Auteur Sujet: Aide pour redirection de port - OPENWRT  (Lu 2329 fois)

0 Membres et 1 Invité sur ce sujet

Stephanos

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 5
Aide pour redirection de port - OPENWRT
« le: 07 septembre 2021 à 15:47:51 »
Bonjour,

Par avance merci pour l'aide :)
J'utilise en bypass de ma box fibre SFR FTTH un Xiaomi sous OPENWRT  21.02.
Je n'utilise que le net donc les modifs sur OpenWrt pour obtenir le téléphone et la TV n'ont pas été effectuées.
Le wifi et le LAN fonctionnent très bien.

J'ai un serveur Web et je souhaite à présent ouvrir et rediriger sur le routeur le port 80. Ça parait simple mais je n'y arrive pas :(
Je fais les tests avec : https://www.yougetsignal.com/tools/open-ports/

J'ai mis en statique l'adresse de mon serveur web 192.168.1.188.
la seule modif au firewall et donc l'ajout suivant :
config redirect
        option target 'DNAT'
        option name 'HTTP Server'
        option src 'wan'
        option src_dport '80'
        option dest 'lan'
        option dest_ip '192.168.1.188'
        option dest_port '80'

/ETC/CONFIG/NETWORK
config interface 'loopback'
        option device 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option packet_steering '1'
        option ula_prefix 'fdc2:661e:541e::/48'

config device
        option name 'br-lan'
        option type 'bridge'
        list ports 'lan1'
        list ports 'lan2'
        list ports 'lan3'

config interface 'lan'
        option device 'br-lan'
        option proto 'static'
        option ipaddr '192.168.1.1'
        option netmask '255.255.255.0'
        option ip6assign '60'

config interface 'wan'
        option device 'wan'
        option proto 'dhcp'
        option vendorid 'neufbox_NB6V-XXXXXXXXXX'
        option peerdns '0'
        list dns '1.1.1.1'
        list dns '1.0.0.1'

config interface 'wan6'
        option device 'wan'
        option proto 'dhcpv6'
        option reqaddress 'try'
        option reqprefix 'auto'
        option peerdns '0'
        list dns '2606:4700:4700::1111'
        list dns '2606:4700:4700::1001'

/ETC/CONFIG/FIREWALL
config defaults
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option synflood_protect '1'

config zone
        option name 'lan'
        list network 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'

config zone
        option name 'wan'
        list network 'wan'
        list network 'wan6'
        option input 'REJECT'
        option output 'ACCEPT'
        option masq '1'
        option mtu_fix '1'
        option forward 'REJECT'

config forwarding
        option src 'lan'
        option dest 'wan'

config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'

config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-IGMP'
        option src 'wan'
        option proto 'igmp'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-DHCPv6'
        option src 'wan'
        option proto 'udp'
        option src_ip 'fc00::/6'
        option dest_ip 'fc00::/6'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-MLD'
        option src 'wan'
        option proto 'icmp'
        option src_ip 'fe80::/10'
        list icmp_type '130/0'
        list icmp_type '131/0'
        list icmp_type '132/0'
        list icmp_type '143/0'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Input'
        option src 'wan'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Forward'
        option src 'wan'
        option dest '*'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-IPSec-ESP'
        option src 'wan'
        option dest 'lan'
        option proto 'esp'
        option target 'ACCEPT'

config rule
        option name 'Allow-ISAKMP'
        option src 'wan'
        option dest 'lan'
        option dest_port '500'
        option proto 'udp'
        option target 'ACCEPT'

config rule
        option name 'Support-UDP-Traceroute'
        option src 'wan'
        option dest_port '33434:33689'
        option proto 'udp'
        option family 'ipv4'
        option target 'REJECT'
        option enabled '0'

config include
        option path '/etc/firewall.user'

config include 'miniupnpd'
        option type 'script'
        option path '/usr/share/miniupnpd/firewall.include'
        option family 'any'
        option reload '1'

config redirect
        option target 'DNAT'
        option name 'HTTP Server'
        option src 'wan'
        option src_dport '80'
        option dest 'lan'
        option dest_ip '192.168.1.188'
        option dest_port '80'

yeocti

  • Abonné Bbox fibre
  • *
  • Messages: 53
  • Plougastel-Daoulas (29)
Aide pour redirection de port - OPENWRT
« Réponse #1 le: 08 septembre 2021 à 21:58:31 »
Bonsoir,

La box SFR est bien en mode bridge ?
Il y a une DMZ configurée dessus ?

Si non, il est nécessaire de configurer la box SFR aussi. De préférence en bridge.
Si pas possible, une DMZ vers l'ip du routeur ou une simple redirection du port 80, toujours vers l'ip du routeur.

Stephanos

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 5
Aide pour redirection de port - OPENWRT
« Réponse #2 le: 08 septembre 2021 à 23:40:59 »
Hello yeocti :)

Je n'ai plus de box, je suis branché direction sur l'ONT.

yeocti

  • Abonné Bbox fibre
  • *
  • Messages: 53
  • Plougastel-Daoulas (29)
Aide pour redirection de port - OPENWRT
« Réponse #3 le: 09 septembre 2021 à 08:25:42 »
Ah d'accord, je n'avais pas compris que c'était comme ça.

