La Fibre
Fournisseurs d'accès à Internet fixe en France métropolitaine => SFR / RED => 
Installation fibre SFR => Discussion démarrée par: cedB92 le 29 janvier 2025 à 22:21:47
-
Bonsoir,
J'aimerais me connecter depuis l'extérieur à un serveur SSH perso qui écoute le port 2222 situé derrière la box fibre 7.
Quand je me connecte par SSH depuis le réseau local pas de soucis ( ssh bidule@192.168.1.100 - p 2222 ), par contre ça ne fonctionne pas en me connectant depuis l'extérieur du réseau wifi red.
J'ai essayé de configurer le routeur avec la redirection du port 2222 sur le routeur en IPV4 ( avertissement du routeur que ça peut ne pas marcher étant donné la configuration WAN IPv6 ) et également le port 2222 et 3333 en IPv6 mais je n'arrive pas à me connecter.
Je n'arrive d'ailleurs pas non plus à pinger depuis l'extérieur ma machine en ipV4 ou ipv6 alors que l'option filtrage ICMP du routeur n'est pas cochée.
J'ai une adresse publique en 92.X.X.X
Est-il possible d'ouvrir un port pour y accéder de l'extérieur sans activer une DMZ ?
Merci pour l'aide !
-
Tu parles d'un routeur et d'une box fibre 7, peux-tu préciser un peu ta configuration et mettre des copies d'écrans des réglages firewall ?
-
Bonsoir,
Désolé pour la confusion, je voulais uniquement parler de la box, dont je pensais qu'elle faisait office de routeur, je n'ai rien d'autre que la box.
Voici les copies d'écrans
Merci pour l'aide !
-
Bonjour,
Ça sent le CG-NAT ;)
-
J'avais lu qu'il fallait avoir une adresse en 10.X.X.X pour être en CGNAT
-
Salut à tous.
Ça sent le CG-NAT ;)
Pas du tout car dans son premier message, cedB92 indique que son adresse IPv4 WAN (ou publique) commence par 92.x.y.z.
J'avais lu qu'il fallait avoir une adresse en 10.X.X.X pour être en CGNAT
Oui, vous avez raison.
Votre LAN est inactif (en rouge) dans la page principale. Je suppose que vous n'avez rien branché sur les ports éthernet de votre BOX et vous êtes en WiFi.
Pourquoi utilisez vous autre chose comme port SSH ? Normalement, c'est le port 22.
Je n'arrive pas à comprendre cette manie de tout renommer ainsi.
Je ne comprends pas la nature de ce message d'avertissement :
Les configurations IPv4 utilisateur peuvent ne pas fonctionner correctement en raison de l'architecture de routage IPv6 WAN actuel
A moins de me tromper, il semble que l'IPv4 ne fonctionne pas.
Est-ce que les ping IPv4 & IPv6 depuis votre ordinateur en WiFi vers votre serveur SSH perso fonctionnent ?
A priori, vous n'avez que votre ordinateur de connecté à votre BOX, pas votre serveur SSH perso, sinon, vous auriez un "2" qui s'affiche dans les connexions WiFi.
Votre serveur SSH perso, est-ce une Raspberry Pi ?
-
le port interne devrait etre 22
sauf si tu l'as changé volontairement, ce qui n'a aucun sens mais reste possible.
-
Bonjour,
Mon serveur ssh fonctionne sur WSL2, la machine virtuelle linux qui tourne sur windows, qui n'est accessible depuis l'extérieur qu'en visant la machine windows et en redirigeant depuis celle-ci le trafic en question vers l'adresse de la machine WSL2.
J'ai défini une règle avec netsh pour renvoyer tout le trafic vers le port 2222 visant la machine windows vers l'adresse de la machine virtuelle WSL2.
Pour éviter les conflits avec un éventuel serveur ssh de la box fonctionnant sur le port 22 de la box, j'ai préféré configurer le serveur ssh pour qu'il écoute le port 2222.
Et ça me laisse aussi la possibilité de pouvoir me connecter par ssh à la machine windows et à la machine virtuelle linux en choisissant un port différent pour le serveur ssh sur la machine virtuelle linux.
