cerhu > comp.divers.* > comp.reseaux.ip

laurent (08/12/2018, 22h49)
bonjour a tous,
je ne suis pas specialiste ethernet et j'ai besoin d'un petit conseil...

deux 2 appareils sur un reseau local avec une adresse ip sauf qu'elles
utilisent le meme port pour communiques.

j'ai cree une regle nat sur la box (livebox avec ip fixe) avec le port
d'entre et de sortie vers une adresse interne qui correspond a un
appareil, normal.

j'utilise 2 logiciels different (avec le meme port) pour communiquer
avec chaque appareil a traver internet et donc selon celui que
j'utilise, je vais sur la page de configuration de la box a travers
internet pour modifier la regle nat afin de la faire "pointer" vers la
bonne ip en interne.

ca fonctionne tres bien mais c'est pas simple, a chaque fois je me
connect a la box, je modifie la regle nat puis je lance le logiciel de
connexion.

y a t'il un moyen de faire autrement?

pour info, les logiciels communiquent sur un port qui ne peut pas etre
changer.

merci,
laurent.
Olivier Miakinen (09/12/2018, 00h04)
Bonjour,

Le 08/12/2018 21:49, laurent a écrit :
> bonjour a tous,
> je ne suis pas specialiste ethernet et j'ai besoin d'un petit conseil...


Je n'ai rien compris à ta configuration. Alors je laisse d'abord les
autres répondre, au cas où quelqu'un comprendrait mieux que moi. Sinon,
essaye d'expliquer un peu mieux (par exemple en donnant précisément
chaque adresse IP utilisée, chaque numéro de port utilisé sur chaque
adresse, et comment tout ça communique). En dernier ressort, si personne
n'a compris et que tu ne sais pas expliquer par toi-même, j'essaierai de
t'extirper les infos une à une avec des question précises.
Pascal Hambourg (09/12/2018, 00h53)
Le 08/12/2018 à 21:49, laurent a écrit :
> bonjour a tous,
> je ne suis pas specialiste ethernet et j'ai besoin d'un petit conseil...


Ethernet et NAT n'ont rien à voir l'un avec l'autre.

> deux 2 appareils sur un reseau local avec une adresse ip sauf qu'elles
> utilisent le meme port pour communiques.


Cette phrase contient tellement de fautes qu'elle est incompréhensible.

[..]
> y a t'il un moyen de faire autrement?
> pour info, les logiciels communiquent sur un port qui ne peut pas etre
> changer.


Avec un relais de port sur la machine cliente. Un des logiciels se
connecte au port X local sur lequel le relais écoute. Il redirige la
connexion vers le port Y de la box. La box redirige le port Y vers
l'adresse de l'appareil sur le port X.
laurent (09/12/2018, 12h40)
Le 08/12/2018 à 23:53, Pascal Hambourg a écrit :
> Le 08/12/2018 à 21:49, laurent a écrit :
> Ethernet et NAT n'ont rien à voir l'un avec l'autre.
>> Cette phrase contient tellement de fautes qu'elle est incompréhensible.
>> Avec un relais de port sur la machine cliente. Un des logiciels se

> connecte au port X local sur lequel le relais écoute. Il redirige la
> connexion vers le port Y de la box. La box redirige le port Y vers
> l'adresse de l'appareil sur le port X.


bonjour,

et merci de repondre.

donc je re-explique le tout.

soit une machine "A" et une machine "B" en reseau derriere une box
(livebox) quelque part dans le monde.

(le terme "machine" n'est pas un PC, c'est par exemple une camera ou un
boitier domotique ou ...)

machine A:
-IP fixe local: 192.168.1.100
-protocol: TCP
-port: 10000

machine B:
-IP fixe local: 192.168.1.101
-protocol: TCP
-port: 10000

(les 2 IP fixes sont reserves dans le serveur DHCP de la box)

soit un logiciel "LA" pour se connecter avec la machine A et un logiciel
"LB" pour se connecter a la machine B

de chez moi ou de n'importe ou sur internet je souhaite me connecter
soit a la machine A, soit a la machine B avec le logiciel correspondant
a chaque machine.

le port de communication de chaque logiciel n'est pas configurable (port
10000 comme les machines A et B)

j'ai cree un regle NAT dans la box avec les donnees suivantes:
-IP externe: toutes
-protocol: TCP
-port externe: 10000
-port interne: 10000
-IP interne: 192.168.1.100 (machine A)

de cette facon avec le logiciel "LA" de communication de la machine A et
l'adresse ip externe de la box je peux me connecter a la machine A de
n'importe ou sur internet.

quand j'ai besoin de me connecter a la machine B, je rentre dans la page
de configuration a distance de la box (c'est possible sur une livebox)
pour modifier la regle NAT ci-dessus afin qu'elle "pointe" vers
l'adresse ip 192.168.1.101 (machine B) et je peux donc ensuite me
connecter a la machine B avec le logiciel "LB"

ma question est:
peut on configurer la box afin de ne plus avoir a modifier la regle NAT
pour se connecter a la machine A ou B avec les logiciels "LA" ou "LB"?

merci.

PS: desole pour la premiere explication pas tres clair mais moi je me
comprend :-)
Pierre Léonard (09/12/2018, 13h10)
Bonjour,

Regarde si pour une des applications cible tu peux changer le port d'écoute.

Pierre Léonard

Le 08/12/2018 à 21:49, laurent a écrit :
[..]
Eric Masson (09/12/2018, 13h26)
laurent <laurent.linda> writes:

'Lut,

> (le terme "machine" n'est pas un PC, c'est par exemple une camera ou
> un boitier domotique ou ...)


Mauvaise idée d'exposer ces "trucs" sur le net via une redirection NAT,
leurs firmwares sont le plus souvent des tas de bugs pouvant être
exploités à des fins offensives via des scripts trouvables sans trop de
difficultés.

Bref, une solution d'accès distant sécurisé serait plus indiquée
(Wireguard, SoftEther, OpenVPN, autres) et permettrait d'éviter d'ouvrir
le réseau local à tous vents suite à l'exploitation d'une faille de l'un
des machins en accès public...
laurent (09/12/2018, 14h13)
Le 09/12/2018 à 12:10, Pierre Léonard a écrit :
> Bonjour,
> Regarde si pour une des applications cible tu peux changer le port d'écoute.
> Pierre Léonard

salut,
c'est le plus simple mais c'est impossible malheureusement.
laurent (09/12/2018, 14h16)
Le 09/12/2018 à 12:26, Eric Masson a écrit :
> laurent <laurent.linda> writes:
> 'Lut,
> leurs firmwares sont le plus souvent des tas de bugs pouvant être
> exploités à des fins offensives via des scripts trouvables sans trop de
> difficultés.
> Bref, une solution d'accès distant sécurisé serait plus indiquée
> (Wireguard, SoftEther, OpenVPN, autres) et permettrait d'éviter d'ouvrir
> le réseau local à tous vents suite à l'exploitation d'une faille de l'un
> des machins en accès public...


salut,
je sais bien que c'est pas super mais c'est la seule solution pour
l'instant et puis les appareils ne sont pas des "passoires" non plus,
c'est du matieriel "pro" normalement.
enfin, c'est pour cela que je desactive la regle NAT dans la box a
chaque fois que je n'ai pas besoin de meconnecter.
Eric Masson (09/12/2018, 14h29)
laurent <laurent.linda> writes:

'Lut,

> je sais bien que c'est pas super mais c'est la seule solution pour
> l'instant et puis les appareils ne sont pas des "passoires" non plus,
> c'est du matieriel "pro" normalement.


"Pro" ne veut rien dire dans ce domaine, même des marques ayant pignon
sur rue sortent des produits troués (quelques recherches sur la base CVE
sont souvent instructives).

La seule véritable solution est de ne pas les exposer sur un accès
public.
laurent (09/12/2018, 15h45)
Le 09/12/2018 à 13:29, Eric Masson a écrit :
> laurent <laurent.linda> writes:
> 'Lut,
>> "Pro" ne veut rien dire dans ce domaine, même des marques ayant pignon

> sur rue sortent des produits troués (quelques recherches sur la base CVE
> sont souvent instructives).
> La seule véritable solution est de ne pas les exposer sur un accès
> public.


ok, j'ai bien compris donc heureusement que je desactive la regle NAT a
chaque fois que je n'en ai pas besoin...

merci et bonne journee.
Nicolas George (09/12/2018, 15h59)
laurent , dans le message <puj6a4$1j04$1>, a écrit :
> ok, j'ai bien compris donc heureusement que je desactive la regle NAT a
> chaque fois que je n'en ai pas besoin...


Et les attaquants, bien poliment, s'abstiennent d'attaquer pendant que
tu l'as activée.

Sérieusement, tu as posé la question et obtenu la réponse de quelqu'un
qui s'y connaît bien : suis ses recommandations.
Olivier Miakinen (09/12/2018, 16h16)
Le 09/12/2018 11:40, laurent a écrit :
[..]
> le port de communication de chaque logiciel n'est pas configurable (port
> 10000 comme les machines A et B)
> j'ai cree un regle NAT dans la box avec les donnees suivantes:
> -IP externe: toutes
> -protocol: TCP
> -port externe: 10000
> -port interne: 10000
> -IP interne: 192.168.1.100 (machine A)


Cette fois c'est clair.

Tout d'abord, je pense que la solution dont parle Éric Masson serait à
la fois la plus sécurisée et la plus simple.

Cette solution mise à part, es-tu vraiment certain que les logiciels
que tu utilises n'ont aucun moyen de changer de numéro de port ? Ça
pourrait se faire par une option de lancement (-p le plus souvent) ou
par un changement dans le fichier /etc/services ou équivalent.

En dernier recours, je pourrais imaginer la solution suivante.

1) Dans la box, tu crées deux règles NAT :
a) port 10000 de la box -> port 10000 de la machine A
b) port 10001 de la box -> port 10000 de la machine B

2) Sur la machine où tournent tes logiciels, tu fais tourner un
démon qui a un rôle de NAT, avec la règle suivante :
c) port 10000 de localhost -> port 10001 de la box

Ainsi, tu lances le logiciel qui contrôle la machine A avec
l'adresse de la box, mais tu lances le logiciel qui contrôle
la machine B avec l'adresse localhost (127.0.0.1).

C'est une bidouille mais ça a une chance de fonctionner.
Pascal Hambourg (09/12/2018, 17h29)
Le 09/12/2018 à 15:16, Olivier Miakinen a écrit :
> Tout d'abord, je pense que la solution dont parle Éric Masson serait à
> la fois la plus sécurisée et la plus simple.


Plus sûr et simple à utiliser, certes. A mettre en place, c'est une
autre histoire. Si la box ne peut pas faire office de serveur VPN, il
faut le mettre en place sur une autre machine du LAN active en permanence.

> 1) Dans la box, tu crées deux règles NAT :
> a) port 10000 de la box -> port 10000 de la machine A
> b) port 10001 de la box -> port 10000 de la machine B
> 2) Sur la machine où tournent tes logiciels, tu fais tourner un
> démon qui a un rôle de NAT, avec la règle suivante :
> c) port 10000 de localhost -> port 10001 de la box
> Ainsi, tu lances le logiciel qui contrôle la machine A avec
> l'adresse de la box, mais tu lances le logiciel qui contrôle
> la machine B avec l'adresse localhost (127.0.0.1).


C'est exactement ce que je suggérais dans mon message précédent.
Eric Masson (09/12/2018, 18h03)
Pascal Hambourg <pascal> writes:

'Lut,

> Plus sûr et simple à utiliser, certes. A mettre en place, c'est une
> autre histoire. Si la box ne peut pas faire office de serveur VPN, il
> faut le mettre en place sur une autre machine du LAN active en
> permanence.


Une LB ne fait pas office de serveur VPN à ma connaissance (probablement
pour une raison commerciale d'ailleurs, car le hardware le permettrait
sans soucis majeurs).

S'il y a un NAS commercial, genre Synology ou QNAP sur le réseau, le
problème est réglé (voir les tutoriels sur les sites des fabricants
respectifs, je l'ai déjà mis en place sur un Synology en DSM 5.x chez un
abonné Orange de ma connaissance).

Je suppose que l'on doit aussi pouvoir trouver des distri dédiées RPI
permettant de monter un serveur VPN en deux temps, trois mouvements, non
?
laurent (09/12/2018, 18h56)
Le 09/12/2018 à 14:59, Nicolas George a écrit :
> laurent , dans le message <puj6a4$1j04$1>, a écrit :
>> ok, j'ai bien compris donc heureusement que je desactive la regle NAT a
>> chaque fois que je n'en ai pas besoin...

> Et les attaquants, bien poliment, s'abstiennent d'attaquer pendant que
> tu l'as activée.
> Sérieusement, tu as posé la question et obtenu la réponse de quelqu'un
> qui s'y connaît bien : suis ses recommandations.


bien sur que non mais faire 600m aller/retour pour modifier/lire 2
"conneries" c'est pas tres "eco" :-)

Discussions similaires
problème libgnutls12+ problème nvidia-glx lors du dist-upgrade

probleme dns ? probleme gpo ? probleme xp ? je ne sais que faire.

SUSE 9 probleme de gravage yamaha cdrw (probleme de vidage de la memoire)

(KNOPPIX) Super débutant - Installation - Problème démarrage - Problème carte graphique


Fuseau horaire GMT +2. Il est actuellement 09h30. | Privacy Policy