Mappage de port, quand deux services ont les mêmes ports

[guillaum]

Bonsoir à tous.

Le cumul de mes équipements me pose un problème.

J'ai une box Orange (BusinessLivebox)
J'ai un Serveur Mac

Je voudrais accéder à mon réseau depuis l'exterieur.
Il faut donc que je redirige dans ma Livebox les ports UDP-500 et UDP-4500 vers l'IP de mon serveur.

MAIS (et c'est là ma question), j'ai une Femto Orange. Or pour la configuration de cette dernière, les ports 500 et 4500 sont redirigé vers l'adresse IP de la Femto. Hors de question de toucher à ce paramétrage, ça a été la croix et la bannière pour arriver à la faire marcher...

Alors que dois-je faire comme nappage de ports ?

Merci à vous pour vos réponses !

Ce message a été modifié par guillaum - 25 Dec 2014, 21:12.

[fmereo]

Hello !

Tu veux accéder à ton Mac via quel protocole et de quelle façon ?

Selon les routeurs et méthodes pour accéder à une ressource réseau, il est tout à fait possible de "taper" un port (genre le 1555) et lui dire de mapper la sortie vers l'IP de ton LAN sur un autre port…

[riete]

Je voudrais accéder à mon réseau depuis l'exterieur.
Il faut donc que je redirige dans ma Livebox les ports UDP-500 et UDP-4500 vers l'IP de mon serveur.

MAIS (et c'est là ma question), j'ai une Femto Orange. Or pour la configuration de cette dernière, les ports 500 et 4500 sont redirigé vers l'adresse IP de la Femto. Hors de question de toucher à ce paramétrage, ça a été la croix et la bannière pour arriver à la faire marcher...

bonjour guillaum,

tu ne le précise pas, mais il me semble que souhaite passer par un VPN pour accéder à la to Serveur depuis l'extérieur?

La réponse à ta question est presque dans la question elle même. Si tu ne veux pas changer la redirection il te sera difficile de faire du VPN. A moins que tu decide d'utiliser le protocole PPTP qui est aussi gérer par les serveurs VPN Apple. Le port à transférer est dans ce cas 1723 (perso je ne transfert pas le port 47 comme il est recommandé de le faire et cela fonctionne).

Autre solution, tu peux installer TeamViewer ou LogMeIn.

Bonnes fêtes

[guillaum]

Merci à vous deux.

Ma livebox ne fait pas de VPN.
J'active donc le service VPN de mon serveur Mac.

Mais on est bien d'accord que quand je suis à l'exterieur, il faut que mes connexions entrantes sur ma livebox aillent jusqu'à mon serveur.
Je veux pouvoir utiliser les ressources de mon réseau du bureau depuis chez moi (acceder aux différents dossiers partagés des macs, à des imprimantes...). Ce n'est pas que la prise de contrôle à distance qui m'intéresse, et surtout, j'ai plusieurs cibles. Je voudrai donc quand je suis chez moi, que mon ordi se comporte comme s'il était au bureau.
Ça marchait bien avant que le bureau ne déménage, et qu'on gagne cette foutue femto....




"Selon les routeurs et méthodes pour accéder à une ressource réseau, il est tout à fait possible de "taper" un port (genre le 1555) et lui dire de mapper la sortie vers l'IP de ton LAN sur un autre port…"

Je vais essayer ça...

[trouspinette]

Si tu souhaites utiliser une connexion VPN, il te faut pour commencer des plans IP différents de chaque côté :

192.168.1.0/24 Site A
192.168.2.0/24 Site B

Sinon, tu effectues sur ta Box une redirection WAN [Site A] vers LAN [Site A] en élevant les ports côté WAN => tu ne vas pas fondamentalement améliorer ta sécurité, mais les scripts kiddies qui passent leur temps sur le Net à scanner sur des ports connus se casseront les dents.

Exemple : tu veux accéder via AFP au partage de fichiers d'un Mac dont l'IP est 192.168.1.120 sur Site A

Port ouvert sur la Box : TCP 47831
Redirection vers port TCP 548
Adresse de destination : 192.168.1.120

Depuis le Site B, tu fais un Pomme K, adresse afp://IP_Publique_Site_A:47831

Inconvénients : ouvert à la Terre entière - Obligé de faire autant de régles que de ports à ouvrir

Tu peux éventuellement filtrer par adresse source sur la Box, si cette dernière le permet. L'@ IP source à filtrer est l'IP publique du Site B

Etape ultime : installer un serveur VPN sur un des Mac Site A pour accéder à l'ensemble du Site A. Mon avis est plutôt d'avoir un routeur faisant également office de serveur VPN SSL (OpenVPN).

