Aller au contenu

RT2600AC - Firewall - VPN : PB avec les regles firewall


Nano83

Messages recommandés

J'ai depuis une semaine un RT2600AC que j'ai intégré à mon réseau.

la config:

Fibre Freebox -> RT2600AC -> NAS (server Open VPN)

Le routeur n'est pas encore DMZ tant que je ne maitrise pas ce p..... de Firewall du RT2600 AC donc double NAT (Je sais c'est pas génial mais pour le moment ça fonctionne)

Accès via modem 4G/ PC Client OpenVPN

NAT RT : retransmission du port 1194 vers le NAS

Firewall RT : règle VPN:  IPsource: tous port source:1194 -> IP dest: IP NAS port dest:1194 autorisé

Les 4 trafic wan/lan wan/srm ipV4/V6 sur bloqués.

Ca fonctionne pas de soucis, je me connecte bien.

Vous allez me dire si ca marche alors il est ou le problème???

Le voila:

Si j'ajoute la règle suivante: bien sur en bas dans la liste des règles pour pas que la règle VPN au dessus ne soit bloquée

Règle Block_All : IPsource: tous port source:tous -> IP dest:tous port dest: tous : bloqué (cette règle bloque à la fois le trafic entrant et sortant normalement)

Et bien le VPN ne marche plus, pas de connexion, time out.

Si je désactive cette règle... ça remarche.

Lorsque la règle est active et que je lance le VPN, j'ai des hits sur la règle, donc ça bloque quelque chose mais quoi ?.

Mes questions:

1: le Client VPN n’utilise pas que le port 1194 pour monter son tunnel ? Il faut que j'ouvre un autre port ? Je ne vois que ça.

2: il y a t'il un moyen de voir ce qui est bloqué par ma règle block-all ? avoir le nombre de hits c'est bien mais savoir ce qui est bloqué c'est mieux 🙂

3: Comme j'ai bloqué tout le trafic entrant avec les 4 trafics en bas wan/lan wan/srm ipV4/V6, tout le trafic entrant est normalement bloqué et donc je ne devrais même pas pouvoir monter le tunnel sans la règle block all alors que si j'y arrive?

A quoi elles servent alors ces règles ?

4: autre question plus generale: le firewall du RT2600 est bien WAN -> LAN et aussi LAN -> WAN car si je ne mets pas une règle  Local  IPsource : IPs de mon LAN  port source:tous   IP dest: toutes Port dest: tous autorisé je n'ai plus accès à internet.

 

J'avoue que ce firewall me déroute...

 

 

 

 

 

 

 

 

 

 

 

 

Lien vers le commentaire
Partager sur d’autres sites

@Nano83

Bonjour,

Tu serais bien avisé de suivre ce TUTO : Sécuriser les accès à son NAS. Cela devrait résoudre pas mal de choses avec ton pare-feu.

il y a 23 minutes, Nano83 a dit :

Les 4 trafic wan/lan wan/srm ipV4/V6 sur bloqués.

Là j'avoue pas te comprendre, tu pourrais STP être plus explicite ? Mets aussi une copie d'écran de ton pare-feu en masquant les @IP externe.

On est bien d'accord ton VPN est basé sur OpenVPN vu que tu dis utiliser le port 1194 ?

Sinon même si tu as une Freebox, je t'invite aussi à regarder ce [TUTO] RT2600AC en DMZ derrière Livebox4 . A toi d'adapter pour la freebox.

il y a 23 minutes, Nano83 a dit :

LAN et aussi LAN -> WAN

NON : uniquement dans le sens WAN --> LAN.

EDIT :

  • Une règle importante à retenir pour le pare-feu : tout ce qui n'est pas explicitement autorisé par une règle est systématiquement refusé par la dernière ligne.
  • Les règles du pare-feu se lisent et s'exécutent de haut (la 1ère ligne) vers le bas. Quand une ligne est satisfaite, il ne va pas plus loin.
  • La dernière ligne interdit donc tout le reste.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

il y a 34 minutes, oracle7 a dit :

@Nano83

Bonjour,

Tu serais bien avisé de suivre ce TUTO : Sécuriser les accès à son NAS. Cela devrait résoudre pas mal de choses avec ton pare-feu.

Là j'avoue pas te comprendre, tu pourrais STP être plus explicite ? Mets aussi une copie d'écran de ton pare-feu en masquant les @IP externe.

On est bien d'accord ton VPN est basé sur OpenVPN vu que tu dis utiliser le port 1194 ?

