Accès réseau local bloqué sans VPN

[tarrache]

Bonjour à tous & bonne année 2021 !

Il m'arrive un petit problème depuis cet après-midi.... J'étais loggé sur mon interface DSM via mon réseau local (que j'accède en tapant directement mon nom de domaine, serveur.toto.com).  Sauf que plusieurs minutes/heures après j'étais encore loggé sur un onglet sans l'avoir remarqué et je me suis connecté sur mon VPN pour une autre recherche. Je me suis aperçu plus tard que ca a fait un peu "planter" mon interface DSM.

Le problème : maintenant je n'arrive plus a me connecter via mon réseau wifi local en tapant mon nom de domaine serveur.toto.com.

J'obtiens le message : Votre connexion n'est pas privée NET::ERR_CERT_AUTHORITY_INVALID
Des individus malveillants tentent peut-être de subtiliser vos informations personnelles sur le site serveur.romainlouise.com (mots de passe, messages ou numéros de carte de crédit, par exemple). Le site nas.toto.com est actuellement inaccessible, car il utilise la technologie HSTS. Les erreurs réseau et les attaques sont généralement temporaires. Vous devriez donc pouvoir accéder à cette page plus tard.

Pourtant, depuis mon tél en 4G (donc accès externe), tout fonctionne. Et l'ironie, c'est que en activant mon VPN cela fonctionne aussi... comme si mon Ip locale était "bloquée"... Par contre en tapant directement sur Chrome mon IP:port, aucun problème.

J'ai d'abord cru a un problème de navigateur, j'ai nettoyé le cache (via CCleaner), j'ai essayé via Edge (j'utilise Chrome normallement) rien a faire. Dans le parefeu DSM mon IP n'est pas bloquée dans la liste des connexions. J'ai recréé le DynHost sur mon interface OVH, ca ne change rien. J'ai vu que cela pouvait être lié a mon certificat, mais je suis en Lets Encrypt qui expire dans plusieurs semaines.

Auriez vous une idée ? Je ne comprends absolument pas... 

 

Merci d'avance 😄

Modifié le 12 janvier 2021 par tarrache

[firlin]

Bonjour tarrache,

Tu veux mon avis tu as blacklisté l'adresse Ip de ton PC pour te connecter au nas sur ton réseau interne. Le plus simple tu change ou force l'adresse Ip de ton PC.

Une fois connecter au nas il te faut voir/vérifier si tu ancien adresse Ip est pas bloqué, c'est ici

 

[tarrache]

Bonjour Firlin,

 

Merci de ta réponse. C'est l'une des première chose que j'ai regardé et mon Ip locale n'est pas bloquée. Le dernier blocage date de 2019. J'ai d'ailleurs ajouté mon IP sur la liste des permissions.... et ca ne marche toujours pas.

J'ai aussi regardé du coté de mon antivirus et VPN, et le blocage ne vient pas de la.

[firlin]

Tu as quand même essayé de changer l'adresse Ip de ton Pc pour voir ?

[tarrache]

En passant par un VPN tu veux dire ? Oui la ca fonctionne. 

Je devrais renouveler via ma livebox directement ?

[oracle7]

@tarrache

Bonjour,

Vu que tu as une Livebox, si c'est une LB4 et que tu as le firmware 3.103.16, alors saches que le NAT des ports 80 et 443 est bloqué ainsi que le loopback suite à un bug introduit avec la récente mise à jour du FW. Cela pourrait expliquer en partie tes déboires : pas de loopback sur un domaine (pour mémoire : Le loopback de la Livebox donne accès à une ressource du LAN depuis votre réseau interne via l'IP WAN externe du routeur ou son DNS associé).

Ce problème n'existe pas sur une LB5.

Cordialement

oracle7😉

[tarrache]

Bonjour Oracle,

 

Merci de ta réponse. Je possède la Livebox 5 par contre... Je vais tenter un reboot, je ne l'avais fait que sur le nas pour le moment.

[oracle7]

@tarrache

Bonjour,

Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait).

