Bonjour à tous,
Je vous explique ma problématique :
Je viens d’installer sur mon raspberry un serveur Radicale pour pouvoir stocker des agendas/carnet d’adresses et pouvoir les intégrer à Thunderbird.Tout fonctionne bien mais j’ai impérativement besoin que ces agendas soit accessibles en dehors de mon réseau local.
Mon raspberry à une ip fixe, j’ai un premier routeur asus qui me fait office de passerelle par défaut, qui est relié à une box bouygues entreprise qui me donne la fibre.
J’ai tenté d’ouvrir les ports 5232 sur la box mais la configuration des box entreprises est assez opaque donc je ne sais même pas si ça l’a pris en compte, j’ai fais la même chose avec le routeur asus et j’ai renseigné l’adresse ip du raspberry pi.
Mais je n’arrive toujours pas à accéder au serveur. Je suis pas expert en réseaux j’ai surement raté quelque chose di’mportant…
avec un scan de port en ligne tu devrais avoir l’info:
pour que le port soit ouvert il faudra que ton port 5232 soit « open » (avec le Rpi derrière la box) ou « closed » si le rpi est pas accessible mais pas filtered ( dans ce cas le port n’est pas ouvert )
(Port Scanning Basics | Nmap Network Scanning)
dans un premier temps brancher ton Rpi directement sur la box, valider la connexion puis s’attaquer au problème du routeur ( firewall ? - si oui il faudra qu’il accepte de 'forward" le port en entrée sur le port en écoute de ton Rpi - j’espère que t’as une doc )
J’ai testé le scan de port et effectivement le port est marqué comme fermé donc déjà c’est sur que pour le moment je n’irai pas plus loin lol. C’est peut être pas automatique du côté de bouygues et c’est peut être le temps que ce soit pris en compte… Je vais réessayer demain et au pire attendre de les avoir au tèl. Je ferai le reste ensuite et viendrai aux nouvelles, pour le firewall je pense que ça devrait aller l’espace de configuration web du routeur Asus me laisse pas mal de libertés ^^
port close : il peut être ouvert mais avec aucune machine qui répond au bout ( un peu comme un téléphone qui sonne mais personne qui décroche )
Ce qui indique que le port est bloqué c’est en général « filtered »
normalement la prise en compte du nat ( le truc qui permet la liaison entre le coté internet et le réseau privé ) est prise en compte aussitôt la règle enregistrée dans la box.
pour info, avec une box entreprise, tu n’as pas droit à une hot line ?
au vu de l’erreur ça devrait être l’ip du Rpi …
si ton rpi est branché derrière ton router ça devra être l’adresse du router mais il te faudra peut être refaire un NAT sur le router.
d’ou l’idée de d’abord branché le rpi a la box, valider la liaison avec l’extérieur, puis s’attaquer au router…
NB : l’adresse du Rpi devra être sur le même réseau que la box ( c’est peut être la raison de l’erreur ? )
Je me suis dis la même chose, j’ai retenté du coup d’ouvrir ce port avec l’adresse ip de mon routeur et par contre le port cette fois est passé en « filtered »… Selon ce que tu m’as dis ça voudrait dire qu’il est bloqué ? Ou que justement une règle a bien été appliqué dessus ?
Quand tu dis que mon rpi devra être sur le même réseau que ma box, c’est dans le cadre du test avec le rpi branché à celle-ci ? Car non justement le but final est que mon rpi soit dans le réseau local de mon routeur…
Pour que tu ais + d’infos : mon routeur à comme ip 192.168.1.195 dans le réseau 192.168.1.0/24 de ma box, il fait office de passerelle par défaut dans le réseau (on appel ça un sous-réseau?) 192.168.50.0/24 depuis l’ip 192.168.50.1 et mon rpi lui sera en 192.168.50.105
Je vais refaire la même règle avec l’adresse ip de mon rpi branché à ma box et voir si il est accessible, j’arrive à voir quand bouygues effectue bien la demande
ok donc on peut imaginer que la box fait bien le nat vers 192.168.1.195:5232 et que le « filtered » vient du firewll de ton router.
normalement, reste plus qu’a collé au router, un NAT vers ton Rpi sur le port 5232 …
J’ai fais pas à pas comme tu me la conseiller, et du coup ça y est, radicale écoute bien sur le port 5232, le port est ouvert de la box est ouvert, j’ai testé un accès depuis une connexion 4g et ça fonctionne !! (avec le rpi derrière la box)
Je vais refaire la configuration de base et faire la règle nat sur le routeur, tout devrait être bon mais je te revalide ça dans quelques minutes ^^
Et le service a l’air accessible, le reste ne dépendra que de quelques test…
Va surement falloir que je me penche à sécuriser un peu tout ça maintenant que c’est accessible depuis l’extérieur, si tu as des pistes je suis preneur.
Merci énormément de ton aide, j’en ai pas mal appris en plus de ça. ^^
pour l’aspect sécurité il vaut mieux sur le firewall du pi ne laisser rentrer que le port utile, ( en installant ufw - voir en source ), avoir le dernier firmware du router d’installé, mettre en commentaire la ligne ds le fichier /etc/sudoers.d/010_pi-nopasswd ( le sudo demandera un password ! sur ce dernier point on frôle la parano ! )
si j’ai bien compris le risque principal serait une faille dans le programme « Radicale » donc le mettre à jour ( de temps en temps un sudo apt update et sudo apt upgrade sur le Rpi )
Je vais jeter un coup d’oeil sur ufw thx !
Pour ce qui est du sudo qui demande un mot de passe en vérité je ne suis pas contre, je ne veux clairement pas de mauvaises surprises, ça demandera un mdp avec tout les users ou je pourrai par exemple mettre cette règle uniquement sur l’users « radicale » et pas le « pi »… Ça aurait un sens pour toi ?
Radicale n’a pas l’air d’être très solide (je dis ça mais c’est juste une impression) donc je préfère mettre toutes les chances de mon côté…
le user radicale est en nologin donc il n’a pas de sudo ( voir less /etc/passwd|grep radicale )
j’ai vu sur cette doc (Redirect)
. qu"on pouvait utiliser un password comme ceux utiliser par apache ( htpasswd )
. qu’on pouvait aussi utiliser un certificat pour faire du https ( Let's Encrypt - Certificats SSL/TLS gratuits )
. qu’il était possible de le mettre derrière un reverse proxy ( avec nginx le Rpi ( 3 ou 4 ) y arriverait peut être avec un temps de réponse pas trop pourri )
question sécurité le reverse proxy doit être une solution correcte.
un dernier truc c’est de changer le port de radicale au moins du côté public histoire de pas indiquer aux éventuels pirates qu’il y en a un d’hébergé sur le réseau privé …