[a-h-aide] configuration de la freebox
bonjour, je souhaite me lancer dans l'autohébergement. Malgré quelques pages web sur internet il me reste encore quelques zones d'ombre à éclaircir. Ma motivation pour l'autohébergement sont avant tout les suivantes (sans parler de l'aspect "politique"): - création d'un serveur de courrier électronique; - création d'un serveur de messagerie instantané; - installation d'un serveur vpn; - utilisation du ssh sur des ordinateurs clients. éventuellement dans un second temps: - création d'un site web; - contribution au projet tor; - hébergement de miroirs. La structure de mon réseau local est la suivante: - freebox v4 free only NDI; - routeur wifi trendnet TEW-671BR; - postes informatiques avec plusieurs os différents utilisant wifi pour la connection internet; - imprimantes wifi; - 2 ordinateurs de récupération upgradés (pour débuter c'est mieux) dont un avec freebsd et l'autre ubuntu server (ceux-ci seront connectés au routeur via lan). Pour l'instant je me penche plutôt sur ubuntu car j'ai plus d'expérience sur cet os (bloquant sur un tuto bsd); Je crois que j'ai fais le tour. Maintenant que j'ai expliqué ma situation venons en au fait. Je met en pièce jointe la configuration de la box ça peut être utile... Dois-je utiliser ipv6? je me demande si dès lors je ne serais pas contraind de sécuriser tous les ordinateurs du réseau local comme un serveur (snort, fail2ban ect pour les os linux) de plus puis je configurer de ipv6 avec les imprimantes en ipv4? Dois-je configurer le DHCP? Dois-je installer un serveur DNS? Faut-il une configuration sur le routeur ou sur la box pour utiliser le wifi? Dois-je utiliser une ip fixe (même si mon petit doigt me dit que oui) Pour faire simple est ce que la configuration de ma box actuelle me permet de continuer dans le développement de l'autohébergement. Les réponses à ces question m'aideront déjà a faire un pas dans l'autohébergement. Cordialement.
Afficher les réponses par date
Le 30/11/2011 10:21, julien nn a écrit :
bonjour,
je souhaite me lancer dans l'autohébergement. Malgré quelques pages web sur internet il me reste encore quelques zones d'ombre à éclaircir. Ma motivation pour l'autohébergement sont avant tout les suivantes (sans parler de l'aspect "politique"): - création d'un serveur de courrier électronique; - création d'un serveur de messagerie instantané; - installation d'un serveur vpn; - utilisation du ssh sur des ordinateurs clients.
éventuellement dans un second temps: - création d'un site web; - contribution au projet tor; - hébergement de miroirs.
La structure de mon réseau local est la suivante: - freebox v4 free only NDI; - routeur wifi trendnet ; - postes informatiques avec plusieurs os différents utilisant wifi pour la connection internet; - imprimantes wifi; - 2 ordinateurs de récupération upgradés (pour débuter c'est mieux) dont un avec freebsd et l'autre ubuntu server (ceux-ci seront connectés au routeur via lan). Pour l'instant je me penche plutôt sur ubuntu car j'ai plus d'expérience sur cet os (bloquant sur un tuto bsd);
Je crois que j'ai fais le tour. Maintenant que j'ai expliqué ma situation venons en au fait. Je met en pièce jointe la configuration de la box ça peut être utile... Dois-je utiliser ipv6? je me demande si dès lors je ne serais pas contraind de sécuriser tous les ordinateurs du réseau local comme un serveur (snort, fail2ban ect pour les os linux) de plus puis je configurer de ipv6 avec les imprimantes en ipv4?
Salut Julien, alors tout dépend de ce que tu as envie de faire. Configurer tout ces services prend pas mal de temps surtout quand on n'a pas encore trop d'expérience (mais ça vient vite je te rassure ;) ). Chaque chose en son temps, commence par te faire un réseau IPv4 qui fonctionne, et après tu pourras penser à aller IPv6. Quand tu voudras faire de l'IPv6, effectivement il faudrait faire attention, mais c'est pas encore assez utilisé pour que ça soit dangereux à mon sens ( depuis un an d'auto-hébergement les seuls connexions IPv6 que j'ai eu sur mon serveur apache étaient de moi :) ) Pour répondre à tes questions :
Dois-je configurer le DHCP?
