ADSL-BC

[AmigaPhil]

Bonjour,

J'éprouve quelques difficultés à configurer le mur de feu de mon Sagem pour autoriser les jeux en réseau avec ma PS3.
Voici ma config.:

Code : Tout sélectionner

modem  --->  routeur  --->  console
Sagem        Linksys        Playstation3
F@st 3464    WRT54GS        (slim)


Le mur de feu du Sagem est réglé sur Maximum security (tous les ports fermés sauf les services principaux en sortie). J'ai ajouté l'ouverture des ports suivants en sortie:

Code : Tout sélectionner

PSN - TCP any -> 5223
      UDP any -> 3478
      UDP any -> 3479
      UDP any -> 3658


C'est suffisant pour que la console puisse se connecter à internet, au Playstation Network et au Playstation Store, mais pas pour permettre un jeu en réseau (la console de donne pas de détails autre que "erreur réseau" ou "vous êtes déconnecté").

Je suppose que dans ce cas (jeu réseau, chat, invitation d'ami), il est nécessaire d'ouvrir des ports en entrée.
Le routeur Linksys est configuré pour rediriger les paquets entrants sur les ports 3478, 3479, 3658 vers l'adresse IP de la console.
A titre d'essai, j'ai temporairement désactivé le mur de feu du Sagem (Minimum security), et là, les jeux en réseau sont possibles.

J'essaye donc de configurer le Sagem pour conserver la sécurité haute du LAN et n'ouvrir que les ports qui sont réellement nécessaires.
Pas question de mettre la console en DMZ (le modem ne voit d'ailleurs que l'IP du routeur).

J'ai tenté d'ouvrir les 3 ports UDP en entrée sur le Sagem en créant une règle "Port Triggering", mais soit je m'y suis mal pris, soit il y a d'autres ports à ouvrir (?)

Quelqu'un a une idée ?

[gdaelen]

mettre le routeur en dmz pour la box et utiliser le pare-feu et les redirections sur le routeur

[RippeR]

En sécurité haute, les ports non spécifiés sont fermés en entrée et en sortie...

C'est pratiquement ingérable, les applications utilisant pour sortir un port aléatoire et se connectent sans doute sur un port distant que tu ne connais pas. Il te faut configurer un tas de règles en sortie.

Le plus simple est de mettre sur sécurté normal, CAD out permis et IN bloqué.


Et si tu es parano, un FW logiciel sur les PC.

D'autre part, si tu as un router derrière ta BB, celle-ci n'est pas en bridge ?

[AmigaPhil]

mettre le routeur en dmz pour la box et utiliser le pare-feu et les redirections sur le routeur

Ouch, oui, mais je n'aime pas trop l'idée d'exposer le routeur.
Ses options de configuration du firewall sont un peu limitée.

- Firewall Protection
Enable or disable the SPI firewall.

- Block WAN Request
By enabling the Block WAN Request feature, you can prevent your network from being "pinged," or detected, by other Internet users. The Block WAN Request feature also reinforces your network security by hiding your network ports. Both functions of the Block WAN Request feature make it more difficult for outside users to work their way into your network. This feature is enabled by default. Uncheck to disable this feature.

- Filter Multicast
Enable this option if you do not wish to receive multicast traffic that is sometime sent by your ISP.

- Filter Internet NAT Redirection
This feature uses Port Forwarding to prevent access to local servers from your local networked computers.

- Filter IDENT (Port 113)
Prevent outside intruders from attacking the router through the internet using service port 113. Select Enable to prevent attack through this service port. However, some applications may require this service port to be available. If needed, uncheck to allow those applications to work

Ces cinq options sont activées chez moi, mais au bout du compte, je ne sais pas vraiment ce qui est bloqué ou pas.
A priori, je fais plus confiance au firewall du modem (et je préfère que la protection soit au plus près du robinet).

Enfin, je garde ton idée sous le bras...

[AmigaPhil]

C'est pratiquement ingérable, les applications utilisant pour sortir un port aléatoire et se connectent sans doute sur un port distant que tu ne connais pas. Il te faut configurer un tas de règles en sortie.

