Je suis nouveau sur ce forum et aussi débutant en ce qui concerne le networking.
Je suis sous Debian 9 sur lequel j’ai installé Openmediavault qui fonctionne très bien.
Mais, j’ai aussi installé NGINX et plus tard, MySQL car je veux être capable d’accéder à mon Nas via Nextcloud sur Internet.
Après avoir installé et configuré NGINX, je n’arrive à me connecter que localement avec l’ip de l’ordinateur, soit 192.168.1.135. En voulant me connecter avec mon domaine ou tout simplement 127.0.0.1, la seule réponse que je reçoit de Firefox est un “Time out” qui m’agace au plus haut point.
iptables me donne :
Est-ce qu’une gentille âme pourrais me guider à résoudre ce big problème, s.v.p.
Merci beaucoup à l’avance pour votre aide précieuse,
Alors déjà, merci de fournir les données textuelles en les recopiant en mode texte, pas en image, afin qu’on puisse citer, copier/coller, annoter, rechercher, etc.
Disons depuis l’Internet
Cette adresse est une adresse privée, qui n’est pas sensée être accessible au delà de ton routeur/ta box.
Donc ça, c’est tout à fait normal.
Là, ça ne veut plus dire grand chose, mais:
se connecter sur 127.0.0.1 pour accèder à ton NGINX n’a de sens que si tu executes quelquechose sur la machine ou se situe ton NGINX. Si tu essayes d’accèder à 127.0.0.1 depuis une autre machine, c’est à cette autre machine elle même que tu t’adresses. C’est ce qu’on appelle un loopback.
Pour utiliser ton domaine, il faut déjà que tu l’aies associé à une adresse ip qui méne jusqu’à ta machine NGINX, or tu parles de 192.168.1.135, qui ne peut pas être utilisée pour renvoyer ton nom de domaine dessus (elle est privée, locale).
Donc déjà il faut déterminer la bonne adresse ip à laquelle associer ton domaine et pour la trouver facilement, ça dépend de l’implantation physique de ton serveur.
Est il chez toi derrière une box ? au boulot derrière un routeur ? chez un hébergeur ?
Nous allons éclaircir les choses une à une. Je suis très disposé à le faire.
je veux être capable d’accéder à mon Nas via Nextcloud sur Internet.
Installer Nextcloud est un but, mais je sais qu’avant tout je dois arriver à associer un ip à mon domaine : Kaufranitz.net.
je n’arrive à me connecter que localement avec l’ip de l’ordinateur, soit 192.168.1.135.
Comme tu dis, pour le moment, je n’arrive à me connecter que par l’ip de l’ordinateur : 192.168.1.135, c’est clair.
Donc déjà il faut déterminer la bonne adresse ip à laquelle associer ton domaine et pour la trouver facilement, ça dépend de l’implantation physique de ton serveur.
Mon serveur est à la maison, derrière un routeur.
Si on fait, sur google dig mon nom de domaine, kaufranitz.net, tu trouveras qu’il est associé à 142.118.213.116.
Maintenant, si je ping soit le domaine ou 142.118.213.116 en cli sur debian. RIEN.
Pour ton information, j’ai vérifié avec l’hébergeur du domaine s’il y avait erreur. Tout est très bien.
Voilà pour maintenant, si tu as besoin d’autres informations, je te répondrai avec plaisir.
une adresse interne (du coté de ton LAN) en 192.168.1.XXX (sans doute 192.168.1.1 ou .254) pour pouvoir causer avec les autres machines locales, mais ce n’est pas celle qui nous intérèsse,
une adresse externe (du coté de l’internet) que les machines situées sur internet peuvent atteindre, et c’est celle là qu’il faut associer à ton domaine pour leur indiquer “si vous avez des paquets pour le domaine, envoyez les sur le routeur à cette adresse”.
Pour connaitre cette adresse externe du routeur, tu te mets sur ton lan et tu vas par exemple sur whatsmyip.org : l’adresse qu’il t’indiquera est l’adresse externe de ton routeur, et c’est donc celle qu’il faut configurer pour ton domaine.