La Freebox est déjà un routeur ainsi que ton routeur wifi trendnet qui possède également 4 ports LAN. Vu le peu de machine que tu as, je pense qu'un seul routeur te suffira. Je n'ai pas l'impression que le TEW671-BR supporte l'IPv6, à vérifié (http://www.trendnet.com/langfr/products/proddetail.asp?prod=155_TEW-671BR&ca...) quoiqu'il en soit, tu peux tout mettre derrière ta freebox.
Dois-je installer un serveur DNS?
Probablement inutile. Si tu enregistres un nom de domaine chez ovh par exemple, mettons "juliennn.fr" tu pourras configurer ta zone pour préciser soit l'ensemble de tes sous domaine comme pc1.juliennn.fr, pc2.juliennn.fr, voir mettre un wildcard *.juliennn.fr pour que tout tes sous-domaines pointent vers la même IP (oui en IPv4 de toute façon tu n'auras qu'une seule adresse IP). Le serveur DNS peut être utile en revanche à l'intérieur de ton réseau, par exemple pour avoir un accès ssh directement sans passer par l'adresse IP. Mais dans ce cas je te proposerais plutôt de configurer le /etc/hosts c'est plus rapide. L'intérêt vraiment d'avoir un serveur DNS chez toi c'est par exemple pour pouvoir résoudre les .42 https://www.42registry.org/, les .dn42 si tu veux contribuer à un darknet IP https://dn42.net/trac/ (rien à voir avec 42registry) et si tu veux geeker tout seimplement bien sur. Mais de base, non, ce n'est pas nécessaire.
Faut-il une configuration sur le routeur ou sur la box pour utiliser le wifi?
Pour utiliser le wifi, la freebox et le trendnet ont une interface graphique par le web. Pour la freebox il faut aller sur le site de free->mon compte->freebox->routeur wifi (quelque chose comme ça), pour le trendnet c'est généralement l'adresse .1 de ton sous-réseau (par exemple 192.168.0.1 ou 192.168.1.1).
Dois-je utiliser une ip fixe (même si mon petit doigt me dit que oui)
ça ne dépend pas de toi mais de ton opérateur. c'est effectivement mieux oui, un pour la résolution DNS car si ton IP change tout le temps, les enregistrements DNS seront obsolètes (et du coup tes services innaccessibles) et dans ce cas faudrait passer par du dyndns. Et de deux, une IP unique c'est plus facile à retenir :) Mais Free te fournis justement une IP fixe donc c'est bon.
Pour faire simple est ce que la configuration de ma box actuelle me permet de continuer dans le développement de l'autohébergement. Les réponses à ces question m'aideront déjà a faire un pas dans l'autohébergement. Cordialement.
Bien sur ! Si tu as d'autres questions, n'hésite pas à les poser sur la liste ! Lucien.
Bonjour, J'ai le même genre de config matérielle et ça marche très bien chez moi. Pour les questions relatives à l'IPv6 je ne peux pas te répondre n'en sachant pas assez. Pour le DNS ce n'est pas nécessaire, personnellement je me contente de ce que me propose Gandi. Pour le DHCP de mon côté j'ai réglé une IP fixe vers l'adresse MAC de ma carte WiFi (je suis trop loin de la box pour me permettre d'avoir des câbles qui courent dans toute la maison) ce qui est facilement configurable dans le panneau de config sur free.fr. Il faut alors bien penser à rediriger les ports qui t’intéressent vers l'IP locale de ton serveur, toujours dans ce panneau de config sur free.fr. Perso j'ai donc redirigé les ports qui me servent pour les mails, pour le web, et pour chaque service que j'utilise. Un petit redémarrage de freebox et c'est fini. Pense aussi à ouvrir les ports sur ton firewall (si tu en as un) sur le serveur. Voilà, si ça peut t'aider :) Pol Le 30 novembre 2011 10:21, julien nn <bjul25@hotmail.fr> a écrit :
bonjour,
je souhaite me lancer dans l'autohébergement. Malgré quelques pages web sur internet il me reste encore quelques zones d'ombre à éclaircir. Ma motivation pour l'autohébergement sont avant tout les suivantes (sans parler de l'aspect "politique"): - création d'un serveur de courrier électronique; - création d'un serveur de messagerie instantané; - installation d'un serveur vpn; - utilisation du ssh sur des ordinateurs clients.