Sinon même si tu as une Freebox, je t'invite aussi à regarder ce [TUTO] RT2600AC en DMZ derrière Livebox4 . A toi d'adapter pour la freebox.

NON : uniquement dans le sens WAN --> LAN.

EDIT :

  • Une règle importante à retenir pour le pare-feu : tout ce qui n'est pas explicitement autorisé par une règle est systématiquement refusé par la dernière ligne.
  • Les règles du pare-feu se lisent et s'exécutent de haut (la 1ère ligne) vers le bas. Quand une ligne est satisfaite, il ne va pas plus loin.
  • La dernière ligne interdit donc tout le reste.

Cordialement

oracle7😉

@oracle7

Merci pour ta reponse,

J'ai déjà suivi le tuto que tu évoques pour le NAS, là je suis sur le RT2600

Ci joint la copie de mes règles du RT2600.

Oui je suis bien sur un serveur Open VPN sur le NAS et pas sur le RT2600

Comme évoqué, je passerai le RT 2600 en DMZ lorsque je maitriserai son Firewall.

Si le Firewall est uniquement WAN vers LAN alors pourquoi j'ai besoin de la règle en deuxième position pour accéder au net

Et sinon sur ton edit, on est en phase pour la succession des règles.

 

 

firewall2.JPG

Lien vers le commentaire
Partager sur d’autres sites

il y a 40 minutes, Nano83 a dit :

Si le Firewall est uniquement WAN vers LAN alors pourquoi j'ai besoin de la règle en deuxième position

Bonjour,

Car ta dernière règles bloque le traffic sortant. De plus cette règle n'est pas nécessaire, elle fait doublon avec les 4 options coché plus bas.

Sinon la règle 3 ?? Le NTP pourquoi tu ouvres le NTP sur internet?

Attention par défaut quand tu actives des services sur le routeur il te propose d'ouvrir les ports, il faut faire annuler, ou décocher puis valider, ou mieux encore désactiver cette fonction. (Pare-feu > paramètres > décocher "activer les notifications du pare-feu")

Lien vers le commentaire
Partager sur d’autres sites

@dany25

Bonjour,

Si ton RT200ac est ta porte d'entrée à ton réseau local, alors si j'étais toi j'utiliserai le VPN Plus Serveur du RT plutôt que le VPN du NAS. D'expérience c'est bien plus efficace et pertinent. De toutes façon ce sont les même (sauf que le VPN Plus Serveur du RT a des fonctionnalités en plus !).

Ta règle en 2ème position (même si elle est mal nommée) ne doit avoir d'existence que sur le NAS. Sur le routeur tu ne dois laisser passer (tu ouvres) que les ports nécessaires au NAS ou à des services spécifiques.

Maintenant je ne vois pas comment ton VPN peut fonctionner avec une @IP de destination 192.168.62.31 qui est une @IP qui n'appartient pas à ton réseau local 192.168.0.0.

De plus, si tu utilises le VPN du NAS, il te faut aussi autoriser le réseau local 10.8.0.0 dans ton pare-feu du NAS. Sinon pas de connexion VPN possible car quand le tunnel est établit, ton NAS prend obligatoirement comme @IP 10.8.0.1 avec le protocole OpenVPN. C'est sur cette @IP qu'il est joignable.

Par ailleurs, sur le routeur, il te faut aussi ouvrir les ports 80 et 443 qui sont nécessaires au NAS pour par ex : le renouvellement du certificat Let'sEncrypt et les communications HTTPS.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

il y a 6 minutes, maxou56 a dit :

Car ta dernière règles bloque le traffic sortant. De plus cette règles n'est pas nécessaire, elle fait doublon avec les 4 options coché plus bas.

 

ok donc le firewall est bien dans les deux sens flux sortant et entrant. et pas que dans le sens entrant.

Si je mets la dernière règle 4, je suis obligé de rouvrir le trafic sortant avec ma règle  2. Ca me semble normal et logique.

La règle 4 n'est pas nécessaire pour le flux entrant car en effet les 4 options du bas font la meme chose, par contre pour controle le flux sortant elle est nécessaire.

Par contre ce que je ne m'explique toujours pas pourquoi cette règle 4 empêche de monter le VPN alors que la règle 1 est censée l'autoriser. Il doit bien manquer quelquechose.

Des que je désactive la regle 4 le VPN remarche

 

il y a 6 minutes, maxou56 a dit :

Sinon la régles 3 ?? Le NTP pourquoi tu ouvres le NTP sur internet?

