LiveBox Orange

[B-Pascal]

Bonjour,

Comme je l'ai indiqué dans ma présentation j'essaye de faire une config VPN pour mon fils infographiste qui a besoin de partager des données de son projet.

Après de multiples recherches sur des forums d'installation, et de problèmes rencontrés lors de la phase de configuration de la Livebox 3 Sagecom (firmware orange g6-f-sip-fr), je pense avoir mis le doigt sur le problème que j'ai depuis le début sur la détection du port 1194. Cela se situe au niveau du DynDns :


La colonne dernière mise à jour ne se met pas à jour justement ! Je suis toujours à unknow sur cette colonne.

Il semble que ce sujet ait déjà été soulevé dans les forums orange :
- Il se trouve que j'avais un # dans le mot de passe que j'avais chez noip, je l'ai donc changé.
- j'ai aussi l'appli DUC et comme vous pouvez le voir sur la capture écran, la connexion est fonctionnelle.
Je sais que le sujet est ancien (2015), mais comme il traitait du refresh de cette colonne il m'a semblé pertinent : https://communaute.orange.fr/t5/ma-conn ... d-p/501455

Je me suis inspiré d'un guide d'installation (sur medium.com) que je pourrais indiquer, je ne le fais pas là pour l'instant car je ne sais pas si j'ai le droit de le faire ici.

Pour conclure, la question est donc comment rafraichir cette colonne. Le simple fait de se déconnecter / reconnecter ne semble pas suffisant.

Merci par avance à ceux qui prendront le temps de me lire, et surtout de me donner des conseils avisés.

[Artemus24]

Salut B-Pascal.

Même avec DUC et NO-IP, à quoi cela vous sert d'utiliser DYNDNS ?
J'ai, il y a fort longtemps, utilisé NO-IP avant d'acheter un nom de domaine, et je n'ai jamais utilisé DYNDNS, qui existe aussi dans la box SFR.

Si vous désirez ouvrir le port 1194 (ou un autre), cela se passe dans la partie consacré au NAT (Network address translation).
C'est là que vous allez rediriger le flux entrant du port 1194 vers une adresse IP local de votre choix, en utilisant aussi le même port.

@+

[B-Pascal]

Salut Artemus,

j'ai suivi le tutoriel en question dont je te donne un extrait sur la partie DynDns :

Théoriquement c'est ce qui fait le lien avec noip. Vous utilisiez quoi pour faire le lien avec noip.com si vous ne passiez pas avec DynDns ?

Pour la partie NAT, j'ai bien utilisé le port 1194 en entrée/sortie :


Merci,
Pascal.

[Artemus24]

Salut B-Pascal.

Il existe plusieurs service que voici dans la box SFR : dyndns.com, ovh.fr, no-ip.com, dyndns.it, sitelutions.com, changeip.com.
Le service officiel s'appelle "noip.com" sans le tiret.

Vous comprenez pourquoi je n'ai jamais pu le configurer normalement à cause d'une non concordance dans le nom du service.
Je viens de refaire le test en activant mon ancien compte et j'ai toujours le même problème.

Théoriquement c'est ce qui fait le lien avec noip.

Non, ce qui fait le lien avec no-ip, c'est le nom de votre domaine qui est hébergé chez eux.
Vous devez avoir l'association entre le nom du domaine et votre adresse IP.

A quoi sert DUC ? Cela sert quand vous avez une adresse IP dynamique, c'est-à-dire qui change tout le temps.

Vous utilisiez quoi pour faire le lien avec noip.com si vous ne passiez pas avec DynDns ?

Je n'utilise rien puisque cela se fait tout seul chez noip.com. Pourquoi ?
Parce que noip.com est un registrar gratuit.

Cela se passe ainsi pour tous les noms de domaine dans le monde entier. Mon nom de domaine payant est enregistré chez GANDI !

Comment vérifier ? En faisant un ping du nom de votre nouveau domaine.
L'adresse IP que vous allez récupérer est, en tout logique, celle de votre box. C'est-à-dire l'adresse IP sur internet.

Pour le NAT, c'est très bien mais vous auriez dû ajouter en plus de "UDP" mettre aussi "TCP".

@+

[B-Pascal]

Merci pour tout ces conseils précieux Artemus, j'adore quand je sors de ce genre de discussion où je m'instruit.

Tout d'abord, je suis passé en TCP/UDP comme conseillé :

NB: on ne voit plus l'adresse ip wan comme dans la précédente capture du précédent message car j'ai renommé dans les propriétés générales de mon réseau la raspberry en vpn, mais bon le ping sur vpn fonctionne, donc aucune incidence.

