# Accès extérieur à un réseau local



## jyconnaisrien (19 Décembre 2012)

Bonjour,

En deux mots, j'ai hérité de la responsabilité d'un réseau wifi municipal constitué au départ d'une ligne SDSL qui arrive dans une box "vérouillée".
J'ai une adresse IP fixe pour le réseau (212.xxx.xx.xx)
Une adresse locale pour le gestionnaire en 192.168.X.XX qui distribue les adresses IP du réseau (172.17.X.XX)
Une adresse locale pour l'enregistreur syslog en 192.168.X.XY

Je souhaiterai pouvoir accéder au réseau lorsque je suis en déplacement pour éventuellement faire redémarrer le réseau en panne.

France Télécom me propose d'ouvrir un port de mon choix pour me permettre d'effectuer cette opération.

A partir d'un navigateur extérieur, que dois-je entrer pour obtenir soit le gestionnaire, soit l'enregistreur syslog, ou soit les antennes wifi en 172.17.X.XX ?

Je sais faire tout ça quand je suis dans le réseau, mais pas de l'extérieur !

Pour l'instant, je n'ai rien demandé à F.T. car je ne saurais pas comment me servir de l'ouverture d'un port.

Question subsidiaire, de quel port puis-je demander l'ouverture ?

D'avance Merci !


----------



## Polo35230 (19 Décembre 2012)

Bonsoir,

Quand on a un LAN conséquent, qu'on a qu'une adresse IP publique, et qu'on veut que tout soit accessible de l'extérieur via un poste nomade, le mieux (je crois), c'est de monter un VPN.
Pour ça, le serveur VPN doit se trouver côté LAN (sur la Box, si celle-ci le permet), ou sur un équipement (routeur, firewall,etc...) derrière celle-ci. Le poste nomade étant client VPN.
Certaines box, dont  la LiveBox Pro, intègrent un serveur VPN.

La redirection de ports sera trop compliquée à gérer, voire impossible si par exemple, on ne peut pas différencier les port d'accès à l'administration des différentes antennes.
S'il 'y avait que le gestionnaire à joindre, ou le syslog, ça serait peut-être faisable.
Il faudrait savoir de quelle façon vous accédez à ceux-ci (navigateur, telnet, ssh ou autre) pour en déduire les numéros de ports.


----------



## jyconnaisrien (20 Décembre 2012)

Merci Polo,

Pour le VPN, s'il faut intervenir sur la box, cela me sera impossible puisque la "LA110" n'est pas accessible par l'utilisateur. 
Le technicien de F.T. m'a seulement proposé d'ouvrir un ou plusieurs ports pour permettre l'accès au réseau de l'extérieur.
Je suis intéressé pour la finalité mais je ne sais pas concrètement comment je dois agir, bien que je connaisse la théorie de la redirection de port.
Quant à choisir les ports à ouvrir, là, c'est carrément surréaliste ...

Donc, je souhaite accéder au gestionnaire et à l'enregistreur syslog à partir d'un navigateur extérieur au réseau.(ils sont tous les deux en 192.168.X.XX dans la même séquence)

C'est la raison de ma demande !


----------



## Polo35230 (20 Décembre 2012)

Si c'est une LiveBox Pro, elle fait serveur VPN (voir le lien).
Je ne vois pas pourquoi FT refuserait de le mettre en service...
http://assistance.orange.fr/install...-pour-gerer-les-connexions-distantes-4567.php

Autrement, si c'est uniquement pour accéder au gestionnaire et au syslog à partir d'un navigateur, et en HTTP (port TCP 80), comme il n'y a qu'une adresse IP publique, il faudra pouvoir différencier les deux types d'accès au niveau des numéros de ports.
Sur la Box, il faudrait demander à FT de rediriger les ports  TCP de cette façon:
Ce qui arrive du WAN sur le port 80, il faut le rediriger vers l'adresse IP 192.168.xxx.xxx (le gestionnaire) port 80
Ce qui arrive du WAN sur le port 8080, il faut le rediriger sur l'adresse IP 192.168.yyy.yyy (le syslog) port 80

Pour se connecter sur les équipements de l'extérieur, et à partir d'un navigateur, il faudra faire:
http://212.xxx.yyy.zzz:80 pour aller sur le gestionnaire
http://212.xxx.yyy.zzz:8080 pour aller sur le syslog

Si FP dit que c'est pas possible pour le port 80, alors, utiliser le port 3128 pour se connecter au gestionnaire. Ce qui donnera
Ce qui arrive du WAN sur le port 3128, il faut le rediriger vers l'adresse IP 192.168.xxx.xxx (le gestionnaire) port 80
et pour se connecter de l'extérieur: 
http://212.xxx.yyy.zzz:3128

Après, pour la sécurité, le VPN, c'est quand même mieux...