Selon le manuel en ligne de Sony:

Connexion à PlayStation®Network

Lors de l'utilisation de PlayStation®Network dans un bureau ou un immeuble, des fonctions de sécurité comme un pare-feu risquent de bloquer les communications. Dans ce cas, reportez-vous aux instructions suivantes.

Dans PlayStation®Network, vous pouvez communiquer avec les serveurs PlayStation®Network sur Internet ou directement avec d'autres systèmes PS3™. La communication avec les serveurs PlayStation®Network sur Internet a principalement lieu lors :

* De la connexion / déconnexion
* De l'utilisation de votre Liste d'amis ou de votre Liste noire
* De l'échange de messages
* De l'utilisation de (PlayStation®Store)

Les numéros de ports des serveurs PlayStation®Network utilisés dans ce cadre sont TCP : 80, 443, 5223 et UDP : 3478, 3479.

Pour le chat vocal / vidéo et l'utilisation d'un jeu en ligne, la communication directe avec d'autres systèmes PS3™ est utilisée pour la transmission de données durant le chat vocal / vidéo et l'utilisation d'un jeu en ligne. Le numéro de port utilisé dans ce cadre est UDP : 3658. Toutefois, vous risquez de devoir utiliser un numéro de port différent lorsque vous êtes connecté à l'aide d'un routeur NAT.

Conseils

* Lorsque vous utilisez un routeur, la communication directe avec d'autres systèmes PS3™ peut être limitée en fonction du type de routeur et de ses paramètres. Lors de l'utilisation d'un routeur compatible UPnP, activez la fonctionnalité UPnP.
* La communication peut être limitée par des routeurs et des fonctions de sécurité offertes par des fournisseurs de services Internet. Reportez-vous aux instructions fournies avec le périphérique réseau et aux informations de votre fournisseur de services Internet.

Le plus simple est de mettre sur sécurté normal, CAD out permis et IN bloqué.

Sauf erreur de ma part, mais d'après ce que j'ai pû lire sur le web, les ports 3478, 3479, 3658 (UDP) doivent aussi être ouverts en entrée.
Le niveau moyen (Typical security) du firewall ne résoud pas le problème du jeu en ligne (je re-vérifierai plus tard ce soir).

Et si tu es parano, un FW logiciel sur les PC.

Bof, je ne me sents pas trop vulnérable.
Mon 1er PC allumé 24/24 (mais eth0 activé seulement en cas de besoin) est un Amiga (si, si )
Le second tourne sous Linux (pas de Windows chez moi).
M'enfin, il vaut quand même mieux prévenir les problèmes là où il peuvent surgir...

Je suis assez surpris de constater le nombre de modem (et autres) qui sont accessibles et vulnérables par le web. J'ai trouvé un Sagem dont toutes les options "Remote administration" étaient décochées, mais dont le firewall était au minimum.

D'autre part, si tu as un router derrière ta BB, celle-ci n'est pas en bridge ?

Non. En dehors de l'adresse IP (192.168.1.1 est utilisé par mon routeur) et d'un ajustement du firewall, j'ai conservé la configuration par défaut (càd. il se connecte en PPPoE et attribue une adresse dynamique au routeur).
Moins de manipulation à faire si je dois déménager le modem ou si je veux brancher un PC directement dessus.

[AmigaPhil]

C'est pratiquement ingérable, les applications utilisant pour sortir un port aléatoire et se connectent sans doute sur un port distant que tu ne connais pas. Il te faut configurer un tas de règles en sortie.

Tu as raison, les jeux ne se limitent pas forçément aux ports utilisés par PSN.

J'ai testé 2 jeux, en examinant les ports bloqués.

