Aller au contenu

[Résolu]Une Orange pour Noël ? KDO Firmware 3.103.16 Livebox 4 = Loopback KO


DaffY

Messages recommandés

  • Réponses 108
  • Créé
  • Dernière réponse

Tiré de la RFC 4890 Recommendations for Filtering ICMPv6 Messages in Firewalls :

Citation

 

2.4. Role in Establishing and Maintaining Communication

Many ICMPv6 messages have a role in establishing or maintaining communications to and from the firewall and such messages have to be accepted by firewalls for local delivery. Generally, a firewall will also be acting as a router so that all the messages that might be used in configuring a router interface need to be accepted and generated. These messages should not transit through a firewall that is also acting as a router as they are normally intended for use within a link. Davies & Mohacsi Informational [Page 7]

RFC 4890 ICMPv6 Filtering Recommendations May 2007 On the other hand, most ICMPv6 error messages traveling end-to-end or any-to-end are essential to the establishment and maintenance of communications. These messages must be passed through firewalls and might also be sent to and from firewalls to assist with establishment and maintenance of communications. For example, the Packet Too Big error message is needed to determine the MTU along a path both when a communication session is established initially and later if the path is rerouted during the session. The remaining ICMPv6 messages that are not associated with communication establishment or maintenance will normally be legitimately attempting to pass through a firewall from inside to out or vice versa, but in most cases decisions as to whether or not to allow them to pass can be made on the basis of local policy without interfering with IPv6 communications. The filtering rules for the various message roles will generally be different.

 

Là où tu pouvais te contenter de bloquer l'ICMP (sous-entendu ICMPv4) en IPv4 sur ton routeur pour ne pas qu'on ping ton IP publique par exemple, l'ICMPv6 nécessite de par sa conception qu'une source et destination puissent s'envoyer des messages via ce protocole dans les deux sens.

Sinon tu te retrouveras facilement avec des timeout par exemple, souvent à cause d'un message ICMPv6 de type Packet Too Big, souvent syndrome d'une MTU qui n'a pas été fragmentée à la base par la source.

Je ne connais pas la Livebox, mais les box qui proposent une IPv6 native ont généralement des règles cachées qui autorisent les messages ICMPv6 dont elles ont besoin pour que leurs clients DHCP puissent causer IPv6 avec Internet. Le pare-feu IPv6 concerne sûrement les filtrage des protocoles TCP et UDP, où là effectivement par défaut rien n'est autorisé (heureusement).

Reste que par exemple, si tu souhaites rendre ton NAS accessible en IPv6, pour s'assurer d'un comportement normal, il est préférable d'autoriser le protocole ICMP dans le pare-feu du NAS.

Lien vers le commentaire
Partager sur d’autres sites

Merci pour ta réponse.

A te lire, j'ai l'impression que l'on peut / doit ouvrir ICMP si l'on fait de l'IPV6.

Toutefois, je n'en ai jamais ressenti le besoin (pas de souci de connexions depuis mon Mobile par exemple, ni depuis tout autre iMachin connecté en V6.

J'ai toutefois un souci étrange, et jamais expliqué (et peut être sans rapport avec le sujet) :

Mes deux NAS (un derrière un routeur 4G SFR (IPV4) et un derrière une Livebox 4 (IPV6) sont reliés par un VPN.

Depuis le LAN du NAS Client VPN, je peux accéder au LAN du serveur VPN, mais l'établissement de la session est extrêmement lent (plusieurs dizaines de secondes) alors que le traceroute réponds immédiatement.

Peut-il y avoir une relation de cause à effet ?

 

Lien vers le commentaire
Partager sur d’autres sites

A priori les problèmes de timeout, ce qui pourrait correspondre à ce que tu as dans l'absolu, n'interviennent que si la source et la destination parlent tous les deux IPv6. Tu peux toujours essayer de désactiver temporairement l'IPv6 sur la Livebox 4 et voir si tu remarques toujours la même latence.

Je dirais que ça ne peut se produire que dans le sens Livebox 4 client -> Routeur 4G serveur, c'est bien ça ton infra ?

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Pour moi aucune raison qu'ils ne corrige pas ceci, mais je ne suis pas dans les petits papier de l'equipe en charge du développement du firmware de la livebox,  donc impossible d'affirmer que quoi ce soit.

Lien vers le commentaire
Partager sur d’autres sites

@MilesTEG1..........merci pour ta réponse ... grosse tristesse pour moi ...faut que je mette en place une solution de contournement car attendre autant de temps pas trop envisageable...quelqu'un aurait un tuto pour mettre en place un serveur dns sur le syno pour remplacer celui de la livebox ? 

J'ai trouvé celui là https://blog.fenrir.fr/2017/01/29/tuto-synology-dns-server/ mais cela me parait un peu complexe ... faut que je prenne bien le temps de lire...

Lien vers le commentaire
Partager sur d’autres sites

il y a 15 minutes, Kiki91800 a dit :

La solution perenne serait de mettre un serveur dns sur le nas c'est bien cela ?

Oui, sur le NAS, ou sur un autre périphérique, comme par exemple un raspberry pi, avec piHole ou AdGuard.