J'ai retiré le dynDns puis-qu’apparemment il ne sert pas à grand chose.

Pour finir j'ai voulu voir sur noip.com ce que cela donnait :


Et comme sur cette page il renvoie sur une vidéo dans laquelle ils conseillent de check avec PortCheckTool.com on dirait que c'est moi qui refuse la connexion à ce port :


Quand j'ai vu le message d'erreur connexion refused, je me suis tout de suite dit que je bloquais au niveau du firewall :

J'ai donc changé là aussi en accès UDP/TCP comme suit :

et j'ai re-testé; mais cela n'a pas fonctionné mieux.

J'ai alors regardé leur vidéo de noip.com (accessible depuis la page où j'ai le problème de port 1194 : Vidéo noip.com)
Les explications sont données sur un routeur netgear et il y a un menu LAN Setup dont je n'ai pas trouvé l'équivalent sur la livebox (Cf à 3'25 de la vidéo), c'est peut-être là le paramétrage qu'il me manque ?


Je vois grâce à toi la lumière de cette histoire, je pense que je suis proche même si à l'heure où je réponds je suis peut-être encore dans le brouillard !

[Artemus24]

Salut B-Pascal.

Est-ce bien votre nom de domaine à vous : "us.hopto.org" ? Je pense que oui.
Ce qui prouve que vous avez bien accès à votre nouveau nom de domaine, depuis votre ordinateur.
Est-ce que je peux supposer que l'adresse IP est bien la votre : "xxx.120.178.224" ?

Je constate que le suffixe DNS principale de votre ordinateur est "home".
Vous avez accès à votre VPN par une adresse IPv6.
Normalement, vous devez tester aussi le flux avec une adresse IPv4.

Code : Tout sélectionner

ping -4 vpn

J'ai retiré le dynDns puis-qu’apparemment il ne sert pas à grand chose.

Comme je n'ai jamais pu l'utiliser chez moi, cela ne veut pas dire qu'il ne sert à rien.
Je me suis posé des questions à son sujet, et je n'ai jamais compris à quoi cela pouvait servir.
S'il s'agissait d'autorisation, je le faisais au travers de DUC, c'est-à-dire chez noip.com.

Et comme sur cette page il renvoie sur une vidéo dans laquelle ils conseillent de check avec PortCheckTool.com on dirait que c'est moi qui refuse la connexion à ce port :

Je constate que l'accès par le port "1194" pose un problème chez vous.

Code : Tout sélectionner

Problem! I could not see your service on xxx.120.xxx.224 on port (1194)
Reason: connection refused

Quand j'ai vu le message d'erreur connexion refused, je me suis tout de suite dit que je bloquais au niveau du firewall :

Oui ! En regardant vos images, je constate que vous avez ouvert le port "1194" en utilisant le PAT et non le NAT comme je vous l'ai indiqué précédemment.
Le NAT permet d'autoriser et de rediriger le flux entrant vers le bon périphérique. Dans la box SFR, je n'ai pas de PAT mais seulement le NAT.

Comment votre box va savoir ce qu'il faut faire si vous ne précisez pas l'adresse local "192.168.1.27" de la redirection ?
Et cela doit se faire aussi bien en IPv4 qu'en IPv6.

Vous dites pare-feu, c'est très bien, mais avez-vous envisagé aussi celui de votre ordinateur ?
Sous windows, il faut déclarer une règle pour autoriser le flux entrant vers votre application VPN. Et à faire pour IPv4 et IPv6.

Les explications sont données sur un routeur netgear et il y a un menu LAN Setup dont je n'ai pas trouvé l'équivalent sur la livebox (Cf à 3'25 de la vidéo), c'est peut-être là le paramétrage qu'il me manque ?

A vrai dire non car cette partie est consacrée à la configuration d'un service. Il n'y a pas d'équivalent dans la box SFR et dans la box d'orange.

Pour reprendre les explications, vous avez un flux entrant dans votre box orange. Que devez-vous faire pour l'autoriser ?
Il vous faut connaitre l'adresse IPv4 et/ou l'adresse IPv6 que vous devez traiter.
Puis ensuite si le flux traite du TCP et/ou de l'UDP. Et enfin l'adresse local de destination de votre flux.
Cela se nomme NAT et non PAT. Le PAT autorise l'ouverture d'un port mais ne le redirige pas.

Ensuite, selon la configuration de votre box orange, vous devez savoir si vous devez aussi autoriser le flux sortant.
En général, le flux sortant n'est jamais bloqué, mais bon, on ne sait jamais.

