La Fibre
Datacenter et équipements réseaux => Routeurs => OpenWrt => Discussion démarrée par: Stephanos le 07 septembre 2021 à 15:47:51
-
Bonjour,
Par avance merci pour l'aide :)
J'utilise en bypass de ma box fibre SFR FTTH un Xiaomi sous OPENWRT 21.02.
Je n'utilise que le net donc les modifs sur OpenWrt pour obtenir le téléphone et la TV n'ont pas été effectuées.
Le wifi et le LAN fonctionnent très bien.
J'ai un serveur Web et je souhaite à présent ouvrir et rediriger sur le routeur le port 80. Ça parait simple mais je n'y arrive pas :(
Je fais les tests avec : https://www.yougetsignal.com/tools/open-ports/
J'ai mis en statique l'adresse de mon serveur web 192.168.1.188.
la seule modif au firewall et donc l'ajout suivant :
config redirect
option target 'DNAT'
option name 'HTTP Server'
option src 'wan'
option src_dport '80'
option dest 'lan'
option dest_ip '192.168.1.188'
option dest_port '80'
/ETC/CONFIG/NETWORK
config interface 'loopback'
option device 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'
config globals 'globals'
option packet_steering '1'
option ula_prefix 'fdc2:661e:541e::/48'
config device
option name 'br-lan'
option type 'bridge'
list ports 'lan1'
list ports 'lan2'
list ports 'lan3'
config interface 'lan'
option device 'br-lan'
option proto 'static'
option ipaddr '192.168.1.1'
option netmask '255.255.255.0'
option ip6assign '60'
config interface 'wan'
option device 'wan'
option proto 'dhcp'
option vendorid 'neufbox_NB6V-XXXXXXXXXX'
option peerdns '0'
list dns '1.1.1.1'
list dns '1.0.0.1'
config interface 'wan6'
option device 'wan'
option proto 'dhcpv6'
option reqaddress 'try'
option reqprefix 'auto'
option peerdns '0'
list dns '2606:4700:4700::1111'
list dns '2606:4700:4700::1001'
/ETC/CONFIG/FIREWALL
config defaults
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
option synflood_protect '1'
config zone
option name 'lan'
list network 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
config zone
option name 'wan'
list network 'wan'
list network 'wan6'
option input 'REJECT'
option output 'ACCEPT'
option masq '1'
option mtu_fix '1'
option forward 'REJECT'
config forwarding
option src 'lan'
option dest 'wan'
config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'
config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'
config rule
option name 'Allow-IGMP'
option src 'wan'
option proto 'igmp'
option family 'ipv4'
option target 'ACCEPT'
config rule
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option src_ip 'fc00::/6'
option dest_ip 'fc00::/6'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-MLD'
option src 'wan'
option proto 'icmp'
option src_ip 'fe80::/10'
list icmp_type '130/0'
list icmp_type '131/0'
list icmp_type '132/0'
list icmp_type '143/0'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'
config rule
option name 'Allow-IPSec-ESP'
option src 'wan'
option dest 'lan'
option proto 'esp'
option target 'ACCEPT'
config rule
option name 'Allow-ISAKMP'
option src 'wan'
option dest 'lan'
option dest_port '500'
option proto 'udp'
option target 'ACCEPT'
config rule
option name 'Support-UDP-Traceroute'
option src 'wan'
option dest_port '33434:33689'
option proto 'udp'
option family 'ipv4'
option target 'REJECT'
option enabled '0'
config include
option path '/etc/firewall.user'
config include 'miniupnpd'
option type 'script'
option path '/usr/share/miniupnpd/firewall.include'
option family 'any'
option reload '1'
config redirect
option target 'DNAT'
option name 'HTTP Server'
option src 'wan'
option src_dport '80'
option dest 'lan'
option dest_ip '192.168.1.188'
option dest_port '80'
-
Bonsoir,
La box SFR est bien en mode bridge ?
Il y a une DMZ configurée dessus ?
Si non, il est nécessaire de configurer la box SFR aussi. De préférence en bridge.
Si pas possible, une DMZ vers l'ip du routeur ou une simple redirection du port 80, toujours vers l'ip du routeur.
