Auteur Sujet: problème livebox 4 ipv6 et certificat let's encrypt sur nas synology (Lu 5844 fois)

ipman · « **le:** 03 février 2018 à 12:18:16 »

Bonjour, depuis peu en fibre orange jet, j'ai été bloqué hier sur mon renouvellement de certificat let's encrypt sur mon nas synology.
Avant j'été chez free en adsl et j'avais ouvert le port 80 (qui sert a la certif et au renouvellement du certificat) et cela fonctionnais très bien en ipv4/ipv6.

mon sous domain est géré par synology.

sur ma livebox 4 ipv4/ipv6 activés, j'ai donc ouvert le port 80 vers mon nas (qui est adressé en baud statique 192.168.1.200) et la impossible de renouveler mon certificat. j'ai même redirigé le port 443 vers le nas en règle nat.

* testé si le port 80 de ma box était accessible depuis l'extérieur OK mais certif NOK
* firewall nas désactive ==> certif NOK
* firewall livebox mis au mini ==> certif NOK

j'ai vérifié si let's encrypt était compatible ipv6 et totalement compatible apparemment.

alors j'ai essayé de désactiver l'ipv6 et la avec les règles (port 80/443) et le firewall, j'ai pu obtenir mon certificat let's encrypt sans problème.

avez vous une idée de pourquoi cela ne fonctionne pas avec l'ipv6 activée

merci

hoyohoyo · « **Réponse #1 le:** 09 février 2018 à 11:37:10 »

Salut,

C'est normal
la livebox 4 n'est pas bien complète, ils ont oublié de faire en sorte de faire une redirection des ports pour l'ipv6....
Du coup on peut sortir en ipv6 mais pas entrer chez toi avec l'ipv6 vers ton NAS

Moi j'ai viré la livebox v4 et pris un routeur linux.

Du coup j'ai fait ma propre config et j'ai fait la redirection des port ipv6 et maintenant je peux faire une demander de certificat ssl avec l'ipv6

Nh3xus · « **Réponse #2 le:** 09 février 2018 à 13:37:16 »

Il y a deux écoles concernant la sécurité en ipv6 :

- Les FAI comme Orange qui fournissent un firewall statefull protéger les équipements en ipv6 sur le LAN du client

- Les FAI comme Free qui n'ont pas envie s'embêter avec ça, et laissent ipv6 ouvert aux quatres vents : https://dev.freebox.fr/bugs/task/4110

eruditus · « **Réponse #3 le:** 09 février 2018 à 13:53:45 »

Le sujet de discussion qui suit la requête de fix !

ipman · « **Réponse #4 le:** 11 février 2018 à 09:01:01 »

merci pour toutes ces réponses et ça rejoins bien ce que je pensais concernant l'ipv6 qui permet l'envoie de données depuis un port mais ne peut être joins sur un port depuis l'extérieur.

merci d'avoir pris le temps de me répondre

en attendant je désactiverais de temps en temps l'ipv6 pour le renouvellement de mon certificat c'est pas gênant en espérant qu'une MAJ vienne régler ce problème.

hoyohoyo · « **Réponse #5 le:** 11 février 2018 à 11:23:49 »

Je ne penses pas que ca soit régler un jour

Fredwww · « **Réponse #6 le:** 11 février 2018 à 12:50:26 »

Citation de: ipman le 11 février 2018 à 09:01:01

merci pour toutes ces réponses et ça rejoins bien ce que je pensais concernant l'ipv6 qui permet l'envoie de données depuis un port mais ne peut être joins sur un port depuis l'extérieur.

Citation de: hoyohoyo le 09 février 2018 à 11:37:10

ils ont oublié de faire en sorte de faire une redirection des ports pour l'ipv6....
Du coup on peut sortir en ipv6 mais pas entrer chez toi avec l'ipv6 vers ton NAS

Si c'est possible, et c'est même plus pratique et simple qu'en IPv4. Ici on a pas besoin de faire "une redirection de ports".

il suffit de l'autoriser dans le Firewall de la livebox. Soit mettre au niveau faible (Le pare-feu ne bloque aucune connexion entrante), soit en personnalisé avec la règle qui va bien.

ipman · « **Réponse #7 le:** 12 février 2018 à 11:49:22 »

oui biensur il n'y a pas de NAT en ipv6 je ferais les essais