RT2600AC derrière une Freebox Pop (IPv6) : Serveur Adguard Home ne résout plus les requêtes depuis les iPhones

[Jeff777]

il y a 3 minutes, oracle7 a dit :

C'est pour ses iPhones.

C'est différent des tel Android ?

[oracle7]

@Jeff777

Bonjour,

il y a 3 minutes, Jeff777 a dit :

C'est différent des tel Android ?

OUI, merci à Apple et ses spécificités.🥴

Cordialement

oracle7😉

[Jeff777]

il y a 12 minutes, oracle7 a dit :

Ensuite dans le fichier de config OpenVPN .ovpn, on rajoute sur une ligne avec cette option :

Hé les gars avec la fibre..., vous n'êtes pas en train de peaufiner l'aileron arrière de votre Porsche pour quelques kbps de plus ? Est-ce que ça vaut la peine avec ma 2CV

[MilesTEG1]

il y a 10 minutes, Jeff777 a dit :

Hé les gars avec la fibre..., vous n'êtes pas en train de peaufiner l'aileron arrière de votre Porsche pour quelques kbps de plus ? Est-ce que ça vaut la peine avec ma 2CV

Oui c'est clair. Perso, je m'en fiche de pas avoir le débit max, tant que c'est très conséquent 😄 

Et je le rappelle, j'avais déjà 400M / 400M avec Orange, et ça me satisfaisait bien 😉 

il y a 28 minutes, oracle7 a dit :

Bonjour,

@MilesTEG1

Le mssfix sert à ajuster la MTU à ta connexion effective afin d'accéler au maximum la transmission des paquets en optimisant leur taille.

Pour régler le mssfix tu fais ceci :

ping www.free.fr -f -l 1402 => Si on a une réponse , on essaye alors d'augmenter cette valeur de MTU jusqu’à ce que : soit on n'obtienne plus de réponse, soit que l’on obtienne le message FRAGMENTED. Donc, la valeur à retenir est la dernière valeur qui a donné une réponse.

Le plus rapide est de travailler par dichotomie sur les valeurs : par ex 1402 puis 1500, puis 1450, puis 1475, puis 1462, puis 1668, puis 1472, puis 1474.
Ensuite dans le fichier de config OpenVPN .ovpn, on rajoute sur une ligne avec cette option :
mssfix 1472.

@Jeff777

C'est pour ses iPhones. Affaire vue et testée avec d'autres membres ici.

Edit :  Je ne veux pas faire le rabat joie mais tu n'auras pas le maximum permi par la fibre en étant à 3800m donc à peu près aussi éloigné que toi de la plaque, je n'ai que :

Ce qui est déjà pas si mal en soit.😜

Cordialement

oracle7😉

Merci pour les infos, je testerais ce soir ^^

Sinon pour la fibre, il n'y a pas de pertes de débit avec la distance comme c'est le cas en ADSL.
Ce qui peut causer des pertes de débits, ce sont les soudures mal faites.
Et le forfait qui bride le débit.
Tu as quoi comme forfait chez Orange ? Car normalement tu es censé avoir pas loin de 400M en upload, non ?
Bon après, les tests speedtest sont soumis à la charge CPU de là où c'est exécuté.
Et comme tu sembles avoir lancé le test dans ton conteneur docker, ça peut expliquer le débit un peu en retrait, j'avais moi aussi ce genre de petits soucis avec le speedtest en docker.

[oracle7]

@MilesTEG1

Bonjour,

J'ai un forfait Open et effectivement le speedtest refait directement depuis un PC local est un peu meilleur que ce que m'annonce celui sous docker mais encore loin des 400 Go en UP.🥴

Cordialement

oracle7😉

[MilesTEG1]

il y a 45 minutes, oracle7 a dit :

J'ai un forfait Open et effectivement le speedtest refait directement depuis un PC local est un peu meilleur que ce que m'annonce celui sous docker mais encore loin des 400 Go en UP.🥴

👋🏻 Salut 🙂

Loin des 400, pas tant que ça 😉 Bon Ok, ça représente 15% d'écart, mais je ne suis pas sûr que tu t'en rendes compte 😆
Retente un speedtest, tu auras une autre valeur 😅 peut-être meilleure, peut-être pire 🤣

Sinon, mettre le routeur en DMZ, je trouve ça plus simple que de suivre ce qui est mis ici : https://utux.fr/?article13/free-bridge-ipv6 et donc de passer la box en bridge 🙂 

 

[Jeff777]

il y a 3 minutes, MilesTEG1 a dit :

je trouve ça plus simple que de suivre ce qui est mis ici

Ce n'est pas si compliqué puisque j'y suis arrivé😉

[MilesTEG1]

il y a 8 minutes, Jeff777 a dit :

Ce n'est pas si compliqué puisque j'y suis arrivé😉

Bah quand j'ai regardé la partie Préfixe, et NextHOP, je t'avoue que ça m'a un peu perdu... Et surtout, je ne voyais pas où placer tout ça dans le RT...