éventuellement dans un second temps: - création d'un site web; - contribution au projet tor; - hébergement de miroirs.
La structure de mon réseau local est la suivante: - freebox v4 free only NDI; - routeur wifi trendnet TEW-671BR; - postes informatiques avec plusieurs os différents utilisant wifi pour la connection internet; - imprimantes wifi; - 2 ordinateurs de récupération upgradés (pour débuter c'est mieux) dont un avec freebsd et l'autre ubuntu server (ceux-ci seront connectés au routeur via lan). Pour l'instant je me penche plutôt sur ubuntu car j'ai plus d'expérience sur cet os (bloquant sur un tuto bsd);
Je crois que j'ai fais le tour. Maintenant que j'ai expliqué ma situation venons en au fait. Je met en pièce jointe la configuration de la box ça peut être utile... Dois-je utiliser ipv6? je me demande si dès lors je ne serais pas contraind de sécuriser tous les ordinateurs du réseau local comme un serveur (snort, fail2ban ect pour les os linux) de plus puis je configurer de ipv6 avec les imprimantes en ipv4? Dois-je configurer le DHCP? Dois-je installer un serveur DNS? Faut-il une configuration sur le routeur ou sur la box pour utiliser le wifi? Dois-je utiliser une ip fixe (même si mon petit doigt me dit que oui) Pour faire simple est ce que la configuration de ma box actuelle me permet de continuer dans le développement de l'autohébergement. Les réponses à ces question m'aideront déjà a faire un pas dans l'autohébergement. Cordialement.
_______________________________________________ auto-hebergement-aide mailing list auto-hebergement-aide@listes.auto-hebergement.fr http://listes.auto-hebergement.fr/listinfo/auto-hebergement-aide
J'ajouterais que tout ceux qui sont effrayés par l'IPv6 devrait faire un tour sur ce lien : http://livre.g6.asso.fr/index.php/Table_des_mati%C3%A8res C'est très bien fait et didactique. Lucien. Le 30/11/2011 12:07, Pol Muller a écrit :
Bonjour,
J'ai le même genre de config matérielle et ça marche très bien chez moi. Pour les questions relatives à l'IPv6 je ne peux pas te répondre n'en sachant pas assez. Pour le DNS ce n'est pas nécessaire, personnellement je me contente de ce que me propose Gandi.
Pour le DHCP de mon côté j'ai réglé une IP fixe vers l'adresse MAC de ma carte WiFi (je suis trop loin de la box pour me permettre d'avoir des câbles qui courent dans toute la maison) ce qui est facilement configurable dans le panneau de config sur free.fr <http://free.fr>. Il faut alors bien penser à rediriger les ports qui t’intéressent vers l'IP locale de ton serveur, toujours dans ce panneau de config sur free.fr <http://free.fr>. Perso j'ai donc redirigé les ports qui me servent pour les mails, pour le web, et pour chaque service que j'utilise. Un petit redémarrage de freebox et c'est fini. Pense aussi à ouvrir les ports sur ton firewall (si tu en as un) sur le serveur.
Voilà, si ça peut t'aider :)
Pol
Le 30 novembre 2011 10:21, julien nn <bjul25@hotmail.fr <mailto:bjul25@hotmail.fr>> a écrit :
bonjour,
je souhaite me lancer dans l'autohébergement. Malgré quelques pages web sur internet il me reste encore quelques zones d'ombre à éclaircir. Ma motivation pour l'autohébergement sont avant tout les suivantes (sans parler de l'aspect "politique"): - création d'un serveur de courrier électronique; - création d'un serveur de messagerie instantané; - installation d'un serveur vpn; - utilisation du ssh sur des ordinateurs clients.
