Aller au contenu

Reverse Proxy et Profils de Contrôle d'Accès


Messages recommandés

Il y a 16 heures, Jeff777 a dit :

J'ai ajouté, dans le profil, le sous réseau avec mon préfixe IPV6 et ça fonctionne; mais je n'ai plus moyen de limiter l'accès à qq équipements du réseau.

Si tu n'autorises que des IPv4, normalement ton ordinateur devrait faire un fallback vers IPv4. Il continuera d'utiliser IPv6 pour le reste.

Si ça ne fonctionne pas, c'est sûrement ton architecture IPv4 et IPv6 qui fait encore des siennes.
Je pense que tu devrais revoir tout ça, car ça t'a déjà amené à des comportements inattendus.

@Mic13710 @MilesTEG1 IPv6 ne pose pas de problème outre mesure, simplement si on limite localement l'accès à des périphériques, il ne faut plus faire du stateless mais du stateful, donc avoir un serveur DHCPv6. Plus de génération aléatoire des IP, et donc contrôle total des IPv6 sur le réseau.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

Salut @.Shad.

il y a une heure, .Shad. a dit :

Si tu n'autorises que des IPv4, normalement ton ordinateur devrait faire un fallback vers IPv4. Il continuera d'utiliser IPv6 pour le reste.

Si ça ne fonctionne pas, c'est sûrement ton architecture IPv4 et IPv6 qui fait encore des siennes.
Je pense que tu devrais revoir tout ça, car ça t'a déjà amené à des comportements inattendus.

Oui mais ça m'amuse 😉

 

il y a une heure, .Shad. a dit :

il ne faut plus faire du stateless mais du stateful, donc avoir un serveur DHCPv6. Plus de génération aléatoire des IP, et donc contrôle total des IPv6 sur le réseau.

Euh ce n'est pas le contraire ! Adresse stateless = basée sur l'adresse MAC donc pas aléatoire. En tout cas c'est le statless que j'utilise. Je n'ai pas de moyen de fixer les adresses statefull de mes périphériques.

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, .Shad. a dit :

IPv6 ne pose pas de problème outre mesure, simplement si on limite localement l'accès à des périphériques, il ne faut plus faire du stateless mais du stateful, donc avoir un serveur DHCPv6. Plus de génération aléatoire des IP, et donc contrôle total des IPv6 sur le réseau

Heu là je suis largué…

stateful vs stateless ?? 
 

je contrôle déjà quasi toutes les iP de mon lan avec la réservation dhcp.

Lien vers le commentaire
Partager sur d’autres sites

il y a 5 minutes, Jeff777 a dit :

Euh ce n'est pas le contraire ! Adresse stateless = basée sur l'adresse MAC donc pas aléatoire.

Aléatoire dans le sens où tu ne la contrôles pas, elle est basée sur la MAC. Et ca c'est valable pour l'IPv6 "vraie" uniquement, pour les temporaires tu n'as aucun contrôle.

il y a 7 minutes, Jeff777 a dit :

Je n'ai pas de moyen de fixer les adresses statefull de mes périphériques.

Une distribution Linux classique (même sur Rpi) fait l'affaire. Mais c'est pas forcément évident à mettre en place. Et la fiabilité d'un Rpi est toute relative.

Pour ma part j'utilise aussi SLAAC, la séparation périphériques sécurisés et moins sécurisés je la fais au niveau du réseau même (pas le même VLAN).

il y a 11 minutes, MilesTEG1 a dit :

stateful vs stateless ?? 
 

je contrôle déjà quasi toutes les iP de mon lan avec la réservation dhcp

La réservation DHCP en IPv6 ? Ca veut dire que tu as un serveur DHCPv6 pour lequel tu détermines quel préfixe en /64 ou plus que tu utilises, et que tu as défini une plage DHCP pour tes périphériques ?

https://www.networkacademy.io/ccna/ipv6/stateful-dhcpv6 pour des infos sur stateful et stateless en IPv6.

Lien vers le commentaire
Partager sur d’autres sites

il y a 31 minutes, .Shad. a dit :

Aléatoire dans le sens où tu ne la contrôles pas, elle est basée sur la MAC. Et ca c'est valable pour l'IPv6 "vraie" uniquement, pour les temporaires tu n'as aucun contrôle.

là je te suis !

Toutes mes règles sont basées sur les adresses Stateless notamment le pare-feu IPV6. En principe je n'avais pas de soucis et je ne sais pas pourquoi en local je me connecte du PC vers le nas avec une adresse IPV6 temporaire 🤪.

Temporairement j'ai autorisé dans le contrôle d'accès toutes les adresses IPV6 à condition qu'elles aient le préfixe du réseau et là ça fonctionne, mais ne limite plus à certains périphériques.

il y a 31 minutes, .Shad. a dit :

Une distribution Linux classique (même sur Rpi) fait l'affaire. Mais c'est pas forcément évident à mettre en place. Et la fiabilité d'un Rpi est toute relative.

Pour ma part j'utilise aussi SLAAC, la séparation périphériques sécurisés et moins sécurisés je la fais au niveau du réseau même (pas le même VLAN).

là tu m'a semé 😳.

Je ne vais pas en demander plus à mon petit Rpi de première génération, pihole lui suffit .

