Forum général.général Web serveur derrière un modem 4G

Posté par  . Licence CC By‑SA.
Étiquettes :
1
6
juin
2017

Bonjour,

J'ai besoin de me connecter à un serveur WEB qui se trouve derrière un modem 4G.
Bien évidemment, je ne maitrise pas le point d'entrée de mon opérateur.

Avez vous des idées sur comment faire pour y arriver ?

Ma première idée serait d'utiliser un dédiée en relais.
Donc, établir un VPN entre le serveur et le dédié, puis faire du reverse proxy sur le dédié vers mon serveur.

A moins qu'une solution magique existe ? :)

Merci, Philippe.

  • # Redirection de ports

    Posté par  . Évalué à 2.

    Dis autrement, tu cherches à exposer sur internet un serveur web de ton réseau interne. C'est ça ?

    Si oui, alors quand tu te connectes à l'IP publique/nom de domaine en http/https, c'est ton modem qui répond, ce qui n'est pas ce que tu recherches.

    Il faut alors que tu configures le modem pour rediriger les ports 80/443 vers l'IP privée de ton réseau interne.

    • [^] # Re: Redirection de ports

      Posté par  . Évalué à 2.

      Ah je comprends mieux.

      Ta question porte en fait sur ta difficulté à maîtriser l'IP publique de ton opérateur 4G pour la résolution DNS.
      Une piste possible est de mettre un TTL très petit sur le domaine et depuis ton serveur web, tu fais des appels vers whatismyip.org (ou autres), tu parses le résultat puis tu fais des appels réguliers vers l'API de ton registrar pour y enregistrer l'IP que tu avais parsée.
      L'inconvénient, c'est que si l'IP change très régulièrement, tu peux avoir un downtime de quelques secondes. Mais si c'est acceptable, c'est une manip' à moindre frais.

      • [^] # Re: Redirection de ports

        Posté par  . Évalué à 1.

        C'est bien plus grave que ça.
        Le modem est dans le réseau privé de l'opérateur (regarde l'IP de ton mobile tu verras probablement un 10.x.x.x), l'IP publique étant mutualisée pas des centaines de mobiles ….

  • # VPN obligatoire

    Posté par  . Évalué à 7.

    Certains opérateurs proposant une adresse IP privée sur les réseaux mobiles (donc faisant le NAT/redirection de port de leur côté), la solution du tunnel VPN initié par le serveur derrière le modem 4G est à mon avis la meilleure, et surtout la seule praticable.

  • # Relais ?

    Posté par  (site Web personnel) . Évalué à 1.

    Hum, si tu as moyen d'avoir un serveur dédié 'en relais', pk ne pas mettre le site web en question diretement sur le dédié ?
    (je sais que ça ne répond pas à la question, mais les avantages en terme de débit, stabilité et latence sont quand même non négligeable…)

    Sinon oui, il va te falloir un vpn, initié par le serveur derrière le modem 4G, et un haproxy ou équivalent (apache, nginx) sur le dédié pour proxifier les flux.

    Tu peut aussi jouer avec du nat mais vu l'interco je passerais plus par un proxy.

    • [^] # Re: Relais ?

      Posté par  . Évalué à 1.

      Pourquoi ne pas déporter le site web ?
      Parce qu'en local il y a un équipement embarqué qui doit pouvoir fonctionner sans Internet mais qui reste administrable à distance pour de la télécommande et de la surveillance.
      Et que le gars qui vient pour superviser le site peut aussi se connecter en Wifi en cas de perte Internet.

      Pour le proxy je pensais utiliser le reverse d'Apache, pas que ce soit le meilleur (je ne suis pas qualifié pour juger) mais parce que je l'ai déjà utilisé pour autre chose.

      Merci pour vos réponses.

      • [^] # Re: Relais ?

        Posté par  (site Web personnel) . Évalué à 1.

        Effectivement pas trop le choix dans ce cas.

        Vu l'usage le reverse d'apache suffira effectivement, après tu peut aussi vu le cas d'usage utiliser/monter un service de vpn pour le serveur mais aussi pour les clients configuré pour former un vrai reseau virtuel entre tout ce monde et pas un fonctionnement en isolation.

