Accès à distance avec ddwrt

Post new topic   Reply to topic    DD-WRT Forum Index -> Questions générales
Goto page 1, 2, 3, 4, 5, 6, 7  Next
Author Message
AreA
DD-WRT User


Joined: 20 Aug 2009
Posts: 163

PostPosted: Mon Aug 24, 2009 9:35    Post subject: Accès à distance avec ddwrt Reply with quote
Bonjour a tous,

Nous travaillons actuellement sur la possibilité d'acceder à distance à l'interface graphique du routeur en ddwrt V23.

J'ai regarder dans les options et nous pouvons y acceder via https avce l'adresse WAN et le port 8080.
J'ai tester en local et cela à l'air de fonctionner par contre je n'ai pas encore tester sur uen grande distance.

J'aimerais savoir les moyens d'acceder à distance à l'interface graphique du routeur et si ce que j'ai fait semblre etre bon?

Merci.
Sponsor
lexstyui
DD-WRT Guru


Joined: 23 Mar 2007
Posts: 774

PostPosted: Tue Aug 25, 2009 16:16    Post subject: Reply with quote
Salut.
Oui c'est la bonne méthode.

Tu peux accéder à l'interface graphique de façon sécurisé par 3 moyens.

- par https
- par le vpn du routeur, pptp ou openvpn.
- par ssh en l'utilisant comme proxy

Après tu peux également changer le port d'ecoute du routeur ou autoriser seulement une ip ou une adresse de type no-ip à se connecter sur le routeur.

Dans la V24, tu as la possibilité d'autoriser une ip par l'intergace graphique sinon tu peux utiliser une règle iptables que tu sauvegardes dans le firwall.

Il me semble qu'il y a une faille sur l'acces à distance http qui à été corrigé dernierement.
Regardes la page d'accueil.
http://www.dd-wrt.com/dd-wrtv3/

PS : le changement de port pour le https peux poser des problemes avec firefox qui interdit l'utilisateur de visiter des sites sur des ports exotiques Mad mais pas avec internet explorer.
AreA
DD-WRT User


Joined: 20 Aug 2009
Posts: 163

PostPosted: Wed Aug 26, 2009 9:45    Post subject: Reply with quote
OK pour l'instant je reste avec la méthode https donc qui est https://adresse IP WAN:8080/

Faut il ouvrir le port sur le matériel de connexion internet (Livebox) ou le routeur est branché (buffalo)pour pouvoir acceder à l'interfae graphique n'importe ou?
lexstyui
DD-WRT Guru


Joined: 23 Mar 2007
Posts: 774

PostPosted: Wed Aug 26, 2009 22:17    Post subject: Reply with quote
Oui.
Il faut que tu ouvres un port sur la Livebox et que tu rediriges les connexions venant d'internet sur ce port vers le port 8080 du routeur Dd-wrt.
Tu peux aussi faire en sorte que ton Buffalo est toujours la même adresse ip sur la Livebox pour éviter qu'un autre récupère sont ip, ce qui casserait la redirection.
Soit tu demandes à la Livebox d'attribuer toujours la même adresse ip au Buffalo en fonction de son adresse mac, soit tu mets ton Buffalo en ip statique.
AreA
DD-WRT User


Joined: 20 Aug 2009
Posts: 163

PostPosted: Thu Aug 27, 2009 13:42    Post subject: Reply with quote
Bonjour,

j'ai essayer de faire cela chez un client... Mais cela n'a pas l'ai de marcher...

J'ai debloquer le port 8080 sur la livebox je suis allé dans avancé puis routeur et la il y a NAT etc. J'ai rentré ladresse WAN puis service HTTPS, et en TCP (il y a le choix avec UDP) puis le port interne 8080 et externe 8080 cela marche quand on est connecter au reseau local mais cela ne marche pas à distance... je suis en DHCP auto.

Est ce que je suis allé au bonne endroit et j'ai rentré les bon paramètres?
lexstyui
DD-WRT Guru


Joined: 23 Mar 2007
Posts: 774

PostPosted: Thu Aug 27, 2009 17:36    Post subject: Reply with quote
Confused
Ta redirection semble bonne. L'adresse Wan est l'adresse du Buffalo founi par la Livebox et c'est bien du tcp seulement.
http://www.bichofeo.com/portsinventel/image2.gif
(source de la photo : http://www.bichofeo.com/5.htm)
pour le https çà donne
service : https
protocole : tcp
port externe : 8080
port interne : 8080
adresse ip serveur : 192.168.1.xxx celle du Buffalo
donc comme tu l'as fait !

Quand tu dis connecté au réseau local c'est derrière le Buffalo ou connecté à coté sur le lan de la livebox.

Car tu peux vérifier si l'acces à l'interface est possible à partir d'un pc connecté au réseau de la livebox donc avant Buffalo, çà reviendrais au meme que de se connecter au buffalo à partir d'internet. Si çà fonctionne pas c'est que c'est le Buffalo, sinon c'est l'ouverture du port sur la livebox.