J'ai effectivement un ordinateur portable relié par wifi à la box sans connexion ethernet.
Aujourd'hui, le ping fonctionne vers l'adresse publique IPv4 de la machine windows , je n'ai pas défini de règle pour rediriger le trafic ICMP de la machine windows.
J'arrive à me connecter depuis le réseau wifi au serveur ssh de WSL2 par ssh bidule@192.168.1.100 -p 2222
192.168.1.100 étant l'adresse fixe sur le réseau local de la machine windows
-
Pas du tout car dans son premier message, cedB92 indique que son adresse IPv4 WAN (ou publique) commence par 92.x.y.z.
Je suis chez Red et mon IP v4 publique commence par 79.... et non 10....
Je suis en CGNAT, c'est d'ailleurs indiqué dans l'interface.
J'utilise les FW en Ipv6
-
Si tu consultes ton adresse IP sur un site qui l’indique, tu verras forcément l’IP de sortie du CGNAT. Si tu regardes dans l’interface de ta box, tu as forcément une adresse IP privée. Sinon, si tu as une adresse publique sur ton interface WAN, pas de NAT.
La question se pose pour cedB92 donc, l’adresse IP publique est-elle indiquée comme portée par l’interface WAN de la box ou uniquement par un site comme ip.lafibre.info ?
Sur les Neufbox jusqu’à la 7, on peut voir s’il y a du CGNAT dans le coin en haut à droite, mais je ne sais pas où on peut voir ça sur la 8, je n’en ai jamais eu sous la main.
-
Bonjour, sur la box 8 il y a un message d'avertissement sur la page de redirection de port et votre adresse ip commence par 10. Messages affichés sur illustration du message 4. Cette box 8 est en cgnat.
-
Si tu consultes ton adresse IP sur un site qui l’indique, tu verras forcément l’IP de sortie du CGNAT. Si tu regardes dans l’interface de ta box, tu as forcément une adresse IP privée. Sinon, si tu as une adresse publique sur ton interface WAN, pas de NAT.
La question se pose pour cedB92 donc, l’adresse IP publique est-elle indiquée comme portée par l’interface WAN de la box ou uniquement par un site comme ip.lafibre.info ?
Oui et pour info on ne peut pas visualiser l'IP Wan interne dans l'interface.
Il y a juste la mention "Carrier-grade NAT" dans la partie ipv4 alors que dans la partie ipv6, l'adresse est bien affichée.
Il faut que cedB92 demande à à SFR un "rollback fullstack", mais ce que j'ai compris la connectivité ipv6 est perdue.
-
Oui et pour info on ne peut pas visualiser l'IP Wan interne dans l'interface.
Il y a juste la mention "Carrier-grade NAT" dans la partie ipv4 alors que dans la partie ipv6, l'adresse est bien affichée.
Il faut que cedB92 demande à à SFR un "rollback fullstack", mais ce que j'ai compris la connectivité ipv6 est perdue.
Non la connectivité Ipv6 est bien maintenue :)
-
artemus24 dit qu'il n'est pas en CG-Nat, il se trompe ?
-
@ XP25 : j'ai été durant un moment en IPv4 CGNAT avec ma BOX 8 SFR quand je suis passé à la FTTH, j'avais une adresse IPv4 WAN commençant par 10.x.y.z. J'ai demandé à basculer en IPv4 full stack et j'ai eu une autre adresse IPv4 WAN commençant par 93.x.y.z. A moins que la règle du CGNAT ait changé chez SFR, si cedB92 dit que son adresse commence par 92.x.y.z, il n'est pas en IPv4 CGNAT.
Je me suis basé sur les propos de cedB92 et il se peut qu'il nous a induit en erreur. L'adresse IPv4 WAN dont on parle se trouve dans la page http://192.168.1.1/index.html#/gui/fgw/home
S'il passe par la page web https://ip.lafibre.info/ il a la véritable adresse IPv4. A lui de nous dire ce qu'il a dans chacune de ces deux pages.