Je ne sais pas ce qui est trés bien ni ce que tu as demandé à ton hébergeur, et donc oui, peut être, mais ça m’étonnerait parce que l’adresse ip de ton routeur, qui t’est attribuée par ton fournisseur d’accés et qu’on doit associer à ton domaine, est inconnue de ton hebergeur, donc il n’a pas moyen de valider que la configuration de ton domaine est correcte, juste qu’il n’y a pas de faute d’orthographe dans ta config, mais pas qu’elle est bonne.
Ceci dit, c’est peut être vrai, car l’adresse 142.118.213.116 qui est associée est une adresse appartenant à Bell Canada, donc si tu es chez Bell Canada, c’est peut être bien cette adresse qui est celle de ton routeur.
Bref, une fois que tu auras vu l’adresse de ton routeur avec whatsmyip, et que tu auras corrigé/vérifié que c’est bien l’adresse associée à ton domaine, ça ne suffit pas:
ça va suffire à envoyer les paquets venant d’Internet jusqu’à ton routeur, mais maintenant, il faut indiquer à ton routeur qu’il doit encore retransfèrer ces paquets jusqu’à ta machine à l’intèrieur du réseau.
Donc là on va utiliser l’adresse interne 192.168.1.135 sur ton routeur, pour lui dire de rediriger tout ou partie de ce qu’il reçoit de l’extérieur vers ta machine à l’intérieur.
Sur ton routeur, dans son interface de configuration, tu dois avoir une section qui te parle de redirection ou de DMZ, c’est là qu’il faut aller.
Là dedans, tu dois avoir normalement 2 options de configuration:
une configuration qui doit être désignée sur ton routeur comme DMZ ou un truc ressemblant et qui renvoie tout le traffic de l’internet vers une adresse ip de ton réseau qui va traiter ce trafic entrant comme s’il était le routeur lui même. Tu peux activer cette DMZ en la redirigeant vers 192.168.1.135, et normalement, si l’adresse de ton domaine pointe bien vers celle de ton routeur, ça suffire pour que tout va marche, tu pourras te connecter notament à ton NGINX. Mais ce n’est pas super sécurisé, car la machine que tu exposes ainsi sur le net n’a plus la protection du routeur et doit ensuite être sécurisée avec un parefeu sérieux pour se protéger des attaques.
une autre solution, celle que je recommande, doit s’appeler sur ton routeur “redirection de port”, et elle consiste à rediriger sur ton routeur uniquement les services que tu veux rendre accessible sur ton nom de domaine. Les autres services que tu n’ouvriras pas seront protégés/bloqués par ton routeur.
C’est un peu plus fastidieux, car il va falloir service par service que tu fasse des règles. Par exemple pour commencer, tu vas ouvrir l’accés à ton serveur web NGINX, en configurant sur ton routeur (là je ne connais pas l’interface du routeur donc il faut que tu trouves comment ça se fait) une règle qui va rediriger les port TCP et UDP 80 de ton routeur vers le port 80 de 192.168.1.135. Ca te permettra enfin (sauf si autre chose bloque dans iptables, mais on verra ça à ce moment là) d’accèder depuis l’exterieur à ton service web NGINX à l’url http://kaufranitz.net. Ensuite, tu pourras ouvrir de la même manière un à un les services en redirigeant les ports sur lesquels ils écoutent (25 pour le courrier entrant, 20/21 pour le ftp, etc…).
Donc voilà, normalement, si tu associes bien ton domaine à l’adresse externe de ton routeur, puis que tu rediriges au niveau de ton routeur le trafic entrant qui t’intérèsse vers ton serveur sur le lan, ça devrait marcher.
Enfin sauf si iptables bloque quand les paquets arrivent sur ton serveur interne, mais de ce que tu montrais plus haut, ça n’a pas l’air d’être le cas.
L’adresse, selon whatismyip, est : 142.116.229.209.
Pour ton information, chez mon hébergeur de domaine,
A+ Dynamic DNS Record * 127.0.0.1
A+ Dynamic DNS Record @ 142.118.213.116
A+ Dynamic DNS Record www 142.116.229.209
Alors, si je comprends bien 142.118.213.116 est l’ip de Bell Canada et 142.116.229.209 est l’ip de mon routeur. Est-ce bien cela ?
C’est fait !
