Question Configuration FlyBox

Discussion sur le fournisser Orange

Modérateur: Barbapapa

Question Configuration FlyBox

Message par oleole » 14 Mars 2017 14:55

Bonjour à tous,

j'ai fait l'acquisition d'une FlyBox la semaine dernière.
J'ai été assez impressionné par les vitesses de connexion (15-20MB en download ET upload).
Mais je suis confronté à un problème: pas moyen d'administrer la FlyBox à distance.
Et tant que j'y suis, on peut créer toutes les règles NAT qu'on veut, pas moyen d'arriver depuis "Internet" vers la Flybox.
Est-ce que quelqu'un peut confirmer ce que je dis ?
J'ai tenté de contacter Orange pour savoir si ce que je pense est vrai et s'il y a moyen de contourner cette limitation, mais franchement je n'ai rien eu de clair à ce sujet...

Merci!
oleole
Membre
Membre
 
Message(s) : 50
Inscription : 02 Sep 2006 11:32
Localisation : Liège

Re: Question Configuration FlyBox

Message par servperso » 15 Mars 2017 00:27

Simple question, elle ressemble à quoi ton ip wan ?
Je pense que c'est natté, (ip en 10.X) et que du coup tu ne peut pas y accéder de l'extérieur.
Blog adminsys et dev http://netsh.be - Twitter https://twitter.com/ced1202
servperso
Acharné
Acharné
 
Message(s) : 1211
Inscription : 28 Août 2007 02:05
Localisation : Liège

Re: Question Configuration FlyBox

Message par Yamato » 15 Mars 2017 09:08

Bonjour,
Une connaissance n'ayant pas encore internet dans son habitation en construction a opté pour une FlyBox afin d'y connecter des cameras. Problème, l'ip wan étant privée, impossible d'y accéder depuis l'extérieur. Contact a été pris avec Orange par téléphone et dans leur site de vente de Liège, personne n'a été capable d'attribuer une ip publique au modem/routeur. Une fois c'est non, une fois c'est oui et je m'en charge personnellement puis plus personne à l'horizon. Résultat, après des semaines pendant lesquelles même un technicien pour les services pro n'a rien pu faire, il a rendu leur matériel.
Avatar de l’utilisateur
Yamato
Dix mille
Dix mille
 
Message(s) : 10799
Inscription : 05 Juil 2008 12:06

Re: Question Configuration FlyBox

Message par servperso » 15 Mars 2017 09:14

OK,
Voilà qui confirme donc que la flybox, c'est comme les abonnements mobiles.
Sous Carrier grade nat (CGN)
Blog adminsys et dev http://netsh.be - Twitter https://twitter.com/ced1202
servperso
Acharné
Acharné
 
Message(s) : 1211
Inscription : 28 Août 2007 02:05
Localisation : Liège

Re: Question Configuration FlyBox

Message par oleole » 15 Mars 2017 14:53

servperso a écrit :Simple question, elle ressemble à quoi ton ip wan ?
Je pense que c'est natté, (ip en 10.X) et que du coup tu ne peut pas y accéder de l'extérieur.


IP 178.50.85.xxx

C'est en tout cas l'IP qu'enregistre la flybox automatiquement auprès de no-ip.

J'ai envoyé un mail au support en étant simple, j'ai juste dit que j'avais activé l'administration à distance dans l'interface et que ca ne fonctionnait pas.

Mais bon après ce que je viens de lire, j'ai peu d'espoir.
oleole
Membre
Membre
 
Message(s) : 50
Inscription : 02 Sep 2006 11:32
Localisation : Liège

Re: Question Configuration FlyBox

Message par servperso » 15 Mars 2017 17:50

Sa c'est l'ip externe,
Regarde si tu retrouve cette ip dans l'interface admin de la flybox ou non.
Blog adminsys et dev http://netsh.be - Twitter https://twitter.com/ced1202
servperso
Acharné
Acharné
 
Message(s) : 1211
Inscription : 28 Août 2007 02:05
Localisation : Liège

Re: Question Configuration FlyBox

Message par oleole » 15 Mars 2017 19:07

servperso a écrit :Sa c'est l'ip externe,
Regarde si tu retrouve cette ip dans l'interface admin de la flybox ou non.


Effectivement dans l'interface web, l'ip interne était mentionné (mais je n'y ai pas fait attention).
Je pense en effet qu'il était du type 10.xxx
Je vais vérifier ce soir.
oleole
Membre
Membre
 
Message(s) : 50
Inscription : 02 Sep 2006 11:32
Localisation : Liège

Re: Question Configuration FlyBox

Message par oleole » 15 Mars 2017 21:20

Ca m'a encore été confirmé au téléphone. Impossible, l'option existe mais n'est pas disponible pour le moment. Quand j'ai demandé un délai, on ne sait pas.
C'est bon à savoir avant de prendre la flybox.

