Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Accéder aux appareils dans le réseau local derrière un routeur 4G

evenkimi

Bonjour à tous,

Je viens de configurer mon installation, remplaçant ma box internet filaire par un routeur 4G huawei.

Jusqu'ici tout allait a peu près bien, j'ai réussi a reconstruire mon infrastructure locale, les baux fixes etc de mes équipements.

J'ai cependant un soucis. C'est pour accepter aux diverses équipement depuis l'extérieur.

J'étais bien conscient que l'ip dynamique posait soucis en farfouillant ici. J'ai donc pris un routeur qui pemet une redirection via noip.com

Cependant, quand j'utilise l'adresse en question, je n'arrive a acceder qu'a la page de configuration de mon routeur (signe que le trafique http passe a priori)

Mais quand je spécifie un port, je n'arrive pas a accéder à l'équipement en question. Le port forwarding est bien configuré dans le routeur.

Est-ce que j'ai raté quelque chose ?

Je ne suis pas un expert en réseau donc n'hésitez pas a reprendre les bases lors de vos explications.

evenkimi

Je précise que j'ai bien lu les messages parfois cités : https://routeur4g.fr/flarum/d/1882-1882 https://routeur4g.fr/flarum/d/1857-1857 Mais j'ai du mal a comprendre si noip ne devrait pas suffire ou s'il y a une carabistouille quelque part, d'où l'ouverture de ce fil.A noter que je peux également me connecter a mon syno via quickconnect.to ; maintenant j'aimerais pouvoir accéder a mes autres machines via RDP (port 3389) et a d'autres services actuellement hébergés sur d'autres port.

yanbo

Bonjour,
C’est un sujet évoqué des dizaines de fois. En 4G les clients se partagent une même adresse publique ( via du nat)
Est ce que tu connais quelqu’un qui a la fibre ?

ludovick

Comme je ne connais pas ton forfait 4G, je ne peux te répondre.
Mais comme le dis @yanbo le sujet à été traité de nombreuses fois et une simple recherche dans le forum t'aurai éclairé.

Bams

Normalement sur ton routeur tu redirige les port qui arrive de l'extérsieur vers les port de l'intérieur. Il l'as tu fait ?

evenkimi

@yanbo

Bonjour,

Oui j'ai bien vu des topics qui en parlaient. Mais j'aimerais surtout comprendre un peu plus finement ce qu'il se passe, pourquoi noip ne fonctionne pas, et réfléchir a une solution qui correspondrait a mon cas. En gros échanger plutôt que simplement copier une des solutions-tuto proposées sans la comprendre.

Je préférerais une solution pérenne sans être dépendant d'un tiers et de son installation. Mais avant tout j'aimerais comprendre ce qu'il se passe.

N'est-ce pas le but de noip de passer outre le partage d'ip et de pointer vers la bonne machine (ici le routeur) ?

@ludovick

Bonjour,

Merci pour votre réponse.

Comme dit dans le premier topic, j'ai fait une recherche, j'ai même cité les topics proposant des solutions, que j'ai bien entendu consulté.

J'ai des forfaits orange, sosh, freemobile et SFR. Tous donnent le même résultat. Pourriez-vous m'expliquer pourquoi le type de forfait est important pour répondre a ma question ?

Ce que j'aimerais c'est échanger sur ce qu'il se passe et ce qu'il faudrait faire pour y remédier, si c'est possible. Ce qui n'est pas vraiment facile face a un tuto avec 350 abréviations et des explications pas toujours très compréhensible et surtout appliqué dans une situation qui n'est pas la mienne.

Haojy

Bonsoir,

@evenkimi

J'ai des forfaits orange, sosh, freemobile et SFR. Tous donnent le même résultat. Pourriez-vous m'expliquer pourquoi le type de forfait est important pour répondre a ma question ?

Avec les offres Bouygues 4G Box, Bouygues entreprise et peut-être SFR Pro, SFR 4G Box et Orange Pro, tu as une adresse IP publique avec les ports ouvert.

yanbo

evenkimi a dit :

@yanbo

Bonjour,

Oui j'ai bien vu des topics qui en parlaient. Mais j'aimerais surtout comprendre un peu plus finement ce qu'il se passe, pourquoi noip ne fonctionne pas, et réfléchir a une solution qui correspondrait a mon cas. En gros échanger plutôt que simplement copier une des solutions-tuto proposées sans la comprendre.

Je préférerais une solution pérenne sans être dépendant d'un tiers et de son installation. Mais avant tout j'aimerais comprendre ce qu'il se passe.

