electro575 a écrit 870 commentaires

ton IP 36.x.y.z c'est celle derriere le VPN ou derriere la box ?

C'est l'IP publique qui m'a été délivré et qui est présent au niveau du routeur mikrotik.

si c'est derriere la box, il y a un renvoi entre ta box et ton mikrotik, mais c'est la box qui gere (ou pas) le hairpinning.

Oui, sur la box je peux faire du NAT, indiquer la présence d'un bridge, c'est tout ce que je vois comme option.

J'ai eu la réponse de quelqu'un sur un forum qui me disait aussi être embêté à ce même titre parce que le hairpinning n'était pas géré par la box du gros FAI.

dans tous les cas, tu peux faire ton pinning sur le mikrotik quand meme, en interceptant les paquets qui circulent entre le LAN et l'IP publique.

Oui mais par contre, l'IP publique que le FAI asso m'a attribué, elle est bien au niveau de mon routeur je pense.

SI le paquet vient du LAN et est à destination de 36.x
ALORS
tu changes la destination par la destination locale (IP LAN de ton serveur)
mais il faut aussi changer la source par l'IP LAN du mikrotik
ainsi le serveur répond au mikrotik qui refait le chemin inverse.

Oui je suis d'accord, est-ce que c'est le principe du hairpinning ? à priori c'est ça mais je n'arrive pas à le mettre en place.

L'IP publique est au niveau du mikrotik.

Le mikrotik est à ce jour lié en VPN au réseau du FAI asso
et
lié à une IP en 192.168.1.X par le serveur dhcp de la sfrbox.

J'arrive à avoir accès à mon serveur depuis le web mais pas depuis mon réseau local.

Le souci est qu'à l'heure actuelle, je ne sais pas si il y a quelque chose a configurer sur la box.
Elle laisse passer mon protocole L2TP et donne internet à ceux qui s'y connecte.
J'ai une autre IP publique sur la sfrbox.

Okey, j'ai mal anonymisé la chose,

Réseau local = 10.0.20.0
IP serveur = 10.0.20.182
IP client = 10.0.20.185
IP publique = 80.10.50.185 (à titre d'exemple)

La on peut voir un jour un paquet retour.

3.) enfin, oui il y a parfois des routeurs qui n'apprécient pas de sortie du LAN pour rerentrer par le WAN vers le LAN
et là il faut voir si ton routeur est tout seul, si le routeur est branché à la box d'un opérateur, etc

Oui, mon routeur mikrotik est derrière la box du gros FAI, … je ne sais pas si cela va empêcher la connexion de s'établir.

ainsi le flux 5.x.y.z -> 36.x.y.z est modifié en 10.x.y.z -> 36.x.y.z grace au SNAT
puis la réponse fait alors 36.x.y.z -> 10.x.y.z -> 5.x.y.z grace à un DNAT

Aujourd'hui j'ai cette config,

/ip firewall nat 

add action=src-nat chain=srcnat out-interface=vpn \
    src-address=10.0.20.0/24 to-addresses=80.10.50.185

add action=src-nat chain=srcnat out-interface=vpn \
    src-address=10.0.20.0/24 to-addresses=80.10.50.185

add action=dst-nat chain=dstnat dst-address=80.10.50.185 protocol=tcp dst-port=5111 \
     to-address=10.0.20.182

add action=masquerade chain=srcnat src-address=10.0.20.0/24
     dst-address=10.0.20.182 protocol=tcp dst-port=5111 \
     out-interface=bridge1

C'est une bonne piste déjà

Effectivement

Sécurise plutôt tes données.

Qu'est-ce que tu proposes comme solution pour cela ?

Oui, vrai, j'ai vu l'IP reconnu comme serveur OVH par google.

Merci

Est-ce qu'on a le moyen de savoir à qui l'IP appartient pour contacter l'hébergeur de serveur en Angleterre ?

Via un traceroute peut être ?

Si jamais ça vous interesse :

IP :
51.91.108.6
Nom d'hôte :
n0se-redirection.com

Tu peux y entrer un faux mail, de fausses coordonnées, …

IP :
51.91.108.6
Nom d'hôte :
dossier-verification.fr

Merci pour ta réponse

Oui tout à fait, mais je prend l'exemple de nextcloud, j'ai mis à jour quelques paquets php sans mettre nextcloud en mode maintenance.