Maintenant, si je veux faire du SSH vers une des machine du réseau, quelle(s) option(s) ai-je ?
J'ai trouvé par hasard remot3.it, je ne sais pas ce que ça vaut...
oleole
Membre
Membre
 
Message(s) : 50
Inscription : 02 Sep 2006 11:32
Localisation : Liège

Re: Question Configuration FlyBox

Message par servperso » 15 Mars 2017 22:12

Tu fait un tunnel ssh sortant vers un VPS par exemple, sa traverse le nat
Tu as un truc qui s’appelle autossh qui permet de le faire
https://wiki.archlinux.fr/Autossh

Je l'ai déjà fait tourné sur un openwrt pour info
Blog adminsys et dev http://netsh.be - Twitter https://twitter.com/ced1202
servperso
Acharné
Acharné
 
Message(s) : 1211
Inscription : 28 Août 2007 02:05
Localisation : Liège

Re: Question Configuration FlyBox

Message par oleole » 16 Mars 2017 21:10

Je suis une quille en linux mais effectivement c'est une bonne idée.
Merci pour les réactions!
oleole
Membre
Membre
 
Message(s) : 50
Inscription : 02 Sep 2006 11:32
Localisation : Liège

Re: Question Configuration FlyBox

Message par oleole » 18 Mars 2017 14:40

servperso a écrit :Tu fait un tunnel ssh sortant vers un VPS par exemple, sa traverse le nat
Tu as un truc qui s’appelle autossh qui permet de le faire
https://wiki.archlinux.fr/Autossh

Je l'ai déjà fait tourné sur un openwrt pour info


Je me suis pris un VPS avec CentOS 7 pour faire un test. Appelons le serveur1.

Depuis la machine orange (appelons la machine2) j'ouvre une connexion SSH avec la ligne de commande suivante:

ssh -R 10021:localhost:22 [email protected]

Je suis connecté sur serveur1 et je vois bien que le serveur1 est en train d'écouter sur le port 10021.
D'ailleurs si depuis le serveur1 j'ouvre une connexion ssh comme suit: ssh -p 10021 [email protected]
J'ouvre bien une connexion sur machine2.

Maintenant si je prends une *autre* machine (appelons la machine3) et que je fais: ssh -p 10021 [email protected]
J'ai ssh: connect to host xxx.xxx.xxx.xxx port 10201: Connection refused

Plusieurs précisions:
- J'ai activé GatewaysPorts dans la config du SSH
- J'ai redémarré sshd
- J'ai l'impression qu'il y a un firewall qui bloque. Après des recherches, j'ai stoppé iptables quelques instants pour voir mais ça ne marchait pas plus

Là, je ne vois plus trop ce que je peux faire... Je sais que ce n'est pas vraiment le sujet mais une suggestion serait la bienvenue, je suis un peu perdu =)
oleole
Membre
Membre
 
Message(s) : 50
Inscription : 02 Sep 2006 11:32
Localisation : Liège

Re: Question Configuration FlyBox

Message par servperso » 18 Mars 2017 17:53

Ta config semble bonne à première vue.
Si tu scan ton port avec nmap, tu vois le port en closed ou en filtered ?

nmap -p 10021 server1 -P0
Blog adminsys et dev http://netsh.be - Twitter https://twitter.com/ced1202
servperso
Acharné
Acharné
 
Message(s) : 1211
Inscription : 28 Août 2007 02:05
Localisation : Liège

Re: Question Configuration FlyBox

Message par oleole » 18 Mars 2017 19:30

je suppose que je pouvais faire depuis server1:
map -p 10021 127.0.0.1 -P0

PORT STATE SERVICE
10021/tcp closed unknown

Par contre, j'ai vu un post avec exactement le même problème que moi et le gars se répondait à lui même en disant qu'il avait juste rebooté et que ça avait résolu son problème.

Donc j'ai fait de même. Même erreur... Puis j'ai eu l'idée d'arrêter à nouveau le service iptables... et là bingo ça marche.
Je suppose donc je dois autoriser le port 10021 mais je ne sais pas exactement comment. J'ai un peu peur de faire n'importe quoi.

Voici ce que donne iptables -L
Code : Tout sélectionner
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:ssh
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         


Ca ressemblerait à quoi la ligne de commande pour autoriser le port 10021 ?
iptables -A FORWARD -p tcp --dport 10021 -j ACCEPT ?
oleole
Membre
Membre
 
Message(s) : 50
Inscription : 02 Sep 2006 11:32
Localisation : Liège

Re: Question Configuration FlyBox

Message par servperso » 18 Mars 2017 22:19

Ton port apparait en close, cela signifie que c'est pas iptables qui filtre.

