Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

  • État Nouveau
  • Pourcentage achevé
    0%
  • Type Anomalie
  • Catégorie Freebox OS
  • Assignée à Personne
  • Système d'exploitation Tous
  • Sévérité Critique
  • Priorité Très Basse
  • Basée sur la version 4.7.6
  • Due pour la version Non décidée
  • Échéance Non décidée
  • Votes
  • Privée
Concerne le projet: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Ouverte par Neustradamus_ - 29/10/2020
Dernière modification par Neustradamus_ - 07/06/2023

FS#32934 - Ajout d'une redirection de ports vers une machine en DHCP puis ajout d'un bail IPv4 statique : NOK

Lorsque l’on fait une redirection de ports vers une machine qui a une IPv4 automatique via le serveur DHCP de la Freebox, puis que l’on ajoute un bail IPv4 statique à cette même machine, puis que l’on fasse le reboot de la machine ou la désactivation puis réactivation de la carte réseau (pour prise en compte), la redirection de port ne fonctionne pas.

Il faut supprimer la redirection de ports que nous venons de créer puis la refaire pour qu’elle fonctionne.

Par contre, je n’ai pas refait le test avec un nouveau changement du bail IPv4 statique de la dite machine.

Admin

Bonjour

Vous avez défini une redirection de port sur une IP temporaire, et il est donc normal que ce paramètre ne soit pas conservé.

La définition d'un bail statistique entraîne la sauvegarde des redirections apportées. Ce n'est pas un bug que ce fonctionnement.

Si je comprends bien, vous souhaiteriez que la prise en compte fonctionne quelque soit l'ordre entre la définition de la redirection et l'ajout du bail ?

Cdt

@mbizon, @Thibaut Freebox: Non, elle n'est pas temporaire, la règle est là pour durer dans le temps.

C'est l'adresse MAC de la carte réseau qui identifie un équipement sur le réseau.

L'adresse MAC peut avoir une adresse IPv4 fixe configurée sur l'équipement lui-même ou un bail IPv4 statique au lieu d'avoir un bail IPv4 dynamique fourni par le DHCPv4.

La règle doit toujours fonctionner sur le même équipement (capture 1 et 3).

La règle doit toujours aller sur la même adresse MAC, même si :
- Changement de l'adresse IPv4 fixe de l'équipement sur lui-même ou passage en DHCP ou inversement
- Changement du bail statique en dynamique ou inversement
- Changement du nom sur la machine elle-même (par exemple l'ordinateur "TOTO" s'appelle dorénavant "TOTO3000")

Par ailleurs, il y a un autre souci, il y a toujours l'ancien bail IPv4 pour tous les équipements, nous pouvons le voir :
- Lors de la création d'une nouvelle redirection de ports (capture 4)
- Dans les propriétés des différents équipements (capture 2 et 5)

De plus, lors de l'ajout d'un nouveau bail statique IPv4, les équipements ayant déjà un bail statique IPv4 sont toujours présents dans la liste (capture 6).

A noter aussi qu'il n'est toujours pas possible de faire un copier-coller de l'adresse IPv4/IPv6 dans les propriétés de chaque équipement.

Merci d'avance pour la correction de ce problème historique.

Screenshots :
- https://i.ibb.co/cy5tt56/free-freebox-1-reseau-local-dhcp-baux-statiques.png
- https://i.ibb.co/vVVHkrr/free-freebox-2-reseau-local-dhcp-baux-statiques-proprietes-d-un-equipement-connectivite.png
- https://i.ibb.co/52xt27N/free-freebox-3-connexion-internet-gestion-des-ports-redirections-de-ports.png
- https://i.ibb.co/PZ7f5gQ/free-freebox-4-connexion-internet-gestion-des-ports-redirections-de-ports-ajout-redirection-de-port.png
- https://i.ibb.co/hsk0cDd/free-freebox-5-reseau-local-dhcp-baux-statiques-proprietes-d-un-autre-quipement-connectivite.png
- https://i.ibb.co/TrT1PYM/free-freebox-6-reseau-local-dhcp-baux-statiques-bail-DHCP-statique.png

Par ailleurs, cela sera résolu en même temps pour :
- https://dev.freebox.fr/bugs/task/32921

Ca fait des lustres que sur les Freebox la redirection de port se fait sur une adresse IP statique et ne prend jamais en compte l'adresse MAC de l'appareil.
Donc une redirection de port doit toujours se faire sur bail IPv4 statique, si bail dynamique ça part à la flotte

En sortant même du débat Freebox, sur la totalité des routeurs domestiques du commerce les redirections de port se font sur bail IPv4 statique ET JAMAIS vers une interface réseau identifée via son adresse MAC

Même sur la plupart des routeurs pro, ce que vous demandez n'existe pas réellement, on va dire que ça c'est plutôt géré par des scripts admnistrateurs ou encore une fois l'admin attribue alors un bail statique.

Implémenter une redirection de port sur IP Dynamique en se basant sur l'adresse MAC de l'hôte pour l'IPv4
Il faudrait un script qui effectue un monitoring du fichier de bail DHCP, en détectant les échéances de bail et renouvellement de bail pour automatiquement mettre à jour l'adresse IPv4 dans la zone de redirection. Ensuite il faut que le pare feu se mette à jour.

Pour l'IPv6 c'est plus compliqué car l'attribution des adresses ne se fait pas via DHCP (dans la méthode standard de l'IPv6 stateless) , dans ce cas il est préférable d'utiliser l'adresse IPv6 statique de la machine.

Ce que vous demandez est juste très exotique, j'ai des doutes que les devs se lancent là dedans car redirection de port rime depuis des années avec BAIL IP STATIQUE
Des générations de gamers avant vous ont fait des redirections de ports... on passe dans ce cas par une attribution d'adresse statique POINT A LA LIGNE

En revanche... il y a bien une GROSSIERE et ENORMISSIME erreur d'affichage dans l'interface Freebox OS.
En effet dans la redirection de port l'interface affiche comme destinataire un nom d'hôte, CE QUI LAISSE EN EFFET penser que la Freebox mettrait à jour l'adresse IP sous jacente en cas de renouvellement ou extinction de bail.

Moi-même j'ai cru un temps au père Noêl, avant de déchanter.

Car C'EST TOTALEMENT FAUX, cet affichage est totalement FARFELU, les redirections se font sur adresse IPv4 exclusivement, pas vers un nom d'hôtes (jusqu'à nouvel ordre), donc l'interface en question doit OBLIGATOIREMENT afficher l'adresse IPv4 en dur ET JAMAIS au grand JAMAIS un nom d'hôte.

Ma conclusion est que :

- soit les développeurs acceptent d'être sérieux et corrigent cette erreur d'affichage qui n'est simplement pas acceptable en plus de tromper les utlisateurs.

- soit les développeurs assument de développer une royale bidouille qui en effet permettrait de mettre à jour automatiquement l'adresse IPv4 sous jacente de l'hôte ou de bloquer toute redirection si cette hôte n'a plus de bail actif.

Au passage, ça fait désormais un certains temps que l'on réclame à cors et à cris la possbilité de faire de la redirection de port en IPv6.... bien que la redirection de ports en IPv6 soit en pratique moins utile....

En ipv6 les choses pourraient finalement être bien plus simple car il suffirait tout simplement de renseigner dans la redirection de port l'adresse IPv6 statique de l'appareil

Pour rappel en IPv6 stateless :

- il y a une adresse de lien local fe80... fixe car calculée à partir de l'adresse MAC (sauf quand l'éditeur de l'OS modifie son algorithme, ce qui est arrivé une fois sur une grosse mise à jour Microsoft qui a eu pour effet de modifier toutes les adresses de lien local des PCs, un vrai bordel)

- une adresse IPv6 globale et semi/fixe car elle même généralement définie par rapport à l'adresse de lien local
L'adresse IPv6 semi/fixe reprend en général le suffixe 64 bit de l'adresse de lien locale qui est aggloméré au préfix 64 bit du bloc IPv6. Le préfix étant lui dynamoque car dépendant du lieu de connexion, mais du coup à la maison notre prefix IPv6 sera donc toujours le même vu que Free nous attribue une Ipv4 fixe et 8 préfixes IPv6 fixes de 64 bit

