La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la LiveBox par un routeur => Discussion démarrée par: oliviertoto92350 le 12 août 2013 à 22:51:05
-
Bonsoir les amis
Je ne suis pas informaticien de formation et je coince. Ca dépasse mes connaissances.
Je possède un petit NAS Synology et souhaite utiliser le service DS Audio afin que mon Smartphone 4G(c’est un galaxy S4 ) puisse y accéder depuis l’extérieur pour recevoir de la musique.
Je n’arrive pas à ouvrir les ports entre NAT et Firewall.
Pourriez-vous m’aider ?
Voici mon schéma en RJ-45 :
Net <–> LiveBox(192.168.1.1) <–> (192.168.1.41) Routeur (192.168.0.1) <–> NAS (192.168.0.100)
Routeur : ArcherC7
Tout d’abord mon NAS possède un DDNS qui fonctionne.
Depuis mon téléphone configuré en 4G (et pas en Wifi) j’arrive à Pinguer mon NAS.
Le service DS audio a besoin que l’on ouvre les ports UDP : 6001 à 6010 et 5353.
Sur le NAS, le fire wall a bien les ports suivants ouverts UDP : 6001 à 6010 et 5353 ; 443 pour HTTPS , 80 pour http ; 5000 et 5001.
Sur la Live Box, au niveau du fire wall : Les protocoles UDP et TCP etre 1 à 65535 sont ouverts.
C’est le menu LiveBox, Mode de sécurité, Pare Feu, Personnalisé, puis Personnaliser.
Ensuite mes problèmes commencent.
.
Sur le LiveBox, il faut rediriger les ports UDP : 6001 à 6010 et 5353.
J’ai essayé NAT/PAT de rediriger tous les ports.
Dois-je utiliser les paramètres de routage ?
Enfin sur le tplink, le NAT est hardware, donc rien à configurer ?
Car dans « Forwarding » je n’ai que Virtual Servers ou Port Triggering.
-
Voici mon schéma en RJ-45 :
Net <–> LiveBox(192.168.1.1) <–> (192.168.1.41) Routeur (192.168.0.1) <–> NAS (192.168.0.100)
Le service DS audio a besoin que l’on ouvre les ports UDP : 6001 à 6010 et 5353.
Du fait que tu as 2 NAT à traverser, il faut entrer 2 fois tes règles NAT :
- Côté Livebox :
soit rediriger les ports UDP 6001 à 6010 et 5353, vers l'IP du routeur (192.168.1.41)
soit rediriger tous les ports vers l'IP du routeur, comme tu l'as fait. - Côté Routeur :
port UDP 6001 à 6010 et 5353, vers l'IP du NAS (192.168.0.100)
Enfin sur le tplink, le NAT est hardware, donc rien à configurer ?
Car dans « Forwarding » je n’ai que Virtual Servers ou Port Triggering.
Ton routeur ne peut pas deviner tout seul, l'équipement vers lequel transmettre ce trafic entrant non solicité ;)
A priori c'est bien dans "Forwarding > Virtual Servers" que tu pourras configurer ta règle de NAT entrant.
-
DS Audio utilise les ports 5000 (HTTP) et 5001 (HTTPS) en TCP/UDP.
Les ports 6001-6010 UDP dont tu parles sont pour le controle AirPlay, a priori inutilisables avec ton GS4.
Pour la configuration d'ouverture des ports, en principe, y'a rien à faire manuellement si on utilise UPnP (IGD) mais vu que t'as 2 routeurs en cascade, il faut au préalable configurer la DMZ sur le routeur Orange pour renvoyer tout le trafic sur l'autre routeur. Ensuite dans le NAS il doit y a voir une fonction EZ Internet qui devrait permette d'ouvrir les ports pour DS Audio (Il y également une fonction 'router configuration' dans le NAS qui permet de faire ca directement sans subir toutes les étapes de l'assistant EZ Internet).
Le principe d'UPnP (IGD) est justement de permette aux applications (le NAS dans ton cas) de piloter directement le routeur pour ouvrir les bon ports et les renvoyer vers la bonne machine. Ca marche avec 99,9% des routeurs 'grand public' et toutes les box des FAI. Verifies dans ton routeur que c'est actif mais en principe ca l'est par défaut.
