[Résolu]Une Orange pour Noël ? KDO Firmware 3.103.16 Livebox 4 = Loopback KO

[StéphanH]

Pour quoi pour ICMP, mais de la à autoriser ce protocole en tant que flux entrant, je ne comprends pas.


Rédigé avec Tapatalk

[.Shad.]

Tiré de la RFC 4890 Recommendations for Filtering ICMPv6 Messages in Firewalls :

Citation

 

2.4. Role in Establishing and Maintaining Communication

Many ICMPv6 messages have a role in establishing or maintaining communications to and from the firewall and such messages have to be accepted by firewalls for local delivery. Generally, a firewall will also be acting as a router so that all the messages that might be used in configuring a router interface need to be accepted and generated. These messages should not transit through a firewall that is also acting as a router as they are normally intended for use within a link. Davies & Mohacsi Informational [Page 7]

RFC 4890 ICMPv6 Filtering Recommendations May 2007 On the other hand, most ICMPv6 error messages traveling end-to-end or any-to-end are essential to the establishment and maintenance of communications. These messages must be passed through firewalls and might also be sent to and from firewalls to assist with establishment and maintenance of communications. For example, the Packet Too Big error message is needed to determine the MTU along a path both when a communication session is established initially and later if the path is rerouted during the session. The remaining ICMPv6 messages that are not associated with communication establishment or maintenance will normally be legitimately attempting to pass through a firewall from inside to out or vice versa, but in most cases decisions as to whether or not to allow them to pass can be made on the basis of local policy without interfering with IPv6 communications. The filtering rules for the various message roles will generally be different.

 

Là où tu pouvais te contenter de bloquer l'ICMP (sous-entendu ICMPv4) en IPv4 sur ton routeur pour ne pas qu'on ping ton IP publique par exemple, l'ICMPv6 nécessite de par sa conception qu'une source et destination puissent s'envoyer des messages via ce protocole dans les deux sens.

Sinon tu te retrouveras facilement avec des timeout par exemple, souvent à cause d'un message ICMPv6 de type Packet Too Big, souvent syndrome d'une MTU qui n'a pas été fragmentée à la base par la source.

Je ne connais pas la Livebox, mais les box qui proposent une IPv6 native ont généralement des règles cachées qui autorisent les messages ICMPv6 dont elles ont besoin pour que leurs clients DHCP puissent causer IPv6 avec Internet. Le pare-feu IPv6 concerne sûrement les filtrage des protocoles TCP et UDP, où là effectivement par défaut rien n'est autorisé (heureusement).

Reste que par exemple, si tu souhaites rendre ton NAS accessible en IPv6, pour s'assurer d'un comportement normal, il est préférable d'autoriser le protocole ICMP dans le pare-feu du NAS.

[StéphanH]

Merci pour ta réponse.

A te lire, j'ai l'impression que l'on peut / doit ouvrir ICMP si l'on fait de l'IPV6.

Toutefois, je n'en ai jamais ressenti le besoin (pas de souci de connexions depuis mon Mobile par exemple, ni depuis tout autre iMachin connecté en V6.

J'ai toutefois un souci étrange, et jamais expliqué (et peut être sans rapport avec le sujet) :

Mes deux NAS (un derrière un routeur 4G SFR (IPV4) et un derrière une Livebox 4 (IPV6) sont reliés par un VPN.

Depuis le LAN du NAS Client VPN, je peux accéder au LAN du serveur VPN, mais l'établissement de la session est extrêmement lent (plusieurs dizaines de secondes) alors que le traceroute réponds immédiatement.

Peut-il y avoir une relation de cause à effet ?

 

[.Shad.]

A priori les problèmes de timeout, ce qui pourrait correspondre à ce que tu as dans l'absolu, n'interviennent que si la source et la destination parlent tous les deux IPv6. Tu peux toujours essayer de désactiver temporairement l'IPv6 sur la Livebox 4 et voir si tu remarques toujours la même latence.

Je dirais que ça ne peut se produire que dans le sens Livebox 4 client -> Routeur 4G serveur, c'est bien ça ton infra ?

