La Fibre
Fournisseurs d'accès à Internet fixe en France métropolitaine => Orange / Sosh => 
Débit fibre => Discussion démarrée par: ipman le 03 février 2018 à 12:18:16
-
Bonjour, depuis peu en fibre orange jet, j'ai été bloqué hier sur mon renouvellement de certificat let's encrypt sur mon nas synology.
Avant j'été chez free en adsl et j'avais ouvert le port 80 (qui sert a la certif et au renouvellement du certificat) et cela fonctionnais très bien en ipv4/ipv6.
mon sous domain est géré par synology.
sur ma livebox 4 ipv4/ipv6 activés, j'ai donc ouvert le port 80 vers mon nas (qui est adressé en baud statique 192.168.1.200) et la impossible de renouveler mon certificat. j'ai même redirigé le port 443 vers le nas en règle nat.
* testé si le port 80 de ma box était accessible depuis l'extérieur OK mais certif NOK
* firewall nas désactive ==> certif NOK
* firewall livebox mis au mini ==> certif NOK
j'ai vérifié si let's encrypt était compatible ipv6 et totalement compatible apparemment.
alors j'ai essayé de désactiver l'ipv6 et la avec les règles (port 80/443) et le firewall, j'ai pu obtenir mon certificat let's encrypt sans problème.
avez vous une idée de pourquoi cela ne fonctionne pas avec l'ipv6 activée ???
merci
-
Salut,
C'est normal
la livebox 4 n'est pas bien complète, ils ont oublié de faire en sorte de faire une redirection des ports pour l'ipv6....
Du coup on peut sortir en ipv6 mais pas entrer chez toi avec l'ipv6 vers ton NAS
Moi j'ai viré la livebox v4 et pris un routeur linux.
Du coup j'ai fait ma propre config et j'ai fait la redirection des port ipv6 et maintenant je peux faire une demander de certificat ssl avec l'ipv6
-
Il y a deux écoles concernant la sécurité en ipv6 :
- Les FAI comme Orange qui fournissent un firewall statefull protéger les équipements en ipv6 sur le LAN du client
- Les FAI comme Free qui n'ont pas envie s'embêter avec ça, et laissent ipv6 ouvert aux quatres vents : https://dev.freebox.fr/bugs/task/4110
-
Le sujet de discussion qui suit la requête de fix ! ;D
-
merci pour toutes ces réponses et ça rejoins bien ce que je pensais concernant l'ipv6 qui permet l'envoie de données depuis un port mais ne peut être joins sur un port depuis l'extérieur.
merci d'avoir pris le temps de me répondre :)
en attendant je désactiverais de temps en temps l'ipv6 pour le renouvellement de mon certificat c'est pas gênant en espérant qu'une MAJ vienne régler ce problème.
-
Je ne penses pas que ca soit régler un jour
-
merci pour toutes ces réponses et ça rejoins bien ce que je pensais concernant l'ipv6 qui permet l'envoie de données depuis un port mais ne peut être joins sur un port depuis l'extérieur.
ils ont oublié de faire en sorte de faire une redirection des ports pour l'ipv6....
Du coup on peut sortir en ipv6 mais pas entrer chez toi avec l'ipv6 vers ton NAS
Si c'est possible, et c'est même plus pratique et simple qu'en IPv4. Ici on a pas besoin de faire "une redirection de ports".
il suffit de l'autoriser dans le Firewall de la livebox. Soit mettre au niveau faible (Le pare-feu ne bloque aucune connexion entrante), soit en personnalisé avec la règle qui va bien.
-
oui biensur il n'y a pas de NAT en ipv6 je ferais les essais ;)