ds918+ Reverse proxy inaccessible en local et NAS inaccessible à distance depuis installation d'un routeur Mesh

[Babou57]

Bonjour à tous.

Dans le but d'améliorer la couverture réseau de mon domicile, j'ai investis dans un routeur mesh TP-link Deco X90.
Avant mon NAS DS 918+ était connecté directement à la box de mon opérateur SFR.
J'avais posté un sujet ici car SFR avait supprimé le NAT de l'IPV4, m'obligeant à configurer le tout en IPV6.

https://www.nas-forum.com/forum/topic/74860-accès-impossible-au-nas-via-vpn-server-après-migration-ipv4-vers-ipv6/

A la fin, tout fonctionnait. J'avais accès aux applications via reverse proxy et je pouvais me connecte au NAS via OpenVPN.
Mais depuis que j'ai connecté le routeur après ma box et connecté le NAS dessus, j'ai juste réussi à me connecter à DSM en local (en changeant les règles du pare-feu Synology et en autorisant les adresses IP du routeur.

J'ai activé l'IPV6 sur le routeur et sur ma box. J'ai donné une IP fixe au routeur sur la box et au NAS sur le routeur.
J'ai configuré le pare feu IPV6 de la box pour ouvrir les ports du reverse proxy et du VPN sur le routeur et le pare feu IPV6 du routeur pour ouvrir ces mêmes ports sur le NAS.
Je ne m'y connais pas beaucoup en réseau et je pense que j'ai mal configuré le routeur ou le NAS, ou les deux.
Pour le reste j'ai laissé l'IPV4 de l'interface réseau du NAS en statique avec la même adresse que celle que j'ai configuré dans le routeur pour le NAS et l'IPV6 laissé en auto.

Dans le routeur, pour l'IPV6, on me propose ces options: IP dynamique / PPPoE / Tunnel 6 à 4 / pont
Pour le type assigné on me propose: ND Proxy / SLAAC + DHCP sans état / DHCPv6 / SLAAC + RDNSS

J'ai choisi IP dynamique et SLAAC + RDNSS.

A votre avis pourquoi je ne peux plus accéder aux applications en local via reverse proxy et au NAS à distance en général?

Merci à vous

[Babou57]

Je remets une pièce dans la machine.

En ouvrant les ports pour l'adresse IP du NAS et du routeur dans ma box, ça ne fonctionne toujours pas.
Je suis à court d'idées.

Quelqu'un peut m'éclairer?

Merci,

[PiwiLAbruti]

J'ai une question simple pour mieux comprendre ton environnement (cette question va orienter la façon dont je pourrais t'aider) :

Pour quelle(s) raison(s) as-tu investi dans ce routeur TP-Link ?

[maxou56]

Le 28/06/2022 à 11:28, Babou57 a dit :

Dans le but d'améliorer la couverture réseau de mon domicile, j'ai investis dans un routeur mesh TP-link Deco X90.

Bonsoir,

Si c'est juste pour avoir un meilleur wifi, tu dois pouvoir mettre ton routeur MESH en mode point d'accès (= mode pont ou bridge) plutôt qu'en mode routeur.

Comme ça tu n'auras qu'un seul réseau géré par ta Box.

https://www.tp-link.com/fr/support/faq/1842/

Modifié le 29 juin 2022 par maxou56

[Babou57]

Il y a 14 heures, PiwiLAbruti a dit :

J'ai une question simple pour mieux comprendre ton environnement (cette question va orienter la façon dont je pourrais t'aider) :

Pour quelle(s) raison(s) as-tu investi dans ce routeur TP-Link ?

Bonjour Piwi.

J'ai une maison à étage et la Box internet au rez de chaussée. La couverture Wifi à l'étage était exécrable. Aucun répéteur wifi ne réglait le problème.
De plus j'ai un abonnement fibre à 1Gbps. Je voulais donc améliorer la couverture Wi-fi dans la maison tout en améliorant les débits internet avec un routeur wifi 6.

Il y a 12 heures, maxou56 a dit :

Bonsoir,

Si c'est juste pour avoir un meilleur wifi, tu dois pouvoir mettre ton routeur MESH en mode point d'accès (= mode pont ou bridge) plutôt qu'en mode routeur.

