Apprenti
•
71 messages
DDNS et règles NAT
Bonjour,
Après avoir passé 2 jours à lire à peu près tous les sujets qui semblaient traiter de ce point, je ne parviens pas à trouver ma solution, donc je sollicite une nouvelle fois votre aide.
Toujours à la recherche de nouveaux défis, je me suis décidé à "upgrader" un peu mon réseau local, et à tenter de le rendre accessible sur le net. J'ai donc, parmi d'autres choses, créé quelques premières règles NAT pour rediriger certains ports publics vers l'une ou l'autre applications, et souscrit à un abonnement DDNS auprès de DuckDNS.org (pré-configuration existante dans le Technicolor).
Problème : vous vous en doutez, ça ne marche pas. Impossible d'accéder à mes applications distantes (en l'occurrence : la configuration du technicolor sur son port 80, la configuration d'un routeur supplémentaire qui me sert de switch et d'AP sur son port 80 également, et un raspberry pi sur son port 22). Depuis mon réseau local, les trois sont bien entendu disponibles.
J'ai essayé tant avec mon nouvel alias DuckDNS que directement avec mon IP (qui est bien publique, c'est le premier point que j'ai écarté), rien n'y fait.
Etant parfaitement novice en ce qui concerne les redirections et ouvertures de ports, il est plus que probable que j'ai raté quelque chose, mais quoi... ?
Merci d'avance pour votre aide.
Cordialement,
Benibis
Après avoir passé 2 jours à lire à peu près tous les sujets qui semblaient traiter de ce point, je ne parviens pas à trouver ma solution, donc je sollicite une nouvelle fois votre aide.
Toujours à la recherche de nouveaux défis, je me suis décidé à "upgrader" un peu mon réseau local, et à tenter de le rendre accessible sur le net. J'ai donc, parmi d'autres choses, créé quelques premières règles NAT pour rediriger certains ports publics vers l'une ou l'autre applications, et souscrit à un abonnement DDNS auprès de DuckDNS.org (pré-configuration existante dans le Technicolor).
Problème : vous vous en doutez, ça ne marche pas. Impossible d'accéder à mes applications distantes (en l'occurrence : la configuration du technicolor sur son port 80, la configuration d'un routeur supplémentaire qui me sert de switch et d'AP sur son port 80 également, et un raspberry pi sur son port 22). Depuis mon réseau local, les trois sont bien entendu disponibles.
J'ai essayé tant avec mon nouvel alias DuckDNS que directement avec mon IP (qui est bien publique, c'est le premier point que j'ai écarté), rien n'y fait.
Etant parfaitement novice en ce qui concerne les redirections et ouvertures de ports, il est plus que probable que j'ai raté quelque chose, mais quoi... ?
Merci d'avance pour votre aide.
Cordialement,
Benibis
Boai
Citoyen d'honneur
•
633 messages
il y a 8 ans
Ouch, oui, la totale :-)
Premièrement, il faut vérifier si vous êtes derrière une IP publique ou une IP privée (à voir l'adresse IP WAN du modem voo, si 10.x.x.x -> privée -> il faut demander à un expert pour passer en publique).
2. Pour les redirections, toujours passer les machines en IP statiques. 2 manières: soit en fixant les doublets mac-IP dans le DHCP, soit en configurant la machine elle-même avec une IP fixe (et dehors du range DHCP).
Bien, une fois ces 2 points OK, on peut étudier l'ouverture des ports.
Le plus simple est de créer un petit document avec 3 colonnes.
MAchine Port Portexterne
Genre:
raspberry pi 22 10051
Bien entendu, les ports externes doivent être unique.... ainsi que le couple machine/port (j'ai omis le protocole, on peut normalement ouvrir des ports en UDP et/ou TCP).
Une fois ce petit fichier réfléchi, on peut ajouter la configuration dans le modem voo.
Normalement, si on réalise tout ceci calmement et étape par étape, cela devrait fonctionner.
2 conseils:
1. Ne jamais ouvrir le port de configuration du modem à distance. Cela peut sembler pratique, mais c'est une fausse bonne idée....
2. Tous les accès 'ouverts' sont autant de portes ouvertes de l'extérieur vers l'intérieur et donc, susceptible d'attaque. En gardant ceci en tête -> chaque machine du lan doit être protégée (par-feu) ET les mots de passes d'accès doivent être sécurisé (complexes).
Ceci bien entendu, en plus des règles standard de bonnes utilisations comme toujours faire tourner la dernière version validée d'une application (moins sensibles aux attaques 'par le côté')
Si cela ne marche pas, merci de préciser les points qui ne marchent pas. Et bien entendu, chercher et toujours bon.... avant de tout demander ;-)
0
Benibis
Apprenti
•
71 messages
il y a 8 ans
Merci pour votre réponse.
Alors, dans l'ordre :
- mon IP est bien publique, comme je l'indiquais (85.201.*.*)
- je ne l'avais pas précisé, mais j'ai bien fixé les machines concernées en IP fixe en local, via la première technique: depuis le modem, dans l'intervalle DHCP
Je vous rejoins parfaitement sur le danger d'ouvrir la configuration à distance à long terme, ça m'a simplement paru être un test facile à mettre en place (avant de penser que mon Raspberry était a priori tout aussi facile à utiliser pour ça). Bref, cette ouverture-là n'est pas amenée à rester dans le temps.
Concernant les règles actuelles, j'ai ouvert les deux protocoles (par facilité, je l'avoue, je n'ai pas voulu, en tous cas dans un premier temps à nouveau, réfléchir aux directions utiles).
L'objectif, à moyen terme, sera essentiellement d'ouvrir quelques ports sur mon rasp, qui me permettra de contrôler quelques applications (serveur multimedia, site auto-hébergé, et sans doute à plus long terme un peu de domotique, quand j'aurai le courage et le temps de m'y mettre). Mais pour aujourd'hui, si j'arrive déjà à accéder en SSH, "pour le fun", je suis plus que satisfait (puisque ça me donnera un modèle à reproduire pour les autres applications).
Cordialement,
Benibis
0
0
Benibis
Apprenti
•
71 messages
il y a 8 ans
Allons-y pour un petit screenshot.
A noter en passant que j'ai essayé plusieurs combinaisons (toutes, je pense) au niveau des options pour le blocage WAN et la configuration à distance. Actuellement, la première est désactivée, la seconde activée.
EDIT (tant qu'à être complet) :
Blocage WAN Désactivé
IPsec Passthrough Activé
PPTP Passthrough Activé
Gestion de la configuration à distance Activé
Multicast Activé Activé
UPnP Activé Désactivé
Merci !
Benibis
0
0
Benibis
Apprenti
•
71 messages
il y a 8 ans
0
0
Benibis
Apprenti
•
71 messages
il y a 8 ans
Merci d'y avoir regardé. Bonne fin de soirée à vous aussi.
Benibis
0
0
Benibis
Apprenti
•
71 messages
il y a 8 ans
Il semblerait que ma configuration OpenVPN soit à l'origine du problème. En tuant le processus sur la rasp, j'arrive bien à accéder à mon rasp. Il faudra que je teste demain le SSH depuis une autre connexion, c'est assez de bonnes nouvelles pour ce soir !
Un immense merci.
Bonne nuit,
Benibis
PS: je marque votre réponse comme "meilleure réponse" demain sans faute si mes tests sont concluants.
0
0
Benibis
Apprenti
•
71 messages
il y a 8 ans
Boai me confirme entretemps qu'il parvient bien à accéder à ma machine (merci d'avoir essayé, Boai).
Merci à tous les deux pour votre aide.
Bonne journée,
Benibis
0
0