Mais du coup, faut-il que je configure ça (le NextHOP) ?
 

Je voudrais surtout être sûr que mon réseau est toujours bien sécurisé 🙂 que les IPv6 ne fuitent pas sur le NET.

[Jeff777]

il y a 19 minutes, MilesTEG1 a dit :

Bah quand j'ai regardé la partie Préfixe, et NextHOP, je t'avoue que ça m'a un peu perdu... Et surtout, je ne voyais pas où placer tout ça dans le RT...

Le préfixe est composé des 4 premiers termes des adresses IPV6 publiques des périphériques de ton réseau (ces 4 termes sont les mêmes pour tous tes périphériques. C'est un peu comme l'adresse fixe publique IPV4). Sur le LAN ils sont remplacés par fe80::

En fait si tu suis le tuto du lien que tu as mis précédemment, les préfixes seront présents. Il y a juste l'adresse locale IPV6 de ton routeur côté WAN a ajouter dans tes deux premiers hop (en lignes marquée 4 et 6 sur l'image). Après sur le routeur je ne sais pas...sur le mien j' avoue ne pas me souvenir. Il me semble que j'avais donné la procédure à @Mic13710 , mais vu que l'on a pas le même routeur cela ne t'aidera pas.

[MilesTEG1]

@Jeff777 Merci quand même, si un jour je constate un soucis bloquant avec la DMZ, je tenterais le bridge 🙂

Sinon, là j'ai un petit soucis que je ne comprends pas...

Je suis connecté au VPN du routeur en L2TP.
J'accède bien au NAS via son IP LAN, mais impossible d'accéder au routeur avec son IP LAN à lui 192.168.2.1 ... Toutes les autres IP de mon réseau sont joignables directement.

J'ai configuré dans le NAS une entrée de reverse-proxy (avec contrôle d'accès pour n'autoriser que les IP LAN) pour accéder au routeur :

Et cette redirection fonctionne...

Je précise que j'ai essayé avec HTTP et HTTPS avec les ports personnalisés, et même problème :

Du coup, comment ça se fait que je n'arrive pas à accéder à mon routeur via son IP LAN via le VPN alors que c'est possible pour toutes les autres IP et que j'y arrive avec le nom de domaine... ??

 

Précision : depuis l'ordinateur que je contrôle à distance, le routeur est bien accessible via son IP LAN 😅🤣

[Jeff777]

J'y arrive en mettant une en-tête personnalisée Websocket à mon entrée du reverse proxy 😉

Edit : j'ai aussi mis https côté WAN mais précise le port 443 que je ne vois pas dans ta capture.

Edit bis : j'ai comme toi le contrôle d'accès en local et HSTS

Modifié le 1 février 2022 par Jeff777

[MilesTEG1]

il y a 7 minutes, Jeff777 a dit :

J'y arrive en mettant une en-tête personnalisée Websocket à mon entrée du reverse proxy 😉

Edit : j'ai aussi mis https côté WAN mais précise le port 443 que je ne vois pas dans ta capture.

Edit bis : j'ai comme toi le contrôle d'accès en local et HSTS

Heu, c'est-à-dire que mon reverse proxy fonctionne bien lui.
Mais l'accès avec l'IP directement non...

 

PS : comment fait-on pour mettre une 2FA sur un user du routeur ? J'ai du désactiver celle que j'avais pour mon user admin avant de le rebooter parce qu'il n'arrivait pas à se connecter au NDD juste après l'installation de la freebox...
Et là je voudrais le remettre (2FA)...

[oracle7]

@MilesTEG1

Bonjour,

Accessoirement, il est inutile en local de faire du HTTPS (destination) sur du HTTPS (source) pour ta redirection. Il te faut aussi renseigner le port 8000 pour la destination si tu veux atteindre SRM du RT.

 Q : pourquoi passes-tu par un domaine en synology.me, c'est plus sûr avec ton domaine, non ?

Cordialement

oracle7😉

Modifié le 1 février 2022 par oracle7

[Jeff777]

il y a 3 minutes, MilesTEG1 a dit :

Heu, c'est-à-dire que mon reverse proxy fonctionne bien lui.
Mais l'accès avec l'IP directement non...

Euh pardon. J'ai été trop vite car vu que j'avais galéré avec le reverse proxy du routeur j'étais persuadé que c'était aussi ton problème.