éventuellement dans un second temps: - création d'un site web; - contribution au projet tor; - hébergement de miroirs.
La structure de mon réseau local est la suivante: - freebox v4 free only NDI; - routeur wifi trendnet TEW-671BR; - postes informatiques avec plusieurs os différents utilisant wifi pour la connection internet; - imprimantes wifi; - 2 ordinateurs de récupération upgradés (pour débuter c'est mieux) dont un avec freebsd et l'autre ubuntu server (ceux-ci seront connectés au routeur via lan). Pour l'instant je me penche plutôt sur ubuntu car j'ai plus d'expérience sur cet os (bloquant sur un tuto bsd);
Je crois que j'ai fais le tour. Maintenant que j'ai expliqué ma situation venons en au fait. Je met en pièce jointe la configuration de la box ça peut être utile... Dois-je utiliser ipv6? je me demande si dès lors je ne serais pas contraind de sécuriser tous les ordinateurs du réseau local comme un serveur (snort, fail2ban ect pour les os linux) de plus puis je configurer de ipv6 avec les imprimantes en ipv4? Dois-je configurer le DHCP? Dois-je installer un serveur DNS? Faut-il une configuration sur le routeur ou sur la box pour utiliser le wifi? Dois-je utiliser une ip fixe (même si mon petit doigt me dit que oui) Pour faire simple est ce que la configuration de ma box actuelle me permet de continuer dans le développement de l'autohébergement. Les réponses à ces question m'aideront déjà a faire un pas dans l'autohébergement. Cordialement.
_______________________________________________ auto-hebergement-aide mailing list auto-hebergement-aide@listes.auto-hebergement.fr <mailto:auto-hebergement-aide@listes.auto-hebergement.fr> http://listes.auto-hebergement.fr/listinfo/auto-hebergement-aide
_______________________________________________ auto-hebergement-aide mailing list auto-hebergement-aide@listes.auto-hebergement.fr http://listes.auto-hebergement.fr/listinfo/auto-hebergement-aide
Si il faut sécuriser "tous" les ordinateurs du réseaux local je préfère autant rester en ipv4 pour le moment d'autant plus que certains ordinateurs tournent sur windob donc niveau sécurité ce n'est pas ça (dommage pour le "vrai" internet) de plus certains ordinateurs ne sont pas à moi.... J'ai 5 ordinateurs dont "4" de récup pour faire mes tests. Je préfère utiliser mon routeur à cause des ennuis que je suis susceptible de rencontrer avec le wifi http://wiki.auto-hebergement.fr/r%C3%A9seau/box/pare-feu . Je pense être en mesure de configurer le firewall il ne me reste plus qu'a installer les services, la sécurité, et à mettre en place l'ipv4 si je comprend bien :). Une dernière question avant de me remettre au boulot faut-il une adresse dns pour disposer de son serveur de messagerie instantanée. Je peux en disposer d'une gratuitement car je suis un nouvel adhérent FDN. Cordialement et merci :).
Le 30/11/2011 13:37, julien nn a écrit :
Si il faut sécuriser "tous" les ordinateurs du réseaux local je préfère autant rester en ipv4 pour le moment d'autant plus que certains ordinateurs tournent sur windob donc niveau sécurité ce n'est pas ça (dommage pour le "vrai" internet) de plus certains ordinateurs ne sont pas à moi.... J'ai 5 ordinateurs dont "4" de récup pour faire mes tests. Je préfère utiliser mon routeur à cause des ennuis que je suis susceptible de rencontrer avec le wifi http://wiki.auto-hebergement.fr/r%C3%A9seau/box/pare-feu . Je pense être en mesure de configurer le firewall il ne me reste plus qu'a installer les services, la sécurité, et à mettre en place l'ipv4 si je comprend bien :). Une dernière question avant de me remettre au boulot faut-il une adresse dns pour disposer de son serveur de messagerie instantanée. Je peux en disposer d'une gratuitement car je suis un nouvel adhérent FDN. Cordialement et merci :).