J'ai actuellement un message d'erreur serveur interne. Du coup je ne sais pas comment le réparer.

De cette façon, j'espère que si je fais du roundcube, que j'aurais pas le même problème.

Je n'arrive pas à trouver l'équivalent DocumentRoot concernant l'installation du paquet debian.

J'ai bien relié l'adresse MAC de mon serveur à celui d'une IP fixe DHCP.

J'ai ouvert des ports de la box redirigés vers mon PC serveur, il est donc relié à internet.

Fail2ban est présent pour les services SSH et autres sur l'eth0 je suppose.

Le cable c'est un nouveau.
La config dhcp je n'y ai pas touché.
Il n'y a pas de switch.

Je vais peut etre devoir mettre aussi une carte PCI car la carte mère est low-cost, AS-ROCK.

Un watchdog raspberry, pour redémarrer le switch automatiquement en cas de freeze ?

Okey merci pour les logs.

En fait, mon Pc maison serveur derrière la box du gros FAI est deconnecté de la box sur mon réseau local.

Mais comment s'est arrivé, je ne sais pas, et ca arrive fréquemment.

Ou est-ce que je peux identifier ce problème ?

Du coup, étant donné que je suis assez avancé, je vais implémenter rspamd avec opensmtpd.

Ca sera plus simple pour signer en DKIM

Oui merci pour le lien google, j'ai déja cherché mais alors entre,

opendkim et dkimproxy , … ! Je vois plutôt postfix que opensmtp.

Du coup, déjà, choisir opendkim ou dkimproxy ?

D'accord merci.

J'ai fait le test au niveau de mon serveur mail.

En ce moment j'utilise opensmtp et dovecot + sogo.

J'ai vu quelqu'un qui a signé ses mails avec DKIM et rspam.

Malheureusement, je ne trouve pas grand chose pour signer DKIM avec opensmtp.

Saurais-tu quelques chose à propos ?

Aussi, PYZOR_CHECK
Ajustez votre message ou demandez à être whitelisté (http://public.pyzor.org/whitelist/)

Merci

En soit, quelle est la différence entre un enregistrement de type A et CNAME ?

A priori c'est identique

Pour la zone DNS, il ne manque pas un '.' ?

www.domain.tld IN A Adresse_IP

pour plutôt cela :

www.domain.tld. IN A Adresse_IP

En ce moment, j'ai plutôt le schéma suivant :

@ 10800 IN A IP_PUBLIC
mailing 10800 IN CNAME mondomain.org

Est-ce que le paragraphe du dessous est identique au paragraphe du dessus ?

@ 10800 IN A IP_PUBLIC
mailing.mondomain.org 10800 IN A IP_PUBLIC

D'accord, mais du coup dans ce cas de figure, le /etc/hostname sert juste à donner le nom à un PC pour son réseau local ?

Ca n'a pas d'impact sur le score du serveur mail ?

Merci pour ta réponse.

ma machine va regarder si :
X.Y.Z.T renvoie bien sur un nom de domaine valide (c'est donc le reverse DNS, PTR de son nom qu'il faut renseigner)

Je prend comme exemple le cas suivant :
Hostname: mail
Domain: contoso.com
FQDN: mail.contoso.com

=> Donc si le hostname de la machine est différent de "mail", l'IP est banni ? => concerne le rDNS du coup

=> par contre, dans la zone DNS, on doit tout de même avoir mail.contoso.com lié à contoso.com, non ? => concerne la zone DNS

En résumé : en Smtp, on utilise le hostname dans l'envoie des e-mails.

Aussi, peut-on faire du multiple hostname pour un seul PC avec plusieurs services ?

Même si je pense que seul le serveur mail vérifie le FQDN (avec rDNS), …

Les cartouches sont neuves.
C'est des cartouches HP. (oui car bien identifiées par le serveur WEB de l'imprimante).
J'ai enlevé les caches.

La tête d'impression, je l'ai nettoyé mais l'erreur persiste toujours.

Le seul moyen d'après un internaute pour effacer ce message c'est d'effectuer un reset hard, et je n'arrive pas à entrer dans ce fameux menu ingénieur au démarrage.

