Bonjour à tous,

Voilà c'est mon tour, après 3 ans avec la même IP en full stack, SFR me passe sournoisement en IP Cg-nat. Hébergeant chez moi messagerie, caméras et domotique, me voila isolé sans possibilité d'accès depuis l'extérieur.
J'ai essayé de joindre le support SFR, mais même réponse auprès des 3 interlocuteurs que j'ai pu avoir : on ne peut pas revenir en arrière !
Et pour le moment je suis bloqué, seul SFR est dispo dans mon secteur en FTTH.

Le but de ce post est d'expliquer le principe de ma démarche, pas de faire un tuto complet et détaillé.

J'ai donc mis en place cette méthode pour contourner le problème : passer par un serveur intermédiaire pour router mes requettes externes vers ma liaison.
Voici les ingrédients si vous voulez vous y mettre :
- 1 routeur sous PFsense en remplacement de votre Box (voir le thread sur ce sujet) - on peut techniquement mettre son routeur derrière la box si on souhaite garder la TV
- 1 Vps ou serveur dédié avec 1 instance Pfsense
- du temps et de la persévérance !

Si on schématise, cela donne ça

Lan avec services mails et autre>------Pfsense--ONT-----<tunnel Ipsec ou OpenVPN>-----<Serveur dédié>---<Proxmox>----Pfsense

Pour le serveur dédié, j'ai choisi un kimsufi chez OVH avec un hyperviseur sous Proxmox dans lequel je fais tourner  :
 - Pfsense
 - Windows 2k19
 - Xpenology (un Synology virtualisé...)
 - Une debian

Le Proxmox est tweaké pour permettre de router tous les ports vers l'instance Pfsense sauf le port d'admin du Proxmox. Cela permet de gérer tout le routage depuis le pfSense.

L'idée est donc d'initier un tunnel depuis le Pfsense cg-nat vers le Pfsense du serveur dédié. Dans mon cas je fais de l'OpenVnp site à site. Je voulais faire de l'ipSec mais un bug sa ma révision de pfsense m'empêchait de l'utiliser.
Puis créer des règles Nat depuis le serveur dédié vers les serveurs sur le Lan derrière le Pfsense Cg-nat.
Faire les bonnes règles de filtrage pour laisser passer les flux, adapter les enregistrement DNS de sa zone avec l'Ip du serveur dédié et le tour est joué.

Je peux de nouveau accéder à chez moi depuis l'extérieur comme si de rien n'était. Les performances sont excellentes, on imagine même pas toute la machinerie derrière qui rend l'opération possible !

N'hésitez pas à me poser des questions si vous voulez plus de détails.
Et puis s'il y a suffisamment de demandes je prendrais le temps de faire un tuto complet.

J'ai essayé de joindre le support SFR, mais même réponse auprès des 3 interlocuteurs que j'ai pu avoir : on ne peut pas revenir en arrière !

C'est faux. Relance les ..

J'ai effectivement essayé la voie du message au support via l'appli "SFR & moi" en reprenant dans les grandes lignes le message d'un des membres de ce forum pour qui l'échange avait été positif.
Pour l'instant pas de réponse.

Dans ce genre de problème, le tout est de tomber sur le bon interlocuteur !

Au moins j'ai ma solution de contournement qui me permet de patienter...

sinon, si on veut plus simple et moderne il y a tailscale.com

Cela peut être une solution si on ne veut pas s'embêter avec le technique. Reste la question de dépendre d'un opérateur cloud tiers, la sécurité, la confidentialité.... On peut se poser la question des contreparties de la version gratuite.

Pour ma part je suis partisan du "do it yourself" et d'avoir la satisfaction de monter un dispositif par moi même.

Je crois que le full ipv6 est à oublier, il n'y a bien que nos profs de réseau, il y a quelques décennies,  qui y croyaient et vendaient " l'adressage de toutes fourmis de la planète " grace à ce protocole 

je ne vois pas le rapport la ?! et tailscale support IPv6 en externe et en interne.

je ne vois pas le rapport la ?! et tailscale support IPv6 en externe et en interne.

Les problèmes cités ici avec cgnat sont liés à  l'utilisation/adressage de ports différents sur une ipv4, non ?
Ipv6 ne proposait pas un adressage unique par matériel  ? Ca ne résout  pas le problème  ?