Ne pas oublier d'autoriser le flux entrant et sortant dans le pare-feu de votre ordinateur, surtout chez windows.
Dans la raspberry, par défaut, il n'y a pas de pare-feu d'installé. J'ai fréquemment tendance à oublier cette partie sous windows.

Et bien sûr, faire en sorte que l'application fonctionne au moment où vous faites le test du port dans noip.com.
En espérant que je n'ai rien oublié.

Le mieux est dans un premier temps de tout ouvrir : firewall de la box, firewall de windows.
Puis quand vous fermez l'un, vérifiez si cela fonctionne encore.
Ainsi vous saurez où régler votre problème.

P.S.: c'est ce que j'ai fait pour wampserver.

@+

[B-Pascal]

Que d'info, que d'info !
Je vous remercie sur tout ces éclaircissements qui me permettent de mieux cerner l'origine du problème que j'ai : la config NAT.

Avant de venir sur ce sujet, je réponds à vos questions :

Est-ce bien votre nom de domaine à vous : "us.hopto.org"

Oui.

m'adresse IP est bien la votre : "xxx.120.xxx.224" ?

Oui, c'est bien la mienne.
J'ai bien lu tous les sujets (DynDns, firewall windows, ping IPv4) que je mets de côté pour l'instant car je veux dans un premier temps me concentrer sur la box et sur ce port 1194 qui bloque en accès depuis l'extérieur, c'est-à-dire depuis noip.com ou Check Tools.

Pour revenir au problème que j'ai, c'est bien comme vous dite sur la configuration du NAT et non du PAT que j'ai ouvert et où j'ai bien un problème.
Et pourquoi, tout simplement parceque pour moi je me suis basé sur cette phase :

Pour le NAT, c'est très bien mais vous auriez dû ajouter en plus de "UDP", mettre aussi "TCP"

J'ai complètement occulté qu'il existait un paramétrage NAT.

Je me suis documenté sur ce sujet : https://www.culture-informatique.net/ce ... oi-le-pat/
et j'ai trouvé une vidéo francophone dans laquelle on explique comment configurer le NAT sur une livebox :
https://www.youtube.com/watch?v=tKyGieG5MGg

Si on va 9'45 de la vidéo, il explique où trouver la partie NAT sur une Livebox pro v3. Là il parle d'un bouton Ajouter une redirection que je n'ai pas !


Image ci-dessus, celle de la vidéo ... et en-dessous celle de ma livebox (je n'ai pas capturé toute la page, mais je vous assure qu'il n'y a pas de bouton) :



Je vais donc partir à la recherche de ce bouton qui me permettra de faire la redirection (NAT) !
Dans un premier temps je vais chercher d'autres exemples (vidéos ou tuto) qui pourront m'éclairer sur une option qu'il faut peut-être que j'active pour voir PAT (tableau déjà là) et NAT (que je n'ai pas pour l'instant) dans ce menu.

Merci pour le résumé synthétique et le conseil d'ouverture du firewall.

@+
Pascal

[Artemus24]

Salut B-Pascal.

Que d'info, que d'info !

C'est ça l'informatique !

Quand on ne sait pas, il est toujours difficile de comprendre pourquoi il existe un blocage sur tel ou tel port.
Comme dit précédemment, vous devez vérifier :

a) que les adresses ipv4 & ipv6 utilisées, soient bien accessibles par un ping depuis votre ordinateur.

b) ou encore en faisant un nslookup :

Code : Tout sélectionner

C:\>nslookup -type=any www.google.fr 8.8.4.4
Serveur :   google-public-dns-b.google.com
Address:  8.8.4.4

Réponse ne faisant pas autorité :
www.google.fr   internet address = 216.58.204.131
www.google.fr   AAAA IPv6 address = 2a00:1450:4007:812::2003

C:\>

c) faire une redirection (NAT) dans votre box orange.
D'après ce que j'ai vu, il me semble que c'est correcte.
Par contre, la première ligne (UDP) n'est plus nécessaire.

d) vérifier qu'il existe une règle dans le pare-feu de votre ordinateur windows, aussi bien entrante que sortante sur l'application que vous utilisez.

e) ne pas oublier de lancer l'application VPN.

g) pour tester l'ouverture de vos ports, vous pouvez aussi utiliser :
--> http://www.inoculer.com/scannerdeports.php

@+

[B-Pascal]

Bonjour,

Je réponds en partie (points b, c, e et g) car pour les autres points je vérifierai un peu plus tard ...

b) ou encore en faisant un nslookup

J'ai testé l'adresse ip, et cela fonctionne bien :

c) faire une redirection (NAT) dans votre box orange.
D'après ce que j'ai vu, il me semble que c'est correcte.
Par contre, la première ligne (UDP) n'est plus nécessaire

La première ligne (voir la capture écran Livebox ci-dessous) correspond à une ligne de saisie, elle n'est pas cochée comme la suivante qui elle est enregistrée.