[StéphanH]

Le client VPN est derrière le routeur 4G (SFR, donc en IPv4 seulement, contrairement à Orange dont le réseau mobile est par défaut en IPv6)
Le serveur VPN est derrière une Livebox 4 Fibre, donc, en v6 par défaut sauf si on le désactive sur la box.


(Rédigé avec Tapatalk)

[.Shad.]

Ok, je doute que ça ait un lien, comme je t'ai dit essaie de désactiver l'IPv6 sur ton serveur VPN pour voir si tu observes les mêmes ralentissements. Ca règlera vite la question. 😉 

[Kiki91800]

Hello et bonne année à tous

Je suis un peu perdu dans tous vos échanges le problème de loopback est-il un vrai bug ou un paramétrage à faire suite à la maj du firmware ?

Cordialement,

kiki94440

[Invité]

C'est un bug (ou du moins une perte de fonctionnalité ) de la livebox, il existe des solutions solution de contournement ( serveur dns local,..) 

[Kiki91800]

@evotk ... mais tu sais si ils vont couriger ou il faut mettre en place une solution de contournement ?

ha ... j'avais pas vu que tu étais chez free ... dsl

 

[Invité]

Pour moi aucune raison qu'ils ne corrige pas ceci, mais je ne suis pas dans les petits papier de l'equipe en charge du développement du firmware de la livebox,  donc impossible d'affirmer que quoi ce soit.

[Kiki91800]

ok merci pour ton retour.

La solution perenne serait de mettre un serveur dns sur le nas c'est bien cela ?

[MilesTEG1]

@Kiki91800 J'ai vu passer sur le forum lafibre qu'une correction est bien prévue, mais pas avant quelques mois...

[DaffY]

Bonjour,

Normalement elle devrait être déployée pour janvier puisqu’il s’agit de la même chose déjà arrivée en novembre 2020 sur lb5... Maintenant rien n’est certain...

[Kiki91800]

@MilesTEG1..........merci pour ta réponse ... grosse tristesse pour moi ...faut que je mette en place une solution de contournement car attendre autant de temps pas trop envisageable...quelqu'un aurait un tuto pour mettre en place un serveur dns sur le syno pour remplacer celui de la livebox ? 

J'ai trouvé celui là : https://blog.fenrir.fr/2017/01/29/tuto-synology-dns-server/ mais cela me parait un peu complexe ... faut que je prenne bien le temps de lire...

[Invité]

il y a 15 minutes, Kiki91800 a dit :

La solution perenne serait de mettre un serveur dns sur le nas c'est bien cela ?

Oui, sur le NAS, ou sur un autre périphérique, comme par exemple un raspberry pi, avec piHole ou AdGuard.

[Kiki91800]

@DaffY aaaaaaaaaaa tu me laisses un peu d'espoir ... en attendant la fin du mois je vais etudier la mise en place d'un serveur dns local ...

[.Shad.]

On a quand même une section tutoriels, quand tu en cherches un ce serait logique d'y jeter un œil avant toute chose (en l'occurrence c'est la même personne qui a rédigé les tutoriels concernés) : 

 

[Kiki91800]

il y a 48 minutes, .Shad. a dit :

On a quand même une section tutoriels, quand tu en cherches un ce serait logique d'y jeter un œil avant toute chose (en l'occurrence c'est la même personne qui a rédigé les tutoriels concernés) : 

 

Oui je m'en suis rendu compte après avoir posté ...dsl pour le doublon

[papymey]

Pour ceux qui ont envie de se défouler 😄tweeter #loopbacklivebox

 

 

 

[oracle7]

Bonjour,

Voici un embryon de solution de contournement donné par Orange à propos du bug loopback introduit par la mise à jour des Livebox4 avec le firmware 3.103.16 : je les cites :

 

Citation

 

Cecile_M

Webconseiller

Posté le

‎21/12/2020 12h46

1 782  

 

 

Bonjour à tous,

Nos équipes confirment une altération de la fonction Loopback depuis le déploiement de la nouvelle version 3.103.16.

Comme l'indique vos remontées, cela se manifeste par la perte d’accessibilité d'équipements, de type NAS ou serveur, depuis un nom DNS ou une adresse IP, sur les ports 80 et 443 de la Livebox.
Toutefois, les équipements restent bien disponibles depuis internet.