Ou port forwarding, j’ai fait :
Applications Protocol Source net Port from Ip address Port to
Web both 192.168.1.135/24 80 192.168.1.135 80
SSH both 192.168.1.135/24 22 192.168.1.135 22
Voilà, pour le moment, je crois avoir suivi tes instructions à la lettre. Je ne peux toujours pas “pigner” ni mon domaine ni 142.116.229.209.
Peut-être est-ce une question de propagation, mais j’en doute.
Merci beaucoup et si tu veux, j’attends tes instructions.
Je crois aussi que que ça pourrait être utile.
J’ai déjà configuré ddns sur mon routeur comme suit en suivant les instruction de Namecheap :
DDNS Service : Custom
DYNDNS Server : dynamicdns.park-your-domain.com
Username : mon domaine (il disent de mettre yourdomain.com)
Password : très long mot de passe…
Hostname : @ -a www
URL
/update?
domain=mon domaine&password=très long mot de passe&host=
Maintenant, j’ai aussi installé ddclient sur mon ordi. Est-ce qu’il est possible qu’il y ait de conflit entre le routeur et ddclient ?
Pour moi ce n’est pas tout à fait juste: A+ Dynamic DNS Record www 142.116.229.209 veut simplement dire que le flux est redirigé depuis http://www.tonnomdedomaine.freu(le fameux wafwafwaf du domaine http://kaufranitz.net), donc tu devrais pouvoir y accéder depuis http://www.kaufranitz.net avec le bon port.
le reste ce sont les courriels puis juste avant : le jooöoli “global_loopback” pour tout les flux entrant, qui, si je ne m’abuse, et que tu le modifies en entrant l’adresse IP de ton serveur à la place de l’étoile ça devrait fonctionner mais ceci/cela est bien moins “sécure”…
Je me suis trompé en disant Bell, c’est un détail, mais ce sont toutes les deux des adresses appartenant à “virgin home quebec”, Bell n’est que l’opérateur technique derrière, mais l’important, c’est que ça semblent être toutes les deux des adresses domestiques de FAI sortie d’un pool d’adresse appartenant à virgin et fournies temporairement à ton routeur pour sa connexion.
Autrement dit, l’adresse de ton routeur doit changer de temps en temps, la configuration de ton fournisseur d’accès ne te fournit pas une adresse stable et définitive sur ton routeur (une adresse statique).
Plus précisément, ça veut dire que la config qu’on est en train de faire avec 142.116.229.209, si on la fait fonctionner, sera à refaire chaque fois que ton fournisseur d’accès décidera d’attribuer une nouvelle adresse à ton routeur.
Il y a moyen de contourner ce probléme avec une plateforme genre noip, nodns ou dyndns, mais ça veut dire qu’au final, tu ne pourras pas utiliser ton nom de domaine, il faudra en utiliser un autre pris (gratuitement) sur une de ces plateformes.
Mais réglons d’abord le probléme avec ton domaine actuel, tu basculeras sur un domaine dynamique de ce type quand on aura fait marcher.
Ca ne me parle pas trop comme configuration.
Peux tu me dire qui est cet hébergeur, que je voies dans ses documentations à quoi correspond ce type de config ?
La mention de “dynamic dns” peut signifier que ton hébergeur de domaine sait peut être faire du domaine dynamique (comme noip etc), mais ça serait étonnant, je pense plutot que ça signifie que la propagation des modifs sur le domaine est accélérée.
L’adresse 127.0.0.1, qui comme je t’ai expliqué plus haut est une adresse technique interne à chaque machine ne devrait apparaître nulle part dans une config dns de nom de domaine, elle n’y a pas sa place. C’est bizarre, il faudrait peut être l’enlever à un moment, mais a priori, elle ne doit pas gêner pour ce que tu veux faire donc on y touche pas pour l’instant.
Les deux autres enregistrements:
La ligne qui parle de www indique l’ip associée à www.kaufranitz.net AVEC WWW:
mj@mercure:~$ host `www.kaufranitz.net`
www.kaufranitz.net has address 142.116.229.209
Ca c’est correct, elle pointe bien vers l’adresse de ton routeur que tu as relevée avec whatsmyip:
il faut vérifier encore une fois avec whatsmyip si l’adresse de ton routeur est toujours 142.116.229.209, ça a peut être changé dans la nuit, mais c’est bien cette adresse trouvée avec whatsmyip qui doit se trouver là.