Comme ça tu n'auras qu'un seul réseau géré par ta Box.

https://www.tp-link.com/fr/support/faq/1842/

J'ai remarqué en effet qu'on pouvait passer de routeur à point d'accès mais c'est déconseillé dans la notice car on perdrait les avantages du MESH.
Je ne sais pas trop bien en quoi.
En tout cas, même configuré en routeur, je devrais pouvoir accéder à mon NAS...
Il n'y aurait pas possibilité de donner tous les pouvoirs au routeur TP-Link et de ne se servir de la box uniquement comme un boitier qui donne la fibre au routeur?
Histoire de ne gérer que le réseau géré par le routeur MESH.

 

Merci à vous

[PiwiLAbruti]

La fonctionnalité routeur n'est donc d'aucune utilité pour ton besoin (c'était l'objectif de ma question initiale).

Il n'y a aucune raison technique pour que le MESH ne fonctionne plus si on configure le routeur en mode point d'accès. D'ailleurs TP-Link indique que seuls les fonctionnalités propres au routeur sont désactivées :

Citation

Change the operating mode

Note: When the Deco works in Access Point mode, advanced features such as HomeShield, IPv4, Address Reservation, Port Forwarding, and DHCP server are not available.

Source : https://static.tp-link.com/2020/202011/20201126/1910012843_Deco X90&Deco X5700_UG_V1.pdf#page=24

il y a 12 minutes, Babou57 a dit :

En tout cas, même configuré en routeur, je devrais pouvoir accéder à mon NAS...

À moins d'avoir des contraintes particulières, il n'y a aucune raison de s'embêter avec deux routeurs (deux passerelles NAT). Pour que le réseau du deuxième soit accessible depuis celui de la box, il faut renseigner une règle de routage dans la box (quand c'est possible) pour que ça fonctionne. Cela ne concerne que IPv4, c'est différent en IPv6 qui utilise une délégation de préfixe.

il y a 17 minutes, Babou57 a dit :

Il n'y aurait pas possibilité de donner tous les pouvoirs au routeur TP-Link et de ne se servir de la box uniquement comme un boitier qui donne la fibre au routeur?
Histoire de ne gérer que le réseau géré par le routeur MESH.

L'idéal serait de pouvoir brancher l'ONT (s'il y en a un) directement sur le routeur, ou que la box SFR supporte le mode bridge (à vérifier). Mais cela implique la perte des service TV si le routeur placé derrière n'est pas correctement configuré. Il y a tout un tas d'info à ce sujet sur https://lafibre.info/remplacer-sfr/. Mais à moins d'avoir déjà un peu d'expérience en réseau informatique, je ne peux que te déconseiller de remplacer la box.

Bref, configurer le routeur en mode point d'accès est de loin la solution la plus simple et efficace.

[Babou57]

Merci Piwi,

Du coup, en configurant le routeur en point d'accès, je garderai la même couverture et les mêmes débits d'après toi?
J'ai connecté tous mes appareils au réseau du MESH. J'espère que je ne vais pas devoir tout refaire...
Je n'ai pas de box internet TV, uniquement le téléphone fixe. J'utilise une Nvidia Shield avec un abonnement à Mycanal pour la TV.
Je pense que c'est possible de raccorder le routeur à l'ONT directement mais je perdrai le téléphone fixe.

Du coup le NAS resterait relié au routeur MESH ou à la box internet directement, en mode point d'accès?
J'essaierai ça ce soir.

Merci beaucoup!

[PiwiLAbruti]

il y a une heure, Babou57 a dit :

Du coup, en configurant le routeur en point d'accès, je garderai la même couverture et les mêmes débits d'après toi?

Que le TP-Link soit configuré en mode routeur ou point d'accès ne change rien au Wi-Fi ni aux débits.

Il y a 1 heure, Babou57 a dit :

Du coup le NAS resterait relié au routeur MESH ou à la box internet directement, en mode point d'accès?

Il faut tester pour voir si le TP-Link met ses deux ports RJ45 en bridge lorsqu'il est configuré en mode point d'accès. Sinon il faudra nécessairement brancher le NAS sur un switch (celui de la box ou un autre placé ailleurs sur le réseau). Je préconise la deuxième solution.

