Nano83 Posté(e) le 7 mars 2021 Partager Posté(e) le 7 mars 2021 J'ai depuis une semaine un RT2600AC que j'ai intégré à mon réseau. la config: Fibre Freebox -> RT2600AC -> NAS (server Open VPN) Le routeur n'est pas encore DMZ tant que je ne maitrise pas ce p..... de Firewall du RT2600 AC donc double NAT (Je sais c'est pas génial mais pour le moment ça fonctionne) Accès via modem 4G/ PC Client OpenVPN NAT RT : retransmission du port 1194 vers le NAS Firewall RT : règle VPN: IPsource: tous port source:1194 -> IP dest: IP NAS port dest:1194 autorisé Les 4 trafic wan/lan wan/srm ipV4/V6 sur bloqués. Ca fonctionne pas de soucis, je me connecte bien. Vous allez me dire si ca marche alors il est ou le problème??? Le voila: Si j'ajoute la règle suivante: bien sur en bas dans la liste des règles pour pas que la règle VPN au dessus ne soit bloquée Règle Block_All : IPsource: tous port source:tous -> IP dest:tous port dest: tous : bloqué (cette règle bloque à la fois le trafic entrant et sortant normalement) Et bien le VPN ne marche plus, pas de connexion, time out. Si je désactive cette règle... ça remarche. Lorsque la règle est active et que je lance le VPN, j'ai des hits sur la règle, donc ça bloque quelque chose mais quoi ?. Mes questions: 1: le Client VPN n’utilise pas que le port 1194 pour monter son tunnel ? Il faut que j'ouvre un autre port ? Je ne vois que ça. 2: il y a t'il un moyen de voir ce qui est bloqué par ma règle block-all ? avoir le nombre de hits c'est bien mais savoir ce qui est bloqué c'est mieux 🙂 3: Comme j'ai bloqué tout le trafic entrant avec les 4 trafics en bas wan/lan wan/srm ipV4/V6, tout le trafic entrant est normalement bloqué et donc je ne devrais même pas pouvoir monter le tunnel sans la règle block all alors que si j'y arrive? A quoi elles servent alors ces règles ? 4: autre question plus generale: le firewall du RT2600 est bien WAN -> LAN et aussi LAN -> WAN car si je ne mets pas une règle Local IPsource : IPs de mon LAN port source:tous IP dest: toutes Port dest: tous autorisé je n'ai plus accès à internet. J'avoue que ce firewall me déroute... Lien vers le commentaire Partager sur d’autres sites More sharing options...
oracle7 Posté(e) le 7 mars 2021 Partager Posté(e) le 7 mars 2021 @Nano83 Bonjour, Tu serais bien avisé de suivre ce TUTO : Sécuriser les accès à son NAS. Cela devrait résoudre pas mal de choses avec ton pare-feu. il y a 23 minutes, Nano83 a dit : Les 4 trafic wan/lan wan/srm ipV4/V6 sur bloqués. Là j'avoue pas te comprendre, tu pourrais STP être plus explicite ? Mets aussi une copie d'écran de ton pare-feu en masquant les @IP externe. On est bien d'accord ton VPN est basé sur OpenVPN vu que tu dis utiliser le port 1194 ? Sinon même si tu as une Freebox, je t'invite aussi à regarder ce [TUTO] RT2600AC en DMZ derrière Livebox4 . A toi d'adapter pour la freebox. il y a 23 minutes, Nano83 a dit : LAN et aussi LAN -> WAN NON : uniquement dans le sens WAN --> LAN. EDIT : Une règle importante à retenir pour le pare-feu : tout ce qui n'est pas explicitement autorisé par une règle est systématiquement refusé par la dernière ligne. Les règles du pare-feu se lisent et s'exécutent de haut (la 1ère ligne) vers le bas. Quand une ligne est satisfaite, il ne va pas plus loin. La dernière ligne interdit donc tout le reste. Cordialement oracle7😉 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Nano83 Posté(e) le 7 mars 2021 Auteur Partager Posté(e) le 7 mars 2021 il y a 34 minutes, oracle7 a dit : @Nano83 Bonjour, Tu serais bien avisé de suivre ce TUTO : Sécuriser les accès à son NAS. Cela devrait résoudre pas mal de choses avec ton pare-feu. Là j'avoue pas te comprendre, tu pourrais STP être