La ligne avec le symbole @ indique l’ip associée à kaufranitz.net SANS WWW:
mj@mercure:~$ host kaufranitz.net
kaufranitz.net has address 142.118.213.116
kaufranitz.net mail is handled by 10 eforward3.registrar-servers.com.
kaufranitz.net mail is handled by 10 eforward1.registrar-servers.com.
kaufranitz.net mail is handled by 10 eforward2.registrar-servers.com.
kaufranitz.net mail is handled by 20 eforward5.registrar-servers.com.
kaufranitz.net mail is handled by 15 eforward4.registrar-servers.com.
Mais ce coup ci, ce n’est pas bon, ça devrait être aligné sur la même adresse ip que celle que tu configures pour le domaine SANS www, de manière à ce que ça soit indifférent de s’adresser à kaufranitz.net ou www.kaufranitz.net.
Déjà, ça peut expliquer pourquoi tes tests d’hier n’ont pas marché, si tu as essayé de te connecter sur kaufranitz.net c’était encore la mauvaise adresse configurée, c’était sur www.kaufranitz.net que ça pouvait fonctionner.
Mais je viens de tester ce qui existe comme service sur la machine qui est à l’ip 142.116.229.209, celle que tu as vue avec whatsmyip hier soir, et il n’y a que ssh d’accessible dessus, pas de http ou autre.
Donc soit l’adresse a changé dans la nuit, et ce n’est pas ton routeur que je teste, soit la suite de la configuration (les redirections) n’est pas faite correctement.
PREMIERE ACTION A REFAIRE:
Tu retournes sur whatsmyip pour vérifier si ton routeur est toujours sur 142.116.229.209
Chez ton registrar de ndd, tu changes les lignes @ et www pour y mettre l’adresse indiquée par whatsmyip
Sur ton serveur en ligne de commande, tu peux pourras vérifier si ça s’est bien propagé jusqu’à toi en vérifiant que les adresses ip que tu as configurées sont à jour en utilisant les commandes host kaufranitz.net et host www.kaufranitz.net
Ensuite, tu dis:
Puis:
Alors non.
C’est soit l’un (fonctionnement en DMZ) soit l’autre (redirection de port), mais pas les deux.
Et pour la configuration de la redirection de port, c’est presque bon, mais il y a une erreur dans l’adresse ip source:
Web both 192.168.1.135/2480 192.168.1.135 80
Là tu dis a ton routeur de rediriger ce qui vient de 192.168.1.135 port 80 vers 192.168.1.135 port 80, mais non, c’est tout ce qui vient de n’importe où vers le port 80 qu’il faut rediriger vers ton serveur 192.168.1.135 port 80.
Je ne connais pas la syntaxe pour dire que tu veux rediriger quelle que soit la source dans l’interface web du routeur, peut être qu’il faut laisser le champs “source” vide ou un truc comme ça quand tu configures la redirection, ça dépend de l’interface.
DEUXIEME ACTION A REFAIRE:
quand les bonnes adresses seront propagées (vérification avec host que l’ip correspond bien à ce que dit whatsmyip, cf plus haut), tu actives la fonctionnalité DMZ qui redirige tout vers ton serveur.
Normalement, là ça doit marcher.
Si ça ne marche pas, tu me le dis ici et je regarderais de chez moi pourquoi.
si ça marche en DMZ, c’est déjà bien, mais tu la désactive parceque le port forwarding, c’est plus sécurisé, et donc tu vas corriger tes deux règles de port forwarding en changeant la source pour voir si cette fois ça fonctionne.
Si à un moment ça marche, c’est bien, mais on sait que c’est une configuration qui sautera chaque fois que ton fournisseur d’accés aura envie de changer ton adresse ip, donc on passera à la configuration d’un dns dynamique pour éviter que la config saute.
OK, donc ça ça veut dire que contrairement à ce que je pensais, ton registrar sait gèrer les adresses dynamiques et fournit son propre service ddns.
La config de ddns sur ton routeur a du marcher partiellement puisque le www est bien réglé sur ton ip de routeur.