Menu avec lequel je peux effectuer un hard reset, je suis bloqué sur ce message au démarrage, je ne peux rien faire de plus, c'est bloqué dessus.

A priori je suis dans les clous, j'ai remplacé,

SMTP : user -> user_mail@domaine.fr par user_mail => envoie okey

En théorie on entre user_mail@domaine.fr pour l'authentification, c'était ça le problème.

Par contre, voici les traces de claws mail.

Aucune méthode SMTP AUTH disponible
ESMTP> STARTTLS

* Compte 'david@mon_domaine.fr' : Connexion au serveur SMTP : mon_domaine.fr:25..
[2020-01-15 10:24:39] SMTP< 220 mon_domaine.fr ESMTP OpenSMTPD
[2020-01-15 10:24:39] ESMTP> EHLO localhost
[2020-01-15 10:24:39] ESMTP< 250-mon_domaine.fr Hello localhost [78.215.201.3], pleased to meet you
[2020-01-15 10:24:39] ESMTP< 250-8BITMIME
[2020-01-15 10:24:39] ESMTP< 250-ENHANCEDSTATUSCODES
[2020-01-15 10:24:39] ESMTP< 250-SIZE 36700160
[2020-01-15 10:24:39] ESMTP< 250-DSN
[2020-01-15 10:24:39] ESMTP< 250-STARTTLS
[2020-01-15 10:24:39] ESMTP< 250 HELP
** Aucune méthode SMTP AUTH disponible
[2020-01-15 10:24:39] ESMTP> STARTTLS
[2020-01-15 10:24:39] ESMTP< 220 2.0.0: Ready to start TLS
[2020-01-15 10:24:41] ESMTP> EHLO localhost
[2020-01-15 10:24:41] ESMTP< 250-mon_domaine.fr Hello localhost [78.215.201.3], pleased to meet you
[2020-01-15 10:24:41] ESMTP< 250-8BITMIME
[2020-01-15 10:24:41] ESMTP< 250-ENHANCEDSTATUSCODES
[2020-01-15 10:24:41] ESMTP< 250-SIZE 36700160
[2020-01-15 10:24:41] ESMTP< 250-DSN
[2020-01-15 10:24:41] ESMTP< 250-AUTH PLAIN LOGIN
[2020-01-15 10:24:41] ESMTP< 250 HELP
[2020-01-15 10:24:41] ESMTP> AUTH LOGIN
[2020-01-15 10:24:41] ESMTP< 334 SDFBXCDGFFGD
[2020-01-15 10:24:41] ESMTP> [USERID]
[2020-01-15 10:24:41] ESMTP< 334 ZADSDSFVCFBB
[2020-01-15 10:24:41] ESMTP> [PASSWORD]
[2020-01-15 10:24:41] ESMTP< 235 2.0.0: Authentication succeeded
[2020-01-15 10:24:41] ESMTP> MAIL FROM:<david@mon_domaine.fr> SIZE=358
[2020-01-15 10:24:41] SMTP< 250 2.0.0: Ok
[2020-01-15 10:24:41] SMTP> RCPT TO:<david@mon_domaine.fr>
[2020-01-15 10:24:41] SMTP< 250 2.1.5 Destination address valid: Recipient ok
[2020-01-15 10:24:41] SMTP> DATA
[2020-01-15 10:24:41] SMTP< 354 Enter mail, end with "." on a line by itself
[2020-01-15 10:24:41] SMTP> . (EOM)
[2020-01-15 10:24:41] SMTP< 250 2.0.0: 2fac789e Message accepted for delivery
* Message envoyé avec succès.

Humm, et bien à priori c'est dovecot qui a un masteruser et qui a un socket lmtp.

Dovecot gère l'IMAP.

opensmtp gère le SMTP et authentifie via le socket lmtp d'après ce que j'ai pu voir.

Est-ce que c'est une mauvaise façon ?

Bon, toujours est-il que d'après Claws Mail, il ne trouve pas de méthode d'authentification SMTP quand j'envoie un mail.

merci et désolé pour cette erreur, c'était le port 587 submission de dovecot auquel voulait accéder opensmtp :/