Faire une black list sur DHCP server pour ne pas répondre à des adresses connues (DSM 7)

[nono512]

Bonjour à tous,
Je voulais savoir s'il était possible de configurer le serveur DHCP sur mon NAS Synology pour qu'il ne réponde pas à une adresse mac en particulier, faire une black list pour ne donner une adresse IP qu'au machines autorisée et ne pas répondre à une certaine adresse IP ?

Merci d'avance

[oracle7]

@nono512

Bonjour,

Pour ton information, que je sache, un serveur DHCP ne répond pas à des adresses MAC en particulier. Il attribue automatiquement une @IP unique correspondant à l'@MAC du périphérique qui se connecte sur le sous-réseau qu'il gère.

Ce que tu veux faire en terme de filtrage d'@IP est réalisé par le pare-feu du NAS. Donc dans celui-ci tu n'autorise que les @IP de ton choix et toutes les autres sont refusées.

Je t'invite à lire expressément ce TUTO : Sécuriser les accès à son NAS , il t'aidera à clarifier les choses tout en répondant à ton besoin ...

Par ailleurs, sauf erreur de ma part, il n'y a que sur le réseau WiFi que tu peux appliquer un blocage/filtrage sur des @MAC.

Cordialement

oracle7😉

Modifié le 30 août 2021 par oracle7

[nono512]

Bonjour 

c’est moi qui n’a pas été précis 

j’ai un routeur qui monte un VPN sur son interface WAN, si l’opérateur VPN ne répond pas c’est alors mon nas qui est serveur Dhpc sur le Lan qui lui donne un ip dû L’an et le VPN coté routeur ne remonte plus 

j’aurai aimé dire à mon serveur DHCP de ne pas répondre au broadcast de l’interface WAN pour ne pas lui attribuer d’adresse ip comme cela la sortie wan reste coupée / désactivée si le VPN n’est pas monté.

En fait j’aimerai dire au serveur dhcp de ne pas donner une adresse ip à un liste d’interfaces connues 

[PiwiLAbruti]

il y a 53 minutes, nono512 a dit :

En fait j’aimerai dire au serveur dhcp de ne pas donner une adresse ip à un liste d’interfaces d'adresses MAC connues

Un serveur DHCP ne peut filter que les adresse MAC (et les options DHCP), et c'est une fonctionnalité qui n'est pas disponible dans le serveur DHCP de DSM.

[oracle7]

@nono512

Bonjour,

Désolé mais j'ai un peu de mal avec ton explication.

il y a une heure, nono512 a dit :

mon nas qui est serveur Dhpc sur le Lan qui lui donne un ip dû L’an et le VPN coté routeur ne remonte plus

"lui" si je te suis bien, serait ton VPN ?

Dans tous les cas, le canal VPN que tu établis sur l'interface WAN de ton routeur est une liaison (tunnel sécurisé et étanche par rapport à l'extérieur) qui va de ton routeur (depuis son @IP externe) vers les serveurs d'un fournisseur VPN tiers qui eux "remplacent" cette @IP externe par une autre @IP masquant ainsi ta réelle @IP externe sur la toile Internet.

Si ton NAS est le serveur DHCP de ton sous-réseau local (LAN), ce serveur DHCP ne fait t'attribuer des @IP LOCALES aux périphériques de ce sous-réseau local. Il attribue donc une @IP LOCALE à ton routeur qui y est connecté (à moins que tu n'ai déjà toi attribué à ton routeur un bail statique donc une @IP fixe).

En aucun cas cette @IP locale attribuée au routeur n'intervient dans l'établissement du tunnel VPN sur le réseau WAN de celui-ci et donc pourrait l'empêcher de s'établir. De toutes façons cette @IP locale n'est pas routable à l'extérieur !

Maintenant si les serveurs VPN de ton fournisseur tiers ne répondent pas, c'est normal que ton tunnel VPN ne s'établisse pas.

il y a une heure, nono512 a dit :

En fait j’aimerai dire au serveur dhcp de ne pas donner une adresse ip à un liste d’interfaces connues 

Qu'entends-tu par "listes d'interfaces connues" ? Si ce sont des @IP alors je te le répète, c'est le rôle du pare-feu du NAS d'assurer ce filtrage.

Mais pour clarifier les choses, c'est juste pour bien comprendre, ton infrastructure est bien de ce type :

1 - Internet  --- (@IP externe) BOX internet  ------ réseau local box LAN  ------ (WAN) Routeur  ------ réseau local ------ NAS (DHCP)

OU

2 - Internet  --- (@IP externe) BOX internet  ------ réseau local box LAN  ---|---- (WAN) Routeur 

     | ------ NAS (DHCP)

OU

3 - Internet ---(@IP externe) Routeur ------ réseau local LAN  ------ NAS (DHCP)

Cordialement

oracle7😉

Modifié le 30 août 2021 par oracle7

[nono512]

Le test que j'ai fait est de faire un ping en continu sur une adresse IP quelconque sur le NET. Quand mon VPN est monté il passe normalement par le VPN et l'adresse publique vue est celle de mon fournisseur de VPN.

Par contre si je fait exprès de faire tomber mon VPN, le ping continue mais depuis mon adresse publique officielle qui est à nouveau exposée, et le VPN ne remonte plus tout seul.

J'aimerai que si le fournisseur de VPN vienne à couper l'accès pour des raisons technique, mon routeur coupe les flux internet jusqu'au rétablissement du service VPN et qu'aucun paquet ne sorte avec mon adresse IP publique officielle.

[oracle7]

@nono512

Bonjour,

Il y a 2 heures, nono512 a dit :

mon routeur coupe les flux internet jusqu'au rétablissement du service VPN et qu'aucun paquet ne sorte avec mon adresse IP publique officielle.

Personnellement, j'utilise les services de NordVPN et avec ce VPN (dans le client VPN) j'ai une fonction nommée "kill switch" qui me permet, lorsque le VPN n'est pas activé, de bloquer l'accès à internet dans sa globalité ou seulement aux applications que je désigne/sélectionne (par ex BitTorrent, Navigateur Web, etc ...).

Sauf erreur de ma part, je ne pense pas que les routeurs permettent directement ce genre de fonction. Renseignes-toi pour voir si ton client VPN de ton fournisseur tiers n'a pas aussi ce type de fonction qui correspond bien à ton besoin suscité.

Cordialement

oracle7😉