Cordialement

oracle7😉

[tarrache]

@oracle7 @firlin

Bonjour,

 

Du coup j'ai réessayé de redémarrer la boxe, le NAS etc... rien a faire. Tous mes appareils sur le réseau local ont l'accès bloqué, ce n'est donc pas propre a mon PC. Des que je suis sur un autre réseau, tout marche en connexion sécurisée.

Si vous avez une autre idée, je suis preneur. 🙂

Merci encore.

[oracle7]

@tarrache

Bonjour,

Le 08/01/2021 à 21:20, tarrache a dit :

Le site nas.toto.com est actuellement inaccessible, car il utilise la technologie HSTS.

Si dans tes navigateurs WEB, tu as indirectement verrouillé l'HSTS, toutes tes connexions ne seront acceptés que si et seulement si, elles sont initiées en HTTPS. Pour éviter cela et revenir à un fonctionnement "normal" :

1. Commences alors par vérifier que l'HSTS n'est pas activé sur le NAS : dans "Réseau / Paramétres de DSM / Domaine".
2. Ensuite désactives HSTS dans tes navigateurs Web . Pour cela :
    

• Dans Chrome, taper chrome://net-internals/#hsts
• Entrer le nom de domaine dans le champ texte de la section "Delete domain security policies"
• Cliquer sur le bouton Delete
• Entrer le nom de domaine dans le champ texte de la section "Query HSTS"
• Cliquer sur le bouton Query
• La réponse doit être "Not found" (non trouvé)
• Avec Safari, commencer par fermer le navigateur
• Effacer le fichier ~/Library/Cookies/HSTS.plist
• Rouvrir Safari
• Avec Firefox, fermez tous les onglets
• Ouvrir le menu de Firefox et cliquer sur Historique / Afficher l’historique.
• Rechercher la page dont vous voulez supprimer les préférences HSTS
• Effectuer un clic droit sur une des entrées lui correspondant
• Choisir Oublier ce site

Vide le cache du navigateur WEB pour finaliser et redémarre celui-ci.

Cordialement

oracle7😉

Modifié le 12 janvier 2021 par oracle7

[tarrache]

@oracle7

 

Je viens de faire la manip, le problème reste le même. Je pense pas que ca soit lié au PC/navigateur vu que avec tous les appareils connecté au réseau j'obtiens le meme problème (meme mon téléphone en wifi).

Je vais contacter quelqu'un du support syno. Si j'obtiens une réponse qui fonctionne, je posterai la solution ici.

[tarrache]

@oracle7

 

A ceux qui ont le même problème et pourrait être intéressés :

Le problème n'a rien a voir avec la coupure/démarrage du VPN. Il s'agit en fait d'une MAJ de la Livebox (qui c'est faite automatiquement sans m'en avertir)/

Le firmware en question à un problème de Loopback qui rend impossible l'accès sécurisé en local (3.8.10 sur LB5)

 

Je n'ai pas tout compris, mais voici la réponse du support tech d'Orange :

 

Nos équipes confirment une altération de la fonction Loopback depuis la dernière mise à jour déployée.

Comme l'indique vos remontées, cela se manifeste par la perte d’accessibilité d'équipements, de type NAS ou serveur, depuis un nom DNS ou une adresse IP, sur les ports 80 et 443 de la Livebox.
Toutefois, les équipements restent bien disponibles depuis internet.

Un correctif est prévu pour la prochaine version logicielle de la Livebox. Nous reviendrons sur ce fil dès que nous aurons une date de déploiement à vous communiquer.

En attendant, nous vous proposons une solution de contournement pour rendre vos équipements accessibles en les configurant sur un port diffèrent et libre supérieur à 1025 (ex: 22911).

Pour vous assister, nous vous invitons à suivre ces conseils de notre page, jusqu'à l'étape n°4,

Puis à Sélectionner « Secure Web Server (HTTPS) »,

443 est rempli pour le port interne

Remplir le port externe avec une valeur supérieure à 1025, (ex: 22911).

Sélectionner l’équipement que vous voulez utiliser.

Cliquer sur Créer

Les mêmes règles peuvent être réalisées pour le port externe 80 (ou autre inférieur à 1025) vers un port interne supérieur à 1025.
Nous vous invitons à bien garder des ports internes différents pour chacune de vos règles.