Attention: ne pas confondre UPnP IGC (Internet Gateway Discovery) et UPnP AV (Audio Video). Ce sont 2 choses complètement différentes. Comme ton NAS fait aussi serveur/client UPnP AV fais attention a ne pas faire de mélange a ce niveau.
-
DS Audio utilise les ports 5000 (HTTP) et 5001 (HTTPS) en TCP/UDP.
HTTPS en UDP? :o
Pour la configuration d'ouverture des ports, en principe, y'a rien à faire manuellement si on utilise UPnP (IGD) mais vu que t'as 2 routeurs en cascade, il faut au préalable configurer la DMZ sur le routeur Orange pour renvoyer tout le trafic sur l'autre routeur.
Le NAT-routeur ne peut pas créer une redirection par UPnP?
Le principe d'UPnP (IGD) est justement de permette aux applications (le NAS dans ton cas) de piloter directement le routeur pour ouvrir les bon ports et les renvoyer vers la bonne machine. Ca marche avec 99,9% des routeurs 'grand public' et toutes les box des FAI. Verifies dans ton routeur que c'est actif mais en principe ca l'est par défaut.
Pas chez Free.
-
5000 TCP ou 5001 TCP devrait suffire (c'est du HTTP sur le port 5000 ou du HTTPS sur le 5001).
Par habitude on met TCP/UDP parce que c'est souvent le choix par défaut dans les configurations.
Le NAT-routeur ne peut pas créer une redirection par UPnP?
pas de base. La norme ne prévoit de cascade de l'UPnP vers un routeur plus en amont. Peut-être qu'avec un firmware alternatif on pourrait bricoler quelque chose qui relai l'ouverture de port. Mais bon dans son cas, regler une DMZ dans le routeur Orange suffit.
Pas chez Free.
chez Free et tout les autres. Dans la V5 c'est depuis mars 2009 (v 1.5) http://www.freenews.fr/spip.php?article6626 (http://www.freenews.fr/spip.php?article6626)
Dans la V6 depuis le début.
En cas de doute il y a un utilitaire (upnpc) pour voir et même envoyer des commandes UPnp:
http://miniupnp.free.fr/ (http://miniupnp.free.fr/) (pour Windows , aller dans "downloads" en bas puis prendre upnpc-exe-win32-xxxxxxxx.zip)
Par exemple : upnpc-static -l affiche la liste des redirections actives (ca donne aussi l'ip du (ou des) routeur present sur le LAN qui supporte UPnP IGD).
-
Merci pour tous ces conseils.
Je regarde ce soir et vous fait un retour.
-
chez Free et tout les autres.
Je t'assure, ce n'est pas activé par défaut sur Freebox v5, en tout cas pas chez moi.
En cas de doute il y a un utilitaire (upnpc) pour voir et même envoyer des commandes UPnp:
http://miniupnp.free.fr/ (http://miniupnp.free.fr/) (pour Windows , aller dans "downloads" en bas puis prendre upnpc-exe-win32-xxxxxxxx.zip)
Par exemple : upnpc-static -l affiche la liste des redirections actives (ca donne aussi l'ip du (ou des) routeur present sur le LAN qui supporte UPnP IGD).
Intéressant, merci.
-
Merci à tous ! Donc oui les 2 méthodes ci-dessus fonctionnent très bien en http (port 5000 uniquement) en 3G et meme en 4G avec le téléphone de ma femme !!