- Alien Breed Impact: J'ai pû démarrer une partie en ligne après avoir ouvert la sortie aux paquets TCP vers les ports 3478-3480. Pas besoin d'ouvrir de ports en entrée.
(c'est la toute première fois que je joue en réseau )

- Uncharted 2 Amongst Thieves: là, c'est une autre paire de manches.
La connection vers un site d'authentification Playstation/Sony échoue parce qu'un paquet sortant vers le port https 443 (pourtant ouvert) a été bloqué.
(Je n'ai plus les détails sous la main parce que le Security Log est depuis rempli par d'autres messages, mais la raison fournie était quelque chose comme "Suspected TCP reset")
D'autres paquets sortant bloqués (ex. vers le port 3233 IIRC), des paquets entrants, ...

Bref, c'est effectivement ingérable d'essayer d'ouvrir les ports "à la main" selon les besoins du moment.
Je vais examiner l'option UPnP ...

Edit: un exemple du "TCP reset attack":

Code : Tout sélectionner

Sep 12 23:50:15 2010   Outbound Traffic   Blocked - Packet invalid in connection   tcp reset attack is suspected: TCP 83.134...:61058->198.107.158.197:443 on ppp0


Ce bloquage intervient simplement après un test de connexion internet depuis la Playstation, et avec l'IP du routeur en DMZ (???)

[AmigaPhil]

Je suis assez surpris de constater le nombre de modem (et autres) qui sont accessibles et vulnérables par le web.

... et par le nombre de "Blocked - Remote administration" (port 23) enregistré dans le Security Log sur une seule journée.

[AmigaPhil]

Je vais examiner l'option UPnP ...

Rapport d'enquête...

- Pour le UPnP, ça marche pô ... et je ne sais toujours pas pourquoi (il faut dire que je ne comprends pas très bien comment il fonctionne. Est-ce qu'un port particulier doit aussi être ouvert pour que le message puisse passer ?)
UPnP est activé sur la console, et aussi sur le routeur Linksys. Mais selon l'état du réseau donné par la console, le UPnP est "non disponible". (?)

- En ce qui concerne le message log "Packet invalid in connection tcp reset attack is suspected", je viens de re-faire un essai:
Dès l'allumage de la console, une connexion internet est établie. Deux paquets https sont envoyés par la console vers:
-- 199.108.4.73 (auth.np.ac.playstation.net)
-- 198.107.158.165 (service.playstation.net)
et sont bloqués par le Sagem.

D'après ce que je comprends du TCP reset, la démarche de la console me semble légitime: puisqu'une nouvelle connexion internet vient d'être établie, on clôt toute éventuelle précedente connexion TCP.
Coté Sagem, la démarche de bloquer systématiquement tout TCP reset m'apparaît plus floue.
Après une rapide recherche sur le web, il semblerait que ce problème soit lié (encore !) au firmware du Sagem (actuellement, j'ai le Runtime Code Version 6OS105-6OS005). Quelqu'un peut confirmer ?

De plus en plus, je me demande si les quelques soucis que je rencontre ne sont pas dû à des malfonctions du Sagem. Ce n'est pas très gênant pour naviguer sur le web ou collecter ses mails, mais les interruptions ou ralentissements inattendus peuvent l'être avec le streaming ou les jeux en ligne.
Serait-il utile de démarrer un nouveau topic pour recencer les problèmes rencontrés avec le Sagem 3464 ? (Est-ce que les développeurs de firmware lisent ce forum ?)

[gdaelen]

mettre le routeur en dmz pour la box et utiliser le pare-feu et les redirections sur le routeur

je persiste et signe...
[edit] au moins pour faire un essai [/edit]
qu'est ce qui te fait dire que le pare feu du routeur est moins bon que celui du sagem ?

[AmigaPhil]

mettre le routeur en dmz pour la box et utiliser le pare-feu et les redirections sur le routeur

je persiste et signe...
au moins pour faire un essai

J'avais déjà fait un essai rapide non concluant, j'ai à nouveau testé cette option hier (voir ci-dessous).

qu'est ce qui te fait dire que le pare feu du routeur est moins bon que celui du sagem ?

Je n'en sait rien. C'est juste que les options de configuration du firewall et de la journalisation (log) sur le Linksys sont beaucoup moins détaillées que que le Sagem. Il est plus difficile de vérifier avec précision ce qui passe ou pas. (Voir remarque ci-dessous. Comment vérifier par exemple si les paquets sortant en TCP vers 3478 sont bloqués en temps normal, càd. sans UPnP.)
Ceci dit, je n'ai jusqu'à présent pas eu à me plaindre du routeur, contrairement au Sagem qui réserve quelques surprises...

J'ai donc remis l'IP du routeur (Linksys) en DMZ (Advanced settings -> Firewall -> DMZ host). Je teste avec le jeu "Alien Breed", et surprise, le routeur n'est PAS en DMZ (les paquets sortant en TCP vers 3478 sont toujours bloqués par le Sagem).
Au cas où le Sagem ne prendrait pas en considération une IP en bail (DHCP), je désactive la distribution d'adresse IP (DHCP server) pour l'interface LAN, et j'attribue une IP statique au Linksys. Rien n'y fait.

Je décide alors de créer une règle dans Advanced filtering pour autoriser tous les paquets sortants venant du Linksys et tous les paquets entrants vers l'IP du Linksys (en pratique, c'est comme désactiver le firewall pour cette adresse).
- Test avec Alien Breed: ça marche maintenant.
- Test avec Uncharted 2: Une connexion avec le serveur de jeu est initialisée, mais ça rame pas mal. Au bout de quelques minutes, je vais voir ce qu'il se passe dans le Security log: BEAUCOUP de "tcp reset attack is suspected" et de "First packet in connection is not a SYN packet". Je me dis aussi que peut-être les paquets entrants avec l'IP publique (WAN) du modem ne sont pas reconnus comme destinés au routeur, et continuent donc d'être filtrés (me trompe-je ?).
- Re-test Uncharted 2 après avoir abaissé le réglage général du firewall à "Minimum Security" (tous paquets entrants et sortants autorisés): et maintenant, ça marche aussi. Cependant, le log continue d'enregistrer des bloquages de même type.

Remarque: J'ai supprimé les règles de forwarding que j'avais entré dans le Linksys. Puisque le test "Alien Breed" a été concluant, j'en déduit que:
- soit le UPnP fonctionne au moins jusqu'au routeur et ouvre sur celui-ci les ports demandés par le jeu (TCP vers 3478, 3479 ou 3480),
- soit le firewall du Linksys est une passoire (?)

Conclusions provisoires:
- Il Y A un (des) problème(s) avec le firmware actuel du Sagem (Scarlet box, Runtime Code Version 6OS105-6OS005),
- Le firewall n'est pas stable (voir aussi les fils de discussion: "pas moyen de ce connecté a un seveur de jeu" et "(Sagem) log firewall")
- Le firewall ignore (?) le DMZ host.

A essayer:
- Désactiver le firewall au niveau de l'interface WAN (Advanced settings -> Network interfaces -> WAN PPPoE),
EDIT: Déconseillé ! (voir ce message)
- Eteindre le modem quelques minutes, le rallumer et attendre la fin des synchros, puis faire un reset. (Cela semble parfois résoudre des problèmes que d'autres utilisateurs ont rencontrés.)
- ...

[gdaelen]

et dans
(Advanced settings -> Firewall -> général : la sécurité est maximun ou typical ?

[AmigaPhil]

et dans
(Advanced settings -> Firewall -> général : la sécurité est maximun ou typical ?

Maximum Security en temp normal (voir premier post).
Je change les réglages pour les besoins de tests, et je reviens à la configuration initiale ensuite (pour éviter de compliquer les choses si jamais j'oublie que j'ai modifié ceci ou cela).

Comment vérifier par exemple si les paquets sortant en TCP vers 3478 sont bloqués en temps normal, càd. sans UPnP. [ ... sur le routeur Linksys ]

Stupide de ma part. Il suffit que je désactive le UPnP sur le Linksys, je lance un jeu, et si les paquets habituellement bloqués (dans le log du Sagem) n'apparaissent plus, c'est qu'ils sont bloqués au niveau du routeur (Linksys).
(Je ne peux faire d'autres tests que plus tard ce soir.)

- Désactiver le firewall au niveau de l'interface WAN (Advanced settings -> Network interfaces -> WAN PPPoE)

Pas encore testé avec un jeu, mais si je désactive le firewall pour le WAN PPPoE, la page status -> Gateway montre que le firewall est toujours "enable". (idem si je désactive le firewall pour l'interface Wan ethoa0 ppp)

[AmigaPhil]

Suite de l'enquête...

1° (test de l'UPnP du routeur Linksys)
Je désactive l'UPnP du Linksys et je lance le jeu Alien Breed. Les paquets TCP vers 3480 arrivent toujours sur (et sont bloqués par) le Sagem.
Ce n'est donc pas l'UPnP qui ouvre les ports nécessaires, mais le firewall du Linksys qui laisse passer les paquets sortants. (J'aurais dû le deviner plus tôt puisque les paquets UDP pour le réseau PSN passaient déjà.)

2° (désactivation du firewall du sagem au niveau de l'interface WAN PPPoE) EDIT: Déconseillé ! (voir ce message)
Malgré le "firewall enable" affiché sur la page status, il semble bien que le firewall est désactivé; les deux jeux test fonctionnent !
Note: le Security log continue cependant à enregistrer des paquets bloqués pour cause de "TCP reset suspected".

3° (éteindre et rallumer le Sagem)
Après rétablissement du firewall (voir 2°), ajout de l'IP du Linksys en DMZ (Advanced settings -> Firewall -> DMZ host). J'eteints le modem quelques minutes, je le rallume mais je ne fais pas de reset (pour ne pas avoir à tout reconfigurer). Test des 2 jeux: ça ne marche toujours pas.

C'est tout pour aujourd'hui en ce qui concerne les tests.


Autre solution envisagée:
Puisque je n'utilise pas le wi-fi du Sagem, puisque son firewall est ...disons douteux, et puisque de toute façon juste derrière le modem il n'y a que le router Linksys, Je pourrais peut-être utiliser le Sagem en bridge et laisser le Linksys faire le PPPoE (?)
(J'ignore cependant comment m'y prendre coté Sagem. Suffit-il de changer, pour l'interface WAN PPPoE -> Underlying Connection, le "Wan ethoa0 PPP" pour "Lan Bridge" ?)
- Si je fais cela, est-ce que les mises-à-jour de firmware seront encore possible (toute correction de bug est bienvenue) ? Est-ce qu'elles se font via l'interface Wan ethoa1 VoIP ?

Une des raisons pour lesquelles je n'aime pas trop laisser tous les ports ouverts en sortie est que j'accepte occasionellement un portable Windows dans mon réseau wi-fi (sécurisé, cela va de soi). Or, je n'ai pas une grande confiance dans les applications utilisées (trojans et autres...); c'est ce qui m'embête avec juste le firewall du Linksys qui n'offre pas une gestion précise des paquets entrants/sortants.


Last note: Je viens de découvrir (sur le Sagem), le System Log.
On dirait qu'une nouvelle mise-à-jour de firmware est sur le point d'arriver, mais non sans peine...

Code : Tout sélectionner

Sep 16 23:40:56 2010   System Log   Message   user.debug syslog: ain_autom.c(1991): Firmware upgrade not in progress... KEEP ALIVE !
 [repeated 97 times, last time on Sep 17 00:53:01 2010]

[AmigaPhil]

A propos du "System Log", à la date et heure de ce post (6h47 au moment où j'écris):

Code : Tout sélectionner

Sep 17 03:02:54 2010   System Log   Message   user.debug syslog: ain_autom.c(1991): Firmware upgrade not in progress... KEEP ALIVE !
 [repeated 300 times, last time on Sep 17 06:47:24 2010]
Sep 17 03:02:52 2010   System Log   Message   daemon.info failed queueing 12 messages
Sep 16 23:40:56 2010   System Log   Message   user.debug syslog: ain_autom.c(1991): Firmware upgrade not in progress... KEEP ALIVE !
 [repeated 269 times, last time on Sep 17 03:02:09 2010]


269 puis 300 tentatives de mise à jour du firmware
C'est quoi ce f.....r ???