Attention par défaut quand tu actives des services sur le routeur il te propose d'ouvrir les ports, il faut faire annuler, ou décocher puis valider, ou mieux encore désactiver cette fonction. (Pare-feu > paramètres > décocher "activer les notifications du pare-feu")

J'ai ouvert NTP pour pouvoir synchroniser l'horloge du RT et du NAS pour la double authentification.

Lien vers le commentaire
Partager sur d’autres sites

il y a 12 minutes, Nano83 a dit :

J'ai ouvert NTP pour pouvoir synchroniser l'horloge du RT et du NAS pour la double authentification.

Le NTP n'a pas besoin d'ouverture de port. La ce que tu as fait c'est pour accéder au serveur NTP de ton routeur depuis internet.

 

il y a 12 minutes, Nano83 a dit :

par contre pour controle le flux sortant elle est nécessaire.

?? cette règle bloque le traffic sortant, mais tu l'autorise avant, donc il n'y a aucun contrôle. Si tu souhaites bloquer un périphérique ou une plage d'IP, créer une règle spécifique.

Lien vers le commentaire
Partager sur d’autres sites

il y a 2 minutes, oracle7 a dit :

@dany25

Si ton RT200ac est ta porte d'entrée à ton réseau local, alors si j'étais toi j'utiliserai le VPN Plus Serveur du RT plutôt que le VPN du NAS. D'expérience c'est bien plus efficace et pertinent. De toutes façon ce sont les même (sauf que le VPN Plus Serveur du RT a des fonctionnalités en plus !).

 

ok pourquoi pas migrer le serveur open VPN du NAS sur le RT, c'etait mon idée dans un second temps

il y a 5 minutes, oracle7 a dit :

@dany25

Ta règle en 2ème position (même si elle est mal nommée) ne doit avoir d'existence que sur le NAS. Sur le routeur tu ne dois laisser passer (tu ouvres) que les ports nécessaires au NAS ou à des services spécifiques.

Ok pourtant j'avais vu cela dans le tuto du RT

il y a 6 minutes, oracle7 a dit :

@dany25

Maintenant je ne vois pas comment ton VPN peut fonctionner avec une @IP de destination 192.168.62.31 qui est une @IP qui n'appartient pas à ton réseau local 192.168.0.0.

De plus, si tu utilises le VPN du NAS, il te faut aussi autoriser le réseau local 10.8.0.0 dans ton pare-feu du NAS. Sinon pas de connexion VPN possible car quand le tunnel est établit, ton NAS prend obligatoirement comme @IP 10.8.0.1 avec le protocole OpenVPN. C'est sur cette @IP qu'il est joignable.

 

Je n'ai jamais dit que mon réseau local est en 192.168.0.0 🙂 il est en 192.168.62.0

pour le 10.8.0.0 c'est déjà le cas dans le NAS. C'est pas au niveau du NAS que ca pose problème.

il y a 9 minutes, oracle7 a dit :

@dany25

Par ailleurs, sur le routeur, il te faut aussi ouvrir les ports 80 et 443 qui sont nécessaires au NAS pour par ex : le renouvellement du certificat Let'sEncrypt et les communications HTTPS.

Je n'ai pas de certificat let's Encrypt

Cdt

Nano83

@oracle7

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 17 minutes, Nano83 a dit :

Par contre ce que je ne m'explique toujours pas pourquoi cette règle 4 empêche de monter le VPN alors que la règle 1 est censée l'autoriser.

Tu as essayé, avec port source "tous".

Sinon tu peux aussi créer une règle en choisissant l'application plutôt que le port (comme tu as fait pour le NTP).

Lien vers le commentaire
Partager sur d’autres sites

il y a 7 minutes, maxou56 a dit :

Le NTP n'a pas besoin d'ouverture de port. La ce que tu as fait c'est pour accéder au serveur NTP de ton routeur depuis internet.

 

Ok en effet pas d’intérêt si c'est dans ce sens 🙂

il y a 8 minutes, maxou56 a dit :

?? cette règles bloque le traffic sortant, mais tu l'autorise avant, donc il n'y a aucun contrôle. Si tu souhaites bloquer un périphérique ou une plage d'IP, créer une règle spécifique.

oui c’était bien l'idée dans la règle 2 de n'autoriser que certains ports à sortir, là pour être sur que c’était pas cette règle qui bloquait j'avais remis tous les ports

Lien vers le commentaire
Partager sur d’autres sites

@dany25

Bonjour,

il y a 19 minutes, Nano83 a dit :

Je n'ai jamais dit que mon réseau local est en 192.168.0.0 🙂 il est en 192.168.62.0

OK, mais ce n'est pas ce qui est indiqué dans ton pare-feu :

image.png.67afa33861db4728a39acc8e14faf9b9.png

à moins que tu n'ais mis un masque spécifique (qu'on ne voit qu'en partie) qui autorise que ce sous réseau 192.168.62.0.

