question de choix de config.
à quoi te sert le VPN ?
-A rendre anonyme mes connexions de mon gros FAI.
-A accéder au web et à mon serveur également.
-Pourquoi pas en faire profiter quelques personnes qui cherchent à anonymiser leur connexions
Du coup, si je cherche à accéder à mes services alors que je suis en VPN jusqu'à mon routeur, le port forwarding fera le transfert sur mon serveur.
Je suis entrain de mettre en oeuvre le VPN sur mon routeur.
mais du coup, tu veux pouvoir te connecter à ton serveur privé (chez toi) depuis une connexion publique (3G/4G) via la connexion publique (IP_36) de ton FAI_asso ?
Oui c'est le cas de base mais je devrais me connecter au VPN que je mettrais en place.
Puisque le VPN du FAI asso ne tolère qu'un seul accès je pense.
Deux connections (routeur + smartphone) ne sont pas autorisées.
ou tu veux juste accéder au serveur en 3G/4G comme si tu était à la maison ?
En réflechissant à cette question, je déduis les situations suviantes.
Cas simple :
Service VPN ( de 3G/4G ) jusqu'à mon IP publique FAI ASSO -> redirigé vers le VPN ASSO.
Cas complexe :
Service VPN ( de 3G/4G ) jusqu'à mon IP publique FAI ASSO -> acces au serveur web de ma machine -> redirigé vers le VPN ASSO.
Le service VPN je ne l'ai pas encore mis en oeuvre, il y a seulement celui du VPN asso.
s'il est chez toi, alors c'est chez toi qu'il faut monter le serveur VPN, ton client 3G/4G se connecte alors chez toi et devient l'equivalent de s'il était connecté à ton wifi.
Okey
Et oui, au dela du routeur ASSO, tu redeviens en clair.
donc si tu consultes des sites "interdits", c'est l'asso qui va prendre le contrôle de police, qui fournira peut-être des logs pour dire que c'est tel ou tel client qui a fait des choses interdites… Le VPN ne sert qu'à éviter l'espionnage sur la ligne
Posté par electro575 .
En réponse au message Mise en oeuvre VPN.
Évalué à 1.
Dernière modification le 01 avril 2020 à 11:59.
Okey, en fait si je sors de la maison pour atteindre mon serveur et que je passe en 3G/4G, j'aimerais rejoindre mon routeur lié au FAI asso pour atteindre leur VPN.
De cette façon, je serais chiffré de bout en bout.
Le schéma serait le suivant,
client externe (3G/4G) => (mon_VPN) routeur maison (VPN_FAI_ASSO) => routeur FAI asso
Je ne sais pas quel opérateur ils utilisent par la suite, si c'est un gros FAI, mes efforts serviront seulement à couvrir le lien de ma box uniquement.
ton IP 36.x.y.z c'est celle derriere le VPN ou derriere la box ?
C'est l'IP publique qui m'a été délivré et qui est présent au niveau du routeur mikrotik.
si c'est derriere la box, il y a un renvoi entre ta box et ton mikrotik, mais c'est la box qui gere (ou pas) le hairpinning.
Oui, sur la box je peux faire du NAT, indiquer la présence d'un bridge, c'est tout ce que je vois comme option.
J'ai eu la réponse de quelqu'un sur un forum qui me disait aussi être embêté à ce même titre parce que le hairpinning n'était pas géré par la box du gros FAI.
dans tous les cas, tu peux faire ton pinning sur le mikrotik quand meme, en interceptant les paquets qui circulent entre le LAN et l'IP publique.
Oui mais par contre, l'IP publique que le FAI asso m'a attribué, elle est bien au niveau de mon routeur je pense.
SI le paquet vient du LAN et est à destination de 36.x
ALORS
tu changes la destination par la destination locale (IP LAN de ton serveur)
mais il faut aussi changer la source par l'IP LAN du mikrotik
ainsi le serveur répond au mikrotik qui refait le chemin inverse.
Oui je suis d'accord, est-ce que c'est le principe du hairpinning ? à priori c'est ça mais je n'arrive pas à le mettre en place.