Méthode A
Sur le NAS
- le fire wall doit avoir les ports suivants ouverts 6001-6010 ; 5353 , 5000-5001
- le NAS possède une DynamiqueDNS du type : toto.dydns.com (toto c'est un exemple )
- le NAS possède un compte (login/password) Smartphone pour accéder uniquement à 1 seul répertoire du NAS ou se trouve la musique
Sur le routeur TpLink
- NAT sur Enable, Hardware NAT sur Enable
- Forwarding, Virtual servers, diriger les ports 5000-5001 vers IP du NAS en TCP
Sur la live Box
- UPnP IGD est activé
- fire wall doit avoir les ports suivants ouverts 6001-6010 ; 5353 , 5000-5001 TCP
- NAT diriger les ports 5000-5001 vers IP du Routeur en TCP
Méthode B
Sur le NAS,
- le fire wall doit avoir les ports suivants ouverts 6001-6010 ; 5353 , 5000-5001
- le NAS possède une DynamiqueDNS du type : toto.myds.me
- le NAS possède un compte (login/password) Smartphone pour accéder uniquement à 1 seul répertoire du NAS ou se trouve la musique
Sur le routeur TpLink
- NAT sur Enable, Hardware NAT sur Enable
- Forwarding, Virtual servers, diriger les ports 5000-5001 vers IP du NAS en TCP/UDP
Sur la live Box
- UPnP IGD est activé
- fire wall doit avoir les ports suivants ouverts 6001-6010 ; 5353 , 5000-5001 TCP/UDP
- Créer un DMZ vers le routeur
Par contre je n’arrive pas à activer en HTTPS … je cherche déjà en wifi sur mon réseau interne. :(
Pourtant la FAQ de synologie parle bien du port 5001
http://www.synology.fr/support/faq_show.php?lang=fre&q_id=299 (http://www.synology.fr/support/faq_show.php?lang=fre&q_id=299)
Ca me sort « Echec de connexion, vérifier adresse IP »….
-
Tes 2 methodes sont quasi identiques, sont manuelles et n'utilisent pas Upnp. C'est pas vraiment ce qu'il y a de plus simple et c'est pas dynamique.
Methode C (dans l'ordre a configurer):
Sur le routeur Orange:
- DMZ vers le routeur TpLink
- aucune regles dans NAT/PAT
- UPnP : de préférence désactivé (il ne sert pas dans cette methode, autant le couper)
sur le routeur TpLink:
- NAT sur Enable, Hardware NAT sur Enable, UPnP sur enable (ca doit etre comme la config de base du simulateur de config: http://www.tp-link.com/resources/simulator/Archer_C7/index.htm (http://www.tp-link.com/resources/simulator/Archer_C7/index.htm) )
- pas de Forwarding, Virtual servers configurés (idem)
Sur le NAS: comme A et B mais en plus lancer 'routeur configuration' pour activer DS Audio (ou les autres services qu'on souhaite).
Voir ce guide http://www.synology.com/support/tutorials_show.php?q_id=456 (http://www.synology.com/support/tutorials_show.php?q_id=456) section 3.3.1 ecran 4 c'est la ou on ouvre les ports sur le routeur (ca envoi des comandes upnp au routeur).
En gros une fois les 2 routeurs configurés, tout ce fait depuis le NAS.
Le NAS controle le TpLink via UPnp et lui fait ouvrir les bons ports. Le routeur Orange ne fait rien d'autre que NAT en sortie et renvoi tout ce qui arrive en entrée sur le TpLink.
-
Merci , effectivement.
Je n'avais pas vu tous les tutos qui existent chez Syno : Impressionnant !
Par contre ca impose de mettre le NAS en IP fixe.
-
Par contre ca impose de mettre le NAS en IP fixe.
Une raison particulière pour lui faire changer d'IP ?
-
pourquoi ca impose?
Au contraire, l'upnp permet que l'IP du NAS change, ce qui n'est pas le cas avec une config manuelle qu'il faut ajuster quand l'IP du NAS change.
-
Oui avec 'routeur configuration" il faut passer en IP
Fixe Statique.
3.3 Pour une connexion de routeur
Vous avez le choix entre deux méthodes pour configurer votre routeur. L’une via l’interface de gestion du DiskStation, l\'autre en configurant directement la transmission de port de votre routeur. Veuillez noter que, pour configurer les règles de transmission de port du routeur, votre connexion Internet doit utiliser une adresse IP statique.
-
Pour activer le HTTPS, ne pas oublier ne cocher l'option. Image jointe ....