Si on a bidouillé les adresses Mac via spoofing, ça peut compliquer les choses.
Mais bref... mais quand on reboot, on retrouve cette même adresse

- une adresse IPv6 globale temporaire qui elle bouge toutes les "x" minutes pour redonner l'illusion d'une IP variable et réduire les attaques DOS. C'est le monitoring fin de ces changements d'adresse qui serait compliquée vu que ce n'est pas centralisé par un DHCP (ou il faudrait basculer en IPv6 statefull mais c'est un tout autre problème)

@Freemagician: Merci pour ce beau compte rendu :)

Il y a la possibilité de mettre la machine directement en IPv4 fixe ou alors via une IPv4 fixe fournie par le DHCP.

Exemples:
- MACHINE = TOTO → IPv4 fixe directement
- MACHINE = TOTO → IPv4 fixe fournie par le DHCP et liée à l'adresse MAC

La machine peut avoir le nom de TOTO sur le réseau et à telle adresse MAC.
Le routeur à un bail IPv4 statique pour la machine TOTO : 192.168.100.1
Donc l'IPv4 : 192.168.100.1 est liée à l'adresse MAC de TOTO.
Dans le routeur, il y a un objet au nom de TOTO pour facilité les réglages.
Dans le routeur, la machine TOTO peut avoir des autorisations spécifiques, ouvertures de ports, règles de pare-feu...

Avec un routeur autre qu'une Freebox, faites un test en changeant l'adresse MAC de la machine TOTO puis relancer là (soit la carte réseau ou soit la machine) et vérifier si les ouvertures de ports et règles de pare-feu sont toujours fonctionnelles.

axx a commenté le 22.01.2021 12:22

D.-C.M. (Freemagician) dit:

En sortant même du débat Freebox, sur la totalité des routeurs domestiques du commerce les redirections de port se font sur bail IPv4 statique ET JAMAIS vers une interface réseau identifée via son adresse MAC

Bof, c'est moyennement vrai : je viens de faire le test, OpenWrt me laisse sans souci créer une règle de redirection de port vers une IP arbitraire, qu'il y a ait une règle pour un bail DHCP permanent / IP statique sur l'IP de destination ou non.

Je pense qu'il y a deux problèmes ici :
1/ la console web de Free met les champs dans le mauvais sens: s'il faut une IP statique avant une règle de redirection de port, alors pourquoi le menu pour la redirection de port est-il placé avant celui des IP statique ?
2/ si on renseigne toutes ces infos en même temps dans la console Free, en remplissant les champs les uns après les autres, ça n'est pas correctement pris en compte. Aucun message d'erreur n'est affiché. Au contraire, un laconique "Les réglages ont bien été pris en compte" ou un truc du genre apparaît, invitant ensuite à redémarrer la Freebox (erf) alors que c'est faux, ils n'ont pas été pris en compte.

Bref, c'est mal foutu.

Une redirection de port n'impose ni ne suppose l'utilisation de baux DHCP statiques. Tous les systèmes modernes utilisent une mise en cache de leurs baux DHCP leur permettant de redemander la même adresse continuellement et donc de ne pas changer d'adresse IPv4 après un reboot.

Ce qui explique qu'un équipement qui ne change jamais de réseau garde en général la même IP DHCP pendant plusieurs années, ce même sans mapping MAC/IP statique dans le serveur DHCP.

Table DHCP Statique :
- Adresse IPv4 | MAC | Description


Objet | Addresse :
- Nom | Type | Addresse IPv4

Type =
- Host
- Range
- Subnet
- Interface IP
- Interface Subnet
- Interface Gateway


Objet | Service :
- Nom | Contenu

Contenu =
Protocole IP :
- TCP
- UDP
- ICMP
- ICMPv6
- User Defined

+ Numéro de protocole IP


Objet | Groupe de service :
- Famille | Nom | Description

Liste de membres

Famille =
- IPv4
- IPv6


Pare-feu IPv4 :
- Source IPv4
- Destination IPv4
- Service


Pare-feu IPv6 :
- Source IPv6
- Destination IPv6
- Service


Chargement...

Activer les raccourcis clavier

Liste des tâches

Détails de la tâche

Édition de la tâche