Accès à mon réseau depuis l'extérieur

[serpico]

Bonjour,

J'utilise actuellement un réseau basique constitué de trois PC sous Windows XP derrière mon CBVG834G.

Je souhaiterais pouvoir accéder àl'un des trois postes via UltraVNC depuis l'extérieur. Je pensais que ce serait plutôt simple à mettre en oeuvre, mais je crois que je m'emmêle un peu les pinceaux.

Le poste qui doit être joint via l'extérieur a l'ip 192.168.0.2 et le serveur UltraVNC est démarré. J'ai désactivé le firewall de XP et n'ai pas d'antivirus installé sur ce poste (je sais c un peu suicidaire mais bon j'évite d'installer des programmes qui pourraient empêcher le fonctionnement de mon plan, je sécuriserai le tout crescendo)

Pour ce qui est de la config du routeur, j'ai mis les paramètres suivants :

Configuration

Paramètres de base => j'ai laissé les DNS en auto

Paramètres réseau sans fil => désactivé, je nai pas de wifi

Réseaux invités => aucun réseau invité actif

Statut MTA => j'ai pas compris à quoi ça sert donc j'ai rien touché

===============================================

Filtrage de contenu

Sites bloqués => aucun site bloqué

Services => Fonctions pare-feu, passage d'IPSEC, passage de PPTP, multidiffusion activés. Au niveau des fonctions Web je n'ai rien activé

===============================================

Maintenance

Mode Router/Bridge => Mode NAT activé

===============================================

Paramétrages avancés

DNS Dynamique => activé avec mes identifiants Dyndns + mon nom de domaine

Filtrage MAC => aucun filtrage actif

Blocage du port => aucun port bloqué

Transfert de port actifs =>
de 5800 à 5901 reroutés en UDP et TCP vers 192.168.0.2
de 20 à 21 reroutés en TCP vers 192.168.0.2
de 3389 à 3390 reroutés en TCP et UDP vers 192.168.0.2

Déclenchement de port => aucun déclenchement de port

Hôte DMZ => renseigné avecl'adresse 192.168.0.2 Réponse à un ping de port WAN est coché

IP LAN du routeur => 192.168.0.1 masque 255.255.255.0
DHCP activé
plage DHCP De 192.168.0.10 à 19

Gestion à distance => activée pour tout le monde via le port 2511 (g préféré modifier ce port)

UPNP => activé : Période = 1 temps de vie = 20
==================================================

Si je fais un ping de mon nom de domaine dyndns depuis l'extérieur, la résolution de nom se fait, ilm'affiche bien qu'il cherche àjoindre mon IP publique, mais je n'ai pas de réponse de mon IP publique

Depuis l'extérieur, lorsque dans un navigateur je tape http://monippublique:5800 Java se lance mais me laisse un écran vide au lieu de me demander mon passe VNC

Toujours depuis l'extérieur si je tape http://monippublique:2511 j'ai bien accès à l'interface de gestion de mon routeur

Si à partir de VNC j'essaie de prendre la main sur mon IP publique je n'arrivepas à joindre mon PC ; idem avec le Bureau à distance de Windows

En gros je ne sais pas où j'ai merdé, mais soit j'en ai trop fait sur ma config du routeur soit il me manque un paramétrage sur mon PC 192.168.0.2 ...

Est-ce que quelqu'un aurait une idée de ce qe je dois faire pour améliorer la situation ?

[Mekthoub]

Bonsoir!

Il faudrait:

1. Activer le pare-feu XP
2. Démarrer VNC Server
3. Lorsque XP pose la question, lui répondre de "Débloquer" VNC Server
4. Désactiver la DMZ
5. Désactiver l'UPnP (sauf si tu as une Bonne Raison de le laisser activé)
6. Supprimer la règle de tranfert des ports 5800-5901
7. Créer deux nouvelles règles:
   • Une règle pour transférer le TCP 5800
   • Une règle pour transférer le TCP 5900
8. Supprimer le transfert du port TCP 20

[serpico]

Bonjour,

Merci de votre réponse rapide. Je ne pourrai pas faire de test avant demain matin, mais j'essaierai de vous tenir au courant de l'évolution de ce sujet.

Je viens de faire les manips que vous m'avez dit j'ai pu tout faire à part le transfert du port 5900 qui apparaît dans la table UPnP ... Bon au pire ça veut dire que je devrai utiliser un navigateur à la place du client VNC pour prendre la main à distance, ce qui en soi n'est pas dramatique (de toute façon à terme, je vais changer les ports VNC ... parano quand tu nous tiens !).

Je rajoute juste le port 3389 en TCP pour tester avec le Bureau à distance de Windows (exception ajoutée dans les paramètres du pare-feu windows)

Au passage, je pensais qu'il était indispensable de créer un hôte DMZ pour pouvoir être joint de l'extérieur, mais si je comprends bien, le transfert de port suffit à faire du VNC. Par contre, pour de l'openvpn (port 1194) le transfert de port sera-t-il suffisant ?

[Mekthoub]

à part le transfert du port 5900 qui apparaît dans la table UPnP ...

