Auteur Sujet: Ouverture de ports (« Pinhole ») IPv6 en UPnP sur Bbox (Lu 1395 fois)

NovHak · « **le:** 08 octobre 2023 à 22:59:32 »

Bonjour à tous !

Depuis un certain temps, j’essaye d’ouvrir certains ports en IPv6 vers une machine sur mon réseau local, sur la Bbox. En théorie, il est possible de le faire en UPnP, sauf que ça ne marche pas.

Je fais mes tentatives avec Miniupnpc. Après avoir tâtonné, j’ai fini par trouver la commande suivante qui est acceptée par la Box :

Code: [Sélectionner]

upnpc -6 -A '' '1-65535' <préfixe caché>:fa9d:82e1:3d51:1d0a 8080 tcp 86400
La difficulté a été de trouver quoi envoyer à la box pour spécifier que tous les ports sources sont autorisés, ni * ni 0 n’étant acceptés, mais 1-65535 est passé sans erreur.

Cependant, ça bloque toujours. J’ai tenté deux services de test de port à distance, Port.Tools et IPV6 Scanner, mais le premier me renvoie Resource temporarily unavailable et le second me retourne Filtered, donc ce n’est pas ouvert.

Je précise que je n’ai pas d’accès administratif à la Box (je partage la connexion avec une voisine qui est l’abonnée officielle, la box est chez elle), mais il me semble qu’il n’y a pas besoin, si l’ouverture de port est possible via UPnP.

Quelqu’un a-t-il déjà réussi à ouvrir des ports en IPv6 sur sa Bbox par ce moyen ? Est-ce la commande que j’ai tapée qui ne convient pas ? Peut-être une mauvaise spécification de la plage de ports sources ?

kgersen · « **Réponse #1 le:** 09 octobre 2023 à 01:55:21 »

ca m'a l'air assez buggé suivant la version de la bbox...

"upnpc -6 -L" fonctionne et affiche bien ta règle ajoutée ?

si tu as curl et jq (curl.exe sur Windows pas 'curl' tout court):

Code: [Sélectionner]

curl -s https://mabbox.bytel.fr/api/v1/upnp/igd/rules | jq

est-ce que ta règle ajoutée apparait ?
(ces 2 requetes sur l'api de bbox n'ont pas besoin d'authentification, voir la doc)

tu peux voir la version de la bbox avec :

Code: [Sélectionner]

curl -s https://mabbox.bytel.fr/api/v1/device | jq .[0].device.main
si "mabbox.bytel.fr" n'existe pas c'est que tu n'utilise pas la bbox comme serveur dns dans ce cas il faut ajouter a curl: -k -H "Host: mabbox.bytel.fr" et utiliser l'ip en dur:

Code: [Sélectionner]

curl -s -k -H "Host: mabbox.bytel.fr" https://ip_de_la_bbox/api/v1/device
J'ai la "23.0.16" et je n'arrive pas ouvrir avec upnp v2. Mais via l'interface web ca fonctionne mais les règles IPv6 ne sont pas visible par l'api ou "upnpc -6 -L".

NovHak · « **Réponse #2 le:** 09 octobre 2023 à 07:44:34 »

Salut @kgersen, et merci de ta réponse !

La requête curl passe bien, le nom est résolu mais il n’y a rien en retour. En retirant l’option -s, je vois le message d’erreur suivant :

Code: [Sélectionner]

curl: (35) OpenSSL/3.0.8: error:0A00018A:SSL routines::dh key too small
Le certificat de la box est considéré comme non sûr par OpenSSL, j’ai donc ajouté --ciphers 'DEFAULT@SECLEVEL=1' à curl, il n’y a plus de message d’erreur. Des règles s’affichent bien, mais uniquement les redirections, pas les ouvertures de port (pinholes). Pareil avec upnpc -6 -L, seules les redirections sont affichées. Cela dit rien d’anormal ici, aussi bien dans la doc de l’API Bouygues que dans celle d’upnpc, les ouvertures de port, qui ne sont pas des règles de NAT, ne sont pas censées être affichées.

La version de la box est 22.3.22.

kgersen · « **Réponse #3 le:** 09 octobre 2023 à 14:52:11 »

-k suffit pour que curl ignore le certificat.

Quoiqu'il en soit, quand on ouvre via l'interface web cela fonctionne quand on trouve via upnpc bien qu'on recoive un ID , ca ne fonctionne pas. Y'a bien un souci avec upnp en IPv6 (et pas que celui la).

NovHak · « **Réponse #4 le:** 10 octobre 2023 à 01:35:10 »

J’ai essayé -k en premier mais ça ne changeait rien, c’est OpenSSL qui bloque, pas curl.

Enfin bref je vais peut-être finir par demander un accès à cette box, qui n’est pas dans la version la plus récente…