plus explicite ? Mets aussi une copie d'écran de ton pare-feu en masquant les @IP externe. On est bien d'accord ton VPN est basé sur OpenVPN vu que tu dis utiliser le port 1194 ? Sinon même si tu as une Freebox, je t'invite aussi à regarder ce [TUTO] RT2600AC en DMZ derrière Livebox4 . A toi d'adapter pour la freebox. NON : uniquement dans le sens WAN --> LAN. EDIT : Une règle importante à retenir pour le pare-feu : tout ce qui n'est pas explicitement autorisé par une règle est systématiquement refusé par la dernière ligne. Les règles du pare-feu se lisent et s'exécutent de haut (la 1ère ligne) vers le bas. Quand une ligne est satisfaite, il ne va pas plus loin. La dernière ligne interdit donc tout le reste. Cordialement oracle7😉 @oracle7 Merci pour ta reponse, J'ai déjà suivi le tuto que tu évoques pour le NAS, là je suis sur le RT2600 Ci joint la copie de mes règles du RT2600. Oui je suis bien sur un serveur Open VPN sur le NAS et pas sur le RT2600 Comme évoqué, je passerai le RT 2600 en DMZ lorsque je maitriserai son Firewall. Si le Firewall est uniquement WAN vers LAN alors pourquoi j'ai besoin de la règle en deuxième position pour accéder au net Et sinon sur ton edit, on est en phase pour la succession des règles. Lien vers le commentaire Partager sur d’autres sites More sharing options...
maxou56 Posté(e) le 7 mars 2021 Partager Posté(e) le 7 mars 2021 il y a 40 minutes, Nano83 a dit : Si le Firewall est uniquement WAN vers LAN alors pourquoi j'ai besoin de la règle en deuxième position Bonjour, Car ta dernière règles bloque le traffic sortant. De plus cette règle n'est pas nécessaire, elle fait doublon avec les 4 options coché plus bas. Sinon la règle 3 ?? Le NTP pourquoi tu ouvres le NTP sur internet? Attention par défaut quand tu actives des services sur le routeur il te propose d'ouvrir les ports, il faut faire annuler, ou décocher puis valider, ou mieux encore désactiver cette fonction. (Pare-feu > paramètres > décocher "activer les notifications du pare-feu") Lien vers le commentaire Partager sur d’autres sites More sharing options...
oracle7 Posté(e) le 7 mars 2021 Partager Posté(e) le 7 mars 2021 @dany25 Bonjour, Si ton RT200ac est ta porte d'entrée à ton réseau local, alors si j'étais toi j'utiliserai le VPN Plus Serveur du RT plutôt que le VPN du NAS. D'expérience c'est bien plus efficace et pertinent. De toutes façon ce sont les même (sauf que le VPN Plus Serveur du RT a des fonctionnalités en plus !). Ta règle en 2ème position (même si elle est mal nommée) ne doit avoir d'existence que sur le NAS. Sur le routeur tu ne dois laisser passer (tu ouvres) que les ports nécessaires au NAS ou à des services spécifiques. Maintenant je ne vois pas comment ton VPN peut fonctionner avec une @IP de destination 192.168.62.31 qui est une @IP qui n'appartient pas à ton réseau local 192.168.0.0. De plus, si tu utilises le VPN du NAS, il te faut aussi autoriser le réseau local 10.8.0.0 dans ton pare-feu du NAS. Sinon pas de connexion VPN possible car quand le tunnel est établit, ton NAS prend obligatoirement comme @IP 10.8.0.1 avec le protocole OpenVPN. C'est sur cette @IP qu'il est joignable. Par ailleurs, sur le routeur, il te faut aussi ouvrir les ports 80 et 443 qui sont nécessaires au NAS pour par ex : le renouvellement du certificat Let'sEncrypt et les communications HTTPS. Cordialement oracle7😉 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Nano83 Posté(e) le 7 mars 2021 Auteur Partager Posté(e) le 7 mars 2021 il y a 6 minutes, maxou56 a dit : Car ta dernière règles bloque le traffic sortant. De plus cette règles n'est pas nécessaire, elle fait doublon avec les 4 options coché plus bas. ok donc le firewall est