Auteur Sujet: UPnP-IGD et NAT Loopback en Double NAT ?  (Lu 21960 fois)

0 Membres et 1 Invité sur ce sujet

Hakujou

  • Abonné Orange Fibre
  • *
  • Messages: 153
  • Trilport (77)
UPnP-IGD et NAT Loopback en Double NAT ?
« le: 23 avril 2017 à 17:34:28 »
Bonjour à tous,

Suite à ma question posée ici : https://lafibre.info/1gb-free/debit-divise-par-deux-en-mode-bridge/, j'ai d'autres questions :)

J'ai décidé de garder ma Freebox Mini 4K en mode routeur étant donné la différence de débit (DL : 650Mbps en routeur contre 300 en bridge...). J'ai derrière cette Freebox un seul routeur PfSense, sur qui tout est connecté (AP Wifi, machines, serveurs...).
Certaines personnes de mon domicile (moi inclus) jouant en ligne, il serait en revanche sympathique de bénéficier d'un NAT non strict. Le NAT Loopback serait également pratique pour accéder aux serveurs (sans avoir à les entrer dans le DNS).
En toute logique, j'ai défini le routeur PfSense en DMZ sur la Freebox, et me suis (naïvement) dit que ça suffirait. Sauf que... non.

Les enregistrements UPnP-IGD apparaissent bien dans PfSense, mais le jeu et les consoles se plaignent toujours du NAT, qui est déclaré strict. Le NAT Loopback ne fonctionne pas du tout non plus...

Comment faire pour rétablir ces deux fonctions ?

Merci à vous !

EDIT : Il est en revanche intéressant de noter que je peux accéder à mes services de l'extérieur, donc le DMZ fonctionne, et encore plus étrange : Si je teste les ports des enregistrements UPnP-IGD sur http://www.yougetsignal.com/tools/open-ports/, ils sont bien marqués ouverts... Partant de là, j'ai du mal à comprendre comment et pourquoi les consoles et jeux se plaignent du NAT ?!
EDIT 2 : J'ai fait quelques tests avec MiniUPNP sur Windows, j'arrive bien à ouvrir des ports (je les vois sur le routeur), et j'y accède bien depuis l'extérieur. J'ai donc plus l'impression que le message sur mon jeu relève du faux-positif, j'espère que ça ne gènera pas. Par contre pas de trace d'une ouverture de port UPnP sur les consoles (360 et PS4), et elles se plaignent bien d'un NAT strict. Je sais pas si c'est moi qui manque quelque chose dans la config.
Egalement, j'ai "override" la WAN IP Address sur la config UPnP de PfSense pour indiquer mon IP publique. Je ne sais pas si je suis censé faire comme ça et/ou si ça change quelque chose...
« Modifié: 23 avril 2017 à 18:30:11 par Hakujou »

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
UPnP-IGD et NAT Loopback en Double NAT ?
« Réponse #1 le: 23 avril 2017 à 21:37:47 »
"NAT strict" est une terminologie qui ne veut rien dire. C'est propre aux consoles.

Si t'en a 2 il se peut qu'elles "luttent" pour ouvrir les memes ports ?

si upnp fonctionne ce qui a l'air d'être le cas il n'y a pas grand chose d'autre à  faire.

Apres faudrait savoir ce que teste vraiment les consoles (c'est l'OS des consoles ou les jeux eux-memes?) . une capture au niveau du pfsense pourrait donner des infos.

t'es en ZMD? full-stack ou un 1/4 d'IP ?

Hakujou

  • Abonné Orange Fibre
  • *
  • Messages: 153
  • Trilport (77)
UPnP-IGD et NAT Loopback en Double NAT ?
« Réponse #2 le: 23 avril 2017 à 21:51:49 »
Effectivement, mais je connais pas de terminologie "officielle". Elles n'arrivent pas à ouvrir un port vers elle même (c'est aussi appelé NAT Type 1/2/3 sur certains jeux/consoles).

J'ai essayé avec les consoles séparèment ou des jeux sans conflits : même résultat. Parmi les consoles, au moins une aurait réussi à s'approprier les ports : ici, rien sur l'UPnP-IGD sur le routeur (ce qui est définitivement étrange, par contre).

Sur les consoles, les tests s'effectuent bien sur les consoles. La PS4 crache un "Type NAT : Strict" dans ses paramètres réseau, la 360 signale un problème avec le réseau pouvant impacter les communications et le matchmaking (et parle de NAT quand l'aide s'affiche). Je peux montrer une capture du PfSense, mais pas sûr que ça apporte grand chose.
On voit bien que Rainbow Six Siege, par ex, a bien réussi à ouvrir un port sur l'UPnP-IGD, pourtant, il continue de crier au NAT strict...

Sinon, une idée sur comment faire fonctionner le NAT loopback ?

Je suis en ZMD, et j'ai bien une IP full stack (sans quoi le bridge ne fonctionnait pas, d'ailleurs :o).

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
UPnP-IGD et NAT Loopback en Double NAT ?
« Réponse #3 le: 24 avril 2017 à 19:56:29 »
Le NAT lookback s'appele 'nat reflection' sur Pfsense il semble. dans System > Advanced, Firewall/NAT
voir https://doc.pfsense.org/index.php/Why_can%27t_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks

c'est fort probable que ce soit le souci: le jeu ne manipule qu'une seule adresse IP pour le serveur de jeu local, la public. et pour se connecter au serveur localement il doit pouvoir utiliser cette public donc faire du loopback (ca serait mon interprétation de leur définition de strict: qui ne permet pas le loopback).

apres si ca ne marche toujours pas , t'as peut-etre aussi un reglage du firewalling qui bloque le loopback ?


