What type of hardware are you using: Other ARM board What YunoHost version are you running: 12.1.35 How are you able to access your server: The webadmin
SSH
Direct access via physical keyboard/screen
Describe your issue
Bonjour,
Je me permets de solliciter votre aide concernant une migration de mon infrastructure d’auto-hébergement Yunohost.
Pendant plus d’un an j’utilisais une « brique internet » avec un VPN dédié pour héberger Yunohost. Étant donné mon passage à la fibre Axione (via Aquilenet) et acquisition d’un routeur GL.inet Flint 2 (basé sur OpenWrt) depuis quelques semaines, j’ai voulu résilier le VPN afin de limiter les frais tout en gardant le même matériel (Olimex Lime 2). Cela s’est conclu sur Yunohost par une simple désinstallation de l’application associée (celle pour le VPN).
Je tente désormais d’exposer mes services Yunohost directement depuis le routeur, mais je rencontre des difficultés avec la gestion des ports en IPv6. Je cherche à savoir si quelqu’un a déjà réussi à configurer la redirection de ports sur ce modèle de routeur, que ce soit via la CLI OpenWrt ou l’interface LuCI.
Pour essayer de préciser au mieux le contexte , vous trouverez le diagnostic Yunohost qui détaille les erreurs rencontrées grâce au lien YunoPaste ci-joint. Autre remarque, un comportement que je trouve étrange, sur ma machine l’adresse MAC est aléatoire (rotation automatique), alors que sur un test effectué avec un vieux PC et une installation neuve j’ai pu attribuer un bail statique sans problème (adresse MAC fixe indiquée sur l’interface du routeur). Je me demande si cela est lié à l’ancien contexte sous VPN.
Avez-vous des retours d’expérience ou des conseils pour configurer correctement la redirection de ports IPv6 sur un GL.inet Flint 2, ou des pistes pour résoudre le problème d’adresse MAC aléatoire ?
Ton flint gère ton réseau interne, as-tu une nécessité d’utiliser de l’IPv6 ? Pour ce qui est de la configuration des redirections de ports, ce n’est pas très compliqué, mais le préalable est qu’il te faut une adresse IP fixe pour ton serveur Yunohost (càd ton Olimex). Ca peut être fait directement dans Luci/OpenWRT si tu as une adresse MAC fixe (préférable) et le cas échéant la définir au niveau du serveur Yunohost.
Pour ce qui est de ton adresse MAC aléatoire, tu peux regarder ici comment changer de manière aléatoire une adresse MAC à chaque démarrage sous Ubuntu. – memo-linux.com ou ici MAC address spoofing (Français) - ArchWiki. Tu y trouveras peut-être des pistes.
Est-ce que tu peux en dire plus sur ta configuration et les possibilités que propose ton routeur (pare-feu, DHCPv6…) ? Il devrait être possible d’autoriser dans le pare-feu les connexions entrantes sur les ports 80, 443, 25, etc vers l’ipv6 de ton serveur. A partir du moment où ta machine à une ipv6 publique, le NAT n’est plus nécessaire dans la plupart des cas.
Merci pour ton retour. La nécessité je ne sais pas mais j’aurais avoir du vert partout sur le diagnostic Pour l’IP fixe, je souhaite justement obtenir une adresse MAC fixe et ce n’est visiblement pas le cas sur l’Olimex actuellement. Alors qu’en branchant un vieux PC sous Yunohost (instance neuve) sur le même port éthernet j’ai bien par défaut une adresse MAC fixe. Je me demande si une configuration résiduelle de l’ancien usage du VPN créé cette différence entre les deux machines. Autre chose, il me semblait avoir lu à différentes reprises sur le forum qu’aucune action sur la machine était nécessaire pour cela car c’était délégué par Yunohost au DCHP du routeur. Est-ce que je me trompe ?
Bien sûr, avant de poster mon message je ne savais pas les informations qui étaient pertinentes à donner. Je vais donc répondre en me basant sur ce que tu as listé dans ton message. Actuellement dans le firewall de LuCi (routeur), j’ai configuré l’ouverture de tous les ports et j’ai mis des redirections en place pour l’IPV4 mais visiblement c’est plus compliqué et un autre processus pour les redirections de l’IPV6. D’où le diagnostic actuel où tout est ok pour l’IPV4 mais pas pour l’IPV6. J’ai bien une IPV6 publique mais je ne sais pas si ma machine en tant que tel en a une, comment vérifier cela ?
