internet & fixe ma connexion

Voir tous les sujets internet & fixe

Bonjour mg36,

C'est plutôt cela oui : c'est une connexion "https" (port 443, j'ai vérifié) avec des échanges qui sont certainement cryptés, mais si je comprends bien, sans certificat ?

Cordialement

sdk33

Confirmation du pb : Livebox V4 pro ip fixe : impossible de se connecter en https via NATPAT avec un Synology

Exemple  

Demande à distance  : <ip fixe> : <port ext NATPAT> 

Règle NATPAT <port ext NATPAT>  redirigé sur <port int 5001>

Réponse : "plain HTTP request sent to HTTPS" queque soit le port extérieur choisi (quelconque, 443, 8443 ...)

Et là, cela ne va pas du tout, du tout. Tout cela pour du matériel "pro" à très cher par mois.

Mais si je n'ai rien compris, merci de m'expliquer ....

Bonjour

Je n'ai rien compris à ton exposé, merci de nous mettre des captures d'écran

Merci de ne pas masquer les informations concernant le LAN

(Seules les données suivantes sont à masquer : adresse IP WAN de la box, url du host  défini dans un DNS Dynamique, et bien évidemment ton adresse mail, ton identité, mot de passe, ...)

• De tes baux fixes DHCP
• Ta table NAT/PAT
• L'écran qui définit l'adresse du Syno

Peu importe la marque du disque NAS et le prix qu'il a couté, ta Livebox permet à des centains (milliers ?) d'utilisateurs, dont ma pomme, d'y accéder depuis le net.

Commence par nous montrer ta configuration, c'est là qu'est l'os.

Cordialement

PhilDur

Bonjour,

Merci de ta réponse rapide, et désolé du caractère sibyllin de mon exposé.

L’adresse IP de la Livebox est fixe, il s’agit d’une Livebox Pro V4.

Donc, j’explique. Objectif : accéder à distance à la partie vidéosurveillance sur un NAS, en l’occurence un Synology.

Pour ce faire, le NAS propose deux possibilités d’accès par défaut : en HTTP sur le port 9900, en HTTPS sur le port 9901. Soit, je les garde.

Le NAS dispose bien sûr d’une adresse IP fixe, définie sur la Livebox.

En local (LAN), les deux possibilités fonctionnent sans problème (en HTTPS une fois que le certificat est reconnu et accepté par le navigateur). 

L’accès se fait sous la forme <adresse locale NAS : port 9900 ou 9901>.

En distant (WAN), via une règle NAT/PAT, cela marche en HTTP mais pas en HTTPS.

Donc, je crée une règle NAT/PAT : 

Pour le HTTP : Port extérieur XXXX vers port interne 9900 et j’active. 

L’accès se fait dès lors sous la forme <adresse IP fixe de la Box : port XXXX >.

Cela marche, mais bien sûr sans aucune protection.

Pour le HTTPS : Port extérieur yyyy vers port interne 9901, et j’active. 

L’accès doit se faire alors sous la forme <adresse IP fixe de la Box : port yyyy >.

Réponse : « The plain HTTP request was sent to HTTPS port »  

J’ai essayé bien sûr des ports dédiés HTTPS en port extérieur, ainsi que des ports divers (du type 1300…)

J’ai aussi essayé de changer le port HTTPS intérieur du NAS, sans résultat.

Aucun changement selon le réglage pare feu.

Je veux bien envoyer des images si vraiment nécessaire, mais à mon avis ….

Voilà ….

Bien cordialement,

---

@JLong a écrit :

Je veux bien envoyer des images si vraiment nécessaire, mais à mon avis ….

---

Merci d'avance

Livebox-e682

La règle "Surveillance 0" marche, mais en HTTP

La règle "Surveillance S" ne marche pas, et fait valoir qu'une requête HTTP a été envoyée à un port HTTPS

En plus, pour mémoire, décocher des règles NAT/PAT et sauvegarder, n'a pas d'effet sauf si on redémarre. Donc, on se croit déconnecté, et c'est faux.
Et pour finir, mettre le NAS en DMZ sans aucune règle NAT/PAT permet son accès de l'extérieur, mais toujpurs seulement en HTTP

Bonjour

C'est pas possible d'aider un parano comme toi !