SLAAC c'est du Stateless justement non ?

https://www.networkacademy.io/ccna/ipv6/stateless-address-autoconfiguration-slaac

 

 

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Je continue mes investigations et je viens de découvrir dans les journaux de connexion des deux nas que ce n'est que récemment que je me suis connecté du PC sur DSM avec une IP temporaire. Donc je pense plutôt à une erreur de paramétrage récente. Comme je suis un peu brouillon, je ne note pas mes modifs ce qui ne facilite pas les recherches 😳

Si je trouve ce qui a provoqué ce changement, je pourrais supprimer ma modif trop permissive du contrôle d'accès local .

Lien vers le commentaire
Partager sur d’autres sites

J'aimerais bien pouvoir comprendre comme vous comment fonctionne l'IPv6... mais mon cerveau reste hermétique à tout ce que je peux lire sur le net, car tout est trop technique... et je suis très loin d'être un technicien réseau 🤣 Ma branche c'est la physique chimie 😅

Si vous connaissez un tuto simple je suis preneur 🙂 Sinon, je resterais dans l'ignorance 😆 pour le moment je ne le vis pas mal et je vis bien en ne "maitrisant" que l'IPv4 😅

Lien vers le commentaire
Partager sur d’autres sites

Le site donné par @.Shad. m'a l'air bien https://www.networkacademy.io/ccna/ipv6

Sinon en français vous trouverez facilement sur le net.

J'avoue avoir découvert au jour le jour sans vraiment approfondir le sujet ...mais je pense que je vais m'y plonger à fond 😁

Lien vers le commentaire
Partager sur d’autres sites

il y a 27 minutes, Jeff777 a dit :

Le site donné par @.Shad. m'a l'air bien https://www.networkacademy.io/ccna/ipv6

Sinon en français vous trouverez facilement sur le net.

J'avoue avoir découvert au jour le jour sans vraiment approfondir le sujet ...mais je pense que je vais m'y plonger à fond 😁

Le lien est déjà trop complexe pour moi... Je voudrais bien une version pour les nuls qui n'entrent pas dans les détails profonds 🙂 
Et non justement, sur internet je ne trouve que des versions trop complexes...

Lien vers le commentaire
Partager sur d’autres sites

Il y a 23 heures, MilesTEG1 a dit :

Et non justement, sur internet je ne trouve que des versions trop complexes...

C'est certain que l'on peut difficilement tout assimiler d'un seul coup. Si tu t'arrêtes quand tu es largué et reviens dessus plus tard c'est peut-être mieux. Et ne me dis pas que tu es tout de suite largué je ne te croirai pas 😉

Le 02/10/2021 à 06:57, .Shad. a dit :

Si tu n'autorises que des IPv4, normalement ton ordinateur devrait faire un fallback vers IPv4. Il continuera d'utiliser IPv6 pour le reste.

Ah oui peut-être je n'ai pas essayé. Par contre j'ai trouvé le changement qui a dû permettre la connexion du PC au DSM avec une IPV6 temporaire. J'ai bêtement ajouté récemment l' adresse IPV6 publique de mon nas dans le pihole (upstream DNS). De ce fait les requêtes internes de mon PC pouvaient revenir en IPV6 publique temporaire. En ne mettant que des adresses privées IPV4 et IPV6 de mes nas je n'ai plus que des connexions avec des adresses privées venant du PC vers le DSM et j'ai donc pu supprimer l'adresse publique de mon sous-réseau dans le contrôle d'accès afin de restreindre l'accès aux périphériques dont j'ai mis les IPV4/IPV6 privées.

ça a du sens ce que je viens d'écrire ou bien suis-je à côté de la plaque ?🤪

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, Jeff777 a dit :

C'est certain que l'on peut difficilement tout assimiler d'un seul coup. Si tu t'arrêtes quand tu es largué et reviens dessus plus tard c'est peut-être mieux. Et ne me dis pas que tu es tout de suite largué je ne te croirai pas 😉

Je n'ai surtout le courage et la patience pour persévérer, et QUID quand c'est en anglais...
Je lis l'anglais sans mal, ça ne me gène pas, mais quand il s'agit d'un sujet technique, dont j'ai du mal à comprendre les notions, c'est pire 😅

Lien vers le commentaire
Partager sur d’autres sites

@Jeff777@MilesTEG1

Bonjour,

Je suis vos échanges avec intérêt, mais une question me revient : finalement quel est l'intérêt pour nous, simples utilisateurs d'un modeste réseau local, d'implémenter IpV6 et de gérer les @IP correspondantes sur notre réseau local ? J'avoue avoir un peu de mal à en voir les avantages, pour l'instant et c'est tout autre, mais je suis dans la même position que @MilesTEG1 vis à vis d'appréhender la chose. Avec l'age, la "comprenette" a plus de mal à se mettre en place ...🥴🙄

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

 

il y a une heure, oracle7 a dit :

J'avoue avoir un peu de mal à en voir les avantages,

Réponse :

Le 02/10/2021 à 08:15, Jeff777 a dit :

Oui mais ça m'amuse 😉

 

il y a une heure, oracle7 a dit :

Avec l'age, la "comprenette" a plus de mal à se mettre en place ..

Ben c'est bien pour cela que j'essaie de la maintenir à flot...tu verras dans 6 ans 🤣

Lien vers le commentaire
Partager sur d’autres sites

@Jeff777

Bonjour,

il y a 27 minutes, Jeff777 a dit :

Réponse :

Le 02/10/2021 à 08:15, Jeff777 a dit :

Oui mais ça m'amuse 😉

OK, je peux comprendre le fun de la chose et respecte ce choix, mais quand même pour quelle utilité ? C'est déjà pas facile de maintenir correctement un NAS sans y rajouter de la complexité qui n'aurais qu'un intérêt non évident, non ?

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.