Hakujou

  • Abonné Orange Fibre
  • *
  • Messages: 153
  • Trilport (77)
UPnP-IGD et NAT Loopback en Double NAT ?
« Réponse #4 le: 24 avril 2017 à 23:29:27 »
Le NAT loopback fonctionnait très bien quand j'avais le PfSense en seul routeur. Je pense que le souci vient du fait qu'il ne connaît pas son IP WAN (la "vraie", celle sur la Freebox), mais je ne vois pas comment régler le souci.

Pour le jeu, je ne sais pas, j'ai bien mis l'IP publique Free en override sur l'UPnP-IGD...

Le firewall ne bloque pas du tout le loopback, ça fonctionnait avant.

corrector

  • Invité
UPnP-IGD et NAT Loopback en Double NAT ?
« Réponse #5 le: 25 avril 2017 à 03:07:17 »
https://doc.pfsense.org/index.php/Why_can%27t_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks
Citer
The more elegant solution to this problem involves using Split DNS. Basically this means that internal and external clients resolve hostnames differently.
Vous aussi, vous appelez ça une approche élégante?

Hakujou

  • Abonné Orange Fibre
  • *
  • Messages: 153
  • Trilport (77)
UPnP-IGD et NAT Loopback en Double NAT ?
« Réponse #6 le: 25 avril 2017 à 19:30:26 »
C'est la solution la plus courante, fréquemment rencontrée en entreprises, pour que les noms soient résolus en interne.
Cela dit je préférerais du NAT Loopback, pas franchement envie de re-rentrer tous les serveurs dans le DNS local...

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
UPnP-IGD et NAT Loopback en Double NAT ?
« Réponse #7 le: 25 avril 2017 à 21:08:11 »
Le NAT loopback fonctionnait très bien quand j'avais le PfSense en seul routeur. Je pense que le souci vient du fait qu'il ne connaît pas son IP WAN (la "vraie", celle sur la Freebox), mais je ne vois pas comment régler le souci.

Pour le jeu, je ne sais pas, j'ai bien mis l'IP publique Free en override sur l'UPnP-IGD...

Le firewall ne bloque pas du tout le loopback, ça fonctionnait avant.

il faudrait savoir comment le jeu ou la console obtient son IP public. Usuellement ca doit se faire en interrogeant un service sur le PSN ou XBox live peux-etre? Apres il se peut aussi que le double NAT soit détecté ou gène a un moment (je ne vois pas pourquoi a priori).

Mais avant faut bien tester que le loopback fonctionne correctement , depuis un PC par exemple.

Hakujou

  • Abonné Orange Fibre
  • *
  • Messages: 153
  • Trilport (77)
UPnP-IGD et NAT Loopback en Double NAT ?
« Réponse #8 le: 25 avril 2017 à 21:47:52 »
Aucune idée. Cela dit toutes les consoles et jeux testés sont unanimes, alors que je n'ai jamais eu de souci avant la mise en place du double NAT...

Pour ce qui est du NAT loopback, c'est un souci "différent" des consoles/jeux (je ne pense pas qu'ils en aient besoin ?). Il ne fonctionne effectivement pas, l'IP est bien résolue sur l'IP WAN mais rien ne répond lorsque je ping ou que j'essaie d'y accéder à mes serveurs via un de mes noms de domaine... (je précise que ça fonctionnait très bien avant le double NAT).

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
UPnP-IGD et NAT Loopback en Double NAT ?
« Réponse #9 le: 25 avril 2017 à 22:05:50 »
effectivement le loopback doit merdé car y'a double NAT :

ip lan interne --> PF --> ip lan intermédiaire --> FBX --> ip wan

le loopback dans le PF fait son job mais pas le loopback dans la FBX (je ne sais même pas si la FBX sait faire du loopback d'ailleurs meme sur la DMZ ?)

tu peux deja tester si le loopback dans le PF fonctionne en utilisant l'IP wan du PF.

pour le NAT strict, peux-etre en faisant du NAT 1-1 dans le PF plutot que du NAT N-1 ? (on ne peut toujours pas faire de route statique dans la FBX: https://dev.freebox.fr/bugs/task/12869 ?) mais j'en doute.

Hakujou

  • Abonné Orange Fibre
  • *
  • Messages: 153
  • Trilport (77)
UPnP-IGD et NAT Loopback en Double NAT ?
« Réponse #10 le: 26 avril 2017 à 18:04:16 »
C'est possible, mais ça me paraît bizarre. A ma connaissance, seule la Livebox était incapable de faire du NAT Loopback.
Par contre la Freebox ne résout pas les IP derrière le PfSense (logique, faut de route). Une chance que ça vienne de là ?

Si je fais du NAT 1:1, ça implique que j'aie autant d'IP côté LAN Freebox que celui LAN PfSense, si je ne dis pas de bêtises ?
C'est possible, mais potentiellement compliqué, côté PfSense j'ai un bridge de trois réseaux avec pour IP Gateway 10.11.1.1/11, un réseau 10.40.1.1/16, un 10.50.1.1/16 et un 10.60.1.1/16...

corrector

  • Invité
UPnP-IGD et NAT Loopback en Double NAT ?
« Réponse #11 le: 26 avril 2017 à 19:08:17 »
Par contre la Freebox ne résout pas les IP derrière le PfSense (logique, faut de route). Une chance que ça vienne de là ?
Tu peux m'expliquer ce qu'est "résoudre une IP"?