Dernier conseil (en non des moindres) : on colle un mot de passe sur CHAQUE compte système des postes, VPN ou pas ! Et on met des mots de passe du genre #fg/Pass//**+12

[guillaum]

Merci encore pour cette réponse très complète. Mais forcément, comme mes connaissances sont très empiriques, elles ne sont que partielles, et je manque de vue d'ensemble.

En résumé, j'ai deux solutions:
- soit j'ouvre dans ma box un port pour chaque service, celui-ci envoyant vers l'ordinateur ou le périphérique en question. Celui-ci peut être différent en entrée de la box et en sortie. Voire même, il est MIEUX qu'il soit différent (pour ne pas pouvoir reconnaitre le service grâce au port ouvert)
- soit j'ouvre dans ma box un port VPN vers mon serveur, et tous les services vont passer par le VPN, et mon ordi se retrouve comme si il était branché sur le réseau interne.

Quelle solution me conseillez vous (j'étais plutôt parti sur le VPN, mais le post de Trouspinette ci-dessus me met le doute...)

Et bonne fin d'année à tous..

[trouspinette]

Merci encore pour cette réponse très complète. Mais forcément, comme mes connaissances sont très empiriques, elles ne sont que partielles, et je manque de vue d'ensemble.

En résumé, j'ai deux solutions:
- soit j'ouvre dans ma box un port pour chaque service, celui-ci envoyant vers l'ordinateur ou le périphérique en question. Celui-ci peut être différent en entrée de la box et en sortie. Voire même, il est MIEUX qu'il soit différent (pour ne pas pouvoir reconnaitre le service grâce au port ouvert)
- soit j'ouvre dans ma box un port VPN vers mon serveur, et tous les services vont passer par le VPN, et mon ordi se retrouve comme si il était branché sur le réseau interne.

Quelle solution me conseillez vous (j'étais plutôt parti sur le VPN, mais le post de Trouspinette ci-dessus me met le doute...)

Et bonne fin d'année à tous..

Si tu peux faire un VPN, n'hésite pas. Mais comme tes ports 500 et 4500 sont déjà exploités, il faudra changer les ports externes : 5500 pour le 500 et 54500 pour le 4500 (par exemple). MAIS, tu devras changer la configuration du VPN côté Client distant :-( Et j'ai bien peur que ta box ne fasse pas correctement le NAT transversal si de surcroit on change les ports.... C'est un poil technique, mais comme tu as une Box Orange, tu risques de galérer.

Si l'envie te prend, tu peux virer ta box et prendre une Freebox, qui elle intègre un serveur VPN (PPtP ou OpenVPN) :

http://www.freebox-v6.fr/index.php/blog/ar...-Wifi-802.11.ac

[cyril2660]

Oui, il me semble que les ports VPN ne peuvent pas être forwardés sur une livebox, c'est une limitation du fournisseur orange.
Peut être en la remplaçant par une AirPort extrême ?

[guillaum]

Vos réponses m'intéressent au plus haut point (mis à part que je ne suis pas chez moi, et que je ne peux pas faire de tests.)

@Trouspinette :
Tu me conseilles à priori le VPN. J'ai, je pense, bien compris le principe de mappage de port avec des ports différents en entrée et en sortie. Avec comme limites :
- le fait de devoir changer le paramétrage côté client. Ca me semble faisable (il n'y aura finalement que mon macbook de concerné)
- un pb de NAT transversal, c'est la première fois que je rencontre le terme !

@Cyril :
Tu veux dire qu'Orange bloque les ports 500 et 4500 en entrée ? Si je fais comme le dit Trouspinette, avec des ports différents en entrée, c'est aussi bloqué ?

Concernant le fait de virer la Livebox, c'est impossible pour moi : Sur cette Livebox, sont branchés une femto qui permet d'utiliser les portables dans le bâtiment (ça supporte une interruption, mais on n'a accès à aucun paramétrage, le fonctionnement est très opaque) et un Pabx en VoIP, et ça, je ne peux pas me permettre de jouer avec les réglages et de couper le téléphone du bureau pendant quelques jours sous prétexte que j'ai "tenté" quelquechose.... Pour plein de choses, la Freebox me semble plus ouverte, (c'est ce que j'ai à titre perso), mais il est vrai qu'à titre pro, orange a un ensemble de service plus large.

Vous me direz que je peux toujours demander à la hotline Orange de me faire la démarche de m'ouvrir les ports du VPN. Quand on arrive à avoir des techniciens au téléphone, ils sont plutôt sympas et serviables... Je ne prends pas vraiment de risque et je verrai bien ce qu'ils vont me répondre...