Le mieux reste de tester de l'extérieur, sinon tu as quoi si tu fait un netstat -anpe quand ta ouvert ton reverse tunnel ? (sur le vps)
Blog adminsys et dev http://netsh.be - Twitter https://twitter.com/ced1202
servperso
Acharné
Acharné
 
Message(s) : 1211
Inscription : 28 Août 2007 02:05
Localisation : Liège

Re: Question Configuration FlyBox

Message par oleole » 18 Mars 2017 23:32

Pourtant si je fais "service iptables stop", le reverse fonctionne, j'arrive à me connecter sur machine2 depuis n'importe quelle machine sans problème.

Pour répondre à question, ça donne ça:

Code : Tout sélectionner
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        Utilisatr  Inode      PID/Program name   
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      0          1134312043 1/init             
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      0          1135352611 1110/sshd           
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      0          1134376501 513/sendmail: accep
tcp        0      0 0.0.0.0:10020           0.0.0.0:*               LISTEN      0          1139267626 2559/sshd: root     
tcp        0      0 94.xxx.xxx.107:59369     77.95.64.41:80          TIME_WAIT   0          0          -                   
tcp        0      0 94.xxx.xxx.107:22        178.xxx.xxx.246:17052     ESTABLISHED 0          1139267062 2559/sshd: root     
tcp        0      0 94.xxx.xxx.107:33131     80.237.136.138:80       TIME_WAIT   0          0          -                   
tcp        0      0 94.xxx.xxx.107:33132     80.237.136.138:80       TIME_WAIT   0          0          -                   
tcp        0      0 94.xxx.xxx.107:59695     108.59.10.97:80         TIME_WAIT   0          0          -                   
tcp        0      0 94.xxx.xxx.107:34077     88.150.173.210:80       TIME_WAIT   0          0          -                   
tcp        0      0 94.xxx.xxx.107:60876     91.215.65.226:80        TIME_WAIT   0          0          -                   
tcp        0      0 94.xxx.xxx.107:22        91.xxx.xxx.47:51141      ESTABLISHED 0          1145585150 3519/sshd: [email protected]
tcp        0      0 94.xxx.xxx.107:59368     77.95.64.41:80          TIME_WAIT   0          0          -                   
tcp        0      0 94.xxx.xxx.107:33139     80.237.136.138:80       TIME_WAIT   0          0          -                   
tcp        0      0 94.xxx.xxx.107:51158     93.113.36.66:80         TIME_WAIT   0          0          -                   
tcp        0      0 94.xxx.xxx.107:22        116.31.116.49:46496     ESTABLISHED 0          1145579086 3517/sshd: [accepte
tcp        0      0 94.xxx.xxx.107:59692     108.59.10.97:80         TIME_WAIT   0          0          -                   
tcp        0      0 94.xxx.xxx.107:59691     108.59.10.97:80         TIME_WAIT   0          0          -                   
tcp        0      0 94.xxx.xxx.107:59367     77.95.64.41:80          TIME_WAIT   0          0          -                   
tcp6       0      0 :::80                   :::*                    LISTEN      0          1134314109 181/httpd           
tcp6       0      0 :::22                   :::*                    LISTEN      0          1135352620 1110/sshd           
tcp6       0      0 :::10020                :::*                    LISTEN      0          1139267627 2559/sshd: root     
Sockets du domaine UNIX actives(serveurs et établies)
Proto RefCnt Flags       Type       State         I-Node   PID/Program name     Chemin
unix  2      [ ACC ]     STREAM     LISTENING     1134314008 242/saslauthd        /run/saslauthd/mux
unix  2      [ ACC ]     STREAM     LISTENING     1134312041 1/init               /var/run/rpcbind.sock
unix  2      [ ACC ]     STREAM     LISTENING     1134312044 1/init               /var/run/dbus/system_bus_socket
unix  2      [ ]         DGRAM                    1134308554 1/init               /run/systemd/notify
unix  2      [ ]         DGRAM                    1134308556 1/init               /run/systemd/cgroups-agent
unix  2      [ ACC ]     STREAM     LISTENING     1134308558 1/init               /run/systemd/private
unix  2      [ ]         DGRAM                    1134308565 1/init               /run/systemd/shutdownd
unix  2      [ ACC ]     SEQPACKET  LISTENING     1134308573 1/init               /run/udev/control
unix  2      [ ACC ]     STREAM     LISTENING     1134308586 1/init               /run/systemd/journal/stdout
unix  5      [ ]         DGRAM                    1134308589 1/init               /run/systemd/journal/socket
unix  9      [ ]         DGRAM                    1134308591 1/init               /dev/log
unix  2      [ ]         DGRAM                    1145617093 1/init               
unix  2      [ ]         DGRAM                    1145585431 3519/sshd: [email protected] 
unix  3      [ ]         STREAM     CONNECTE      1145579117 3517/sshd: [accepte 
unix  3      [ ]         STREAM     CONNECTE      1145579116 3518/sshd: [net]     
unix  2      [ ]         DGRAM                    1139267426 2559/sshd: root     
unix  2      [ ]         DGRAM                    1134376973 557/sendmail: Queue 
unix  2      [ ]         DGRAM                    1134314068 513/sendmail: accep 
unix  2      [ ]         DGRAM                    1134313998 242/saslauthd       
unix  2      [ ]         DGRAM                    1134313294 186/crond           
unix  3      [ ]         STREAM     CONNECTE      1134313244 110/systemd-journal  /run/systemd/journal/stdout
unix  3      [ ]         STREAM     CONNECTE      1134313192 186/crond           
unix  3      [ ]         STREAM     CONNECTE      1134313015 110/systemd-journal  /run/systemd/journal/stdout
unix  3      [ ]         STREAM     CONNECTE      1134313005 181/httpd           
unix  3      [ ]         STREAM     CONNECTE      1134312804 164/dbus-daemon     
unix  3      [ ]         STREAM     CONNECTE      1134312803 164/dbus-daemon     
unix  2      [ ]         DGRAM                    1134312557 168/xinetd           
unix  3      [ ]         STREAM     CONNECTE      1134312806 164/dbus-daemon      /var/run/dbus/system_bus_socket
unix  3      [ ]         STREAM     CONNECTE      1134312503 156/systemd-logind   
unix  2      [ ]         DGRAM                    1134312489 156/systemd-logind   
unix  3      [ ]         STREAM     CONNECTE      1134312530 110/systemd-journal  /run/systemd/journal/stdout
unix  3      [ ]         STREAM     CONNECTE      1134312447 164/dbus-daemon     
unix  3      [ ]         STREAM     CONNECTE      1134312805 164/dbus-daemon      /var/run/dbus/system_bus_socket
unix  3      [ ]         STREAM     CONNECTE      1134312409 1/init               
unix  3      [ ]         STREAM     CONNECTE      1134312109 110/systemd-journal  /run/systemd/journal/stdout
unix  3      [ ]         STREAM     CONNECTE      1134312100 156/systemd-logind   
unix  3      [ ]         DGRAM                    1134310514 112/systemd-udevd   
unix  3      [ ]         DGRAM                    1134310513 112/systemd-udevd   
unix  2      [ ]         DGRAM                    1134308814 112/systemd-udevd   
unix  3      [ ]         STREAM     CONNECTE      1134311242 110/systemd-journal  /run/systemd/journal/stdout
unix  3      [ ]         STREAM     CONNECTE      1134308701 112/systemd-udevd 
oleole
Membre
Membre
 
