La Fibre
Fournisseurs d'accès à Internet fixe en France métropolitaine => Free => Installation fibre Free => Discussion démarrée par: kaloute1 le 19 août 2020 à 20:07:43
-
Bonjour,
J'ai un thermostat wifi.
Il est connecté au réseau de la maison mais impossible de le commander de l’extérieure car je ne peux rediriger son IP vers le port 80 ayant la plage (ports 49152-65535)
Comment faire sans demander une IP fixe V4 full-stack
Merci pour votre aide.
-
sur ton compte client tu peux demander un ip v4 full stack
-
Oui j'ai bien vu ... c'est donc la seule solution, passer en IP fixe V4 full-stack pour pouvoir rediriger le port 80 ?
-
Oui.
-
Si ton appli le permet, tu modifies le port et tu rediriges ce port vers le 80.
par exemple 49160 en extérieur tu te connectes sur ta box en spécifiant le 49160
Dans la section NAT de ta box, tu diriges le port externe 49160 vers le 80 de l'IP de ton thermostat.
Mais autant demander le full stack !
-
On parle de la sécurité ou pas d'avoir un thermostat directement joignable depuis l'extérieur ? Ce ne sont pas des systèmes très sécurisés....
-
Comment peux-tu affirmer cela ?
Certainement qu'il embarque un mini serveur web avec login et mdp
-
La full stack est un dû inaliénable d'un fournisseur d'accès.
Free paye votre IPV4 et tout vos ports avec votre fric que vous donnez rubis sur l'ongle, il n'est pas normal que vous ayez a rediriger quoi que ce soit par obligation.
-
Hello,
Je confirme que la seule solution (qui est proposée par Lucien) pour faire fonctionner la chose sans demander l'IP full stack est de faire une redirection de port, mais (comme lui) je ne sais pas si la freebox a cette fonctionnalité...
En gros le réglage est le suivant : le port externe est dans la plage autorisée (du style 55555), et le port interne est le port 80 avec l'ip locale du thermostat (en 192.168.x.x)
De cette manière, de l'exterieur, il suffira de taper dans le navigateur "http://adresse_ip_freebox:55555" et cela se connectera sur le thermostat directement...
-
Bien sûr que la Freebox a la possibilité de nater les ports.
D'ailleurs, même en full stack, il faudra diriger le port 80 externe vers le port 80 de l'IP du thermostat
-
Bonjour et merci pour votre aide.
J'ai redirigé le port et cela fonctionne à partir d'un navigateur mais impossible via l'application du thermostat sur smartphone.
Je dois oublier quelque chose ... mais quoi !
Lorsque j'étais chez orange sur l'application mobile je renseigné juste l'adresse IP de la box et cela fonctionné.
Là dans le champs LAN IP en ne renseignant que l'IP ça ne fonctionne pas ni en rajoutant le port ! (Voir photo ci-dessous)
-
Là dans le champs LAN IP en ne renseignant que l'IP ça ne fonctionne pas ni en rajoutant le port ! (Voir photo ci-dessous)
peut être que l'appli ne gère pas l'ajout de port juste comme çà au bout..
Tu te prends la tête pour rien je trouve, tu prends une IP "complète" (aka FullStack chez Free) et voilà c'est réglé en 5 sec..
-
Moé en effet je me prends la tète .... mais j'aime savoir pourquoi ca fonctionne pas ! :-)
-
Bonjour,
Non, tu n'oublies rien, encore une application codée avec les pieds.
Te restes plus qu'à demander la full stack pour utiliser l'application
-
Merci ... je pense que c'est la solution en effet.
Merci pour votre aide.
;)
-
comme dit à 99,99% l'appli ne comprends pas 88.xxx.yyy.zzz:49125 du coup elle tente 88.xxx.yyy.zzz:80 ..
-
Comment peux-tu affirmer cela ?
Certainement qu'il embarque un mini serveur web avec login et mdp
La question est de savoir si il a les capacité de se mettre à jour contre les failles de sécurité et se défendre face a différents types d'attaque.
Au passage une question ton thermostat wifi gère l'IPv6 ?
-
C'est un "vieux" thermostat wifi (Heatmiser) ... Il n'y a jamais eu de MAJ je pense .. mais il fonctionne :)
Je suis passé en IP fixe V4 full-stack
;)
-
La question est de savoir si il a les capacité de se mettre à jour contre les failles de sécurité et se défendre face a différents types d'attaque.
La question était surtout de connaitre le matériel avant d'écrire
On parle de la sécurité ou pas d'avoir un thermostat directement joignable depuis l'extérieur ? Ce ne sont pas des systèmes très sécurisés....
-
Si il date de 2012 et qu'il n'a eu aucune mise à jour, il risque d'être "trouable" facilement ... peut être avec shellshock ..