Edit quelques minutes plus tard...

Je me réponds à moi-même : je crois avoir vu dans une page d'assistance Orange qu'on peut activer le VPN de la Livebox...
Alors que j'étais parti sur le fait que ce soit mon serveur qui fasse le VPN.
Mis à part le fait d'avoir à gérer deux bases d'utilisateurs (une dans le serveur mac, une dans la livebox) sachant qu'il n'y aura qu'un ou deux utilisateurs du VPN, ça me semble être la solution.
Il ne me reste plus qu'à rentrer au bureau pour vérifier ça...
(Sauf si vous y voyez un inconvénient majeur !)

Ce message a été modifié par guillaum - 30 Dec 2014, 10:17.

[cyril2660]

Tu veux dire qu'Orange bloque les ports 500 et 4500 en entrée ? Si je fais comme le dit Trouspinette, avec des ports différents en entrée, c'est aussi bloqué ?

Normalement non ça devrait aller.
Le plus chiant ça risque d'être la configuration du client VPN sur le Mac, peut on modifier facilement les ports de connexion ?

Sinon tu peux garder ta livebox et un prendre un 2ème lien ADSL (ou cable/fibre) chez un autre FAI...

[trouspinette]

Vos réponses m'intéressent au plus haut point (mis à part que je ne suis pas chez moi, et que je ne peux pas faire de tests.)

@Trouspinette :
Tu me conseilles à priori le VPN. J'ai, je pense, bien compris le principe de mappage de port avec des ports différents en entrée et en sortie. Avec comme limites :
- le fait de devoir changer le paramétrage côté client. Ca me semble faisable (il n'y aura finalement que mon macbook de concerné)
- un pb de NAT transversal, c'est la première fois que je rencontre le terme !

@Cyril :
Tu veux dire qu'Orange bloque les ports 500 et 4500 en entrée ? Si je fais comme le dit Trouspinette, avec des ports différents en entrée, c'est aussi bloqué ?

Les ports évoqués (500 et 4500) correspondent à un VPN IPSec (racoon). Le soucis avec ce protocole est qu'il intervient au niveau 3 du modèle OSI, incompatible avec le PAT (Port Adress Translation) qui lui intervient au niveau 4. Le NAT Transversal permet donc de "traverser" un équipement qui effectue du NAT.

Si tu utilises le VPN IPSec intégré à Mac OS X, il va falloir changer les ports destination par défaut (500 et 4500) : je le l'ai jamais effectué avec le client IPSec VPN intégré à Mac OS X, mais c'est peut être possible avec VPN Tracker.

Tu peux utiliser un VPN PPtP avec ton Mac OS X Server, mais c'est pas très secure => à déconseiller.

Il y a aussi la solution de mettre en place un serveur VPN OpenVPN, qui lui fonctionne TCP/UDP et que l'on fait tourner en général sur TCP:443 (celui de SSL par défaut) : il te faudra mettre les mains sous le capot, il n'y a pas de logiciel avec interface graphique kivabien :-) => Par ici !!!

Bref, rien de bien compliqué pour un [bon] technicien, mais le plus simple, et de loin, serait d'intercaler entre ta box et Internet un routeur/firewall digne de ce nom : pfsense (produit OpenSource) ferait grandement l'affaire ! Ta Box est configuré en mode bridge (pont) dans un tel cas. A titre d'info, j'ai déjà installé et configuré un cluster pfSense (deux équipements redondants), eux même câblés sur un accès Internet redondant sDSL/aDSL Orange Business. On peut "perdre" un firewall sur le LAN, c'est transparent ;-) Pour le VPN, pareil : on accède au VPN IPSec via une interface WAN virtuelle qui se "balade" entre l'accès aDSL/sDSL si un des liens tombe. Pour ce type de config, on peut faire du VPN :

- PPtP
- IPSec (site à site ou itinérant)
- Open VPN (site à site ou itinérant)

Hormis l'achat du hard (un ou des PC recyclé(s) fait(font) l'affaire), rien à payer en terme de licence : c'est de l'OpenSource ;-)

Si tu souhaites en discuter plus en détail, message privé STP.

A+

PS : fais toi valider par Orange ton VPN Server et effectue des tests !
PS2 : Quelle Box as tu ??? LiveBox Pro ??? Mais quel modèle ? => A voir si tu peux la passer en mode bridge ;-)

[guillaum]

Houlà, je sens que j'ai posé une question dont les réponses me dépassent...