Solution: Désactiver l'UPnP dans le Netgear, désactiver l'UPnP dans le logiciel, redémarrer le Netgear, puis tranférer le TCP 5900.

utiliser un navigateur à la place du client VNC pour prendre la main à distance, ce qui en soi n'est pas dramatique

Pas dramatique!? Le client VNC est tellement plus efficace, qu'en général je ne conseille même pas d'ouvrir le 5800 du tout. J'ai fait une exception pour toi, parce que tu semblais clairement le vouloir. Mais le client Java est lourd, lent, malpratique... Plus un gadget de démonstration qu'un outil de travail sérieux, quoi. Enfin, à mon avis perso à moi que j'ai. Par contre le client VNC, il faut l'avoir installé. Alors qu'un navigateur est disponible sur presque toutes les machines du monde. Évidemment.

je pensais qu'il était indispensable de créer un hôte DMZ pour pouvoir être joint de l'extérieur, mais si je comprends bien, le transfert de port suffit

Cette DMZ n'est rien d'autre qu'un transfert de ports en plus massif. Elle transfère tous les 131072 ports. Deux utiles, le reste pour rien. Et 131070 ports ouverts pour des prunes, ça ne risquerait pas de faire paniquer le parano en toi?
:eek2:

En général les transferts de ports suffisent toujours. La DMZ ne se justifie que pour des cas très particuliers: 2ème routeur en aval, console de jeu...

[serpico]

Merci pour toutes vos précisions qui me sont fortement utiles

Pour l'instant ça ne fonctionne pas mieux (ou alors comme vous le disiez plus haut c'est que c'est vraiment très lent via un navigateur). Du côté du PC 192.168.0.2, j'ai vu qu'il y a une passerelle Internet activée et à force de faire tout et n'importe quoi sur ce PC, il est fort probable qu'il y ait des trucs qui m'empêchent de faire ce que je veux, donc ce soir je modifie son IP et je remonte un PC avec une install neuve en 192.168.0.2 avec les règles de pare-feu que vous avez mentionné dans le post précédent.

Je vous tiens au courant dès que j'aurai fini mon install.

Encore merci pour tout

[Mekthoub]

Le contrôle d'accès du serveur VNC dispose d'une option "accepter/refuser/demander", selon l'adresse source du client: Si tu crée une règle pour "demander", une tentative d'accès provoque-t-elle un popup de demande coté serveur? Les clients VNC et Java acceptent-ils de fonctionner à partir d'une machine du même réseau local?

[serpico]

Me revoilou,

Je viens de finaliser l'install de mon nouveau PC (au passage je trouvais pas de cd de xp, donc j'ai monté un 2003 server)

Sur ce serveur, j'ai activé le bureau à distance, un site web bidon, un serveur FTP et un UltraVNC.

Du coup sur le routeur, j'ai activé le transfert des ports en TCP des ports 21 , 80 , 5800 , 5900 et 3389

Un ami m'a prêté un iPad pour faire les tests, mais comme il n'y a pas de client VNC, j'ai juste essayé la connexion VNC via Safari et même topo que pour mon autre pc, ça m'affiche une page vierge dans le navigateur avec au milieu le hostname de mon PC en 192.168.0.2 (Javascript est activé dans Safari au cas où)

En ce qui concerne mes tentatives à partir du réseau local vers mon ip publique, toutes mes requêtes hormis le FTP passent sans problème (interface de gestion du routeur, VNC par navigateur, par client VNC, connexion bureau à distance, et http). Pour les requêtes FTP, Firefox m'annonce l'erreur 425 Can't open data connection. Partons donc du principe que j'ai encore merdé ma config du FTP.

En ce qui concerne mes requêtes depuis l'extérieur, je n'ai pas pu tester à partir d'un client VNC ni de bureau à distance je confirmerai demain matin s'il y a du mieux. Via l'iPad, j'arrive bien à accéder à mon "site Internet" et à ma console de gestion du routeur

Pour VNC je n'ai pas trouvé l'option que tu me disais (la règle pour "demander" ). A tout hasard je précise que j'utilise un serveur UltraVNC 1.02, des fois que tu as une autre version de VNC ...

Pour ce soir je vais m'arrêter là, la journée a été rude au boulot :wall: :wall2:

[Mekthoub]

Le support FTP du Netgear est buggé: Ça peut marcher, mais seulement dans des conditions bien précises, et un peu inattendues. Par exemple ton adresse IP publique doit compter autant de caractères que ton adresse locale: 11 caractères. Si ce n'est pas le cas, ça ne marchera pas correctement en mode FTP passif.

Mais pour VNC il n'y a aucune difficulté: Ça devrait juste marcher. Par contre Java != Javascript. Plus que différent: Sans autre rapport que le début du nom.

J'y pense: Que se passe-t-il si tu coupes les "fonction pare-feu" du Netgear? Ça ne sert pas à grand chose, et parfois ça gêne.

[serpico]

Merci pour votre aide je confirme enfin que ce la marche !!!!

J'ai fait mes derniers tests à partir du boulot. Apparemment, les ports 5800 et 5900 sont bloqués vers Internet là-bas, parce que j'ai essayé chez un ami cet après-midi et tout a fonctionné sur des roulettes.

Maintenant j'ai changé les ports de VNC et j'ai effectué les transferts de mes nouveaux ports. Avec un peu de chance je vais réussir à faire fonctionner ça à partir du boulot ....

En tout cas, merci beaucoup de votre aide et surtout de votre patience !!!! :yipee: