortantes, mais accepter les connexions entrantes comme n'importe quelle autre machine de mon LAN. Je vous tiendrai au courant lorsque ça fonctionnera.

Boai me confirme entretemps qu'il parvient bien à accéder à ma machine (merci d'avoir essayé, Boai).

Merci à tous les deux pour votre aide.

Bonne journée,
Benibis

Poser une question