OVH Community, votre nouvel espace communautaire.

TG788vn et DMZ


jibe74
06/03/2014, 18h24
Merci pour la proposition, c'est sympa. Mais je peux le faire : je disais simplement que je ne l'avais pas fait, parce que sur place c'était plus simple dans un premier temps de juste tester l'accès au serveur web. Et tant que je n'ai pas cette connexion, à quoi bon tester les autres ? Un rapide telnet sur le port 25 m'a en plus confirmé que le 80 n'est pas le seul à n'être pas forwardé...

Et puis, pour le moment, c'est un peu rapé : le client ayant (heureusement !) un autre accès ADSL chez Free, j'ai croisé les deux et le serveur est maintenant derrière la freebox. Ça permet de fonctionner en attendant, mais j'aurais préféré le mettre sur l'accès OVH.

Je vais regarder le user.ini asap. Mais il faudra probablement que je le récupère sur place, et pour l'instant j'essaie plutôt de faire fonctionner l'autre modem.

Mariotte91
06/03/2014, 17h25
Je peux te faire un scan de ports ce soir si tu me donne ton IP publique par MP.

Je pense que pour commencer, il serait bon de relire ton fichier user.ini (enregistrement de ton fichier de configuration) pour t'assurer que la totalité des IP citées sont dans ton nouveau segment.

Patrick

jibe74
06/03/2014, 17h09
Merci pour le lien. Je lirai ça attentivement à tête reposée : même si je n'ai (pour l'instant) pas de serveur FTP derrière la box, j'ai l'impression qu'il y a pas mal à y apprendre sur son fonctionnement

Par contre, tu ne réponds pas sur ce qui pourrait faire que ma règle ne fonctionne pas. Serait-ce un mystère ? Que vérifier ou tester pour arriver à localiser le problème ?

Je n'ai pas testé tous les ports que j'utilise : je n'arrive déjà ni à joindre le 80 (le site web sur le serveur, avec Firefox), ni le 25 avec telnet. D'ailleurs, l'adresse IP publique ne répond même pas au ping...

Mariotte91
06/03/2014, 12h50
Si tu as un serveur FTP, je te conseil la lecture du topic Ouvrir le port 21

Patrick

jibe74
06/03/2014, 09h44
Citation Envoyé par Mariotte91
Règles 3 et 4 : Pour le service FTP vers la clé usb connectable (192.168.1.64 chez toi probablement)
Tu veux probablement dire 192.168.10.64 ? (mais dans ce cas, pourquoi le changement n'est-il pas fait automatiquement quand on change l'IP du LAN ?)
Sinon, Ok : je me demandais bien ce que venait faire de port FTP ici ! Mais alors, j'ai tout intérêt à virer ces règles si j'ai un serveur FTP derrière ?

Citation Envoyé par Mariotte91
Ensuite, des règles peuvent apparait si tu as activé UpUnp, mais là ce n'a pas l'air d'être le cas.
Non, pas d'Upnp activé... et apparemment pas de règles correspondantes.

Mais alors, si d'après toi la règle 7 n'écrase pas la 8, comment se fait-il que rien ne soit transféré ? Hormis pour le SIP (je pourrais d'ailleurs virer cette règle 6 puisque je ne m'en sers pas), le modem devrait être transparent et le serveur répondre aux requêtes, or ce n'est pas le cas. Alors qu'avec le FAI précédent et un modem DLINK, tout fonctionnait à merveille ! Seuls la box et le FAI ont changé...

Mariotte91
06/03/2014, 09h20
Re,

Règles 3 et 4 : Pour le service FTP vers la clé usb connectable (192.168.1.64 chez toi probablement)
Règle 6 : pour la téléphonie SIP
Règles vers 127.0.0.1 : règles système pour le fonctionnement de la box

Ensuite, des règles peuvent apparait si tu as activé UpUnp, mais là ce n'a pas l'air d'être le cas.

Patrick

jibe74
06/03/2014, 08h37
Salut,

Personne ne peut me dire ce qu'il pense de toutes ces règles ?

- N'y en a-t-il pas en trop ?
- N'en manque-t-il pas ?
- Pourquoi ces règles vers 192.168.1.64 quand le serveur est en 192.168.1.100 ?
- A quoi servent toutes ces redirections vers 127.0.0.1, dont une en double !

Je serais bien tenté de tout supprimer sauf la mienne, mais j'ai un peu peur que ça crée un problème dont je ne m'aperçoive pas immédiatement. Et comme je ne suis pas sur place, je voudrais éviter...