c'est techniquement pas nécessaire car tu peux avoir une adresse de type "julienn@82.236.182.54" (enfin je crois). Mais en pratique c'est impensable :) Bon courage ! Lucien.
julien nn, 2011-11-30 10:21 UTC+0100:
Dois-je utiliser ipv6? je me demande si dès lors je ne serais pas contraind de sécuriser tous les ordinateurs du réseau local comme un serveur (snort, fail2ban ect pour les os linux) de plus puis je configurer de ipv6 avec les imprimantes en ipv4?
En IPv4, ton réseau local utilise un NAT effectué par ton routeur (ta Freebox, en l'occurrence). Cela pose des problèmes pour accéder à tes propres services depuis une machine qui est derrière le même NAT. La solution la plus simple à ces problèmes consiste à utiliser IPv6. D'autres solutions existent, comme la mise en place d'un système de noms à horizon multiple ou un double NAT. Cette dernière solution est déjà mise en place par Free sur les Freebox, il me semble. Pour ce qui est de la sécurisation, la différence, c'est qu'en IPv4, tu es donc derrière un NAT, qui a un effet secondaire de pare-feu bloquant par défaut tout ce qui entre. En IPv6, pour disposer d'une sécurité équivalente, il faut mettre en place un tel pare-feu ; je ne crois pas que Free le fasse sur les Freebox, donc ça doit se faire soit en ajoutant un pare-feu dédié, avec quelques spécificités liées à la topologie du réseau domestique en question, soit en utilisant un pare-feu sur chaque machine du réseau.
Dois-je configurer le DHCP?
Pas nécessairement. Il est important que ton serveur conserve son adresse IPv4, et il y a deux solutions pour cela : soit régler le serveur DHCP pour qu'il lui fournisse toujours la même adresse, soit régler le serveur pour qu'il utilise une adresse fixe plutôt que de la demander par DHCP.
Dois-je installer un serveur DNS?
Ce n'est pas obligatoire, mais si ce que tu veux, c'est t'auto-héberger, il me semblerait contradictoire de faire héberger ailleurs ton service de nom.
Faut-il une configuration sur le routeur ou sur la box pour utiliser le wifi?
Oui, mais c'est préconfiguré par Free, ça. Quoi qu'il en soit, c'est sans rapport avec l'auto-hébergement.
Dois-je utiliser une ip fixe (même si mon petit doigt me dit que oui)
Oui. :-)
Pour faire simple est ce que la configuration de ma box actuelle me permet de continuer dans le développement de l'autohébergement.
A priori oui. J'espère pour toi que tu as une adresse IPv4 publique fixe, sinon tu vas avoir des difficultés. -- . o . Tanguy Ortolo, internaute auto-hébergé . . o <http://www.auto-hebergement.fr/> o o o
Le 30/11/2011 16:58, Tanguy Ortolo a écrit :
julien nn, 2011-11-30 10:21 UTC+0100:
Dois-je utiliser ipv6? je me demande si dès lors je ne serais pas contraind de sécuriser tous les ordinateurs du réseau local comme un serveur (snort, fail2ban ect pour les os linux) de plus puis je configurer de ipv6 avec les imprimantes en ipv4? En IPv4, ton réseau local utilise un NAT effectué par ton routeur (ta Freebox, en l'occurrence). Cela pose des problèmes pour accéder à tes propres services depuis une machine qui est derrière le même NAT. Excuse moi d'intervenir, je ne suis moi même pas sur de comprendre de quoi tu parles, deux machines derrière le même NAT sont sur le même réseaux IP privée et donc n'ont aucun problème à se parler. peut-être voulais tu dire "qui n'est pas derrière le même NAT" ?
