Accès externe sans quick connect mais avec un routeur.......HELP

[Flo2]

Bonjour,

 

Ma config est la suivante :

DS216+2 sous DSM6.2

Routeur HUAWEI en wifi 6 sur le port 192.168.1.14 de la BOX SFR. Le NAS est branché sur le routeur HUAWEI.

Le routeur Huawei possède l'adresse 192.168.3, j'ai fixé les adresses IP de tous nos appareils qui se connectent au WIFI 6 pour éviter les conflits.

Mon NAS, est donc accessible à 192.168.3.18.5000 en local. (Pour l'explication on va simplifier en disant que j'ai laissé les ports 5000 et 5001.  ( ce n'est pas le cas))

J'ai réglé mon pare feu pour n'autoriser que les connexions en local :

 

Je souhaite modifier le parefeu pour que le serveur ne soit accessible que par les réseaux que je vais utiliser à distance. Je connais les adresses IP, suffit-il de rajouter une ligne avec l'adresse IP exacte à autoriser dan le parefeu ? Puis-je mettre seulement l'adresse des PC mac concerné ? (Pour éventuellement n'autoriser que mon PC attitré, car on à la même adresse IP pour tous en présentiel)

Pour me connecter en 4G avec mon smartphone par contre je ne sais pas comment je dois régler le parefu, je ne connais pas l'adresse IP du smartphone. (si je pouvais autoriser "seulement" les adresses mac des smartphones autorisés, ce serait impeccable, mais je ne sais pas si je peux le faire.

J'ai configuré ma box SFR en redirection de port de la sorte : 

 

...........or rien ne marche ni l'accès des PC externe, ni de nos smartphones, même en ouvrant totalement le parefeu le temps de faire les essais, je pense que je paramètre mal le "routage", et le fait qu'il y ait un routeur raccordé à la box SFR me perturbe un peu pour les réglages.....

Si vous pouvez m'aider.....

Merci bien.

Flo.

 

 

 

[maxou56]

Bonjour,

Le Routeur Wifi est configuré en mode routeur, donc il y a 2 réseaux 192.168.1.0/24 et 192.168.3.0/24

C'est voulut?

Sinon si tu souhaites n'avoir qu'un seul réseau géré par la Box SFR (DHCP, DNS), il faut configurer le routeur wifi en "point d'accès"

Si oui, il faudra faire du double NAT, soit mettre le Routeur Wifi en DMZ dans la Box SFR et attention bien configurer le pare-feu du Xaomi, car tous les ports seront transmis vers celui ci. Soit créer 2 règles de transmission une dans le Box vers le routeur et une dans le routeur vers le NAS.

 

Il y a 4 heures, Flo2 a dit :

Je connais les adresses IP, suffit-il de rajouter une ligne avec l'adresse IP exacte à autoriser dan le parefeu ? Puis-je mettre seulement l'adresse des PC mac concerné ?

C'est les IP publiques (celles des abonnements, attention c'est rarement fixe) des connexions disantes.

Les adresses MAC n'ont rien à voir.

 

Il y a 4 heures, Flo2 a dit :

Pour me connecter en 4G avec mon smartphone par contre je ne sais pas comment je dois régler le parefu, je ne connais pas l'adresse IP du smartphone. (si je pouvais autoriser "seulement" les adresses mac des smartphones autorisés, ce serait impeccable, mais je ne sais pas si je peux le faire.

Oui on peux limiter aux plages IP d'un opérateur, par exemple pour free mobile 37.160.0.0/12 ou pour Bouygues mobile 176.128.0.0/10

Modifié le 6 août 2021 par maxou56

[Flo2]

Bonjour,

 

Oui tout à fait, il y a bien deux réseaux accessibles que je souhaite / doit conserver -> 192.168.1 (La box de l'opérateur) et 192.168.3 (le routeur huawei)

Citation

Si oui, il faudra faire du double NAT, soit mettre le Routeur Wifi en DMZ dans la Box SFR et attention bien configurer le pare-feu du Xaomi, car tous les ports seront transmis vers celui ci. Soit créer 2 règles de transmission une dans le Box vers le routeur et une dans le routeur vers le NAS.

Je crois que ta solution de créer 2 règles de transmission, dans la box bers le routeur, puis du routeur vers le nas.

Le routeur étant branché en LAN sur le 192.168.1.14 que faudrait-il que je fasse comme règles ?

 

En effet je viens de voir que dans le parefeu je ne peux mettre qu'une IP, et pas d'adresse MAC en plus, dommage.

 

Pour le téléphone en 4G, étant chez free (SFR), la seule solution pour autoriser nos téléphones à se connecter au serveur est d'ouvrir le parefeu à tous les abonnés SFR ? Il n'y a pas de solutions plus "restreinte" , pour plus de sécurité ?

Merci bien.

Flo.

[maxou56]

il y a une heure, Flo2 a dit :

Je crois que ta solution de créer 2 règles de transmission, dans la box bers le routeur, puis du routeur vers le nas.

Le routeur étant branché en LAN sur le 192.168.1.14 que faudrait-il que je fasse comme règles ?

Par exemple si par exemple le WAN du routeur c'est 192.168.1.14 et le NAS 192.168.3.X avec le port 80.

Il faudra créer une règle NAT/PAT dans la box SFR routant le port 80 vers l'iP 192.168.1.14

Puis un autre règle NAT/PAT pour le port 80 dans le routeur xaoimi vers le NAS 192.168.3.X

...

 

il y a une heure, Flo2 a dit :

Pour le téléphone en 4G, étant chez free (SFR), la seule solution pour autoriser nos téléphones à se connecter au serveur est d'ouvrir le parefeu à tous les abonnés SFR ? Il n'y a pas de solutions plus "restreinte" , pour plus de sécurité ?

Non pas plus restreint et encore il faut connaitre la page d'IP de SFR. Sinon il faudra limiter à la France par exemple. (IP source > choisir régions > France)

https://lafibre.info/ipv6/plages-ip-par-fai/

Modifié le 6 août 2021 par maxou56

[oracle7]

@maxou56

Bonjour,

Tu as vu que ton lien sur les plages d'IP par FAI datait de 06/2013 (date du premier post). Tu ne crois pas que cela a pu évoluer en 8 ans ?

Pour Orange France : "23 à 24 millions d'adresses IPv4", pour filtrer tout cà, pas simple ...🤣

Cordialement

oracle7😉

[.Shad.]

@Flo2 Si tu souhaites fortement sécuriser les accès distants, tu dois t'orienter vers une connexion VPN (ce n'est donc plus une connexion distante mais locale (10.x.x.x)) ou une authentification 2FA.

Attention dans ton impression d'écran la dernière règle ne sert a rien.