 

Le post complet est dispo ici : https://communaute.orange.fr/t5/Livebox-5/Suite-au-changement-de-firmware-2-5-10-cette-nuit-la-fonction/td-p/2202621

 

Etant en contact avec le support Syno en parrallele, je lui ai demandé si il était possible de modifier les ports par défauts de DSM 80/443 comme indiqué comme solution possible par Orange.

 

Voici sa réponse 

 

Merci pour votre retour, cela pourrait effectivement expliquer le soucis.

Il est toujours possible de rediriger les ports  que vous aurez choisi vers le NAS, mais pour le NAS en lui meme, les ports 80 et 443 ne sont pas configurable via DSM. Les ports utilisés sont par defaut les 5000 et 5001 pour DSm, mais il n'empeche que les ports 80 et 443 le sont aussi. L'utilisation de ces ports et geré pas le serveur web du NAS, qui est sous Nginx, et que nous ne conseillons pas de modifier (un petit peu comme cet article, en anglais malheureusement : http://tonylawrence.com/posts/unix/synology/freeing-port-80/)

Nous n'encourageons pas ce genre de modification, donc je ne pourrai vous aider plus sur cette partie.

 

Les équipes Orange travaillent sur un patch, qui devrait apparaitre d'ici... Aucune idée. 

En attendant, certains mettent le NAS en DMZ et renforcent le parefeu mais je ne préfère pas me lancer la dedans.

Je vais donc attendre le correctif, et en attendant pour l'accès local, soit utiliser Tor (qui fonctionne), soit me connecter via un VPN.

 

Cordialement

Modifié le 15 janvier 2021 par tarrache

[oracle7]

@tarrache

Bonjour,

C'est bizarre, ton truc, le bug du loopback sur Livebox 5 (dont tu fait ici état) était apparu début Mai 2020 (le lien que tu donnes confirme même cette date) et il a été résolu depuis via un nouveau firmware à la mi Août 2020.

Ensuite ce même type de bug est apparu lors de la mise à jour avec le firmware 3.103.16 sur les Livebox 4 fin novembre 2020 et on attend selon Orange une mise à jour prochaine annoncée pour la mi janvier 2021.

Pour ton information, saches que pour la Livebox 4, ce bug affecte aussi le NAT des port 80 et 443 qui est bloqué. La seule solution viable est d'installer sur le NAS le package DNS Server et de configurer une zone DNS locale, afin de contourner le problème du loopback.

Cordialement

oracle7😉

[tarrache]

@oracle7

 

Si c'est pas ça, c'est incompréhensible... Le problème est forcément lié à la Livebox de toute manière. 

J'ai fait un reboot usine, le problème persiste. Et le problème remonté dans le post Orange correspond a 100% aux soucis que j'ai. Je suis peut être un cas isolé, ou d'ici quelques jours d'autres cas vont remonter... ca, aucune idée.

 

Mais oui je te l'accorde, c'est bizarre dans tous les cas.

[oracle7]

@tarrache

Bonjour,

Le dernier firmware pour la Livebox 5 serait la version 3.3.14

Il y a 1 heure, tarrache a dit :

J'ai fait un reboot usine, le problème persiste

Tu avais bien désactivée la sauvegarde automatique avant ? sinon tu n'as fait en fait, que restorer ta configuration sauvegardée ... ce n'est du tout la même chose !

Cordialement

oracle😉

[tarrache]

@oracle7

 

Oui je l'avais désactivé...

Pour l'instant je suis toujours en 3.8.10 et pas de nouveau firmware détecté.

Modifié le 16 janvier 2021 par tarrache

[tarrache]

La livebox vient de passer automatiquement en 3.3.14, tout refonctionne ! 🙂

[oracle7]

@tarrache

Bonjour,

Tant mieux ! car ce qui était bizarre c'est que le firmware 3.8.10 n'était, à ma connaissance (mais je peux me tromper), a priori pas recensé officiellement ...

Cordialement

oracle7😉

[tarrache]

@oracle7

Oui... mystère !

Merci pour ton aide.

Modifié le 19 janvier 2021 par tarrache