bien dans les deux sens flux sortant et entrant. et pas que dans le sens entrant. Si je mets la dernière règle 4, je suis obligé de rouvrir le trafic sortant avec ma règle 2. Ca me semble normal et logique. La règle 4 n'est pas nécessaire pour le flux entrant car en effet les 4 options du bas font la meme chose, par contre pour controle le flux sortant elle est nécessaire. Par contre ce que je ne m'explique toujours pas pourquoi cette règle 4 empêche de monter le VPN alors que la règle 1 est censée l'autoriser. Il doit bien manquer quelquechose. Des que je désactive la regle 4 le VPN remarche il y a 6 minutes, maxou56 a dit : Sinon la régles 3 ?? Le NTP pourquoi tu ouvres le NTP sur internet? Attention par défaut quand tu actives des services sur le routeur il te propose d'ouvrir les ports, il faut faire annuler, ou décocher puis valider, ou mieux encore désactiver cette fonction. (Pare-feu > paramètres > décocher "activer les notifications du pare-feu") J'ai ouvert NTP pour pouvoir synchroniser l'horloge du RT et du NAS pour la double authentification. Lien vers le commentaire Partager sur d’autres sites More sharing options...
maxou56 Posté(e) le 7 mars 2021 Partager Posté(e) le 7 mars 2021 il y a 12 minutes, Nano83 a dit : J'ai ouvert NTP pour pouvoir synchroniser l'horloge du RT et du NAS pour la double authentification. Le NTP n'a pas besoin d'ouverture de port. La ce que tu as fait c'est pour accéder au serveur NTP de ton routeur depuis internet. il y a 12 minutes, Nano83 a dit : par contre pour controle le flux sortant elle est nécessaire. ?? cette règle bloque le traffic sortant, mais tu l'autorise avant, donc il n'y a aucun contrôle. Si tu souhaites bloquer un périphérique ou une plage d'IP, créer une règle spécifique. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Nano83 Posté(e) le 7 mars 2021 Auteur Partager Posté(e) le 7 mars 2021 il y a 2 minutes, oracle7 a dit : @dany25 Si ton RT200ac est ta porte d'entrée à ton réseau local, alors si j'étais toi j'utiliserai le VPN Plus Serveur du RT plutôt que le VPN du NAS. D'expérience c'est bien plus efficace et pertinent. De toutes façon ce sont les même (sauf que le VPN Plus Serveur du RT a des fonctionnalités en plus !). ok pourquoi pas migrer le serveur open VPN du NAS sur le RT, c'etait mon idée dans un second temps il y a 5 minutes, oracle7 a dit : @dany25 Ta règle en 2ème position (même si elle est mal nommée) ne doit avoir d'existence que sur le NAS. Sur le routeur tu ne dois laisser passer (tu ouvres) que les ports nécessaires au NAS ou à des services spécifiques. Ok pourtant j'avais vu cela dans le tuto du RT il y a 6 minutes, oracle7 a dit : @dany25 Maintenant je ne vois pas comment ton VPN peut fonctionner avec une @IP de destination 192.168.62.31 qui est une @IP qui n'appartient pas à ton réseau local 192.168.0.0. De plus, si tu utilises le VPN du NAS, il te faut aussi autoriser le réseau local 10.8.0.0 dans ton pare-feu du NAS. Sinon pas de connexion VPN possible car quand le tunnel est établit, ton NAS prend obligatoirement comme @IP 10.8.0.1 avec le protocole OpenVPN. C'est sur cette @IP qu'il est joignable. Je n'ai jamais dit que mon réseau local est en 192.168.0.0 🙂 il est en 192.168.62.0 pour le 10.8.0.0 c'est déjà le cas dans le NAS. C'est pas au niveau du NAS que ca pose problème. il y a 9 minutes, oracle7 a dit : @dany25 Par ailleurs, sur le routeur, il te faut aussi ouvrir les ports 80 et 443 qui sont nécessaires au NAS pour par ex : le renouvellement du certificat Let'sEncrypt et les communications HTTPS. Je n'ai pas de certificat let's Encrypt Cdt Nano83 @oracle7 Lien vers le commentaire Partager sur d’autres sites More sharing options...