[Babou57]

Il y a 22 heures, PiwiLAbruti a dit :

Que le TP-Link soit configuré en mode routeur ou point d'accès ne change rien au Wi-Fi ni aux débits.

Il faut tester pour voir si le TP-Link met ses deux ports RJ45 en bridge lorsqu'il est configuré en mode point d'accès. Sinon il faudra nécessairement brancher le NAS sur un switch (celui de la box ou un autre placé ailleurs sur le réseau). Je préconise la deuxième solution.

Merci à toi pour ces précisions.
Bon ça ne m'arrange pas des masses parce que je souhaite garder ma configuration en IPV4 du routeur mesh pour mes appareils (si jamais je change d'opérateur au moins j'aurais pas tout à refaire)
Du coup j'ai essayé d'activer le DMZ de la box. Le soucis c'est que je ne peux pas donner une IPV6 fixe au routeur mesh. Donc ça tombe à l'eau.
J'ai trouvé dans la configuration de l'IPV6 du routeur qu'on pouvait la passer en mode Bridge (le mode pont marqué plus haut)
En faisant ça, je garde toute la partie IPV4, seule la partie IPV6 est gérée par la box j'ai l'impression.
J'ai alors essayé d'accéder au NAS, connecté au port RJ45 du routeur mesh mais rien à faire. J'ai donc connecté le NAS au RJ45 de la box comme avant... ça refonctionne.
J'ai tenté aussi de connecter directement le routeur mesh à l'ONT mais ça ne fonctionne pas (je pense qu'il faut impérativement que je garde la partie modem de la box)

Autre intérêt d'avoir passer l'IPV6 du routeur mesh en bridge: Sur ma box TV Nvidia shield, certaines applications comme amazon prime ou disney + ne fonctionnaient plus car elles mettaient trop de temps à se connecter.
Depuis, c'est résolu ça refonctionne.
Mais c'est tout de même embêtant de ne pas pouvoir utiliser le DMZ de la Box pour laisser le NAS connecté au routeur.

Merci à vous en tout cas 🙂

[PiwiLAbruti]

Du coup quel est le mode de fonctionnement du TP-Link ?

[Babou57]

il y a une heure, PiwiLAbruti a dit :

Du coup quel est le mode de fonctionnement du TP-Link ?

Il est toujours en mode routeur. Mais il est en bridge pou l'IPV6.
J'aurais préféré faire un DMZ sur la box et donner carte blanche au tp link mais bon...
C'est quand même dingue qu'on ne puisse pas lui attribuer une IPv6 Statique

[Babou57]

Finalement en reconnectant le NAS au port RJ45 du routeur et non de la box, ça fonctionne aussi.
Il y a bien un mode bridge uniquement sur l'IPV6. c'est plutôt pas mal, ça me convient.

Par contre j'ai toujours un soucis d'accès au NAS quand je suis chez ma compagne.
Je peux y accéder avec mon téléphone (via reverse proxy et VPN) mais impossible via un ordinateur.

Est-ce dû au fait que, ma box SFR ne me donnant plus la possibilité de faire du NAT en IPV4, mon téléphone se connecte en IPV6 et donc ça fonctionne mais mes ordinateurs chez elle se connectent en IPV4 et donc ça ne fonctionne plus? J'ai lu ça sur un forum.

https://la-communaute.sfr.fr/t5/installation-et-paramétrage/nas-box-nb6vac-pas-d-accès-externe/td-p/2355870

"Ce que j'ai voulu évoquer c'est que durant toutes les années que prendra la transition de IPv4 vers IPv6, il y aura 2 types de connexions vers ta box :

1. celles qui proviennent d'IPv4 (l'écrasante majorité encore aujourd'hui)
2. celles qui proviennent d'IPv6 (quelques-unes, et souvent celle provenant d'un smartphone sur réseau mobile par exemple qui sont souvent organisé en réseau IPv6)

• Pour le cas 2 (comme évoqué sur mon premier lien plus haut) c'est purement en IPv6, et donc tu n'as plus besoin de redirection de ports : en effet, le client externe pourrait désigner ton NAS via son adresse personnelle que tu mettrais dans ton outil de DNS.
• Mais pour le cas 1 (l'essentiel des connexions externes à ce jour sans doute) ça reste en IPv4, donc masqué par l'intermédiaire de l'IPv4 publique de ta box, et cette dernière doit donc rediriger vers ton NAS "caché derrière car il n'a pas d'adresse IPv4 publique" : et la redirection de port en IPv4 est IMPOSSIBLE avec la box SFR une fois que l'abonné est en CGNAT"

Si c'est cela, comment résoudre le problème?