Le mikrotik est à ce jour lié en VPN au réseau du FAI asso
et
lié à une IP en 192.168.1.X par le serveur dhcp de la sfrbox.
J'arrive à avoir accès à mon serveur depuis le web mais pas depuis mon réseau local.
Le souci est qu'à l'heure actuelle, je ne sais pas si il y a quelque chose a configurer sur la box.
Elle laisse passer mon protocole L2TP et donne internet à ceux qui s'y connecte.
J'ai une autre IP publique sur la sfrbox.
Réseau local = 10.0.20.0
IP serveur = 10.0.20.182
IP client = 10.0.20.185
IP publique = 80.10.50.185 (à titre d'exemple)
La on peut voir un jour un paquet retour.
3.) enfin, oui il y a parfois des routeurs qui n'apprécient pas de sortie du LAN pour rerentrer par le WAN vers le LAN
et là il faut voir si ton routeur est tout seul, si le routeur est branché à la box d'un opérateur, etc
Oui, mon routeur mikrotik est derrière la box du gros FAI, … je ne sais pas si cela va empêcher la connexion de s'établir.
ainsi le flux 5.x.y.z -> 36.x.y.z est modifié en 10.x.y.z -> 36.x.y.z grace au SNAT
puis la réponse fait alors 36.x.y.z -> 10.x.y.z -> 5.x.y.z grace à un DNAT
[^] # Re: quel commande ?
Posté par electro575 . En réponse au message [PROCESS] : Limiter le nombre de cpu et le débit descendant. Évalué à 1. Dernière modification le 11 avril 2020 à 20:14.
J'utilise le script ci-joint.
https://debian-facile.org/paste-3B8CF926CC
Et je le lance avec ./script.sh en sudo ou en root.
A priori la commande est git clone pour le download
Pour limiter le nombre de cpu, peux t-on utiliser la commande suivante ?
Est-ce que taskset va s'appliquer à toutes les lignes du script ?
[^] # Re: la base
Posté par electro575 . En réponse au message Problème courant : appel client → serveur via une IP publique. Évalué à 1. Dernière modification le 10 avril 2020 à 21:15.
Voila la solution,
https://wiki.mikrotik.com/wiki/Hairpin_NAT
[^] # Re: aucune
Posté par electro575 . En réponse au message Mise en oeuvre VPN. Évalué à 1.
-A rendre anonyme mes connexions de mon gros FAI.
-A accéder au web et à mon serveur également.
-Pourquoi pas en faire profiter quelques personnes qui cherchent à anonymiser leur connexions
Du coup, si je cherche à accéder à mes services alors que je suis en VPN jusqu'à mon routeur, le port forwarding fera le transfert sur mon serveur.
Je suis entrain de mettre en oeuvre le VPN sur mon routeur.
[^] # Re: aucune
Posté par electro575 . En réponse au message Mise en oeuvre VPN. Évalué à 1. Dernière modification le 01 avril 2020 à 18:10.
Okey étant donné qu'à ce jour j'ai my_server <==> routeur_perso <==> VPN FAI Asso
Cas 1,
Si je me connecte en VPN sur mon routeur et que je demande mon serveur (lui même étant derrière mon routeur).
Cas 2,
Si je me connecte sur mon serveur et que je demande mon serveur/ou VPN FAI asso
=> soit en conclusion, il vaut mieux être connecté en VPN sur mon routeur ou sur mon serveur ?
[^] # Re: aucune
Posté par electro575 . En réponse au message Mise en oeuvre VPN. Évalué à 1.
Oui c'est le cas de base mais je devrais me connecter au VPN que je mettrais en place.
Puisque le VPN du FAI asso ne tolère qu'un seul accès je pense.
Deux connections (routeur + smartphone) ne sont pas autorisées.
En réflechissant à cette question, je déduis les situations suviantes.
Cas simple :
Service VPN ( de 3G/4G ) jusqu'à mon IP publique FAI ASSO -> redirigé vers le VPN ASSO.