Vu que je ne suis jamais arrivé à mettre en place L2TP que je n'utilise pas 2FA et que je n'ai aucun moyen aujourd'hui de faire des tests depuis l'extérieur... je ne suis malheureusement d'aucun secours.☹️

[MilesTEG1]

@oracle7 Oui je ferais la modification du https vers http ce soir ^^ avec le bon port qui va bien.

Pour le nom de domaine, c'est bien mon ndd OVH que j'utilise XD je sais pas pourquoi j'ai mis synology dans la capture XD 

@Jeff777 Tu viens de me donner une idée : tester avec OpenVPN ou avec SSL VPN (en l'occurence, la deuxième option vu que OpenVPN ne marche pas encore comme il faut ^^)

[Jeff777]

il y a 13 minutes, oracle7 a dit :

Accessoirement, il est inutile en local de faire du HTTPS (destination) sur du HTTPS (source) pour ta redirection. Il te faut aussi renseigner le port 8000 pour la destination si tu veux atteindre SRM du RT.

Comme je l'ai dit je n'ai pas le même routeur que vous deux. Il me faut le port (443 ou 80) pour l'interface web (Dashboard) et si j'utilise le port 80 ça ne marche pas. Je ne sais pas l'expliquer mais c'est comme cela  !

[MilesTEG1]

Bon depuis le mac via le partage de connexion 4G de l'iPhone, SSL VPN n'arrive pas à se connecter XD

Alors que c'était possible depuis le même iPhone avec la même connexion 4G XD 

[oracle7]

@MilesTEG1

Bonjour,

il y a une heure, MilesTEG1 a dit :

PS : comment fait-on pour mettre une 2FA sur un user du routeur ?

Pour la 2FA, sur le routeur c'est comme sur le NAS, tu vas sur le bonhomme en haut à droite du bureau SRM : Clic + options et activer la 2FA ...

Pour SSL VPN voire aussi pour OPenVPN, un p'tit reboot du routeur serait peut-être salutaire suite au changement de box, non ?

Cordialement

oracle7😉

[MilesTEG1]

il y a 3 minutes, oracle7 a dit :

Pour SSL VPN voire aussi pour OPenVPN, un p'tit reboot du routeur serait peut-être salutaire suite au changement de box, non ?

J'en avais déjà fait un ce matin après le changement... et je viens d'en refaire un via le smartphone car mon mac n'arrive plus à se connecter au serveur VPN... aller savoir pourquoi...
Ça me fait : Échec de l’authentification.
Pourtant le mot de passe et l'utilisateur n'ont pas été modifés...

J'ai juste exporté le profil openVPN pour tenter de me connecter avec... sans succès d'ailleurs...

 

Sur l'iphone, aucun soucis pour le L2TP et pour SSL VPN...

ha purée, c'était l'iphone qui merdait... (même si depuis celui-ci pas de soucis avec les VPN...), une fois redémarré, le mac à pu se reconnecter au VPN...
Bon j'arrête là les essais, je continuerais ce soir... Me faut la connexion avec mon pc chez moi opérationnelle xD

[MilesTEG1]

Bon avec tunelblick, la connexion OpenVPN fonctionne, mais même avec elle, je ne peux pas accéder à l'ip du routeur... alors qu'avec le domaine et donc le reverseproxy du nas oui... 🤪

J'ai aussi cette alerte :

Citation

Ce VPN fonctionne maintenant, mais pourrait cesser de fonctionner dans une prochaine version de Tunnelblick.
Le fichier de configuration OpenVPN pour 'OpenVPN-SRM' devrait être mise à jour afin d'être utilisable avec des versions modernes de OpenVPN. Il contient les options OpenVPN suivantes:
• 'comp-lzo' a été déprécié dans OpenVPN 2.4 et a été supprimé ou pourrait l'être dans une version ultérieure

Tunnelblick utilisera OpenVPN 2.5.4 - OpenSSL v1.1.1l pour connecter cette configuration.
Cependant, vous ne pourrez plus vous connecter à ce VPN avec les futures versions de Tunnelblick qui ne contiendront pas de version d'OpenVPN acceptant ces options.

Vous savez comment je peux la virer ?
Par quoi remplacer le comp-lzo ?

J'ai aussi dans le log de connexion ces alertes :

2022-02-01 19:34:17.039339 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.

2022-02-01 19:34:17.041276 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts

                           19:34:26 *Tunnelblick:  NOTE: The DNS servers do not include any free public DNS servers known to Tunnelblick. This may cause DNS queries to fail or be intercepted or falsified even if they are directed through the VPN. Specify only known public DNS servers or DNS servers located on the VPN network to avoid such problems.


2022-02-01 19:34:26.475493 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this

C'est grave ?

PS : pour le DNS, ça doit être parce que j'ai fait en sorte de passer par mon adguard home ^^

[oracle7]

@MilesTEG1

Bonjour,

Regardes le man OpenVPN ici même si on apprend as grand chose à propos de comp-lzo.