Par contre, je ne comprends pas pourquoi ça n’a pas marché avec le @ qui reste mal configuré: ça aurait dû, il faudra comprendre pourquoi.
Mais normalement, ça veut dire qu’au moins, tu peux faire tes tests sur www.kaufranitz.net qui a la bonne adresse, et passer à l’étape 2, la config des redirections.
J’espère qu’elle était bonne ta tartine peut-être avec de la confiture à la fraise… et surtout un bon café. mmm!!
Pour continuer notre discussion :
C’est justement pourquoi j’ai installé ddclient sur debian qui est supporté par mon hébergeur Namecheap et aussi configuré mon routeur qui gère le ddns . tu peux aller voir sur leur site qui est assez bien documenté.
Ahh peuchère !Tu as raison ! Mon ip est maintenant : 82.102.18.238.
Sur mon registraire, ça fonctionnerait de cette manière si je mettais exemple : A records WWW mon adresse ip. Mais là, j’ai configuré mon domaine avec un DNS dynamique.
Chose assez étrange, mon adresse ip a changé mais pas chez namecheap ??? les A+ records sont les mêmes qu’hier. Normalement, ils auraient du changer puisqu’il sont configurés pour se renouveler à toutes les minutes.
Je suis certain que tu penseras comme moi qu’il y a là un bug.
Je viens d’appeler chez Virgin Mobile qui affirme qu’ils ne bloquent pas le changement d’ip.
C’est une bonne chose.
Maintenant, j’ai une question pour toi. Nous avons configuré le routeur hier. Mais l’adresse ip de mon modem est évidemment différente : 192.168.2.1. Ne devrait-on pas passer par cette adresse aussi ?
Autre remarque : Si je fais ddclient --query et -force, ddclient retourne toujours 142.116.229.209 au lieu de 82.102.18.238.
Ah ben… C’est possible, mais il va falloir comprendre ton modem, ce coup ci.
Je résume:
Tu as un client ddns qui va mettre a jour l’ip externe, celle que tu vois avec whatsmyip.
Ca fonctionne a moitié, ça devrait indiquer la même adresse sur www et @.
Sur un des deux ou ça marche, ça permet aux machines qui cherchent à atteindre ton nom de domaine d’envoyer les paquets jusqu’à l’entrée de ton réseau, c’est à dire, je le découvre maintenant, ton modem.
La config qu’on a faite sur ton routeur prend les paquet-s qu’elle reçoit, et les redirige vers ton serveur à l’interieur du réseau, soit avec DMZ, soit en redirigeant un à un les services.
Mais maintenant que tu me dis que tu as un modem, puis un routeur, je m’aperçois qu’on n’a pas dit à ton modem, qui reçoit les paquets, de les transmettre à ton routeur, qui lui même les retransmettra jusqu’à ton serveur.
Il faut donc refaire une config, cette fois sur ton modem, pour lui dire où il doit envoyer les paquets exterieurs qu’il reçoit, car pour l’instant il bloque tout.
Déjà, sur ton routeur (pas le modem), il faudrait que tu trouves dans l’interface d’admin quelle adresse ip il a du coté du modem. Du coté du LAN, il doit avoir comme je l’ai dit avant une adresse du type 192.168.135.XXX pour causer avec les machines du LAN, et coté modem, ça devrait être une autre adresse du genre 192.168.2.XXX, (pour qu’elle puisse causer avec la 192.168.2.1 du MODEM).
Une fois que tu as cette adresse, sur le modem, tu vas faire le même type de configuration que sur ton routeur, c’est à dire soit une DMZ, soit des redirections, qui renvoient tout vers ton routeur.
Et là tu auras une cascade qui prend les paquets arrivant sur ton modem, les transfere sur ton routeur, qui les transfere ensuite vers ton serveur.
Ce soir et demain, dimanche, je suis au travail de longues, très longues heures.
Alors, si je ne réponds pas… ne vous en faites pas… je reviendrai dès lundi.
J’ai fait un diagramme de mon serveur comme le demande @jibe-74.
Concernant le modem qui se rajoute. J’ai été aussi surpris que vous qu’il ait son propre ip. En vérité, je dois dire que j,ai changé de FAI il y a seulement quelque semaine pour Virgin Mobile. L’ancien FAI fournissait un modem tout simple qui ne faisait que permettre la connexion internet.