Au niveau du routeur, l’IPV6 est bien activé, pour le LAN le mode est en NAT6 et la “méthode d’acquisition du DNS” (je reprends les termes de l’interface) est en automatique.
N’hésite pas si je n’ai pas été assez précis dans ma réponse !
Regarde si l’adresse renvoyée présente une partie commune (préfixe) avec ton ipv6 publique. J’imagine que ton fournisseur doit te déléguer un préfixe ipv6 et que le dhcp du routeur peut attribuer des ipv6 dans ce préfixe.
Alors mon IPV6 publique commence par “2a”, avec ta commande j’obtiens un “scope host” en premier lieu puis 3 '“scope global” commençant par “fd” et enfin une “scope link” commençant par '“fe”. Je ne sais pas comment interpréter ce retour
Tu n’as donc pas d’ipv6 publique/globale pour ton serveur YNH. fe/fd… sont des ipv6 locales.
[edit] : ah mais c’est certainement parce que tu es en NAT6 que ton routeur ne distribue pas des ipv6 publiques sur le LAN: il fait des redirections vers des ipv6 privées en fd : ce n’est pas utile pour ce que tu veux faire.
Commence par fixer l’adresse MAC et regarde ensuite si le routeur offre la possibilité d’un DHCPv6.
Merci pour ces infos. Oui je compte vient résoudre l’adresse MAC fixe en parallèle, par contre je te confirme que j’ai bien un DHCPv6 (actif actuellement) avec des baux attribués commençant par “fd”
[edit suite à ton edit ^^] : je dois donc changer la configuration en NAT6 qui est en place actuellement ?
Concrétement pourquoi ce changement et qu’est ce que cela va apporter en comparaison avec le mode NAT6 actuel ? Je souhaite comprendre la différence, cela va-t-il résoudre les problèmes d’ouverture de ports ?
Une machine qui dispose d’une ipv6 publique peut être directement accessible depuis internet. Imaginons ouvrir dans le pare-feu les ports 80 et 443 vers la machine dont l’ipv6 est 2a01::::::23, il sera possible d’y accéder depuis un navigateur à l’adresse https://[2a01::::::23]. Il est ainsi possible d’avoir x serveurs, chacun accessible sur ses ports 80 et 443.
Avec ipv4, il n’y a généralement qu’une ipv4 publique par abonnement grand public/particulier (et les opérateurs font de plus en plus de CGNAT). Ce qui arrive sur, par exemple, le port 80 de la box ne peut être relayé par le NAT que vers une seule ipv4 locale.
Merci pour ton retour. Donc il s’agit d’obtenir plusieurs adresses (une par machine) accessible depuis le WAN avec le mode native contrairement au NAT6 qui attribue une seule IPV6 publique puis des adresses locales (derrière le routeur). Ayant déjà une IPV6 publique, il n’est juste pas possible de configurer le routeur pour rediriger sur ma machine Yunohost plutôt que d’exposer tout le réseau ? C’est par exemple ce que j’ai fais pour l’IPV4, j’ai une seule machine Yunohost derrière mon routeur, tous les ports demandés par Yunohost sont redirigés de mon IPV4 publique vers ma machine (actuellement ce qui est en place). De ce que je comprends, la même logique ne fonctionne pas pour les IPV6 ?
Oui, je peux faire cela, ma machine Yunohost dispose de 2 IPV6 (locales), une commençant par “fe” l’autre par “fd”. Est-ce qu’il faut en privilégier une des deux pour créer la règle de redirection ?
Malheureusement, le bail statique déclaré dans le DCHPv6 avec un suffixe n’est pas correctement récupéré par la machine Yunohost (celle-ci a une autre adresse IPV6 différente - sans le suffixe - de celle indiquée sur l’interface du DCHP)… Est-ce un problème possiblement de Yunohost ?
Pour l’IP fixe, je souhaite justement obtenir une adresse MAC fixe et ce n’est visiblement pas le cas sur l’Olimex actuellement. Alors qu’en branchant un vieux PC sous Yunohost (instance neuve) sur le même port éthernet j’ai bien par défaut une adresse MAC fixe. Je me demande si une configuration résiduelle de l’ancien usage du VPN créé cette différence entre les deux machines. Autre chose, il me semblait avoir lu à différentes reprises sur le forum qu’aucune action sur la machine était nécessaire pour cela car c’était délégué par Yunohost au DCHP du routeur. Est-ce que je me trompe ?