Personne n'a tenté de faire une DMZ avec cette box ?

jibe74
04/03/2014, 15h24
Merci pour la suggestion C'est vrai que je pourrais essayer.

Mais bon, la DMZ, c'est quand même plus simple (et 1 ligne de commande telnet !) que de rediriger les ports un à un, d'autant qu'il m'en faut d'ores et déjà plus et que d'autres sont susceptibles d'être ajoutés par la suite.

Et puis, j'aimerais bien au moins par curiosité résoudre le problème plutôt que le contourner. D'autant que si la DMZ ne fonctionne pas, je ne vois pas pourquoi les transferts de port fonctionneraient mieux !

Ok, l'inverse est vrai aussi : ce n'est pas parce que la DMZ ne fonctionne pas qu'il en sera de même pour les transferts de port ! J'essaierai éventuellement quand je serai sur place... En attendant, si quelqu'un a des pistes concernant la DMZ...

Mariotte91
04/03/2014, 12h57
Bonjour,

Une DMZ me semble bien gros si tu ne fait qu'héberger quelques serveurs ! Tu dois t'en sortir avec l'ajout de quelques règles NAT

TCP 80 et 443 pour le WEB
TCP 25, 143, 110, 993 et 995 pour le courrier

et ça fait le boulot....(C'est ce que j'ai chez moi plus quelques autres pour un serveur Jabber , serveur FTP et divers reverse proxy)

Patrick

jibe74
04/03/2014, 11h51
Bonjour,

J'ai quelques difficultés à créer une DMZ avec la box OVH. Comme j'ai une solution d'attente, je ne vais pas encore une fois déranger les techniciens de la hotline (très sympas, compétents et efficaces, ça fait plaisir et ça change des hotlines où on tombe sur des hotliners à l'accent épouvantable et sachant tout juste suivre la procédure qui leur a été donnée !), donc j'essaie d'abord d'avoir une solution ici.

Je veux donc créer une DMZ, ayant derrière la box un serveur offrant divers services (site web, serveur mail etc.). J'ai trouvé et suivi ce tuto, sans succès. Puis, j'ai trouvé d'autres pages sur le net qui affirment que la DMZ ne fonctionne que si l'adresse du serveur est attribuée par DHCP...

Il faut dire que mon serveur a une adresse WAN fixe, et que ni j'ai envie ni je vois la nécessité de la changer : quelle différence peut-il bien y avoir entre une adresse fixe ou attribuée par DHCP et en quoi cette différence empêcherait-elle de rediriger le traffic vers elle ?

J'appelle la hotline, et le technicien me confirme que cette histoire de DHCP lui semble farfelue, qu'il n'a jamais entendu parler d'une telle restriction, et me confirme que la commande que j'ai utilisée pour configurer la DMZ est bien la bonne. Il me donne quelques points à vérifier, entre autres de bien supprimer l'ancienne IP (192.168.1.254) qui pourrait entrer en conflit avec la nouvelle que j'ai attribuée au TG788 (192.168.10.1).

Je vérifie, corrige, relance par acquis de conscience la commande de création de DMZ, mais rien à faire : le serveur reste invisible de l'extérieur. Finalement, je trouve la commande pour lister les redirections, et voici ce que je trouve :

Code:
{Administrator}=>nat maplist
Idx Type Interface       Outside Address                Inside Address                 Use
  1 NAT  Internet        109.190.42.212:8               127.0.0.1:8                    2
  2 NAT  Internet        109.190.42.212                 127.0.0.1                      0
  3 NAPT Internet        109.190.42.212:21              192.168.1.64:21                0
  4 NAPT Internet        109.190.42.212:[21800-21805]   192.168.1.64:[21800-21805]     0
  5 NAPT Internet        109.190.42.212:51005           127.0.0.1:51005                0
  6 NAPT Internet        109.190.42.212:5060            109.190.42.212:5060            0
  7 NAT  Internet        109.190.42.212                 127.0.0.1                      0
  8 NAPT Internet        109.190.42.212                 192.168.10.100                 97
  9 NAPT Internet        109.190.42.212                 unmapped                       0
{Administrator}=>Connection closed by foreign host.
Je trouve qu'il y en a beaucoup qui semblent inutiles ! Sachant que mon serveur est en 192.168.10.100, et que la ligne ajoutée pour la DMZ est donc en 8, n'y a-t-il pas quelque conflit ? Que devrais-je avoir ici, sachant que je n'ai nullement besoin de la téléphonie ? Il me semble que la seule ligne 8 serait suffisante, non ?

Si je fais fausse route, comment rendre cette DMZ opérationnelle ?