N'est-ce pas le but de noip de passer outre le partage d'ip et de pointer vers la bonne machine (ici le routeur) ?

@evenkimi
Bonsoir,
Pour tenter d’expliquer simplement la contrainte , en mobile c'est comme si tu avais une seule et même freebox pour tout le quartier, et bien sûr pas le droit d'y toucher pour ouvrir des "ports"

evenkimi

@yanbo D'accord. En gros on est un sous réseau local et l'extérieur n'arrive pas a atteindre le routeur.

J'ai vu qu'il y avait des configurations a base de VPN pour pallier a ça. A peu près tout ce que j'ai vu passe par une location de serveur privé et une configuration assez pénible. Est-il possible d'avoir la même chose avec un VPN du commerce ? Dans ce cas qu'est-ce que je dois regarder ? Une ip fixe ? Une "port forwarding" ?

oga83

evenkimi a dit :
Oui j'ai bien vu des topics qui en parlaient. Mais j'aimerais surtout comprendre un peu plus finement ce qu'il se passe, pourquoi noip ne fonctionne pas, et réfléchir a une solution qui correspondrait a mon cas. En gros échanger plutôt que simplement copier une des solutions-tuto proposées sans la comprendre.

Si tu as effectivement lu les fils de discussion que tu mentionnes au début, j'ai loupé mon objectif en les écrivant. Car il ne donnent pas juste une recette à appliquer sans explication du pourquoi.Relis les 5ème et 6ème paragraphe de ce post : https://routeur4g.fr/flarum/d/1857-1857 Tu auras la réponse sur les VPN d'anonymisation.

evenkimi

@oga83 merci de ta réponse.

Tu parles de vpn d'anonymisation, or tous les vpn commerciaux ne sont pas des vpn d'anonymisation, si ? J'ai du mal à voir comment une ip fixe peut-être compatible avec l'anonymat.

Donc il n'existe aucun vpn du commerce qui re-reroute tout le traffic vers le routeur 4g avec les ports ouverts ?

J'ai bien lu vos tuto, mais de là à les comprendre parfaitement... d'où la recherche d'une solution tierse.

Par exemple dans le cas du reverse ssh j'ai tellement de questions :

1. SSH c'est un programme mais c'est aussi un protocole de communication. Est-ce que seule la connexion serveur extérieur <=> rasberrypi est en SSH ou est-ce que tout ce qui rentre doit l'être actuellement ? N'y a-t-il pas des limitations au niveau du trafic que cette solution peut router ?

2. Tous les port seront disponibles ? En fait je ne comprend pas pourquoi vous changez de port à chaque fois dans votre exemple.
Si je veux me co a une machine locale au port 1024 (au pif)

Je me co au serveur extérieur au port 1024 via une URL (mondomaine.com:1024)
Le serveur extérieur transmet au raspberry avec le port 1024
le raspberry transport ce qu'il recoit a la machine locale avec le port 1024

Dans votre exemple tous les ports sont différents. Y-a-t-il une raison ?

Est-ce que mon exemple marcherait ?

3. Est-ce que cette solution offre les même possibilité que ce qu'on peut faire avec un routeur ? Est-ce que je peux dire au serveur distant "envoie tout ce qui arrive sur les port 1024-50 000 sur le rasberrypi en ssh" ?
Ou est-ce qu'il faut dire au rasberry pi pour CHAQUE application, une part une, "ouvre un socket ssh avec le serveur distant sur tel port" avec 1 port = un socket ssh
Pas de plage de port possible ?

4. le raspberry sert juste a la mise en relation, ou tout le trafic va passer par lui ?

oga83

evenkimi a dit :

Tu parles de vpn d'anonymisation, or tous les vpn commerciaux ne sont pas des vpn d'anonymisation, si ? J'ai du mal à voir comment une ip fixe peut-être compatible avec l'anonymat.

Non, tous les vpn commerciaux ne sont pas des vpn d'anonymisation. Mais les offres vpn classiques sont plutôt pour les pro. Ne pas confondre adresse ip publique fixe et anonymisation : les 2 sont bien compatibles à partir du moment où on ne peut pas savoir qui utilise l'adresse ip publique (c'est le cas des vpn d'anonymisation qui ne conservent (soi-disant) pas l'origine du vpn et qui font partager la même ip publique avec plusieurs utilisateurs).

evenkimi a dit :

2. Tous les port seront disponibles ? En fait je ne comprend pas pourquoi vous changez de port à chaque fois dans votre exemple.
Si je veux me co a une machine locale au port 1024 (au pif)

Je me co au serveur extérieur au port 1024 via une URL (mondomaine.com:1024)
Le serveur extérieur transmet au raspberry avec le port 1024
le raspberry transport ce qu'il recoit a la machine locale avec le port 1024

Dans votre exemple tous les ports sont différents. Y-a-t-il une raison ?