Merci

[Babou57]

Une idée?

[Babou57]

Bonjour à tous,

1 an après j'ai un peu avancé mais pas tant que ça.

J'ai configuré le routeur Mesh TPLink en mode point d'accès. Il est donc en mode pont et est transparent dans mon réseau local.
Mes services reverse proxy refonctionnent sur des appareils android uniquement. J'ai constaté que certains PC sous windows n'avaient pas le protocole IPV6 activé. ça a résolu une partie du problème.

Par contre je ne peux accéder au VPN que lorsque je suis connecté au même réseau que le NAS.
Depuis l'extérieur (avec une connexion 4G d'un téléphone par exemple et en partage de connexion), ça ne fonctionne pas.

Je désespère. Le DHCPv6 de la box est désactivé. J'ai donné une adresse IPV6 statique au NAS dans la box.
Dans le pare-feu de la box, le port OpenVPN est ouvert ainsi que ceux des autres services qui m'intéressent.
Dans le NAS, la connexion IPV6 est configurée sur DHCPv6-PD.
Dans le fichier de configuration OpenVPN j'ai renseigné l'adresse IPV6 du NAS après "remote"

A votre avis:

Pourquoi je ne peux pas accéder au reverse proxy sur les PC (en local ou en extérieur)?
Pourquoi je ne peux pas accéder au VPN à l'extérieur (android ou PC)?

Je pense au pare-feu du NAS: j'ai bien ouvert les ports correspondants mais pour une plage d'adresse IPV4. Faut-il configurer le pare-feu aussi pour des adresses IPV6?
Si oui, comment faire?

Merci pour votre aide

[.Shad.]

Le 19/06/2023 à 16:40, Babou57 a dit :

Je désespère. Le DHCPv6 de la box est désactivé. J'ai donné une adresse IPV6 statique au NAS dans la box.

Je ne comprends pas, soit tu configures ta box en mode adressage stateless (SLAAC), et le routeur se contentera de s'annoncer sur le réseau via router advertisement.
Les périphériques eux, créeront leur propre IPv6 basée sur le préfixe délégué et leur adresse MAC.

Soit tu la configures en DHCPv6, dans ce cas-là c'est semblable à IPv4, et c'est ta box qui va distribuer les IPv6 aux périphériques, pour lesquels tu pourras peut-être faire de la réservation d'IP suivant le DUID des périphériques (je ne sais pas ce que permet ta box).

Dans tous les cas, tu n'as pas à définir manuellement une IPv6 pour un périphérique ni pour ta box.

Pour l'accessibilité, en IPv6 comme dit dans le message que tu as cité plus haut, il n'y a plus besoin de NAT. Si tu veux accéder à ton NAS, alors il faut simplement créer une ou des règles d'accès au NAS dans le pare-feu de la box (et là encore je ne sais pas ce que permet ta box).

Je sais que je ne réponds pas vraiment à tes questions, mais en l'état c'est difficile à dire vu tous les paramètres qui peuvent influer.
On peut éventuellement regarder un soir en TeamViewer, MP moi avec tes dispos si ça t'intéresse.

[Babou57]

Merci beaucoup @.Shad. pour ton aide.

Voici le menu IPV6 de ma box.

on voit que le serveur DHCP v6 est sur Off.
Par contre j'ai pu donner une IPv6 statique au NAS
Le SLAAC est activé:
 

Et voici les règles du pare-feu IPV6 de la box:

J'ai configuré le pare-feu du NAS également (du temps où je pouvais encore me servir de l'IPV4) mais je me demande si je dois configurer quelque chose de différent pour l'IPV6..
En tout cas, je t'écris en MP pour qu'on puisse voir ça ensemble 🙂
Merci à toi!

[.Shad.]

@Babou57 Comme ça ça a l'air ok, j'attends ton MP pour qu'on convienne d'un créneau. 😉