maxou56 Posté(e) le 7 mars 2021 Partager Posté(e) le 7 mars 2021 il y a 17 minutes, Nano83 a dit : Par contre ce que je ne m'explique toujours pas pourquoi cette règle 4 empêche de monter le VPN alors que la règle 1 est censée l'autoriser. Tu as essayé, avec port source "tous". Sinon tu peux aussi créer une règle en choisissant l'application plutôt que le port (comme tu as fait pour le NTP). Lien vers le commentaire Partager sur d’autres sites More sharing options...
Nano83 Posté(e) le 7 mars 2021 Auteur Partager Posté(e) le 7 mars 2021 il y a 7 minutes, maxou56 a dit : Le NTP n'a pas besoin d'ouverture de port. La ce que tu as fait c'est pour accéder au serveur NTP de ton routeur depuis internet. Ok en effet pas d’intérêt si c'est dans ce sens 🙂 il y a 8 minutes, maxou56 a dit : ?? cette règles bloque le traffic sortant, mais tu l'autorise avant, donc il n'y a aucun contrôle. Si tu souhaites bloquer un périphérique ou une plage d'IP, créer une règle spécifique. oui c’était bien l'idée dans la règle 2 de n'autoriser que certains ports à sortir, là pour être sur que c’était pas cette règle qui bloquait j'avais remis tous les ports Lien vers le commentaire Partager sur d’autres sites More sharing options...
oracle7 Posté(e) le 7 mars 2021 Partager Posté(e) le 7 mars 2021 @dany25 Bonjour, il y a 19 minutes, Nano83 a dit : Je n'ai jamais dit que mon réseau local est en 192.168.0.0 🙂 il est en 192.168.62.0 OK, mais ce n'est pas ce qui est indiqué dans ton pare-feu : à moins que tu n'ais mis un masque spécifique (qu'on ne voit qu'en partie) qui autorise que ce sous réseau 192.168.62.0. Mais pour le coup présent, qu'elle est l'utilité d'autoriser par cette règle alors toutes les @IP sources de 192.168.0.0 à au moins 192.168.61.255. Cela fait quelque milliers d'@IP possibles. Du point de vue sécurité, c'est vraiment pas terrible. Tu as autant de sous-réseaux que cela à gérer en plus du sous-réseau 192.168.62.0 ????? A toi d'éclaircir cela ... Cordialement oracle7😉 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Nano83 Posté(e) le 12 mars 2021 Auteur Partager Posté(e) le 12 mars 2021 @maxou56@oracle7 Un petit up de mon problème, je vous passe tous les détails, tests et autres manips que j'ai pu faire en une semaine. Mais ca y est j'y suis enfin arrivé à faire ce que je voulais. Pour rappel, c’était de monter le VPN entre PC->mobile->Internet->Freebox6 ->RT2600AC->NAS avec serveur OpenVPN (port 1194) Avant l'introduction du RT2600 tout fonctionnait nickel depuis des années, depuis l'introduction du RT2600AC ça ne montait pas malgré les bons ports ouverts et bien redirigés dans le RT2600. Pourquoi ??? Après multiples manip, j'ai vu que c’était bien le firewall du RT2600 qui posait problème. Sans lui ca marchait mais dès que j'activais les bonnes règles c’était KO😞 Chose étrange et que je m'explique pas si j'ouvrais la plage de port 50000 à 60000 sur le RT et uniquement ca le VPN montait mais après très très longtemps alors que le port aurait du être le 1194 de bout en bout. Ca ca restera un mystère... Au final et désabusé à deux doigts d'abandonner j'ai fini par changer de port pour OpenVPN. exit le 1194 pour du 4xxxxx, j'ai changé ce port sur toutes les règles et transmissions de