Message(s) : 50
Inscription : 02 Sep 2006 11:32
Localisation : Liège

Re: Question Configuration FlyBox

Message par servperso » 18 Mars 2017 23:47

Ah alors c'est que sur ton iptables ta fait un REJECT et pas un drop
Essaye avec un I plutot qu'un A pour mettre en haut de la file

En plus ta règle concerne le forward, sauf que vu que ssh fait le proxy TCP, t'es en input.
Voici ta règle corrigée, essaye et on verra :)
iptables -I INPUT -p tcp --dport 10021 -j ACCEPT
Blog adminsys et dev http://netsh.be - Twitter https://twitter.com/ced1202
servperso
Acharné
Acharné
 
Message(s) : 1211
Inscription : 28 Août 2007 02:05
Localisation : Liège

Re: Question Configuration FlyBox

Message par oleole » 18 Mars 2017 23:54

Bingo :) :) :) :)
Merci beaucoup pour ton aide !
J'en ai profité pour arrêter les services httpd et sendmail qui étaient sollicités sans cesse, et j'ai installé fail2ban.
Je crois que je suis paré, je vais tester encore une semaine ou deux.

Encore merci!
oleole
Membre
Membre
 
Message(s) : 50
Inscription : 02 Sep 2006 11:32
Localisation : Liège

Re: Question Configuration FlyBox

Message par servperso » 19 Mars 2017 00:02

No soucis :)
Blog adminsys et dev http://netsh.be - Twitter https://twitter.com/ced1202
servperso
Acharné
Acharné
 
Message(s) : 1211
Inscription : 28 Août 2007 02:05
Localisation : Liège


Retour vers Orange (Internet)

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit