Aller au contenu

[Résolu]Une Orange pour Noël ? KDO Firmware 3.103.16 Livebox 4 = Loopback KO


DaffY

Messages recommandés

Posté(e)

@papymey

Bonjour,

OK très bien, juste pour savoir STP, où atterris-tu lorsque tu tapes l'URL suivante : htttps://xxxxx.ddns_ndd.tld dans un navigateur Web sur un PC/Mac de ton réseau local ?

Bien évidemment xxxxx.ddns_ndd.tld correspond à un périphérique de ton réseau local ou une application de ton NAS (par ex : audio.ddns_ndd.tld).

Cordialement

oracle7😉

  • Réponses 108
  • Créé
  • Dernière réponse
Posté(e)

Bonjour,

Sauf erreur c’est le routage des ports 80 et 443 qui sont ko (avec un lien vers le certificat ssl Orange et non celui du device ssl visé).
Donc un https://ndd:5001 fonctionne
Mais le même https://ndd lui ext ko tout comme u. Accès via pro y sauf...à jouer en tête avec port différent du 80.

Posté(e)

Ma LB4 a migré.
Le nouveau firmware inclut un nouveau type de règle dans les FW (v4 et v6).
Par défaut, aucun protocole n'est autorisé. Il faut donc les ouvrir dans chacun des deux Firewall, au besoin.
Chez moi, le LoopBack semble ok.

A noter qu'une des règles d'ouverture de port du  FW v6 avait également sauté

Posté(e)

@papymey

Bonjour,

Bah quand tu sera chez toi ...

PS Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait).

 Cordialement

oracle7😉

Posté(e)

J’ai été moi aussi impacté par ce firmware moisi...

Avec l’aide de @oracle7 @.Shad. @maxou56 j’ai mis en place un routeur (un Synology RT2600ac) derrière la LB4. Du coup plus de soucis.

La solution de mettre un serveur DNS sur le NAS ne me semblait pas pertinent pour mon utilisation d’autant que j’ai sur le NAS un conteneur AdGuard Home qui fait serveur DNS pour mon LAN. Ce qui me posait soucis avec le serveur dns à faire sur le nas c’est que cette solution ne fonctionne que quand l’ordinateur est sur le LAN... car dès que je serais à l’extérieur de chez moi , rediriger le ndd vers l’ip lan ça ne fonctionnera pas...

bref je me suis payé un bon routeur et j’ai même gagné que le serveur vpn puisse utiiiser adguard home 🙂

sans parler du fait que je ne dépend plus de la Box pour mon LAN et ça ça n’a pas de prix , enfin presque 😅 

Posté(e)

En ce jour de Noël, oserais-je demander à l’un de vous, qui semble beaucoup plus au fait que moi de la conf idéale, ce que signifient les divers protocoles autorisés ou non, que ce soit en IPV4 ou en IPV6 dur ce nouveau firmware de Livebox ?

Ont-ils une utilité dans le fonctionnement de nos NAS ?

Merci !


Rédigé avec Tapatalk

Posté(e)

@StéphanH

Bonjour et joyeuses fêtes,

il y a 8 minutes, StéphanH a dit :

ce que signifient les divers protocoles autorisés ou non, que ce soit en IPV4 ou en IPV6 dur ce nouveau firmware de Livebox

Peux-tu STP préciser ta pensée à propos de ces "divers protocoles", des quels parles-tu ?

Cordialement

oracle7😉

Posté(e)

Merci @oracle7

Désormais, que ce soit dans les règles d'ouverture de port ou dans le FW, on peut définir un IP source (à priori une IP fixe, pas un NDD ni un masque ? je n'ai pas testé),

ainsi que les protocoles ci-dessous (c'est une copie d'écran pour IPV6, mais c'est identique pour v4):

1120722760_Capturedcran2020-12-2519_54_01.png.a54a236a6b302d299b153500d7f2f00e.png

A noter que par défaut, tout est bloqué

A noter également cette phrase qui déconseille de créer une règle sur le port 53 (service DNS)

Posté(e)

@StéphanH

Bonjour,

Du coup, je ne vais pas être d'un grand secours pour toi car comme je n'utilise pas l'IPv6 même si je l'ai laissé activé sur la LiveBox, je l'ai par contre désactivé sur mon routeur car cela me met un "patacaisse pas possible" avec mon serveur DNS Local (ralentissements importants du routeur, résolution locale inefficiente, etc ...).

J'ai bien vu ces protocoles dans le popup en question, mais j'ai aussi zappé cela, pour la raison précédente.

il y a 20 minutes, StéphanH a dit :

A noter également cette phrase qui déconseille de créer une règle sur le port 53 (service DNS)

Cela n'est pas nouveau et a toujours été indiqué sur les LiveBox (écrit tout petit dans un coin !) que j'ai eues.

Cordialement

oracle7😉

Posté(e)
il y a 2 minutes, oracle7 a dit :

Du coup, je ne vais pas être d'un grand secours pour toi car comme je n'utilise pas l'IPv6 même si je l'ai laissé activé sur la LiveBox, je l'ai par contre désactivé sur mon routeur car cela me met un "patacaisse pas possible" avec mon serveur DNS Local (ralentissements importants du routeur, résolution locale inefficiente, etc ...).

@oracle7 Ça ne pose pas de soucis de sécurité d'avoir l'IPv6 activé sur la box ? Je l'ai désactivé de peur que ça ouvre mon LAN sur l'extérieur sans sécurité...

Posté(e)

@StéphanH

Bonjour,

il y a 10 minutes, StéphanH a dit :

On trouve exactement la même fenêtre d'ouverture de protocoles pour IPV4 ...

Rien vu de cela pour l'IPv4, mais peut-être parce que ma Livebox est en DMZ avec le routeur derrière ?

@MilesTEG1

il y a 12 minutes, MilesTEG1 a dit :

Ça ne pose pas de soucis de sécurité d'avoir l'IPv6 activé sur la box ? Je l'ai désactivé de peur que ça ouvre mon LAN sur l'extérieur sans sécurité...

Effectivement, il vaut mieux être prudent, ne sachant pas, je vais faire comme toi (la désactiver complétement).

Cordialement

oracle7😉

Posté(e)
il y a 50 minutes, MilesTEG1 a dit :

Ça ne pose pas de soucis de sécurité d'avoir l'IPv6 activé sur la box ? Je l'ai désactivé de peur que ça ouvre mon LAN sur l'extérieur sans sécurité...

Sur Livebox 4 le pare-feu ipv6 est actif par defaut ( en tout cas chez moi ). Il filtre toute les connexions entrantes.

 

Posté(e)

Les FW v4 et v6 sont actifs par défaut.
Rien ne rentre depuis le WAN vers le LAN par défaut ...

Bon, je passerai donc ce Noël sans savoir qui sont GRÉ, iCMP et leur copains, et surtout s’ils servent à quelque chose pour nos NAS ...


(Rédigé avec Tapatalk)

Posté(e)

@EVOTk

Bonjour et joyeuses fêtes,

il y a 4 minutes, EVOTk a dit :

Il filtre toute les connexions entrantes.

Le problème c'est ce "toutes" ! Donc selon toi rien ne passe ?

Pourtant lors de mes essais d'activation IPv6 sur le routeur, j'avais bien des choses qui passaient car la connexion  VPN OpenVPN s'établissait un coup sur deux depuis mon smartphone 4G et cela fonctionnait sans problème. Où j'ai raté quelque chose voire pas tout compris ?

Maintenant comme je suis en DMZ, le pare-feu est aussi bypassé, non ? Ceci expliquant alors cela.

