Aller au contenu

Reverse Proxy et Profils de Contrôle d'Accès


Messages recommandés

il y a 8 minutes, MilesTEG1 a dit :

Comme si via la 4G et le VPN l’ip que tu avais n’était pas une autorisée donc un IP VPN…

L'IP donnée dans le profil VPN du smartphone est 10.8.0.14, donc autorisée : 10.0.0.0/8 présent dans le contrôle d'accès.

Je retrouve d'ailleurs cette adresse dans le journal de connexion du NAS (failed to log in via DSM due to authorization failure)

il y a 19 minutes, MilesTEG1 a dit :

J’ai du faire une réécriture dns dans adguard home

J'ai désactivé Pihole sur Raspberry sans changement

il y a 21 minutes, MilesTEG1 a dit :

mais j’ai fait en sorte que le serveur dans du serveur VPN soit mon conteneur adguard.

pas compris 🙄

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 11 minutes, Jeff777 a dit :
il y a 35 minutes, MilesTEG1 a dit :

mais j’ai fait en sorte que le serveur dans du serveur VPN soit mon conteneur adguard.

pas compris 🙄

Dans la configuration du serveur VPN, comme serveur dns primaire j’ai mis l’adresse ip de mon adguard home.

donc en passant par le VPN, la résolution des noms de domaines se fait par adguard home et mon nom de domaine avec contrôle d’accès est réécrit avec l’ip lan du nas.

en écrivant ces lignes je me rends compte que cette réécriture n’est pas très pertinente pour ton soucis.

 

tu pourrais essayer de changer l’adresse ip que tu as quand tu te connectes au VPN . Essaye de mettre une IP de ton Lan.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, Jeff777 a dit :

Par contre si je veux me connecter directement avec le smartphone en 4G toujours sans WIFI même avec le VPN je n'arrive pas à me connecter aux entrées avec contrôle d'accès.

Si tu actives redirect-gateway def1 dans ton fichier ovpn sur ton smartphone, est-ce que ça marche ?

Lien vers le commentaire
Partager sur d’autres sites

@Jeff777

Bonjour,

il y a une heure, MilesTEG1 a dit :

Ce serait pas le téléphone en 4G qui ne ferait pas correctement la connexion VPN ? Ça ressemble à une identification erronée de l’ip. Comme si via la 4G et le VPN l’ip que tu avais n’était pas une autorisée donc un IP VPN…

J'ai eu ce problème à un moment donné. En fait, mais ce n'est qu'un constat mais lorsque je désactive le Wifi sur mon Tél 4G, la bascule réseau ne se fait pas bien parfois et du coup d'une part les connexions VPN ne s'établissent qu'une fois sur deux donc difficilement et d'autre part quand elles s'établissent là, j'ai comme toi le message de page introuvable pour mes redirections de reverse proxy avec un profil de contrôle d'accès. Je suis alors bon pour redémarrer le Tél 4G. Cela passe ensuite.

Autre point qui bloque ces redirections c'est si le DoH est activé sur le Routeur en entrée qui supporte un serveur DNS pour la résolution locale. En effet, (et c'est dit dans la doc en ligne) l'activation du DoH contourne la résolution locale de domaine, du coup les redirections ne pouvaient aboutir.

En espérant que ces pistes pourront t'aider.

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

il y a 3 minutes, .Shad. a dit :

Si tu actives redirect-gateway def1 dans ton fichier ovpn sur ton smartphone, est-ce que ça marche ?

C'est activé

il y a 23 minutes, MilesTEG1 a dit :

tu pourrais essayer de changer l’adresse ip que tu as quand tu te connectes au VPN . Essaye de mettre une IP de ton Lan.

Je ne comprends pas. Comment tu fais cela ?

il y a 5 minutes, oracle7 a dit :

J'ai eu ce problème à un moment donné. En fait, mais ce n'est qu'un constat mais lorsque je désactive le Wifi sur mon Tél 4G, la bascule réseau ne se fait pas bien parfois et du coup d'une part les connexions VPN ne s'établissent qu'une fois sur deux donc difficilement et d'autre part quand elles s'établissent là, j'ai comme toi le message de page introuvable pour mes redirections de reverse proxy avec un profil de contrôle d'accès. Je suis alors bon pour redémarrer le Tél 4G. Cela passe ensuite.

Ah intéressant je vais essayer de redémarrer le tel

il y a 6 minutes, oracle7 a dit :

si le DoH est activé sur le Routeur

Je vérifie

Lien vers le commentaire
Partager sur d’autres sites

@Jeff777 Est-ce que tu pousses un serveur DNS via dhcp-option ?
Le cas qui pourrait arriver serait que tu tentes d'atteindre une entrée de ton proxy inversé, et que le DNS local ne participe pas à la résolution de l'adresse, résultat la requête va vers les serveurs publiques, et donc au final tu arrives avec une IP publique et ta requête est correctement rejeté par l'ACL.