J'ai testé la configuration sur mon Openwrt, la section que tu as ajouté est correcte et se suffit à elle-même s'il n'y a pas eu d'autres changements.

Je pense que tu as déjà testé, mais le serveur est bien accessible en local ?
Du côté SFR, tu as une IP fixe ? pas de CGNAT qui ferait que le port 80 ne pointe pas chez toi ?

Stephanos

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 5
Aide pour redirection de port - OPENWRT
« Réponse #4 le: 09 septembre 2021 à 11:32:40 »
Hello,

J’accède bien au serveur en local avec son adresse IP ( 192.168... ).

Pour l'IP , le site http://www.mon-ip.com/ip-dynamique.php m'indique qu'elle est fixe. Je ne sais pas si c'est vraiment le cas, et s'il n'y a pas une histoire d'IP partagé chez RED SFR.
Avant mon changement d'opérateur, je n'avais aucun soucis d’accès. J'utilisais et j'utilise toujours un service Dyndns.

Pour le CGNAT, désolé ça dépasse mes compétence, je ne sais pas du tout ce que c'est :/
Comment puis-je savoir?

Merci :)
 

zoc

  • Abonné Orange Fibre
  • *
  • Messages: 3 796
  • Antibes (06)
Aide pour redirection de port - OPENWRT
« Réponse #5 le: 09 septembre 2021 à 12:29:59 »
Pour le CGNAT, désolé ça dépasse mes compétence, je ne sais pas du tout ce que c'est :/
L’adresse IP de l’interface WAN du routeur est-elle la même que celle visible sur http://ip.lafibre.info ?

Si la réponse est non, alors tu es probablement derrière du CGNAT et il sera donc impossible de configurer des redirections de ports.

Stephanos

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 5
Aide pour redirection de port - OPENWRT
« Réponse #6 le: 09 septembre 2021 à 17:24:52 »
Salut Zoc,

Citer
L’adresse IP de l’interface WAN du routeur est-elle la même que celle visible sur http://ip.lafibre.info ?

J'ai l'impression que non. Dans OpenWrt voilà ce que j'ai :

Network
IPv4 Upstream
Protocol: DHCP client
Address: 10.XXX.XX.XX/31
Gateway: 10.XXX.xX.45
DNS 1: 1.1.1.1
DNS 2: 1.0.0.1
Expires: 0h 3m 7s
Connected: 2h 16m 53s
Device: Switch port: "wan"
MAC address: xx:xx:xx:xx:xx:xx

Alors que Ip.lafibre.info me donne :
Quelle est mon adresse IPv4 / IPv6 publique ?
Connectivité IP :    Bienvenue dans l’internet du futur !

    Connectivité IPv4 (via requête DNS) OK : IPv4 publique = 81.xxx.xx.2xx
    Connectivité IPv4 (via IPv4 littérale) inconnue (réalisez le test en http pour avoir la réponse)
    Connectivité IPv6 (via requête DNS) OK : IPv6 publique = 2a02:xxxxxxxxxxxxxxxxxxxxxxxxx:7658
    La version du protocole IP utilisée par défaut est IPv6

Reverse DNS :

    Reverse DNS IPv4 est ip-224.net-81-220-10.versailles.rev.numericable.fr
    Reverse DNS IPv6 : 2a02-842a-82e5-7600-7487-a5a4-f377-7658.rev.sfr.net

D'ailleurs est-ce normal que les  Reverse Dns soient ceux de SFR malgré les modifs dans OpenWrt ( 1.1.1.1 ) ?

Merci
« Modifié: 09 septembre 2021 à 18:05:33 par Stephanos »

zoc

  • Abonné Orange Fibre
  • *
  • Messages: 3 796
  • Antibes (06)
Aide pour redirection de port - OPENWRT
« Réponse #7 le: 09 septembre 2021 à 18:43:17 »
Ok, adresse privée sur le wan (10.x.x.x), donc CGNAT, comme les mobiles, impossible d’ouvrir des ports en IPv4.

Stephanos

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 5
Aide pour redirection de port - OPENWRT
« Réponse #8 le: 09 septembre 2021 à 22:18:23 »
Ok, adresse privée sur le wan (10.x.x.x), donc CGNAT, comme les mobiles, impossible d’ouvrir des ports en IPv4.

Salut Zoc,

Waouh, c'est juste fou. Aucun client fibre Red Sfr ne fait donc de redirection de port ?
Ca me parait juste incroyable.
Il n'y a rien à faire côté matériel, la seule solution est donc le changement de FAI ?

Merci

zoc

  • Abonné Orange Fibre
  • *
  • Messages: 3 796
  • Antibes (06)
Aide pour redirection de port - OPENWRT
« Réponse #9 le: 10 septembre 2021 à 13:02:57 »
Tout le monde n’est pas en CGNAT pour l’instant. A priori : ancien client avec des redirection dans la box, ils ne touchent à rien, anciens clients sans redirection, ils migrent petit à petit en CGNAT, nouveau client, CGNAT direct (peut être pas partout).

En gros chez SFR le CGNAT sur les offres fixe est en cours de déploiement, et ça fait grincer des dents…