Au final voici ma configuration, surement perfectible mais qui fonctionne et qui répond à mes besoins :
(et aussi que je comprends et que je peux contrôler )
Méthode D
Sur le NAS
- le fire wall doit avoir les ports suivants ouverts 5000-5001
- le NAS possède une DynamiqueDNS du type : toto.dydns.com (toto c'est un exemple )
- le NAS possède un compte (login/password) Smartphone pour accéder uniquement à 1 seul répertoire du NAS ou se trouve la musique
Sur le routeur TpLink
- NAT sur Enable, Hardware NAT sur Enable
- Forwarding, Virtual servers, diriger les ports 5000-5001 vers IP du NAS en TCP
Sur la live Box
- UPnP IGD est activé
- fire wall doit avoir les ports suivants ouverts 5000-5001 TCP
- NAT diriger les ports 5000-5001 vers IP du Routeur en TCP
-
Ouvrir son port 5000 vers l’extérieur est une très mauvaise idée, en particulier lorsque l'on connait le manque de soin accordé à la sécurité de la part de Synology...
Si vous souhaitez faire les choses proprement, utilisez un VPN pour les accès depuis l’extérieur.
Personnellement j'ai un openvpn avec authentification par certificat pour accéder à mes ressources réseau, ça marche très bien.
-
Ouvrir son port 5000 vers l’extérieur est une très mauvaise idée, en particulier lorsque l'on connait le manque de soin accordé à la sécurité de la part de Synology...
Tu peux préciser ? Si tu penses au Synolock par exemple, fallait une bien vieille version pour être concerné !
-
Ouvrir son port 5000 vers l’extérieur est une très mauvaise idée, en particulier lorsque l'on connait le manque de soin accordé à la sécurité de la part de Synology...
Si vous souhaitez faire les choses proprement, utilisez un VPN pour les accès depuis l’extérieur.
Personnellement j'ai un openvpn avec authentification par certificat pour accéder à mes ressources réseau, ça marche très bien.
Salut ! :)
Ou modifier les ports par défaut. J'ai modifié les ports par défaut de toutes les applications auxquelles j'accède depuis l'extérieur, et 5000-5001 TCP modifiés aussi.
Tu peux aussi utiliser le pare-feu intégré pour interdire toute connexion venant de l'extérieur de la France. A adapter pour les cas particuliers, mais déjà, sans la Chine, la Russie et les États-Unis et d'autres pays bien connus pour ce genre de choses, ça fait du bien.
A LIRE - bas de la PAGE 4 de "The Akamai State of the Internet Report" (http://www.akamai.com/dl/akamai/akamai-soti-a4-q114.pdf?WT.mc_id=soti_Q114)
Tu peux préciser ? Si tu penses au Synolock par exemple, fallait une bien vieille version pour être concerné !
Pas si vieille que ça pour certains, environ 6 mois, c'est ça ? Elle datait de décembre 2013 il me semble. Et puis il y a eu d'autres choses, du data mining à l'insu du possesseur de NAS Synology notamment. Et les récentes failles d'OpenSSL ne font qu'encourager à modifier les ports par défaut.
-
Pas si vieille que ça pour certains, environ 6 mois, c'est ça ? Elle datait de décembre 2013 il me semble.
Voila, fallait avoir 8 mois de retard pour être concerné, pas de quoi incriminer l'éditeur à mes yeux.
Et les récentes failles d'OpenSSL ne font qu'encourager à modifier les ports par défaut.
Ça je suis d'accord mais rien à voir avec Syno (qui fait depuis des MAJ de sécurité régulières pour suivre ça justement).
-
Voila, fallait avoir 8 mois de retard pour être concerné, pas de quoi incriminer l'éditeur à mes yeux.
Ça je suis d'accord mais rien à voir avec Syno (qui fait depuis des MAJ de sécurité régulières pour suivre ça justement).
Houlà, je ne rentre pas dans ce débat ! ^^
Je n'ai jamais dit que Synology est laxiste sur la sécurité de ses NAS, car je ne le pense pas. ^^
Au contraire ils sont très réactifs, et il ne peut pas exister de sécurité passive et immuable, car les attaques sont dynamiques et en perpétuel renouvellement. ;)
-
Ah pardon j'ai mal compris ta réponse ;).
-
Pas de souci. :)
-
Pas tout lu, mais une question me targue: Pourquoi la LiveBox n'est pas en DMZ sur le routeur :o :o :o
Parce que là c'est "pourquoi faire simple, quand on peut faire compliqué".
-
Tout à fait d'accord. Je viens de découvrir ce topic, mais je viens de changer de FAI pour Sosh, et c'est ce que j'ai immédiatement fait.