Est ce que la Livebox a une ip fixe sur internet ou change t'elle d'ip. Dans ce cas tu peux utiliser un service DDns sur le Buffalo.

Dernière chose très importante. Il y a une faille de sécurité dans le serveur http utilisé par ddwrt qui permetterais à un attaquant venant du net de prendre le controle du routeur si tu actives l'acces au routeur. Et cette faille doit probablement être présente dans la V23. Tu ne peux pas la corriger pour le https avec un script comme avec le http. Donc il vaudrait mieux que tu mettes à jour ton Buffalo avec une V24 supérieur à la 12533.
Regardes la page d'accueil.
yzy-oui-fi
DD-WRT Guru


Joined: 03 Mar 2009
Posts: 2826
Location: France

PostPosted: Fri Aug 28, 2009 0:19    Post subject: Reply with quote
Attention, depuis ta livebox tu as deux redirection a mettre en place.

service https (port 443)
et creer une regle de redirection du port 8080 externe vers l'adresse IP Wan de ton routeur sur le port 8080 en TCP

a ne pas confondre avec une modification du service HTTPS.

autre point assure toi que le buffalo reçois toujours la meme adresse ip wan

et lorsque tu appelles ton routeurs depuis Internet, appelle ce lien:
https://adresse-ip-public:8080

si tu as une Ip dynamique (fréquent avec livebox) tu peux te creer un domaine DynDns et activer le daemon dyndns sur ton routeur ce qui te permettra d'appeler ton routeur par un lien du type:

https://mondomainedyndns:8080

_________________
DD-WRT WDS MESH + DASHBOARD (fr), DD-WRT network setting tool (tools.yzy-oui-fi.com), Wifi Business and IT guy After hours, My Blog, Free DD-WRT VPN Community(www.wrt-pptp-ww.com), DD-WRT pré-réglés pour réseau outdoor(hotspot.yzy-oui-fi.com), Nouveau Forum DD-WRT francophone
AreA
DD-WRT User


Joined: 20 Aug 2009
Posts: 163

PostPosted: Tue Sep 01, 2009 8:10    Post subject: Reply with quote
lexstyui wrote:
Confused
Ta redirection semble bonne. L'adresse Wan est l'adresse du Buffalo founi par la Livebox et c'est bien du tcp seulement.
http://www.bichofeo.com/portsinventel/image2.gif
(source de la photo : http://www.bichofeo.com/5.htm)
pour le https çà donne
service : https
protocole : tcp
port externe : 8080
port interne : 8080
adresse ip serveur : 192.168.1.xxx celle du Buffalo
donc comme tu l'as fait !

Quand tu dis connecté au réseau local c'est derrière le Buffalo ou connecté à coté sur le lan de la livebox.

Car tu peux vérifier si l'acces à l'interface est possible à partir d'un pc connecté au réseau de la livebox donc avant Buffalo, çà reviendrais au meme que de se connecter au buffalo à partir d'internet. Si çà fonctionne pas c'est que c'est le Buffalo, sinon c'est l'ouverture du port sur la livebox.

Est ce que la Livebox a une ip fixe sur internet ou change t'elle d'ip. Dans ce cas tu peux utiliser un service DDns sur le Buffalo.

Dernière chose très importante. Il y a une faille de sécurité dans le serveur http utilisé par ddwrt qui permetterais à un attaquant venant du net de prendre le controle du routeur si tu actives l'acces au routeur. Et cette faille doit probablement être présente dans la V23. Tu ne peux pas la corriger pour le https avec un script comme avec le http. Donc il vaudrait mieux que tu mettes à jour ton Buffalo avec une V24 supérieur à la 12533.
Regardes la page d'accueil.


J'ai fais cela et quand je suis connecter derriere la Livebox je tombe bien sur l'interface du Buffalo en tapant https://WANIP:8080.

Mais quand je suis chez moi ou connecté à une autre Box par exemple et que je veux acceder à l'interface du Buffalo qui se trouve chez le client en question, cela ne marche pas...
AreA
DD-WRT User


Joined: 20 Aug 2009
Posts: 163

PostPosted: Tue Sep 01, 2009 14:39    Post subject: Reply with quote
yzy-oui-fi wrote:
Attention, depuis ta livebox tu as deux redirection a mettre en place.

service https (port 443)
et creer une regle de redirection du port 8080 externe vers l'adresse IP Wan de ton routeur sur le port 8080 en TCP

a ne pas confondre avec une modification du service HTTPS.

autre point assure toi que le buffalo reçois toujours la meme adresse ip wan

et lorsque tu appelles ton routeurs depuis Internet, appelle ce lien:
https://adresse-ip-public:8080

si tu as une Ip dynamique (fréquent avec livebox) tu peux te creer un domaine DynDns et activer le daemon dyndns sur ton routeur ce qui te permettra d'appeler ton routeur par un lien du type:

https://mondomainedyndns:8080


Quand tu dis appel le lien avec "adresse ip publique" tu parle de l'adresse IP WAN? Et donc si j'ai bien compris il faut en plus redirigé le https sur le port 443 en plus du 8080 pour ladresse WAN?
yzy-oui-fi
DD-WRT Guru