-
Hello yeocti :)
Je n'ai plus de box, je suis branché direction sur l'ONT.
-
Ah d'accord, je n'avais pas compris que c'était comme ça.
J'ai testé la configuration sur mon Openwrt, la section que tu as ajouté est correcte et se suffit à elle-même s'il n'y a pas eu d'autres changements.
Je pense que tu as déjà testé, mais le serveur est bien accessible en local ?
Du côté SFR, tu as une IP fixe ? pas de CGNAT qui ferait que le port 80 ne pointe pas chez toi ?
-
Hello,
J’accède bien au serveur en local avec son adresse IP ( 192.168... ).
Pour l'IP , le site http://www.mon-ip.com/ip-dynamique.php (http://www.mon-ip.com/ip-dynamique.php) m'indique qu'elle est fixe. Je ne sais pas si c'est vraiment le cas, et s'il n'y a pas une histoire d'IP partagé chez RED SFR.
Avant mon changement d'opérateur, je n'avais aucun soucis d’accès. J'utilisais et j'utilise toujours un service Dyndns.
Pour le CGNAT, désolé ça dépasse mes compétence, je ne sais pas du tout ce que c'est :/
Comment puis-je savoir?
Merci :)
-
Pour le CGNAT, désolé ça dépasse mes compétence, je ne sais pas du tout ce que c'est :/
L’adresse IP de l’interface WAN du routeur est-elle la même que celle visible sur http://ip.lafibre.info ?
Si la réponse est non, alors tu es probablement derrière du CGNAT et il sera donc impossible de configurer des redirections de ports.
-
Salut Zoc,
L’adresse IP de l’interface WAN du routeur est-elle la même que celle visible sur http://ip.lafibre.info ?
J'ai l'impression que non. Dans OpenWrt voilà ce que j'ai :
Network
IPv4 Upstream
Protocol: DHCP client
Address: 10.XXX.XX.XX/31
Gateway: 10.XXX.xX.45
DNS 1: 1.1.1.1
DNS 2: 1.0.0.1
Expires: 0h 3m 7s
Connected: 2h 16m 53s
Device: Switch port: "wan"
MAC address: xx:xx:xx:xx:xx:xx
Alors que Ip.lafibre.info me donne :
Quelle est mon adresse IPv4 / IPv6 publique ?
Connectivité IP : Bienvenue dans l’internet du futur !
Connectivité IPv4 (via requête DNS) OK : IPv4 publique = 81.xxx.xx.2xx
Connectivité IPv4 (via IPv4 littérale) inconnue (réalisez le test en http pour avoir la réponse)
Connectivité IPv6 (via requête DNS) OK : IPv6 publique = 2a02:xxxxxxxxxxxxxxxxxxxxxxxxx:7658
La version du protocole IP utilisée par défaut est IPv6
Reverse DNS :
Reverse DNS IPv4 est ip-224.net-81-220-10.versailles.rev.numericable.fr
Reverse DNS IPv6 : 2a02-842a-82e5-7600-7487-a5a4-f377-7658.rev.sfr.net
D'ailleurs est-ce normal que les Reverse Dns soient ceux de SFR malgré les modifs dans OpenWrt ( 1.1.1.1 ) ?
Merci
-
Ok, adresse privée sur le wan (10.x.x.x), donc CGNAT, comme les mobiles, impossible d’ouvrir des ports en IPv4.
-
Ok, adresse privée sur le wan (10.x.x.x), donc CGNAT, comme les mobiles, impossible d’ouvrir des ports en IPv4.
Salut Zoc,
Waouh, c'est juste fou. Aucun client fibre Red Sfr ne fait donc de redirection de port ?
Ca me parait juste incroyable.
Il n'y a rien à faire côté matériel, la seule solution est donc le changement de FAI ?
Merci
-
Tout le monde n’est pas en CGNAT pour l’instant. A priori : ancien client avec des redirection dans la box, ils ne touchent à rien, anciens clients sans redirection, ils migrent petit à petit en CGNAT, nouveau client, CGNAT direct (peut être pas partout).
En gros chez SFR le CGNAT sur les offres fixe est en cours de déploiement, et ça fait grincer des dents…