Par contre si là c'est bon, il va falloir que je vois pourquoi j'ai eu le message d'erreur suivant (celui de PortCheckTools)

NB: A la fin de ce post je donne aussi celui du site que vous m'avez conseillé.

Ce que je me demande en restant sur cet objectif, c'est si le fait d'avoir défini le NAT/PAT, qui est correcte d'après ce que tu me dit ...

... ne devrait pas mettre à jour l'UpnP ?

e) ne pas oublier de lancer l'application VPN.

Je sais contrôler ça au niveau de la raspbery avec la commande Systemctl status openvpn.service
Je ne mets que les deux dernières lignes qui indiquent qu'OpenVPN est bien lancé :

Code : Tout sélectionner

raspberrypi systemd[1]: Starting OpenVPN service...
raspberrypi systemd[d]: Started OpenVPN service.

g) pour tester l'ouverture de vos ports, vous pouvez aussi utiliser :
--> http://www.inoculer.com/scannerdeports.php

Là c'est comme avec portCheckTool,il m'indique que je n'ai aucun port d'ouvert !


Avec scanip cela donne le même résultat sur mon ip ...

rien ne semble ouvert (en l'occurence celui qui m'intéresse étant le 1194 :

d) vérifier qu'il existe une règle dans le pare-feu de votre ordinateur windows, aussi bien entrante que sortante sur l'application que vous utilisez.

Là je comprends pas pourquoi on parle de windows puisque problème ne vient pas de windows, je n'en suis même pas encore au client windows puisque je testais à la base le trafic entre noip.com et la livebox (qui m'indiquait qu'il n'arrivait pas à voir le port 1194). Puis comme j'ai eu ce problème, j'ai testé avec portCheckTool et inoculer qui m'ont tous confirmé que ce port n'est toujours pas ouvert.

[Artemus24]

Salut B-Pascal.

Je suis d'accord pour le résultat du nslookup de votre nom de site "XXXXXXus.hopto.org".
Voici le résultat chez moi :

Code : Tout sélectionner

C:\>nslookup -type=any XXXXXXus.hopto.org  8.8.4.4
Serveur :   google-public-dns-b.google.com
Address:  8.8.4.4

Réponse ne faisant pas autorité :
XXXXXXus.hopto.org      internet address = XXX.120.XXX.224

C:\>

Le résultat du "nslookup" donne que la déclarative que vous avez faite, et non si c'est accessible.
Voici le test de l'accès :

Code : Tout sélectionner

C:\>ping XXXXXXus.hopto.org

Envoi d’une requête 'ping' sur XXXXXXus.hopto.org [XXX.120.XXX.224] avec 32 octets de données :
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.

Statistiques Ping pour XXX.120.XXX.224:
    Paquets : envoyés = 4, reçus = 0, perdus = 4 (perte 100%),

C:\>ping XXX.120.XXX.224

Envoi d’une requête 'Ping'  XXX.120.XXX.224 avec 32 octets de données :
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.
Délai d’attente de la demande dépassé.

Statistiques Ping pour XXX.120.XXX.224:
    Paquets : envoyés = 4, reçus = 0, perdus = 4 (perte 100%),

C:\>

Comme on peut le voir, votre adresse ip ne semble pas être active !
J'ai voulu savoir où vous vous trouvez :

Code : Tout sélectionner

IP Information - XXX.120.XXX.224
Host name		lfbn-1-6745-224.w90-120.abo.wanadoo.fr
Country			France France
Country Code	FR
Region			Bretagne
City			Rennes
Latitude		48.0833
Longitude		-1.6833

Question : l'adresse XXX.120.XXX.224 correspond à quoi ? Est-ce chez vous ?
J'ai fait ce test vers les 18h00 et je constate que soit l'adresse n'est pas active ou que vous avez débranché votre box.
Pour connaitre mon adresse IP, j'utilise :

Code : Tout sélectionner

http://www.mon-ip.com/

Là je ne comprends pas pourquoi on parle de windows puisque le problème ne vient pas de windows,

Comment faites-vous pour tester votre VPN ?
Vous avez besoin de deux ordinateurs, l'un chez vous qui est votre serveur VPN, je suppose votre raspberry.
Et l'autre ordinateur, votre windows, par un accès à internet mais depuis l'extérieur de chez vous, afin de vérifier que l'accès est correcte.

@+