Est-ce que mon exemple marcherait ?

Dans quel exemple ? avec un reverse-ssh, on définit les ports qu'on veut router (par défaut, tous les autres ne le sont pas). Et ils sont fixes. Il faut bien faire la différence entre le port du serveur ssh de la machine "amie", les ports locaux qui seront reroutés par le client ssh, et les ports des machines qu'on souhaite atteindre sur le LAN.

Dans l'exemple que tu donnes, le port local sera rerouté via le port ssh du serveur extérieur (par défaut 22, mais c'est une bonne idée en terme de sécurité de le changer). Mais c'est ssh qui routera le port local vers le serveur distant ssh puis vers la mahcine sur le lan. Il y a bien 3 ports impliqués (local, serveur ssh, machine LAN). Ces ports peuvent être identiques, mais c'est une source de confusion (celui du serveur ssh est de préférence unique, alors que les autres peuvent concerner plusieurs redirections).

Pour répondre précisément à la question, oui, ça marchera, mais ce n'est pas forcément une bonne idée.

evenkimi a dit :
3. Est-ce que cette solution offre les même possibilité que ce qu'on peut faire avec un routeur ? Est-ce que je peux dire au serveur distant "envoie tout ce qui arrive sur les port 1024-50 000 sur le rasberrypi en ssh" ?
Ou est-ce qu'il faut dire au rasberry pi pour CHAQUE application, une part une, "ouvre un socket ssh avec le serveur distant sur tel port" avec 1 port = un socket ssh
Pas de plage de port possible ?

Non, le serveur ssh n'est pas un vrai routeur.

evenkimi a dit :
4. le raspberry sert juste a la mise en relation, ou tout le trafic va passer par lui ?

Le trafic passe par le serveur ssh, donc par le raspberry.

S'il y avait un moyen de court-circuiter le serveur ssh, on aurait pas besoin de faire tout ça.

evenkimi

@oga83 Pardon je vais un peu vite, je fais référence a ce tuto : https://routeur4g.fr/flarum/d/1882-1882 J'ai du mal a comprendre comment ça marche avec les ports. Vous dites "le" port du tunnel au singulier, mais vous parler des ports (vps / machine locale) au pluriels. Est-ce qu'il y a un seul tunnel avec un port fixe (toujours le même) et donc ça fait, exemple au format : MACHINE (port de réception) PC1 => VPS (1024) => Rasberry (2200) => SERVEUR (1024)PC2 => VPS (5000) => Raspberry (2200) => SERVEUR (5000)Ou alors chaque ligne doit avoir son tunnel SSH et donc un port spécifique pour la liaison VPS <=> raspberry par applicationPC1 => VPS (1024) => Rasberry (2200) => SERVEUR (1024)PC2 => VPS (5000) => Raspberry (2201) => SERVEUR (5000)Veuillez m'excuser si mes questions semblent évidentes.

oga83

Il y a 2 tunnels :

- Le premier entre le PC et le serveur SSH sur le serveur ami. Ce tunnel est créé par le PC. Le port est celui du serveur SSH.

- Le second entre le serveur SSH et le LAN auquel on veut se conencter. Ce tunnel est établi par le Raspberry (ou autre) sur le LAN. Toujours un seul port impliqué : celui du serveur SSH.

Le serveur SSH permet ensuite de raccorder ces tunnels et faire passer plusieurs flux du PC vers le LAN. Les ports sont définis par le client SSH sur le PC et le reverse-ssh établi par le Raspberry sur le LAN.

Pour le fonctionnement détaillé des tunnels SSH, faire une recherche "ssh tunnelling" sur Google qui donne des articles comme celui-ci.

evenkimi

Merci de ta réponse.

Je prend un peu de temps pour me documenter davantage.

J'ai un amis qui pense avoir une solution qui passe dans une dizaine de jour également. Je repasserais donner des nouvelles (ou poser des questions) après ça.

tetsuo

Salut, j'ai cherché pas mal de chose mais rien qui me convienne. Sauf ici. Le principe de base reste le même (un point de rebond amis sur le net. Par exemple une instance vps chez ovh ou une instance AWS ec2). La différence réside dans l'utilisation de wireguard, mais nécessite pas mal de connaissances. J'essaierais de faire un retour ici (peut être un tuto) ...