1) ma box: une Business Livebox132 (différente de liveboxpro) >> confirmé par le tech orange : pas de VPN, pas de bridge ! (ça fait qu'on sait déjà ce qu'il n'y a pas)

2) A priori, je dois garder cette box : j'ai ma VoIP dessus, et je ne souhaite pas trop tripoter l'installation de ce côté (le téléphone qui ne marche plus et orange qui dit : vous avez modifié qq chose...). Autant j'ai une tolérance à la panne en informatique, autant je ne peux me permettre de planter la téléphonie.

3) Je voudrai une configuration simple (je n'ai que des macs, à votre avis, c'est pour quelle raison ?) C'est pour ça qu'activer un VPN depuis OSXserveur m'allait bien...

Et puis pour assurer les mises à jour, les éventuelles modifs... je n'ai pas trop envie de plonger dans l'installe de multiples logiciels...

Peut-être que router tous les ports qui m'intéressent un par un est finalement plus long en installation, mais plus fiable... et plus compréhensible pour un pékin moyen comme moi...

Trouspinette, quand tu dis que le VPN PPtP du mac n'est pas très secure, tu veux dire que c'est ouvert à tous vents, ou que ça ne résiste pas à quelqu'un qui veut vraiment entrer ? (parce qu'autant je ne veux pas que mes données soient affichées sur internet, autant je ne travaille pas dans le top secret non plus...)

[trouspinette]

Houlà, je sens que j'ai posé une question dont les réponses me dépassent...

1) ma box: une Business Livebox132 (différente de liveboxpro) >> confirmé par le tech orange : pas de VPN, pas de bridge ! (ça fait qu'on sait déjà ce qu'il n'y a pas)

2) A priori, je dois garder cette box : j'ai ma VoIP dessus, et je ne souhaite pas trop tripoter l'installation de ce côté (le téléphone qui ne marche plus et orange qui dit : vous avez modifié qq chose...). Autant j'ai une tolérance à la panne en informatique, autant je ne peux me permettre de planter la téléphonie.

3) Je voudrai une configuration simple (je n'ai que des macs, à votre avis, c'est pour quelle raison ?) C'est pour ça qu'activer un VPN depuis OSXserveur m'allait bien...

Et puis pour assurer les mises à jour, les éventuelles modifs... je n'ai pas trop envie de plonger dans l'installe de multiples logiciels...

Peut-être que router tous les ports qui m'intéressent un par un est finalement plus long en installation, mais plus fiable... et plus compréhensible pour un pékin moyen comme moi...

Trouspinette, quand tu dis que le VPN PPtP du mac n'est pas très secure, tu veux dire que c'est ouvert à tous vents, ou que ça ne résiste pas à quelqu'un qui veut vraiment entrer ? (parce qu'autant je ne veux pas que mes données soient affichées sur internet, autant je ne travaille pas dans le top secret non plus...)

En réponse à tes questions :

1) C'est bien nul que tu ne puisses passer la Box en bridge... D'autant plus que sur des équipements comme la Livebox 1000, on peut coupler bridge et VoIP.

2) Demande à Orange une LB 1000 !!! :-)

3) Quand on tâte et goute au Mac, oui on a guère envie de perdre son temps à configurer un VPN Server à la main ;-)

Sur le point de la sécurité PPtP : tu trouveras pléthore d'articles, mais il faut essayer de ne plus l'utiliser.

Entre autres sur ce sujet : http://www.lemondeinformatique.fr/actualit...pptp-49917.html

[guillaum]

Quelques petites nouvelles :
La production a repris au bureau, et j'ai moins le temps pour tenter d'améliorer mon installation. Je voulais surtout bosser sur le sujet pendant les vacances de Noël. Mais comme pendant les vacances, il n'y a personne qui est censé téléphoner avec son mobile, j'ai débranché la Femto, et mappé les ports "classiques" du VPN vers mon serveur (en L2TP). Comme ça, pendant les vacances, je pouvais au moins bosser un peu.
Et à mon retour, je rebranche la Femto ... et tout marche sans que je lui redonne les ports...
Alors pour l'instant, ça marche comme ça, j'ai sécurisé mes mdp, je vais encore affiner un peu (genre si je peux limiter l'accès au VPN en fonction de l'adresse MAC)...
Merci à tous pour votre aide...

[trouspinette]

Alors pour l'instant, ça marche comme ça, j'ai sécurisé mes mdp, je vais encore affiner un peu (genre si je peux limiter l'accès au VPN en fonction de l'adresse MAC)...

Ca m'étonnerait bien que ta Box fasse du flitrage par MAC_ADDRESS ;-) Et comme de toute façon c'est assez simple de spoofer une adresse MAC, ne perds pas de temps avec ça :-)

Si tu veux filtrer, effectue un filtrage par adresse source.