La solution la plus simple à ces problèmes consiste à utiliser IPv6. D'autres solutions existent, comme la mise en place d'un système de noms à horizon multiple ou un double NAT. Cette dernière solution est déjà mise en place par Free sur les Freebox, il me semble. IPv6 permet de restaurer la notion de "bout en bout" et donc toutes les machines du réseau seront accessible depuis l'Internet sans intermédiaire. Je ne vois pas en revanche l'intérêt ni d'un double NAT, ni d'un DNS à horizon multiple (j'imagine que tu fais référence à un DNS qui répond de façon différente en fonction de l'IP source) dans le cas de figure qu'a présenté Julien.
Pour ce qui est de la sécurisation, la différence, c'est qu'en IPv4, tu es donc derrière un NAT, qui a un effet secondaire de pare-feu bloquant par défaut tout ce qui entre. En IPv6, pour disposer d'une sécurité équivalente, il faut mettre en place un tel pare-feu ; je ne crois pas que Free le fasse sur les Freebox, donc ça doit se faire soit en ajoutant un pare-feu dédié, avec quelques spécificités liées à la topologie du réseau domestique en question, soit en utilisant un pare-feu sur chaque machine du réseau.
Non la Freebox ne NAT ni ne firewall l'IPv6 en effet.
Dois-je configurer le DHCP? Pas nécessairement. Il est important que ton serveur conserve son adresse IPv4, et il y a deux solutions pour cela : soit régler le serveur DHCP pour qu'il lui fournisse toujours la même adresse, soit régler le serveur pour qu'il utilise une adresse fixe plutôt que de la demander par DHCP.
Dois-je installer un serveur DNS? Ce n'est pas obligatoire, mais si ce que tu veux, c'est t'auto-héberger, il me semblerait contradictoire de faire héberger ailleurs ton service de nom.
Faut-il une configuration sur le routeur ou sur la box pour utiliser le wifi? Oui, mais c'est préconfiguré par Free, ça. Quoi qu'il en soit, c'est sans rapport avec l'auto-hébergement.
Dois-je utiliser une ip fixe (même si mon petit doigt me dit que oui) Oui. :-)
Pour faire simple est ce que la configuration de ma box actuelle me permet de continuer dans le développement de l'autohébergement. A priori oui. J'espère pour toi que tu as une adresse IPv4 publique fixe, sinon tu vas avoir des difficultés.
_______________________________________________ auto-hebergement-aide mailing list auto-hebergement-aide@listes.auto-hebergement.fr http://listes.auto-hebergement.fr/listinfo/auto-hebergement-aide
Loiseau Lucien, 2011-11-30 17:19 UTC+0100:
Le 30/11/2011 16:58, Tanguy Ortolo a écrit :
En IPv4, ton réseau local utilise un NAT effectué par ton routeur (ta Freebox, en l'occurrence). Cela pose des problèmes pour accéder à tes propres services depuis une machine qui est derrière le même NAT.
Excuse moi d'intervenir, je ne suis moi même pas sur de comprendre de quoi tu parles, deux machines derrière le même NAT sont sur le même réseaux IP privée et donc n'ont aucun problème à se parler. peut-être voulais tu dire "qui n'est pas derrière le même NAT" ?
Non non, j'ai bien dit ce que j'ai dit. Par exemple, supposons que tu expose un service de boîtes aux lettres nommé <pop.example.com> sur ton serveur <muscadet.example.com>, derrière ton ADSL qui a pour adresse IPv4 publique 192.2.0.42: pop.example.com. CNAME muscadet.example.com. muscadet.example.com. A 192.2.0.42 De l'extérieur, on peut se connecter à <pop.example.com>, on tombe sur ta Freebox, qui redirige le flux vers l'adresse privée de ton serveur, disons 192.168.0.12. Mais de l'intérieur, disons depuis un ordinateur d'adresse privée 192.168.0.51, quand on essaie de se connecter à <pop.example.com> [192.2.0.42], on tombe sur la Freebox *de l'intérieur*, et non directement sur le serveur. Sans configuration particulière pour se cas de figure, selon sa configuration, le routeur NAT peut se comporter : – en refusant la connexion parce qu'il n'a pas de serveur POP qui tourne ; – en modifiant l'adresse destination pour le transmettre au serveur : 1. le serveur va alors recevoir un paquet avec pour adresse source 192.168.0.51 et pour adresse destination 192.168.0.12, 2. il va par conséquent envoyer les paquets réponses avec pour adresse source 192.168.0.12 et pour destination 192.168.0.51, sans passer par le routeur puisque cette adresse est dans son réseau, 3. le client va recevoir ces paquets, qui proviennent de l'adresse privée 192.168.0.51 à laquelle il n'a jamais rien demandé, et il va donc les jeter. Le double NAT consiste pour le routeur à modifier les champs d'adresse source *et* destination des paquets qui proviennent de l'intérieur à destination de son adresse publique.