@StéphanH

Essayes à tout hasard du côté de lafibre.info peut-être que tu y trouveras une réponse. Sinon j'ai trouvé cela qui apporte partiellement une réponse sur ces protocoles.

Cordialement

oracle7😉

Posté(e)
il y a 28 minutes, EVOTk a dit :

Sur Livebox 4 le pare-feu ipv6 est actif par defaut ( en tout cas chez moi ). Il filtre toute les connexions entrantes.

@EVOTk Chez moi j'ai du passer le niveau du pare-feu en faible car j'ai placé un routeur derrière ^^

Après, si on peut faire des règles pour l'ipv6 dans le parefeu du routeur, ça devrait être OK, surtout si on ne met rien en ipV6 dans le LAN.

Posté(e)
il y a 18 minutes, oracle7 a dit :

Le problème c'est ce "toutes" ! Donc selon toi rien ne passe ?

Sont autorisé uniquement les connexions déja existante ou établie depuis l'intérieur du reseau ou seule permise dans les règles du pare-feu au dessus.

il y a 11 minutes, MilesTEG1 a dit :

Après, si on peut faire des règles pour l'ipv6 dans le parefeu du routeur, ça devrait être OK, surtout si on ne met rien en ipV6 dans le LAN.

La livebox ne possède un pare-feu IPV4/IPV6, on NAT pour l'ipv4 les ports qu'on veut, le reste est rejeté.

Ensuite, dans le section du pare-feu, il est possible de définir des régles IPV6, idem, on ouvre se que l'ont souhaite le reste est rejeté. Le pare-feu IPV6 n'est d'ailleurs pas désactivable.

 

R9eATN1.png

 

 

Posté(e)

Désolé, le terme "on NAT" était présent 2 fois ... Non, en Ipv6 c'est plutôt du filtrage, par un pare-feu.

Posté(e)

IPv6, tant que tu n'as pas une vision claire du fonctionnement, n'ouvre rien.

Je n'ai pas spécialement de documentation à fournir pour t'aider, au gré des recherches Google. ICMP (grossièrement, le ping) et le router advertisement sont deux notions phares, ainsi que path mtu discovery.

Perso ça m'a pris plusieurs semaines pour comprendre les différences avec IPv4 (elles sont nombreuses).

 

Posté(e)

@oracle7 : je viens de me rendre compte que j'avais pas du valider le mode "faible" pour le parefeu de la box : 
image.png.be1f9cee4863cef138ce44dbd431e5aa.png

 

Et pourtant tout fonctionne avec le routeur derrière...
J'ai raté un truc ? Ou bien en fait il n'est pas nécessaire de le passer en mode faible ce parefeu ?


Et du coup, dans ce mode, si j'active l'ipV6 de la box, ça craint pour mon LAN ? (sachant que j'ai aussi la LB4 relié à un switch lui même lié à un autre switch lui même lié à un autre switch pour enfin être raccordé au décodeur TV 4 :D, dans un VLAN dédié hein ^^) Chacun de ces swirtchs sont aussi dans le VLAN du routeur, bref, c'est un peu complexe à résumer en 2 lignes 😄 Ceux qui m'ont aidé m'auront compris 😛 pour les autres aller voir ici : 

 

Après, moi je ne compte pas activer l'ipV6 à l'intérieur du LAN du routeur... je suis très bien avec juste l'ipV4 😄 

 

Posté(e)

Je n’ai pas de problème avec IPv6 !
Juste avec GRÉ, ICMP et autres protocoles cités dans mon précédant post ... c’est totalement indépendant d’IPv6 !


(Rédigé avec Tapatalk)

Posté(e)

GRE je connais de nom, mais je ne m'y suis jamais intéressé. En revanche ICMPv6 est prépondérant pour la communication en IPv6, car l'IPv6 s'en sert pour fragmenter les paquets (source et destination sont responsables de la fragmentation).

En IPV4 ce sont les routeurs qui s'en chargent.

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.