Tu peux tenter de régler un paramétrage statique de l'IP de ton smartphone (pas via DHCP donc), en mettant l'IP de ton serveur DNS local en DNS primaire. Si c'est un smartphone Android, Google a tendance à forcer 8.8.8.8 pour la résolution DNS même si le serveur DHCP envoie d'autres serveurs, avec un paramétrage statique normalement tu passes outre.

Tu peux également tester la même opération avec le téléphone de ta femme, ça permettra de voir si c'est le téléphone qui pose problème ou pas.
 

Lien vers le commentaire
Partager sur d’autres sites

il y a 2 minutes, .Shad. a dit :

Est-ce que tu pousses un serveur DNS via dhcp-option ?

oui les IP publiques de mes NAS ( donc celle de mon réseau en IPV4 et celle du NAS1 en IPV6 qui correspondent aux enregistrement NS de ma zone publique hébergée)

 

il y a 10 minutes, .Shad. a dit :

Tu peux également tester la même opération avec le téléphone de ta femme, ça permettra de voir si c'est le téléphone qui pose problème ou pas.

Je n'ai pas de smartphone, j'utilise une tablette sans carte SIM. C'est le téléphone de ma femme qui pose problème, comme j'ai dit plus haut la tablette connectée via le point d'accès en 4G fonctionne normalement.

Lien vers le commentaire
Partager sur d’autres sites

il y a 59 minutes, Jeff777 a dit :

Je ne comprends pas. Comment tu fais cela ?

Du coup avec OpenVPN (vu que tu utilises ça d'après les réponses précédente, c'est bien le cas ?), tu peux pas spécifier une IP LAN...
moi j'ai ça (sur mon RT, je n'ai plus le paquet installé sur le NAS) :
qa8apYu.png

Je ne sais plus s'il y a toutes les options dans la version du NAS...

Lien vers le commentaire
Partager sur d’autres sites

Le 12/08/2021 à 18:38, MilesTEG1 a dit :

, tu peux pas spécifier une IP LAN...

Ah si je peux:

Capture.JPG.9d24e10fbdbaf5a860b1a4a25c6b6e5f.JPG

Je croyais me souvenir que le 10 était fixé mais c'est le dernier chiffre qu'il l'est. Je vais essayer mais pour le moment on est en plein dans un orage/tornade avec coupure d'électricité à plusieurs reprises (merci à l'onduleur qui a oeuvré à trois reprises). 

Le 12/08/2021 à 17:41, .Shad. a dit :

Tu peux tenter de régler un paramétrage statique de l'IP de ton smartphone (pas via DHCP donc), en mettant l'IP de ton serveur DNS local en DNS primaire. Si c'est un smartphone Android, Google a tendance à forcer 8.8.8.8 pour la résolution DNS même si le serveur DHCP envoie d'autres serveurs, avec un paramétrage statique normalement tu passes outre.

ça aussi je vais essayer après l'orage et quand j'aurai accès au tel 😉

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

il y a 41 minutes, Jeff777 a dit :

@MilesTEG1

Je ne crois pas que je puisse attribuer une IP de mon LAN car si je mets 192.168.1 j'obtiens 192.168.1.1 qui est l'IP de mon routeur.

Oui effectivement, j'ai pas très bien formuler 🙂 ni reformuler après ta capture.
Met une IP du style 192.168.10.x (le x sera le .1 déjà écrit que tu ne peux pas modifier).

Lien vers le commentaire
Partager sur d’autres sites

@MilesTEG1

J'ai attribué l'IP 192.168.2.1 au VPN et j'ai mis le CIDR 192.168.2.0/24 dans les autorisation des profils d'accès (dans les pare-feu) ce sous réseau était déjà autorisé et j'ai exactement les même résultats 🙁

@.Shad. @oracle7 et @MilesTEG1 Merci à tous les trois. C'est @.Shad. qui m'a mis sur la bonne piste.

Dans le téléphone il y a une option  DSN privé qui était sur automatique je l'ai désactivée et tout est rentré dans l'ordre 😃

Lien vers le commentaire
Partager sur d’autres sites

@Jeff777

Bonjour,

Es-tu certain que ton entrée (URL) de reverse proxy est bien résolue en local ? Je pense que c'est cela qui coince dans ton cas.

EDIT : oups je n'avais pas vu ta précédente réponse. Moi ce qui m’épate c'est justement j'ai du supprimer le DNS privé (NextDNS) pour repasser en automatique pour que cela marche. Les mystères de l'informatique ...🤔

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

il y a 12 minutes, oracle7 a dit :

Moi ce qui m’épate c'est justement j'ai du supprimer le DNS privé (NextDNS) pour repasser en automatique pour que cela marche

La différence c'est peut-être que j'héberge ma zone.

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Salut,

petit rex d'une mésaventure :

Le contrôle d'accès fonctionnait bien avec mon profil autorisant l'accès local de 3 périphériques en IPV4 et IPV6 et l'accès externe avec OpenVPN, mais..tout à l'heure subitement impossible de me connecter, depuis mon PC, à mon reverse proxy !