La solution la plus simple à ces problèmes consiste à utiliser IPv6. D'autres solutions existent, comme la mise en place d'un système de noms à horizon multiple ou un double NAT. Cette dernière solution est déjà mise en place par Free sur les Freebox, il me semble.
IPv6 permet de restaurer la notion de "bout en bout" et donc toutes les machines du réseau seront accessible depuis l'Internet sans intermédiaire.
Sans intermédiaire à moins que tu n'en ajoute, par exemple un pare-feu, bien sûr. Pour conserver la fonctionnalité IPv6, il faut que ce soit un pare-feu invisible au niveau réseau, soit un pont filtrant. C'est un peu spécial mais ça se fait très bien. :-) -- Tanguy Ortolo
Le 30/11/2011 17:35, Tanguy Ortolo a écrit :
Loiseau Lucien, 2011-11-30 17:19 UTC+0100:
Le 30/11/2011 16:58, Tanguy Ortolo a écrit :
En IPv4, ton réseau local utilise un NAT effectué par ton routeur (ta Freebox, en l'occurrence). Cela pose des problèmes pour accéder à tes propres services depuis une machine qui est derrière le même NAT. Excuse moi d'intervenir, je ne suis moi même pas sur de comprendre de quoi tu parles, deux machines derrière le même NAT sont sur le même réseaux IP privée et donc n'ont aucun problème à se parler. peut-être voulais tu dire "qui n'est pas derrière le même NAT" ? Non non, j'ai bien dit ce que j'ai dit. Par exemple, supposons que tu expose un service de boîtes aux lettres nommé<pop.example.com> sur ton serveur<muscadet.example.com>, derrière ton ADSL qui a pour adresse IPv4 publique 192.2.0.42: pop.example.com. CNAME muscadet.example.com. muscadet.example.com. A 192.2.0.42
De l'extérieur, on peut se connecter à<pop.example.com>, on tombe sur ta Freebox, qui redirige le flux vers l'adresse privée de ton serveur, disons 192.168.0.12. Mais de l'intérieur, disons depuis un ordinateur d'adresse privée 192.168.0.51, quand on essaie de se connecter à <pop.example.com> [192.2.0.42], on tombe sur la Freebox *de l'intérieur*, et non directement sur le serveur. Sans configuration particulière pour se cas de figure, selon sa configuration, le routeur NAT peut se comporter : – en refusant la connexion parce qu'il n'a pas de serveur POP qui tourne ; – en modifiant l'adresse destination pour le transmettre au serveur : 1. le serveur va alors recevoir un paquet avec pour adresse source 192.168.0.51 et pour adresse destination 192.168.0.12, 2. il va par conséquent envoyer les paquets réponses avec pour adresse source 192.168.0.12 et pour destination 192.168.0.51, sans passer par le routeur puisque cette adresse est dans son réseau, Je vois où tu veux en venir, sauf que "sans passer par le routeur" ne s'applique pas dans ce cas là. En effet la freebox fait aussi switch, donc le paquet retour passera aussi par la freebox, et donc le NAT ayant un état actif appliquera la translation 192.168.0.12 par 192.2.0.42. 3. le client va recevoir ces paquets, qui proviennent de l'adresse privée 192.168.0.51 à laquelle il n'a jamais rien demandé, et il va donc les jeter. (je pense que tu voulais mettre 192.168.0.12 ici) Le double NAT consiste pour le routeur à modifier les champs d'adresse source *et* destination des paquets qui proviennent de l'intérieur à destination de son adresse publique.