Un correctif est prévu pour la prochaine version logicielle de la Livebox. A ce jour, nous n’avons pas de date à vous communiquer sur son prochain déploiement.

En attendant, nous vous proposons une solution de contournement pour rendre vos équipements accessibles en les configurantsur un port diffèrent et libre supérieur à 1025 (ex: 22911).

Pour vous assister, nous vous invitons à suivre ces conseils de notre page, jusqu'à l'étape n°4,

Puis à Sélectionner « Secure Web Server (HTTPS) »,

443 est rempli pour le port interne

Remplir le port externe avec une valeur supérieure à 1025, (ex: 22911).

Sélectionner l’équipement que vous voulez utiliser.

Cliquer sur Créer

Les mêmes règles peuvent être réalisées pour le port externe 80 (ou autre inférieur à 1025) vers un port interne supérieur à 1025.
Nous vous invitons à bien garder des ports internes différents pour chacune de vos règles.
Nous reviendrons sur ce fil dès que nous avons de plus amples renseignements à vous communiquer.
Nous vous remercions pour votre compréhension.

Bonne journée.

Cécile

 

 

 

 

Le même problème est survenu sur la Livebox5 début mai 2020 et n'a été résolu aux environs de la mi Août 2020, Soit près de 4 mois après ...

Sinon, pour s'en affranchir complétement, je vous suggère d'installer une zone DNS locale avec le package DNS Server sur votre NAS et/ou Routeur Synology.. En plus vous pourrez utiliser les serveurs DNS de votre choix et plus ceux d'Orange qui sont réputés "menteurs". A vous de voir ...

Cordialement

oracle7😉

[MilesTEG1]

il y a 39 minutes, oracle7 a dit :

Sinon, pour s'en affranchir complétement, je vous suggère d'installer une zone DNS locale avec le package DNS Server sur votre NAS et/ou Routeur Synology.. En plus vous pourrez utiliser les serveurs DNS de votre choix et plus ceux d'Orange qui sont réputés "menteurs". A vous de voir ...

Comme j'aime bien bricoler mon NAS et maintenant mon routeur 😉 je mettrais bien ça en place, mais que si je peux continuer à utiliser AdGuard Home (ou pi-hole) qui est sur mon NAS actuellement.
C'est possible ? Comment faire ?

[maxou56]

il y a une heure, MilesTEG1 a dit :

Comme j'aime bien bricoler mon NAS et maintenant mon routeur 😉 je mettrais bien ça en place, mais que si je peux continuer à utiliser AdGuard Home (ou pi-hole) qui est sur mon NAS actuellement.

Bonjour, oui c'est possible.

Dans le DNS server du routeur tu coches activer les redirecteurs (rediriger d'abord) et tu mets l'IP de "AdGuard Home"

[MilesTEG1]

il y a 5 minutes, maxou56 a dit :

Bonjour, oui c'est possible.

Dans le DNS server du routeur tu coches activer les redirecteurs (rediriger d'abord) et tu mets l'IP de "AdGuard Home"

Ok merci 🙂

Mais du coup, ça servirait vraiment à quelque chose de mettre un serveur DNS sur le routeur ? (je veux dire par rapport à ma configuration qui fonctionne bien maintenant 😛 , et ormis l'aspect "Yeah, j'ai réussi à mettre en place un serveur DNS à moi 😉")
En gros, quelle serait la plus-value ?

[maxou56]

il y a 5 minutes, MilesTEG1 a dit :

En gros, quelle serait la plus-value ?

La zone local, pour s'affranchir du loopback.

[MilesTEG1]

il y a 1 minute, maxou56 a dit :

La zone local, pour s'affranchir du loopback.

Ha oui, cela dit, avec mon nouveau routeur, je me suis affranchi du bug de la LB4 😉

Mais si ça peut éviter que le traffic sorte mais ne revienne directement, pourquoi pas 😉

Quand j'ai tenté d'identifier les interfaces du routeur pour le monitoring de ce dernier avec Grafana, j'avais constaté que si je lançais un transfert depuis mon téléphone avec le nom de domaine, le téléphone pourtant en wifi, j'avais du traffic sortant du routeur en direction de la LB4, qui revenait dans la foulée.

Le tuto DNS serveur du NAS est-il valable pour le routeur ?