Mais pour le coup présent, qu'elle est l'utilité d'autoriser par cette règle alors toutes les @IP sources de 192.168.0.0 à au moins 192.168.61.255. Cela fait quelque milliers d'@IP possibles. Du point de vue sécurité, c'est vraiment pas terrible. Tu as autant de sous-réseaux que cela à gérer en plus du sous-réseau 192.168.62.0 ????? A toi d'éclaircir cela ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@maxou56@oracle7

Un petit up de mon problème, je vous passe tous les détails, tests et autres manips que j'ai pu faire en une semaine. Mais ca y est j'y suis enfin arrivé à faire ce que je voulais.

Pour rappel, c’était de monter le VPN entre

PC->mobile->Internet->Freebox6 ->RT2600AC->NAS avec serveur OpenVPN (port 1194)

Avant l'introduction du RT2600 tout fonctionnait nickel depuis des années, depuis l'introduction du RT2600AC ça ne montait pas malgré les bons ports ouverts et bien redirigés dans le RT2600. Pourquoi ???

Après multiples manip, j'ai vu que c’était bien le firewall du RT2600 qui posait problème. Sans lui ca marchait mais dès que j'activais les bonnes règles c’était KO😞

Chose étrange et que je m'explique pas si j'ouvrais la plage de port 50000 à 60000 sur le RT et uniquement ca le VPN montait mais après très très longtemps alors que le port aurait du être le 1194 de bout en bout. Ca ca restera un mystère...

Au final et désabusé à deux doigts d'abandonner j'ai fini par changer de port pour OpenVPN. exit le 1194 pour du 4xxxxx, j'ai changé ce port sur toutes les règles et transmissions de ports des différents équipements. un bon reboot de tout ce qui était rebootable et là.... Ça a marché du premier coup.

Miracle? surement pas !! Ailleurs admettons mais pas en info

Mauvaise adresse IP? non je ne les ai pas changé.

Mauvais port ? surement

Conclusion:

Je ne suis pas un expert réseau, mais ce que je faisais n’était pas faux. Çà c'est juste pour me rassurer 🙂

hypothèse sur le problème:

Un problème entre le serveur OpenVPN sur le NAS et le paquet VPN Plus server du RT2600 installé (mais qui ne tourne pas et qui n'est pas configuré en openvpn). Port par défaut 1194 sur les deux qui crée un conflit alors que VPN Plus server est éteint ??

La nécessité de rebooter le RT2600 dès un changement d'une règle du firewall ?? pas convaincu

Prochaine étape maintenant coller le RT2600 en DMZ et s'affranchir du double NAT et me pencher sur les VLAN (d'ailleurs ton post sur le sujet Oracle7 est très instructif)

 

 

Lien vers le commentaire
Partager sur d’autres sites

@Nano83

Bonjour,

il y a 34 minutes, Nano83 a dit :

Chose étrange et que je m'explique pas si j'ouvrais la plage de port 50000 à 60000 sur le RT et uniquement ca le VPN montait mais après très très longtemps alors que le port aurait du être le 1194 de bout en bout. Ca ca restera un mystère...

Au final et désabusé à deux doigts d'abandonner j'ai fini par changer de port pour OpenVPN. exit le 1194 pour du 4xxxxx, j'ai changé ce port sur toutes les règles et transmissions de ports des différents équipements. un bon reboot de tout ce qui était rebootable et là.... Ça a marché du premier coup.

Je crains sincèrement que tu n'ais un autre problème de configuration sur ton routeur qui ne soit pas bonne et qui ait cet effet de bord.

Personnellement, je fonctionne avec du VPN OpenVPN sur mon RT2600ac avec le port standard 1194 et à aucun moment je n'ai eu besoin d'ouvrir toute une série de portes supplémentaires pour cela.

Ouvrir les ports 50000 à 60000 sur ton routeur introduit à mon sens une grave faille de sécurité et cela le sera d'autant plus lorsque tu auras placé ton routeur dans la DMZ de ta box. Alors il sera en première ligne ... C'est comme si tu ouvrais toutes les fenêtres du 2ème étage de ta maison alors que tu as tout fait par ailleurs pour sécuriser portes et fenêtres du RDC et du 1er étage. Désolé mais cela est une très mauvaise idée. Maintenant c'est toi le maître de ta sécurité....