Quand j'entend double NAT j'entend "passer par deux NAT différents" alors que là c'est simplement du DNAT (Destination Network Address Translation) et "œuf corse" dirons nous, il change la source pour le chemin du retour. Le SNAT (Source Network Address Translation) refère à du NAT basé sur l'adresse source, ce qui n'est pas le cas ici.
La solution la plus simple à ces problèmes consiste à utiliser IPv6. D'autres solutions existent, comme la mise en place d'un système de noms à horizon multiple ou un double NAT. Cette dernière solution est déjà mise en place par Free sur les Freebox, il me semble. IPv6 permet de restaurer la notion de "bout en bout" et donc toutes les machines du réseau seront accessible depuis l'Internet sans intermédiaire. Sans intermédiaire à moins que tu n'en ajoute, par exemple un pare-feu, bien sûr. Pour conserver la fonctionnalité IPv6, il faut que ce soit un pare-feu invisible au niveau réseau, soit un pont filtrant. C'est un peu spécial mais ça se fait très bien. :-)
Oui tout à fait, excusez mon écart de langage, quand je parlais d'intermédiaire je parlais d'intermédiaire de type NAT, c'est à dire que l'IP source et destination correspondent effectivement au machines source et destination.
_______________________________________________ auto-hebergement-aide mailing list auto-hebergement-aide@listes.auto-hebergement.fr http://listes.auto-hebergement.fr/listinfo/auto-hebergement-aide
Loiseau Lucien, 2011-11-30 18:00 UTC+0100:
Je vois où tu veux en venir, sauf que "sans passer par le routeur" ne s'applique pas dans ce cas là. En effet la freebox fait aussi switch, donc le paquet retour passera aussi par la freebox, et donc le NAT ayant un état actif appliquera la translation 192.168.0.12 par 192.2.0.42.
Négatif : cela passera pas le pont réseau logiciel (ou matériel, je ne sais pas comment ils l'ont implémenté) de la Freebox, pas par son routeur. Et donc pas par le NAT.
3. le client va recevoir ces paquets, qui proviennent de l'adresse privée 192.168.0.51 à laquelle il n'a jamais rien demandé, et il va donc les jeter. (je pense que tu voulais mettre 192.168.0.12 ici)
Exact.
Le double NAT consiste pour le routeur à modifier les champs d'adresse source *et* destination des paquets qui proviennent de l'intérieur à destination de son adresse publique.
Quand j'entend double NAT j'entend "passer par deux NAT différents" alors que là c'est simplement du DNAT (Destination Network Address Translation) et "œuf corse" dirons nous, il change la source pour le chemin du retour. Le SNAT (Source Network Address Translation) refère à du NAT basé sur l'adresse source, ce qui n'est pas le cas ici.
Pour que la communication entre le client et le serveur, désigné par l'adresse IPv4 publique, fonctionne, il faut que le routeur modifie l'adresse de destination évidemment, mais aussi l'adresse source afin que la réponse repasse par le routeur afin qu'il modifie à nouveau les adresses. Je ne souhaite pas m'étendre sur le sujet, mais si tu veux plus de précisions, c'est un sujet qui doit être amplement documenté par d'autres gens. En tout cas, je peux t'assurer qu'avec un NAT qui n'a pas été spécialement prévu pour ce cas, ce genre de communication ne fonctionne pas, et qu'on peut prouver théoriquement et de façon expérimentale que c'est à cause de ce que j'ai expliqué.
Oui tout à fait, excusez mon écart de langage, quand je parlais d'intermédiaire je parlais d'intermédiaire de type NAT, c'est à dire que l'IP source et destination correspondent effectivement au machines source et destination.
Voilà. Ce qui résoud de fait tous les problèmes liés au NAT, puisqu'il n'y a plus de NAT. -- Tanguy Ortolo
participants (4)
-
julien nn -
Loiseau Lucien -
Pol Muller -
Tanguy Ortolo