Celui-ci, vous verrez, est plus complet. C’est un petit routeur en soi mais beaucoup moins puissant que me linksys wrt3200ca avec dd-wrt qui est branché au modem.
Alors, là je suis .
Tu as essayé de faire un joli truc, malheureusement il manque quelques éléments capitaux. Et ton architecture réseau me semble curieuse, mais c’est peut-être que j’interprète mal ton diagramme…
Déjà, comment sont interconnectées tes machines ? On ne voit pas de switch… Si je comprends bien, tu sembles avoir :
Ton modem, qui a côté WAN ton adresse publique gérée par ddns, et côté LAN une adresse attribuée par dhcp ? M’étonnerait… Elle doit être fixe, sinon qui serait le serveur dhcp ?
Ton routeur, dont tu donnes une seule adresse. Or, tu devrais avoir :
** l’adresse de l’arrivée modem (à mettre fixe de préférence et dans le bon réseau : 192.168.2.x, par exemple 192.168.2.2. Tu peux la laisser en DHCP, mais perso je préfère les adresses fixes qui permettent de mieux s’y retrouver)
** l’adresse de sortie vers ta Debian. Soit en DMZ, soit en LAN, je vais y revenir
** l’adresse de sortie vers ton Windows10 (pas clair où il est branché…), adresse sur réseau LAN (j’explique ci-après)
** Eventuellement la sortie vers ton (tes ?) NAS (sont-ce bien des NAS ou de simples disques durs), DMZ ou LAN
Pour ce qui est DMZ et LAN, je crois que ça t’a déjà été expliqué : avoir une DMZ te permet d’avoir un réseau séparé du réseau LAN, avec règles de pare-feu différentes. C’est plus sécurisé, mais un peu plus compliqué pour le FW. On attribue généralement des plages d’adresses différentes pour DMZ et LAN (par exemple, 192.168.3.x pour DMZ, 192.168.1.x pour LAN). Il faut avoir des adresses fixes pour les serveurs (ou alors, gérer les noms), pour les postes de travail tu peux faire soit du dhcp, soit de l’adressage fixe.
Les différents réseaux ne doivent pas s’entrecroiser comme c’est le cas sur ton diagramme. Et un switch devient quasi indispensable dès que tu as plus de deux machines (une en plus de ton routeur…) dans un réseau.
Bon, pour ne pas tout embrouiller, surtout avec des explications qui pourraient ne pas correspondre à ton cas, j’arrête là : réfléchis à ton architecture réseau, et indique-la nous clairement, avec les adresses choisies. Si tu as du mal, je peux te proposer une architecture, mais là j’ai encore trop d’inconnues sur ce que tu veux faire exactement.
En fait dans ce diagramme, les réseaux ne s’entrecroisent pas.
Je veux dire que sur un ordinateur est installé debian 9 et openmediavault 4.
Dans OMV 4, on installe des dockers (NGINX, Letsenscrypt…) et des plugins (RSync, SMb/CIFS…)
Aussi, 5 disques durs sont connectés à serveur. 2 que l’on nomme NAS1 et NAS2 (Disques dur de donnés), 2 autres qui sont des backups des deux premiers. Le 5e est seulement un backup de Windows 10 que j’utilise avec un autre ordinateur. Tous ces disques durs sont gérés par le NAS openmediavault.
Nextcloud permettent de se connecter aux disques durs Nas1 et 2 sur internet avec le mon de domaine.
Donc, tout ce matos est connecté au routeur qui est les branché via un cable ethernet au modem.
Maintenant, la question est que puisque le modem ayant son propre ip, ne peut pas communiquer avec le routeur qui a un ip différent, ne serait-il pas mieux d’activer DHCP sur le modem et le déactiver sur le routeur. Ainsi, le modem passe un ip au routeur et à l’ordinateur ? Et boum, de cette façon, tout est réglé ?
Alors, je te laisse là-dessus et on s’en reparle si tu veux.