Lien vers le commentaire
Partager sur d’autres sites

il y a 48 minutes, .Shad. a dit :

On a quand même une section tutoriels, quand tu en cherches un ce serait logique d'y jeter un œil avant toute chose (en l'occurrence c'est la même personne qui a rédigé les tutoriels concernés)

 

Oui je m'en suis rendu compte après avoir posté ...dsl pour le doublon

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Voici un embryon de solution de contournement donné par Orange à propos du bug loopback introduit par la mise à jour des Livebox4 avec le firmware 3.103.16 : je les cites :

 
Citation

 

Webconseiller
Posté le
‎21/12/2020 12h46
1 782  
 
 

Bonjour à tous,

Nos équipes confirment une altération de la fonction Loopback depuis le déploiement de la nouvelle version 3.103.16.

Comme l'indique vos remontées, cela se manifeste par la perte d’accessibilité d'équipements, de type NAS ou serveur, depuis un nom DNS ou une adresse IP, sur les ports 80 et 443 de la Livebox.
Toutefois, les équipements restent bien disponibles depuis internet.

Un correctif est prévu pour la prochaine version logicielle de la Livebox. A ce jour, nous n’avons pas de date à vous communiquer sur son prochain déploiement.

En attendant, nous vous proposons une solution de contournement pour rendre vos équipements accessibles en les configurantsur un port diffèrent et libre supérieur à 1025 (ex: 22911).


Pour vous assister, nous vous invitons à suivre ces conseils de notre page, jusqu'à l'étape n°4,

Puis à Sélectionner « Secure Web Server (HTTPS) »,

443 est rempli pour le port interne

Remplir le port externe avec une valeur supérieure à 1025, (ex: 22911).

Sélectionner l’équipement que vous voulez utiliser.

Cliquer sur Créer


Les mêmes règles peuvent être réalisées pour le port externe 80 (ou autre inférieur à 1025) vers un port interne supérieur à 1025.
Nous vous invitons à bien garder des ports internes différents pour chacune de vos règles.
Nous reviendrons sur ce fil dès que nous avons de plus amples renseignements à vous communiquer.
Nous vous remercions pour votre compréhension.

Bonne journée.


Cécile

 

signature.jpg

 

 

 

Le même problème est survenu sur la Livebox5 début mai 2020 et n'a été résolu aux environs de la mi Août 2020, Soit près de 4 mois après ...

Sinon, pour s'en affranchir complétement, je vous suggère d'installer une zone DNS locale avec le package DNS Server sur votre NAS et/ou Routeur Synology.. En plus vous pourrez utiliser les serveurs DNS de votre choix et plus ceux d'Orange qui sont réputés "menteurs". A vous de voir ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

il y a 39 minutes, oracle7 a dit :

Sinon, pour s'en affranchir complétement, je vous suggère d'installer une zone DNS locale avec le package DNS Server sur votre NAS et/ou Routeur Synology.. En plus vous pourrez utiliser les serveurs DNS de votre choix et plus ceux d'Orange qui sont réputés "menteurs". A vous de voir ...

Comme j'aime bien bricoler mon NAS et maintenant mon routeur 😉 je mettrais bien ça en place, mais que si je peux continuer à utiliser AdGuard Home (ou pi-hole) qui est sur mon NAS actuellement.
C'est possible ? Comment faire ?

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, MilesTEG1 a dit :

Comme j'aime bien bricoler mon NAS et maintenant mon routeur 😉 je mettrais bien ça en place, mais que si je peux continuer à utiliser AdGuard Home (ou pi-hole) qui est sur mon NAS actuellement.

Bonjour, oui c'est possible.

Dans le DNS server du routeur tu coches activer les redirecteurs (rediriger d'abord) et tu mets l'IP de "AdGuard Home"

Lien vers le commentaire
Partager sur d’autres sites

il y a 5 minutes, maxou56 a dit :

Bonjour, oui c'est possible.

Dans le DNS server du routeur tu coches activer les redirecteurs (rediriger d'abord) et tu mets l'IP de "AdGuard Home"

Ok merci 🙂

Mais du coup, ça servirait vraiment à quelque chose de mettre un serveur DNS sur le routeur ? (je veux dire par rapport à ma configuration qui fonctionne bien maintenant 😛 , et ormis l'aspect "Yeah, j'ai réussi à mettre en place un serveur DNS à moi 😉")
En gros, quelle serait la plus-value ?

Lien vers le commentaire
Partager sur d’autres sites

il y a 1 minute, maxou56 a dit :

La zone local, pour s'affranchir du loopback.

Ha oui, cela dit, avec mon nouveau routeur, je me suis affranchi du bug de la LB4 😉

Mais si ça peut éviter que le traffic sorte mais ne revienne directement, pourquoi pas 😉

Quand j'ai tenté d'identifier les interfaces du routeur pour le monitoring de ce dernier avec Grafana, j'avais constaté que si je lançais un transfert depuis mon téléphone avec le nom de domaine, le téléphone pourtant en wifi, j'avais du traffic sortant du routeur en direction de la LB4, qui revenait dans la foulée.

Le tuto DNS serveur du NAS est-il valable pour le routeur ? 

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.


×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.