Il n'y a rien à camoufler dans ton LAN

Tant que tu n'auras pas compris ce qu'est une IP non routable, tu ne progressera pas.

Le nom de ta machine sur le LAN est présent an 192.168.1.xxx à des milliers d'exemplaires.

L'adresse MAC de ta machine n'est pas secrète

Les adresses MAC de ton LAN sont toutes inaccessibles

Et à côté de ça tu t'affectes des ports déjà utilisés, rien ne t'autorise à le faire.

Remplace tes ports externes en 12xx qui ne sont pas des ports libres par des ports réservés pour un usage privé, de manière à pouvoir t'en souvenir ajoute 50000 à tes ports, tu auras des ports privés.

Qu'est-ce que ça peut te faire d'utiliser le 51267 au lieu du 1261 et du 1262 ?

Le 1261 est affecté à mpshsrv

Le 1262 est affecté à QNTS-ORB

Je ne sais pas du tout à quoi ça sert, mais vu ce qui t'arrive il est très possible que la box n'utilise pas le 1261 et ça expliquerait que le http fonctionne, et qu'elle utilise le 1262.

Tu devrais router

le port 51261 vers ton <serveur masqué>:1261

le port 51262 vers ton <serveur masqué>:1262

Et ça ne pourra pas aller plus mal!

Tu me dis que ton adresse IP est fixe, je veux bien te croire.

Par sécurité tu devrait utiliser un DNS dynamique.

Ce n'est pas parce que ton adresse n'a jamais changé qu'elle est fixe.

Avec un DNS dynamique comme no-ip par exemple tu adresserais ta machine en http

par nom-host.no-ip.org:5161 et en https par nom-host.no-ip.org:5162

Si tu viens ici, c'est que tu ne sais pas et c'est le cas de la grande majorité des utilisateurs.

Si je t'explique quelque chose et que tu t'en tapes, va voir ailleurs.

Cordialement

PhilDur

Bonjour,

On se calme.

Le masquage sur les images diffusées n'étaient en rien une mesure vexatoire à l'attention des super-experts.

Et je concède bien volontiers que je ne suis pas un expert en port informatique.

Pour info, j'ai passé tous les ports externes en série 50000. Résultat, OK pour le HTTP, comme précédemment avec la série 1000, mais toujours refus pour le HTTPS avec le même message d'erreur.

D'alleurs, pour info aussi, je n'arrive pas à faire démarrer l'accès à distance de la Libox, tout veut résolument rester grisé, pas d'action possible. A rapprocher peut-être du fait que cet accès est en théorie en HTTPS.

Je dis que mon adresse WAN est fixe, parce que Orange me la vend comme telle, et de fait elle est fixe.

Pourquoi ? Parce que j'aime bien la méthode KISS / keep it simple stupid, pas de dyndns à gérer en plus ; malgré le caractère plus sécurisant dune adresse dynamique. Quoique.

Si je viens ici, c'est que je ne sais pas tout, comme la grande majorité des utilisateurs.

Si tu m'expliques quelque chose je ne m'en tape pas, voire j'apprécie, mais si je dérange je peux aller voir ailleurs.

Et puis je voudrais rappeller les premiers posts de ce fil qui font bien allusion me semble-t-il à mon problème.

Ton message était : "

Par exemple, sur Firefox, en tapant l'adresse IP dans la barre d'adresse, précédée par https://, j'obiens le message "Your connection is not secured" et en allant voir le détail (i.e. en cliquant sur le cadenas barré dans la barre d'adresse puis en affichant le détail de l'onglet "security" de la fenêtre "Page info") "

Ce message est tout à fait logique et nonb inquiétant.

Firefox ne peut pas savoir que tu fais une connexion vers un site https "autosigné".

La Livebox, quel que soit son modèle fabrique un "certificat", mais comme son logiciel ne connait pas son adresse lors de sa génération, pas plus que son URL, il intègre dans la définition du certificat une URL "bateau" ou "générique"

C'est ça qui provoque cet affichage

J'ai effectivement accepté une exception pour ce certificat, depuis plus de problème.

Le contenu du certificat est

Ce certificat est nécessairement invérifiable.

Il faut demander au navigateur de l'afficher, vérifier qu'il s'agit bien de ce type de certificat et signaler au navigateur qu'on l'accepte.

Il devient ainsi une exception.

A partir de là Firefox ne protestera plus.

PhilDur