Je suis en CGNAT, c'est d'ailleurs indiqué dans l'interface.
Dans la BOX NB6VAC (BOX 7), en effet dans la page de présentation, hors connexion, en haut et à droite, il est indiqué si vous êtes en CGNAT ou pas.
J'utilise les FW en Ipv6
Peut-être mais là, il s'agit de l'IPv4.
Sur les Neufbox jusqu’à la 7, on peut voir s’il y a du CGNAT dans le coin en haut à droite, mais je ne sais pas où on peut voir ça sur la 8, je n’en ai jamais eu sous la main.
Il n'y a plus de page de présentation hors connexion dans la BOX 8 SFR et cette information a totalement disparu.
Est-ce que quelqu'un d'autre que cedB92 a eu ce message d'avertissement :
Les configurations IPv4 utilisateur peuvent ne pas fonctionner correctement en raison de l'architecture de routage IPv6 WAN actuelJ'ai trouvé dans ce lien (https://lafibre.info/sfr-la-fibre/ipv4-cgnat/msg1086303/#msg1086303) les explications sur ce message.
A cedB92 de nous dire s'il est réellement en IPv4 CGNAT ou pas et d'appeler le 1023 pour basculer en IPv4 Full Stack.
-
Merci à tous
Je viens de voir que je suis bien en CGNAT
L'adresse en 93.X.X.X était celle que m'affichait whatismyIP.com
Sur la colonne de gauche de la page d'accueil de la box, il y a plusieurs zones donnant des informations, dont une section WAN.
Je ne savais pas que c'était cliquable et que cela ouvrait un autre menu.
Après avoir cliqué sur la section WAN, il est affiché que mon adresse IP est 10.X.X.X avec une passerelle par défaut aussi en 10.X.X.Y
Il faut donc que je contacte Red pour leur demander d'arreter le CGNAT pour que je puisse accéder à mon serveur SSH si j'ai bien compris.
Savez-vous auprès de qui faut-il faire la demande ? Je suis abonné depuis plus de 2 mois, je n'ai plus d'assistance téléphonique il me semble
-
Salut,
Tu peux aussi garder le CGNAT et placer ton service SSH dans la DMZ IPv6 de ta box.
Il faut juste penser à mettre un firewall sur le serveur.
Je fais cela sur mes lignes RED FTTH.
-
Je ne sais pas quel firewall mettre, j'imagine qu'un firewall n'est pas gratuit et il faut encore savoir le paramétrer.
Ca me parait plus simple de demander une adresse IpV4 et de ne plus être en CG-NAT.
Quelqu'un saurait à qui faire la demande et par quel biais ? email, téléphone ?
Merci
-
Bah il suffit de mettre le SSH sur un Linux et pas un Windows.
Pour le firewall, c'est gratuit et tu as le choix.
ufw, systemd-firewalld, nftables
-
Merci pour la proposition, mais je préfère utiliser windows et avoir linux grâce à WSL2 sur la même machine
J'ai contacté l'assistance de red. La personne que j'ai eu, me disait tout à fait comprendre quand je lui ai parlé de rollback IpV4. Selon lui, la modification devait se faire dans l'après-midi. Bon et bien ce soir, rien de nouveau. Il me rappellera mardi prochain pour voir ce qu'il en est ...
Ca sent la loose
-
Bonjour, "je préfère utiliser windows et avoir linux grâce à WSL2 sur la même machine"
Ce qui est beaucoup plus fragile et moins performant qu'un dual boot windows linux sur cette même machine.
-
Je trouve bien plus confortable d'utiliser windows et WSL2 qu'un dual boot.
Je vais attendre de voir s'ils me donnent une adresse IPv4, sinon j'irai voir ailleurs.
A ce que j'ai lu, Bouygues propose sans problème une adresse IPv4 lorsqu'on en fait la demande.
-
Bon et bien j'ai relancé aujourd'hui le service assistance et ce soir, ça marche :D ! J'arrive à me connecter depuis l'extérieur par ssh avec un DNS dynamique.
Merci pour l'aide !