Cas complexe :
Service VPN ( de 3G/4G ) jusqu'à mon IP publique FAI ASSO -> acces au serveur web de ma machine -> redirigé vers le VPN ASSO.
[^] # Re: aucune
Posté par electro575 . En réponse au message Mise en oeuvre VPN. Évalué à 1.
Mon serveur est chez moi tout à fait.
Le service VPN je ne l'ai pas encore mis en oeuvre, il y a seulement celui du VPN asso.
Okey
Oui effectivement
[^] # Re: aucune
Posté par electro575 . En réponse au message Mise en oeuvre VPN. Évalué à 1. Dernière modification le 01 avril 2020 à 11:59.
Okey, en fait si je sors de la maison pour atteindre mon serveur et que je passe en 3G/4G, j'aimerais rejoindre mon routeur lié au FAI asso pour atteindre leur VPN.
De cette façon, je serais chiffré de bout en bout.
Le schéma serait le suivant,
client externe (3G/4G) => (mon_VPN) routeur maison (VPN_FAI_ASSO) => routeur FAI asso
Je ne sais pas quel opérateur ils utilisent par la suite, si c'est un gros FAI, mes efforts serviront seulement à couvrir le lien de ma box uniquement.
[^] # Re: la base
Posté par electro575 . En réponse au message Problème courant : appel client → serveur via une IP publique. Évalué à 0.
J'y suis arrivé avec l'aide du forum associé à mon routeur.
Merci pour tes conseils.
[^] # Re: la base
Posté par electro575 . En réponse au message Problème courant : appel client → serveur via une IP publique. Évalué à 1.
Avec quel outil je peux faire des captures de traffic sans interface graphique type xfce4 ? Sans wireshark graphique.
[^] # Re: la base
Posté par electro575 . En réponse au message Problème courant : appel client → serveur via une IP publique. Évalué à 1.
C'est l'IP publique qui m'a été délivré et qui est présent au niveau du routeur mikrotik.
Oui, sur la box je peux faire du NAT, indiquer la présence d'un bridge, c'est tout ce que je vois comme option.
J'ai eu la réponse de quelqu'un sur un forum qui me disait aussi être embêté à ce même titre parce que le hairpinning n'était pas géré par la box du gros FAI.
Oui mais par contre, l'IP publique que le FAI asso m'a attribué, elle est bien au niveau de mon routeur je pense.
Oui je suis d'accord, est-ce que c'est le principe du hairpinning ? à priori c'est ça mais je n'arrive pas à le mettre en place.
[^] # Re: la base
Posté par electro575 . En réponse au message Problème courant : appel client → serveur via une IP publique. Évalué à 1.
L'IP publique est au niveau du mikrotik.
Le mikrotik est à ce jour lié en VPN au réseau du FAI asso
et
lié à une IP en 192.168.1.X par le serveur dhcp de la sfrbox.
J'arrive à avoir accès à mon serveur depuis le web mais pas depuis mon réseau local.
Le souci est qu'à l'heure actuelle, je ne sais pas si il y a quelque chose a configurer sur la box.
Elle laisse passer mon protocole L2TP et donne internet à ceux qui s'y connecte.
J'ai une autre IP publique sur la sfrbox.
[^] # Re: la base
Posté par electro575 . En réponse au message Problème courant : appel client → serveur via une IP publique. Évalué à 2. Dernière modification le 30 mars 2020 à 18:22.
Okey, j'ai mal anonymisé la chose,
Réseau local = 10.0.20.0
IP serveur = 10.0.20.182
IP client = 10.0.20.185
IP publique = 80.10.50.185 (à titre d'exemple)
La on peut voir un jour un paquet retour.
Oui, mon routeur mikrotik est derrière la box du gros FAI, … je ne sais pas si cela va empêcher la connexion de s'établir.
Aujourd'hui j'ai cette config,
[^] # Re: les drop list de spamhaus par exemple
Posté par electro575 . En réponse au message UFW : bannir certains pays. Évalué à 1.