[AmigaPhil]

2° (désactivation du firewall du sagem au niveau de l'interface WAN PPPoE)
Malgré le "firewall enable" affiché sur la page status, il semble bien que le firewall est désactivé; les deux jeux test fonctionnent !
Note: le Security log continue cependant à enregistrer des paquets bloqués pour cause de "TCP reset suspected".

WAIT A MINUTE !

Si je fais cela, mon modem est alors complètement accessible sur le net, indépendament du réglage:
Advanced settings -> LAN servers -> Access to the F@st3464 configuration from WAN -> Authorized access = No
(La configuration Remote Administration, sous Firewall, est elle aussi désactivée, donc ignorée.)

[AmigaPhil]

Vers un épilogue ?

Autre solution envisagée:
Puisque je n'utilise pas le wi-fi du Sagem, puisque son firewall est ...disons douteux, et puisque de toute façon juste derrière le modem il n'y a que le router Linksys, Je pourrais peut-être utiliser le Sagem en bridge et laisser le Linksys faire le PPPoE (?)
(J'ignore cependant comment m'y prendre coté Sagem. Suffit-il de changer, pour l'interface WAN PPPoE -> Underlying Connection, le "Wan ethoa0 PPP" pour "Lan Bridge" ?)

En fait, coté Sagem, il suffit juste de désactiver le WAN PPPoE (Advanced settings -> Interfaces). Le signal DSL passe toujours, et le Linksys peut l'exploiter en PPPoE.

Cette solution est la meilleure à ce jour. Elle offre plusieurs avantages:
- Les jeux en réseau fonctionnent (du moins les 2 jeux réseaux que je possède); c'était le but recherché.
- Le LAN reste protégé de l'extérieur.
- Plus besoin de se casser la tête à configurer le firewall du Sagem.
- Plus besoin de se soucier de la vulnérabilité du modem, il est invisible sur le net.

Inconvénients:
- La protection contre les intrusions de l'intérieur n'est plus aussi contrôlable (au niveau du Linksys). Mais comme le disait RippeR, un firewall logiciel sur les PC devraient jouer leur rôle.
- L'interface web du modem n'est plus accessible en local. (Voir: Linksys WRT54GS: Ajouter une route vers le Sagem ?; une solution reste possible.)

J'adopte donc cette configuration.

[berreone]

bravo pour ton courage et le temps que tu as passé.
perso j' ai pas réussi, trop novice en routeur, j' ai du loupé quelque chose

j' ai remarqué que certain jeu avait changé leur système de connexion
je peu y joué comme aion ...
mais world of warcraft impossible

[AmigaPhil]

bravo pour ton courage et le temps que tu as passé.
perso j' ai pas réussi, trop novice en routeur, j' ai du loupé quelque chose

Après les nombreux essais que j'ai effectué, j'en conclu que le sofware du Sagem n'est pas encore au point pour une utilisation plus spécifique d'internet (cf les jeux réseau).

La solution du routeur séparé offre plusieurs avantages. Entre-autres, il a en général 2 ou 4 ports ethernet, ce qui est déjà pratique pour connecter plusieurs machines sur le même réseau.
Les (simples) routeurs sont abordables. Je ne connais pas les autres marques, mais je recommande un Linksys (= Cisco, qui a une expérience et un savoir-faire dans la conception d'appareils de communication largement reconnu dans le monde).

Pour l'installation, coté Sagem, il suffit juste de désactiver l'interface Wan PPPoE. Pour le routeur, il faut lui donner une adresse autre que 192.168.1.x (ou changer, comme je l'ai fait, l'IP du modem); puis le configurer en PPPoE avec les données du FAI. C'est tout.
Je ne connais pas WoW, mais je pense qu'il fonctionnera avec cette configuration.