        ça t'éviterai le proxy, rajoute une sécurité pour l'accès au service (vu qu'il y a une notion d'embarqué c'est rarement un truc qu'on laisse ouvert a tout les vent) et peut-être même te permet
        trait d'utiliser un service VPN générique, bien que pour ça je ne fasse que suposer.

  • # Piste avec OpenVPN

    Posté par  . Évalué à 1. Dernière modification le 07/06/17 à 11:37.

    J'ai peut-être une piste avec OpenVPN.

    Si tu prends ton dédié avec une IPv4 en plus (en option payante en plus), elle sera en principe routée vers ton dédié qui aura alors la charge d'en assurer le routage. Autrement dit, ton dédié sera un routeur. À partir de là, tu peux attribuer cette IP "à distance" à l'autre bout du tunnel VPN :

    Sur ton dédié, disons que tu aies deux interfaces : ethX (l'interface physique) et tapX (l'interface virtuelle OpenVPN). Tu peux faire un bridge de ces deux interfaces, qui seront alors conceptuellement sur le même LAN (c'est comme si je mettais un câble ethernet entre ethX et tap0). Sauf que bien-sûr, à l'autre bout de tap0 tu as ta bécane en 4G qui elle aussi fait tourner OpenVPN et qui a elle aussi son interface tapX (sachant qu'OpenVPN va trouer le NAT). Et cette machine aura comme IP publique et "fixe", l'IP supplémentaire que ton service de dédié t'auras attribuée.

    Bien entendu, il faut avant se renseigner pour voir si ton service de dédié autorise cela. Sachant que cela peut se détecter assez facilement avec un traceroute (on verra par exemple qu'il y a <1 ms entre chaque hop sauf au dernier où tu as 100 ms !).

    EDIT: ce doit être possible en mode PPP (avec des interfaces virtuelle de type tunX), aussi… Mais j'ai toujours trouvé le PPP bizarre.

    • [^] # Re: Piste avec OpenVPN

      Posté par  . Évalué à 1.

      PS : Certains opérateurs sympas, comme FDN, peuvent fournir un service OpenVPN à leurs adhérents pour ce genre de cas, avec une IPv4 fixe publique et un bloc d'IPv6 : https://www.fdn.fr/services/vpn/

      Attention, cette offre de service VPN n'est pas comme les autres : elle ne vise pas particulièrement à se cacher derrière une IP, mais justement d'en obtenir une (publique et fixe pour les adhérents) faisant ainsi de FDN ton opérateur, au dessus de l'opérateur qui fournit la 4G. Cela peut donc être une solution pour sauter l'étape du dédié.

      • [^] # Re: Piste avec OpenVPN

        Posté par  . Évalué à 2.

        Cela peut donc être une solution pour sauter l'étape du dédié.

        le dédié se trouvant alors etre l'infra FDN :D

  • # Tunnel inverse SSH

    Posté par  (site Web personnel) . Évalué à 1.

    Ton serveur Web peut établir un tunnel inverse SSH sur ton serveur dédié de relais, et ensuite tu n'as plus qu'à router les requêtes vers le port ouvert par le tunnel sur le dédié.

  • # Tor

    Posté par  . Évalué à 3. Dernière modification le 01/07/17 à 19:32.

    Si c'est pour un usage personnel, tor est capable de router le trafique derrière un nat, tu auras une adresse en .onion qui te permettra de te connecter a ton serveur sans avoir à te soucier de la manière dont ce dernier est relié à internet.

    (et pour le coups, c'est assez magique)

  • # Retour

    Posté par  . Évalué à 1.

    Petit retour après la mise en œuvre.

    J'ai donc implémenté la solution Apache+Reverse+OpenVPN et ça marche !
    Je m'attendais à galérer dans les configs et puis finalement tout ça c'est fait assez facilement.

    Je n'ai pas encore le recul pour juger du volume de données engendré par OpenVPN pour maintenir la connexion mais bon on verra.

    • [^] # Re: Retour

      Posté par  . Évalué à 1.

      Pareil , je suis preneur éventuellement d'une explication un peu détaillée pour les non initiés en réseau…

  • # suite

    Posté par  . Évalué à 1.

    Bonjour,
    Même problème. J'ai un routeur 4G et derrière, un équipement de mesure avec serveur web embarqué (configuration, relève de mesure etc….). Pourriez vous m'expliquer votre solution (vpn reverse apache) ?
    merci

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.