Après quelques tâtonnements, je me suis aperçu dans le journal de connexion que mon PC utilisait son IPV6 temporaire pour se connecter. Je n'avais mis que les IPV6 locale qui sont fixes mais bien sûr pas l'IPV6 temporaire qui, par définition, varie. 

J'ai ajouté, dans le profil, le sous réseau avec mon préfixe IPV6 et ça fonctionne; mais je n'ai plus moyen de limiter l'accès à qq équipements du réseau.

Je cherche une solution...en interdisant le loopback pour forcer les adresses internes ...sans certitude ...et  comment faire? ou bien en ajoutant au profil les IPV6 stateless complètes avec le préfixe, mais le rapprochement avec l'IPV6 temporaire sera-t-il fait? ? Je cherche...toute idée est bienvenue 🙂

Tout ceci n'est pas vital....c'est pour le fun et pour progresser dans la connaissance 😉

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

il y a 37 minutes, Jeff777 a dit :

C'est pour avoir redondance de mes nas

Je la fais aussi, mais uniquement en ipv4.

Chaque NAS est son propre serveur DNS principal et chacun renvoi le DNS secondaire vers le routeur. Dans le serveur DHCP du ER-X, j'ai les IP des deux NAS respectivement comme serveur DNS principal et secondaire.

Il est bien évident que chaque NAS à aussi sa zone en propre et son propre proxy inversé. Ainsi, si le NAS principal tombe en rideau, les requêtes sont redirigés par le routeur vers le secondaire. Il ne pourra pas résoudre bien évidemment les adresses redirigées vers le NAS principal mais pourra traiter celles des autres équipements du réseau.

Les zones des deux NAS ne fonctionnent pas en maitre/esclave car elles ont un enregistrement A différent, ce qui m'oblige à faire les modifications des CNAME sur les deux zones. Idem pour les règles du proxy inversé.

Lien vers le commentaire
Partager sur d’autres sites

@Mic13710 oui mais ça c'est possible si tu n'héberges pas ta zone publique. Si tu l'héberges il faut un serveur DNS secondaire à l'extérieur. Un deuxième nas sur le même réseau ne pouvant pas servir de DNS secondaire. Et si ton nas qui héberge DNS serveur tombe en rade on ne sait plus accéder au second nas sauf à faire la bidouille de l'IPV6.

Maintenant c'est vrai quand lisant le tuto de Fenrir j'avais été séduit par le côté "indépendance", mais dans les faits pour être vraiment  indépendant il faudrait maîtriser le serveur secondaire...or le mien est chez HE.

Un jour, peut-être, je changerai de config 😉

 

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

il y a 21 minutes, Jeff777 a dit :

il faudrait métriser le serveur secondaire...or le mien est chez HE.

Tu as plus de maitrise que ce que j'avais avec mon hébergement chez Fenrir puisque tu y as accès quand bon te semble. De mon côté, le changement brutal d'IP par Free a fait perdre la liaison du DNS secondaire vers le principal et n'arrivant pas à rentrer en contact avec Fenrir pour qu'il corrige, j'ai été contraint d'abandonner l'hébergement public de ma zone. Elle fonctionnait très bien au demeurant mais était susceptible de me laisser en rade à tout moment car attachée à des systèmes autrement moins solides et fiables que les serveurs des registars.

Lien vers le commentaire
Partager sur d’autres sites

il y a 30 minutes, Mic13710 a dit :

Tu as plus de maitrise

mais pas trop en orthographe 😉 J'ai corrigé l'horreur!

Quand je dis maîtriser c'est héberger aussi la zone secondaire. Sinon HE est très fiable, mais un peu difficile à mettre en place au début.

Lien vers le commentaire
Partager sur d’autres sites

La vache vous avez sacrément investi de temps et de matos dans votre réseau…

De mon point de vue (et ce n’est en rien une critique m, je respecte et admire votre travail 😊) c’est overkill 😁

je ne pourrais pas faire tout ça.

À la limite déporter le reverse proxy et mon adguard home sur un rpi pourquoi pas, mais rien de plus.

et je me dis que si un jour je disparaissais , le femme serait bien emmerdée au moindre soucis avec le matos informatique…

faudrait que je lui fasse un document tuto tiens… 🤪

Lien vers le commentaire
Partager sur d’autres sites

il y a 37 minutes, MilesTEG1 a dit :

et je me dis que si un jour je disparaissais , le femme serait bien emmerdée au moindre soucis avec le matos informatique…

tu as bien raison😅 mais il suffit de dire : tu débranches tout et tu mets les PC directement sur la box.

Chez moi les nas synchronisent les dossiers de chacun qui sont donc accessibles de l'extérieur mais rien n'est déporté uniquement sur le nas. Les PC sont donc parfaitement autonomes.

il y a 45 minutes, MilesTEG1 a dit :

vous avez sacrément investi de temps et de matos

question matos je n'ai rien de vraiment pointu et mis à par le Raspberry de première génération que l'on m'a donné tu sembles être bien pourvu.

question temps ....à la retraite ça ne pose pas trop de problème.....bien que...😉

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.