C’est vraiment gentil de m’aider à trouver une solution
Ok, donc j’ai mal compris ton diagramme. On en reviendrait donc à un schéma simple :
Serveur Debian --------------------- routeur ------------------- modem ---------- Internet
Reste à savoir, là dedans, où tu situes ton poste Windows. Le plus logique serait de le mettre derrière le routeur, soit dans le même réseau que le serveur (donc, un seul réseau LAN), soit de mettre le serveur en DMZ et le poste Windows en LAN (deux réseaux séparés).
Avec du Windows, j’aurais tendance à séparer, pour une meilleure protection. Mais ça oblige à avoir des règles de routage plus compliquées, puisqu’il faut définir les communications entre tous ces réseaux. Là, je dirais que le choix dépend d’abord de ta connaissance de la mise en place de règles de routage.
Pour ce qui est des adresses, tu as donc une IP publique côté WAN, puis un premier réseau entre ton modem et ton routeur, ensuite un ou deux réseaux derrière ton routeur (soit LAN seul, soit DMZ + LAN). Il faut bien comprendre que ces réseaux sont bien séparés physiquement (y compris DMZ et LAN qui se trouvent nécessairement sur deux cartes réseau différentes sur le routeur - sauf config compliquée que je déconseille dans ton cas.). Donc, chacun de ses réseaux doit avoir sa plage d’adresses, et ils communiquent via les règles de routage, sachant que celles de la communication entre le réseau intermédiaire (routeur <=> modem) seront gérées par le modem.
J’ai tendance à plutôt conseiller un adressage fixe qu’utiliser dhcp quand on a peu de machines et peu de changements. Ce n’est pas obligatoire, mais perso je trouve qu’on s’y retrouve mieux. Donc :
Pour le réseau intermédiaire, le modem est en 192.168.2.1, il faut donc mettre 192.168.1.x pour le routeur. x étant soit fixé à la valeur que tu veux, soit fourni par le serveur dhcp du modem.
Pour les autres réseaux (LAN et DMZ), il faudra deux plages séparées (bon, une seule si tu ne fais pas de DMZ). Celle(s) du routeur sera(ont) fixe(s), et les autres soit fixées par dhcp, soit fixes. Je te conseille vivement de garder fixe celle du serveur, sinon ça va être galère pour t’y retrouver.
Cela nous donnerait le plan d’adressage suivant (je réserve par habitude x.x.x.1 pour la passerelle, c’est à dire l’appareil qui permet la communication entre différents réseaux, x.x.x.2-10 pour les serveurs, et le reste pour les postes, avec une plage DHCP plus ou moins grande dans les adresses hautes : x.x.x.200-254 par ex) :
192.168.1.x : réseau LAN (routeur : 192.168.1.1, serveur en LAN : 192.168.1.2, Windows : 192.168.1.10)
Bon, ce n’est qu’une proposition, tu fais bien comme tu veux, entre autres utiliser du DHCP, l’important est surtout de bien respecter les plages différentes pour les réseaux différents… et de t’y retrouver le plus facilement possible !
Attention aussi que DHCP ne “saute” pas d’un réseau à l’autre : ton modem ne peut pas donner une adresse DHCP à ton serveur Debian, seulement à ce qui se trouve dans le réseau “intermédiaire”, donc seulement à ton routeur. Quant à avoir DHCP à la fois pour la DMZ et pour le LAN, je n’ai jamais fait ça et j’ignore même si c’est possible : il faudrait que je cherche un peu. La DMZ ne contenant normalement que des serveurs, on préfère généralement leur donner des adresses fixes.
Cette doc pourra t’intéresser : c’est très complet, mais expliqué de manière assez claire pour être accessible aux débutants. Tu peux te contenter de ne lire que les chapitres qui t’intéressent directement, et revenir sur les autres quand tu t’aperçois qu’une notion te manque. Elle existe depuis déjà très longtemps, mais est toujours d’actualité.
En fait, ça n’apparait pas trés évident sur ton diagramme.
Faut dire que tu as du te casser les pieds à le faire, mais comme dit @jibe-74 il est illisible pour nous.
Tu redis ce qu’on peut à peu prés voir sur ton schema , mais ces informations là n’ont aucune importance pour comprendre ton réseau, ça, c’est juste la répartition de tes applications et comment elles s’articulent entre elles, mais ce qui est utile, c’est le schema des cables qui relient tes machines, switch/routeurs et autres dispositifs, et surtout l’adresse ip qu’il y a au bout de chaque cable pour complèter et trouver celle(s) qui manque(nt) pour finaliser.