La question était surtout de connaitre le matériel avant d'écrire
Il y a des canéras IPs et autres petits trucs du genre qui ont été utilisés pour des DDOS..
Un thermostat peut largement être utilisé pour participer à une attaque
https://www.lemondeinformatique.fr/actualites/lire-des-cameras-ip-chinoises-a-l-origine-de-la-gigantesque-attaque-ddos-66311.html
https://www.lesnumeriques.com/vie-du-net/attaque-ddos-botnet-cameras-securite-lache-1-tb-s-contre-ovh-n56187.html
-
Quand je vois que j'ai actuellement 1400 adresses IP bloquées par fail2ban pour des tentatives de connexions sur mon serveur SSH, perso je ne me risquerais pas à mettre un truc pas mis à jour depuis 8 ans accessible depuis l'extérieur, sans aucun chiffrement (même le mot de passe, ou son hash circule en clair, et il n'y a probablement aucun mécanisme anti rejeu), d'autant plus sur le port HTTP par défaut, sans doute l'un des plus scannés...
Dans quelques jours, ton port 80 ouvert sera probablement indexé par shodan.io et visible par tous les attaquants potentiels.
-
Oui, je suis d'accord, mais je reste sur ma position, avant d'écrire tout et n'importe quoi, il faut avoir les bonnes infos.
-
https://cybergibbons.com/security-2/heatmiser-wifi-thermostat-vulnerabilities/
https://www.exploit-db.com/exploits/45623
(exploit testé et semble fonctionnel, bien que je n'ai pas essayé de me connecter effectivement au thermostat avec le login/pwd obtenu). Franchement je déconseille FORTEMENT d'exposer ce thermostat sur Internet.
-
je pense qu'UDP n'est pas le seul protocole requis pour que l'accès fonctionne. Je dirais de rajouter une ligne similaire avec tcp (voire d'autres protocoles si ça bug toujours), pour que cela marche. C'est en tout cas une solution pour protéger le port 80 qui va dans tous les cas être scanné activement.
edit : en effet ça a l'air dangereux de le mettre en public sur Internet
-
Qui a parlé d'UDP ?
Le thermostat est accessible en TCP sur le port 80, voir 8081/8083.
-
La règle c'est ce qui est connecté directement à Internet doit recevoir des mises à jour de sécurité régulièrement.
Les équipements pour une raison ou une autre ne reçoivent pas de mise à jour de sécurité devraient être accessible uniquement via un équipement tiers.
Par exemple si tu as un Raspberry Pi, il est possible d'exposer SSH de ce Raspberry Pi sur Internet et d'utiliser la commande SSH (elle est même dispo sous Windows 10 maintenant) pour te connecter à ton thermostat à distance.
Exemple :
ssh -p 522 -L 80:192.168.0.10:80 login@mon_ip_publique
522 : le port où Raspberry Pi écoute avec SSH (éviter le port 22 par défaut)
login : le login sur ton Raspberry Pi
192.168.0.10 : IPv4 de ton thermostat
mon_ip_publique : IPv4 publique de ta box internet
il faudra te rendre sur http://127.0.0.1/ pour accéder à ton thermostat hors de chez toi (après avoir passé la commande SSH)
-
il faudra te rendre sur http://127.0.0.1/ pour accéder à ton thermostat hors de chez toi (après avoir passé la commande SSH)
Le tunnel SSH permanent est automatisable sous Windows avec une appli de mapping comme Bitvise SSH Client par exemple.
-
pour du vieux matos avec l'https troué et pas de mise à jour possible, j'ai tout remis en http port 80 et j'ai mis un reverse proxy https nginx en frontal avec certificats lessencrypt.
-
olppp tu détaille la configuration ?
Tu as donc une première authentification sur nginx et une seconde sur le matériel troué ?
-
non la redirection est en http. le reverse proxy fait aussi de la redirection ipv6 vers ipv4 pour vieux truc pas v6.
server {
server_name dibule.example.info;
# access_log /var/log/nginx/dibule.example.info.log main;
location ~* / {
proxy_pass http://192.168.1.99;
# proxy_redirect http://192.168.1.99 https://dibule.example.info;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Host $host:$server_port;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_hide_header Referer;
proxy_hide_header Origin;
proxy_set_header Referer '';
proxy_set_header Origin '';
}
listen [::]:443 ssl ; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/dibule.example.info/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/dibule.example.info/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
}
server {
if ($host = dibule.example.info) {
return 301 https://$host$request_uri;
} # managed by Certbot
listen 80 ;
listen [::]:80 ;
server_name dibule.example.info;
return 404; # managed by Certbot
}
L'authentification sur dibule est un simple username/password.
Le serveur nginx tourne sur une carte arm64 Orange Pi PC2.
La famille des dibules est référencée au niveau dns par des CNAME qui pointe vers le serveur nginx qui lui a seulement un AAAA.