C'est une bonne piste déjà
[^] # Re: Se concentrer sur l'essentiel
Posté par electro575 . En réponse au message UFW : bannir certains pays. Évalué à 1. Dernière modification le 25 mars 2020 à 14:45.
Effectivement
[^] # Re: Se concentrer sur l'essentiel
Posté par electro575 . En réponse au message UFW : bannir certains pays. Évalué à 0.
Sécurise plutôt tes données.
Qu'est-ce que tu proposes comme solution pour cela ?
[^] # Re: Rien ?
Posté par electro575 . En réponse au message Escroquerie. Évalué à 2.
Oui, vrai, j'ai vu l'IP reconnu comme serveur OVH par google.
Merci
[^] # Re: tu peux pas, et tu n'as pas fini
Posté par electro575 . En réponse au message Escroquerie. Évalué à 2. Dernière modification le 10 mars 2020 à 17:29.
Est-ce qu'on a le moyen de savoir à qui l'IP appartient pour contacter l'hébergeur de serveur en Angleterre ?
Via un traceroute peut être ?
[^] # Re: Rien ?
Posté par electro575 . En réponse au message Escroquerie. Évalué à 1.
Si jamais ça vous interesse :
IP :
51.91.108.6
Nom d'hôte :
n0se-redirection.com
Tu peux y entrer un faux mail, de fausses coordonnées, …
IP :
51.91.108.6
Nom d'hôte :
dossier-verification.fr
[^] # Re: parfois
Posté par electro575 . En réponse au message Webmails : Roundcube on debian buster. Évalué à 1.
Merci pour ta réponse
[^] # Re: parfois
Posté par electro575 . En réponse au message Webmails : Roundcube on debian buster. Évalué à 1.
Oui tout à fait, mais je prend l'exemple de nextcloud, j'ai mis à jour quelques paquets php sans mettre nextcloud en mode maintenance.
J'ai actuellement un message d'erreur serveur interne. Du coup je ne sais pas comment le réparer.
De cette façon, j'espère que si je fais du roundcube, que j'aurais pas le même problème.
Je n'arrive pas à trouver l'équivalent DocumentRoot concernant l'installation du paquet debian.
[^] # Re: Ca veut dire quoi ?
Posté par electro575 . En réponse au message Fiabilité d'un serveur. Évalué à 1.
J'ai bien relié l'adresse MAC de mon serveur à celui d'une IP fixe DHCP.
J'ai ouvert des ports de la box redirigés vers mon PC serveur, il est donc relié à internet.
Fail2ban est présent pour les services SSH et autres sur l'eth0 je suppose.
[^] # Re: Ca veut dire quoi ?
Posté par electro575 . En réponse au message Fiabilité d'un serveur. Évalué à 1.
Le cable c'est un nouveau.
La config dhcp je n'y ai pas touché.
Il n'y a pas de switch.
Je vais peut etre devoir mettre aussi une carte PCI car la carte mère est low-cost, AS-ROCK.
Un watchdog raspberry, pour redémarrer le switch automatiquement en cas de freeze ?
Okey merci pour les logs.
[^] # Re: Ca veut dire quoi ?
Posté par electro575 . En réponse au message Fiabilité d'un serveur. Évalué à 1. Dernière modification le 08 février 2020 à 18:28.
En fait, mon Pc maison serveur derrière la box du gros FAI est deconnecté de la box sur mon réseau local.
Mais comment s'est arrivé, je ne sais pas, et ca arrive fréquemment.
Ou est-ce que je peux identifier ce problème ?
[^] # Re: oui
Posté par electro575 . En réponse au message [Outil] Test en conformité sécurité. Évalué à 1.
Du coup, étant donné que je suis assez avancé, je vais implémenter rspamd avec opensmtpd.
Ca sera plus simple pour signer en DKIM
[^] # Re: oui
Posté par electro575 . En réponse au message [Outil] Test en conformité sécurité. Évalué à 1.
Oui merci pour le lien google, j'ai déja cherché mais alors entre,
opendkim et dkimproxy , … ! Je vois plutôt postfix que opensmtp.
Du coup, déjà, choisir opendkim ou dkimproxy ?