N'oublies pas que la version OpenVPN sur Synology est en retard de version. Donc peut-être aussi normal que Tubnelblick gu...le, non ?

Pour le dernier warning il faut ajouter "auth-nocache" dans le fichier de config .ovpn.

Au cas où , dans mon fichier .ovpn j'ai directement : remote srm.mondomaine.tld 1194

Cordialement

oracle7😉

Modifié le 1 février 2022 par oracle7

[MilesTEG1]

il y a 33 minutes, oracle7 a dit :

Pour le dernier warning il faut ajouter "auth-nocache" dans le fichier de config .ovpn.

Ha oui, je crois que j'ai du le faire une fois avant... 😄 

il y a 34 minutes, oracle7 a dit :

Au cas où , dans mon fichier .ovpn j'ai directement : remote srm.mondomaine.tld 1194

C'est-à-dire ? Quand tu récupères le .ovpn depuis le routeur, tu as directement ton nom de domaine dedans ??
Moi j'ai YOUR_SERVER_IP à la place XD

il y a 41 minutes, oracle7 a dit :

Regardes le man OpenVPN ici même si on apprend as grand chose à propos de comp-lzo.

N'oublies pas que la version OpenVPN sur Synology est en retard de version. Donc peut-être aussi normal que Tubnelblick gu...le, non ?

J'ai regardé, donc mieux vaut ne pas activer cette option... mais elle n'est pas présente dans le fichier ovpn...
Et je ne la vois pas dans le serveur...

Donc on verra avec la future nouvelle version de SRM si on a droit à une MAJ là dessus...

 

Sinon, faut que je demande à Synology pourquoi SSL VPN ne fonctionne plus sur mon mac, alors que ça marche sur mon iphone...

[oracle7]

@MilesTEG1

Bonjour,

il y a 17 minutes, MilesTEG1 a dit :

C'est-à-dire ? Quand tu récupères le .ovpn depuis le routeur, tu as directement ton nom de domaine dedans ??
Moi j'ai YOUR_SERVER_IP à la place XD

Non c'est moi qui modifie dans ce sens mon fichier .ovpn extrait du routeur.

Il y a du y avoir quand des màj dans OpenVPN sous DSM7 car sous DSM6 il me semble bien que l'instruction est générée (en tous cachez moi).

Cordialement

oracle7😉

 

Modifié le 1 février 2022 par oracle7

[MilesTEG1]

Haaaa !!! Ça y est, j'ai trouvé pourquoi !!! Et corrigé le soucis !

En fait, j'avais désactivé l'IPv6 sur la connexion wifi et ethernet (via adaptateur) après ma dernière installation de macOS (qui remonte à longtemps 😮 ), mais sur la connexion USB-iPhone, et sur la VPN L2TP c'était pas le cas...

Bref, j'ai désactiver l'IPv6 et maintenant SSL VPN fonctionne sur mon mac 😄

 

 

PS : pour désactiver IPv6 :

• Lister les connexion : networksetup -listallnetworkservices
• Désactiver l'IPv6 sur les interfaces voulue avec la commande :
  networksetup -setv6off Ethernet
networksetup -setv6off "Thunderbolt Ethernet"

Pour réactiver l'IPv6, remplacer -setv6off par -setv6automatic dans les commandes précédentes.

 

Ensuite, toujours avec mes tests VPN 😄
En L2TP, et en OpenVPN; je n'arrive toujours pas à accéder à l'IP du routeur.
Mais, avec SSL VPN, là par contre, oui ça passe !!!! Yeahh !

mais je comprends pas pourquoi ça ne passe pas avec L2TP ni avec OpenVPN, alors qu'avec ces deux, les autres IP sont joignables...

 

il y a 8 minutes, oracle7 a dit :

Il y a du y avoir quand des màj dans OpenVPN sous DSM7 car sous DSM6 il me semble bien que l'instruction est générée (en tous cachez moi).

Possible, mais là le serveur vpn est sur le routeur 😉 Je n'utilise plus celui du NAS...

 

 

Me reste un dernier truc à régler, c'est l'OpenVPN depuis l'iPhone, qui ne fonctionne toujours pas...

La suite au prochain message 😄

Bonne soirée à tous 🙂 et merci pour votre aide 😉 

[oracle7]

@MilesTEG1

Bonjour,

il y a 10 minutes, MilesTEG1 a dit :

Possible, mais là le serveur vpn est sur le routeur 😉 Je n'utilise plus celui du NAS...

Je n'utilise pas le serveur VPN du NAS mais celui du routeur comme toi (VPN SSL et OpenVPN). Donc j'ai dit une co...ie, oups 🤪 Bon aller au lit, il est temps ...🤣

Cordialement

oracle7😉