Bonjour à tous,
Voilà c'est mon tour, après 3 ans avec la même IP en full stack, SFR me passe sournoisement en IP Cg-nat. Hébergeant chez moi messagerie, caméras et domotique, me voila isolé sans possibilité d'accès depuis l'extérieur.
J'ai essayé de joindre le support SFR, mais même réponse auprès des 3 interlocuteurs que j'ai pu avoir : on ne peut pas revenir en arrière !
Et pour le moment je suis bloqué, seul SFR est dispo dans mon secteur en FTTH.
Le but de ce post est d'expliquer le principe de ma démarche, pas de faire un tuto complet et détaillé.
J'ai donc mis en place cette méthode pour contourner le problème : passer par un serveur intermédiaire pour router mes requettes externes vers ma liaison.
Voici les ingrédients si vous voulez vous y mettre :
- 1 routeur sous PFsense en remplacement de votre Box (voir le thread sur ce sujet) - on peut techniquement mettre son routeur derrière la box si on souhaite garder la TV
- 1 Vps ou serveur dédié avec 1 instance Pfsense
- du temps et de la persévérance !
Si on schématise, cela donne ça
Lan avec services mails et autre>------Pfsense--ONT-----<tunnel Ipsec ou OpenVPN>-----<Serveur dédié>---<Proxmox>----Pfsense
Pour le serveur dédié, j'ai choisi un kimsufi chez OVH avec un hyperviseur sous Proxmox dans lequel je fais tourner :
- Pfsense
- Windows 2k19
- Xpenology (un Synology virtualisé...)
- Une debian
Le Proxmox est tweaké pour permettre de router tous les ports vers l'instance Pfsense sauf le port d'admin du Proxmox. Cela permet de gérer tout le routage depuis le pfSense.
L'idée est donc d'initier un tunnel depuis le Pfsense cg-nat vers le Pfsense du serveur dédié. Dans mon cas je fais de l'OpenVnp site à site. Je voulais faire de l'ipSec mais un bug sa ma révision de pfsense m'empêchait de l'utiliser.
Puis créer des règles Nat depuis le serveur dédié vers les serveurs sur le Lan derrière le Pfsense Cg-nat.
Faire les bonnes règles de filtrage pour laisser passer les flux, adapter les enregistrement DNS de sa zone avec l'Ip du serveur dédié et le tour est joué.
Je peux de nouveau accéder à chez moi depuis l'extérieur comme si de rien n'était. Les performances sont excellentes, on imagine même pas toute la machinerie derrière qui rend l'opération possible !
N'hésitez pas à me poser des questions si vous voulez plus de détails.
Et puis s'il y a suffisamment de demandes je prendrais le temps de faire un tuto complet.