Joined: 03 Mar 2009
Posts: 2826
Location: France

PostPosted: Tue Sep 01, 2009 16:54    Post subject: Reply with quote
pour les port c'est exactement ca.

quand je parle d'ip public c'est celle qu'obtient ta livebox en se connectant a Internet pas celle qu'elle distribue a ton routeur qui n'est visible que depuis ta lb

_________________
DD-WRT WDS MESH + DASHBOARD (fr), DD-WRT network setting tool (tools.yzy-oui-fi.com), Wifi Business and IT guy After hours, My Blog, Free DD-WRT VPN Community(www.wrt-pptp-ww.com), DD-WRT pré-réglés pour réseau outdoor(hotspot.yzy-oui-fi.com), Nouveau Forum DD-WRT francophone
lexstyui
DD-WRT Guru


Joined: 23 Mar 2007
Posts: 774

PostPosted: Tue Sep 01, 2009 17:08    Post subject: Reply with quote
Le ssh ou vpn est peut-etre une meilleur solution, en plus tu pourras également accéder à la Livebox.
http://www.dd-wrt.com/phpBB2/viewtopic.php?t=55173
AreA
DD-WRT User


Joined: 20 Aug 2009
Posts: 163

PostPosted: Wed Sep 02, 2009 13:38    Post subject: Reply with quote
yzy-oui-fi wrote:
pour les port c'est exactement ca.

quand je parle d'ip public c'est celle qu'obtient ta livebox en se connectant a Internet pas celle qu'elle distribue a ton routeur qui n'est visible que depuis ta lb


Et l'IP publique on l'a trouve quand on va sur monip.com par exemple c'est sa.

Donc quand je tape https://IPPUBLIQUE:8080 avec les regles sur le port 443 et 8080 je devrais tombé sur l'interface du Buffalo?
AreA
DD-WRT User


Joined: 20 Aug 2009
Posts: 163

PostPosted: Wed Sep 02, 2009 13:39    Post subject: Reply with quote
lexstyui wrote:
Le ssh ou vpn est peut-etre une meilleur solution, en plus tu pourras également accéder à la Livebox.
http://www.dd-wrt.com/phpBB2/viewtopic.php?t=55173


Oui mais avec le SSH ou VPN je tomberais aussi sur l'interface graphique du buffalo?
yzy-oui-fi
DD-WRT Guru


Joined: 03 Mar 2009
Posts: 2826
Location: France

PostPosted: Wed Sep 02, 2009 13:46    Post subject: Reply with quote
avec ssh ou vpn tu as accès a ton réseau local depuis Internet comme si tu étais dans ton réseau local ! donc tous ce qui est accessible depuis ton réseau local (modem, routeurs, partage réseau, imprimante)
_________________
DD-WRT WDS MESH + DASHBOARD (fr), DD-WRT network setting tool (tools.yzy-oui-fi.com), Wifi Business and IT guy After hours, My Blog, Free DD-WRT VPN Community(www.wrt-pptp-ww.com), DD-WRT pré-réglés pour réseau outdoor(hotspot.yzy-oui-fi.com), Nouveau Forum DD-WRT francophone
lexstyui
DD-WRT Guru


Joined: 23 Mar 2007
Posts: 774

PostPosted: Thu Sep 03, 2009 4:13    Post subject: Reply with quote
Le vpn est plus simple à utiliser et à configurer. Tu peux créer une nouvelle connexion "au réseau d'entreprise" dans windows et tu seras directement connecté au Buffalo et à son réseau.

Pour le ssh, tu peux utiliser le logiciel Putty qui va créer un tunnel sécurisé entre ton pc et le Buffalo comme le fait un vpn.
Le ssh est un peu plus long à configurer la première fois mais à des avantages par rapport au vpn.
Tout dépend de ton utilisation.
Si tu te connectes juste pour modifier le Buffalo et la Livebox d'un client et c'est tout ; dans ce cas vpn.
Si tu as besoin d'être connecté à plusieurs réseaux client Livebox+Buffalo en même temps, dans ce cas ssh.
De même si tu veux te servir de ton internet en même temps que tu es sur le Buffalo la vitesse dépendera de la connexion internet du serveur vpn.

Car quand tu utilises un vpn, toutes les connexions de ton pc passent par le vpn, donc par le serveur. Et tu es limité par l'upload du serveur, la connexion internet de la Livebox relier au Buffalo. Avec le ssh, tu peux choisir de faire passer seulement la page du Buffalo et/ou de la livebox (et sans modifier ie firefox ou quoique ce soit d'autre, juste une question de config de Putty la première fois).
Goto page 1, 2, 3, 4, 5, 6, 7  Next Display posts from previous:    Page 1 of 7
Post new topic   Reply to topic    DD-WRT Forum Index -> Questions générales All times are GMT

Navigation

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You cannot download files in this forum