Tous ceux qui utilisent OpenVPN le font avec le port 1194, s'il fallait autre chose cela se saurait, non ?

Je me permet de te rappeler que le principe sur le pare-feu du routeur est de n'ouvrir que la strict minimum de ports. Uniquement ceux nécessaires aux applications du NAS ou autres services (80 HTTP, 443 HTTPS, 6690 DRIVE, 25,587,993 MAIL, 1194 OpenVPN, 500,4500,1701 L2PT/IPsec, etc ...).

il y a 34 minutes, Nano83 a dit :

Un problème entre le serveur OpenVPN sur le NAS et le paquet VPN Plus server du RT2600 installé

Maintenant, tu dois installer le package VPN serveur (ou VPN Plus Server selon) soit sur le NAS, OU soit sur le RT2600ac. MAIS en aucun cas sur les deux. Finalement si je comprend bien maintenant c'est ce que tu aurais fait et d'où tes déboires.

Là aussi il te faut choisir. Avec un RT2600 en première ligne, il est à mon humble avis judicieux d'installer le package VPN Plus Server sur lui, vu qu'il est la porte d'entrée de tout ton réseau local.

Cordialement

oracle7😉

 

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 7 minutes, oracle7 a dit :

@Nano83

Je crains sincèrement que tu n'ais un autre problème de configuration sur ton routeur qui ne soit pas bonne et qui ait cet effet de bord.

Ouvrir les ports 50000 à 60000 sur ton routeur introduit à mon sens une grave faille de sécurité et cela le sera d'autant plus lorsque tu auras placé ton routeur dans la DMZ de ta box. Alors il sera en première ligne ... C'est comme si tu ouvrais toutes les fenêtres du 2ème étage de ta maison alors que tu as tout fait par ailleurs pour sécuriser portes et fenêtres du RDC et du 1er étage. Désolé mais cela est une très mauvaise idée. Maintenant c'est toi le maître de ta sécurité....

 

Ca c’était quand je faisais des tests, pour comprendre ou se trouvais le probleme. Là maintenant, bien sur j'ai tout refermé depuis !! et je n'ai que le port du server OpenVPN d'ouvert ...🙂. C'est pas openbar mais openvpn 🥳

 

il y a 10 minutes, oracle7 a dit :

@Nano83

Je me permet de te rappeler que le principe sur le pare-feu du routeur est de n'ouvrir que la strict minimum de ports. Uniquement ceux nécessaires aux applications du NAS ou autres services (80 HTTP, 443 HTTPS, 6690 DRIVE, 25,587,993 MAIL, 1194 OpenVPN, 500,4500,1701 L2PT/IPsec, etc ...).

 

Meme là il y a trop de ports d'ouvert pour mon utilisation 😉 C'est une évidence de n'ouvrir que les ports que tu utilises et pas tout sinon a quoi bon avoir un firewall dans une DMZ

il y a 12 minutes, oracle7 a dit :

@Nano83

Maintenant, tu dois installer le package VPN serveur (ou VPN Plus Server selon) soit sur le NAS, OU soit sur le RT2600ac. MAIS en aucun cas sur les deux. Finalement si je comprend bien maintenant c'est ce que tu aurais fait et d'où tes déboires.

 

Il était installé sur le RT en prévison du swap futur mais pas activé comme je l'ai dit plus haut. C'est la prochaine étape de passer le VPN sur le routeur. L'objectif est a terme de déléguer au routeur ce genre d'activité et d'autres qui étaient assuré par le NAS avant.

@oracle7Merci pour tes retours et c'est important de rappeler les fondamentaux à tous. Le niveau de chacun n'est pas le même.

Lien vers le commentaire
Partager sur d’autres sites

@Nano83

Bonjour,

il y a 22 minutes, Nano83 a dit :

Il était installé sur le RT en prévison du swap futur mais pas activé

Même si pas activé c'est sa simple présence qui pouvait créer les conflits avec le VPN Server actif sur le NAS.

il y a 24 minutes, Nano83 a dit :

Meme là il y a trop de ports d'ouvert pour mon utilisation 😉 C'est une évidence de n'ouvrir que les ports que tu utilises et pas tout sinon a quoi bon avoir un firewall dans une DMZ

Tout à fait d'accord, le minimum étant tout de même 80 HTTP, 443 HTTPS et pour toi en plus 1194 OpenVPN.

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.