OK, c’est donc lui qui sert de switch pour le LAN, son adresse interne de ce coté est 192.168.1.YYY (tu ne l’as jamais indiquée cette adresse, ça pourrait être utile) pour causer avec les autres machines internes, qui doivent avoir donc des adresses 192.168.1.XXX pour causer entre elles et lui envoyer des paquets à router.
Donc déjà, sur le routeur, tu as mis une redirection pour renvoyer ce qui arrive dessus vers ton OMV (qui est à l’adresse 192.168.1.135).
Sauf que si j’en crois ton schema, tu n’as pas modifié l’adresse source de ta redirection de port (je t’ai dit de supprimer ce critère source=192.168.1.135 pour dire au routeur source=n’importelaquelle).
Là tu as un 2e réseau local, avec à un bout ton modem, dont tu nous dit qu’il a une adresse 192.168.2.1 par ce coté là, et de l’autre bout tu as ton routeur, dont tu ne nous a toujours pas dit l’adresse:
sur ce petit réseau à 2 machines, ton routeur a sa propre adresse en 192.168.2.ZZZ, afin de causer avec le modem en 192.168.2.1, et il faut la trouver, elle doit être visible aussi bien sur le modem dans la liste de ses clients dhcp que sur le routeur dans le rapport de configuration générale, tu dois pouvoir trouver cette information manquante.
Comme je t’ai déjà dit, là tu dois refaire sur le modem la même configuration de redirection que sur ton routeur, à la différence pret qu’au lieu de rediriger tout ce qui arrive sur ton routeur vers 192.168.1.135, tu vas rediriger tout ce qui arrive cette fois sur ton modem vers l’adresse de ton routeur en 192.168.2.ZZZ que tu auras trouvée.
Non, parce qu’avec ta configuration physique ou le routeur est intercalé entre le modem et le reste des machines, le dhcp, qui ne passera pas ton routeur (sauf configuration spéciale) ne pourra pas attribuer d’adresse aux autres machines que ton routeur.
Par contre, si tu supprimais ton routeur de l’équation pour brancher directement toutes tes machines sur ton modem, alors, là, oui, tu pourrais effectivement le faire jouer le role de routeur en plus de modem, et le laisser gèrer le service dhcp.
Mais ce n’est pas utile, là, il faut juste que tu trouves cette p#{[ain d’adresse du routeur sur le segment avec le modem, et que tu configures avec les redirections de ton modem vers ton routeur (qui lui même redirigera ensuite vers ton serveur OMV).
C’est tout, et c’est ce que je te disais déjà samedi.
Ca ne marchera peut être pas direct quand tu testeras, car il y a toujours cette histoire de ddns qui ne met pas bien à jour la zone il faudra vérifier qu’elle est bien alignée sur ce que tu whatsmyip, mais la mécanique pour accèder à ton serveur c’est:
je demande à la zone ou il faut envoyer les paquets pour kaufranitz,
le serveur dns m’indique l’adresse externe de ton modem,
j’envoie les paquets sur cette adresse,
le modem les prend, les fait passer d’une interface à l’autre coté routeur et les envoie a l’adresse externe du routeur,
le routeur fait le même type de routage de ce qui vient de l’exterieur vers l’adresse de ton serveur,
Elle est excellente cette conversation car elle me force à être clair.
L’auteur de ce diagramme est plus celui qui travaille dans le milieu de la santé qu’un architecte de réseau, non !
Pour être plus précis, mon épouse et mon accédons au réseau par no postes windows via smb.
Selon ma compréhension, pas besoin car la machine Windows n’est qu’un client qui a évidemment des droits r-w. Je suis le seul a y accéder par smb.
Encore, selon ma compréhension, il n’y a qu’une machine debian qui sert des fichiers à machines à l’extérieur de celui-ci pas smb pour la maison. NGINX, letsencrypt, MYSQL, PHP et Nextcloud deviennent important pour se connecter par internet.
Je pars soigner mes patients et je reviens vers 14hh00.
.