ports des différents équipements. un bon reboot de tout ce qui était rebootable et là.... Ça a marché du premier coup. Miracle? surement pas !! Ailleurs admettons mais pas en info Mauvaise adresse IP? non je ne les ai pas changé. Mauvais port ? surement Conclusion: Je ne suis pas un expert réseau, mais ce que je faisais n’était pas faux. Çà c'est juste pour me rassurer 🙂 hypothèse sur le problème: Un problème entre le serveur OpenVPN sur le NAS et le paquet VPN Plus server du RT2600 installé (mais qui ne tourne pas et qui n'est pas configuré en openvpn). Port par défaut 1194 sur les deux qui crée un conflit alors que VPN Plus server est éteint ?? La nécessité de rebooter le RT2600 dès un changement d'une règle du firewall ?? pas convaincu Prochaine étape maintenant coller le RT2600 en DMZ et s'affranchir du double NAT et me pencher sur les VLAN (d'ailleurs ton post sur le sujet Oracle7 est très instructif) Lien vers le commentaire Partager sur d’autres sites More sharing options...
oracle7 Posté(e) le 12 mars 2021 Partager Posté(e) le 12 mars 2021 @Nano83 Bonjour, il y a 34 minutes, Nano83 a dit : Chose étrange et que je m'explique pas si j'ouvrais la plage de port 50000 à 60000 sur le RT et uniquement ca le VPN montait mais après très très longtemps alors que le port aurait du être le 1194 de bout en bout. Ca ca restera un mystère... Au final et désabusé à deux doigts d'abandonner j'ai fini par changer de port pour OpenVPN. exit le 1194 pour du 4xxxxx, j'ai changé ce port sur toutes les règles et transmissions de ports des différents équipements. un bon reboot de tout ce qui était rebootable et là.... Ça a marché du premier coup. Je crains sincèrement que tu n'ais un autre problème de configuration sur ton routeur qui ne soit pas bonne et qui ait cet effet de bord. Personnellement, je fonctionne avec du VPN OpenVPN sur mon RT2600ac avec le port standard 1194 et à aucun moment je n'ai eu besoin d'ouvrir toute une série de portes supplémentaires pour cela. Ouvrir les ports 50000 à 60000 sur ton routeur introduit à mon sens une grave faille de sécurité et cela le sera d'autant plus lorsque tu auras placé ton routeur dans la DMZ de ta box. Alors il sera en première ligne ... C'est comme si tu ouvrais toutes les fenêtres du 2ème étage de ta maison alors que tu as tout fait par ailleurs pour sécuriser portes et fenêtres du RDC et du 1er étage. Désolé mais cela est une très mauvaise idée. Maintenant c'est toi le maître de ta sécurité.... Tous ceux qui utilisent OpenVPN le font avec le port 1194, s'il fallait autre chose cela se saurait, non ? Je me permet de te rappeler que le principe sur le pare-feu du routeur est de n'ouvrir que la strict minimum de ports. Uniquement ceux nécessaires aux applications du NAS ou autres services (80 HTTP, 443 HTTPS, 6690 DRIVE, 25,587,993 MAIL, 1194 OpenVPN, 500,4500,1701 L2PT/IPsec, etc ...). il y a 34 minutes, Nano83 a dit : Un problème entre le serveur OpenVPN sur le NAS et le paquet VPN Plus server du RT2600 installé Maintenant, tu dois installer le package VPN serveur (ou VPN Plus Server selon) soit sur le NAS, OU soit sur le RT2600ac. MAIS en aucun cas sur les deux. Finalement si je comprend bien maintenant c'est ce que tu aurais fait et d'où tes déboires. Là aussi il te faut choisir. Avec un RT2600 en première ligne, il est à mon humble avis judicieux d'installer le package VPN Plus Server sur lui, vu qu'il est la porte d'entrée de tout ton réseau local. Cordialement oracle7😉 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Nano83 Posté(e) le 12 mars 2021 Auteur Partager Posté(e) le 12 mars 2021 il y a 7 minutes, oracle7 a dit : @Nano83 Je crains sincèrement que tu n'ais un autre problème de configuration sur ton routeur qui ne soit pas bonne et qui ait cet effet de bord. Ouvrir les ports 50000 à 60000 sur ton routeur introduit à mon sens une grave faille de sécurité et cela le sera d'autant plus lorsque tu auras placé ton routeur dans la DMZ de ta box. Alors il sera en première ligne ... C'est comme si tu ouvrais toutes les fenêtres du 2ème étage de ta maison alors que tu as tout fait par ailleurs pour sécuriser portes et fenêtres du RDC et du 1er étage. Désolé mais cela est une très mauvaise idée. Maintenant c'est toi le maître de ta sécurité.... Ca c’était quand je faisais des tests, pour comprendre ou se trouvais le probleme. Là maintenant, bien sur j'ai tout refermé depuis !! et je n'ai que le port du server OpenVPN d'ouvert ...🙂. C'est pas openbar mais openvpn 🥳 il y a 10 minutes, oracle7 a dit : @Nano83 Je me permet de te rappeler que le principe sur le pare-feu du routeur est de n'ouvrir que la strict minimum de ports. Uniquement ceux nécessaires aux applications du NAS ou autres services (80 HTTP, 443 HTTPS, 6690 DRIVE, 25,587,993 MAIL, 1194 OpenVPN, 500,4500,1701 L2PT/IPsec, etc ...). Meme là il y a trop de ports d'ouvert pour mon utilisation 😉 C'est une évidence de n'ouvrir que les ports que tu utilises et pas tout sinon a quoi bon avoir un firewall dans une DMZ il y a 12 minutes, oracle7 a dit : @Nano83 Maintenant, tu dois installer le package VPN serveur (ou VPN Plus Server selon) soit sur le NAS, OU soit sur le RT2600ac. MAIS en aucun cas sur les deux. Finalement si je comprend bien maintenant c'est ce que tu aurais fait et d'où tes déboires. Il était installé sur le RT en prévison du swap futur mais pas activé comme je l'ai dit plus haut. C'est la prochaine étape de passer le VPN sur le routeur. L'objectif est a terme de déléguer au routeur ce genre d'activité et d'autres qui étaient assuré par le NAS avant. @oracle7Merci pour tes retours et c'est important de rappeler les fondamentaux à tous. Le niveau de chacun n'est pas le même. Lien vers le commentaire Partager sur d’autres sites More sharing options...
oracle7 Posté(e) le 12 mars 2021 Partager Posté(e) le 12 mars 2021 @Nano83 Bonjour, il y a 22 minutes, Nano83 a dit : Il était installé sur le RT en prévison du swap futur mais pas activé Même si pas activé c'est sa simple présence qui pouvait créer les conflits avec le VPN Server actif sur le NAS. il y a 24 minutes, Nano83 a dit : Meme là il y a trop de ports d'ouvert pour mon utilisation 😉 C'est une évidence de n'ouvrir que les ports que tu utilises et pas tout sinon a quoi bon avoir un firewall dans une DMZ Tout à fait d'accord, le minimum étant tout de même 80 HTTP, 443 HTTPS et pour toi en plus 1194 OpenVPN. Cordialement oracle7😉 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.