----------



## jyconnaisrien (20 Décembre 2012)

Polo35230 a dit:


> Après, pour la sécurité, le VPN, c'est quand même mieux...



Quelle réactivité ! De toute façon, un grand merci !

Moi, je veux bien le VPN. Le système doit en être pourvu puisqu'un adhérent l'utilisait pour communiquer avec son entreprise...
En revanche, je suppose que c'est le serveur de son entreprise qui était paramétré pour le VPN et non pas le serveur du réseau. 
En ce qui concerne notre réseau, je suppose que c'est bien la box du réseau qui doit être paramétrée pour le VPN. A l'occasion, je demanderai au technicien de F.T.
Alors, si je pouvais abuser et demander les mêmes informations pour le VPN, je me sentirais moins nul pour parler avec F.T.

Merci en tout cas, ça m'ouvre des horizons !


----------



## Polo35230 (20 Décembre 2012)

Alors, pour le VPN, le principe est tout simple.
Il s'agit d'établir un tuyau sécurisé entre un client et un serveur VPN au travers d'Internet. Une fois le tuyau (tunnel) établi, le client se comporte comme s'il était sur le réseau local distant.

Côté serveur VPN (si la Box le fait), c'est simple:
Une interface virtuelle est crée (par exemple, sur un réseau en 192.168.2.x/24 (ou en 10.x.y.z)) sur un plan IP différent de l'interface Lan de la Box (192.168.1.0/24 chez Orange).
Le serveur VPN distribuera des adresses IP (en 192.168.2.0/24) aux clients à partir d'une plage définie. On peut aussi mettre des adresses IP fixes aux clients.
Il faudra aussi définir des éléments (utilisateurs, mots de passe, clé...) pour sécuriser la connexion.

Côté client VPN, dans la conf, il faudra rentrer l'adresse IP publique de la Box distante (en 212.x.y.z). On pourra aussi utiliser un nom si on passe par un service de gestion de noms de domaine (genre dyndns);
Il y aura aussi la possibilité de dire si on laisse le serveur VPN attribuer une adresse (en 192.168.2.x/24), mais on peut aussi utiliser une adresse fixe.

Chez Orange, on ne voit pas tout dans la conf (voir le lien ci-dessous). C'est eux qui le configureront (je pense...)
Voir la partie "configurer un VPN entre une Livebox pro et un ordinateur"
http://assistance.orange.fr/le-vpn-vous-connecter-a-distance-a-votre-espace-de-travail-4588.php 

Chais pas si j'ai été clair...


----------



## jyconnaisrien (21 Décembre 2012)

Polo35230 a dit:


> Chais pas si j'ai été clair...



Si si, très clair ; d'autant que j'étais allé voir le lien.
Dans le cas qui me préoccupe, le réseau wifi municipal est composé d'une box, d'un routeur FT branché au gestionnaire du réseau et à l'enregistreur syslog, et d'une antenne omnidirectionnelle wifi.
Les "clients" ont chacun leur antenne en réception branchée à leur ordinateur.
Je ne sais pas si ça peut marcher car le gestionnaire et l'enregistreur ont la même séquence IP que la box, ce qui parait contradictoire avec tes informations.
Mon propos n'est évidemment pas d'entrer dans les ordinateurs des adhérents (dont je n'ai que faire) mais de pouvoir intervenir sur le gestionnaire pour activer ou désactiver un adhérent (login/PW) et aussi pour "récupérer" l'enregistrement syslog de la veille qui me fournit les consommations quotidiennes(nous sommes 55 sur une ligne de 2Mbps et le téléchargement est fortement déconseillé)
De chez moi, je peux également me connecter à l'antenne d'un adhérent qui prétend ne pas recevoir le signal, de sorte que je puisse identifier l'origine de sa panne (antenne ou Pc)

Je vais relire une dizaine de fois tout cela et voir avec FT s'il y a un moyen de faire.

Merci encore


----------

